《第1章信息安全概述》由会员分享,可在线阅读,更多相关《第1章信息安全概述(41页珍藏版)》请在金锄头文库上搜索。
1、信息安全技术Information Security 主讲教师:赵厚宝Tel:13764751568Email: 2011年9月课程目标“信息安全技术”是信息管理与信息系统、电子商务和计算机应用专业的一门 专业技术课。其前导课程为“计算机组成与结构”、“操作系统”和“计算机网络”等, 本课程主要介绍计算机计算机安全的概念和术语、密码学基础及应用、程序及软 件安全、数据库及数据挖掘的安全、网络安全以及安全管理等内容。本授课计划 正是在充分考虑上述内容的基础上进行安排,并在不同的层次的讲解中融入实用 技术,重点介绍计算机与网络安全以及安全管理等内容,分析常见信息安全实例 和指导学生上机实验,使学生
2、掌握安全概念、以及基本安全问题和安全工具。成绩考核学生成绩=平时成绩(30%)+期末考试成绩(70%)平时成绩 30%考勤+作业+实验考试成绩70%教材及参考书目网络与信息安全基础 计算机安全-原理与实践 网络安全基础-应用于标准第1章 信息安全概述信息安全定义1信息安全的目标2信息安全重要性3信息安全威胁41.1 信息安全概念是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶 意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中 断。信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、 完整性、未授权拷贝和所寄生系统的安全性。 其根本目的就是使内部
3、信息不受外部威胁,因此信息通常要加密。为保障 信息安全,要求有信息源认证、访问控制,不能有非法软件驻留,不能有非法 操作。 信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息 安全技术、应用数学、数论、信息论等多种学科的综合性学科。1.2 信息安全的目标 保密性-confidentiality 完整性-integrity 可用性-availability 保密性保密性是指对信息或资源的隐藏保密性是指保证信息不能被非授权访问,即使非授权用户得到信息也无法 知晓信息内容,因而不能使用。通常通过访问控制阻止非授权用户获得机密信 息,通过加密变换阻止非授权用户获知信息内容。例如:密钥退税
4、单完整性完整性指的是数据或资源的可信度,通常使用防止非法的或者未经授权的数据改 变来表达完整性。完整性机制可分为两大类:预防机制检测机制可用性可用性是指对信息或资源的期望使用能力可用性是指保障信息资源随时可提供服务的能力特性,即授权用户根据需要可以 随时访问所需信息。可用性是信息资源服务功能和性能可靠性的度量,涉及到物 理、网络、系统、数据、应用和用户等多方面的因素,是对信息网络总体可靠性 的要求。(例如:拒绝服务攻击)其他安全服务不可抵赖性 (Non-repudiation)可控性 (Controllability)1.3 信息安全的重要性社会信息化提升了信息的地位社会对信息技术的依赖性增强
5、虚拟的网络财富日益增长信息安全已成为社会的焦点问题社会信息化提升了信息的地位我国在国民经济和社会各个领域,不断推广和应用计算机、通信、网络等信 息技术和其他相关智能技术,达到全面提高经济运行效率、劳动生产效率、企业 核心竞争力和人民生活质量的目的。信息化是工业社会向信息社会的动态发展过程。在这个过程中,信息 产业在国民经济中所占比例上升,工业化与信息化的结合日益密切,信息资源成 为重要的生产要素。社会对信息技术的依赖性增强信息化已经成为当今世界经济和社会发展的趋势,这种趋势 主要表现为: 信息技术突飞猛进,成为新技术革命的领头羊 信息产业高速发展,成为经济发展的强大推动力 信息网络迅速崛起,成
6、为社会和经济活动的重要依托 。虚拟的网络财富日益增长 网络的普及,使得财产的概念除金钱、实物外,又增加了的网络财富,网络 帐号、各种银行卡、电子货币等都是人们的财产体现,而这些虚拟财产都以信息 形式在网络中流通并使用,网络信息安全直接关系到这些财产的安全,当然,这 种形式的财产保护也对我们现今的法律提出了新的要求。网络与信息安全成为社会焦点信息比例的加大使得社会对信息的真实程度、保密程度的要求不断提高, 而网络化又使因虚假、泄密引起的信息危害程度呈指数增大。在信息化时代的今天,信息化引发的信息安全问题越来越受到广泛的关注 和重视。因为信息安全不仅仅涉及到国家的经济、金融和社会安全,也涉及到 国
7、防、政治和文化的安全。1.4 信息安全威胁计算机安全计算机网络安全电子商务安全计算机安全计算机网络安全与电子商务中的商务交易安全两者相辅相成, 密不可分,缺一不可。没有计算机网络安全作为基础,商务交易安 全就犹如空中楼阁,无从谈起。没有商务交易安全保障,即使计算 机网络本身再安全,仍然无法达到电子商务所特有的安全要求。计算机网络安全计算机网络安全(1)安全威胁 中断:是对系统的可用性进行攻击,如破坏计算机硬件、线路或文 件管理系统。 窃听:是对系统的保密性进行攻击,如搭线窃听、对文件或程序 的非法拷贝。篡改:是对系统的完整性进行攻击,如修改数据文件中的数据、替 换某一程序使其执行不同的功能、修
8、改网络中传送的消息内容。 伪造:是对系统的真实性进行攻击。如在网络中插入伪造的消息 或在文件中插入伪造的记录。病毒、木马等:计算机网络安全(2)攻击的类型 被动攻击 被动攻击相应于攻击类型中的窃听,攻击者的目标是窃取传输中的信息。被动 攻击又分为两类:一类是获取消息的内容;第二类是进行业务流分析,攻击者有可能获得消息的格式、确定通信双方的 位置和身份以及通信的次数和消息的长度,这些信息可能对通信双方来说是敏 感的。计算机网络安全3)安全业务 在网络通信中,主要的安全防护措施称作安全业务,有 以下几种: 保密业务:保护数据以防被动攻击,包括传输消息内容的保护和传输业务 流的保护; 认证业务:用于
9、保证通信的真实性,包括单向认证和双向认证; 完整性业务:用于消息流的完整性业务目的在于保证所接收的消息未经复 制、插入、篡改、重排或重放,因而是和所发出的消息完全一样的; 不可否认业务:用于防止通信双方中的某一方对所传输消息的否认,因此 ,一个消息发出后,接收者能够证明这一消息的确是由通信的另一方发出的 ; 访问控制:访问控制的目标是防止对网络资源的非授权 访问。电子商务本身的安全身份冒充:攻击者通过非法手段盗用合法用户的身份信息,仿 冒合法用户的身份与他人进行交易,从而获得非法利益。 信息的截获:攻击者可能在数据包通过的网关和路由器上截获 数据,获取机密信息,或通过对信息流量和流向、通信频度
10、和 长度等参数的分析,推出有用信息。 信息的篡改:当攻击者熟悉了网络信息格式以后,通过各种技 术方法和手段对网络传输的信息进行中途修改,并发往目的 地,从而破坏信息的完整性。 信息假冒:当攻击者掌握了网络信息数据规律或解密了商务信 息后,可以假冒合法用户或发送假冒信息来欺骗其他用户。 交易抵赖:交易抵赖包括多个方面,如发信者事后否认曾经发 送过某条信息或内容;收信者事后否认曾经收到过某条消息或 内容;购买者做了定货单不承认;商家卖出的商品因价格差而 不承认原有的交易。 拒绝服务:攻击者使合法接入的信息、业务或其他资源受阻, 例如使一个业务口被滥用而使其他用户不能正常工作。电子商务安全要素(1)
11、有效性、真实性(认证)对信息、实体的有效性、真实性进行鉴别。电子商务以电子形式取代了纸张,如何保证这种电子贸易信息的有效 性和真实性成了经营EC的前提。EC作为贸易的一种形式,其信息的有效 性和真实性将直接关系到个人、企业或国家的经济利益和声誉。电子商务安全要素(2)机密性保证信息不会泄露给非授权的人或实体。网络交易,必须保证发送者和接收 者之间交换信息的保密性。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业 报文来保守机密。而EC则是建立在较为开放的网络环境上,维护商业机密就成 为电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取,确保只
12、有 合法用户才能看到数据,防止泄密事件。电子商务安全要素(3)数据的完整性 要求能保证数据的一致性, 防止数据被非授权者建立、修改和破坏。 电子商务简化了贸易过程,减少了人为的干预,但同时也带来了维护商业 信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致 贸易各方信息的差异。 信息的完整性将影响到贸易各方的交易和经营策略,保持这种完整性是电 子商务应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防 止数据传送过程中丢失和重复信息,并保证信息传送次序的统一。EC系统应充 分保证数据传输、存储及EC完整性检查的正确和可靠。电子商务安全要素(4)可靠性、不可抵赖性和可
13、控性可靠性:保证合法用户对信息和资源的使用不会遭到不正当的拒绝;不可抵赖性:建立有效的责任机制,防止实体否认其行为; 可控性:控制使用资源的人或实体的使用方式。1.5信息安全研究的内容信息安全是一门交叉学科,涉及多方面的理论和应用知识。除了数学 、通信、计算机等自然科学外,还涉及法律、心理学等社会科学。从自然科学的角度来看,信息安全研究大致可以分为基础理论研究、 应用技术研究、安全管理研究等。基础研究包括密码研究、密码应用研究 ;应用技术研究则包括安全实现技术、安全平台技术研究;安全管理研究 包括安全标准、安全策略、安全测评等。信息安全研究的内容体系基础理论研究密码研究:加/解密算法、数字签名
14、算法、消息 摘要算法、密钥管理协议等 安全理论研究:访问控制、身份认证、审计追 踪、安全协议等应用技术研究安全实现技术:各种实用技术(防火墙技术、 入侵检测技术、VPN、防病毒等)安全平台技术:信息产生、存储、传输、处理平台 的安全(物理安全、网络安全、系统安全、数据库 安全等)安全管理研究安全标准 : 安全策略 : 安全测评 :作用于理论与技术的各个方面信息安全研究内容及相互关系1.6 信息安全模型及层次结构P2DR2IATF(Information Assurance Technical Framework)是美国国 家安全局(NSA)于1998年制定,提出了“深度防御策略”,确定了包 括
15、网络与基础设施防御、区域边界防御、计算环境防御和支撑性基础 设施的深度防御及目标。信息安全模型及层次结构P2DR2动态安全模型研究的是基于企业网对象、依时间及策略特征的( Policy,Protection,Detection,Response,Restore)动态安全模型结构, 是一种基于闭环控制、主动防御的动态安全模型,通过区域网络的路由及安全策 略分析与制定,在网络内部及边界建立实时检测、监测和审计机制,应用多样性 系统灾难备份恢复、关键系统冗余设计等方法,构造多层次、全方位和立体的区 域网络安全环境。 一个良好的网络安全模型应在充分了解网络系统安全需求的基础上,通 过安全模型表达安全体
16、系架构,通常具备以下性质:精确、无歧义;简单和抽象 ;具有一般性;充分体现安全策略。安全模型及层次结构P2DR2模型,其重要思想包括: 信息安全的三大要素是人、政策和技术。政策包括法律、法 规、制度等,人是核心,是最为关键的要素。 信息安全的内涵包括鉴别性、保密性、完整性、可用性、不 可抵赖性、可检查性和可恢复性等目标。 信息安全的重要领域包括网络和基础设施安全、支撑基础设 施安全、信息系统安全以及电子商务安全等内容。 信息安全的核心是密码理论和技术,安全协议是纽带,安全 体系结构是基础,监控管理是保障,安全芯片的设计和使用是 关键。 网络安全的四个环节包括保护、检测、响应和恢复。网络安全的PD
