网络安全技术–概述

《网络安全技术–概述》由会员分享，可在线阅读，更多相关《网络安全技术–概述（30页珍藏版）》请在金锄头文库上搜索。

1、1 Copyrights 2007网络安全技术 概述网络安全技术 概述 Copyrights 2007内容提要内容提要l网络与信息安全l安全标准和模型简介l安全技术发展趋势2 Copyrights 2007安全的重要性安全的重要性l国家l商业组织l个人那么，什么是安全呢？安全的一些概念和认识 Copyrights 2007什么是信息安全管理？什么是信息安全管理？3 Copyrights 2007信息安全的概念和范围信息安全的概念和范围l信息安全是保护资产的一种概念、技术及管理方法，是 信息资产免受有意或无意的泄漏、破坏、遗失、假造以 及未经授权的获取、使用和修改。l信息资产包括：硬件、软件、网

2、络、通讯、资料、人员、 服务等。各组织对资产和安全的定义可能不同 Copyrights 2007网络安全与信息安全网络安全与信息安全信息安全更广的范畴：信息对抗， 信息隐藏，数字版权4 Copyrights 2007安全属性安全属性安全属性安全属性安全属性安全属性lISO17799ISO17799定义：“信息安全是使信息避免一系列威胁，保障商定义：“信息安全是使信息避免一系列威胁，保障商 务的连续性，最大限度地减少商务的损失，最大限度地获取投务的连续性，最大限度地减少商务的损失，最大限度地获取投 资和商务的回报，涉及的是机密性、完整性、可用性。”资和商务的回报，涉及的是机密性、完整性、可用性。

3、”l国际标准化委员会定义：“为数据处理系统而采取的技术的和国际标准化委员会定义：“为数据处理系统而采取的技术的和 管理的安全保护，保护计算机硬件、软件、数据不因偶然的或管理的安全保护，保护计算机硬件、软件、数据不因偶然的或 恶意的原因而遭到破坏（可用性）、更改（完整性）、显露恶意的原因而遭到破坏（可用性）、更改（完整性）、显露 （机密性）”（机密性）” Copyrights 2007CIA CIA 安全的重要目标 安全的重要目标l机密性 confidentialityl完整性 integrityl可用性 availability机密性机密性 (Confidentiality)完整性完整性可用性

4、可用性 （Integrity ） (Availability)安全的其它重要属性不可否认性（不可抵赖性） 真实性 可靠性 可控性 信息安全金三角（CIA）5 Copyrights 2007安全属性安全属性机密性（机密性（Cf）真实性（真实性（Au）可控性（可控性（Ct）可用性（可用性（Av）信息安全四要素：信息安全四要素：CACA有的专家的观点 Copyrights 2007ITU-X.800ITU-X.800给出的相关属性的定义给出的相关属性的定义: :l机密性（机密性（ConfidentialityConfidentiality）：）：lPrevent unauthorised discl

5、osure of informationl完整性（完整性（IntegrityIntegrity）：）：lassurance that data received are exactly as sent by an authorized senderl可用性（可用性（AvailabilityAvailability）：）：lservices should be accessible when needed and without delayl真实性（真实性（AuthenticationAuthentication）：）：lassurance that the communicating enti

6、ty is the one it claims to be lpeer entity authentication lData- origin authentication l不可抵赖性（不可抵赖性（Non-RepudiationNon-Repudiation）：）：lprotection against denial by one of the parties in a communicationlOrigin non- repudiation：proof that the message was sent by the specified partylDestination non- re

7、pudiation：proof that the message was received by the specified party6 Copyrights 2007ITU-T的安全框架 X.805 X.805 端到端通信的安全架构端到端通信的安全架构脆弱性L1: 应用安全安全层次L2: 服务安全L3: 基础设施安全P1: 最终用户平面P2: 控制平面P3: 管理平面访 问 控 制认 证不 可 否 认数 据 保 密 性通 信 安 全数 据 完 整 性可 用 性隐 私威胁攻击毁坏 讹错删除泄密中断三个层次三个平面八个维度脆弱性和威胁存在于每个平面、层次和维度中 Copyrights 2007

8、安全的一些特性安全的一些特性l安全的相对性：没有绝对的安全l安全的时效性/时代性l安全的动态性：技术跟进和维护支持的重要性l安全的对抗性l安全的多样性/复杂性环境、实体、网络、系统、信息、人员等安全管理和技术：技术复杂、管理难度大l安全的层次性l安全的分布性l7 Copyrights 2007安全市场产业安全市场产业l政府主管机关公安部、信息产业部、保密局、安全局、机要局l测评认证组织中国信息安全产品测评认证中心 CNITSECl院校研究机构l厂商、用户 Copyrights 2007安全产业所需知识技能安全产业所需知识技能l安全管理l安全咨询l安全研发l安全维护 国内外相关标准和法律法规 业

9、务连续性、灾难恢复 安全风险、风险评估、扫描与渗透测试技术 各种安全威胁，包括攻击与入侵、病毒、内部误 用与滥用 安全架构、密码技术、安全编码、安全测试、安 全开发环境 Windows/Unix路由器、交换机等各种IT设备的 安全维护和安全配置 安全事件紧急响应、事件重建与分析宽广的知识极专业的技能8 Copyrights 2007安全资源安全资源lhttp:/www.cert.orglhttp:/www.sans.orglhttp:/www.nist.govlhttp:/lhttp:/lhttp:/www.defcon.orglhttp:/ Copyrights 2007安全标准和模型简介安

10、全标准和模型简介网络与信息安全 安全标准和模型简介 安全技术发展趋势9 Copyrights 2007网络信息安全有关标准指南lISO15408 /CC 产品认证标准，等级保护的基础lISO/IEC 27001基于风险管理的信息安全管理体系lCoBIT IT治理和内控lBS15000/ITIL IT服务和流程管理ISO/International Organization for Standardization 国际标准组织 IEC/International Electrotechnical Commission 国际电工委员会国际电工委员会 Copyrights 2007安全评估标准安全评

11、估标准l美国国防部在1985年公布著名的“桔皮书”l可信计算机安全评估准则lTrusted Computer Security Evaluation Criteria (TCSEC)l为安全产品的测评提供准则和方法l指导信息安全产品的制造和应用10 Copyrights 2007传统安全评估标准的演变传统安全评估标准的演变l美国lDoD85 TCSEClTCSEC网络解释（TNI 1987）lTCSEC数据库管理系统解释（TDI 1991）l欧洲 ITSECl美国、加拿大、欧洲等共同发起通用标准 Common Criteria(CC)我国依据我国依据CC制定了制定了GB18336 （2001）

12、 Copyrights 2007传统安全评估标准的演变传统安全评估标准的演变 - CC- CC11 Copyrights 2007TCSEC TCSEC 桔皮书制定的级别桔皮书制定的级别安 全 性 等 级1234DCBA最 低 保 护 等 级自 主 保 护 等 级强 制 保 护 等 级验 证 保 护 等 级DC1C2B1B2B3A1超 A1自 主 安 全 保 护可 控 存 取 保 护标 记 安 全 保 护可 结 构 化 保 护安 全 区 域 保 护可 验 证 保 护非 安 全 保 护自 主 存 取 控 制 、 审 计 功 能比 C1级 更 强 的 自 主 存 取 控 制 、 审 计 功 能强

13、制 存 取 控 制 ， 敏 感 度 标 记形 式 化 模 型 ， 隐 蔽 通 道 约 束安 全 内 核 ， 高 抗 渗 透 能 力形 式 化 安 全 验 证 ， 隐 蔽 通 道 分 析主 要 特 征 Copyrights 2007计算机系统安全等级保护计算机系统安全等级保护根据安全需求，由主管 部门和运营单位对电子 政务系统进行专门控制 和保护。适用于涉及国家安全、社会秩序、经济建设和公 共利益的重要信息和信息系统的核心子系统，其 受到破坏后，会对国家安全、社会秩序、经济建 设和公共利益造成特别严重损害。专控保护 级第五级在主管部门的强制监督 和检查下，按国家标准 严格落实各项措施进行 保护。

14、适用于涉及国家安全、社会秩序、经济建设和公 共利益的重要信息和信息系统，其受到破坏后， 会对国家安全、社会秩序、经济建设和公共利益 造成严重损害。强制保护 级第四级在主管部门的监督下， 按国家标准严格落实各 项保护措施进行保护适用于涉及国家安全、社会秩序、经济建设和公 共利益的信息和信息系统，其受到破坏后，会对 国家安全、社会秩序、经济建设和公共利益造成 较大损害。监督保护 级第三级在主管部门的指导下， 按照国家标准自主进行 保护。适用于一定程度上涉及国家安全、社会秩序、经 济建设和公共利益的一般信息和信息系统，其受 到破坏后，会对国家安全、社会秩序、经济建设 和公共利益造成一定损害。指导保护

15、 级第二级参照国家标准自主进行 保护适用于一般的信息和信息系统，其受到破坏后， 会对公民、法人和其他组织的权益有一定影响， 但不危害国家安全、社会秩序、经济建设和公共 利益。自主保护 级第一级安全保护要求安全保护要求基本描述基本描述等级等级 名称名称安全安全 等级等级原原等级名称等级名称第第一级：用一级：用 户自主户自主保护保护 级 级 C1第二第二级：系级：系 统统审审计保护计保护 级 级 C2第三第三级：安级：安 全标全标记记保护保护 级 级 B1第四第四级：级：结结 构构化化保护级保护级 B2第五第五级：级：访访 问验证问验证保护保护 级 级 A112 Copyrights 2007IS

16、O15408/CC/GB18336 ISO15408/CC/GB18336 源出一源出一处处主要适用于安全产品，不适用于复杂计算机系统，它 规定了过程控制的安全保障级别，共分7级：lEAL1：功能测试lEAL2：结构测试lEAL3：系统地测试和检查lEAL4：系统地设计、测试和复查，商业级别lEAL5：半形式化设计和测试lEAL6：半形式化验证的设计和测试lEAL7：形式化验证的设计和测试只不过只不过CC更加广为人知更加广为人知 Copyrights 2007CCCC分为三个部分分为三个部分l第1部分“简介和一般模型”l有关术语、基本概念和一般模型l与评估有关的一些框架l附录部分的“保护轮廓”（PP）和“安全目