本篇文章给大家谈谈信息系统安全实验,以及对应的知识点,希望对各位有所帮助,不要忘了收藏本站喔。
本文目录一览:
推荐实验室信息管理系统(LIMS),采用SaaS和云存储技术,进一步缩减了成本、提升了安全性和效率。
那个需要加密狗(就是那个U盘状的东西)和前面的一台大箱子 (平时当交换机使用),这样程序就是注册了
系统地说应是:培养掌握系统与网络安全的基本理论与病毒防范、黑客攻击手段分析与防范技术,能熟练应用信息安全产品,熟悉信息安全管理规范,具有开发、维护和管理信息安全系统能力的高等技术应用性人才。
主要课程如下:
第1章计算机信息安全概述
1.1威胁计算机信息安全的因素
1.2计算机信息安全研究的内容
1.2.1计算机外部安全
1.2.2计算机内部安全
1.2.3计算机网络安全
1.3OSI信息安全体系
1.3.1安全服务
1.3.2安全机制
1.4计算机系统的安全策略
1.4.1安全策略
1.4.2人、制度和技术之间的
关系
1.5计算机系统的可靠性
1.5.1避错和容错
1.5.2容错设计
1.5.3故障恢复策略
习题1
第2章密码与隐藏技术
2.1密码技术概述
2.2古典加密方法
2.2.1代替密码
2.2.2换位密码
2.2.3对称加密体制
2.3数据加密标准DES
2.3.1DES算法描述
2.3.2DES算法加密过程
2.3.3DES算法解密过程
2.3.4三重DES算法
2.4高级加密标准AES
2.4.1AES算法数学基础
2.4.2AES算法概述
2.4.3AES算法加密过程
2.4.4AES算法解密过程
2.4.5AES算法安全性
2.5公开密钥体制
2.6RSA算法
2.6.1RSA算法数学基础
2.6.2RSA算法基础
2.6.3RSA算法过程
2.6.4RSA算法安全性
2.7NTRU算法
2.7.1NTRU算法数学基础
2.7.2NTRU算法描述
2.7.3NTRU算法举例
2.8对称加密体制与公开密钥体制
比较
2.9信息隐藏技术
2.10数字水印
2.10.1数字水印的通用模型
2.10.2数字水印主要特性
2.10.3数字水印分类
2.10.4典型数字水印算法
2.10.5数字水印应用
2.10.6数字水印攻击
习题2
第3章数字签名与认证
3.1数字签名概述
3.1.1数字签名原理
3.1.2数字签名标准DSS
3.1.3PGP电子邮件加密
3.2单向散列函数
3.2.1单向散列函数特点
3.2.2MD5算法
3.2.3SHA算法
3.2.4SHA-1与MD5的
比较
3.3Kerberos身份验证
3.3.1什么是Kerberos
3.3.2Kerberos工作原理
3.4公开密钥基础设施PKI
3.4.1数字证书
3.4.2PKI基本组成
3.4.3对PKI的性能要求
3.4.4PKI的标准
3.5用户ID与口令机制
3.5.1用户认证ID
3.5.2不安全口令
3.5.3安全口令
3.5.4口令攻击
3.5.5改进方案
3.6生物特征识别技术
3.6.1生物特征识别系统
组成
3.6.2指纹识别
3.6.3虹膜识别
3.6.4其他生物识别技术
3.7智能卡
习题3
第4章计算机病毒与黑客
4.1计算机病毒概述
4.1.1计算机病毒的定义
4.1.2计算机病毒的特征
4.1.3计算机病毒的产生
原因
4.1.4计算机病毒的传播
途径
4.1.5计算机病毒的分类
4.1.6计算机病毒的表现
现象
4.1.7计算机病毒程序的一般
构成
4.2计算机病毒制作技术
4.3计算机杀毒软件制作技术
4.4蠕虫病毒分析
4.5特洛伊木马
4.5.1黑客程序与特洛伊
木马
4.5.2木马的基本原理
4.5.3特洛伊木马的启动
方式
4.5.4特洛伊木马端口
4.5.5特洛伊木马的隐藏
4.5.6特洛伊木马分类
4.5.7特洛伊木马查杀
4.6计算机病毒与黑客的防范
习题4
第5章网络攻击与防范
5.1网络安全漏洞
5.2目标探测
5.2.1目标探测的内容
5.2.2目标探测的方法
5.3扫描概念和原理
5.3.1扫描器概念
5.3.2常用端口扫描技术
5.3.3防止端口扫描
5.4网络监听
5.4.1网络监听原理
5.4.2网络监听检测与防范
5.4.3嗅探器Sniffer介绍
5.5缓冲区溢出
5.5.1缓冲区溢出原理
5.5.2缓冲区溢出攻击方法
5.5.3防范缓冲区溢出
5.6拒绝服务
5.6.1拒绝服务DoS
5.6.2分布式拒绝服务
DDoS
5.6.3DDoS攻击的步骤
5.6.4防范DDoS攻击的
策略
5.7欺骗攻击与防范
5.7.1IP欺骗攻击与防范
5.7.2IP地址盗用与防范
5.7.3DNS欺骗与防范
5.7.4Web欺骗与防范
5.8网络安全服务协议
5.8.1安全套接层协议SSL
5.8.2传输层安全协议TLS
5.8.3安全通道协议SSH
5.8.4安全电子交易SET
5.8.5网际协议安全IPSec
5.9无线网安全
5.9.1IEEE 802.11b安全
协议
5.9.2IEEE 802.11i安全
协议
5.9.3WAPI安全协议
5.9.4扩展频谱技术
习题5
第6章防火墙技术
6.1防火墙概述
6.1.1防火墙的概念
6.1.2防火墙的主要功能
6.1.3防火墙的基本类型
6.2防火墙的体系结构
6.2.1筛选路由器结构
6.2.2双宿主主机结构
6.2.3屏蔽主机网关结构
6.2.4屏蔽子网结构
6.3防火墙技术
6.3.1包过滤技术
6.3.2代理服务技术
6.3.3电路层网关技术
6.3.4状态检测技术
6.4分布式防火墙
6.4.1传统边界式防火墙
6.4.2分布式防火墙概述
6.4.3分布式防火墙组成
6.4.4分布式防火墙工作
原理
6.5防火墙安全策略
6.5.1防火墙服务访问策略
6.5.2防火墙设计策略
6.6Windows XP防火墙
6.7防火墙的选购
6.8个人防火墙程序设计介绍
习题6
第7章入侵检测技术
7.1入侵检测系统概述
7.2入侵检测一般步骤
7.3入侵检测系统分类
7.3.1根据系统所检测的对象
分类
7.3.2根据数据分析方法
分类
7.3.3根据体系结构分类
7.4入侵检测系统关键技术
7.5入侵检测系统模型介绍
7.5.1分布式入侵检测系统
7.5.2基于移动代理的入侵检
测系统
7.5.3智能入侵检测系统
7.6入侵检测系统标准化
7.6.1入侵检测工作组
IDWG
7.6.2通用入侵检测框架
CIDF
7.7入侵检测系统Snort
7.8入侵检测产品选购
习题7
第8章数字取证技术
8.1数字取证概述
8.2电子证据
8.2.1电子证据的概念
8.2.2电子证据的特点
8.2.3常见电子设备中的电子
证据
8.3数字取证原则和过程
8.3.1数字取证原则
8.3.2数字取证过程
8.4网络取证技术
8.4.1网络取证概述
8.4.2网络取证模型
8.4.3IDS取证技术
8.4.4蜜阱取证技术
8.4.5模糊专家系统取证
技术
8.4.6SVM取证技术
8.4.7恶意代码技术
8.5数字取证常用工具
习题8
第9章操作系统安全
9.1操作系统的安全性
9.1.1操作系统安全功能
9.1.2操作系统安全设计
9.1.3操作系统的安全配置
9.1.4操作系统的安全性
9.2Windows安全机制
9.2.1Windows安全机制
概述
9.2.2活动目录服务
9.2.3认证服务
9.2.4加密文件系统
9.2.5安全模板
9.2.6安全账号管理器
9.2.7其他方面
9.3Windows安全配置
9.4UNIX安全机制
9.5Linux安全机制
9.5.1PAM机制
9.5.2安全审计
9.5.3强制访问控制
9.5.4用户和文件配置
9.5.5网络配置
9.5.6Linux安全模块LSM
9.5.7加密文件系统
9.6Linux安全配置
习题9
第10章数据备份与恢复
10.1数据备份概述
10.2系统数据备份
10.2.1磁盘阵列RAID
技术
10.2.2系统还原卡
10.2.3克隆大师Ghost
10.2.4其他备份方法
10.3用户数据备份
10.3.1Second Copy 2000
10.3.2File Genie 2000
10.4网络数据备份
10.4.1网络备份系统
10.4.2DAS直接连接存储
10.4.3NAS网络连接存储
10.4.4SAN存储网络
10.4.5IP存储技术
10.4.6数据迁移技术
10.5数据恢复
10.5.1数据恢复概述
10.5.2硬盘数据恢复
10.5.3EasyRecovery
10.5.4FinalData
习题10
第11章软件保护技术
11.1软件保护技术概述
11.2静态分析技术
11.2.1文件类型分析
11.2.2W32Dasm
11.2.3IDA Pro简介
11.2.4可执行文件代码编辑
工具
11.2.5可执行文件资源编辑
工具
11.3动态分析技术
11.3.1SoftICE调试器
11.3.2OllyDbg调试器
11.4常用软件保护技术
11.4.1序列号保护机制
11.4.2警告(NAG)窗口
11.4.3时间限制
11.4.4时间段限制
11.4.5注册保护
11.4.6功能限制
11.4.7光盘软件保护
11.4.8软件狗
11.4.9软盘保护技术
11.4.10反跟踪技术
11.4.11网络软件保护
11.4.12补丁技术
11.5软件加壳与脱壳
11.5.1“壳”的概念
11.5.2“壳”的加载
11.5.3软件加壳工具介绍
11.5.4软件脱壳
11.6设计软件保护的建议
习题11
第12章实验指导
实验1加密与隐藏
实验2破解密码
实验3网络漏洞扫描
实验4“冰河”黑客工具
实验5网络监听工具Sniffer
实验6个人防火墙配置
实验7入侵检测软件设置
实验8Windows 2000/XP/2003
安全设置
实验9系统数据备份
实验10用户数据备份
实验11数据恢复
实验12软件静态分析
实验13资源编辑工具
实验14软件动态分析
总的来说就是围绕着信息网络攻防所设立的一个学科。类似的还有信息对抗之类的学科。
一、引言
微型计算机和局域网的广泛应用,基于client/server体系结构的分布式系统的出现,I
SDN,宽带ISDN的兴起,ATM技术的实施,卫星通信及全球信息网的建设,根本改变了以往主机
-终端型的网络应用模式;传统的、基于Mainframe的安全系统结构已不能适用于新的网络环
境,主要原因是:
(1)微型机及LAN的引入,使得网络结构成多样化,网络拓扑复杂化;
(2)远地工作站及远地LAN对Mainframe的多种形式的访问,使得网络的地理分布扩散化
;
(3)多种通讯协议的各通讯网互连起来,使得网络通信和管理异质化。
构作Micro-LAN-Mainframe网络环境安全体系结构的目标同其它应用环境中信息安全的
目标一致,即:
(1)存储并处理于计算机和通信系统中的信息的保密性;
(2)存储并处理于计算机和通信系统中的信息的完整性;
(3)存储并处理于计算机和通信系统中的信息的可用性;
(4)对信息保密性、完整性、拒绝服务侵害的监查和控制。
对这些安全目标的实现不是绝对的,在安全系统构作中,可因地制宜,进行适合于自身条
件的安全投入,实现相应的安全机制。但有一点是应该明确的,信息安全是国民经济信息化
必不可少的一环,只有安全的信息才是财富。
对于潜在的财产损失,保险公司通常是按以下公式衡量的:
潜在的财产损失=风险因素×可能的损失
这里打一个比方,将信息系统的安全威胁比作可能的财产损失,将系统固有的脆弱程度
比作潜在的财产损失,于是有:
系统的脆弱程度=处于威胁中的系统构件×安全威胁
此公式虽不能将系统安全性定量化,但可以作为分析信息安全机制的适用性和有效性的
出发点。
对计算机犯罪的统计表明,绝大多数是内部人员所为。由于在大多数Micro-LAN-Mainf
rame系统中,用户登录信息、用户身份证件及其它数据是以明文形式传输的,任何人通过连
接到主机的微型机都可秘密地窃取上述信息。图1给出了我们在这篇文章中进行安全性分析
的网络模型,其安全性攻击点多达20个。本文以下各部分将详细讨论对此模型的安全威胁及
安全对策。
@@14219700.GIF;图1.Micro-LAN-Mainframe网络模型@@
二、开放式系统安全概述
1.OSI安全体系结构
1989年2月15日,ISO7498-2标准的颁布,确立了OSI参考模型的信息安全体系结构,它对
构建具体网络环境的信息安全构架有重要的指导意义。其核心内容包括五大类安全服务以
及提供这些服务所需要的八类安全机制。图2所示的三维安全空间解释了这一体系结构。
@@14219701.GIF;ISO安全体系结构@@
其中,一种安全服务可以通过某种安全机制单独提供,也可以通过多种安全机制联合提
供;一种安全机制可用于提供一种或多种安全服务。
2.美军的国防信息系统安全计划DISSP
DISSP是美军迄今为止最庞大的信息系统安全计划。它将为美国防部所有的网络(话音
、数据、图形和视频图象、战略和战术)提供一个统一的、完全综合的多级安全策略和结构
,并负责管理该策略和结构的实现。图3所示的DISSP安全框架三维模型,全面描述了信息系
统的安全需求和结构。第一维由九类主要的安全特性外加两类操作特性组成,第二维是系统
组成部件,它涉及与安全需求有关的信息系统部件,并提供一种把安全特性映射到系统部件
的简化手段;第三维是OSI协议层外加扩展的两层,OSI模型是面向通信的,增加两层是为了适
应信息处理。
@@14219702.GIF;DISSP安全框架雏形@@
3.通信系统的安全策略
1节和2节较全面地描述了信息系统的安全需求和结构,具有相当的操作指导意义。但仅
有这些,对于构作一个应用于某组织的、具体的网络应用环境的安全框架或安全系统还是不
够的。
目前,计算机厂商在开发适用于企业范围信息安全的有效策略方面并没有走在前面,这
就意味着用户必须利用现有的控制技术开发并维护一个具有足够安全级别的分布式安全系
统。一个安全系统的构作涉及的因素很多,是一个庞大的系统工程。一个明晰的安全策略必
不可少,它的指导原则如下:
·对安全暴露点实施访问控制;
·保证非法操作对网络的数据完整性和可用性无法侵害;
·提供适当等级的、对传送数据的身份鉴别和完整性维护;
·确保硬件和线路的联接点的物理安全;
·对网络设备实施访问控制;
·控制对网络的配置;
·保持对网络设施的控制权;
·提供有准备的业务恢复。
一个通信系统的安全策略应主要包括以下几个方面的内容:
总纲;
适用领域界定;
安全威胁分析;
企业敏感信息界定;
安全管理、责任落实、职责分明;
安全控制基线;
网络操作系统;
信息安全:包括用户身份识别和认证、文件服务器控制、审计跟踪和安全侵害报告、数
据完整性及计算机病毒;
网络安全:包括通信控制、系统状态控制、拨号呼叫访问控制;
灾难恢复。
三、LAN安全
1.LAN安全威胁
1)LAN环境因素造成的安全威胁
LAN环境因素,主要是指LAN用户缺乏安全操作常识;LAN提供商的安全允诺不能全部兑现
。
2)LAN自身成员面临的安全威胁
LAN的每一组成部件都需要保护,包括服务器、工作站、工作站与LAN的联接部件、LAN
与LAN及外部世界的联接部件、线路及线路接续区等。
3)LAN运行时面临的安全威胁
(1)通信线路上的电磁信号辐射
(2)对通信介质的攻击,包括被动方式攻击(搭线窃听)和主动方式攻击(无线电仿冒)
(3)通过联接上网一个未经授权的工作站而进行的网络攻击。攻击的方式可能有:窃听
网上登录信息和数据;监视LAN上流量及与远程主机的会话,截获合法用户log off指令,继续
与主机会话;冒充一个主机LOC ON,从而窃取其他用户的ID和口令。
(4)在合法工作站上进行非法使用,如窃取其他用户的ID、口令或数据
(5)LAN与其他网络联接时,即使各成员网原能安全运行,联网之后,也可能发生互相侵害
的后果。
(6)网络病毒
4)工作站引发的安全威胁
(1)TSR和通信软件的滥用:在分布式应用中,用户一般在本地微机及主机拥有自己的数
据。将微机作为工作站,LAN或主机系统继承了其不安全性。TSR是用户事先加载,由规定事
件激活的程序。一个截获屏幕的TSR可用于窃取主机上的用户信息。这样的TSR还有许多。
某些通信软件将用户键入字符序列存为一个宏,以利于实现对主机的自动LOGON,这也是很危
险的。
(2)LAN诊断工具的滥用:LAN诊断工具本用于排除LAN故障,通过分析网上数据包来确定
线路噪声。由于LAN不对通信链路加密,故LAN诊断工具可用于窃取用户登录信息。
(3)病毒与微机通信:例如Jerusalem-B病毒可使一个由几千台运行3270仿真程序的微机
组成的网络瘫痪。
2 LAN安全措施
1)通信安全措施
(1)对抗电磁信号侦听:电缆加屏蔽层或用金属管道,使较常规电缆难以搭线窃听;使用
光纤消除电磁辐射;对敏感区域(如电话室、PBX所在地、服务器所在地)进行物理保护。
(2)对抗非法工作站的接入:最有效的方法是使用工作站ID,工作站网卡中存有标识自身
的唯一ID号,LAN操作系统在用户登录时能自动识别并进行认证。
(3)对抗对合法工作站的非法访问:主要通过访问控制机制,这种机制可以逻辑实现或物
理实现。
(4)对通信数据进行加密,包括链路加密和端端加密。
2)LAN安全管理
(1)一般控制原则,如对服务器访问只能通过控制台;工作站间不得自行联接;同一时刻
,一个用户只能登录一台工作站;禁止使用网上流量监视器;工作站自动挂起;会话清除;键盘
封锁;交易跟踪等。
(2)访问控制,如文件应受保护,文件应有多级访问权力;SERVER要求用户识别及认证等
。
(3)口令控制,规定最大长度和最小长度;字符多样化;建立及维护一个软字库,鉴别弱口
令字;经常更换口令等。
(4)数据加密:敏感信息应加密
(5)审计日志:应记录不成功的LOGIN企图,未授权的访问或操作企图,网络挂起,脱离联
接及其他规定的动作。应具备自动审计日志检查功能。审计文件应加密等。
(6)磁盘利用:公用目录应只读,并限制访问。
(7)数据备份:是LAN可用性的保证;
(8)物理安全:如限制通信访问的用户、数据、传输类型、日期和时间;通信线路上的数
据加密等。
四、PC工作站的安全
这里,以荷兰NMB银行的PC安全工作站为例,予以说明。在该系统中,PC机作为IBM SNA主
机系统的工作站。
1.PC机的安全局限
(1)用户易于携带、易于访问、易于更改其设置。
(2)MS-DOS或PC-DOS无访问控制功能
(3)硬件易受侵害;软件也易于携带、拷贝、注入、运行及损害。
2.PC安全工作站的目标
(1)保护硬件以对抗未授权的访问、非法篡改、破坏和窃取;
(2)保护软件和数据以对抗:未授权的访问、非法篡改、破坏和窃取、病毒侵害;
(3)网络通信和主机软硬件也应类似地予以保护;
3.安全型PC工作站的设计
(1)PC硬件的物理安全:一个的可行的方法是限制对PC的物理访问。在PC机的后面加一
个盒子,只有打开这个盒子才能建立所需要的联接。
(2)软件安全:Eracon PC加密卡提供透明的磁盘访问;此卡提供了4K字节的CMOS存储用
于存储密钥资料和进行密钥管理。其中一半的存储区对PC总线是只可写的,只有通过卡上数
据加密处理的密钥输入口才可读出。此卡同时提供了两个通信信道,其中一个支持同步通信
。具体的安全设计细节还有:
A、使用Clipcards提供的访问权授予和KEY存储(为脱机应用而设)、Clipcards读写器
接于加密卡的异步口。
B、对硬盘上全部数据加密,对不同性质的文件区分使用密钥。
C、用户LOGON时,强制进入与主机的安全监控器对话,以对该用户进行身份验证和权力
赋予;磁盘工作密钥从主机传送过来或从Clipcards上读取(OFFLINE);此LOGON外壳控制应用
环境和密钥交换。
D、SNA3270仿真器:利用Eracon加密卡实现与VTAM加解密设备功能一致的对数据帧的加
密。
E、主机安全监控器(SECCON):如果可能,将通过3270仿真器实现与PC安全监控程序的不
间断的会话;监控器之间的一套消息协议用于完成对系统的维护。
五、分布式工作站的安全
分布式系统的工作站较一般意义上的网络工作站功能更加全面,它不仅可以通过与网上
服务器及其他分布式工作站的通信以实现信息共享,而且其自身往往具备较强的数据存储和
处理能力。基于Client/Server体系结构的分布式系统的安全有其特殊性,表现如下:
(1)较主机系统而言,跨局域网和广域网,联接区域不断扩展的工作站环境更易受到侵害
;
(2)由于工作站是分布式的;往往分布于不同建筑、不同地区、甚至不同国家,使安全管
理变得更加复杂;
(3)工作站也是计算机犯罪的有力工具,由于它分布广泛,安全威胁无处不在;
(4)工作站环境往往与Internet及其他半公开的数据网互联,因而易受到更广泛的网络
攻击。
可见,分布式工作站环境的安全依赖于工作站和与之相联的网络的安全。它的安全系统
应不劣于主机系统,即包括用户的身份识别和认证;适当的访问控制;强健的审计机制等。除
此之外,分布式工作站环境还有其自身的特殊安全问题,如对网络服务器的认证,确保通信中
数据的保密性和完整性等。这些问题将在后面讨论。
六、通信中的信息安全
通过以上几部分的讨论,我们已将图1所示的网络组件(包括LAN、网络工作站、分布式
工作站、主机系统)逐一进行了剖析。下面,我们将就它们之间的联接安全进行讨论。
1.加密技术
结合OSI七层协议模型,不难理解加密机制是怎样用于网络的不同层次的。
(1)链路加密:作用于OSI数据模型的数据链路层,信息在每一条物理链路上进行加密和
解密。它的优点是独立于提供商,能保护网上控制信息;缺点是浪费设备,降低传输效率。
(2)端端加密:作用于OSI数据模型的第4到7层。其优点是花费少,效率高;缺点是依赖于
网络协议,安全性不是很高。
(3)应用加密:作用于OSI数据模型的第7层,独立于网络协议;其致命缺点是加密算法和
密钥驻留于应用层,易于失密。
2.拨号呼叫访问的安全
拨号呼叫安全设备主要有两类,open-ended设备和two-ended设备,前者只需要一台设备
,后者要求在线路两端各加一台。
(1)open-ended设备:主要有两类,端口保护设备(PPDs)和安全调制解调器。PPDs是处于
主机端口和拨号线路之间的前端通信处理器。其目的是隐去主机的身份,在将用户请求送至
主机自身的访问控制机制前,对该用户进行预认证。一些PPDs具有回叫功能,大部分PPDs提
供某种形式的攻击示警。安全调制解调器主要是回叫型的,大多数有内嵌口令,用户呼叫调
制解调器并且输入口令,调制解调器验证口令并拆线。调制解调器根据用户口令查到相应电
话号码,然后按此号码回叫用户。
(2)two-ended设备:包括口令令牌、终端认证设备、链路加密设备和消息认证设备。口
令令牌日益受到大家欢迎,因为它在认证线路另一端的用户时不需考虑用户的位置及网络的
联接类型。它比安全调制解调器更加安全,因为它允许用户移动,并且禁止前向呼叫。
口令令牌由两部分组成,运行于主机上与主机操作系统和大多数常用访问控制软件包接
口的软件,及类似于一个接卡箱运算器的硬件设备。此软件和硬件实现相同的密码算法。当
一个用户登录时,主机产生一个随机数给用户,用户将该随机数加密后将结果返回给主机;与
此同时,运行于主机上的软件也作同样的加密运算。主机将这两个结果进行对比,如果一致
,则准予登录。
终端认证设备是指将各个终端唯一编码,以利于主机识别的软件及硬件系统。只有带有
正确的网络接口卡(NIC)标识符的设备才允许登录。
链路加密设备提供用于指导线路的最高程度的安全保障。此类系统中,加密盒置于线路
的两端,这样可确保传送数据的可信性和完整性。唯一的加密密钥可用于终端认证。
消息认证设备用于保证传送消息的完整性。它们通常用于EFT等更加注重消息不被更改
的应用领域。一般采用基于DES的加密算法产生MAC码。
七、安全通信的控制
在第六部分中,我们就通信中采取的具体安全技术进行了较为详细的讨论。但很少涉及
安全通信的控制问题,如网络监控、安全审计、灾难恢复、密钥管理等。这里,我们将详细
讨论Micro-LAN-Mainframe网络环境中的用户身份认证、服务器认证及密钥管理技术。这三
个方面是紧密结合在一起的。
1.基于Smartcards的用户认证技术
用户身份认证是网络安全的一个重要方面,传统的基于口令的用户认证是十分脆弱的。
Smartcards是一类一话一密的认证工具,它的实现基于令牌技术。其基本思想是拥有两个一
致的、基于时间的加密算法,且这两个加密算法是同步的。当用户登录时,Smartcards和远
端系统同时对用户键入的某一个系统提示的数进行运算(这个数时刻变化),如果两边运行结
果相同,则证明用户是合法的。
在这一基本的Smartcards之上,还有一些变种,其实现原理是类似的。
2.kerboros用户认证及保密通信方案
对于分布式系统而言,使用Smartcards,就需要为每一个远地系统准备一个Smartcard,
这是十分繁琐的,MIT设计与开发的kerboros用户认证及保密通信方案实现了对用户的透明
,和对用户正在访问的网络类型的免疫。它同时还可用于节点间的保密通信及数据完整性的
校验。kerboros的核心是可信赖的第三方,即认证服务中心,它拥有每一个网络用户的数据
加密密钥,需要用户认证的网络服务经服务中心注册,且每一个此类服务持有与服务中心通
信的密钥。
对一个用户的认证分两步进行,第一步,kerboros认证工作站上的某用户;第二步,当该
用户要访问远地系统服务器时,kerboros起一个中介人的作用。
当用户首次登录时,工作站向服务器发一个请求,使用的密钥依据用户口令产生。服务
中心在验明用户身份后,产生一个ticket,所使用的密钥只适合于该ticket-granting服务。
此ticket包含用户名、用户IP地址、ticket-granting服务、当前时间、一个随机产生的密
钥等;服务中心然后将此ticket、会话密钥用用户密钥加密后传送给用户;用户将ticket解
密后,取出会话密钥。当用户想联接某网络服务器时,它首先向服务中心发一个请求,该请求
由两部分组成,用户先前收到的ticket和用户的身份、IP地址、联接服务器名及一个时间值
,此信息用第一次传回的会话密钥加密。服务中心对ticket解密后,使用其中的会话密钥对
用户请求信息解密。然后,服务中心向该用户提供一个可与它相联接的服务器通信的会话密
钥及一个ticket,该ticket用于与服务器通信。
kerboros方案基于私钥体制,认证服务中心可能成为网络瓶颈,同时认证过程及密钥管
理都十分复杂。
3.基于公钥体制的用户认证及保密通信方案
在ISO11568银行业密钥管理国际标准中,提出了一种基于公钥体制,依托密钥管理中心
而实现的密钥管理方案。该方案中,通信双方的会话密钥的传递由密钥管理中心完成,通信
双方的身份由中心予以公证。这样就造成了密钥管理中心的超负荷运转,使之成为网上瓶颈
,同时也有利于攻击者利用流量分析确定网络所在地。
一个改进的方案是基于公钥体制,依托密钥认证中心而实现的密钥管理方案。该方案中
,通信双方会话密钥的形成由双方通过交换密钥资料而自动完成,无须中心起中介作用,这样
就减轻了中心的负担,提高了效率。由于篇幅所限,这里不再展开讨论。
八、结论
计算机网络技术的迅速发展要求相应的网络安全保障,一个信息系统安全体系结构的确
立有助于安全型信息系统的建设,一个具体的安全系统的建设是一项系统工程,一个明晰的
安全策略对于安全系统的建设至关重要,Micro-LAN-Mainframe网络环境的信息安全是相对
的,但其丰富的安全技术内涵是值得我们学习和借鉴的。
一、实验目的
理解物流管理信息系统的组成和结构,物流管理信息系统的分类,物流管理信息系统的功能,物流管理信息系统的应用。
二、实验内容
能通过因特网查询物流管理信息系统的应用介绍文档;查询物流管理信息系统在某企业或组织应用的案例。
(1)分析物流管理信息系统应用文档的组成;
(2)分析所调查的物流管理信息系统案例的功能特点;
(3)能对所调查的物流管理信息系统案例的应用进行分类;
(4)分析所调查的物流管理信息系统案例所采用的技术;
(5)总结并阐述你对物流管理信息系统的理解;
(6)结合自己的生活学习实际,拟定一个物流管理信息系统应用项目。
三、操作步骤
我调查了“我的图书馆——ILAS 网 上 图 书 馆”这个“图书馆图书管理信息系统”在我校——《武汉科技学院》里的应用案例。
(1)通过因特网查询以及学习,知道管理信息系统的应用介绍文档如下:
在分析阶段有《系统分析报告》;
在系统设计阶段有《系统设计报告》,它包括以下八份文档材料《系统总体结构图》,《系统设备配置图》,《系统分类编码方案》,《数据库结构图》,《I/O设计方案》,《层次化模式块结构图说明书》,《系统的安全设计方案》,《系统详细设计方案说明书》;
(2) 该系统的功能特点是:
学生通过该系统可以借还书,注册登录,在线提问,查询已借图书信息,图书查询,查看新书通报,修改个人资料,财金查询等;
学校通过该系统可以注册新书进数据库(自动显示在网站的“新书通报”中),注销旧书,图书的分类管理;在图书馆网站上:更新维护网站,发布公告,网上读者留言解答;以管理员身份登入后台,注册、删除用户,记录借出、归还图书信息,图书过期、丢失索赔操作等。
(3) 该系统应用分类为:
①学校——注册新书进数据库;注销旧书;图书的分类管理;在图书馆网站上:更新维护网站,发布公告,网上读者留言解答;以管理员身份登入后台,注册、删除用户,记录借出、归还图书信息,图书过期、丢失索赔操作等;
②学生——借还书,注册登录,在线提问,查询已借图书信息,图书查询,查看新书通报,修改个人资料,财金查询等;
(4)该系统 所采用的技术是以 ASP.NET 技术开发B\S结构的管理信息系统
(5) 我对管理信息系统的理解:
管理信息系统能将组织中的数据和信息集中起来,进行快速处理,统一使用,能够支持决策。
(6) 通过对管理信息系统的学习,我想通过参与做一个了解的系统来加深对知识的学习,充分体会它在实际中的应用,所以拟定一个这样的项目——图书馆图书管理信息系统
四、实验收获和建议
通过本次实验,不仅对书本上的知识有了更加深刻的理解,还了解了管理信息系统在实际生活中的应用.
web应用安全不是到最后才进行的。在前期方案设计阶段就需要介入,贯穿软件系统的整个生命周期。在测试阶段进行的安全检测包括sql注入、跨站脚本、越权访问、敏感数据是否加密等,内容相当多。可使用自动化漏洞扫描工具结合人工的方式。信息安全等级较高的企业有自己的信息安全团队,比如银行。信息安全等级一般的企业为了节约成本,采用外包或众包的方式。启明星辰、360、乌云、漏洞盒子这些可以看看。
关于信息系统安全实验和的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息,记得收藏关注本站。
版权声明:本文内容由互联网用户自发贡献,本站不拥有所有权,不承担相关法律责任。如果发现本站有涉嫌抄袭的内容,欢迎发送邮件至举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。
标签: #信息系统安全实验
相关文章
