安全生产_网络与信息安全培训课件

《安全生产_网络与信息安全培训课件》由会员分享，可在线阅读，更多相关《安全生产_网络与信息安全培训课件（33页珍藏版）》请在金锄头文库上搜索。

1、Network and Information Security,网络与信息安全A,1 张世永.网络安全原理与应用.科学出版社,2003,5 2 William Stallings密码编码学与网络安全：原理与实践（第2版）北京：电子工业出版社，2001 3 冯登国.密码分析学.清华大学出版社,2000 . 4 胡建伟网络安全与保密西安：西安电子科技大学出版社，2002,参考文献,Network and Information Security,考核方式（暂定） 书面考试 (50%) 实验 (20%) 考勤 (30%),Network and Information Security,学习目标,

2、掌握网络信息安全的基本概念 理解网络提供的安全服务 了解网络安全标准 掌握网络安全的层次 理解安全机制的内容,Network and Information Security,依赖信息进行研究和决策 网络安全、信息安全和计算机安全之间的关系: 计算机、网络和信息这三个概念已变得唇齿相依、相辅相成、不可分割 . 探讨和研究三者中的任何一个问题，都离不开另外的两者。 涉及到网络安全的问题，也都与信息安全和计算机安全相关。,第1章 网络信息安全综述 1.1 网络与信息安全的基本概念,Network and Information Security,网络是把双刃剑 . 网络安全已发展为计算机科学的一个

3、重要分支，而网络安全的内涵非常丰富，它涉及到法律学、犯罪学、心理学、经济学、应用数学、数论、计算机科学、加密学及审计学等相关学科。 网络的开放和安全本身是一对矛盾，如果想“鱼和熊掌”都能兼得，就必须对开放系统的安全性进行深入和自主的研究，找到并理清实现开放系统的安全性所涉及的关键技术环节，并掌握设计和实现开放系统的安全性的方案和措施。,Network and Information Security,木桶原理:一个木桶由许多块木板组成，如果组成木桶的这些木板长短不一，那么木桶的最大容量不取决于长的木板，而取决于最短的那块木板。 网络安全界广泛采用 “木桶理论” ，整个系统的安全防护能力，取决于

4、系统中安全防护能力最薄弱的环节。 信息从产生到销毁的生命周期过程中包括了产生、收集、加工、交换、存储、检索、存档、销毁等多个事件，表现形式和载体会发生各种变化，这些环节中的任何一个都可能影响整体信息安全水平。 网络与信息安全是一个系统工程。,Network and Information Security,网络信息安全，一般有以下4项要求： （1）机密性，即消息只有合法的接收者才能读出，其他人即使收到也读不出。 （2）真实性，即消息的确是由宣称的发送者发送的，如冒名顶替则会被发现。 （3）完整性，即消息在传输过程中如果篡改则会被发现。 （4）抗抵赖，即消息的发送者在发送后不能否认他发送过该消息

5、。,Network and Information Security,1.2 网络安全威胁 1.2.1 网络安全威胁的类型,（1）窃听 （2）假冒 （3）重放 （4）流量分析 （5）破坏完整性 （6）拒绝服务 （7）资源的非授权使用 （8）特洛伊木马 （9）病毒 （10）诽谤,Network and Information Security,1.2.2 网络安全威胁的动机,威胁安全问题的实体是入侵者，因此识别入侵者是一项烦琐而艰巨的任务。 了解攻击的动机可以帮助用户洞察网络中哪些部分容易受攻击以及攻击者最可能采取什么行动。 在网络入侵的背后，通常有以下5种形式的动机。 1商业间谍 2经济利益

6、经济利益是一种普遍的网络攻击目的。 3报复或引人注意 4恶作剧 5无知,Network and Information Security,网络安全的结构层次主要包括：物理安全、安全控制和安全服务。 1.3.1 物理安全 物理安全是指在物理介质层次上对存储和传输的网络信息的安全保护。物理安全是网络信息安全的最基本保障。该层次上常见的不安全因素包括三大类： (1) 自然灾害 (2) 电磁辐射 (3) 操作失误,Network and Information Security,1.3 网络安全的层次结构,第1章,Network and Information Security,安全控制是指在网络信息

7、系统中对存储和传输信息的操作和进程进行控制和管理，重点是在网络信息处理层次上对信息进行初步的安全保护。安全控制可以分为以下三个层次： (1) 操作系统的安全控制。包括对用户的合法身份进行核实(比如，开机时要求键入口令)和对文件的读/写存取的控制( 比如，文件属性控制机制)等。 (2) 网络接口模块的安全控制。指在网络环境下对来自其它机器的网络通信进程进行安全控制。此类控制主要包括身份认证、客户权限设置与判别、审计日志等。 (3) 网络互联设备的安全控制。指对整个子网内的所有设备（主机、路由器、交换机）的传输信息和运行状态进行安全监测和控制。此类控制主要通过网管软件或路由器配置实现。,Netwo

8、rk and Information Security,第1章 综述,1.3.2 安全控制,Network and Information Security,安全服务是指在应用程序层对网络信息的保密性、完整性和信源的真实性进行保护和鉴别，以满足用户的安全需求，防止和抵御各种安全威胁和攻击手段。 安全服务可以在一定程度上弥补和完善现有操作系统和网络信息系统的安全漏洞。 安全服务的主要内容包括： 安全机制、安全连接、安全协议、安全策略。,Network and Information Security,第1章,1.3.3 安全服务,Network and Information Security,

9、安全服务,(1) 安全机制是用来预防、检测或从安全攻击中恢复的机制。 (2) 安全连接是在安全处理前网络通信双方之间的连接过程。 (3) 安全协议是多个实体为完成某些安全任务所采取的一系列有序步骤。 (4) 安全策略是决策的集合。,Network and Information Security,1.4.1 可信计算机系统评估准则 为了保障计算机系统的信息安全，1985年，美国国防部发表了可信计算机系统评估准则，它依据处理的信息等级采取相应的对策，划分了四类七个安全等级。 依照各类、级的安全要求从低到高，依次是D、C1、C2、B1、B2、B3和A1级。,Network and Informat

10、ion Security,第1章,1.4 网络安全的评价标准,Network and Information Security,D级最低安全保护(Minimal Protection)。没有任何安全性防护，如DOS和Windows 95/98等操作系统。 C1级自主安全保护(Discretionary Security Protection)。 这一级的系统必须对所有的用户进行分组；每个用户必须注册后才能使用；系统必须记录每个用户的注册活动；系统对可能破坏自身的操作将发出警告。 用户可保护自己的文件不被别人访问，如典型的多用户系统。,Network and Information Securi

11、ty,第1章,Network and Information Security,C2级可控访问保护(Controled Access Protection)。 在C1级基础上，增加了以下要求： 所有的客体都只有一个主体；所有者？ 对于每个试图访问客体的操作，都必须检验权限； 仅有主体和主体指定的用户才可以更改权限； 管理员可以取得客体的所有权，但不能再归还； 系统必须保证自身不能被管理员以外的用户改变； 系统必须有能力对所有的操作进行记录，并且只有管理员和由管理员指定的用户可以访问该记录。 具备审计功能，不允许访问其他用户的内存内容和恢复其他用户已删除的文件。SCO UNIX和Windows

12、NT属于C2级。,Network and Information Security,第1章,Network and Information Security,B1级标识的安全保护(Labeled Security Protection)。增加以下几条要求： 不同组的成员不能访问对方创建的客体，但管理员许可的除外； 管理员不能取得客体的所有权。 允许带级别的访问控制，如一般、秘密、机密、绝密等。Windows NT的定制版本可以达到B1级。 B2级结构化保护(Structured Protection)。增加以下几条要求： 所有的用户都被授予一个安全等级； 安全等级较低的用户不能访问高等级用户创

13、建的客体。 银行的金融系统通常达到B2级。提供结构化的保护措施，对信息实现分类保护。,Network and Information Security,第1章,Network and Information Security,B3级安全域保护(Security Domain)。 增加以下要求： 系统有自己的执行域，不受外界干扰或篡改。 系统进程运行在不同的地址空间从而实现隔离。 具有高度的抗入侵能力，可防篡改，进行安全审计事件的监视，具备故障恢复能力。 A1级可验证设计(Verified Design)。增加以下要求： 系统的整体安全策略一经建立便不能修改。 计算机的软、硬件设计均基于正式的安

14、全策略模型，可通过理论分析进行验证，生产过程和销售过程也绝对可靠，但目前尚无满足此条件的计算机产品。,Network and Information Security,第1章,Network and Information Security,其中，C类称为酌情保护，B类称为强制保护，A类称为核实保护。 这个标准过分强调了保密性，而对系统的可用性和完整性重视不够，因此实用性较低。,Network and Information Security,1.4.2 网络安全服务,国际标准化组织（International Standard Organization, ISO）提出了OSI/RM （Ope

15、n Systems Interconnection Reference Model，开放系统互联参考模型, OSI）。 1988年 ，ISO发布了OSI安全体系结构ISO7498-2标准，作为OSI基本参考模型的补充。 这是基于OSI参考模型的七层协议之上的信息安全体系结构。它定义了5类安全服务、8种特定安全机制、五种普遍性安全机制。 它确定了安全服务与安全机制的关系以及在OSI七层模型中安全服务的配置，还确定了OSI安全体系的安全管理。 国际标准化组织在网络安全体系的设计标准（ISO 7498-2）中，定义了5大安全服务功能：身份认证服务、数据保密服务、数据完整服务、不可否认服务和访问控制服

16、务。,Network and Information Security,1身份认证服务 身份认证 确保会话对方的资源(人或计算机)同他声称的相一致。 这种服务在连接建立或在数据传送阶段的某些时刻使用, 用以证实一个或多个连接实体的身份。 2 数据保密服务 数据保密确保敏感信息不被非法者获取。这种服务对数据提供保护使之不被非授权地泄露。 3数据完整服务 使系统只允许授权的用户修改信息，以保证所提供给用户的信息是完整无缺的。完整性有两方面的含义：数据本身的完整性和连接的完整性。 4不可否认服务 不可否认又称为审计，确保任何发生的交互在事后可以被证实，即所谓的不可抵赖性。 5访问控制服务 访问控制(Access Control)确保会话对方(人或计算机)有权做他所声称的事情。访问控制就是控制主体对客体资源