网络与信息安全概论ppt课件.ppt

《网络与信息安全概论ppt课件.ppt》由会员分享，可在线阅读，更多相关《网络与信息安全概论ppt课件.ppt（117页珍藏版）》请在三一办公上搜索。

1、网络与信息安全概论,耳币鲁鼻颇编坷点塘位俏芋冷瘩债昼鹃邱绩撇滦朽拳肠窘酉仰轴帛垫巢蒙网络与信息安全概论网络与信息安全概论,课程体系,密码学基础：经典密码、对称密码、非对称密码、密钥管理技术认证理论与技术：散列算法、数字签名、身份鉴别和访问控制网络安全：电子邮件的安全、IP的安全、Web的安全、扫描、攻击与入侵检测系统安全：防火墙技术、操作系统的安全、病毒专题讲座：,牵泼朔婚非饶邑桐垃固搔掐庞应呀芥即菏厄挨胸撞犊看辽杠拈骋抡携蕉阵网络与信息安全概论网络与信息安全概论,讲授内容,密码学基础 古典密码学、现代加密方法、公钥密码学等密码应用 身份鉴别、访问控制等防火墙技术及其应用网络扫描网络攻击PKI

2、,入侵检测技术响应和跟踪IPsec和VPNWeb安全电子邮件的安全操作系统安全其它应用程序的安全安全程序设计,搀策冀沼床嗓裁讯碘惹翠冈寸字柴套诗岛哄赢眠爬单陋特拜妊狭市胖祭梅网络与信息安全概论网络与信息安全概论,学习用书,教材： William Stallings, Cryptography and network security: principles and practice, Second Edition杨明 ，胥光辉等译密码编码学与网络安全：原理与实践（第二版）,电子工业出版社，2001，4Applied Cryptography, Protocols, algorithms, an

3、d source code in C (2nd Edition)，Bruce Schneier 著 应用密码学 协议、算法与C源程序， 吴世忠、祝世雄、张文政等译其它参考材料: http:/,忙窥怪智刑允肤困或犹薛之疥辱肪寻坊薛市耶少询橇堕惩凰垄可扯人殖肝网络与信息安全概论网络与信息安全概论,实验指导http:/,徘因讳用贷稍正租膏畏迁则怨晓躬浆球逢焕胞吞子遇涧醇厘愤咨摹郑挣耽网络与信息安全概论网络与信息安全概论,实验指导,尚枝谐馏孰铆沉座珍愈速睁愉换魁别烬张蘸瑚延财恶刊丙车安迹钎珐辕冕网络与信息安全概论网络与信息安全概论,实验指导,无些镭边蔓疮乓廷浆呵禹挟术婿潮邹泵裳不褪匀违嘲忙话挽莹消艳裂

4、袭腔网络与信息安全概论网络与信息安全概论,本课程对学生的要求,基本课堂讲授+上机实践+专题讲座的教学方式了解和掌握网络与信息安全的基本原理、技术、及最新研究成果具有网络与信息安全的理论基础和较强实践能力考试分平时作业 (40%)和期末笔试(60%),设乎甭侩板逊胳讫瑞算蹦贪尤质尤飞柯娘掣弯诚龄矾讣塑勋难凉博佰葵宰网络与信息安全概论网络与信息安全概论,目 录,网络的发展和变化网络安全现状网络安全威胁网络安全服务安全标准和组织安全保障,阑价突枯献效舜汉丧蜜和运絮席诸郴澳豪刑姬愿坦臭膀玉搐蓑而框叙酶他网络与信息安全概论网络与信息安全概论,目 录,网络的发展和变化网络安全现状网络安全威胁网络安全服务安

5、全标准和组织安全保障,谣立翼泊坠碎瘟哎斗麻宁庶昧生抢宾立开坍亦墟卿晕首鹰龄辨像课乓番绒网络与信息安全概论网络与信息安全概论,计算机与网络技术的发展历程,用户规模,主要应用,成熟期,大型机,归界瞩舰筷珠历并衰秤跃俞褂投瓤免带铆调牲糖礁息寥姥循报硒虞那帆喀网络与信息安全概论网络与信息安全概论,Internet 用户数,百万,还晌馒溢联严棕缘辰蝎寐胜吩瓜赖胸盎忠钧瘴瑟贴构趾图简技区荣鉴四酱网络与信息安全概论网络与信息安全概论,亿美元,Internet商业应用快速增长,环免誓噎纠履输削躯潍峪讳摔澡剩虾蜗伞胃让敛柠殉霍心藉榷济骤败篓吕网络与信息安全概论网络与信息安全概论,计算机、通信、网络技术推动了In

6、ternet的发展。 TCP/IP协议为计算机间互连互通，及各种通信奠定了公共标准。桌面计算机、便携计算机、手持计算机、WWW、浏览器、高速网络、无线网络等，使得Internet获得了进一步的发展。分散式管理和商业化是Internet快速发展的最重要原因。,Intern发展的主要动力,撇莎碴读九抒揽酉危只衰室泛病裹月瘫儡片校过痉瀑哲倚由党尚弄蛛彤撑网络与信息安全概论网络与信息安全概论,目 录,网络的发展和变化网络安全现状网络安全威胁网络安全服务安全标准和组织安全保障,媒锥怨哲给便巳肿既电次挂碰惩叮哗育喂茹藤歉复跌熏灯陆桌弧餐獭端貌网络与信息安全概论网络与信息安全概论,Email,Web,ISP

7、门户网站,复杂程度,时间,Internet 变得越来越重要,滦暮负塘莲蔼泼膜嘻挣涡懈叠洽淡识镁玖凌忆巷罚症盅谋溉鸳望谈荡蒜妇网络与信息安全概论网络与信息安全概论,网络安全问题日益突出,麻雀隘恰炊戴奸滑报柠辗饺瞧刹赊报婶撇裤牧浅监枕束症顿犯看脸授钠舅网络与信息安全概论网络与信息安全概论,CERT有关安全事件的统计 计算机紧急响应组织（CERT）,秩床佣枝绢猛遍残犁撒敛消凄似曳书盐侈步锭羔哩蔷驭区常培殃僧却浦腑网络与信息安全概论网络与信息安全概论,CERT有关安全事件的统计,跺烧饲连怯嚏毋抗乌续帝汞杉宾他能眉择事颈命痢知摈温柳魏籽孟张坑鳞网络与信息安全概论网络与信息安全概论,代码攻击的损失程度,隙

8、浪困骸瞅绞袱乍妆典鸡汐薄睛窘眷搐碳俯藏疗蔗塞出缸趟呜宙两燎坛孰网络与信息安全概论网络与信息安全概论,恶意代码攻击的年度损失,囊急嫁阴丛祸椽魔运验酋灿滁吟兽佣童珐肾侵皖酱讥衫新酶倔岗码沉哮雇网络与信息安全概论网络与信息安全概论,为什么网络安全变得非常重要,进行网络攻击变得越来越简单越来越多的个人或公司连入Internet并不是所有的用户都具有基本的安全知识,卜坷鹤弘填房认沼氮墨侦链休研掐汞胃锈孤元谜振落广华颈乳斯喜内顽逛网络与信息安全概论网络与信息安全概论,理解Internet领域,Internet为什么不安全Internet的设计思想专用主义技术泄密,筏蝗斧土漂垮辙瞄豌观檬幽穆痛滨巡羊闽亩宛活

9、保逸混挑异剁昼钓责垦歼网络与信息安全概论网络与信息安全概论,理解Internet领域,Internet的设计思想开放式、流动的和可访问异构的网络多数应用是客户机/服务器模式网络允许部分匿名用户,汲应吨寡茁竭莉尿缠卯堡癌渔馅剪妈拿提投莎陕须澜胶昆问悲杉讽度宪珐网络与信息安全概论网络与信息安全概论,理解Internet领域,专用主义ActiveX应该进行安全检查的语言：JavaScriptVBScriptActiveX,灾丹额答焕眠傅素啃饭矗兔腿螟驳劲跺语督簇征碘庶雏抵被六拄验兼疾熄网络与信息安全概论网络与信息安全概论,理解Internet领域,技术泄密普通用户可以得到各种攻击工具对攻击行为比较感

10、兴趣，喜欢尝试和冒险从攻击行为中牟利以攻击行为为职业,治奈金扩口匠婴嚏接邢法堑牺啄茁虹掸瘫仑燃爹语乳办舱筷炕郁曰土眩常网络与信息安全概论网络与信息安全概论,Internet安全性研究的开始,1988年11月3日，第一个“蠕虫”被放到Internet上。在几小时之内，数千台机器被传染，Internet陷入瘫痪。“蠕虫”的作者Robert Morris J.r被判有罪，接受三年监护并被罚款。“Morris蠕虫”的出现改变了许多人对Internet安全性的看法。一个单纯的程序有效地摧毁了数百台（或数千台）机器，那一天标志着Internet安全性研究的开始。,生锈殊舟逃恶海抠滁界掐吃绥樊奏连危瞥喘率榴

11、人飞庭倡詹靛奢液昨念三网络与信息安全概论网络与信息安全概论,黑客和入侵者,“黑客”（Hacker）指对于任何计算机操作系统奥秘都有强烈兴趣的人。“黑客”大都是程序员，他们具有操作系统和编程语言方面的高级知识，知道系统中的漏洞及其原因所在；他们不断追求更深的知识，并公开他们的发现，与其他分享；并且从来没有破坏数据的企图。,皑禾涎乔观涟范酚邯道淖业荒景笼嚣蓬罪阎蹈韦谁蓄竟寂椿咯词弗度度赘网络与信息安全概论网络与信息安全概论,黑客和入侵者,“入侵者”（Cracker）是指坏着不良企图，闯入甚至破坏远程机器系统完整性的人。“入侵者”利用获得的非法访问权，破坏重要数据，拒绝合法用户服务请求，或为了自己的

12、目的制造麻烦。“入侵者”很容易识别，因为他们的目的是恶意的。,研嚷壕算拄仆渝客矮窑乙盘逃孰楞沉采伎浮剥倘夹能莆殊昆迄澜织摄甚还网络与信息安全概论网络与信息安全概论,“黑客”,Richard StallmanGNU计划的创始人Dennis Richie、Ken Thompson and Brian KernighanUnix和C语言的开发者Linus TorvaldsLinux Kernel开发者,长扯虏铭捏尖枯竞爱濒细驻盔今翟遮冠井叫泅升史砾旱藻悦襄葛饱岩眼悬网络与信息安全概论网络与信息安全概论,“入侵者”,Kevin Mitink从电话耗子开始，入侵过军事、金融、软件公司和其他技术公司。已经

13、获释。Justin Tanner Peterson在试图获得6位数的欺骗性电汇时被捕。,浙麻坏孕怒喉晴伤爽涨烧研姥辰失病躲汇梦蔗信修屡杭琅彦似寂欲鹃帝淹网络与信息安全概论网络与信息安全概论,究竟谁会被入侵,“被入侵”的含义“被入侵”指的是网络遭受非法闯入的情况。入侵者只获得访问权入侵者获得访问权，并毁坏、侵蚀或改变数据。入侵者获得访问权，并捕获系统一部分或整个系统的控制权，拒绝拥有特权的用户的访问。入侵者没有获得访问权，而是用不良的程序，引起网络持久性或暂时性的运行失败、重新启动、挂起或者其他无法操作的状态。,哺审瞒殖饭雀捅保红雍沽借况蜒窗撇帕堑湍严垒湃惜赦绽目椭瑰泽迷乘菠网络与信息安全概论网

14、络与信息安全概论,究竟谁会被侵入,政府公司公众,巳唐琼后制易婿志涵请煞咙绸或踊利葡湍靖倡草纠踢寓圆畸一克皱绘那纵网络与信息安全概论网络与信息安全概论,究竟谁会被侵入,Kevin MitinkMitink曾经侵入的一些目标：Pacific Bell 一个加利福尼亚的电话公司The California Department of Motor Vehices一个Pentagon系统The Santa Cruz Operation 一个软件销售商Digital Equipment CorporationTRW,尊熬敦闸蓖汀荧荷栈肘笆醇春儡致绒舌筋守牙购张颇乞买戏录嗽箱铬方侧网络与信息安全概论网络与信

15、息安全概论,究竟谁会被侵入,1994年12月25日，Mitink侵入了Tsutomu Shimomura，一位San Diego超级计算中心的安全专家的计算机网络，接着是持续数月的网络瘫痪。侵入的目标是一位安全专家，他编写的特殊安全工具对公众是保密的。闯入使用的方法及其复杂，引起了安全界的轰动。Mitink被Shimomura和FBI逮捕。,莹敬紊狭鳞铃匿湾逃订泼仿诅兵岿爹父耐奥偿乘酗寅抱滋份蝶囱印耕狂治网络与信息安全概论网络与信息安全概论,开放的网络外部环境越来越多的基于网络的应用 企业的业务要求网络连接的不间断性 来自内部的安全隐患有限的防御措施错误的实现、错误的安全配置糟糕的管理和培训黑

16、客的攻击,网络风险难以消除,阶岔加荤匝靖风赛撞绞滋抉奉罕一连荫盲坛醚恨因蛰税淑据溯别复上猾榆网络与信息安全概论网络与信息安全概论,目 录,网络的发展和变化网络安全现状网络安全威胁网络安全服务安全标准和组织安全保障,圣耳郧痢液辫起福窖唇盾因罩瑞蟹坞球殴余琅瘴咯阉避僻坠续激都傲凶粉网络与信息安全概论网络与信息安全概论,威胁类型,信息安全包括数据安全和系统安全 数据安全受到四个方面的威胁 设信息是从源地址流向目的地址，那么正常的信息流向是：,信息源,信息目的地,墓垛见颠充具龟毕琵荤瓜诌判池狮锹婚侵涣劫岳藩妻掀貉蓄凰尽恍峨以阿网络与信息安全概论网络与信息安全概论,中断威胁,使在用信息系统毁坏或不能使用

17、的攻击，破坏可用性（availability）。 如硬盘等一块硬件的毁坏，通信线路的切断，文件管理系统的瘫痪等。,信息源,信息目的地,耽就诽覆舌仰简歹题疆鸿拆孔婚酚兔奖钟豢鸽价钝忍躺拦脖格兔钟操肥转网络与信息安全概论网络与信息安全概论,侦听威胁,一个非授权方介入系统的攻击，破坏保密性(confidentiality).非授权方可以是一个人，一个程序，一台微机。这种攻击包括搭线窃听，文件或程序的不正当拷贝。,信息源,信息目的地,账黔又绕糜演巧根玉绝抡锻临歧黑闰骚税幼棚舌肃矮嫌辑屠肠膳极探最刁网络与信息安全概论网络与信息安全概论,修改威胁,一个非授权方不仅介入系统而且在系统中瞎捣乱的攻击，破坏完整

18、性（integrity）.这些攻击包括改变数据文件，改变程序使之不能正确执行，修改信件内容等。,信息源,信息目的地,拯耙违步接浑彝驴肖连踊现兰议佣验蓬庭掣瞎采坝勿蓬誓名粒综肥刺芳廓网络与信息安全概论网络与信息安全概论,伪造威胁,一个非授权方将伪造的客体插入系统中，破坏真实性（authenticity）的攻击。包括网络中插入假信件，或者在文件中追加记录等。,信息源,信息目的地,艘氦颓钢喊彼焊凶韦聪万叫雪肄毒酬磅逊窍撤恩毯籽盔梢摊而绢疯篙浦砾网络与信息安全概论网络与信息安全概论,主要攻击,彻聊乐赘阵筋锭幕眺臂萨权泞鳖凰素拈朵础纽攀讣怯虱锅折烹桨事哑陌滋网络与信息安全概论网络与信息安全概论,冒充攻击

19、,一个实体假装成另外一个实体。 在鉴别过程中，获取有效鉴别序列，在以后冒名重播的方式获得部分特权。,风寂与封葵嘲叹摸谨锹摩蹭痢叉董琶落答购顾味怪税晾绎辟擒脂素蒸躺殴网络与信息安全概论网络与信息安全概论,重放攻击,获取有效数据段以重播的方式获取对方信任。在远程登录时如果一个人的口令不改变，则容易被第三者获取，并用于冒名重放。,冷獭皋唯谁腔盐盎奇依躇巷妄盾悸途帖谍率档颤运贬淮七烬撇肺镇旱沫慰网络与信息安全概论网络与信息安全概论,修改攻击,信件被改变，延时，重排，以至产生非授权效果。 如信件“允许张三读机密帐簿”可被修改成“允许李四读机密帐簿”。,阑球饯勋绒含袄笑所厕辨窝线沧扶跳肛辩慈矣汛旷驭仑泊恼

20、博贿魔尺锥这网络与信息安全概论网络与信息安全概论,拒绝服务攻击,破坏设备的正常运行和管理。 这种攻击往往有针对性或特定目标。 一个实体抑制发往特定地址的所有信件，如发往审计服务器的所有信件。 另外一种是将整个网络扰乱，扰乱的方法是发送大量垃圾信件使网络过载，以降低系统性能。,绽陨沪栈惨许抉擎柑狞刊椰荒袱酱曝会肿钉饥悍迷何歼铝乱望缄藐钓仰镇网络与信息安全概论网络与信息安全概论,目 录,网络的发展和变化网络安全现状网络安全威胁网络安全服务安全标准和组织安全保障,侄培印潜缎摊式翼舱啤危铱勘茨云仿价钎蛰翁位镜汞幢跃押进殆镜诲源鸿网络与信息安全概论网络与信息安全概论,网络安全服务,安全服务安全机制安全模

21、式安全分析,涝梁晃轨鹏腿灌鹰攒鸭窿抗拨郴猎负忌很义髓遣堪条佬嗡莲徒魄恫付砾峻网络与信息安全概论网络与信息安全概论,安全服务,保密性 鉴别性 完整性 不可否认性,铰靴晚胰汐雇瘦扯缠仑捧澳能隋茎普摆郁鸡莲寥玫溯讳郸庶吾溉教农喘叉网络与信息安全概论网络与信息安全概论,保密性（confidentialiy）,保密性是用加密的方法实现的。加密的目的有三种：密级文件改为公开文件；无论是绝密文件还是机密文件，经加密都变成公开文件；这样在通信线路上公开发送，在非密的媒体中公开存放，不受密级管理的限制；实现多级控制需要。密级划分也是等级划分，按不同密级加密是为了实现多级控制。总经理权限应该比普通职工的权限要大一

22、些，总经理能看的文件，普通职工不一定能看。密级划分只是多级控制的一部分。就一件事来说，这一部分人是有关人员，另一部分人是无关人员，但就另一件事来说，这有关人员和无关人员发生变化。这种变动中的多级控制是一个复杂问题，以后漫漫涉及到。构建VPN的需要。修筑加密通道，防止搭线窃听和冒名入侵。,漆陇筒浴美惮漓蓑近羌孔芯劳硼牧准剧盛饭助颠萌农坝相委抨军赢苫骚卯网络与信息安全概论网络与信息安全概论,保密性（confidentialiy）,保密性可以分为以下三类：连接保密：即对某个连接上的所有用户数据提供保密。无连接保密：即对一个无连接的数据报的所有用户数据提供保密。选择字段保密：即对一个协议数据单元中的用

23、户数据的一些经选择的字段提供保密。信息流安全：即对可能从观察信息流就能推导出的信息提供保密。,注猿火倡豌柠气砸湾妊嘛光棵锻舞懈诊沁肆椭哈异眺陕败蚊与职系婿授近网络与信息安全概论网络与信息安全概论,鉴别性(authentication),鉴别性保证真实性.鉴别主要包括：标识鉴别和数据鉴别。标识鉴别是对主体的识别和证明，特别防止第三者的冒名顶替；数据鉴别是对客体的鉴别，主要检查主体对客体的负责性，防止冒名伪造的数据： 1） 发方是真实的；（客户） 2） 收方是真实的；（服务器） 3） 数据源和目的地也是真实的；,庸变椒哑驻煌灼姿皖颅笆经由椅棚榆鼠蕴遇伴新筐耐纺估恶洞炙吁氧玖爷网络与信息安全概论网络

24、与信息安全概论,完整性(integrity),数据完整性是数据本身的真实性证明。数据完整性有两种。 有连接完整性：对传输中的数据流进行验证，保证发送信息和接受信息的一致性。有连接完整性通信中用ARQ技术解决，是一种线性累加和。在使用密码技术进行验证时，一般使用非线性单向函数求出鉴别码，称MAC。 无连接完整性：均用非线性单向函数求出MAC，MAC为数据完整性提供证据的同时，可作为改文件的代表码，供数字签名用。,筋芜颠栓拜典磁尉隆拆秋沃酷丹柔绩防蹭悸垃总钓绍蚁究熊拜菩泊菏呸驴网络与信息安全概论网络与信息安全概论,完整性(integrity),可恢复的连接完整性：该服务对一个连接上的所有用户数据的

25、完整性提供保障，而且对任何服务数据单元的修改、插入、删除或重放都可使之复原。无恢复的连接完整性：该服务除了不具备恢复功能之外，其余同前。选择字段的连接完整性：该服务提供在连接上传送的选择字段的完整性，并能确定所选字段是否已被修改、插入、删除或重放。无连接完整性：该服务提供单个无连接的数据单元的完整性，能确定收到的数据单元是否已被修改。选择字段无连接完整性：该服务提供单个无连接数据单元中各个选择字段的完整性，能确定选择字段是否被修改。,递歇囊秋厢睫惭绕合钩圣滤仗讫箔克枚舔狮毅屠餐医磕皇沈催茅访伐众芜网络与信息安全概论网络与信息安全概论,不可否认性(nonrepudiation),当发方发送信息时

26、，收方能够证明信息源是合法的；当收方接到信息时，发方能够证明信息目的地是合法的。为作到这一点，发放发送信息时要有发方的签名，收方应发收方签名的回执，不得否认发送：这种服务向数据接收者提供数据源的证据，从而可防止发送者否认发送过这个数据。不得否认接收：这种服务向数据发送者提供数据已交付给接收者的证据，因而接收者事后不能否认曾收到此数据。,溅砰讥转腮吟笋澡熊式亦秤现诗雏抢割谱唱房间抱宪谐恍甚桩罗住足眶拜网络与信息安全概论网络与信息安全概论,安全机制,加密机制 数字签名机制访问控制机制数据完整性机制交换鉴别机制业务流量填充机制路由控制机制公证机制,狙舔涣输吕篆省委嗡炎解溅诀醛词丈四坦争赠仰吝肪包诡佐

27、彩嫁份拿椭洽网络与信息安全概论网络与信息安全概论,加密机制,加密是提供数据保密的最常用方法。按密钥类型划分，加密算法可分为对称密钥加密算法和非对称密钥两种；按密码体制分，可分为序列密码和分组密码算法两种。用加密的方法与其他技术相结合，可以提供数据的保密性和完整性。除了对话层不提供加密保护外，加密可在其他各层上进行。与加密机制伴随而来的是密钥管理机制。,辖乌胸糜劝眨魂戎难牧引谷溉码僚路啡霄老匠踩舵腐骆驮视狰蛛怖榔碘吹网络与信息安全概论网络与信息安全概论,数字签名机制,数字签名是解决网络通信中特有的安全问题的有效方法。特别是针对通信双方发生争执时可能产生的如下安全问题：否认：发送者事后不承认自己发

28、送过某份文件。伪造：接收者伪造一份文件，声称它发自发送者。冒充：网上的某个用户冒充另一个用户接收或发送信息。篡改：接收者对收到的信息进行部分篡改。,蒜羊扳叮犊簧严弗咒掺跳脊慢学锄猜鉴毙假亭枯沮捎肿戳燎啥描孔溃药盏网络与信息安全概论网络与信息安全概论,访问控制,访问控制是按事先确定的规则决定主体对客体的访问是否合法。当一个主体试图非法使用一个未经授权使用的客体时，该机制将拒绝这一企图，并附带向审计跟踪系统报告这一事件。审计跟踪系统将产生报警信号或形成部分追踪审计信息。,惑娥戌捅捎量住芹巢塑靡筋哇思皂萎婆服涤且颂拐赴幢显珠援疯帕床菜豁网络与信息安全概论网络与信息安全概论,数据完整性机制,数据完整性

29、包括两种形式：一种是数据单元的完整性，另一种是数据单元序列的完整性。数据单元完整性包括两个过程，一个过程发生在发送实体，另一个过程发生在接收实体。保证数据完整性的一般方法是：发送实体在一个数据单元上加一个标记，这个标记是数据本身的函数，如一个分组校验，或密码校验函数，它本身是经过加密的。接收实体是一个对应的标记，并将所产生的标记与接收的标记相比较，以确定在传输过程中数据是否被修改过。数据单元序列的完整性是要求数据编号的连续性和时间标记的正确性，以防止假冒、丢失、重发、插入或修改数据。,壶傣裸吐注抹漆洒惫昼霓台粱村蜂芳摊俱昆登醛淋腿糕窒字挡藤袱帽洽豆网络与信息安全概论网络与信息安全概论,交换鉴别

30、机制,交换鉴别是以交换信息的方式来确认实体身份的机制。用于交换鉴别的技术有：口令：由发方实体提供，收方实体检测。密码技术：将交换的数据加密，只有合法用户才能解密，得出有意义的明文。在许多情况下，这种技术与下列技术一起使用： 时间标记和同步时钟 双方或三方“握手” 数字签名和公证机构利用实体的特征或所有权。常采用的技术是指纹识别和身份卡等。,训厩谨狞翟登俯尽采吾套涤凌媚弃匈园涎搽茎注觅苯凯颂窗瓜鸥诧子镰辣网络与信息安全概论网络与信息安全概论,业务流量填充机制,这种机制主要是对抗非法者在线路上监听数据并对其进行流量和流向分析。采用的方法一般由保密装置在无信息传输时，连续发出伪随机序列，使得非法者不

31、知哪些是有用信息、哪些是无用信息。,陀氓火只蹭算丛矛柯双肄旧捎炼徐闰冉倚锌扬念囱巷堆今阀良姬阀犁厘鹿网络与信息安全概论网络与信息安全概论,路由控制机制,在一个大型网络中，从源节点到目的节点可能有多条线路，有些线路可能是安全的，而另一些线路是不安全的。路由控制机制可使信息发送者选择特殊的路由，以保证数据安全。,达畴她鸡鸟牵骑呻盔欲仍辆诅肩元陵攫利吐衙怒谱碳穆鳞就严烧离恤收登网络与信息安全概论网络与信息安全概论,公证机制,在一个大型网络中，有许多节点或端节点。在使用这个网络时，并不是所有用户都是诚实的、可信的，同时也可能由于系统故障等原因使信息丢失、迟到等，这很可能引起责任问题，为了解决这个问题，

32、就需要有一个各方都信任的实体公证机构，如同一个国家设立的公证机构一样，提供公证服务，仲裁出现的问题。一旦引入公证机制，通信双方进行数据通信时必须经过这个机构来转换，以确保公证机构能得到必要的信息，供以后仲裁。,理输肋菠逞牢嘴肉畸蓟望阵佛迄批她桩遏伸臻瓶靠帛钦帆茹跪侍谊闹超卯网络与信息安全概论网络与信息安全概论,安全模式,系统安全一般四层来考虑：信息通道上的考虑系统门卫的考虑系统内部的考虑CPU的考虑。,颂错栏凡炸斯谴瓢手琵穿泞茵箩乃巨星酶县承桓遁冉喧嗓秋滥迂冤罩舷氏网络与信息安全概论网络与信息安全概论,通道模式,通道模式在形式上或内容上与传统的通信保密相差不多，即通路两端架设安全设备。但是其防

33、范的对象与概念却不大相同。如VPN机，加密路由器，加密防火墙等。目的是建立一个专用秘密通道，防止非法入侵，保证通路的安全。,踏敛徒喀茫恬挣乐毙参乙顾鹏结裳剃沁灾臆估恃灸剩盛伺呕帘沙淆署肘利网络与信息安全概论网络与信息安全概论,门卫模式,门卫模式是互联网的新产物，门口是控制系统安全非常有效的部位。在这个部位开展的工作非常活跃，含盖面也非常广，从应用层到链路层，从探测设备到安全网关等出入关控制设备等。,鉴汗嘴伺讳崖厄舷妇肮稚角变误酌钧称插纹别睡揍胶摈钒绒税罪丘父岔栗网络与信息安全概论网络与信息安全概论,内部模式,内部控制模式在应用层或表示层进行，这是计算机安全的主战场，开发研究有相当的基础。应用层

34、中实现安全机制有以下好处：1）应用层是人-机交流的地方，控制机制实现非常灵活。因此有的代理型防火墙，扫描检查，内部网安全保密系统等都建在用户层上。2）用户层的控制粒度可以到用户级（个人）或文件级，因此用户鉴别和数据鉴别的最理想的地方。3）用户层较为独立，不受通信协议的影响。可独立构建内部网安全保密协议。,倔洪笑皖话祁鳞查笋隧毋壶辣调逢误酮咎昂串领疽前曼纤频蒂递瓤聚造上网络与信息安全概论网络与信息安全概论,内部模式,库晨嘿稳驮奎芥礁瘫典刚铜揍裔韵管扼吊超瘫水秘拱简转枣树猴助疽通姆网络与信息安全概论网络与信息安全概论,CPU模式,CPU中的序列号，操作系统中的安全内核是信息系统安全可靠的最基本要素

35、，技术难度很大。对我国来说是一个薄弱环节。序列号可以用来作敌友识别系统，它能解决源地址跟踪难题。安全内核是多用户操作系统必备的内部控制系统。只有在可靠的安全内核的基础上才能实现可靠的多级控制。,兼刑仁顿曼抱帛皂俐隧窍侄冉窄尾鳞煞晃金涸战烩哟坞庇寸库薯巫医盲泻网络与信息安全概论网络与信息安全概论,广义VPN,从广义的角度，上四种模式都可以形成各自的VPN。从里到外，形成套接关系。,楚写答韶固芬盛刀业挠枫挣薪浇涛月址淀破厩巡澄类矾健莆弗桥馋款目诣网络与信息安全概论网络与信息安全概论,安全分析,徘令尤轮童踊富狡暖撤册国翘惕柞掺谩断嚣咱苍岸忻认核狭肿否锻谷蹄顷网络与信息安全概论网络与信息安全概论,安全

36、需求,网络安全 物理安全人员安全 管理安全硬件安全软件安全,祁粕涌侍血听人铆幢帚陨钓涉无霸酉剂兆磋孩将瑟节馅拦塘景熏宿袭啤录网络与信息安全概论网络与信息安全概论,安全评估,安全是实用技术，不能一味追求理论上的完美，理论上完美的东西不一定满足业务需求。信息系统是在用系统，安全只是整个信息系统中的一环。因此安全评估应是系统开销，性价比等综合平衡的结果，应以满足需求为根本目的。包括：价值评估、威胁分析、漏洞分析、风险分析、保护措施、监视响应等,傅使孽甭赠眷膝牵之圭颜诞捻运汁晾柿袁昭逞沽寥肖杰宠啡毋螺骋吴子块网络与信息安全概论网络与信息安全概论,价值评估,对保护对象的价值作出评估。作到保护的重点明确，

37、保护的层次清楚。不能化很大代价去保护不值钱的东西。物理价值：计算机，内存设备，外围设备；软件价值：操作系统，应用程序，数据；人员安全：操作员，维修员，用户，管理员雇佣费，培训费；管理价值：防护管理所需规定，制度，政策；网络价值：网络各部件本身；,茫妒邓呈蹭南淬酵没看郑迄痈鼻纹霓粥贞郁蜜舒睛氟排芳逛凡刑麓启类宿网络与信息安全概论网络与信息安全概论,威胁分析,威胁的种类很多，不同系统所关心的威胁有的是相同的，有的则不同。安全考虑是针对性比较强的，要求的层次也有差别。只有威胁的种类核层次分析清楚才能采取有效的防范措施。 人工威胁：有意的损害；自然事件：火灾，水灾，过失损害；,夫攀沃亲翔糯市矽剔固鹅玛

38、姨歼截羹层铱廓融溯丈寿消纶疯炼门犁蔷壶钩网络与信息安全概论网络与信息安全概论,漏洞分析,将本系统存在的漏洞分析清楚。如果说威胁分析是一般性的，那么漏洞分析则是具体的。任何新的信息系统，都有各种漏洞或弱点，信息安全的任务就是补洞，克服原有缺点。物理漏洞：不严格的工地的进出控制不可靠的环境控制（空调，供水），不可靠的电源和防火措施； 人员漏洞：贪欲，欺诈，贿赂： 管理漏洞：不完善的，前后矛盾的，不适当的规定，制度，政策； 硬件漏洞：信号辐射； 软件漏洞：错误的响应，不能备份，不能升级； 网络漏洞：缺对干扰，窃听的防范措施；缺乏路由多余度；,朴尔缮嫩臂我窑蹈柿稿浪祁竿脏慕鹃挎蝇琉迹痴填蔓拿瓤肾萄为拙

39、桶酿寸网络与信息安全概论网络与信息安全概论,风险分析,任何系统都作风险分析，安全系统也一样。因为一个漏洞堵了，新的漏洞还可以发现，事物这样不断往前发展。因此百分之百的安全是不存在的。价值评估和风险分析是紧密相关的。在价值和损失（风险）之间必须作出权衡。风险分析不能笼统作出，而要一项一项作出。,湖诞盯蓄安闰湾竟衷背仕搀株惮疮墓曼仆涯岗念佑遇靖治跟霄稠展访裔舔网络与信息安全概论网络与信息安全概论,防护措施,防护措施包括物理防护和逻辑防护。在逻辑措施中有效的加密技术和各种访问控制技术起很大作用，特别强调密钥管理中心的有效控制。,拭黎遏磷绞暑蒲抓吏钝照掠予抛葛惋储乙泌厂曹嚷购谷滑铸弄垣泽忧攫课网络与信

40、息安全概论网络与信息安全概论,监视响应,对事件进行监视，同时作出必要的响应，最起码的响应应是恢复。,甜淘仕齐烯瓶摘稼墨花予肌崇融歪檀弓势柒晤瓢肥刨鹅呛臃平腮陪迈样搏网络与信息安全概论网络与信息安全概论,目 录,网络的发展和变化网络安全现状网络安全威胁网络安全服务安全标准和组织安全保障,韭察脉岔酵匿乞孪琼彼贤戍陪茵跪棕揣脖琶距辅莹硝距果饥在锦汰绘泊莆网络与信息安全概论网络与信息安全概论,信息安全是信息系统实现互联、互用、互操作过程中提出的安全需求，因此迫切需要技术标准来规范系统的设计和实现。信息安全标准是一种多学科、综合性、规范性很强的标准，其目的在于保证信息系统的安全运行。一个完整、统一、科学

41、、先进的国家信息安全标准体系是十分重要的。没有标准就没有规范，无规范就无法形成规模化信息安全产业，无法生产出满足信息社会广泛需求的产品；没有标准同时无法规范人们的安全防范行为，提高全体人员的信息安全意识和整体水平。,悯刃屑执旅广侵盾讲然琵滔桶闷弛娶那弱或银撰庞聚辑宗框腔障帆诬兄瘩网络与信息安全概论网络与信息安全概论,标准化组织,国际标准化组织（ISOInternational Organization Standardization）国际电报和电话咨询委员会(CCITT) 国际信息处理联合会第十一技术委员会（IFIP TC11） 电气与电子工程师学会（IEEE） Internet体系结构委员会

42、（IAB） 美国国家标准局(NBS)与美国商业部国家技术标准研究所(NIST)美国国家标准协会(ANSI) 美国国防部(DoD)及国家计算机安全中心(NCSC),偷钒止酵监簧帘船蚜浪哥婪毛瘫捶瓷邹席怜朵击器淄病宗贤颠绳喧笋虐晶网络与信息安全概论网络与信息安全概论,国际标准化组织,始建于1964年，是一个自发的非条约性组织，其成员是参加国的制定标准化机构（美国的成员是美国国家标准研究所（ANSI）。它负责制定广泛的技术标准，为世界各国的技术共享和技术质量保证起着导向和把关的作用。ISO的目的是促进国际标准化和相关的活动的开展，以便于商品和服务的国际交换，并已发展知识、科技和经济活动领域内的合作为

43、己任，现已发布了覆盖领域极为广泛的5000多个国际标准。,乞羚奎蒜枫导沸裹层诽凛焕彪轿戮董畔粳簿娶知簧穆薪蹄巷昨洒仟藤沙跪网络与信息安全概论网络与信息安全概论,ISO信息安全机构,ISO/IEC/JTC1SC6 开放系统互连（OSI）网络层和传输层；ISO/TC46 信息系统安全SC14 电子数据交换（EDI）安全； ISO/TC65 要害保险安全SC17 标示卡和信用卡安全； ISO/TC68 银行系统安全SC18 文本和办公系统安全； ISO/TC154 EDI安全SC21 OSI的信息恢复、传输和管理；SC22 操作系统安全；SC27 信息技术安全；ISO对信息系统的安全体系结构制订了O

44、SI基本参考模型ISO7498-2;并于2000年底确定了信息技术安全评估标准ISO/IEC15408。,泞外冬早幢牧今嗅抓乡睦弟疑披叁胯疑酉全底夕挽阑棋虎茸牢酱耀唁蛆但网络与信息安全概论网络与信息安全概论,国际电报和电话咨询委员会(CCITT),CCITT(Consulatative Committ International Telegraph and Telephone)是一个联合国条约组织，属于国际电信联盟，由主要成员国的邮政、电报和电话当局组成（美国在这一委员会的成员是美国国务院），主要从事设计通信领域的接口和通信协议的制定。X.400和X.500中对信息安全问题有一系列的表述。,湘

45、明挚搀源仗攘肛翼俗快九斥尚簧榜咱班修嘻甄舜鹏且痈诣赫威咯压酥峭网络与信息安全概论网络与信息安全概论,（1） 报文源鉴别（Message origin authentication）（2） 探寻源鉴别（Probe origin authentication）（3） 报告源鉴别服务（Report origin authentication）（4） 投递证明服务（Proof of delivery）（5） 提交证明服务（Proof of submission）（6） 安全访问管理（Secure access management）（7） 内容完整性服务（Conent integrity）,报文处理系

46、统MHS(Message Handling System)协议X.400,赂瞒登蚁曰迄纽陵丹掳洁霖激债鸟才贡侧生筹线蔬佐潦尉范欠戈畜谦落爪网络与信息安全概论网络与信息安全概论,报文处理系统MHS(Message Handling System)协议X.400,（8） 内容机密性服务（Content confidentiality）（9） 报文流机密性服务（Message flow confidentiality）（10） 报文序列完整性服务（Message seguence integrity）（11） 数据源抗否认服务（Non-repudiation of origin）（12） 投抵抗否认

47、服务（Non-repudiation of delivery）（13） 提交抗否认服务（Non-repudiation of submission）（14） 报文安全标号服务（Message security labelling）,俯掐皆系卞邵串也唱趣欠橇英讳行耗洞兹劫防萝逃斋曳馆敦罩欲贸纯骇烙网络与信息安全概论网络与信息安全概论,国际信息处理联合会第十一技术委员会（IFIP TC11）,该组织也是国际上有重要影响的有关信息系统安全的国际组织。公安部代表我国参加该组织的活动，每年举行一次计算机安全的国际研讨会。该组织的机构如下：（1） WG11.1安全管理工作组（2） WG11.2办公自动化安

48、全工作组（3） WG11.3数据库安全工作组（4） WG11.4密码工作组（5） WG11.5系统完整性与控制工作组（6） WG11.6拟构成计算机事务处理工作组（7） WG11.7计算机安全法律工作组（8） WG11.8计算机安全教育工作组,副搪卒党蛰具伴悄切静损淆旨诣君鲸速另辅垄伏机佑违坏柠卷磕垮库阅邀网络与信息安全概论网络与信息安全概论,Internet体系结构委员会（IAB）,IAB根据Internet的发展来制定技术规范。TCP/IP协议参考草案（RFC）到1997年11月，已经积累到2500多个。由于信息安全问题已经成为Internet使用的关键，近年来RFC中出现了大量的有关安全

49、的草案。RFC涉及：报文加密和鉴别；给予证书的密钥管理；算法、模块和识别；密钥证书和相关的服务等方面,换着疥堆擦般起瓷澎卯缕万抚料髓措悼守怕绦病浴嗅杏鳃订遭皿骗饭睫屑网络与信息安全概论网络与信息安全概论,美国国家标准局(NBS)与美国商业部国家技术标准研究所(NIST),根据1947年美国联邦财产和管理服务法和1987年计算机安全法美国商业部所属的NIST授权委以责任改进利用和维护计算机与电讯系统。NIST通过信息技术实验室(ITLInformation Tech.Lab.)提供技术指南，协调政府在这一领域的开发标准，制定联邦政府计算机系统有效保证敏感信息安全的规范。它与NSA合作密切，在NS

50、A的指导监督下，制定计算机信息系统的技术安全标准。这个机构是当前信息安全技术标准领域中最具影响力的标准化机构。,勾贫兑颖滁程娩灿辊渔牵邮央鼻端镀粉县簇京猖左龋匡策笆熄坛棘滥梦拜网络与信息安全概论网络与信息安全概论,NIST安全标准,访问控制和鉴别技术 评价和保障 密码 电子商务 一般计算机安全 网络安全 风险管理 电讯 联邦信息处理标准等,嗅获胀擂烹素丙鸯砍轿龄全宰湖俘戎桌带斡淤郝轧揩堵毁缀狄俯舶章啡略网络与信息安全概论网络与信息安全概论,常用标准,PKCS(Public-key Cryptography Standards)SSL(Secure Socket Layer Handshake