搜索
1网络信息安全技术主讲教师姜梅2从60年代末,人们已经认识到计算机系统的脆弱性,并开始了安全性研究。进入80年代,计算机的性能有很大提高,人们将各孤立的计算机系统连接起来,实现相互通信和资源共享,特别是90年代的internet普及,促进社会的信息化。但网络的普及使计算机应用更加深入和广泛的同时,也为各种入侵和攻击提供了机会,成为危害信息社会的一大威胁。安全问题引起人们的高度重视,亟待解决。早在80年代早期,国外高校就十分重视对学生计算机安全技术的教育,美国电器和电子工程师学会(IEEE)制订的《计算机科学与工程示范教学计划》为例,在计算机方面共开设的28门课中加入计算机安全技术的内容,如:3课程名称安全技术内容软件工程安全与保密数据库系统数据保护机制,安全性计算机通信网络网络中的数据保密性高级操作系统保密性和密码编制从中可见,信息安全内容的地位和重要性。4此外,国际上计算机犯罪案件日趋增加,为满足社会对计算机安全专业人员的需要,国外一些高校设置计算机安全专业,主要方向有“数据库安全”、“密码学和密码分析”、“计算机系统安全”等。在我国存在以下现状:(1)研究起步晚、滞后;(2)人们安全意识不足,宣传力度不够。因此在信息化的今天,开设此课程十分必要。通过该课程的学习,使学生了解什么是计算机安全?计算机安全的内容?安全技术有哪些?具备计算机人员在信息时代必需的解决安全问题的基本能力。5《网络信息安全技术》课程要求一、课程编号:071436,课程性质:专业课/必修二、总学时:40(总学分2.5),其中理论授课30学时,实验10学时三、先行、后续课程情况:先行课程:计算机网络、数据库系统概论、操作系统;后续课程:电子商务6《网络信息安全技术》课程要求四、1、教材郭亚军等.信息安全原理与技术.清华大学出版社,2008.92、参考书目:(1)蔡红柳等.信息安全技术及应用实验(第二版).科学出版社,2009.9(2)邓亚平.计算机网络安全.人民邮电出版社,2004.9;7《网络信息安全技术》课程要求五、课程的目的与任务随着计算机应用的广泛与深入,计算机安全问题日益突出和复杂,对当今信息社会构成严重威胁。通过本科课程学习,使学生理解信息系统安全与保密的内涵,了解信息系统受到的各种威胁,明确信息系统安全的目标,掌握信息安全的基本理论、基本概念和各种技术,为今后在信息系统安全领域的研究和应用奠定良好的基础。8六、教学基本要求1.掌握信息系统安全与保密的基本理论和基本概念;2.掌握信息系统的各种安全与保密技术;3.能够运用所学知识,解决实际安全问题。9七、教学主要内容1.信息安全概述2.信息安全数学基础3.对称(传统)密码体制4.公开密钥(现代)密码体制5.密码技术应用6.信息系统安全与保密技术7.网络安全与保密技术8.计算机病毒理论八、课程考核成绩1.期末考试成绩占70%2.考勤、作业和实验成绩占30%10第一章信息系统安全概述一.基本要求与基本知识点(1)掌握信息系统的概念、信息系统受到的安全攻击以及攻击的主要手段;(2)掌握信息系统安全的含义和目标;(3)掌握信息系统安全模型及信息安全技术的研究内容;(4)掌握信息系统安全体系结构。二.教学重点与难点(1)信息系统安全的含义和目标;(2)信息系统安全模型;(3)信息安全技术的研究内容;(4)信息系统安全体系结构。111.1信息系统安全当今社会是信息化社会,每天都有大量的信息在传输、交换、存储和处理,而这些过程几乎都要依赖强大的计算机系统来完成,人们把这样的计算机系统称为信息系统(又称计算机信息系统)。因此,信息系统的安全实际上就是计算机系统的安全。一旦计算机系统发生安全问题,就可能造成信息的丢失、篡改、伪造、假冒、失密,以及系统遭受侵扰和破坏等严重后果,轻者造成计算机系统运行效率降低,重者造成计算机系统的瘫痪。因此,信息系统的安全保密成为迫切需要解决的问题。本章概述了信息系统安全的重要性及其主要研究的内容。12《中华人民共和国计算机信息系统安全保护条例》给出计算机信息系统的定义:是指由计算机及其相关和配套的设备、设施(含网络)构成的,按照一定的应用目标和规划,对信息进行采集、加工、存储、传输和检索等处理的人机系统。13(1)信息采集,是信息系统最基本的功能,负责收集分散的信息,并整理成信息系统所需要的格式。(2)信息加工,负责对信息进行加工处理,如排序、分类、归纳、检索、统计、模拟、预测以及各种数学运算等。(3)信息存储,完成对有价值信息的存储和保管。(4)信息检索,是信息系统的重要功能,根据用户的需要,查询存储在系统中的信息。(5)信息传输,是信息系统的信息交换功能,实现信息的传递,以便信息迅速准确到达使用者手中。信息系统主要包括的功能141.1.2信息系统受到的安全攻击信息系统是借助计算机和通信网络实现相互通信和资源共享的,因此它是一个开放式的互联网络系统。这种开放性为信息的窃取、盗用、非法修改以及各种扰乱破坏提供了可乘之机,使得信息存储、处理和传输各环节,都有可能遭到入侵者的攻击,造成系统瘫痪或重要数据的丢失。信息在存储、共享和传输中,可能会被非法窃听、截取、篡改和破坏,这些危及信息系统安全的活动称为安全攻击(SecurityAttack)。安全攻击分为被动攻击和主动攻击,如图1-1所示。15受到的两方面攻击发送方接收方(a)被动攻击(b)主动攻击RSSR非法截获非法篡改图1-1信息传输受到的攻击16(1)被动攻击被动攻击的特征是对传输进行窃听和监测,目的是获得传输的信息,不对信息做任何改动,因此被动攻击主要威胁信息系统的保密性。常见的被动攻击包括消息内容的泄漏和流量分析等。(2)主动攻击主动攻击目的在于篡改或者伪造信息、也可以是改变系统的状态和操作。主动攻击主要威胁信息的完整性、可用性和真实性。常见的主动攻击包括:伪装、篡改、重放和拒绝服务等。被动攻击和主动攻击17常见的安全攻击泄漏:消息的内容被泄露或透露给某个非授权的实体。例如在通信线路中,通过电磁辐射侦截传输中的保密信息。流量分析(TrafficAnalysis):利用统计分析方法对通信双方的标识、通信频度、消息格式等参数进行研究,从中发现有价值的信息和规律。篡改:指对合法用户之间的通信消息进行修改或者改变消息的顺序。伪装:指一个实体冒充另一个实体。例如非法用户冒充成系统的合法用户,对系统信息进行访问。重放(ReplayAttack):将窃取的信息修改或排序后重放,从而造成信息重复和混乱。拒绝服务(DOS,DenialofService):指阻止对信息或其它资源的合法访问。病毒:是指编制或在计算机系统中插入破坏计算机功能或数据,影响计算机使用,并能自我复制的一组计算机指令或程序代码。它直接威胁计算机系统和数据文件,破坏信息系统的正常运行。181.1.3信息系统安全及其目标1、信息系统安全国际标准化组织ISO对“计算机安全”的定义:是指为信息处理系统建立和采取的技术上的和管理上的安全保护措施,保护系统中硬件、软件及数据,不因偶然或恶意的原因而遭受破坏、更改或泄漏。“计算机安全”一词一直处在不断的演变之中,从最初的保证硬件的安全到保证信息系统及信息资源的安全,使得计算机安全的内容变得愈加复杂。19从定义可见:①由于信息系统是以计算机为工具,对信息进行采集、存储、加工、分析和传输的,因此计算机安全又可称为信息系统安全。②1983年Sun公司提出的“网络就是计算机”,即将网络作为一种系统加以推广。网络安全是计算机安全概念在网络环境下的扩展和延伸,它的目标是保证网络中的硬件、软件和数据免遭破坏、更改和泄漏。202、信息系统的安全目标安全目标(SecurityGoal)是指能够满足一个组织或者个人的所有安全需求,通常包括保密性、完整性和可用性。保密性(Confidentiality):防止非授权访问信息。完整性(Integrity):防止非法篡改和破坏信息。可用性(Availability):防止系统拒绝服务。211.2.1信息系统安全模型信息系统安全的内容主要包括安全技术、安全管理和安全法规。信息系统安全模型是一个层次结构,如图1-2所示。22信息系统安全层次模型图1-2信息系统安全层次模型7654321数据信息安全管理细则、保护措施法律规范道德纪律物理实体安全环境硬件系统安全措施通信网络安全措施软件系统安全措施安全技术安全法规安全管理信息系统安全各层次之间相互依赖,下层向上层提供支持,上层依赖于下层的功能,最终实现信息系统的安全。23(1)第一层是法律制度与道德规范。是指由政府部门所制定的一系列有关计算机犯罪的法令和法规,用于规范和制约人们的思想与行为,将信息安全纳入规范化、法制化和科学化的轨道。如保密法、数据保护法、计算机安全法、计算机犯罪法、计算机系统安全标准、数据和信息安全标准等(指“社会规范”和“技术规范”两方面)。24信息系统安全层次模型图1-2信息系统安全层次模型7654321数据信息安全管理细则、保护措施法律规范道德纪律物理实体安全环境硬件系统安全措施通信网络安全措施软件系统安全措施安全技术安全法规安全管理信息系统安全25(2)第二层是管理制度的建立与实施。是指保证信息系统安全所制定的安全管理制度和规定,是实现信息系统安全的重要保证。主要包括安全管理人员的教育培训、制度落实、职责的检查等内容。例如某部门或某单位的计算机信息系统安全管理条例。26信息系统安全层次模型图1-2信息系统安全层次模型7654321数据信息安全管理细则、保护措施法律规范道德纪律物理实体安全环境硬件系统安全措施通信网络安全措施软件系统安全措施安全技术安全法规安全管理信息系统安全27(3)第三、四层是物理实体的安全与硬件系统保护。计算机物理上安全与硬件系统的保护是信息系统安全不可缺少的重要环节。一是必须对自然灾害加强防护,如防火、防水、防雷击等;二是采取必要的措施防止计算机设备被盗,如添加锁、设置警铃、刻上标签、购置机柜等;三是尽量减少对硬件的损害,例如消除静电、系统接地、键盘安全套、杜绝电磁干扰信号(攻击者可能利用计算机硬件设备的电子辐射了解系统的内部信息,因此要对计算机系统进行屏蔽,防电子辐射);四是配置不间断电源UPS(UninterruptiblePowerSupply)。在遇到停电时,UPS能立即切换到内部电池供电,并提供一个临时电源,以便坚持到供电恢复。28信息系统安全层次模型图1-2信息系统安全层次模型7654321数据信息安全管理细则、保护措施法律规范道德纪律物理实体安全环境硬件系统安全措施通信网络安全措施软件系统安全措施安全技术安全法规安全管理信息系统安全29(4)第五层至第七层是网络、软件和信息安全。通信网络、软件系统和信息安全保密技术是信息系统安全的关键,是信息安全技术研究的主要内容。由信息系统安全层次模型可知,信息系统安全的内容包括安全技术、安全管理和安全法规。301.3信息系统安全体系结构国际标准化组织ISO(InternationalStandandOrganization),于1989年在OSI参考模型的七层协议基础之上,提出了OSI(OpenSystemInterconnetion)安全体系结构,定义了5种安全服务和实现这些安全服务的8类安全机制,如图1-4所示。31安全体系结构图图1-4三维安全体系结构图OSI参考模型安全服务安全机制认证访问控制数据保密性数据完整性不可否认性加密公证仲裁路由控制流量填充认证交换数据完整性访问控制数字签名应用层物理层链路层网络层传输层会话层表示层321、安全机制阻止安全攻击及恢复系统的机制称为安全机制。安全机制是一种技术,一些软件或实施一个或更多安全服务的过程。安全机制分为特定的安全机制和普遍的安全机制。一个特定的安全机制就是在同一时间只针对一种安全服务实施一种技术或软件。它包括:加密、数字签名、