信息安全概述

《信息安全概述》由会员分享，可在线阅读，更多相关《信息安全概述（189页珍藏版）》请在金锄头文库上搜索。

1、北京信息安全服务人员资质培训 信息安全概述信息安全概述1内容 信息安全概述 计算机网络基础 安全体系与模型 总结 参考资料2信息安全概述信息安全概述3信息安全概述目录 信息安全概念、发展历史和现状； 信息安全需求； 信息破坏的严重后果； 信息安全的目标； 信息安全技术； 发达国家信息安全的策略； 我国信息安全的现状，战略目标和任务。4关于信息化n信息革命是人类第三次生产力的革命n四个现代化，那一化也离不开信息化。江泽民5信息化出现的新问题nIT泡沫破裂n互联网经营模式是什么？n网上信息可信度差n垃圾电子邮件n安全n病毒n攻击n6信息化与国家安全信息战“谁掌握了信息，控制了网络，谁将拥有整 个世

2、界。”（美国著名未来学家阿尔温 托尔勒） “今后的时代，控制世界的国家将不是靠军 事，而是信息能力走在前面的国家。”（美国前总统克林顿） “信息时代的出现，将从根本上改变战争的 进行方式。”（美国前陆军参谋长沙利文上将）7有目的、和谐地处理信息的主要工具 是信息系统，它把所有形态（原始数据、 已分析的数据、知识和专家经验）和所有 形式（文字、视频和声音）的信息进行收 集、组织、存储、处理和显示。大英百科全书信息系统概念8信息安全概念（一）安全的概念？ 没有统一的定义。 基本含义 ：客观上不受威胁；主观上不存在恐惧。9信息安全？ 两种狭义定义：一类指具体的信息技术系统的安全；一类是指某一特定信息

3、系统的安全； 缺点：过于狭窄。 优点：内容具体形象，便于理解和应用。 信息安全概念（二）10信息安全？ 广义定义：一个国家的社会信息化状态不受 外来的威胁和伤害，一个国家的信息技术体系不受外来的威胁和侵害。 缺点：抽象，不易理解。 优点：内容广泛，全面。信息安全概念（三）11信息安全？ ISO的定义为：为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬 件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和显露。信息安全概念（四）12确保以电磁信号为主要形式的，在计 算机网络化系统中进行获取、处理、存储 、传输和利用的信息内容，在各个物理位 置、逻辑区域、存储和传输介质中，处于 动态和

4、静态过程中的机密性、完整性、可 用性、可审查性和抗抵赖性的，与人、网 络、环境有关的技术和管理规程的有机集 合。戴宗坤 罗万伯 信息系统安全信息系统安全概念13 几乎和人类的书写语言一样古老。 古埃及的法老的墓葬里就曾经发现过用密 码书写的文字资料。 古印度文字Kama Sutra里记载有对加密方法的描述。信息安全的产生历史古代14 在二战中，名为“Zimmerman电报”的 密码情报保证了同盟国赢得战争的胜利。 现代意义上的信息安全，是在本世纪提出的。 70年代初，美国提出了（Bell 传送标准电子邮件的文件处理系统(MHS）； 使不同类型的终端和主机通过网络可以交互访问虚拟终端(VT) 。

5、计算机网络的OSI结构（十一）83 TCP/IP(Transmission Control Protocol/Internet Protocol)是一个使用非常普遍的网络互连标准协议。 TCP/IP协议和许多别的协议，组成TCP/IP协议簇。 TCP提供传输层服务； IP提供网络层服务。 TCP/IP协议簇（一）84TCP/IP协议簇（二）TCP/IP簇的体系结构与ISO的OSI模型的对应关系85TCP/IP协议簇（三）TCP/IP协议层次 86TCP/IP网络层 四个协议：IP、ICMP、ARP和RARP。 提供在互相独立的局域网上建立互连网络 的服务； 提供端到端的分组分发功能 ； 提供了

6、数据分块和重组功能 ； 很多的扩充功能。TCP/IP协议簇（四）87TCP/IP网络层 -IP 网络层最重要的协议 ； IP的基本任务是通过互连网传送数据报 ； 在主机资源不足的情况下，可能丢弃某些数据报，同时也不检查被数据链路层丢弃的报文。 TCP/IP协议簇（五）88TCP/IP网络层 -ICMP IP提供的是一种不可靠的无连接报文分组传送服务 ； 如何解决路由器等故障造成的网络阻塞 ？ 在IP层加入了一类特殊用途的报文机制，即互连网控制报文协议ICMP 。TCP/IP协议簇（六）89TCP/IP网络层 - ARP 解决把互连网地址变换为物理地址的地址转换问题 ； ARP使主机可以找出同一

7、物理网络中任一个物理主机的物理地址，只需给出目的主机的IP地址即可 ，网络的物理编址可以对网络层服务透明 。TCP/IP协议簇（七）90TCP/IP网络层 - ARP 在局域网上，网络层广播ARP请求以获取 目的站信息，而目的站必须回答该ARP请 求 。TCP/IP协议簇（八）91TCP/IP网络层 -RARP 解决只有自己的物理地址而没有IP地址的问题； 方法：通过RARP协议，发出广播请求，征求自己的IP地址，而RARP服务器则负 责回答； 广泛用于获取无盘工作站的IP地址 。TCP/IP协议簇（九）92TCP/IP 的传输层 两个主要的协议：传输控制协议(TCP)和用户数据协议(UDP)

8、 。TCP/IP协议簇（十）93TCP/IP 的运输层-TCP TCP提供的是一种可靠的数据流服务 ； 对应于OSI模型的运输层在IP协议的基础上，提供端到端的面向连接的可靠传输。 TCP采用“带重传的肯定确认”技术来实现传输的可靠性。TCP/IP协议簇（十一）94TCP/IP 的运输层-TCP 采用 “滑动窗口”的流量控制机制来提高网络的吞吐量； 实现了一种“虚电路”的概念； 连接的建立采用三次握手的过程 。TCP/IP协议簇（十二）95TCP/IP 的运输层-UDP UDP是依靠IP协议来传送报文的，是对IP协议组的扩充 ； 不用确认、不对报文排序、也不进行流量控制的服务； UDP报文可能

9、会出现丢失、重复、失序等现象。TCP/IP协议簇（十三）96TCP/IP 会话层至应用层 TCP/IP的上三层与OSI参考模型有较大区别，也没有非常明确的层次划分； 几个在各种不同机型上广泛实现的协议： FTP、TELNET、SMTP、DNS。 TCP/IP协议簇（十四）97TCP/IP 会话层至应用层-FTP 可以在本地机与远程机之间进行有关文件的操作的协议； 两条TCP连接，一条用于传送文件，另一条用于传送控制； 采用客户/服务器模式，它包含客户FTP 和服务器FTP。 TCP/IP协议簇（十五）98TCP/IP 会话层至应用层-TELNET TELNET的连接是一个TCP连接，用于传送具

10、有TELNET控制信息的数据。它提供了与终端设备或终端进程交互的标准方法，支持终端到终端的连接及进程到进程分布式计算的通信。 TCP/IP协议簇（十六）99TCP/IP 会话层至应用层-DNS DNS是一个域名服务的协议，提供域名到IP地址的转换，允许对域名资源进行分散管理。 DNS最初设计的目的是使邮件发送方知道 邮件接收主机及邮件发送主机的IP地址， 后来又发展成为服务于其它许多目标的协 议。 TCP/IP协议簇（十七）100TCP/IP 会话层至应用层-SMTP 一个基于文件的协议，用于可靠、有效的 数据传输 ； 邮件传输独立于传输子系统，可在TCP/IP 环境、OSI运输层或X.25协

11、议环境中传输 邮件 ； 邮件发送之前必须协商；当邮件不能正常 传输时可按原路由找到发送者。 TCP/IP协议簇（十八）101TCP/IP协议簇的广泛性 TCP/IP已经融入UNIX操作系统中； DOS上也推出了相应的TCP/IP软件产品； SUN公司则将TCP/IP广泛推向商务系统，它在所有的工作站系统中都预先安装了TCP/IP网络软件及网络硬件 。TCP/IP协议簇（十九）102安全体系与模型安全体系与模型103安全体系与模型目录 安全体系与模型概述； ISO的OSI信息安全体系结构； 流行的INTERNET安全体系架构； 安全模型：Bell-LaPadula 模型、Clark-Wilson

12、模型和China Wall模型； 信息安全标准：TCSEC和ITSEC； 著名的IPSEC协议。104安全体系结构定义为实现以下功能的实体： 提供未定义环境的概念上的安全定义和结 构； 在环境内可以独立设计安全组件； 说明安全独立组件应该如何集成在整体环 境中； 保证完成后的环境符合最初建立的虚拟实 体。安全体系与模型概述（一）105安全体系结构的重要性： 安全体系结构同各种元素协同工作以保护信息的安全性。 没有安全体系结构会使系统变的很脆弱。 一个良好定义的安全体系结构能够保证应用程序和系统的设计符合一个标准的最低安全级别。安全体系与模型概述（二）106安全体系结构的要点： 安全体系结构不依

13、赖于系统的存在； 安全体系结构是由一些构件部件组成的； 安全体系结构的三个部件：基础，信任和控制。安全体系与模型概述（三）107 ISO是目前国际上普遍遵循的计算机信息系统互连标准，ISO7498-2确定了开放系统互连参考模型的信息安全体系标准。 确定了五种基本安全服务和八种安全机制,并在OSI七层中有相对应的关系 。OSI安全体系结构 （一）108网络安全服务层次模型 OSI安全体系结构 （二）109安全服务 身份认证； 访问控制； 数据保密； 数据完整性； 防止否认。OSI安全体系结构 （三）110安全服务-身份认证 可以鉴别参与通讯的对等实体和数据源。 是授权控制的基础 ； 应该提供双向

14、的认证 ； 目前一般采用高强度的密码技术来进行身份认证。 OSI安全体系结构 （四）111安全服务-授权控制 控制不同用户对信息资源访问权限 ； 授权控制的要求 ：一致性 ；统一性 ；要求有审计核查功能 ；尽可能地提供细粒度的控制 ；OSI安全体系结构 （五）112安全服务-通信加密 提供保护，防止数据未经授权就泄露； 连接保密性； 无连接保密性； 选择字段保密性； 业务流保密性； 手段：基于对称密钥加密的算法 ；基于非对称密钥的加密算法 ；OSI安全体系结构 （六）113安全服务-数据完整性 是指通过网上传输的数据应防止被修改、删除、插人替换或重发，以保证合法用户接收和使用该数据的真实性；

15、用于对付主动威胁。OSI安全体系结构 （七）114安全服务-防止否认 接收方要发送方保证不能否认收到的信息是发送方发出的信息，而不是被他人冒名篡改过的信息。 发送方也要求对方不能否认已经收到的信息，防止否认对金融电子化系统很重要。 电子签名的主要目的是防止抵赖、防止否认，给仲裁提供证据。OSI安全体系结构 （八）115三维的信息系统安全体系结构 OSI安全体系结构 （九）116八类安全机制 数据加密机制 数据签名机制 访问控制机制 数据完整性机制 鉴别交换机制 业务填充机制 路由控制机制 公证机制OSI安全体系结构 （十）117八类安全机制-加密 向数据和业务信息流提供保密性，对其他 安全机制起补充作用； 加密算法： 对称加密；非对称加密； 密钥管理；OSI安全体系结构 （十一）118八类安全机制-数据签名机制 决定于两个过程：对数据单元签名；验证签过名的数据单元； 特征：签名只有利用签名者的私有信息才能产生出来；OSI安全体系结构 （十二）119八类安全机制-访问控制机制 利用