信息安全技術導論

信息安全技術導論本課所需前序課程

本書是計算機、通信及信息管理等專業(yè)高年級本科生和研究生教材，需要學習的前序課程是高等數(shù)學、近世代數(shù)、計算機網(wǎng)絡和操作系統(tǒng)。這些課程與本課的關系如下圖所示。教學參考書

張煥國等譯《密碼編碼學與網(wǎng)絡安全：原理與實踐》（第三版）,電子工業(yè)出版社，2001，4馮登國，《網(wǎng)絡安全原理與技術》，科學出版社，2003，9王立斌、黃征等譯,《計算機安全學－安全的藝術與科學》,電子工業(yè)出版社，2006，1第一章網(wǎng)絡安全緒論1信息安全現(xiàn)狀安全威脅安全策略安全技術安全標準網(wǎng)絡信息安全發(fā)展趨勢展望計算機與網(wǎng)絡技術的發(fā)展歷程用戶規(guī)模主要應用成熟期大型機小科學計算1960年代10年小型機/WAN1970年代小7年部門內部PC/LAN1980年代中5年企業(yè)之間Client/Server1990年代大4年商家之間IntranetInternet2000年代商家與消費者之間服務為本

全球無所不在3年ExtranetInternetInternet用戶數(shù)百萬Internet商業(yè)應用快速增長億美元網(wǎng)絡安全問題日益突出混合型威脅(RedCode,Nimda)拒絕服務攻擊(Yahoo!,eBay)發(fā)送大量郵件的病毒(LoveLetter/Melissa)多變形病毒(Tequila)特洛伊木馬病毒網(wǎng)絡入侵70,00060,00050,00040,00030,00020,00010,000已知威脅的數(shù)量典型應用環(huán)境的完全威脅與安全需求應用環(huán)境安全威脅安全需求所有網(wǎng)絡假冒攻擊阻止外部入侵銀行完整性破壞假冒攻擊，服務否認竊聽攻擊避免欺詐或交易的意外修改識別零售的交易顧客保護個人識別號確保顧客秘密電子交易假冒攻擊，完整性破壞竊聽攻擊服務否認確保交易的起源和完整性保護共同秘密為交易提供合法的電子簽名政府假冒攻擊，侵權攻擊，竊聽，完整性破壞服務否認避免敏感信息未授權泄漏或修改政府文件提供電子簽名公共電信載體假冒攻擊，授權侵犯拒絕服務竊聽攻擊對授權的個人限制訪問管理功能避免服務中斷保護用戶秘密互聯(lián)/專用網(wǎng)絡竊聽攻擊假冒攻擊，完整性破壞保護團體/個人的秘密確保消息的真實性第一章網(wǎng)絡安全緒論2信息安全現(xiàn)狀安全威脅安全策略安全技術安全標準網(wǎng)絡信息安全發(fā)展趨勢展望常見的安全威脅網(wǎng)絡內部、外部洩密拒絕服務攻擊特洛伊木馬黑客攻擊病毒，蠕蟲系統(tǒng)漏洞潛信道第一章網(wǎng)絡安全緒論3信息安全現(xiàn)狀安全威脅安全策略安全技術安全標準網(wǎng)絡信息安全發(fā)展趨勢展望安全策略安全策略是針對網(wǎng)絡和信息系統(tǒng)的安全需要，所做出允許什么、禁止什么的規(guī)定，通?？梢允褂脭?shù)學方式來表達策略，將其表示為允許（安全）或不允許（不安全）的狀態(tài)列表。安全策略分類物理安全策略訪問控制策略信息加密策略安全管理策略第一章網(wǎng)絡安全緒論4信息安全現(xiàn)狀安全威脅安全策略安全技術安全標準網(wǎng)絡信息安全發(fā)展趨勢展望訪問控制技術包括入網(wǎng)訪問控制、網(wǎng)絡權限控制、目錄級安全控制和屬性安全控制等多種手段。訪問控制技術防火墻技術網(wǎng)絡入侵檢測技術漏洞掃描技術安全審計技術現(xiàn)代密碼技術安全協(xié)議公鑰基礎設施（PKI）其他安全技術，如容災、備份第一章網(wǎng)絡安全緒論5信息安全現(xiàn)狀安全威脅安全策略安全技術安全標準網(wǎng)絡信息安全發(fā)展趨勢展望國際標準組織國際標準化組織（ISO——InternationalOrganizationStandardization）國際電報和電話咨詢委員會(CCITT)國際信息處理聯(lián)合會第十一技術委員會（IFIPTC11）電氣與電子工程師學會（IEEE）Internet體系結構委員會（IAB）美國國家標準局(NBS)與美國商業(yè)部國家技術標準研究所(NIST)美國國家標準協(xié)會(ANSI)美國國防部(DoD)及國家計算機安全中心(NCSC)國際可信任計算機評估標準20世紀70年代，美國國防部制定“可信計算機系統(tǒng)安全評價準則”（TCSEC)，為安全信息系統(tǒng)體系結構最早準則（只考慮保密性）；20世紀90年代，英、法、德、荷提出包括保密性、完整性、可用性概念的“信息技術安全評價準則”（ITSEC)，但未給出綜合解決以上問題的理論模型和方案；近年，六國（美、加、英、法、德、荷）共同提出“信息技術安全評價通用準則”（CCforITSEC)。TCSEC安全級別類別級別名稱主要特征DD低級保護沒有安全保護CC1自主安全保護自主存儲控制C2受控存儲控制單獨的可查性，安全標識BB1標識的安全保護強制存取控制，安全標識B2結構化保護面向安全的體系結構，較好的抗?jié)B透能力B3安全區(qū)域存取控制，高抗?jié)B透能力AA驗證設計形式化的最高級描述和驗證我國可信任計算機評估標準第一級用戶自主保護級：使用戶具備自主安全保護的能力，保護用戶信息免受非法的讀寫破壞；第二級系統(tǒng)審計保護級：除前一個級別的安全功能外，要求創(chuàng)建維護訪問的審計跟蹤記錄，使所有用戶對自己的行為合法性負責；第三級安全標記保護級：除前一個級別的安全功能外，要求以訪問對象標記的安全級別限制訪問者的訪問權限，實現(xiàn)對訪問對象強制保護；第四級結構化保護級：除前一個級別的安全功能外，將安全保護機制劃分為關鍵部分和非關鍵部分，對關鍵部分直接控制訪問者對訪問對象的存取，從而加強系統(tǒng)的抗?jié)B透能力；第五級訪問驗證保護級：特別增設了訪問驗證功能，負責仲裁訪問者對訪問對象的所有訪問活動；OSI模型定義的安全服務第一章網(wǎng)絡安全緒論6信息安全現(xiàn)狀安全威脅安全策略安全技術安全標準網(wǎng)絡信息安全發(fā)展趨勢展望我國網(wǎng)絡安全研究現(xiàn)狀我國信息化建設基礎設備依靠國外引進，信息安全防護能力只是處于相對安全階段，無法做到自主性安全防護和有效監(jiān)控（核心芯片、系統(tǒng)內核程序源碼、大型應用系統(tǒng)）；信息安全學科的基礎性研究工作——信息安全評估方法學的研究尚處于跟蹤學習研究階段；國內開發(fā)研制的一些防火墻、安全路由器、安全網(wǎng)關、“黑客”入侵檢測、系統(tǒng)弱點掃描軟件等在完善性、規(guī)范性、實用性方面還存許多不足，特別是在多平臺的兼容性、多協(xié)議的適應性、多接口的滿足性方面存在很大差距；我國網(wǎng)絡安全研究現(xiàn)狀制定了國家、行業(yè)信息安全管理的政策、法律、法規(guī)；按照國家通用準則建立了代表國家對信息安全產(chǎn)品、信息技術和信息系統(tǒng)安全性以及信息安全服務實施公正性評測的技術職能機構—中國國家信息安全測評認證中心和行業(yè)中心；建立了支撐網(wǎng)絡信息安全研究的國家重點實驗室和部門實驗室，各種學術會議相繼召開，已出版許多專著、論文，在有關高等院校已建立了向關系所、開設了相關課程，并開始培養(yǎng)自己的碩士、博士研究生；附、常見的網(wǎng)絡安全協(xié)議附、常見的網(wǎng)絡安全協(xié)議附、常見的網(wǎng)絡安全協(xié)議S／WAN(SecureWideAreaNetwork) S/WAN設計基于IP層的安全協(xié)議，可以在IP層提供加密，保證防火墻和TCP／IP產(chǎn)品的互操作，以便構作虛擬專網(wǎng)(VPN)。

SET(secureElectronicTransaction) SET是Visa，MasterCard合作開發(fā)的用于開放網(wǎng)絡進行電子支付的安全協(xié)議，用于保護商店和銀行之間的支付信息。S／MIME(Secure／MultipurposeInternetMailExtension) S/MIME是用于多目的的電子郵件安全的報文安全協(xié)議，和報文安全協(xié)議(MSP)、郵件隱私增強協(xié)議(PEM)、