安全概述(第一课)要点.ppt

认证过程 CA通过使用自己的私钥，对证书主体的公钥或对公钥的哈希值进行加密，从而对证书签名。 CA必须对每个证书主体的公钥进行确认，因此用户必须信任CA的公钥。通常，每个CA只是证书授权等级的一个组成部分。 证书授权等级由一系列的证书授权机构组成，位于等级最上面的是“根证书授权机构”，即因特网策略注册授权机构（IPRA）。IPRA利用根密钥进行签名认证。 认证过程 根密钥只负责对那些策略创建机构的证书进行签名，这些中心负责指定获取数字签名的政策。接下来，各个策略创建授权机构又负责对各个CA的数字证书进行签名。然后CA又对各个公司和个人的数字证书签名。 CA的职责是认证用户的身份，因此在发布任何一个数字证书之前，CA都必须仔细检查相关信息。 假设由于个人的失误，VeriSign将两个数字证书发送给一个冒充的第三方。这一失误的后果是明显的：发送不当的证书会导致用户将恶意代码下载到自己的机器中。 我是IPRA，我只认证“策略授权机构” 认证 我是策略授权机构, 我只认证CA 认证 我是CA，我负责认证各公司，发布数字证书 发布证书 终于得到数字证书了，这就是我的“身份证”啊 。 关于CA(数字证书授权机构) VeriSign公司是一个领先的证书授权机构，关于它的更多信息，大家可以察看相关的网站： 申请数字证书需要一定的费用 维护密码 定期更换密码对维护系统的安全性是很重要的和必要的。密码对的使用时间越长，就越容易受到攻击或者破译。因此数据证书通常都具有一个有效期，以便强制用户更换密码对。 如果密钥被泄漏，则取消原有的数字证书，用户必须使用新的密钥获取一个新的数字证书。 取消和废除的数字证书将放到证书撤销清单(CRL)中。CRL通常由发布证书的证书授权机构负责保存 注意 如果用户怀疑自己的私钥可能泄漏了，那么一定要马上向证书授权机构报告，这是因为反否认机制使得证书所有者必须负责由它们数字签名的所有文档。 在相关的法律中规定：合法的数字证书将约束证书的所有者对在认证期间内发生的所有事务负责 安全概述 简介 电子商务和电子贸易的迅猛发展，使得因特网以及网络的安全问题越来越受到关注。 如何解决网络安全问题是我们这门课程给大家探讨的主要内容。 课程整体内容简介 计算机网络安全概述 网络操作系统安全 计算机网络实体安全 数据库安全 数据加密 防火墙 计算机病毒及防治 安全检测及响应 Internet安全 安全是一个过程，而不是静止产品 为机构提供信息的保护，不能依赖于一种类型的安全方案，同样也不能依赖于一种产品提供计算机和网络系统所需要的全部安全性。 遗憾的是一些厂商（出于销售其产品）暗示单一产品可能做到绝对安全。 下面将给大家介绍完整的安全过程涉及的各个方面。 防病毒软件 防病毒软件是良好的安全计划的组成部分。如果实施和配置合理，就可以减少机构遭受程序攻击的机会。 不过，防病毒软件只能保护机构不受恶意程序的破坏。它并不能解决伪装成合法用户的破坏问题。 同样，防病毒软件也不能保护所有的文件只被该访问它的人访问。 访问控制 机构中的每一种计算机都该具有权限认证的能力，以便判读此用户是否有权力访问相关的文件。 访问控制能很好的限制用户的权限，但是不能阻止用户进行权限的升级——比如，通过破解管理员密码，对自己的权限进行升级。 防火墙 防火墙是网络的访问控制设备，它可以帮助保护机构的内部网络不受外部的攻击。就其本质而言，防火墙是边界安全产品，这意味着它存在于内部网络和外部网络的边界。 防火墙目前已经成为一种必不可少的安全产品。 不过防火墙不会阻止攻击者使用一个允许的连接进行攻击。 简单的说：防火墙防外不防内。 智能卡 智能卡可以用于认证，并且可以降低其他人猜出密码的风险。 智能卡认证目前已经被广泛使用。 但是，智能卡不能防止对系统漏洞进行攻击。 生物统计学系统 生物统计学是另一种认证机制（使用自身具备的器官），可以降低其他人猜出密码的风险。目前有多种类型的生物统计扫描仪用于验证： 指纹 视网膜 语音 生物统计学方法还存在一定的问题，比如很多人并不愿意进行视网膜扫描（有一定的痛苦感觉）。 入侵检测 入侵检测系统是一种重要的安全解决方案。能在一定程度上阻止正在实施的攻击行为。 能够对非法访问进行自动报警，是一种重要的预警机制。 但是，入侵检测系统可能误报和漏报。 策略管理 策略和过程是优秀的安全程序的重要组成部分。 有了策略管理系统，机构就可以掌握违反机构安全策略的动作。 但是策略管理不能解决密钥的管理问题——比如有人泄露了密钥给其它人。 薄弱点扫描 薄弱点扫描会帮助机构找出入侵者潜在的攻击点。 不过薄弱点扫描本身不会保护计算机系统。必须在找出薄弱点之后采取相应的安全措施。 加密 加密是通信安全的主要机制，它可以保护传输的信息。 后面的内容中，我们将简单