《计算机信息网络安全基础知识课件》由会员分享,可在线阅读,更多相关《计算机信息网络安全基础知识课件(39页珍藏版)》请在金锄头文库上搜索。
1、计算机信息网络安全基础知识中国科学技术大学网络中心 杨寿保2001.11.281计算机信息网络安全基础知识网络安全问题状况n据调查世界排名前1000的公司几乎都曾被黑客闯入n美国每年因网络安全造成的损失高达175亿美元n互连网上黑客站点数以万计:n教唆破译口令n发送E-mail漏洞列表n教唆成为黑客n教唆隐藏网络痕迹2计算机信息网络安全基础知识计算机信息系统及安全n计算机信息系统计算机实体、信息和人n计算机信息系统n广播电视系统n电信系统n计算机信息系统安全n实体安全(物理安全)n运行安全n信息安全3计算机信息网络安全基础知识计算机信息系统及安全n计算机信息网络安全n计算机信息系统和信息网络安
2、全的演变n静态安全和动态安全 可用性 完整性 保密性 真实性 可靠性 可控性4计算机信息网络安全基础知识计算机系统面临的威胁及脆弱性n计算机信息系统受到的威胁n外部威胁:n自然灾害n黒客攻击n病毒n垃圾邮件与黄毒n商业经济间谍n电子商务的安全威胁n信息战与计算机犯罪5计算机信息网络安全基础知识计算机系统面临的威胁及脆弱性n内部威胁n软件的问题n存储的问题n电子数据的非物质性n电磁辐射n网络环境和协议n个人6计算机信息网络安全基础知识计算机系统面临的威胁及脆弱性n信息社会的脆弱性和安全问题n技术的被动性与依赖性导致的问题n国家安全问题n不同民族文化的冲突7计算机信息网络安全基础知识计算机信息系统
3、的保护和监察n计算机信息系统的安全保护n基本概念n安全法规n安全管理组织建设、制度建设和人员意识n安全技术计算机信息系统安全保护事前检查事中保护、监测、控制事后取证8计算机信息网络安全基础知识计算机信息系统的保护和监察n计算机信息系统安全保护的基本策略信息人职业道德法律规范纪律安全物理环境安全硬件安全软件9计算机信息网络安全基础知识计算机信息系统的保护和监察n公共信息网络安全监察n公共信息网络安全监察工作的性质n公共信息网络安全监察工作的一般原则n公共信息网络安全监察的任务10计算机信息网络安全基础知识计算机信息网络安全模型n传统安全模型的局限性 绝对安全的系统是不存在的: 系统软件包括操作系
4、统的复杂性 不能完全隔离外部的服务请求 计算机网络关键技术的安全问题11计算机信息网络安全基础知识计算机信息网络安全模型n网络安全体系结构及安全模型n体系结构防御调查检测事后分析12计算机信息网络安全基础知识计算机信息网络安全模型n信息保障的基本内容保护反应恢复检测信息保障13计算机信息网络安全基础知识计算机信息网络安全模型n安全模型n预警n保护n检测n响应n恢复n反击14计算机信息网络安全基础知识计算机信息网络安全模型nOSI层的安全模型nOSI网络体系结构参考模型应用层 Application Layer 7表示层 Presentation Layer 6会话层 Session Layer
5、 5传输层 Transportation Layer 4网络层 Network Layer 3物理层 Physical Layer 1数据链路层 Data link Layer 215计算机信息网络安全基础知识计算机信息网络安全模型n网络安全技术的实施层次网络安全技术的实现主要在应用层和网络层加、解密技术SSH、SSL、SHTP(https:/)、SNMPv2等ProxyIP过滤防火墙、IPSec等基于应用的安全技术(链路级的)16计算机信息网络安全基础知识计算机信息网络安全模型n计算机信息网络安全策略n总的策略总的策略n你需要保护哪些资源?你需要保护哪些资源?n保护这些资源你需要防备哪些人?
6、保护这些资源你需要防备哪些人?n可能存在什么样的威胁?可能存在什么样的威胁?n资源的重要性如何?资源的重要性如何?n你能够采取哪些措施?你能够采取哪些措施?n你是否定期检查网络安全策略?你的网络目标和环你是否定期检查网络安全策略?你的网络目标和环境是否已经改变?境是否已经改变?n你是否知道黑客们的最新动向?你是否知道黑客们的最新动向?17计算机信息网络安全基础知识计算机信息网络安全模型n网络使用和责任网络使用和责任n允许谁使用这些资源?允许谁使用这些资源?n什么是对资源的正确使用?什么是对资源的正确使用?n谁被授予有授权访问和同意使用的权力?谁被授予有授权访问和同意使用的权力?n谁可能拥有系统
7、管理特权?谁可能拥有系统管理特权?n用户的权利和责任是什么?用户的权利和责任是什么?n系统管理员的权利和责任是什么?系统管理员的权利和责任是什么?n如何处理敏感信息?如何处理敏感信息?n检测和监视系统运行检测和监视系统运行n检测和监视非授权活动检测和监视非授权活动n反应策略反应策略18计算机信息网络安全基础知识信息网络安全防御技术综述nInternet的特点n多个网络的集合n开放性:以TCP/IP协议为核心和基础,不属于任何国家、组织或个人n信息传输是跳跃式的,途径不确定n用户不需了解网络底层结构n可以通过PSTN拨号上网,应用日益普及n丰富的、多样的网络资源n网络文化与网络人19计算机信息网
8、络安全基础知识信息网络安全防御技术综述nInternet是不安全的n网络是开放的n共享信道、广播方式的信息传送n各种协议的漏洞n各种系统的漏洞 因此,网络发展为我们带来历史机遇的同时,也带来巨大风险。20计算机信息网络安全基础知识What are they doing?21计算机信息网络安全基础知识黑客攻击示意图Internet节点节点 ATelnet 数据包数据包Telnet 数据包数据包我用我用Sniffit工具工具 捕获用户口令捕获用户口令 很简单很简单!Telnet数据包数据包Telnet 数数据包据包节点节点 B在节点在节点B的用户正试图与节点的用户正试图与节点A的某个主机建立一个的
9、某个主机建立一个 Telnet连接期间连接期间Telnet 数数据包据包Telnet 数数据包据包22计算机信息网络安全基础知识计算机和网络计算机和网络 安全问题的防范安全问题的防范23计算机信息网络安全基础知识信息网络安全防御技术综述n信息网络安全的要求保密性、完整性、可用性、可控性、不可否认性n信息网络安全的服务技术与机制n加密与隐藏n网络安全的目标nSecrecy 保密性nAuthenticity 真实性nNon-repudiation 不可否认性nIntegrity control 完整性nControl Possibility 可控性24计算机信息网络安全基础知识信息网络安全防御技术
10、综述n对信息传输安全的威胁n被动攻击:窃听n主动攻击:拦截、假冒、篡改、丢弃n对计算机中信息安全的威胁浏览、泄露、篡改、破坏、误删n计算机安全级别(1985) 美国国防部:可信任计算机标准评估准则(Trusted Computer Standards Evaluation Criteria) 又称桔黄皮书(Orange Book)nD1级:最低安全形式,没有保护,没有控制nC1级:存在某种程度的保护,用户有注册名和口令nC2级:除对用户权限进一步限制外,有身份验证与系统 审计能力25计算机信息网络安全基础知识信息网络安全防御技术综述nB1级:支持多级安全(如秘密和绝密)nB2级:结构保护,所有
11、对象都贴标签分配级别nB3级:安全域级别,安装硬件来加强安全nA级:最高安全级别,有严格的设计、控制和验证过程n加密系统模型加密密钥KE加密算法E解密算法D解密密钥KB明文信息M明文信息M密文信息C被动窃听主动攻击不安全传输信道26计算机信息网络安全基础知识信息网络安全防御技术综述n私有密钥加密系统(对称密钥系统)n加密密钥和解密密钥一样,或可以互导nDES(Data Encryption Standard) 1977, 美国用56位长的密钥加密64位长的数据块256=72,057,584,037,927,936 约7.2亿亿nIDEA(International Data Encryptio
12、n Algorithm)用128位长的密钥加密64位长的数据块, 1991, 瑞士特点:运算速度快,不能做数字签名27计算机信息网络安全基础知识信息网络安全防御技术综述n公开密钥加密系统(非对称密钥系统)n加密密钥与解密密钥不同,不可互导,公开加密密钥不会危及解密密钥,可实现数字签名。nRSA:典型的公钥加密系统,1978,美国n公开:加密密钥 e,模数 n (n=pq, p, q为素数)n秘密:解密密钥 d,p和q 其中,ed mod (n) = 1n加密:C = Me mod n,C 为密文,M为明文n解密:M = Cd mod n = Med mod n = M特点:安全性高,基于因数分
13、解难度, 可实现数字签名,运算速度低28计算机信息网络安全基础知识信息网络安全防御技术综述n认证和身份鉴别机制n认证机制(Authentication)认证通信双方:网络设备、网络用户n消息接收者验证消息的合法性、真实性、完整性n消息发送者不能否认所发消息n任何人不能伪造合法消息n数字签名(Digital Signature)n可使消息接收者能够验证消息的确来自合法用户的一种加密机制n任何人不能伪造签字人的签名n签字人无法否认自己的签名n可用于身份认证和数据完整性控制29计算机信息网络安全基础知识信息网络安全防御技术综述n身份鉴别n验证用户知道什么(如口令、密钥等)n验证用户拥有什么(如钥匙、
14、徽标、IC卡等)n验证用户的生理特征(如指纹、声纹等)n验证用户的习惯动作(如笔迹等)n审计n完整性保护保证数据在存储或传输过程中不被非法修改、破坏或丢失主要手段是报文摘要技术(message digest, MD):输入不定长数据,经过杂凑函数(Hash),通过各种变换,输出定长的摘要。标准有MD5、SHS等30计算机信息网络安全基础知识信息网络安全防御技术综述n访问控制n业务填充n路由控制n公证n冗余和备份31计算机信息网络安全基础知识信息网络安全防御技术综述n信息网络安全技术的产生与发展nVPN虚拟专用网技术 Virtual Private Network利用公共网络基础设施,构建安全、
15、可靠、可控的属于自己的专用网络和安全通道。要求达到:安全性、流量控制、可操作性与可管理性nPKI公开密钥基础设施认证中心、注册中心、证书持有者、用户、证书库32计算机信息网络安全基础知识信息网络安全防御技术综述n有效的访问控制防火墙什么是防火墙? 防火墙是建立在两个网络的边界上的实现安全策略和网络通信监控的系统或系统组,强制执行对内部网和外部网的访问控制。通过建立一整套规则和策略来监测、限制、更改跨越防火墙的数据流,实现保护内部网络的目的。33计算机信息网络安全基础知识信息网络安全防御技术综述n防火墙的功能n访问控制n授权认证n内容安全:病毒扫描、URL扫描、HTTP过滤n加密n路由器安全管理
16、n地址翻译n均衡负载n日志记帐、审计报警34计算机信息网络安全基础知识信息网络安全防御技术综述n防火墙技术及实现n基于IP包过滤的堡垒主机防火墙nIP过滤路由器n带双网络接口配置的堡垒主机InternetR内部网外部网内网段防火墙路由器35计算机信息网络安全基础知识信息网络安全防御技术n代理服务器防火墙(Proxy Server) 不允许外部网与内部网的直接通信,内外计算机应用层的连接由终止于Proxy Server上的连接来实现。InternetR内部网代理服务器路由器InternetR内部网外部网内网段防火墙路由器代理服务器36计算机信息网络安全基础知识信息网络安全防御技术n应用网关(Ap
17、plication Gateway) 建立在网络传输层上基于主机的协议过滤、转发器,在用户和应用协议之间提供访问控制。n代理服务与应用层网关的特点易于记录和控制所有进出通信对用户不透明,提供的服务有限Internet应用程序输入击键转发应用程序转发应用程序网关37计算机信息网络安全基础知识信息网络安全防御技术n科大校园网络的做法n包过滤防火墙n代理服务器n邮件收发权的审查n用户权限限制nIP地址与MAC地址的对应(绑定)和追踪n系统补丁和端口控制n系统备份和更新n系统审计和日志n严格的用户管理制度和网络管理条例38计算机信息网络安全基础知识谢谢!3601540, 39计算机信息网络安全基础知识
