信息系统安全管理理论及应用 李建华信息系统安全管理理论及应用 5-6 第5章信息系统安全控制技术新.pptVIP

数据安全控制技术 加密技术 数字签名 数据备份技术 * 加密技术 加密是保障数据各类安全性的基本手段。目前最常用的加密技术有对称加密技术和非对称加密技术。 在应用层常常使用文件加密来提高系统安全 * 数据签名 数据签名可以实现数据完整性和抗抵赖性。 “利用一套规则和一个参数对数据计算所得的结果，用此结果能够确认签名者的身份和数据的完整性”。--“DSS，FIPS186-2” * 数字签名应用场景 * 数据备份技术 为了保证数据的可用性，数据备份成为不可或缺的一种数据安全控制技术。 数据备份对信息系统中的重要数据进行数据冗余存储，以便在系统遭受损坏或者毁灭的情况下，可以进行数据恢复。 * 备份策略 常见的数据备份的策略有三种： 完全备份 增量备份 差异备份 * 镜像技术 镜像是在两个或多个磁盘或磁盘子系统上产生同一个数据的镜像视图的信息存储过程。 其中一个磁盘系统叫主镜像系统，另一个叫从镜像系统。按主从镜像存储系统所处的位置可分为本地镜像和远程镜像。 * 远程镜像技术 远程镜像（也称远程复制）用于异地备份中主数据中心和备份中心之间的数据备份。远程镜像按请求镜像的主机是否需要远程镜像站点的确认信息，又可分为同步远程镜像和异步远程镜像。 * 同步远程镜像 同步远程镜像（也称同步复制技术）通过远程镜像软件，将本地数据以完全同步的方式复制到异地。 本地I/O事务均需等待远程复制过程的完成确认信息，方予以释放。 * 异步远程镜像 异步远程镜像（也称异步复制技术）保证在更新远程存储视图前完成向本地存储系统的基本I/O操作，而由本地存储系统提供给请求镜像主机的I/O操作完成确认信息。 远程的数据复制是以后台同步的方式进行的，这使本地系统性能受到的影响小，对网络带宽要求小，传输距离可长达1000公里以上。 * 快照技术 快照技术：通过软件对要备份的磁盘子系统的数据快速扫描，建立一个要备份数据的快照逻辑单元号LUN和快照缓存，在快速扫描时，把备份过程中即将要修改的数据块同时快速拷贝到快照缓存中。 基于IP的SAN技术：利用基于IP的SAN的互连协议，将主数据中心SAN中的信息通过现有的TCP/IP网络，远程复制到备份中心SAN中。 * 虚拟化存储 虚拟化存储技术将几个IDE或SCSI驱动器等不同的存储设备串联为一个存储池。存储集群的整个存储容量可以分为多个逻辑卷，并作为虚拟分区进行管理。 虚拟存储系统还提供了动态改变逻辑卷大小的功能。虚拟化存储技术允许逻辑卷的容量随用户的即时要求动态改变并实施卷移动和替换。 * 谢 谢! * * * * * 在线教务辅导网： 更多课程配套课件资源请访问在线教务辅导网 信息系统安全控制技术 * IS安全控制是一项系统工程 从技术上看，信息系统的安全问题涉及到从网络设施层面到操作系统及应用层面和信息数据层面等多层因素。 信息系统的安全控制是一项系统工程，应该从系统的角度出发，在上述多个层面进行实施。 * 安全控制的系统视图 * 网络安全控制技术 路由器技术 防火墙技术 网络入侵检测技术 * 路由器技术 访问控制技术：用户验证是实现用户安全防护的基础技术。 传输加密技术：提供对IPSec，SSL等安全协议的支持。 防火墙防护技术：采用防火墙功能模块的路由器具有报文过滤功能，能够对所有接收和转发的报文进行过滤和检查，检查策略可以通过配置实现更改和管理。 * 路由器技术 入侵检测技术：目前有些路由器和高端交换机已经内置IDS功能模块。内置入侵检测模块需要路由器具备完善的端口镜像（一对一、多对一）和报文统计支持功能。 其他安全技术：比如在路由器中实现对备份协议的支持，提供日志管理的功能等。 * 防火墙技术 按照其实现技术划分，目前防火墙主要分为三类：包过滤防火墙，代理服务器和状态检测防火墙。 * 包过滤防火墙 包过滤防火墙工作在OSI网络参考模型的网络层，可简单地在路由器上添加过滤规则实现。 由于包过滤技术仅仅运作在网络层，并不对上层数据包内的具体内容实施分析，所以实施简单，工作效率高。 不支持对用户身份进行高级认证，容易遭受地址欺骗型攻击 * 代理服务器 代理服务器也称为应用级网关。代理服务器工作在OSI网络参考模型的应用层上，采用代理服务器的工作方式实现访问控制。 代理服务器技术对数据包的检测能力较强，可以对网络层、传输层和应用层等多层协议进行特征分析；具备一定的审计跟踪和报警功能。 可伸缩性较差，容易形成带宽瓶颈。 * 状态检测防火墙 状态检测技术又称为动态包过滤技术，工作在OSI网络参考模型的网络层和传输层上，是对静态包过滤技术的扩展。 抽取有关数据进行分析，结合网络配置和安全规定实施接纳、拒绝、身份认证、报警或给该通信加密等处理动作。 一旦某个网络访问违反安全规定，就会拒绝该访问，并报告有关状态