信息安全技术及其应用.pptx

《信息安全技术及其应用.pptx》由会员分享，可在线阅读，更多相关《信息安全技术及其应用.pptx（59页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全技术及其应用信息安全技术及其应用新员工培训教程新员工培训教程定义与范围定义与范围l信息安全技术是一个涉及面非常广泛技术，包括网络安全、防火墙、入侵检测和防病毒等诸多方面。根据公司产品开发的方向，本次培训的范围主要局限于网络安全中的以下几个方面：p数据保密性（加密）数据保密性（加密）p数据抗否认性（签名）数据抗否认性（签名）p身份认证身份认证p访问控制访问控制培训目标培训目标l本次培训希望达到以下目标：了解信息安全技术中的一些基本概念了解常用的信息安全技术及对应的规范和协议了解公司开发的一些安全产品一、信息安全技术中的基本概念一、信息安全技术中的基本概念1.常用密码技术2.PKI基础及数

2、字证书1.1.1.1.常用密码技术常用密码技术1.对称密码技术2.非对称密码技术3.HASH算法4.数字签名5.数字信封1.1.11.1.1对称密码技术对称密码技术l概念通讯双方使用同一个密钥来加解密信息。l常用算法DES、3DES、AES、SSF33l密钥长度和分组大小l块加密和流加密l块加密模式ECB（Electronic Code Book）、CBC（Cipher Block Chaining）、CFB（Cipher Feedback Mode）、OFB（Output Feedback Mode）l加密填充PKCS#51.1.21.1.2非对称密码技术非对称密码技术l概念通讯双方使用一对

3、密钥来分别完成加密和解密操作。一个分开发布（公钥），一个由用户秘密保存（私钥）。l常用算法RSAl公钥：N，El私钥：P，Q，DP，DQ，QINVl签名填充和加密填充（PKCS#1）ECC（Elliptic Curve Cryptography）与RSA相比，可用短的多的密钥获得同样的安全性。1.1.3 HASH1.1.3 HASH算法算法l概念是一种把任意长度的输入转换成固定长度输出的算法。算法是单向不可逆的，不需要密钥。输出结果称为消息摘要l常用算法SHA-1，MD51.1.41.1.4数字签名数字签名l概念对原消息进行HASH运算，私钥对消息摘要进行运算最终结果称为消息的数字签名。l非对

4、称算法与HASH算法的结合。l实现身份认证数据完整非否认1.1.5 1.1.5 数字信封数字信封l概念随机产生一对称密钥，用该密钥对消息进行加密用接收方公钥加密随机产生的对称密钥两组密文加在一起称为数字信封l非对称算法与对称算法的结合。1.1.6 1.1.6 程序资源程序资源lCrypto+lPGPlOPEN SSL1.2 PKI1.2 PKI基础及数字证书基础及数字证书1.什么是PKI2.PKI的框架结构3.数字证书简介4.PKI的技术标准1.2.1 PKI1.2.1 PKI基本概念基本概念l什么是PKI？Public Key Infrastructure的缩写，是一种普遍适用的网络安全基础

5、设施，包括软件、硬件、人和策略的集合。PKI目前是公认的保障网络社会安全的最佳体系。PKI与PKI应用系统之间是相互独立、分离的。PKI的设计、开发、生产和管理可以独立进行，无需考虑应用的特殊性应用不必关心密码算法的实现，只需按标准使用即可。1.2.2 PKI1.2.2 PKI的框架结构的框架结构l数字证书PKI中的基本数据元素l数字证书颁发机构CA和RAl数字证书库LDAP(Lightweight Directory Access Protocol)l密钥备份与恢复系统l证书吊销系统l数字证书策略CA证书、用户证书代码签名证书、电子邮件证书、服务器证书l应用开发APICryptoAPIPKC

6、S111.2.3 1.2.3 数字证书简介（一）数字证书简介（一）l什么是数字证书？数字证书又称为数字标识，它提供了一种在Internet上进行身份验证的方式，是用来标志和证明网络通信双方身份的数字信息文件。通俗地讲，数字证书就是单位或个人在Internet的身份证数字证书的格式目前一般采用X.509国际标准。1.2.3 1.2.3 数字证书简介（二）数字证书简介（二）l数字证书的作用？将公钥与个人信息绑定在一起。在网上进行电子商务和电子政务活动时，交易双方使用数字证书来表明自己的身份，并使用数字证书来进行有关的网上安全交易操作。数字证书可提供以下安全服务l数据保密性数据保密性：除发送方和接收

7、方外信息不被其他人窃取；l数据完整性数据完整性：信息在传输过程中不会被篡改；l身份认证身份认证：接收方能够通过数字证书来确认发送方的身份；l不可否认性不可否认性：发送方对于自己发送的信息将不可抵赖。1.2.3 1.2.3 数字证书简介（三）数字证书简介（三）l数字证书的内容与格式证书所有者信息证书所有者公钥证书颁发机构签名证书内容签名算法签名版本序列号签名算法标识算法参数签发者有效期起始日期结束日期主体主体的公开密钥算法 参数公开密钥签发者唯一标识符主体唯一标识符 扩展项1.2.3 1.2.3 数字证书简介（四）数字证书简介（四）l证书链的概念根证书:CA中心的自签名证书，是CA认证中心与用户

8、建立信任关系的基础证书链:从CA根证书到用户证书所包含的所有证书路径。1.2.3 1.2.3 数字证书简介（五）数字证书简介（五）l数字证书的验证过程验证证书链的上级证书直到根证书可信验证证书的签名验证证书的有效期验证证书的状态（OCSP或CRL查询）验证证书的用途1.2.3 1.2.3 数字证书简介（六）数字证书简介（六）l数字证书的文件类型DER 二进制编码(*.cer)BASE64编码（*.cer,*.pem）PKCS#7消息语法编码(*.p7b)PKCS#12编码证书(*.pfx,*.p12)1.2.3 1.2.3 数字证书简介（七）数字证书简介（七）l数字证书的签发过程用户在RA录入

9、身份信息RA为用户产生密钥对。私钥由用户保存，RA将公钥和用户身份信息传送给CACA为用户签发证书并放入目录服务器中用户通过RA或自已从目录服务器上下载安装证书1.2.3 1.2.3 数字证书简介（八）数字证书简介（八）l数字证书的存储介质硬盘或软盘IC卡USB Token主板模块（BIOS）1.2.4 PKI1.2.4 PKI的技术标准的技术标准PKI的标准化是其发展的前提和基础，才能保证不同PKI产品之间的正常交互。以下仅列出了常用的PKI技术标准：l与数字证书相关X.509CRLOCSPl与智能卡相关PC/SCCSP、PKCS#11lPKCS（Public Key Cryptograph

10、y Standards）PKCS#1、PKCS#7、PKCS#10、PKCS#11、PKCS#12二、常用信息安全技术及规范和协议二、常用信息安全技术及规范和协议1.身份认证技术及协议2.网络层与传输层的安全协议3.应用层的安全协议4.与智能卡相关的接口规范2.1身份认证技术及协议身份认证技术及协议l身份认证是实现网络安全的重要机制之一。l单项认证与双向认证l静态密码认证与动态密码认证l多因素身份认证l常用认证协议RADIUS（Remote Authentication Dial In User Service）普通电话、上网业务计费Kerberos认证:一种被证明为非常安全的双向身份认证技术

11、SSLIBC（Identity-Based Cryptograph）2.22.2网络层与传输层的安全协议（一）网络层与传输层的安全协议（一）lIPSec（Internet Protocol Security）1.IPSec实现了网络层的加密和认证，它在网络体系结构中提供了一种端到端的安全解决方案。用于加密在两台计算机间传输的数据，以防止有人在网络上查看数据时对其进行修改和破译。IPSec 是防御内部、专用网络和外部攻击的关键防线。2.IPSec提供以下安全服务访问控制无连接的完整性（对IP数据包自身的一种检测方法）数据源认证拒绝重放的数据包（部分序列号完整性的一种形式）保密性（加密）2.22.

12、2网络层与传输层的安全协议（二）网络层与传输层的安全协议（二）lSSL（Secure Sockets Layer）1.是一种基于会话的加密和认证协议。工作在传输层，并与使用的应用层协议无关。现被广泛应用于网上的身份认证与Web服务器和用户端浏览器之间的数据安全通信。2.SSL协议主要包含握手协议和记录层协议。握手协议：负责建立当前会话状态参数。双方协商一个协议版本，选择密码算法，互相认证，并协商出共享密钥。记录层协议：负责对数据加密、解密及完整性校验。2.3 2.3 应用层的安全协议（一）应用层的安全协议（一）l电子邮件安全协议（S/MIME）保护电子邮件的规范定义了如何根据CMS（Crypt

13、ographic Message Syntax，来源于PKCS#7）来创建增强的MIME主体：唯加密、唯签名和签名与加密2.3 2.3 应用层的安全协议（二）应用层的安全协议（二）l安全电子交易SET为在Internet上进行在线交易时，保护信用卡支付的安全而设计开发的一个开放的规范。是唯一允许信用卡信息被安全可靠地通过因特网传输的新协议 SET提供了消费者、商家和银行之间的认证，确保了网上交易数据的保密性、完整性和交易不可抵赖性。2.4 CSP2.4 CSP接口规范接口规范微软的 CryptoAPI为应用程序开发者提供了在Win32环境下使用加密、验证等安全服务时的标准加密接口CSP为Cry

14、ptoAPI体系结构中加解密运算的最底层实现，以DLL的形式提供应用程序在使用CryptoAPI时只需指定CSP的名字和类型，即会自动调用该CSP模块来完成加密运算2.5 PKCS112.5 PKCS11接口规范接口规范PKCS11的主要目标是解决安全应用与不同厂商开发的密码组件之间的交互性和兼容性问题。将安全应用从密码组件的细节中分离出来，不再需为密码组件的变化而发生改变。PKCS11的编程接口模型如图所示，安全应用通过PKCS11接口使用不同的硬件设备进行密码运算。3 3 天喻安全产品介绍天喻安全产品介绍1.身份认证类产品2.安全存储类产品3.电子签名类产品4.企业应用系统3.13.1身份

15、认证类产品身份认证类产品l硬件智能卡、USB KEY、SDKEYl软件Windows GINA（Graphical Identification and Authentication）本机登录及域登录Linux PAM（Pluggable Authentication Modules）利用CSP或PKCS11接口实现的Windows域登录、SSL站点登录、VPN登录3.23.2安全存储类产品安全存储类产品l硬件USB KEY、eWandU、SDKEYl软件基于USB KEY虚拟加密磁盘基于eWandU的安全移动存储基于SDKEY的安全移动存储3.33.3电子签名类产品电子签名类产品l硬件智能卡

16、、USB KEYl软件Office签名插件Adobe签名插件电子签章软件3.43.4企业安全应用企业安全应用l硬件智能卡、USB KEY、eWand Ul软件身份认证与授权管理系统虎御数据防泄漏系统随堂测试随堂测试1.简述数字信封的加密与解密过程，及解决的安全问题2.简述数字签名的签名与验签过程，及解决的安全问题说明：要说明用到的密码算法及算法组合以及操作流程。演讲完毕，谢谢观看！附录资料：不需要的可以自行删除附录资料：不需要的可以自行删除 信息技术的战略管理应用信息技术创造组织马力本章的重点本章考察七种由IT技术激活的策略,提高组织的竞争能力IT促成完美的服务组织马力的开发 质量是组织竞争的

17、基础OHP策略创造竞争优势OHP策略应用激进还是持续?竞争优势什么是竞争优势?如何获得竞争优势?如何保持竞争优势?客户对产品或服务的认同。通过对竞争环境及自己企业内的了解，开发新的产品或创建良好的服务。不断创新，保持优势。组织马力组织马力是组织力量与速度的结合。组织力量 尽可能 地满足顾客的期望 体现在更多的适合客户需要的产品或服务组织速度 能够迅速地满足客户的期望 体现了对客户需求的响应速度利用IT提高OHP的策略准时生产方式 Just-in-Time 组织团队 信息伙伴灵活的运营 跨国公司虚拟组织学习型组织质量：竞争的基础什麽是质量？质量不是优良、漂亮、豪华。质量是指满足顾客的期望。质量是

18、OHP的基础。全面质量管理（TQM）满足客户的期望持续不断的改进组织范围的质量观念JIT方法 Just-in-Time-将产品或服务在客户需要时，能及时的生产并送达。JIT 的方法将以生产为中心的方式转化为以客户为中心（订单到达之前没有产品），以避免生产的过剩。JITJIT增强了企业的柔性，减少库存水平。增强了企业的柔性，减少库存水平。目的：提高组织的目的：提高组织的速度速度关键：外部的信息沟通（利用通信技术）生产过程的管理（内部生产过程的控制）-过程预测-材料需求计划 MATERIAL REQUIREMENTS PLANNING(MRP)）-制造资源计划MANUFACTURING RESOU

19、RCE PLANNING(MRP II)组织中的团队 团队：项目团队、长期团队-一组拥有共同的目标、协同工作的人。目的：团队的创造力增强组织的力量关键：网络平台，群件的支持信息伙伴-与客户间加强信息的沟通，实现信息的共享，促进信息的流动。即，通过共享信息增强每个合作组织的实力。目的与战略：目的与战略：提高组织的速度提高组织的速度提高组织的速度提高组织的速度：通过通过EDI的应用、信息流动的自动化、信息传递的标准化（减少错误）提高组织的力量：提高组织的力量：提高组织的力量：提高组织的力量：通过对信息的共享，扩大市场。通过对信息的共享，扩大市场。通过对信息的共享，扩大市场。通过对信息的共享，扩大市

20、场。同时提高力量与速度：同时提高力量与速度：信息共享促进创新、信息共享扩大了与顾客的交流。关键：网络的应用，如EDI。灵活的运营-任何地点（无铺面）的不限时的运营，是组织职能的延伸。通过对客户服务的内容的增加、时间的延长，提高组织的OHP。目的：提高组织的力量和速度关键：业务的IT化如：网上销售、ATM机跨国公司-通过一种协作的方式在全球多个国家生产或销售产品或服务使组织的业务在经营范围上扩展。目的：提高组织的力量，实际运作中对组织的速度可能产生正面或负面的影响。关键：关键：网络的支持，必须创建全球范围的IT基础设施；管理的规范，在 地区独特性与公司一致 性间平衡；虚拟组织-通过IT将独立的组

21、织连接在一起，以共同分享技术、分摊成本，开拓市场。目的：提高组织的速度，但有可能因协调原因降低组织的力量。关键：通讯技术的应用学习型组织-向组织成员提供学习的保证，不断吸收新的知识，提高对市场的敏感程度。目的：提高组织的速度关键：完善培训的方法及机制选择和实施OHP战略如何选择OHP策略定义客户的需求 确定如何将组织的目标分解为力量与速度，利用IT技术实现。确定一种或多种策略的集合考察资源可利用情况、IT能否实现实施OHP战略1.确定实施的范围2.确定所需的IT的支持3.改进的方式不断改善，温和的方式彻底改变，激进方式企业过程重组BPR组织的BPRBPR企业过程重组Bussiness Proc

22、ess ReengineeringIT是BPR的推动力：早期 IT着眼于业务处理的自动化BPR 追求经营效率的提高BPR 应用案例XX公司的美国总部有500多名财务人员，其单据往来十分繁杂。通常的程序是：采购部与供应商制订购货合同，同时送一份副本给会计部门；供应商交货时开发票；仓库管理员验收货物后出具验收单，会计部门核对合同、发票、验收单，二者一致办理付款，否则需派人调查原因。开收据收到货更新计划找错做订单改错收集3单核查3单开发票兑支票开发票运货物会计部供应商仓储控制采购车间控制无误有误已有的采购-收购-付款过程收到货找错做订单改错兑支票运货物会计部供应商仓储控制采购再造后的采购-收购-付款过程计算机核对项目将错误通知会计更新生产关系更新存储开出支票