《信息安全防护概述ppt课件》由会员分享,可在线阅读,更多相关《信息安全防护概述ppt课件(38页珍藏版)》请在金锄头文库上搜索。
1、信息安全概述信息安全概述信息安全概述信息安全概述课程主要内容课程主要内容课程主要内容课程主要内容信息安全的目标信息安全的目标信息安全的发展信息安全的发展信息安全的研究内容信息安全的研究内容2l信息信息信息就是消息,是关于客观事实的可通讯的知识。信息可以被交流、存储和使用。l信息安全信息安全国际标准化组织(ISO)的定义为:“为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露”。 1 1 1信息安全的目标信息安全的目标信息安全的目标信息安全的目标信息安全的目标信息安全的目标3(1)网络安全网络安全网络安全网络安全的任务: 保障各种网
2、络资源稳定可靠的运行,受控合法的使用。(2)信息安全信息安全信息安全信息安全的任务: 保证:保证:保证:保证:机密性、完整性、不可否认性、可用性(3)其他方面其他方面其他方面其他方面: 病毒防治,预防内部犯罪 1.1 1.1 1.1 网络与信息安全的主要任务网络与信息安全的主要任务网络与信息安全的主要任务网络与信息安全的主要任务网络与信息安全的主要任务网络与信息安全的主要任务4(1) 信息与网络安全的防护能力较弱。(2) 基础信息产业相对薄弱,核心技术严重依赖国外。对引进的信息技术和设备缺乏保护信息安全的有效管理和技术改造。(3) 信息安全管理力度还要加强,法律法规滞后现象急待解决。(4) 信
3、息犯罪在我国有快速发展的趋势。(5) 国内具有知识产权的信息与网络安全产品相对缺乏,且安全功能急待提高。(6)全社会的信息安全意识急待提高,加强专门安全人才的培养刻不容缓。 1.2 1.2 1.2 我国信息安全的现状我国信息安全的现状我国信息安全的现状我国信息安全的现状我国信息安全的现状我国信息安全的现状5 1.3 1.3 1.3 信息安全威胁信息安全威胁信息安全威胁信息安全威胁信息安全威胁信息安全威胁l信息安全威胁:指某个人、物、事件或概念对信息资源的保密性、完整性、可用性或合法使用性等等所造成的威胁。攻击就是对安全威胁的具体体现。虽然人为因素和非人为因素都可以对通信安全构成威胁,但是精心设
4、计的人为攻击威胁最大。6网络安全攻击的形式网络安全攻击的形式网络安全攻击的形式网络安全攻击的形式网络安全攻击的形式网络安全攻击的形式7l l被动攻击被动攻击被动攻击被动攻击:l目的是窃听、监视、存储数据,但是不修改数据。很难被检测出来,通常采用预防手段来防止被动攻击,如数据加密。l l主动攻击主动攻击主动攻击主动攻击:修改数据流或创建一些虚假数据流。常采用数据加密技术和适当的身份鉴别技术。主动与被动攻击主动与被动攻击主动与被动攻击主动与被动攻击主动与被动攻击主动与被动攻击8网络安全攻击网络安全攻击网络安全攻击网络安全攻击网络安全攻击网络安全攻击vv截获截获截获截获以保密性作为攻击目标,表现为非
5、授权用户通过某种手段获得对系统资源的访问,如搭线窃听、非法拷贝等vv中断中断中断中断( ( ( (阻断)阻断)阻断)阻断)以可用性作为攻击目标,表现为毁坏系统资源,切断通信线路等9网络安全攻击网络安全攻击网络安全攻击网络安全攻击网络安全攻击网络安全攻击vv篡改篡改篡改篡改以完整性作为攻击目标,非授权用户通过某种手段获得系统资源后,还对文件进行窜改,然后再把篡改过的文件发送给用户。vv伪造伪造伪造伪造以完整性作为攻击目标,非授权用户将一些伪造的、虚假的数据插入到正常系统中10 1.4 1.4 1.4 常见的安全威胁常见的安全威胁常见的安全威胁常见的安全威胁常见的安全威胁常见的安全威胁 1信息泄露
6、:信息被泄露或透露给某个非授权的实体。2破坏完整性:数据被非授权地进行增删、修改或破坏 而受到损失。3拒绝服务:对信息或其它资源的合法访问被无条件地 阻止。4非法使用:某一资源被某个非授权的人,或以非授权 的方式使用。5窃听:用各种可能的合法或非法的手段窃取系统中的 信息资源和敏感信息。116业务流分析:通过对系统进行长期监听来分析对通信频度、信息流向等发现有价值的信息和规律。 7假冒:通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击。8旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。9授权
7、侵犯:被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其它非授权的目的,也称作“内部攻击”。 1.4 1.4 1.4 常见的安全威胁常见的安全威胁常见的安全威胁常见的安全威胁常见的安全威胁常见的安全威胁 1210特洛伊木马:软件中含有一个察觉不出的或者无害的程序段,当它被执行时,会破坏用户的安全。这种应用程序称为特洛伊木马。11陷阱门:在某个系统或某个部件中设置的“机关”,使得当提供特定的输入数据时,允许违反安全策略。12抵赖:这是一种来自用户的攻击,比如:否认自己曾经发布过的某条消息、伪造一份对方来信等。13重放:所截获的某次合法的通信数据拷贝,出于非法的目的而被重新发送。14计算
8、机病毒:是一种在计算机系统运行过程中能够实现传染和侵害的功能程序。 1.4 1.4 1.4 常见的安全威胁常见的安全威胁常见的安全威胁常见的安全威胁常见的安全威胁常见的安全威胁 1315人员不慎:一个授权的人为了钱或利益,或由于粗心,将信息泄露给一个非授权的人。16媒体废弃:信息被从废弃的磁的或打印过的存储介质中获得。17物理侵入:侵入者通过绕过物理控制而获得对系统的访问;18窃取:重要的安全物品,如令牌或身份卡被盗;19业务欺骗:某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息。 1.4 1.4 1.4 常见的安全威胁常见的安全威胁常见的安全威胁常见的安全威胁常见的安全威胁常见的安
9、全威胁 14安全威胁的后果安全威胁的后果安全威胁的后果安全威胁的后果安全威胁的后果安全威胁的后果安全漏洞危害在增大信息对抗的威胁在增加信息对抗的威胁在增加电力电力交通交通医疗医疗金融金融工业工业广播广播控制控制通讯通讯因特网因特网15 1.5 1.5 1.5 信息安全的目标信息安全的目标信息安全的目标信息安全的目标信息安全的目标信息安全的目标安全工作的目的就是为了在安全法律、法规、政策的支持与指导下,通过采用合适的安全技术与安全管理措施,完成:v使用授权机制,实现对用户的权限控制,即不该拿走 的“拿不走”,同时结合内容审计机制,实现对网络资源及信息的可控性可控性可控性可控性。 v使用访问控制机
10、制,阻止非授权用户进入网络,即“进不来”,从而保证网络系统的可用性可用性可用性可用性。v使用加密机制,确保信息不暴漏给未授权的实体或进程,即“看不懂”,从而实现信息的保密性保密性保密性保密性。16v使用数据完整性鉴别机制,保证只有得到允许的人才能修改数据,而其它人“改不了”,从而确保信息的完整性完整性完整性完整性。v使用审计、监控、防抵赖等安全机制,使得攻击者、破坏者、抵赖者“走不脱”,并进一步对网络出现的安全问题提供调查依据和手段,实现信息安全的可审可审可审可审查性查性查性查性。 1.5 1.5 1.5 信息安全的目标信息安全的目标信息安全的目标信息安全的目标信息安全的目标信息安全的目标17
11、(1 1 1 1)主动防御保护技术)主动防御保护技术)主动防御保护技术)主动防御保护技术 数据加密、身份鉴别、存取控制、权限设置、 虚拟专用网(VPN)技术。(2 2 2 2)被动防御保护技术)被动防御保护技术)被动防御保护技术)被动防御保护技术 防火墙、入侵检测系统、安全扫描器、口令验证、 审计跟踪、物理保护与安全管理 1.6 1.6 1.6 信息安全保护技术信息安全保护技术信息安全保护技术信息安全保护技术信息安全保护技术信息安全保护技术18 信息安全信息安全信息安全信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的边缘性综合学科。2
12、 2 2 2 2 2信息安全的研究内容信息安全的研究内容信息安全的研究内容信息安全的研究内容信息安全的研究内容信息安全的研究内容一、信息安全理论研究二、信息安全应用研究三、信息安全管理研究信息安全研究的内容包括信息安全研究的内容包括19信息安全研究内容及相互关系信息安全研究内容及相互关系信息安全研究内容及相互关系信息安全研究内容及相互关系信息安全研究内容及相互关系信息安全研究内容及相互关系201 1 1 1、密码理论、密码理论、密码理论、密码理论 加密加密加密加密:将信息从易于理解的明文加密为不易理解的密文 消息摘要消息摘要消息摘要消息摘要:将不定长度的信息变换为固定长度的摘要 数字签名数字签
13、名数字签名数字签名:实际为加密和消息摘要的组合应用 密钥管理密钥管理密钥管理密钥管理:研究密钥的产生、发放、存储、更换、销毁2.12.12.12.12.12.1信息安全理论研究信息安全理论研究信息安全理论研究信息安全理论研究信息安全理论研究信息安全理论研究212 2 2 2、安全理论、安全理论、安全理论、安全理论 身份认证身份认证身份认证身份认证:验证用户身份是否与其所声称的身份一致 授权与访问控制授权与访问控制授权与访问控制授权与访问控制:将用户的访问行为控制在授权范围内 审计跟踪审计跟踪审计跟踪审计跟踪:记录、分析和审查用户行为,追查用户行踪 安全协议安全协议安全协议安全协议:构建安全平台
14、使用的与安全防护有关的协议2.12.12.12.12.12.1信息安全理论研究信息安全理论研究信息安全理论研究信息安全理论研究信息安全理论研究信息安全理论研究221 1 1 1、安全技术、安全技术、安全技术、安全技术 防火墙技术防火墙技术防火墙技术防火墙技术:控制两个安全策略不同的域之间的互访行为 漏洞扫描技术漏洞扫描技术漏洞扫描技术漏洞扫描技术:对安全隐患的扫描检查、修补加固 入侵检测技术入侵检测技术入侵检测技术入侵检测技术:提取和分析网络信息流,发现非正常访问 病毒防护技术病毒防护技术病毒防护技术病毒防护技术:预防病毒入侵2.22.22.22.22.22.2信息安全应用研究信息安全应用研究
15、信息安全应用研究信息安全应用研究信息安全应用研究信息安全应用研究232 2 2 2、平台安全、平台安全、平台安全、平台安全 物理安全物理安全物理安全物理安全:主要防止物理通路的损坏、窃听、干扰等 网络安全网络安全网络安全网络安全:保证网络只给授权的客户使用授权的服务, 保证网络路由正确,避免被拦截或监听 系统安全系统安全系统安全系统安全:保证客户资料、操作系统访问控制的安全, 同时能对该操作系统上的应用进行审计 数据安全数据安全数据安全数据安全:对安全环境下的数据需要进行加密 用户安全用户安全用户安全用户安全:对用户身份的安全性进行识别 边界安全边界安全边界安全边界安全:保障不同区域边界连接的
16、安全性2.22.22.22.22.22.2信息安全应用研究信息安全应用研究信息安全应用研究信息安全应用研究信息安全应用研究信息安全应用研究24信息安全保障体系、信息安全应急反应技术、安全性能测试和评估、安全标准、法律、管理法规制定、安全人员培训提高等。2.32.32.32.32.32.3信息安全管理研究信息安全管理研究信息安全管理研究信息安全管理研究信息安全管理研究信息安全管理研究1 1、安全策略研究、安全策略研究2 2、安全标准研究、安全标准研究3 3、安全测评研究、安全测评研究三分技术,七分管理!三分技术,七分管理!三分技术,七分管理!三分技术,七分管理! 25 一一、安安全全策策略略指在
17、一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。该安全策略模型包括了建立安全环境的三个重要组成部分,即威严的法律、先进的技术、严格的管理。2.32.32.32.32.32.3信息安全管理研究信息安全管理研究信息安全管理研究信息安全管理研究信息安全管理研究信息安全管理研究v 安全策略是建立安全系统的第一道防线安全策略是建立安全系统的第一道防线v 确保安全策略不与公司目标和实际活动相抵触确保安全策略不与公司目标和实际活动相抵触v 给予资源合理的保护给予资源合理的保护26以安全策略为核心的安全模型以安全策略为核心的安全模型安全安全安全安全策略策略策略策略防护防护防护防护 检检检检 测
18、测测测响响响响 应应应应ISS(Internet Security Systems InC.)提出 2.32.32.3信息安全管理研究信息安全管理研究信息安全管理研究信息安全管理研究信息安全管理研究信息安全管理研究27MPMPMP2 22DRRDRRDRR安全模型安全模型安全模型安全模型安全模型安全模型PMRRD安全模型安全模型MP2DRR访问控制机制访问控制机制访问控制机制访问控制机制入侵检测机制入侵检测机制入侵检测机制入侵检测机制安全响应机制安全响应机制安全响应机制安全响应机制备份与恢复机制备份与恢复机制备份与恢复机制备份与恢复机制管理管理管理管理P安全策略安全策略安全策略安全策略281
19、1、TCSECTCSEC(可信计算机系统评估标准)(可信计算机系统评估标准)2 2、CC(CC(通用准则通用准则) )3 3、ITSECITSEC(欧洲安全评价标准)(欧洲安全评价标准)4、我国的标准、我国的标准2.32.32.32.32.32.3信息安全管理研究信息安全管理研究信息安全管理研究信息安全管理研究信息安全管理研究信息安全管理研究二、安全标准研究二、安全标准研究29TCSECTCSEC 美国TCSEC(桔皮书)可信计算机系统评估准则。1985年由 美国国防部制定。TCSEC是历史上第一个计算机安全评价标准。内容分为4个方面:安全政策、可说明性、安全保障和文档。安全等级划分为 D,C
20、,B,A 共4类7级,由低到高。30TCSECTCSEC类别类别级别级别名称名称主要特征主要特征DD低级保护低级保护没有安全保护没有安全保护CC1自主安全保护自主安全保护自主存储控制自主存储控制C2受控存储控制受控存储控制单独的可查性,安全标识单独的可查性,安全标识BB1标识的安全保护标识的安全保护强制存取控制,安全标识强制存取控制,安全标识B2结构化保护结构化保护面向安全的体系结构面向安全的体系结构较好的抗渗透能力较好的抗渗透能力B3安全区域安全区域存取监控、高抗渗透能力存取监控、高抗渗透能力AA验证设计验证设计形式化的最高级描述和验证形式化的最高级描述和验证31CCCCl通用评估准则,简称
21、CC,CC源于TCSEC,但完全改进了TCSEC。CC定义了作为评估信息技术产品和系统安全性的基础准则,提出了目前国际上公认的表述信息技术安全性的结构以及如何正确有效地实施这些功能的保证要求,是目前系统安全认证方面最权威的标准。作为评估信息技术产品和系统安全性的世界性通用准则,是信息技术安全性评估结果国际互认的基础。lCC的先进性体现在其结构的开放性、表达方式的通用性以及结构和表达方式的内在完备性和实用性四个方面。32CCCClCC分为三个部分:1) “简介和一般模型”,介绍了CC中的有关术语、基本概 念和一般模型以及与评估有关的一些框架,附录部分主要介绍“保护轮廓”和“安全目标”的基本内容;
22、 2) “安全功能要求”,按“类子类组件”的方式提出安全功能要求,每一个类除正文以外,还有对应的提示性附录作进一步解释; 3) “安全保证要求”,定义了评估保证级别,介绍了“保护轮廓”和“安全目标”的评估,并按“类子类组件”的方式提出安全保证要求。33ITSECITSECl 欧洲的安全评价标准(ITSEC)是英国、法国、德国和荷兰制定的IT安全评估准则,较美国军方制定的TCSEC准则在功能的灵活性和有关的评估技术方面均有很大的进步。 l ITSEC是欧洲多国安全评价方法的综合产物,应用领域为军队、政府和商业。该标准将安全概念分为功能与评估两部分。功能准则从F1F10共分10级。 15级对应于T
23、CSEC的D到A。F6至F10级分别对应数据和程序的完整性、系统的可用性、数据通信的完整性、数据通信的保密性以及机密性和完整性的网络安全。34我国的评估标准我国的评估标准我国的评估标准我国的评估标准 信息安全等级是国家信息安全监督管理部门对计算机信息系统重要性的确认。 1999年10月我国颁布了计算机信息系统安全保护等级划分准则(GB 17859-1999),将计算机安全保护划分为用用户户自自主主保保护护、系系统统审审计计保保护护、安安全全标标记记保护保护、结构化保护结构化保护、访问验证保护访问验证保护五个等级。35三、安全测评研究三、安全测评研究三、安全测评研究1989颁布,确立了基于OSI
24、/RM的信息安全体系结构五大类安全服务鉴别、访问控制、机密性、完整性、抗否认八类安全机制加密、数字签名、访问控制、数据完整性、鉴别交换、业务流填充、路由控制、公证OSI安全管理lITU X.800, 1991年颁布2.32.32.32.32.32.3信息安全管理研究信息安全管理研究信息安全管理研究信息安全管理研究信息安全管理研究信息安全管理研究363 3 3 3 3 3信息安全的发展信息安全的发展信息安全的发展信息安全的发展信息安全的发展信息安全的发展l通信保密通信保密(COMSECCOMSEC):):60-7060-70年代年代 信息保密信息保密l信息安全信息安全(INFOSECINFOSEC):):80-9080-90年代年代 机密性、完整性、可用性、不可否认性机密性、完整性、可用性、不可否认性l信息保障信息保障(IAIA):):9090年代年代- -至今至今对整个信息和信息系统进行动态保护与防御对整个信息和信息系统进行动态保护与防御3738
