信息安全技术导论chap01

-1-信息安全技术导论-2-本课所需前序课程本书是计算机、通信及信息管理等专业高年级本科生和研究生教材，需要学习的前序课程是高等数学、近世代数、计算机网络和操作系统。这些课程与本课的关系如下图所示。-3-教学参考书张焕国等译《密码编码学与网络安全：原理与实践》（第三版）,电子工业出版社，2001，4冯登国，《网络安全原理与技术》，科学出版社，2003，9王立斌、黄征等译,《计算机安全学－安全的艺术与科学》,电子工业出版社，2006，1-4-第一章网络安全绪论11.信息安全现状2.安全威胁3.安全策略4.安全技术5.安全标准6.网络信息安全发展趋势展望-5-计算机与网络技术的发展历程用户规模主要应用成熟期大型机小科学计算1960年代10年小型机/WAN1970年代小7年部门内部PC/LAN1980年代中5年企业之间Client/Server1990年代大4年商家之间IntranetInternet2000年代商家与消费者之间服务为本全球无所不在3年ExtranetInternet-6-Internet用户数0204060801001201401601998702.110.38.98.8443.43.12.52.52002155613323.3232313.212.3107.65.8美国中国德国英国日本法国加拿大澳大利亚意大利瑞典荷兰百万-7-01000200030004000商家-顾客56080220商家-商家625012303270总计11310131034901996199820002002Internet商业应用快速增长亿美元-8-网络安全问题日益突出混合型威胁(RedCode,Nimda)拒绝服务攻击(Yahoo!,eBay)发送大量邮件的病毒(LoveLetter/Melissa)多变形病毒(Tequila)特洛伊木马病毒网络入侵70,00060,00050,00040,00030,00020,00010,000已知威胁的数量-9-典型应用环境的完全威胁与安全需求应用环境安全威胁安全需求所有网络假冒攻击阻止外部入侵银行完整性破坏假冒攻击，服务否认窃听攻击避免欺诈或交易的意外修改识别零售的交易顾客保护个人识别号确保顾客秘密电子交易假冒攻击，完整性破坏窃听攻击服务否认确保交易的起源和完整性保护共同秘密为交易提供合法的电子签名政府假冒攻击，侵权攻击，窃听，完整性破坏服务否认避免敏感信息未授权泄漏或修改政府文件提供电子签名公共电信载体假冒攻击，授权侵犯拒绝服务窃听攻击对授权的个人限制访问管理功能避免服务中断保护用户秘密互联/专用网络窃听攻击假冒攻击，完整性破坏保护团体/个人的秘密确保消息的真实性-10-第一章网络安全绪论21.信息安全现状2.安全威胁3.安全策略4.安全技术5.安全标准6.网络信息安全发展趋势展望-11-常见的安全威胁网络內部、外部洩密拒绝服务攻击特洛伊木马黑客攻击病毒，蠕虫系统漏洞潜信道-12-第一章网络安全绪论31.信息安全现状2.安全威胁3.安全策略4.安全技术5.安全标准6.网络信息安全发展趋势展望-13-安全策略安全策略是针对网络和信息系统的安全需要，所做出允许什么、禁止什么的规定，通常可以使用数学方式来表达策略，将其表示为允许（安全）或不允许（不安全）的状态列表。-14-安全策略分类物理安全策略访问控制策略信息加密策略安全管理策略-15-第一章网络安全绪论41.信息安全现状2.安全威胁3.安全策略4.安全技术5.安全标准6.网络信息安全发展趋势展望-16-访问控制技术包括入网访问控制、网络权限控制、目录级安全控制和属性安全控制等多种手段。访问控制技术-17-防火墙技术-18-网络入侵检测技术-19-漏洞扫描技术安全审计技术现代密码技术安全协议公钥基础设施（PKI）其他安全技术，如容灾、备份-20-第一章网络安全绪论51.信息安全现状2.安全威胁3.安全策略4.安全技术5.安全标准6.网络信息安全发展趋势展望-21-国际标准组织国际标准化组织（ISO——InternationalOrganizationStandardization）国际电报和电话咨询委员会(CCITT)国际信息处理联合会第十一技术委员会（IFIPTC11）电气与电子工程师学会（IEEE）Internet体系结构委员会（IAB）美国国家标准局(NBS)与美国商业部国家技术标准研究所(NIST)美国国家标准协会(ANSI)美国国防部(DoD)及国家计算机安全中心(NCSC)-22-国际可信任计算机评估标准20世纪70年代，美国国防部制定“可信计算机系统安全评价准则”（TCSEC)，为安全信息系统体系结构最早准则（只考虑保密性）；20世纪90年代，英、法、德、荷提出包括保密性、完整性、可用性概念的“信息技术安全评价准则”（ITSEC)，但未给出综合解决以上问题的理论模型和方案；近年，六国（美、加、英、法、德、荷）共同提出“信息技术安全评价通用准则”（CCforITSEC)。-23-TCSEC安全级别类别级别名称主要特征DD低级保护没有安全保护CC1自主安全保护自主存储控制C2受控存储控制单独的可查性，安全标识BB1标识的安全保护强制存取控制，安全标识B2结构化保护面向安全的体系结构，较好的抗渗透能力B3安全区域存取控制，高抗渗透能力AA验证设计形式化的最高级描述和验证-24-我国可信任计算机评估标准第一级用户自主保护级：使用户具备自主安全保护的能力，保护用户信息免受非法的读写破坏；第二级系统审计保护级：除前一个级别的安全功能外，要求创建维护访问的审计跟踪记录，使所有用户对自己的行为合法性负责；第三级安全标记保护级：除前一个级别的安全功能外，要求以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象强制保护；第四级结构化保护级：除前一个级别的安全功能外，将安全保护机制划分为关键部分和非关键部分，对关键部分直接控制访问者对访问对象的存取，从而加强系统的抗渗透能力；第五级访问验证保护级：特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动；-25-应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层数据保密数据保密身份认证、访问控制、数据保密、数据完整、数据源点认证主机安全措施、身份认证、加密互联的物理介质身份认证、访问控制、数据保密、数据完整、数据源点认证身份认证、访问控制、数据保密、数据完整、数据源点认证、不可否认性OSI模型定义的安全服务-26-第一章网络安全绪论61.信息安全现状2.安全威胁3.安全策略4.安全技术5.安全标准6.网络信息安全发展趋势展望-27-我国网络安全研究现状我国信息化建设基础设备依靠国外引进，信息安全防护能力只是处于相对安全阶段，无法做到自主性安全防护和有效监控（核心芯片、系统内核程序源码、大型应用系统）；信息安全学科的基础性研究工作——信息安全评估方法学的研究尚处于跟踪学习研究阶段；国内开发研制的一些防火墙、安全路由器、安全网关、“黑客”入侵检测、系统弱点扫描软件等在完善性、规范性、实用性方面还存许多不足，特别是在多平台的兼容性、多协议的适应性、多接口的满足性方面存在很大差距；-28-我国网络安全研究现状制定了国家、行业信息安全管理的政策、法律、法规；按照国家通用准则建立了代表国家对信息安全产品、信息技术和信息系统安全性以及信息安全服务实施公正性评测的技术职能机构—中国国家信息安全测评认证中心和行业中心；建立了支撑网络信息安全研究的国家重点实验室和部门实验室，各种学术会议相继召开，已出版许多专著、论文，在有关高等院校已建立了向关系所、开设了相关课程，并开始培养自己的硕士、博士研究生；-29-附、常见的网络安全协议PKCS(Public-keyCryptographyStandards)由美国RSA数据安全公司RSA实验室在apple，Microsoft，DEC，Lotus，Sun，和MIT等机构非正式的咨询合作下开发的有关公开密钥密码的标准。SSL(SecureSocketLayerHandshakeProtocol)SSL协议是Netscape公司开发的用于WWW上的会话层安全协议，它保护传递于用户浏览器和Web服务器之间的敏感数据，通过超文本传输协议(HTTP)或安全的超文本协议(S-HTTP)把密码应用于超文本环境中，从而提供多种安全服务。-30-附、常见的网络安全协议S-HTTP(SecureHypertextTransferProtocol)S-HTTP是EnterpriseIntegrationTechnologies最初开发,进一步开发于Terisa系统的安全协议。它基于WWW，提供保密、鉴别或认证、完整性和不可否认等服务，保证在Web上交换的媒体文本的安全。PTC(PrivateCommunicationTechnologyProtocol)PTC是Microsoft和Visa开发的在Internet上保密通信的协议，与SSL类似。其不同点是在客户和服务器之间包含了几个短的报文数据，鉴别和加密使用不同的密钥，并且提供了某种防火墙的功能。-31-附、常见的网络安全协议S／WAN(SecureWideAreaNetwork)S/WAN设计基于IP层的安全协议，可以在IP层提供加密，保证防火墙和TCP／IP产品的互操作，以便构作虚拟专网(VPN)。SET(secureElectronicTransaction)SET是Visa，MasterCard合作开发的用于开放网络进行电子支付的安全协议，用于保护商店和银行之间的支付信息。S／MIME(Secure／MultipurposeInternetMailExtension)S/MIME是用于多目的的电子邮件安全的报文安全协议，和报文安全协议(MSP)、邮件隐私增强协议(PEM)、MIME对象安全服务协议(MOSS)及PGP协议的目的一样都是针对增强Internet电子邮件的安全性。-32-附、常用的安全工具防火墙入侵检测工具snort端口扫描工具nmap系统工具netstat、lsof网络嗅探器tcpdump、sniffer综合工具X-Scanner、流光、Nessus-33-附、相关安全站点绿盟科技绿色兵团网络安全评估中心安全焦点网络安全响应中心国外：