信息安全引言教學(xué)課件

信息安全引言56、極端的法規(guī)，就是極端的不公?！魅_57、法律一旦成為人們的需要，人們就不再配享受自由了?！呥_(dá)哥拉斯58、法律規(guī)定的懲罰不是為了私人的利益，而是為了公共的利益；一部分靠有害的強(qiáng)制，一部分靠榜樣的效力?！窭闲闼?9、假如沒有法律他們會(huì)更快樂的話，那么法律作為一件無用之物自己就會(huì)消滅?！蹇?0、人民的幸福是至高無個(gè)的法?！魅_信息安全引言信息安全引言56、極端的法規(guī)，就是極端的不公?！魅_57、法律一旦成為人們的需要，人們就不再配享受自由了?！呥_(dá)哥拉斯58、法律規(guī)定的懲罰不是為了私人的利益，而是為了公共的利益；一部分靠有害的強(qiáng)制，一部分靠榜樣的效力?！窭闲闼?9、假如沒有法律他們會(huì)更快樂的話，那么法律作為一件無用之物自己就會(huì)消滅?！蹇?0、人民的幸福是至高無個(gè)的法。——西塞羅2故用兵之法，無恃其不來，恃吾有以待也；無恃其不攻，恃吾有所不可攻也。—《孫子兵法》3信息安全南京農(nóng)業(yè)大學(xué)信息學(xué)院主講：趙力信息安全主要研究能夠抵抗各種攻擊的技術(shù)。通過信息安全，希望達(dá)到以下目的：保證信息為授權(quán)者享用而不泄漏給未經(jīng)授權(quán)者，不讓未被授權(quán)者篡改或者損壞信息，能夠驗(yàn)證一個(gè)實(shí)體的身份，能夠驗(yàn)證消息來自可靠的源點(diǎn)，且沒有被篡改，限制資源只能被授權(quán)的實(shí)體訪問。防止對(duì)以前行為否認(rèn)的措施把某實(shí)體做某件事情或承認(rèn)某件事情的批準(zhǔn)傳遞給另一實(shí)體……6從古到今，信息安全經(jīng)歷了如下三個(gè)階段傳統(tǒng)的信息安全主要依靠物理和行政手段來保證。計(jì)算機(jī)的應(yīng)用，需要自動(dòng)工具來保護(hù)存于計(jì)算機(jī)中的文件和其他信息。網(wǎng)絡(luò)和通信連接的應(yīng)用，需要有網(wǎng)絡(luò)安全措施來保護(hù)被傳輸?shù)臄?shù)據(jù)。7傳統(tǒng)方式和數(shù)字世界的信息安全傳統(tǒng)方式下數(shù)字世界中復(fù)制品與原件存在不同復(fù)制后的文件跟原始文件沒有差別對(duì)原始文件的修改總是會(huì)留下痕跡對(duì)原始文件的修改可以不留下痕跡模仿的簽名與原始的簽名有差異無法象傳統(tǒng)方式一樣在文件上直接簽名或蓋章用鉛封來防止文件在傳送中被非法閱讀或篡改不能用傳統(tǒng)的鉛封來防止文件在傳送中被非法閱讀或篡改用保險(xiǎn)柜來防止文件在保管中被盜竊、毀壞、非法閱讀或篡改難以用類似于傳統(tǒng)的保險(xiǎn)柜來防止文件在保管中被盜竊、毀壞、非法閱讀或篡改信息安全依賴于物理手段與行政管理信息安全不能完全依賴于物理手段和行政管理

由于數(shù)字世界中，信息社會(huì)更加依賴于信息，因此，信息安全的危害更大，信息的泄密、毀壞所產(chǎn)生的后果更嚴(yán)重。8信息安全的定義信息安全（information

security）：在分布式計(jì)算環(huán)境中，對(duì)信息的傳輸、存儲(chǔ)、訪問提供安全保護(hù)，以防止信息被竊取、篡改和非法操作。信息安全的三個(gè)基本要素是保密性、完整性和可用性服務(wù)，在分布式網(wǎng)絡(luò)環(huán)境下還應(yīng)提供鑒別、訪問控制和抗否認(rèn)等安全服務(wù)。——《計(jì)算機(jī)科學(xué)技術(shù)百科全書》9網(wǎng)絡(luò)信息系統(tǒng)安全網(wǎng)絡(luò)信息系統(tǒng)安全的內(nèi)容包括了系統(tǒng)安全和信息安全兩個(gè)部分：系統(tǒng)安全主要指網(wǎng)絡(luò)設(shè)備的硬件、操作系統(tǒng)和應(yīng)用軟件的安全；信息安全主要指各種信息的存儲(chǔ)、傳輸?shù)陌踩?0信息安全保障體系完整的信息安全保障體系應(yīng)包括保護(hù)、檢測、響應(yīng)、恢復(fù)四個(gè)方面。保護(hù)：用加解密技術(shù)、訪問控制技術(shù)、數(shù)字簽名技術(shù)對(duì)信息的傳輸、存儲(chǔ)、訪問加以保護(hù)。檢測：對(duì)信息傳輸?shù)膬?nèi)容的可控性的檢測；對(duì)信息網(wǎng)絡(luò)訪問過程的檢測；對(duì)違規(guī)與惡意攻擊的檢測；對(duì)系統(tǒng)與網(wǎng)絡(luò)的安全漏洞的檢測。響應(yīng)：保證信息系統(tǒng)與網(wǎng)絡(luò)遇到攻擊時(shí)及時(shí)采取措施，提供有力的響應(yīng)機(jī)制。恢復(fù)：災(zāi)難恢復(fù)以及評(píng)估系統(tǒng)受到的危害與損失。11構(gòu)建一個(gè)信息系統(tǒng)的安全子系統(tǒng)時(shí)，首先要分析該系統(tǒng)有可能面臨的威脅或攻擊。122、安全攻擊從形式上，安全攻擊分為主動(dòng)攻擊和被動(dòng)攻擊。被動(dòng)攻擊目的：獲得傳輸?shù)男畔?，威脅信息的保密性。特征：對(duì)傳輸進(jìn)行竊聽和檢測，不對(duì)信息作任何改動(dòng)，系統(tǒng)的操作和狀態(tài)也不會(huì)改變。例如：消息內(nèi)容的泄漏、流量分析等。主動(dòng)攻擊目的：篡改或者偽造消息，威脅信息的完整性、可用性和真實(shí)性。特征：消息被改動(dòng)，系統(tǒng)的操作和狀態(tài)可能被改變。例如：偽裝、篡改、重放和拒絕服務(wù)等。13消息內(nèi)容的泄漏消息的內(nèi)容被泄露給某個(gè)非授權(quán)的實(shí)體。手段：合法的或非法的，例如：搭線竊聽、電磁泄露、網(wǎng)絡(luò)嗅探器等。流量分析通過對(duì)系統(tǒng)進(jìn)行長期監(jiān)聽，利用統(tǒng)計(jì)分析方法對(duì)諸如通信雙方的標(biāo)識(shí)、通信頻度、消息格式、通信的信息流向和通信總量的變化等參數(shù)進(jìn)行研究，從中發(fā)現(xiàn)有價(jià)值的信息和規(guī)律。在流量分析過程中，攻擊者雖然不能獲得消息的內(nèi)容，但可以分許數(shù)據(jù)從哪里來到哪里去，傳送多長時(shí)間，什么時(shí)候發(fā)送，發(fā)送頻繁程度以及是否與其它事件有關(guān)聯(lián)等信息來判斷通信的性質(zhì)。14篡改指對(duì)合法用戶之間的通信消息進(jìn)行修改或者改變消息的順序。偽裝指一個(gè)實(shí)體冒充另一個(gè)實(shí)體。通常攻擊者通過欺騙通信系統(tǒng)（或用戶）冒充成為合法用戶，或者特權(quán)小的攻擊者冒充成為特權(quán)大的用戶。黑客大多是采用偽裝攻擊。重放將獲得的信息再次發(fā)送以期獲得合法用戶的利益。拒絕服務(wù)(DoS)指阻止對(duì)信息或其他資源的合法訪問。常見的形式是破壞設(shè)備的正常運(yùn)行和管理，也可擾亂整個(gè)網(wǎng)絡(luò)，降低系統(tǒng)性能，使合法用戶的不到應(yīng)有的服務(wù)。15需要采取哪些措施來保護(hù)信息和系統(tǒng)的安全呢？16網(wǎng)絡(luò)信息系統(tǒng)的基本安全需求保密性（Confidentiality）完整性（Integrity）可用性（Availability）可控性（controllability）不可否認(rèn)性（Non-repudiation）17保密性：指信息不泄露給非授權(quán)用戶、實(shí)體和過程，不被非法利用的特性。完整性：指數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性?？捎眯裕褐缚杀皇跈?quán)實(shí)體訪問并按需求使用的特性。可控性：指可以控制授權(quán)范圍內(nèi)的信息流向及行為方式，對(duì)信息的傳播及內(nèi)容具有控制能力。不可否認(rèn)性：指信息的行為人要對(duì)自己的信息行為負(fù)責(zé)，不能抵賴自己曾有過的行為，也不能否認(rèn)曾經(jīng)接到對(duì)方的信息。18如何才能滿足網(wǎng)絡(luò)信息系統(tǒng)安全的基本需求呢？19安全服務(wù)通常將為加強(qiáng)網(wǎng)絡(luò)信息系統(tǒng)安全性及對(duì)抗安全攻擊而采取的一系列措施稱為安全服務(wù)。其目的在于阻止安全攻擊；通常利用一種或多種安全機(jī)制來提供這種服務(wù)。20OSI安全框架定義的五大類安全服務(wù)鑒別（authentication）訪問控制（accesscontrol）數(shù)據(jù)保密性（dataconfidentiality）數(shù)據(jù)完整性（dataintegrity）不可否認(rèn)性（non-repudiation）21鑒別：保證通信的實(shí)體是它所聲稱的實(shí)體。訪問控制：阻止對(duì)資源的非授權(quán)使用。數(shù)據(jù)保密性：保證數(shù)據(jù)免于非授權(quán)泄漏。數(shù)據(jù)完整性：保證收到的數(shù)據(jù)確是授權(quán)實(shí)體所發(fā)出的數(shù)據(jù)。不可否認(rèn)性：防止整個(gè)或部分通信過程中，任意通信實(shí)體進(jìn)行否認(rèn)的行為。22靠什么來實(shí)現(xiàn)這些安全服務(wù)？23安全機(jī)制安全機(jī)制是用來保護(hù)系統(tǒng)免受偵聽、阻止安全攻擊及恢復(fù)系統(tǒng)的機(jī)制。安全機(jī)制是實(shí)現(xiàn)安全服務(wù)的技術(shù)手段。它表現(xiàn)為操作系統(tǒng)、軟硬件功能部件、管理程序以及他們的組合。注意：所有的安全機(jī)制都是針對(duì)某些安全攻擊而設(shè)計(jì)的，沒有哪一種機(jī)制能夠提供所有的安全服務(wù)。24特定的安全機(jī)制（ISO7498-2）ISO7498-2中定義了8類安全機(jī)制加密機(jī)制（encryption）；數(shù)字簽名機(jī)制（digitalsignaturemechanisms）；訪問控制機(jī)制（accesscontrolmechanisms）；數(shù)據(jù)完整性機(jī)制（dataintegritymechanisms）；鑒別機(jī)制（authenticationmechanisms）；通信業(yè)務(wù)填充機(jī)制（trafficpaddingmechanisms）；路由控制機(jī)制（routingcontrolmechanisms）；公證機(jī)制（notarizationmechanisms）；25其他安全機(jī)制可信功能機(jī)制安全標(biāo)簽機(jī)制事件檢測機(jī)制審計(jì)跟蹤機(jī)制安全恢復(fù)機(jī)制26安全服務(wù)與安全機(jī)制之間的關(guān)系

機(jī)制/服務(wù)保密性完整性鑒別訪問控制不可否認(rèn)加密YYY--數(shù)字簽名-YY-Y訪問控制---Y-數(shù)據(jù)完整性-Y--Y鑒別--Y--業(yè)務(wù)填充Y----路由控制Y----公證----Y27實(shí)現(xiàn)安全機(jī)制的核心技術(shù)是什么？28密碼學(xué)與信息安全的關(guān)系定義：研究密碼系統(tǒng)或通信安全的一門科學(xué)?；灸繕?biāo)：實(shí)現(xiàn)機(jī)密性、數(shù)據(jù)完整性、鑒別和抗否認(rèn)?；竟ぞ撸杭用堋⑸⒘泻瘮?shù)、數(shù)字簽名在8種安全機(jī)制中，除業(yè)務(wù)填充和路由控制外，其余6中都同密碼算法有關(guān)。29密碼學(xué)是網(wǎng)絡(luò)信息系統(tǒng)安全的

——核心技術(shù)30課程簡介傳統(tǒng)密碼學(xué)對(duì)稱密碼分組密碼算法及數(shù)據(jù)加密標(biāo)準(zhǔn)DES分組密碼的加密模式用對(duì)稱密碼實(shí)現(xiàn)保密性公鑰密碼RSA算法密鑰管理Hash函數(shù)報(bào)文鑒別技術(shù)數(shù)字簽名技術(shù)身分認(rèn)證技術(shù)31教材主教材：信息安全原理與技術(shù)作者：郭亞軍等出版：清華大學(xué)出版社主要參考教材：密碼編碼學(xué)與網(wǎng)絡(luò)安全

——原理與實(shí)踐（第四版）作者：[美]WilliamStallings翻譯：劉玉珍等出版：電子工業(yè)出版社32其他參考教材：密碼學(xué)原理與實(shí)踐（第二版）作者：[加]DouglasR.Stinson，翻譯：馮登國，出版：電子工業(yè)出版社密碼學(xué)導(dǎo)引作者：馮登國，裴定一，出版：科學(xué)出版社應(yīng)用密碼學(xué)：協(xié)議、算法與C源程序作者：BruceSchneier，翻譯：吳世忠等，機(jī)械工業(yè)出版社信息安全數(shù)學(xué)基礎(chǔ)作者：陳恭亮，出版：