信息安全技術(shù)導(dǎo)論cha(2).ppt

信息安全技術(shù)導(dǎo)論 本課所需前序課程 本書(shū)是計(jì)算機(jī) 通信及信息管理等專業(yè)高年級(jí)本科生和研究生教材 需要學(xué)習(xí)的前序課程是高等數(shù)學(xué) 近世代數(shù) 計(jì)算機(jī)網(wǎng)絡(luò)和操作系統(tǒng) 這些課程與本課的關(guān)系如下圖所示 教學(xué)參考書(shū) 張煥國(guó)等譯 密碼編碼學(xué)與網(wǎng)絡(luò)安全 原理與實(shí)踐 第三版 電子工業(yè)出版社 2001 4馮登國(guó) 網(wǎng)絡(luò)安全原理與技術(shù) 科學(xué)出版社 2003 9王立斌 黃征等譯 計(jì)算機(jī)安全學(xué) 安全的藝術(shù)與科學(xué) 電子工業(yè)出版社 2006 1 第一章網(wǎng)絡(luò)安全緒論1 信息安全現(xiàn)狀安全威脅安全策略安全技術(shù)安全標(biāo)準(zhǔn)網(wǎng)絡(luò)信息安全發(fā)展趨勢(shì)展望 計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展歷程 用戶規(guī)模 主要應(yīng)用 成熟期 大型機(jī) Internet用戶數(shù) 百萬(wàn) Internet商業(yè)應(yīng)用快速增長(zhǎng) 億美元 網(wǎng)絡(luò)安全問(wèn)題日益突出 典型應(yīng)用環(huán)境的完全威脅與安全需求 第一章網(wǎng)絡(luò)安全緒論2 信息安全現(xiàn)狀安全威脅安全策略安全技術(shù)安全標(biāo)準(zhǔn)網(wǎng)絡(luò)信息安全發(fā)展趨勢(shì)展望 常見(jiàn)的安全威脅 網(wǎng)絡(luò) 內(nèi)部 外部洩密 拒絕服務(wù)攻擊 特洛伊木馬 黑客攻擊 病毒 蠕蟲(chóng) 系統(tǒng)漏洞 潛信道 第一章網(wǎng)絡(luò)安全緒論3 信息安全現(xiàn)狀安全威脅安全策略安全技術(shù)安全標(biāo)準(zhǔn)網(wǎng)絡(luò)信息安全發(fā)展趨勢(shì)展望 安全策略 安全策略是針對(duì)網(wǎng)絡(luò)和信息系統(tǒng)的安全需要 所做出允許什么 禁止什么的規(guī)定 通?？梢允褂脭?shù)學(xué)方式來(lái)表達(dá)策略 將其表示為允許 安全 或不允許 不安全 的狀態(tài)列表 安全策略分類 物理安全策略訪問(wèn)控制策略信息加密策略安全管理策略 第一章網(wǎng)絡(luò)安全緒論4 信息安全現(xiàn)狀安全威脅安全策略安全技術(shù)安全標(biāo)準(zhǔn)網(wǎng)絡(luò)信息安全發(fā)展趨勢(shì)展望 訪問(wèn)控制技術(shù)包括入網(wǎng)訪問(wèn)控制 網(wǎng)絡(luò)權(quán)限控制 目錄級(jí)安全控制和屬性安全控制等多種手段 訪問(wèn)控制技術(shù) 防火墻技術(shù) 網(wǎng)絡(luò)入侵檢測(cè)技術(shù) 漏洞掃描技術(shù)安全審計(jì)技術(shù)現(xiàn)代密碼技術(shù)安全協(xié)議公鑰基礎(chǔ)設(shè)施 PKI 其他安全技術(shù) 如容災(zāi) 備份 第一章網(wǎng)絡(luò)安全緒論5 信息安全現(xiàn)狀安全威脅安全策略安全技術(shù)安全標(biāo)準(zhǔn)網(wǎng)絡(luò)信息安全發(fā)展趨勢(shì)展望 國(guó)際標(biāo)準(zhǔn)組織 國(guó)際標(biāo)準(zhǔn)化組織 ISO InternationalOrganizationStandardization 國(guó)際電報(bào)和電話咨詢委員會(huì) CCITT 國(guó)際信息處理聯(lián)合會(huì)第十一技術(shù)委員會(huì) IFIPTC11 電氣與電子工程師學(xué)會(huì) IEEE Internet體系結(jié)構(gòu)委員會(huì) IAB 美國(guó)國(guó)家標(biāo)準(zhǔn)局 NBS 與美國(guó)商業(yè)部國(guó)家技術(shù)標(biāo)準(zhǔn)研究所 NIST 美國(guó)國(guó)家標(biāo)準(zhǔn)協(xié)會(huì) ANSI 美國(guó)國(guó)防部 DoD 及國(guó)家計(jì)算機(jī)安全中心 NCSC 國(guó)際可信任計(jì)算機(jī)評(píng)估標(biāo)準(zhǔn) 20世紀(jì)70年代 美國(guó)國(guó)防部制定 可信計(jì)算機(jī)系統(tǒng)安全評(píng)價(jià)準(zhǔn)則 TCSEC 為安全信息系統(tǒng)體系結(jié)構(gòu)最早準(zhǔn)則 只考慮保密性 20世紀(jì)90年代 英 法 德 荷提出包括保密性 完整性 可用性概念的 信息技術(shù)安全評(píng)價(jià)準(zhǔn)則 ITSEC 但未給出綜合解決以上問(wèn)題的理論模型和方案 近年 六國(guó) 美 加 英 法 德 荷 共同提出 信息技術(shù)安全評(píng)價(jià)通用準(zhǔn)則 CCforITSEC TCSEC安全級(jí)別 我國(guó)可信任計(jì)算機(jī)評(píng)估標(biāo)準(zhǔn) 第一級(jí)用戶自主保護(hù)級(jí) 使用戶具備自主安全保護(hù)的能力 保護(hù)用戶信息免受非法的讀寫(xiě)破壞 第二級(jí)系統(tǒng)審計(jì)保護(hù)級(jí) 除前一個(gè)級(jí)別的安全功能外 要求創(chuàng)建維護(hù)訪問(wèn)的審計(jì)跟蹤記錄 使所有用戶對(duì)自己的行為合法性負(fù)責(zé) 第三級(jí)安全標(biāo)記保護(hù)級(jí) 除前一個(gè)級(jí)別的安全功能外 要求以訪問(wèn)對(duì)象標(biāo)記的安全級(jí)別限制訪問(wèn)者的訪問(wèn)權(quán)限 實(shí)現(xiàn)對(duì)訪問(wèn)對(duì)象強(qiáng)制保護(hù) 第四級(jí)結(jié)構(gòu)化保護(hù)級(jí) 除前一個(gè)級(jí)別的安全功能外 將安全保護(hù)機(jī)制劃分為關(guān)鍵部分和非關(guān)鍵部分 對(duì)關(guān)鍵部分直接控制訪問(wèn)者對(duì)訪問(wèn)對(duì)象的存取 從而加強(qiáng)系統(tǒng)的抗?jié)B透能力 第五級(jí)訪問(wèn)驗(yàn)證保護(hù)級(jí) 特別增設(shè)了訪問(wèn)驗(yàn)證功能 負(fù)責(zé)仲裁訪問(wèn)者對(duì)訪問(wèn)對(duì)象的所有訪問(wèn)活動(dòng) OSI模型定義的安全服務(wù) 第一章網(wǎng)絡(luò)安全緒論6 信息安全現(xiàn)狀安全威脅安全策略安全技術(shù)安全標(biāo)準(zhǔn)網(wǎng)絡(luò)信息安全發(fā)展趨勢(shì)展望 我國(guó)網(wǎng)絡(luò)安全研究現(xiàn)狀 我國(guó)信息化建設(shè)基礎(chǔ)設(shè)備依靠國(guó)外引進(jìn) 信息安全防護(hù)能力只是處于相對(duì)安全階段 無(wú)法做到自主性安全防護(hù)和有效監(jiān)控 核心芯片 系統(tǒng)內(nèi)核程序源碼 大型應(yīng)用系統(tǒng) 信息安全學(xué)科的基礎(chǔ)性研究工作 信息安全評(píng)估方法學(xué)的研究尚處于跟蹤學(xué)習(xí)研究階段 國(guó)內(nèi)開(kāi)發(fā)研制的一些防火墻 安全路由器 安全網(wǎng)關(guān) 黑客 入侵檢測(cè) 系統(tǒng)弱點(diǎn)掃描軟件等在完善性 規(guī)范性 實(shí)用性方面還存許多不足 特別是在多平臺(tái)的兼容性 多協(xié)議的適應(yīng)性 多接口的滿足性方面存在很大差距 我國(guó)網(wǎng)絡(luò)安全研究現(xiàn)狀 制定了國(guó)家 行業(yè)信息安全管理的政策 法律 法規(guī) 按照國(guó)家通用準(zhǔn)則建立了代表國(guó)家對(duì)信息安全產(chǎn)品 信息技術(shù)和信息系統(tǒng)安全性以及信息安全服務(wù)實(shí)施公正性評(píng)測(cè)的技術(shù)職能機(jī)構(gòu) 中國(guó)國(guó)家信息安全測(cè)評(píng)認(rèn)證中心和行業(yè)中心 建立了支撐網(wǎng)絡(luò)信息安全研究的國(guó)家重點(diǎn)實(shí)驗(yàn)室和部門實(shí)驗(yàn)室 各種學(xué)術(shù)會(huì)議相繼召開(kāi) 已出版許多專著 論文 在有關(guān)高等院校已建立了向關(guān)系所 開(kāi)設(shè)了相關(guān)課程 并開(kāi)始培養(yǎng)自己的碩士 博士研究生 附 常見(jiàn)的網(wǎng)絡(luò)安全協(xié)議 PKCS Public keyCryptographyStandards 由美國(guó)RSA數(shù)據(jù)安全公司RSA實(shí)驗(yàn)室在apple Microsoft DEC Lotus Sun 和MIT等機(jī)構(gòu)非正式的咨詢合作下開(kāi)發(fā)的有關(guān)公開(kāi)密鑰密碼的標(biāo)準(zhǔn) SSL SecureSocketLayerHandshakeProtocol SSL協(xié)議是Netscape公司開(kāi)發(fā)的用于WWW上的會(huì)話層安全協(xié)議 它保護(hù)傳遞于用戶瀏覽器和Web服務(wù)器之間的敏感數(shù)據(jù) 通過(guò)超文本傳輸協(xié)議 HTTP 或安全的超文本協(xié)議 S HTTP 把密碼應(yīng)用于超文本環(huán)境中 從而提供多種安全服務(wù) 附 常見(jiàn)的網(wǎng)絡(luò)安全協(xié)議 S HTTP SecureHypertextTransferProtocol S HTTP是EnterpriseIntegrationTechnologies最初開(kāi)發(fā) 進(jìn)一步開(kāi)發(fā)于Terisa系統(tǒng)的安全協(xié)議 它基于WWW 提供保密 鑒別或認(rèn)證 完整性和不可否認(rèn)等服務(wù) 保證在Web上交換的媒體文本的安全 PTC PrivateCommunicationTechnologyProtocol PTC是Microsoft和Visa開(kāi)發(fā)的在Internet上保密通信的協(xié)議 與SSL類似 其不同點(diǎn)是在客戶和服務(wù)器之間包含了幾個(gè)短的報(bào)文數(shù)據(jù) 鑒別和加密使用不同的密鑰 并且提供了某種防火墻的功能 附 常見(jiàn)的網(wǎng)絡(luò)安全協(xié)議 S WAN SecureWideAreaNetwork S WAN設(shè)計(jì)基于IP層的安全協(xié)議 可以在IP層提供加密 保證防火墻和TCP IP產(chǎn)品的互操作 以便構(gòu)作虛擬專網(wǎng) VPN SET secureElectronicTransaction SET是Visa MasterCard合作開(kāi)發(fā)的用于開(kāi)放網(wǎng)絡(luò)進(jìn)行電子支付的安全協(xié)議 用于保護(hù)商店和銀行之間的支付信息 S MIME Secure MultipurposeInternetMailExtension S MIME是用于多目的的電子郵件安全的報(bào)文安全協(xié)議 和報(bào)文安全協(xié)議 MSP 郵件隱私增強(qiáng)協(xié)議 PEM MIME對(duì)象安全服務(wù)協(xié)議 MOSS 及PGP協(xié)議的目的一樣都是針對(duì)增強(qiáng)Internet電子郵件的安全性 附 常用的安全工具 防火墻入侵檢測(cè)工具snort端口掃描工具nmap系統(tǒng)工具netstat lsof網(wǎng)絡(luò)嗅探器tcpdump sniffer綜合工具X Sca