《网络信息安全第1-2讲幻灯片》由会员分享,可在线阅读,更多相关《网络信息安全第1-2讲幻灯片(31页珍藏版)》请在金锄头文库上搜索。
1、第1章 网络信息安全概论,1.1 网络信息安全问题的根源 1.2 网络信息安全体系架构 1.3 网络安全防范体系层次 1.4 常见网络信息安全技术,1.1 网络信息安全问题的根源,1网络协议的开放性、共享性和协议自身的缺陷 覆盖全球的因特网,以其TCP/IP协议开放性与共享性方便了各种计算机网络的入网互联,极大地拓宽了资源共享的可能性。但由于早期网络协议以开放性和共享性为主要目标而对安全问题的忽视,以及Internet在使用和管理上的相对无序状态,导致目前网络安全受到了严重威胁,安全事故屡有发生。,1.1 网络信息安全问题的根源,1网络协议的开放性、共享性和协议自身的缺陷 网络协议自身的安全缺
2、陷主要是指协议和业务的不安全。导致协议不安全的主要原因,一方面是Internet从建立开始就缺乏安全的总体构想和设计。因为Internet起源的初衷是方便学术交流和信息沟通,并非商业目的。Internet所使用的TCP/IP协议是在假定的可信环境下,为网络互联而专门设计的,本身缺乏安全措施。TCP/IP协议的IP层没有安全认证和保密机制(只基于IP地址进行数据包的寻址,无认证和保密机制);在传输层,TCP连接能被欺骗、截取和操纵,而UDP易受IP源路由和拒绝服务的攻击。另一方面,协议本身可能会泄露口令,连接可能成为被盗用的目标。,1.1 网络信息安全问题的根源,2操作系统和应用程序的复杂性 由
3、于网络和终端硬件设备的不断升级换代以及计算机功能的不断增强,现代操作系统和应用程序变得越来越庞大而复杂,导致的一个不良后果就是操作系统和应用程序本身存在许多安全漏洞和隐患。另外,操作系统和应用系统的复杂性也为对它们的配置不当而引发安全问题埋下了伏笔,甚至它们的默认安装和配置也成为安全的一大隐患。,1.1 网络信息安全问题的根源,3程序设计带来的问题 一方面由于商业和非商业的原因,程序员总是期望能在最短的时间内完成程序并实现尽可能多的功能,这就容易导致程序存在安全问题;另一方面,目前流行的开发程序的语言本身会带来安全问题(如C、C+中的边界问题)。,1.1 网络信息安全问题的根源,4设备物理安全
4、问题 网络设备和计算机系统本身的物理安全隐患,如灰尘、潮湿、雷击和电磁泄露等,也是网络信息安全出现问题的重要根源之一。 物理安全包括三个方面: 1) 环境安全:对系统所在环境的安全保护。 区域保护:电子监控; 灾难保护:灾难的预警、应急处理、恢复 2) 设备安全: 防盗:上锁,报警器;防毁:接地保护,外壳 防电磁信息泄漏:屏蔽,吸收,干扰 防止线路截获:预防,探测,定位,对抗 抗电磁干扰:对抗外界,消除内部 电源保护:UPS,纹波抑制器 3) 媒体安全 :对媒体及媒体数据的安全保护。 媒体的安全 : 媒体的安全保管。 防盗;防毁、防霉等。 媒体数据安全:防拷贝,消磁,丢失。,1.1 网络信息安
5、全问题的根源,5人员的安全意识与技术问题 人是信息活动的主体,是引起网络信息安全问题最主要的因素之一,这可以从以下三个方面来理解。第一,人为的无意失误主要是指用户安全配置不当造成的安全漏洞,包括用户安全意识不强、用户口令选择不当、用户将自己的账号信息与别人共享和用户在使用软件时未按要求进行正确的设置等。第二,人为的恶意黑客攻击,是网络信息安全面临的最大威胁。在英文中,黑客有两个概念:Hacker和Cracker。一般来说,Hacker是这样一类人,他们对钱财和权利蔑视,而对网络技术本身非常专注,他们在网上进行探测性的行动,帮助人们找到网络的漏洞,可以说他们是这个领域的绅士。,1.1 网络信息安
6、全问题的根源,5人员的安全意识与技术问题 但是Cracker不一样,他们要么为了满足自己的私欲,要么受雇于一些商业机构,具有攻击性和破坏性。他们修改网页,窃取机密数据,甚至破坏整个网络系统。因其危害性较大,Cracker已成为网络安全真正的,也是主要的防范对象。这类人闯入计算机网络系统盗取信息,故意破坏他人财产,使服务器中断。他们对电脑非常着迷,自认为比他人聪明,因此,随心所欲地闯入某些信息禁区,开玩笑或恶作剧,甚至干出违法的事。他们把此看作一种智力挑战,好玩,但当有利可图时,很多人往往抵制不住诱惑而走上犯罪的道路。信息战也是黑客开展攻击的一个非常重要的缘由。,1.1 网络信息安全问题的根源,
7、5人员的安全意识与技术问题 第三,管理不善也是一个重要因素之一。对网络信息系统的严格管理是避免受到攻击的重要措施。据统计,在美国,90%以上的IT企业对黑客攻击准备不足,75%85%的网站都抵挡不住黑客的攻击。管理的缺陷也可能导致系统内部人员泄露机密,被一些不法分子获取可乘之机。,1.1 网络信息安全问题的根源,6相关的法律问题 由于网络环境是一种虚拟社会,现实社会和生活中的诸多问题在这个虚拟社会中都有所表现。现实社会中政府各行政主管部门多年来已经形成的管理职能必然向这个虚拟社会延伸。为了调整这个虚拟社会中的各种矛盾,规范秩序,制定相应的法规、规章和法律就成为了各部门的必然选择。但由于与网络相
8、关的法律的不完善性、滞后性以及由于网络虚拟社会的无国界性和法律效力的国界性矛盾,也是导致目前网络信息安全问题的根源之一。实际上,网络环境下的信息安全不仅涉及到技术问题,而且涉及到法律政策问题和管理问题。技术问题虽然是最直接的保证信息安全的手段,但离开了法律政策和管理的基础,纵有最先进的技术,网络信息安全也得不到保障。,1.2 网络信息安全体系架构,1网络信息系统中的资源 我们将网络信息系统中的资源分为三种: (1) 人:信息系统的决策者、使用者和管理者。 (2) 应用:由一些业务逻辑组件及界面组件组成。 (3) 支撑:为开发应用组件而提供技术上支撑的资源,包括网络设施、操作系统软件等。,1.2
9、 网络信息安全体系架构,2网络与信息安全的任务 网络安全的任务是保障各种网络资源(局域网资源、边界资源和网络基础设施)的稳定、可靠地运行和受控、合法地使用。,1.2 网络信息安全体系架构,2网络与信息安全的任务 信息安全的任务是保障信息在存储、传输、处理等过程中的安全。具体的有: (1) 机密性(confidentiality):指防止非授权用户获得有用的信息的特性。 (2) 完整性(integrity):指数据没有遭到非授权的更改和破坏。 (3) 不可抵赖性(non-repudiation):指实体不能抵赖其发送、接受某信息或参与某活动事实的特性。 (4) 可用性(availability)
10、:指保证授权用户对资源合法使用的特性。,1.2 网络信息安全体系架构,3网络信息安全机制 网络信息安全通常是由一系列安全机制来实现的。所谓安全机制,是指将安全技术实现逻辑抽象而成的一系列的模式。 在网络信息安全领域,人们提出的 高层机制主要有六种:预警、防护、检 测、响应、恢复、反击。它们的关系如 图1-1所示。,图1-1 安全机制之间的关系,1.2 网络信息安全体系架构,3网络信息安全机制 网络信息安全中层机制有:身份认证、授权、加密、网络隔离、高可用性、内容分析等。 网络信息安全基础应用域包括:网络基础设施安全、边界安全和局域网安全。网络信息安全具体应用域有:防火墙应用、入侵检测、反病毒软
11、件、文件共享安全应用等。,1.2 网络信息安全体系架构,3网络信息安全机制 安全服务(安全任务)、安全机制和安全应用域是网络信息安全系统的三要素,它们的关系可以用一个三维坐标进行表述,如图1-2所示。,图1-2 安全服务、安全机制和安全应用域之间的关系,1.2 网络信息安全体系架构,4网络安全防范体系框架结构 为了能够有效地了解用户的安全需求,选择各种安全产品和策略,有必要建立一些系统的方法来进行网络安全防范。网络安全防范体系的科学性、可行性是其可顺利实施的保障。 网络信息系统安全体系中技术体系框架的设计,可借鉴美军全国防信息系统安全计划(DISSP)计划提出的三维安全体系的思路,将协议层次、
12、信息系统构成单元和安全服务 (安全机制)作为三维坐标体系的三个维来表示。 从1990年7月开始制定的美军全国防信息系统安全计划(DISSP)是关于美军未来信息系统的安全计划,它从大系统工程的观点出发,寻求建立一个统一的多级信息安全结构,为美军以后信息系统的开发和改造确定一套行动准则。,1.2 网络信息安全体系架构,4网络安全防范体系框架结构 图中给出了基于DISSP扩展的一个三维安全防范技术体系框架结构。第一维是安全服务,给出了八种安全属性(ITU-T REC-X.800-199103-I)。第二维是系统单元, 给出了信息网络系统的组成。 第三维是结构层次,给出并扩展 了国际标准化组织ISO的
13、开放系统 互联(OSI)模型。,1.3 网络安全防范体系层次,作为全方位的、整体的网络安全防范体系也是分层次的,不同层次反映了不同的安全问题。 根据网络的应用现状和网络的 结构,安全防范体系的层次可 划分为物理层安全、系统层安 全、网络层安全、应用层安全 和安全管理,如图1-4所示。,图1-4 网络信息安全防范层次,1.3 网络安全防范体系层次,1物理层安全 物理层安全包括通信线路的安全、物理设备的安全和机房的安全等。物理层的安全主要体现在通信线路的可靠性(线路备份、网管软件、传输介质),软硬件设备安全性(替换设备、拆卸设备、增加设备),设备的备份,防灾害能力,防干扰能力,设备的运行环境(温度
14、、湿度、灰尘),不间断电源保障,等等。,1.3 网络安全防范体系层次,2系统层安全 系统层安全问题来自网络内使用的操作系统安全,如Windows、UNIX和Linux等。主要表现在三方面:一是操作系统本身的缺陷带来的不安全因素,主要包括身份认证、访问控制、系统漏洞等;二是对操作系统的安全配置问题;三是病毒对操作系统的威胁。,1.3 网络安全防范体系层次,3网络层安全 网络层安全问题主要体现在网络方面的安全性,包括网络层身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入的安全、域名系统的安全、路由系统的安全、入侵检测的手段、网络设施防病毒等。,1.3 网络安全防范体系层次,4应用层安
15、全 应用层安全问题主要由提供服务的应用软件和数据的安全性产生,包括Web服务、电子邮件系统、DNS等。此外,还包括病毒对应用系统的威胁。,1.3 网络安全防范体系层次,5管理层安全 管理层安全包括安全技术和设备的管理、安全管理制度、部门与人员的组织规章等。管理的制度化极大地影响着整个网络的安全,严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低各个层次的安全漏洞。,1.4 常见网络信息安全技术,1密码技术 数据加密就是利用密钥对原来为明文的数据信息按某种算法进行处理使其成为不可读的密文的过程。解密是加密的逆过程,利用密钥从密文信息中得到原始明文信息。现代数据加
16、密技术主要分为两类:对称加密和公钥加密。对称加密是指加密和解密的密钥是一样的(如DES),而公钥加密是指加密密钥和解密密钥是相对独立的(如RSA)。,1.4 常见网络信息安全技术,2身份认证 身份认证是指验证实体与其所宣称的实体是否一致的过程。身份认证是用于保证网络信息资源被合法用户得到合理使用的基本技术手段。 3数字签名 数字签名是用来证明信息是由发送者签发的和信息没有被他人篡改的技术。一般数字签名是通过对源信息的Hash函数值进行加密来实现的。,1.4 常见网络信息安全技术,4防火墙 防火墙的本义原是指古代人们房屋之间修建的那道墙,这道墙可以防止火灾发生的时候火烟蔓延到别的房屋。而这里所说的防火墙是指在本地网络与外界网络之间的一道防御系统。防火墙是在两个网络通信时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。,1.4 常见网络信息安全技术,5入侵检测 入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管
