網(wǎng)絡(luò)與信息安全概述-精品課程建設(shè)平臺幻燈片課件

1、網(wǎng)絡(luò)與信息安全概述,北京科技大學 信息學院 陳紅松 副教授,1 課程內(nèi)容及使用的教材 2 網(wǎng)絡(luò)與信息安全的嚴峻形勢 3 網(wǎng)絡(luò)與信息系統(tǒng)的安全體系 4 開放系統(tǒng)互連(OSI)安全體系結(jié)構(gòu) 5 Internet安全體系 6 網(wǎng)絡(luò)與信息安全產(chǎn)品介紹,課程內(nèi)容,網(wǎng)絡(luò)與信息安全概述 黑客攻擊與風險分析 身份認證及Kerberos協(xié)議 Ipsec安全協(xié)議 SSL安全協(xié)議 防火墻技術(shù) VPN技術(shù) 入侵檢測技術(shù) SNMP網(wǎng)絡(luò)安全管理 網(wǎng)絡(luò)安全評估與管理 可信計算 信息安全法律法規(guī),參考教材,網(wǎng)絡(luò)安全 作者:胡道元 出 版 社:清華大學出版社 出版時間:2004.7 網(wǎng)絡(luò)安全完全手冊 出 版 社:電子工業(yè)出版社

2、 出版時間:2005.10,網(wǎng)絡(luò)信息安全前沿專題討論 (15%) 開卷考試 占85%,2 信息安全的嚴峻形勢,2006年6月13日，據(jù)微軟公布的安全報告顯示，在2005年1月至2006年3月期間，60左右的Windows PC機都感染過惡意代碼。 據(jù)稱，美國正在進行的CPU“陷阱”設(shè)計，可使美國通過互聯(lián)網(wǎng)發(fā)布指令讓敵方電腦的CPU停止工作 。,1998年，為了獲得在洛杉磯地區(qū)kiss-fm電臺第102個呼入者的獎勵保時捷跑車，Kevin Poulsen控制了整個地區(qū)的電話系統(tǒng)，以確保他是第102個呼入者。 最終，他如愿以償獲得跑車并為此入獄三年。,2000年1月，日本政府11個省、廳受到黑客攻

3、擊?？倓?wù)廳的統(tǒng)計信息全部被刪除；外務(wù)省主頁3分鐘受攻擊1000余次；日本最高法院主頁2天內(nèi)受攻擊3000余次。日本政府成立反黑特別委員會，撥款24億日元研究入侵檢測技術(shù)、追蹤技術(shù)、病毒技術(shù)和密碼技術(shù)。 2000年2月，美國近十家著名的互聯(lián)網(wǎng)站遭受黑客攻擊，在短短的幾天內(nèi)，使互聯(lián)網(wǎng)的效率降低20，據(jù)估算，攻擊造成的損失達到12億美元以上，引起股市動蕩。,2001年2月8日，新浪網(wǎng)遭受大規(guī)模網(wǎng)絡(luò)攻擊，電子郵件服務(wù)器癱瘓了18個小時。造成了幾百萬的用戶無法正常使用新浪網(wǎng)。 2006年9月13日，百度承認遭受“大規(guī)模的不明身份黑客攻擊”，導致百度搜索服務(wù)在全國各地出現(xiàn)了近30分鐘的故障，并認為這是有人

4、精心組織策劃的行動，并已經(jīng)向公安機關(guān)報案。,熊貓病毒”是2006年中國十大病毒之首。它通過多種方式進行傳播，并將感染的所有程序文件改成熊貓舉著三根香的模樣，同時該病毒還具有盜取用戶游戲賬號、QQ賬號等功能 . 熊貓燒香”是一種蠕蟲病毒的變種，而且是經(jīng)過多次變種而來的,原名為尼姆亞變種W(Worm.Nimaya.w)。,外交部駁斥我軍方攻擊美國防部網(wǎng)絡(luò)傳言,外交部發(fā)言人姜瑜在北京表示，最近有關(guān)中國軍方對美國國防部實施網(wǎng)絡(luò)攻擊的指責是毫無根據(jù)的。 “中國政府一貫堅決反對和依法嚴厲打擊包括黑客行為在內(nèi)的任何破壞網(wǎng)絡(luò)的犯罪行為。在中美致力于發(fā)展建設(shè)性合作關(guān)系，中美兩軍關(guān)系呈現(xiàn)出良好發(fā)展勢頭的大背景下，

5、有人對中國進行無端指責，妄稱中國軍方對美國國防部實施網(wǎng)絡(luò)攻擊，這是毫無根據(jù)的，也是冷戰(zhàn)思維的體現(xiàn)?！苯ぴ诶杏浾邥洗鹩浾邌?。 “我們認為黑客是一個國際性的問題，中方也經(jīng)常遭到黑客的襲擊。中方愿與其他國家一道，采取措施共同打擊網(wǎng)絡(luò)犯罪。在這方面，我們愿意加強國際合作?！?IBM研究稱黑客攻擊速度加快,據(jù)IBM最新發(fā)表的一份報告稱，越來越多的攻擊在缺陷披露24小時內(nèi)就出現(xiàn)在了互聯(lián)網(wǎng)上，這意味著，許多用戶還沒有來得及了解相關(guān)問題前就可能已經(jīng)受到了攻擊。 IBM在報告中談到了互聯(lián)網(wǎng)威脅方面兩個日益明顯的趨勢。其一，互聯(lián)網(wǎng)犯罪分子依賴軟件工具，幫助他們利用公開披露的缺陷自動發(fā)動攻擊。過去，犯罪分子自

6、己發(fā)現(xiàn)安全缺陷需要更長的時間。IBM一名高管克里斯蘭姆（Kris Lamb）在接受采訪時說，積極地尋找軟件中缺陷的并非是犯罪分子本人，犯罪分子充分利用了安全研究社區(qū)的成果，他們所需要做的就是利用所獲得的信息發(fā)動攻擊。 其二，安全研究人員就應(yīng)當在多大程度上公開披露安全缺陷資料的爭論愈演愈烈了。大多數(shù)情況下安全研究人員會等待相關(guān)廠商發(fā)布補丁軟件后才會公開披露安全缺陷的詳細資料。但有時安全研究人員在公開安全缺陷詳細資料的同時也會發(fā)布所謂的“概念驗證”代碼，以證明安全缺陷確實是存在的。這就可能向犯罪分子提供他們所需要的幫助，縮短他們發(fā)動攻擊所需要的時間。,根據(jù)國外一安全軟件廠商公布的一項調(diào)查結(jié)果顯示，

7、計算機犯罪分子開始傾向于通過合法的網(wǎng)站來傳播病毒和惡意軟件，這些網(wǎng)站既包括社交網(wǎng)站，也包括人們通常使用的搜索引擎網(wǎng)站。 根據(jù)Websense公司的一項調(diào)查顯示，在2008年上半年大約有75%的網(wǎng)站包含有惡意內(nèi)容，這些網(wǎng)站一般都擁有良好的信譽度，而在此之前的6個月中，感染惡意代碼的網(wǎng)站只有50%. 在全球100強網(wǎng)站中大約有60%或者頁面含有病毒，或者將用戶引導向惡意網(wǎng)站。 Websense表示，計算機犯罪分子正在將目標瞄向一些流行的大眾網(wǎng)站，而不是自己建立一個網(wǎng)站，因為前者具有大量的訪問用戶作為其攻擊對象。 一旦用戶訪問了被感染的網(wǎng)頁，黑客們就有機會訪問他們的個人信息或者利用他們的計算機作為“

8、僵尸”來進行更廣范圍的攻擊。 黑客們還可以在被攻擊者的計算機上安裝間諜軟件，從而跟蹤用戶的每一個操作。 Websense的安全研究還發(fā)現(xiàn)，在過去6個月以來，76.5%以上的郵件都包含惡意網(wǎng)站的鏈接或垃圾郵件發(fā)送網(wǎng)站等，該數(shù)據(jù)上升了18%. Websense 安全實驗室通過ThreatSeeker技術(shù)來發(fā)現(xiàn)、分類并監(jiān)測全球范圍內(nèi)的互聯(lián)網(wǎng)威脅狀況和發(fā)展動態(tài)。安全研究人員利用該系統(tǒng)的互聯(lián)網(wǎng)安全智能技術(shù)來發(fā)布安全形勢，同時保障用戶的安全，該技術(shù)包含5000萬個實時數(shù)據(jù)收集系統(tǒng)，每天可對10億條內(nèi)容進行深入分析。,黑客襲擊一市商務(wù)局網(wǎng)站 局長變成三點女郎,從荊州市荊州區(qū)法院獲悉：荊州市商務(wù)局網(wǎng)站“被黑”

9、案一審判決：襲擊荊州市商務(wù)局網(wǎng)站，將局長照片換成“三點式”女郎、將“局長致辭”改為“慶賀女友生日”的張志東被判處有期徒刑1年半。 法院審理查明，2008年12月4日，張志東下載了黑客軟件，在掃描到荊州市商務(wù)局網(wǎng)站存在漏洞后，獲取了該網(wǎng)站的管理員賬號和密碼。 他登入管理員后臺，將“局長致辭”修改為“為女友祝賀生日”，將“局長照片”換成一張 “三點式”女郎圖片。 截至案發(fā)時，這兩條信息的點擊量分別達4036次和5617次，該網(wǎng)站一時間流量大增，服務(wù)器被迫關(guān)閉。此事影響了荊州市商務(wù)局的形象，并造成了一定的損失。 法院審理認為，張志東的行為已構(gòu)成破壞計算機信息系統(tǒng)罪，但是他能夠投案自首，認罪態(tài)度較好，

10、且系初犯，可酌情從輕處罰，遂一審作出上述判決。,威脅計算機系統(tǒng)安全的幾種形式,攻擊復(fù)雜程度與入侵技術(shù)進步示意圖,弱點傳播及其利用變化圖,多維角度網(wǎng)絡(luò)攻擊分類,美國國防部授權(quán)美國航天司令部負責美軍計算機網(wǎng)絡(luò)攻防計劃，成立網(wǎng)絡(luò)防護“聯(lián)合特遣部隊”，規(guī)劃“國防部信息對抗環(huán)境(InfoCon)，監(jiān)視有組織和無組織的網(wǎng)絡(luò)安全威脅，創(chuàng)建整個國防部實施網(wǎng)絡(luò)攻防戰(zhàn)的標準模型，訓練計算機操作人員。 2002年1月15日，Bill.Gates在致微軟全體員工的一封信中稱，公司未來的工作重點將從致力于產(chǎn)品的功能和特性轉(zhuǎn)移為側(cè)重解決安全問題，并進而提出了微軟公司的新“可信計算”(Trustworthy computi

11、ng)戰(zhàn)略 .,據(jù)美國華盛頓觀察周刊報道，曾經(jīng)被政府追捕的黑客們，一時間在美國成了就業(yè)場上炙手可熱的人才。美軍戰(zhàn)略司令部司令凱文希爾頓將軍(Gen. Kevin P. Chilton)近日公開承認，戰(zhàn)略司令部正在征召2000-4000名“士兵”，組建一支“特種部隊”。這支特種部隊不僅要承擔網(wǎng)絡(luò)防御的任務(wù)，還將對它國的電腦網(wǎng)絡(luò)和電子系統(tǒng)進行秘密攻擊。 目前，兩個不同的網(wǎng)絡(luò)戰(zhàn)中心在美軍戰(zhàn)略司令部管轄下運行。一個是全球網(wǎng)絡(luò)聯(lián)合部隊(Joint Task Force-Global Network Operations)，主要負責保護五角大樓在美國本土和全球范圍內(nèi)的網(wǎng)絡(luò)系統(tǒng)，應(yīng)對每天數(shù)十萬起試圖攻入美軍

12、網(wǎng)絡(luò)的攻擊。另一個名為“網(wǎng)絡(luò)戰(zhàn)聯(lián)合功能構(gòu)成司令部”( Joint Functional Component Command Network Warfare)，主要職責是對敵人發(fā)動網(wǎng)絡(luò)攻擊。例如，在戰(zhàn)時快速侵入敵方電腦網(wǎng)絡(luò)系統(tǒng)，癱瘓敵軍的指揮網(wǎng)絡(luò)和依靠電腦運行的武器系統(tǒng)。 雖然美軍從未公布過網(wǎng)站部隊人數(shù)，但根據(jù)對美軍黑客項目跟蹤了13年的防務(wù)專家喬爾哈丁(Joel Harding)的評估，目前美軍共有3000-5000名信息戰(zhàn)專家，5-7萬名士兵涉足網(wǎng)絡(luò)戰(zhàn)。如果加上原有的電子戰(zhàn)人員，美軍的網(wǎng)戰(zhàn)部隊人數(shù)應(yīng)該在88700人左右。這意味著美軍網(wǎng)戰(zhàn)部隊人數(shù)已經(jīng)相當于七個101空降師。,俄羅斯2000年6

13、月批準實施的國家信息安全學說把“信息戰(zhàn)”問題放在突出地位。俄羅斯為此專門成立了新的國家信息安全與信息對抗領(lǐng)導機構(gòu)，建立了信息戰(zhàn)特種部隊，將重點開發(fā)高性能計算技術(shù)、智能化技術(shù)、信息攻擊與防護技術(shù)等關(guān)鍵技術(shù)。,日本防衛(wèi)廳計劃在2001至2005年實施的中期防衛(wèi)力量配備計劃中進行電腦作戰(zhàn)研究，通過電腦作戰(zhàn)破壞敵方的指揮通訊系統(tǒng)，加強自衛(wèi)隊的信息防御和反擊能力。據(jù)美國防部官員稱，日本的東芝公司已有能力制造“固化病毒”這種新式的計算機武器。,我國在國民經(jīng)濟和社會發(fā)展第十一個五年規(guī)劃綱要中明確提出要強化信息安全保障工作，要積極防御、綜合防范，提高信息安全保障能力。強化安全監(jiān)控、應(yīng)急響應(yīng)、密鑰管理、網(wǎng)絡(luò)信任

14、等信息安全基礎(chǔ)設(shè)施建設(shè)，發(fā)展咨詢、測評、災(zāi)備等專業(yè)化信息安全服務(wù)。,信息安全是信息化可持續(xù)發(fā)展的保障,網(wǎng)絡(luò)信息安全已成為急待解決、影響國家大局和長遠利益的重大關(guān)鍵問題，信息安全保障能力是21世紀綜合國力、經(jīng)濟競爭實力和生存能力的重要組成部分。 網(wǎng)絡(luò)信息安全問題如果解決不好將全方位地危及我國的政治、軍事、經(jīng)濟、文化、社會生活的各個方面,使國家處于信息戰(zhàn)和高度經(jīng)濟金融風險的威脅之中。 -沈昌祥院士 信息安全專家,3 信息系統(tǒng)的安全體系,信息安全的原始意義是指計算機通信中的數(shù)據(jù)、圖像、語音等信息的保密性、完整性、可用性不受損害。 信息安全的概念不斷拓寬。從廣度上，信息安全外延到計算機通信基礎(chǔ)設(shè)施的安

15、全運行和信息內(nèi)容的健康合法。從深度上，信息安全又向信息保護與防御的方向發(fā)展。,信息安全的基本需求,保密性(confidentiality)：信息不被泄露給非授權(quán)的用戶、實體或過程，或供其利用的特性 完整性(integrity)：信息未經(jīng)授權(quán)不能進行改變的特性 可用性(availability)：信息可被授權(quán)實體訪問并按需求使用的特性 可控性(controllability)：可以控制授權(quán)范圍內(nèi)的信息流向及行為方式 不可否認性(non-repudiation)：信息的行為人要對自己的信息行為負責，不能抵賴曾有過的信息行為,信息保護及防御IA（Information Assurance） 保證信息

16、與信息系統(tǒng)的可用性、完整性、真實性、機密性和不可抵賴性的保護與防御手段。它通過保護、檢測、恢復(fù)、反應(yīng)技術(shù)的采用使信息系統(tǒng)具有恢復(fù)能力。,信息防護的PDRR模型,P2DR安全模型,以安全策略為核心(ISS（Internet Security Systems InC.)提出),策略：是模型的核心，具體的實施過程中，策略意味著網(wǎng)絡(luò)安全要達到的目標。 防護：安全規(guī)章、安全配置、安全措施 檢測：異常監(jiān)視、模式發(fā)現(xiàn) 響應(yīng)：報告、記錄、反應(yīng)、恢復(fù),信息安全的互動模型,網(wǎng)絡(luò)安全運行管理平臺 SOC(security operation center),安全策略管理模塊作為SOC的中心,它根據(jù)組織的安全目標制定

17、和維護組織的各種安全策略以及配置信息. 資產(chǎn)是整個SOC體系的保護對象,SOC是以安全數(shù)據(jù)庫的建立為基礎(chǔ),安全數(shù)據(jù)庫包括資產(chǎn)庫,漏洞庫威脅庫,病毒信息庫,風險庫等. 資產(chǎn)風險管理模塊應(yīng)基于上述安全數(shù)據(jù)庫對資產(chǎn) 的脆弱性,漏洞以及資產(chǎn)面臨的威脅進行收集和管理.,網(wǎng)絡(luò)安全就像一個無計劃擴張的城區(qū)一樣，因為各種不同的系統(tǒng)和設(shè)備以不同的方式相互溝通：如固定的局域網(wǎng)、無線和移動蜂窩網(wǎng)絡(luò)、專用廣域網(wǎng)、固定電話網(wǎng)絡(luò)和互聯(lián)網(wǎng)等不同的通訊方式。在這個星云狀的網(wǎng)絡(luò)領(lǐng)域考慮安全的唯一有效的方法是“分層次”的保護。 趨勢科技歐洲、中東和非洲地區(qū)安全總經(jīng)理Simon Young稱，安全專業(yè)人員，已經(jīng)基本上接受了采取多層

18、次的防御措施防御各種攻擊和威脅的觀點。一種產(chǎn)品或者技術(shù)不能防御一切可能的威脅。一種分層次的方法能夠讓企業(yè)建立多條防線。,在最基本的層面上，網(wǎng)絡(luò)安全包括：使用熟悉的用戶名/口令相結(jié)合的方法識別用戶身份;使用卡、USB密鑰或者生物計量(如指紋和視網(wǎng)膜掃描等)等物理形式進行身份識別;或者使用某些方法結(jié)合在一起的方式進行身份識別(這對于訪問網(wǎng)絡(luò)中更敏感的部分是必要的)。 下一層是防火墻。防火墻管理識別用戶身份的服務(wù)和允許訪問的應(yīng)用程序。防火墻可以防止網(wǎng)絡(luò)邊緣的PC或者服務(wù)器上，或者安裝在路由器和交換機等物理網(wǎng)絡(luò)硬件上。 除了防火墻之外，入侵防御和檢測系統(tǒng)接下來監(jiān)視網(wǎng)絡(luò)的狀況、惡意軟件或者可疑的行為，阻

19、止違反網(wǎng)絡(luò)管理員定義的規(guī)則和政策的活動。 但是，必須強調(diào)的是，沒有任何一種方法是絕對安全的。區(qū)別合法的和不合法的行為的難度還需要人類某種程度的干預(yù)。,防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障. 防火墻的優(yōu)點：（1）防火墻能強化安全策略。（2）防火墻能有效地記錄Internet上的活動。（3）防火墻限制暴露用戶點,對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計 。防火墻能夠用來隔開網(wǎng)絡(luò)中一個網(wǎng)段與另一個網(wǎng)段。這樣，能夠防止影響一個網(wǎng)段的問題通過整個網(wǎng)絡(luò)傳播。（4）防火墻是一個安全策略的檢查站。所有進出的信息都必須通過防火墻，防火墻便成為安全問題的檢查

20、點，使可疑的訪問被拒絕于門外。 (5)還支持具有Internet服務(wù)特性的VPN。,VPN的英文全稱是“Virtual Private Network”，翻譯過來就是“虛擬專用網(wǎng)絡(luò)”。虛擬專用網(wǎng)（VPN）被定義為通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)物理線路。 VPN技術(shù)原是路由器具有的重要技術(shù)之一，目前在交換機，防火墻設(shè)備或Windows 2k xp等軟件

21、里也都支持VPN功能。 虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展。虛擬專用網(wǎng)可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于實現(xiàn)安全連接；實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。,常用的虛擬專用網(wǎng)絡(luò)協(xié)議有： IPSec : IPsec(縮寫IP Security)是保護IP協(xié)議安全通信的標準，它主要對IP協(xié)議分組進行加密和認證。 IPsec作為一個協(xié)議族（即一系列相互關(guān)聯(lián)的協(xié)議）由以下部分組成：(1)保護分組流的協(xié)議；(2)用來建立這些安全分組流的密鑰交換協(xié)議。前者又分成兩個

22、部分：加密分組流的封裝安全載荷（ESP）及較少使用的認證頭（AH），認證頭提供了對分組流的認證并保證其消息完整性，但不提供保密性。目前為止，IKE協(xié)議是唯一已經(jīng)制定的密鑰交換協(xié)議。 PPTP: Point to Point Tunneling Protocol - 點到點隧道協(xié)議 在因特網(wǎng)上建立IP虛擬專用網(wǎng)（VPN）隧道的協(xié)議，主要內(nèi)容是在因特網(wǎng)上建立多協(xié)議安全虛擬專用網(wǎng)的通信方式。 L2F: Layer 2 Forwarding - 第二層轉(zhuǎn)發(fā)協(xié)議 L2TP: Layer 2 Tunneling Protocol -第二層隧道協(xié)議 GRE：VPN的第三層隧道協(xié)議 -通用路由封裝 SSL V

23、PN MPLS VPN Socks5 VPN,Denning入侵檢測模型,信息安全的技術(shù)層次視點,系統(tǒng)自身的安全 “系統(tǒng)安全”,Information Security,信息利用的安全 “信息對抗”,信息自身的安全 “信息安全”,層次結(jié)構(gòu) 結(jié)構(gòu)層次,三級信息安全框架,信息內(nèi)容對抗,國家計算機與網(wǎng)絡(luò)安全管理中心 主任 方濱興 院士 提出,信息系統(tǒng)的安全體系,“安全是一個過程，而不是一個產(chǎn)品”，Bruce Schneier 網(wǎng)絡(luò)安全生命周期模型 評估，設(shè)計，工程實施、開發(fā)和制造，布署，運行、管理和支持.,安全過程與系統(tǒng)安全生命周期模型,網(wǎng)絡(luò)信息安全設(shè)計四步方法論,美國國家安全局制定的信息保障技術(shù)框

24、架（IATF）,信息安全的層次分析,4 開放系統(tǒng)互連(OSI)安全體系結(jié)構(gòu),網(wǎng)絡(luò)體系結(jié)構(gòu)是計算機之間相互通信的層次，以及各層中的協(xié)議和層次之間接口的集合。 國際標準化組織ISO在提出了開放系統(tǒng)互連（Open System Interconnection，OSI）模型，這是一個定義連接異種計算機的標準主體結(jié)構(gòu)。 OSI采用了分層的結(jié)構(gòu)化技術(shù)，每層的目的都是為上層提供某種服務(wù)。,OSI參考模型,OSI安全體系結(jié)構(gòu)的研究始于1982年，于1988年完成，其成果標志是ISO發(fā)布了ISO7498-2標準，作為OSI基本參考模型的補充。這是基于OSI參考模型的七層協(xié)議之上的信息安全體系結(jié)構(gòu)。它定義了5類安

25、全服務(wù)、8種特定的安全機制、5種普遍性安全機制。它確定了安全服務(wù)與安全機制的關(guān)系以及在OSI七層模型中安全服務(wù)的配置。,OSI安全體系結(jié)構(gòu)的5類安全服務(wù),1.鑒別 鑒別服務(wù)提供通信中的對等實體和數(shù)據(jù)來源的鑒別 2.訪問控制 防止對資源的未授權(quán)使用，防止以未授權(quán)方式使用某一資源 3.數(shù)據(jù)機密性 這種服務(wù)對數(shù)據(jù)提供保護，使之不被非授權(quán)地泄露,4.數(shù)據(jù)完整性 例如使用順序號，檢測數(shù)據(jù)重放攻擊 5.抗否認 這種服務(wù)可取如下兩種形式，或兩者之一： （1） 有數(shù)據(jù)原發(fā)證明的抗否認 （2） 有交付證明的抗否認,OSI安全體系結(jié)構(gòu)的8種安全機制,（1） 加密 對數(shù)據(jù)進行密碼變換以產(chǎn)生密文。加密既能為數(shù)據(jù)提供機

26、密性，也能為通信業(yè)務(wù)流信息提供機密性，并且是其他安全機制中的一部分或?qū)Π踩珯C制起補充作用。 一般情況，在一個層次上進行加密，但也有可能需要在多個層上提供加密。,（2） 數(shù)字簽名機制 數(shù)字簽名是附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對數(shù)據(jù)單元所作的密碼變換，這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者確認數(shù)據(jù)單元來源和數(shù)據(jù)單元的完整性，并保護數(shù)據(jù)，防止被他人偽造。,（3） 訪問控制機制 為了決定和實施一個實體的訪問權(quán)，訪問控制機制可以使用該實體已鑒別的身份，或使用有關(guān)該實體的信息。 例如：訪問控制信息庫、鑒別信息（如口令）、安全標記,（4） 數(shù)據(jù)完整性機制 數(shù)據(jù)完整性有兩個方面：單個數(shù)據(jù)單元的完整性和數(shù)據(jù)單元序

27、列的完整性。 發(fā)送實體給數(shù)據(jù)單元附加一個量，這個量為該數(shù)據(jù)的函數(shù)。 保護數(shù)據(jù)單元序列的完整性（即防止亂序、數(shù)據(jù)的丟失、重放、插入或篡改）還需要某種明顯的排序形式，如順序號、時間標記或密碼鏈。,（5） 鑒別交換機制 如果在鑒別實體時，這一機制得到否定的結(jié)果，就會導致連接的拒絕或終止 （6） 通信業(yè)務(wù)填充機制 能用來提供各種不同級別的保護，對抗通信業(yè)務(wù)分析,（7） 路由選擇控制機制 在檢測到持續(xù)的操作攻擊時，端系統(tǒng)可以提示網(wǎng)絡(luò)的提供者經(jīng)不同的路由建立連接 （8） 公證機制 在兩個或多個實體之間通信的數(shù)據(jù)，如它的完整性、時間和目的地等能借助可信第三方的公證機制得到確保,OSI的安全服務(wù)與安全機制的關(guān)

28、系,OSI安全管理,OSI安全管理包括系統(tǒng)安全管理（OSI環(huán)境安全）、OSI安全服務(wù)的管理與安全機制的管理。 安全管理信息庫（SMIB）是一個概念上的集合，存儲開放系統(tǒng)所需的與安全有關(guān)的全部信息。每個端系統(tǒng)必須包含必需的本地信息，使它能執(zhí)行某個適當?shù)陌踩呗浴?SMIB是一個分布式信息庫，在實際中，SMIB的某些部分可以與MIB（管理信息庫）結(jié)合成一體，也可以分開。SMIB有多種實現(xiàn)辦法，例如，數(shù)據(jù)表、嵌入開放系統(tǒng)軟件或硬件中的數(shù)據(jù)或規(guī)則。,信息安全管理內(nèi)容,內(nèi)容：信息安全政策制定、風險評估、控制目 標與方式的選擇、制定規(guī)范的操作流程、信息 安全培訓等. 涉及領(lǐng)域：安全方針策略、組織安全、資產(chǎn)

29、分 類與控制、人員安全、物理與環(huán)境安全、通信 與運營安全、訪問控制、系統(tǒng)開發(fā)與維護、業(yè) 務(wù)連續(xù)性、法律符合性等.,5 Internet安全體系結(jié)構(gòu),Internet不同層的網(wǎng)絡(luò)安全技術(shù) 5.1 網(wǎng)絡(luò)層安全 5.2 傳輸層安全 5.3 應(yīng)用層安全,基于TCP/IP協(xié)議的網(wǎng)絡(luò)安全體系基礎(chǔ)框架,5.1 網(wǎng)絡(luò)層安全-IPSec 5.2 傳輸層安全-SSL 5.3 應(yīng)用層安全S-HTTP,SET,5.1 網(wǎng)絡(luò)層安全,IPSec-一組協(xié)議 在IP加密傳輸信道技術(shù)方面，IETF已經(jīng)指定IPSec來制定IP安全協(xié)議（IP Security Protocol, IPSP）和對應(yīng)的Internet密鑰管理協(xié)議（I

30、nternet Key Management Protocol, IKMP）的標準。,IPSec是隨著IPv6的制定而產(chǎn)生的，鑒于IPv4的應(yīng)用仍然很廣泛，所以后來在IPSec的制定中也增加了對IPv4的支持。IPSec在IPv6中是必須支持的，而在IPv4中是可選的。,IPSP的主要目的是使需要安全服務(wù)的用戶能夠使用相應(yīng)的加密安全體制。該體制應(yīng)該與算法獨立，可以自己選擇和替換加密算法而不會對應(yīng)用和上層協(xié)議產(chǎn)生任何影響。此外，該體制必須能支持多種安全政策，并且對其他不使用該體制的用戶完全透明。,按照這些要求，IPSec工作組使用認證頭部（AH）和安全內(nèi)容封裝（ESP）兩種機制，前者提供認證和數(shù)

31、據(jù)完整性，后者實現(xiàn)通信保密。 AH（Authentication Header，驗證頭部協(xié)議） ESP（Encapsulating Security Payload，封裝安全載荷）協(xié)議,IPSec體系結(jié)構(gòu),AH為IP數(shù)據(jù)包提供如下3種服務(wù)：無連接的數(shù)據(jù)完整性驗證、數(shù)據(jù)源身份認證和防重放攻擊。 ESP除了為IP數(shù)據(jù)包提供AH已有的3種服務(wù)外，還提供另外兩種服務(wù)：數(shù)據(jù)包加密、數(shù)據(jù)流加密。 IKE協(xié)議負責密鑰管理，定義了通信實體間進行身份認證、協(xié)商加密算法以及生成共享的會話密鑰的方法。,對IP包進行的IPSec處理有兩種：AH和ESP。AH提供無連接的數(shù)據(jù)完整性、數(shù)據(jù)來源驗證和抗重放攻擊服務(wù)；而ES

32、P除了提供AH的這些功能外，還可以提供對數(shù)據(jù)包加密和數(shù)據(jù)流量加密。,AH和ESP可以單獨使用，也可以嵌套使用。通過這些組合方式，可以在兩臺主機、兩臺安全網(wǎng)關(guān)（防火墻和路由器），或者主機與安全網(wǎng)關(guān)之間使用。,5.2 傳輸層安全,常見的傳輸層安全技術(shù)有SSL-Secure socket layer SSL分為兩層，上面是SSL協(xié)商層，雙方通過協(xié)商約定有關(guān)加密的算法，進行身份認證等； 下面是SSL記錄層，它把上層的數(shù)據(jù)經(jīng)分段、壓縮后加密，由傳輸層傳送出去。SSL采用公鑰方式進行身份認證，大量數(shù)據(jù)傳輸仍使用對稱密鑰方式進行數(shù)據(jù)加密。通過雙方協(xié)商，SSL可以支持多種身份認證、加密和檢驗算法。,SSL結(jié)構(gòu)

33、圖,SSL協(xié)議協(xié)商層工作過程示意圖,通過X.509證書傳輸其擁有者的公開密鑰,為了保持Internet上的通用性，目前一般的SSL協(xié)議只要求服務(wù)器方向客戶方出示證書以證明自己的身份，而不要求用戶方同樣出示證書，在建立起SSL信道后再加密傳輸用戶的口令實現(xiàn)客戶方的身份認證。,5.3 應(yīng)用層安全,IP層的安全協(xié)議能夠為網(wǎng)絡(luò)連接建立安全的通信信道，傳輸層安全協(xié)議允許為進程之間的數(shù)據(jù)通道增加安全屬性，但它們都無法根據(jù)所傳送的不同內(nèi)容的安全要求予以區(qū)別對待。 如果確實想要區(qū)分具體文件的不同的安全性要求，就必須在應(yīng)用層采用安全機制。,安全HTTP協(xié)議（S-HTTP）是Web上使用的超文本傳輸協(xié)議（HTTP

34、）的安全增強版本，由企業(yè)集成技術(shù)公司設(shè)計。 它建立在HTTP1.1的基礎(chǔ)上，提供了數(shù)據(jù)加密、身份認證、數(shù)據(jù)完整、防止否認等功能。S-HTTP通過協(xié)商可以選擇不同的密鑰管理方法、安全策略，以及加密算法等。 它在對稱密鑰方式下工作時，它不要求客戶方用公鑰Certificate進行身份認證，相對于SSL而言，降低了對公鑰體系的要求。,S-HTTP提供了文件級的安全機制，因此每個文件都可以設(shè)置成保密/簽字狀態(tài)。用作加密及簽名的算法可以由參與通信的收發(fā)雙方協(xié)商。S-HTTP提供了對多種單向散列（Hash）函數(shù)的支持，如MD2、MD5及SHA；對多種私鑰體制的支持，如DES、三元DES、RC2、RC4；對

35、數(shù)字簽名體制的支持，如RSA和DSS。,HTTPS stands for Hypertext Transfer Protocol over Secure Socket Layer.HTTPS is not a separate protocol, but is a combination of a normal HTTP connection over an encrypted Secure Sockets Layer (SSL) or Transport Layer Security (TLS) connection.When you use https:, the URL will use the HTTP Protocol but over a different default TCP port (443 - unsecured HTTP port is usually 80) and with an additional encryption/authentication layer between the HTTP and TCP.This mechanism was designed by Netscape in the mid-90s to support authent