信息安全技术课件.ppt

信息安全技术, 网络安全技术概论,提纲,网络在当今社会中的重要作用网络世界中的安全威胁信息安全的内涵信息安全体系结构与模型网络信息安全管理体系网络信息安全评测认证体系网络信息安全与法律,网络信息安全的内涵,信息安全的内涵网络出现前主要指面向数据的安全，即对信息的机密性（Confidentiality） 、完整性（Integrity）和可用性（Availability）的保护（即通常所说的CIA 三元组）网络出现后除上述概念外，还涵盖了面向用户的安全，即鉴别、授权、访问控制、抗否认性和可服务性，以及对于内容的个人隐私、知识产权等的保护。以上两者结合就是现代的信息安全体系结构,网络信息安全,网络信息安全网络上信息的安全，即网络系统的硬件、软件及其系统中的数据安全。网络信息的传输、存储、处理和使用都要求处于安全的状态。网络的安全将成为传统的国界、领海、领空的三大国防和基于太空的第四国防之外的第五国防，称为cyber-space信息安全即将进入综合研究时期。从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性，进而又发展为攻（攻击）、防（防范）、测（检测）、控（控制）、管（管理）、评（评估）” 等多方面的理论和实施技术的研究。,对网络信息安全的几点认识,信息安全是体系的概念全面考虑信息静态和动态安全充分重视技术与人的结合信息安全是一个长期、动态的过程，其中维护和管理是关键安全是相对的，不存在绝对安全投入安全的成本应远小于被保护资源的价值信息系统不是越安全越好信息安全体系的建立必须有相应的保护对象安全和服务质量往往是相互矛盾的,网络信息安全的基本特征,保密性信息不泄露给非授权的个人、实体和过程，或供其使用；完整性信息未经授权不能被修改、破坏、插入、延迟、乱序和丢失；可用性保证合法用户在需要时可以访问到信息及相关资产；可控性授权机构对信息的内容及传播具有控制能力，可以控制授权范围内的信息流向及其方式；可审查性在信息交流过程结束后，通信双方不能抵赖曾经做出的行为，也不能否认曾经接收到对方的信息；,信息安全研究的内容,网络信息安全的关键技术,网络信息安全的关键技术主机安全技术身份认证技术访问控制技术加密技术防火墙技术安全审计/入侵检测技术安全管理技术,信息安全分类(1/5),监察安全监控查验发现违规，确定入侵，定位损害、监控威胁犯罪起诉起诉，量刑纠偏建议,信息安全分类(2/5),管理安全技术管理安全 多级安全用户鉴别技术的管理多级安全加密技术的管理密钥管理技术的管理行政管理安全人员管理系统管理应急管理安全应急的措施组织入侵的自卫与反击,信息安全分类(3/5),技术安全实体安全环境安全（温度、湿度、气压等）建筑安全（防雷、防水、防鼠等）网络与设备安全软件安全软件的安全开发与安装软件的安全复制与升级软件加密软件安全性能测试数据安全（数据加密，数据存储安全，数据备份）运行安全（访问控制，审计跟踪，入侵告警与系统恢复等）,信息安全分类(4-5/5),立法安全有关信息安全的政策、法令、法规认知安全办学，奖惩与扬抑，信息安全宣传与普及教育,网络信息安全策略,安全策略在特定环境里，为保证提供一定级别的安全保护所必须遵守的规则。是网络安全技术集成的基础主要手段法律手段：通过建立与信息安全有关的法律、法规技术手段：诸如入侵检测、防火墙、访问控制、密码体系等；管理手段：管理方法、管理体制，整体的信息安全意识,网络信息安全策略的5个方面,网络信息安全策略的5个方面物理安全策略访问控制策略防火墙控制信息加密策略网络安全管理策略,提纲,网络在当今社会中的重要作用网络世界中的安全威胁信息安全的内涵信息安全体系结构与模型网络信息安全管理体系网络信息安全评测认证体系网络信息安全与法律,知识点,网络参考模型和安全体系结构网络信息安全解决方案网络信息安全等级与标准,网络参考模型与安全体系结构,网络的体系结构采用分层原则层与协议的集合网络参考模型ISO - OSI （国际标准化组织-开放系统互连）模型TCP/IP模型（IETF）安全体系结构：ITU-T的X.800和IETF的RFC2808安全攻击：损害信息或信息系统安全的任何行为安全机制：用于检测、预防安全攻击或者恢复系统的机制安全服务：用于提供信息处理、存储系统和信息传输安全的服务，这些服务致力于抵御安全攻击安全模型网络安全模型：涉及信息在网络传输中的安全网络访问安全模型：涉及网络本身的安全,ISO安全体系结构,ISO安全体系结构安全服务安全机制安全管理,ISO安全体系结构,ISO安全体系结构安全服务安全机制安全管理,安全服务,安全服务由参与通信的开放系统的某一层所提供的服务，确保该系统或数据传输具有足够的安全性。ISO安全体系结构所确定的5大类安全服务认证访问控制数据保密性数据完整性不可否认,ISO安全体系结构,ISO安全体系结构安全服务安全机制为安全服务提供支持安全管理,安全机制,安全机制ISO安全体系结构定义的8大类安全机制加密机制数字签名机制访问控制机制数据完整性机制鉴别交换机制业务填充机制路由控制机制公证机制,ISO安全体系结构,ISO安全体系结构安全服务安全机制安全管理,安全管理,安全管理实施一系列安全政策，对系统和网络上的操作进行管理。系统安全管理安全服务管理安全机制管理,安全服务与攻击的关系,安全服务与机制的关系,知识点,网络参考模型和安全体系结构网络信息安全解决方案网络信息安全等级与标准,知识点,动态的自适应网络模型背景模型的提出P2DR安全模型5层网络安全模型,动态的自适应网络模型（1/4）,提出的背景基于静态密码体系的安全理论无法完整地描述动态的安全模型现有的安全标准未能涵盖可能的风险；基于经典的、传统的计算机安全防护手段已经不能有效保障网络安全，信息安全防卫体系发生动摇,动态的自适应网络模型（2/4）,模型的提出20世纪90年代末，美国国际互联网公司（ISS）提出了自适应网络安全模型ANSM（Adaptive Network Security Model)该模型可以量化，可由数学家证明,动态的自适应网络模型（3/4）,基于时间的安全模型P2DRPolicy Protection Detection Response模型描述安全=风险分析+执行策略+系统实施+漏洞检测+实时响应,P2DR安全模型,动态的自适应网络模型（4/4）,P2DR安全模型的特点强调系统安全的动态性，以安全检测、漏洞监测和自适应填充“安全间隙”为循环来提高网络安全，特别考虑到人为管理的因素特点安全管理的持续性、安全策略的动态性可测性（可控性）新技术的引入：利用专家系统、统计分析、神经网络等方法对现有网络行为进行实时监控报告和分析该模型已经成为目前国际上比较实际并可以指导信息系统安全建设和安全运营的安全模型框架，表明当前的信息安全是面向网管、面向规约的。,知识点,动态的自适应网络模型5层网络安全模型网络层的安全性系统的安全性用户的安全性应用程序的安全性数据的安全性,5层网络安全模型,5层网络安全模型在考虑网络安全时，应充分考虑哪些问题网络是否安全？操作系统是否安全？用户是否安全？应用程序是否安全？数据是否安全？,网络层的安全性系统的安全性用户的安全性应用程序的安全性数据的安全性,5层安全体系，各层之间并非孤立分散，而是相互作用。在实际操作中，需要从整体角度来考虑。,5层网络安全模型(1/5),网络层的安全性问题的核心：网络是否得到控制是否任何一个IP地址的用户都可以进入网络目的：阻止非信任IP的访问方法专用网（如军网）防火墙虚拟专用网（VPN）,5层网络安全模型(2/5),系统的安全性两个需要考虑的问题病毒对网络的威胁黑客对网络的破坏和入侵对策防病毒软件安全的系统配置，科学的风险评估和补漏机制，审计分析系统,5层网络安全模型(3/5),用户的安全性需要考虑的问题是否只有那些真正被授权的用户才能使用系统中的资源和数据方法分组分级管理身份认证存在的问题用户个人的安全警惕性技术漏洞,5层网络安全模型(4/5),应用程序的安全性需要考虑的问题是否只有合法的用户才能对特定的数据进行合法的操作应用程序对数据的合法权限应用程序对用户的合法权限,5层网络安全模型(5/5),数据的安全性需要考虑的问题机密数据是否还处于机密状态传输、保存过程和使用过程,知识点,网络参考模型和安全体系结构网络信息安全解决方案网络信息安全等级与标准,网络信息安全等级和标准,网络信息安全等级和标准国外TCSEC标准、欧洲ITSEC标准、加拿大CTCPEC评价标准、美国联邦准则FC、联合公共准则CC标准、BS7799标准（ BS7799-1目前已正式成为ISO国际标准， BS7799-2正在转换成ISO国际标准的过程中）我国GB17895-1999计算机信息系统安全保护等级划分准则其他具体请参看教材page:12-14,提纲,网络在当今社会中的重要作用网络世界中的安全威胁信息安全的内涵信息安全体系结构与模型网络信息安全管理体系网络信息安全评测认证体系网络信息安全与法律,知识点,信息安全管理体系的定义信息安全管理体系的构建,信息安全管理体系的定义,信息安全管理体系的定义信息安全管理体系（ISMS）标准英国标准协会 1995年制定1999年提交ISO2000年12月，经ISO成员国投票通过，部分已施行提供127种安全控制指南，对计算机网络与信息安全的控制措施进行了阐述主要内容信息安全对策、信息安全组织、信息资产分类与管理、个人信息安全、物理和环境安全、通信和操作安全管理、存取控制、信息系统的开发和维护、持续运营管理等,信息安全体系的建立,信息安全体系的建立网络与信息安全= 信息安全技术 + 信息安全管理体系,技术层面,管理层面,信息安全管理体系的构建,信息安全管理体系的构建定义信息安全策略合理，切合实际定义NISMS的范围点面结合，分层分级进行信息安全风险评估与本组织对信息资产风险的保护需求一致信息安全风险管理考虑如何避险以及对风险的承受能力确定管理目标和选择管理措施动态过程，考虑成本准备信息安全适用性声明信息安全是相对安全，不是绝对安全,提纲,网络信息安全基础知识网络信息安全体系结构与模型网络信息安全管理体系网络信息安全管理体系网络信息安全评测认证体系网络信息安全与法律,参考教材page:15-20,