《信息安全技术概述课件》由会员分享,可在线阅读,更多相关《信息安全技术概述课件(69页珍藏版)》请在金锄头文库上搜索。
1、 主讲人:任凯主讲人:任凯联系方式:联系方式:renkai_信 息 安 全 技 术1信息安全技术概述信息安全技术概述信息安全技术信息安全技术几个生活中经常遇到的情况几个生活中经常遇到的情况使用使用U U盘时,是否在盘时,是否在“我的电脑我的电脑”中双击中双击打开打开U U盘盘符?盘盘符?播放从网上下载的一个播放从网上下载的一个AVIAVI格式电影,有格式电影,有可能中毒吗?可能中毒吗?访问网页会中毒吗?访问网页会中毒吗?一般什么情况认为自己中毒了?一般什么情况认为自己中毒了? 2024/8/272信息安全技术信息安全技术几个小问题几个小问题上网安全吗?上网安全吗?如果你的电脑被入侵,你觉得可能
2、对你造如果你的电脑被入侵,你觉得可能对你造成的最大危害是什么?成的最大危害是什么?如何进行安全防护,避免各类攻击?如何进行安全防护,避免各类攻击?使用强口令使用强口令文件必须安全存储文件必须安全存储临时离开请及时锁屏或注销临时离开请及时锁屏或注销杀(防)毒软件不可少杀(防)毒软件不可少个人防火墙不可替代个人防火墙不可替代不打开来历不明的邮件或附件不打开来历不明的邮件或附件不要随意浏览黑客、色情网站不要随意浏览黑客、色情网站警惕警惕“网络钓鱼网络钓鱼”聊天软件的安全聊天软件的安全移动设备的安全移动设备的安全2024/8/273信息安全技术信息安全技术2014年国内重大的信息安全支付宝找回密码功能
3、存在系统漏洞携程网用户支付信息出现漏洞,漏洞泄露的信息包括用户的姓名、身份证号码、银行卡卡号、银行卡CVV码、支付密码UC浏览器存在可能导致用户敏感数据泄漏的漏洞 小米论坛存在用户资料泄露黑客通过公共场所免费WIFI诱导用户链接而获取手机中银行卡、支付宝等账户信息从而盗取资金的消息 苹果手机获取用户位置信息2024/8/274信息安全技术信息安全技术2013-2014年国际重大的信息安全事件“棱镜门”事件:美国国家安全局监控用户隐私Google曝法国伪造CA证书全球首例国家级伪造CA证书劫持加密通讯事件诞生Apple、Facebook 、Twitter 等科技巨头相继被入侵,用户数据泄漏Ope
4、nSSL出现“Heartbleed” 有史以来最大的比特币失窃案,全球最大Bitcoin交易平台Mt.Gox申请破产2024/8/275信息安全技术信息安全技术一些常用名词红客:红客:从事网络安全行业的爱国黑客白客:白客:又称安全防护者,用寻常话说就是一些原本的黑客转正了,他们进入各大科技公司专门防护网络安全黑客:黑客:指某些热衷于计算机和网络技术、技能高超、非法入侵他人计算机系统的人,又称“骇客”灰客:灰客:指某些对计算机和网络安全感兴趣,初步了解网络安全知识,能够利用黑客软件或初级手法从事一些黑客行为的人。由于他们受技术限制,既不够“黑”,但也不“白”蓝客:蓝客:指某些标榜自己只热衷于纯粹
5、的互联网技术而不关心其他事物、我行我素的“黑客”2024/8/276信息安全技术信息安全技术信息战已经成为各国军事斗争的主要组成部分中国需要维护国家信息系统的安全,建立保护网络国家边界的网军势在必行:v1.我国集成电路芯片的自给率不足10%。要做到网络安全,首先就是硬件安全,而芯片安全是硬件安全核心内容之一v2. 微软的各版本操作系统在中国市场的占有率达到98%。软件安全是网络安全的另一个核心内容,最基本的操作系统不是自己编写的,同样留有安全隐患2024/8/277信息安全技术信息安全技术理解安全与不安全概念理解安全与不安全概念“安全安全”一词在字典中被定义为一词在字典中被定义为“远离远离危险
6、的状态或特性危险的状态或特性”和和“为防范间谍活为防范间谍活动或蓄意破坏、犯罪、攻击或逃跑而采动或蓄意破坏、犯罪、攻击或逃跑而采取的措施取的措施”。没有危险;不受威胁;不出事故没有危险;不受威胁;不出事故2024/8/278信息安全技术信息安全技术先行案例黑色星期五黑色星期五v源于西方的宗教信仰与迷信:耶稣基督死在星源于西方的宗教信仰与迷信:耶稣基督死在星期五,而期五,而13是不吉利的数字。两者的结合令是不吉利的数字。两者的结合令人相信当天会发生不幸的事情人相信当天会发生不幸的事情v历史上有好几个事件都发生于星期五:历史上有好几个事件都发生于星期五: J1869年的黑色星期五:美国金融市场大泻
7、年的黑色星期五:美国金融市场大泻 J1919年的黑色星期五:格拉斯哥工人罢工年的黑色星期五:格拉斯哥工人罢工 J1939年的黑色星期五:澳大利亚发生山林大火年的黑色星期五:澳大利亚发生山林大火 J1978年的黑色星期五:伊朗示威者大屠杀年的黑色星期五:伊朗示威者大屠杀 J1982年的黑色星期五:福克兰群岛战争爆发(英国和阿根廷)年的黑色星期五:福克兰群岛战争爆发(英国和阿根廷)2024/8/279信息安全技术信息安全技术先行案例20012001年年“红色代码红色代码”蠕虫蠕虫20012001年年“尼姆达尼姆达NimdaNimda”蠕虫事件蠕虫事件多种手段攻击网络多种手段攻击网络20032003
8、年年 SQL SLAMMERSQL SLAMMER蠕虫蠕虫 攻击攻击SQLSQL服务器服务器2003 2003 年口令蠕虫年口令蠕虫 口令方式攻击主机口令方式攻击主机20032003年年 冲击波冲击波“MSBLAST”MSBLAST”蠕虫和蠕虫和“BlastBlast清除者清除者”蠕虫蠕虫 20042004年年 震荡波蠕虫震荡波蠕虫 针对微软针对微软windowswindows操作系统的漏洞操作系统的漏洞20052005年年 “黛蛇黛蛇”蠕虫事件蠕虫事件20062006年年 “ “魔波魔波”蠕虫蠕虫 引发引发“僵尸网络僵尸网络”20072007年年 “ “NimayaNimaya(熊猫烧香)(
9、熊猫烧香)”病毒事件病毒事件 20082008年年 “ “机器狗机器狗”病毒事件病毒事件 20092009年年“飞客飞客”蠕虫的泛滥蠕虫的泛滥 2024/8/2710信息安全技术信息安全技术 2010年年初初,美美国国硅硅谷谷的的迈迈克克菲菲公公司司发发布布最最新新报报告告,约约109.5109.5万台中国计算机被病毒感染(美国万台中国计算机被病毒感染(美国105.7105.7万),排第一位。万),排第一位。20102010年年1 1月月2 2日日,公公安安部部物物证证鉴鉴定定中中心心被被黑黑,登登陆陆该该网网站站,有有些些嘲嘲弄弄语语言言,还还贴贴一一张张“我我们们睡睡,你你们们讲讲”的的图
10、图片片,图图片片是是公安某单位一次会议上,台下参会人员大睡的场面。公安某单位一次会议上,台下参会人员大睡的场面。先行案例先行案例2024/8/2711信息安全技术信息安全技术先行案例2010今今年年“两两会会”期期间间,3月月3日日,全全国国政政协协委委员员严严琪琪 所所 办办 陶陶 然然 居居 餐餐 饮饮 集集 团团 网网 站站 ( -)被黑,引发热议。)被黑,引发热议。2024/8/2712信息安全技术信息安全技术先行案例先行案例英国税务局英国税务局“光盘光盘”门门v20072007年年1111月,英国税务及海关总署的一名公务员在将月,英国税务及海关总署的一名公务员在将两张光碟寄给审计部门
11、时,由于两张光碟寄给审计部门时,由于疏忽忘记依照规范以疏忽忘记依照规范以挂号寄出挂号寄出,导致光碟下落不明。光碟中有英国家庭申,导致光碟下落不明。光碟中有英国家庭申请十六岁以下儿童福利补助的资料,包括公民的姓名、请十六岁以下儿童福利补助的资料,包括公民的姓名、地址、出生年月、社会保险号码和银行帐户资料,据地址、出生年月、社会保险号码和银行帐户资料,据称其中还包括了英国首相布朗一家的机密资料。称其中还包括了英国首相布朗一家的机密资料。英国财政大臣达林在英国财政大臣达林在国会下院承认数据丢国会下院承认数据丢失,布朗面色凝重。失,布朗面色凝重。2024/8/2713信息安全技术信息安全技术卖家网上叫
12、卖英国失踪税务光盘 2024/8/2714信息安全技术信息安全技术先行案例先行案例网络成为重要的窃密渠道网络成为重要的窃密渠道2024/8/2715信息安全技术信息安全技术先行案例先行案例违规操作泄密违规操作泄密敌对势力窃密敌对势力窃密互联网互联网 部队失密案:部队失密案:20032003年初,军队某参谋违反规定,使用涉年初,军队某参谋违反规定,使用涉密计算机上因特网,被台湾情报机关跟踪锁定,一次窃走密计算机上因特网,被台湾情报机关跟踪锁定,一次窃走10001000多份文档资料,影响和损失极为严重。多份文档资料,影响和损失极为严重。2024/8/2716信息安全技术信息安全技术提高信息提高信息
13、安全意识安全意识不通过不通过emailemail传输敏感信息,敏感信息加密以后传输敏感信息,敏感信息加密以后再传输再传输不借用帐号、不随意说出密码不借用帐号、不随意说出密码敏感信息不要随意地放置敏感信息不要随意地放置, ,打印或复印的敏感资打印或复印的敏感资料要及时取走料要及时取走离开电脑时记得锁屏与清除桌面离开电脑时记得锁屏与清除桌面不在公司外部讨论敏感信息不在公司外部讨论敏感信息发现安全问题及时报告发现安全问题及时报告.2024/8/2717信息安全技术信息安全技术加强计算机加强计算机与网络与网络安全安全设置复杂密码设置复杂密码根据安全规范进行安全设置根据安全规范进行安全设置及时安装补丁及
14、时安装补丁安装防病毒软件并及时更新安装防病毒软件并及时更新不随意下载安装软件,防止恶意程序、病毒及不随意下载安装软件,防止恶意程序、病毒及后门等黑客程序后门等黑客程序 2024/8/2718信息安全技术信息安全技术通俗地说,安全就是安全是稳定状态或确定状态2024/8/2719信息安全技术信息安全技术关于课程关于课程学习本课程的要求学习本课程的要求v教学目标教学目标通通过过本本课课程程的的学学习习,要要求求对对信信息息安安全全的的概概念念与与内内涵涵有有较较全全面面的的了了解解,较较全全面面地地掌掌握握有有关关信信息息安安全全的的基基础础理理论论和和实实用用技技术术,掌掌握握网网络络系系统统安
15、安全全防防护护的的基基本本方方法法,培培养养网网络络安安全全防防护护意意识识,增增强强网网络络系系统统安安全全保保障障能能力力,并并能能在在实践中其指导作用。实践中其指导作用。 v教材:教材:王凤英,网络与信息安全技术,中国铁道出版社王凤英,网络与信息安全技术,中国铁道出版社张同光,信息安全技术实用教程,电子工业出版社张同光,信息安全技术实用教程,电子工业出版社熊平,信息安全原理及应用,清华大学出版社熊平,信息安全原理及应用,清华大学出版社赵泽茂,信息安全技术,西安电子科技大学出版社赵泽茂,信息安全技术,西安电子科技大学出版社2024/8/2720信息安全技术信息安全技术关于课程关于课程课程内
16、容课程内容v信息安全综述信息安全综述v对称密钥密码体系对称密钥密码体系v公钥密码体系公钥密码体系v身份认证、身份认证、访问控制访问控制与系统审计与系统审计v操作系统安全操作系统安全v单向散列函数单向散列函数vPKIPKI技术技术v数据库系统安全数据库系统安全v因特网安全和因特网安全和VPNVPNvWEBWEB电子商务安全电子商务安全v防火墙技术防火墙技术v入侵检测技术入侵检测技术2024/8/2721信息安全技术信息安全技术关于课程关于课程本本课课程程对对学学生生的的要要求求提提高高信信息息安安全全意意识识,具具有有信信息息安安全的理论基础和基本实践能力全的理论基础和基本实践能力了了解解和和掌
17、掌握握信信息息安安全全的的基基本本原原理理和相关技术和相关技术 关关注注国国内内外外最最新新的的研研究究成成果果和和发发展动态展动态2024/8/2722信息安全技术信息安全技术关于课程关于课程考核考核v3 30%0%(平平时时成成绩绩:出出勤勤、平平时时作作业业等等)+ +7 70%0%考试成绩考试成绩听课听课v课堂纪律课堂纪律v欢欢迎迎同同学学上上讲讲台台跟跟同同学学们们分分享享信信息息安安全全相相关关知识知识2024/8/2723信息安全技术信息安全技术1信息安全综述2024/8/2724信息安全技术信息安全技术本章提要网络与信息安全的基本概念网络与信息安全的基本概念网络安全威胁网络安全
18、威胁网络安全的层次结构网络安全的层次结构安全评价标准安全评价标准研究网络与信息安全的意义研究网络与信息安全的意义网络信息安全管理网络信息安全管理2024/8/2725信息安全技术信息安全技术1.1计算机网络安全的基本概念密码安全:密码安全:通信安全的最核心部分计算机安全:计算机安全:一种确定的状态,使计算机化数据和程序不致被非授权人员、计算机或程序访问获取和修改网络安全:网络安全:指利用网络管理控制技术措施,保证在一个网络环境里信息数据的保密性、完整性及可使用性受到保护信息安全:信息安全:防止任何对数据进行未授权访问的措施,或防止造成信息有意无意泄漏、破坏、丢失等问题的发生,让数据处于远离危险
19、、免于威胁的状态或特性2024/8/2726信息安全技术信息安全技术1.1 网络与信息安全的基本概念关系关系信息安全信息安全网络安全网络安全计算机安全计算机安全密码安全密码安全2024/8/2727信息安全技术信息安全技术1.1 网络与信息安全的基本概念网络信息安全的要求网络信息安全的要求即消息的发送者在发送后不能否认他发送过该消息即消息的发送者在发送后不能否认他发送过该消息抗抵赖完整性机密性即消息只有合法的接收者才能读出,其他人即使收到也读不出即消息只有合法的接收者才能读出,其他人即使收到也读不出即消息的确是由宣称的发送者发送的,如冒名顶替则会被发现即消息的确是由宣称的发送者发送的,如冒名顶
20、替则会被发现即消息在传输过程中如果篡改则会被发现即消息在传输过程中如果篡改则会被发现真实性真实性2024/8/2728信息安全技术信息安全技术1.1 网络与信息安全的基本概念木桶原理木桶原理v网络安全遵循网络安全遵循“木桶原理木桶原理”,即一个木桶的容积决定,即一个木桶的容积决定于组成它的最短的一块木板,一个系统的安全强度等于组成它的最短的一块木板,一个系统的安全强度等于它最薄弱环节的安全强度。于它最薄弱环节的安全强度。v安全防护必须建立在一个完整的多层次的安全体系之安全防护必须建立在一个完整的多层次的安全体系之上,任何的薄弱环节都将导致整个安全体系的崩溃上,任何的薄弱环节都将导致整个安全体系
21、的崩溃2024/8/2729信息安全技术信息安全技术1.2 网络安全威胁网络安全问题日益突出网络与信息系统在变成网络与信息系统在变成”金库金库”, ,当然就会吸引大当然就会吸引大批合法或非法的批合法或非法的”掏金者掏金者”, ,所以网络信息的安全所以网络信息的安全与保密问题显得越来越重要。与保密问题显得越来越重要。几乎每天都有各种各样的几乎每天都有各种各样的“黑客黑客”故事:故事: v19941994年末年末 俄罗斯黑客弗拉基米尔俄罗斯黑客弗拉基米尔利文与其伙伴从圣彼得堡的利文与其伙伴从圣彼得堡的一家小软件公司的联网计算机上,向美国名为一家小软件公司的联网计算机上,向美国名为CITYBANKC
22、ITYBANK银行发动了一连串攻击,通过电子转帐方式,银行发动了一连串攻击,通过电子转帐方式,从从CITYBANKCITYBANK银行在纽约的计算机主机里窃取美元银行在纽约的计算机主机里窃取美元11001100万。万。2024/8/2730信息安全技术信息安全技术v19961996年年8 8月月1717日日 美国司法部的网络服务器遭到美国司法部的网络服务器遭到“黑客黑客”入侵,并将入侵,并将“美美国司法部国司法部”的主页改为的主页改为“美国不公正部美国不公正部”,将司法部部长,将司法部部长的照片换成了阿道夫的照片换成了阿道夫希特勒,将司法部徽章换成了纳粹希特勒,将司法部徽章换成了纳粹党徽,并加
23、上一幅色情女郎的图片作为所谓司法部部长的党徽,并加上一幅色情女郎的图片作为所谓司法部部长的助手。助手。v19991999年年4 4月月2626日日 台湾人编制的台湾人编制的CIHCIH病毒的大爆发,有统计说病毒的大爆发,有统计说我国我国大陆受其大陆受其影响的影响的PCPC机总量达机总量达3636万台之多。有人估计在这次事件中,万台之多。有人估计在这次事件中,经济损失高达近经济损失高达近1212亿元亿元1.2 网络安全威胁2024/8/2731信息安全技术信息安全技术v20002000年年5 5月月4 4日日 一种名为一种名为“我爱你我爱你”(爱虫)的电脑(爱虫)的电脑病毒病毒开始开始在全球在全
24、球各地各地迅速传播。据美国加利福尼亚州的名迅速传播。据美国加利福尼亚州的名为为“电脑经济电脑经济”的研的研究机构发布的初步统计数据,究机构发布的初步统计数据,“爱虫爱虫”大爆发大爆发两天之后,两天之后,全球约有全球约有45004500万台电脑被感染,万台电脑被感染,造成的造成的损失已经达到损失已经达到2626亿亿美元。在以后几天里美元。在以后几天里,“爱虫爱虫”病毒病毒所造成的损失以每天所造成的损失以每天1010亿美元到亿美元到1515亿美元亿美元的幅度的幅度增加。增加。1.2 网络安全威胁2024/8/2732信息安全技术信息安全技术v数据大集中风险也更集中了;v系统复杂了安全问题解决难度加
25、大;v云计算安全已经不再是自己可以控制的v3G 、物联网、三网合一IP网络中安全问题引入到了电话、手机、广播电视中vweb2.0、微博、人肉搜索网络安全与日常生活越来越贴近新应用导致新的安全问题新应用导致新的安全问题1.2 网络安全威胁2024/8/2733信息安全技术信息安全技术1.2 网络安全威胁2024/8/2734信息安全技术信息安全技术1.2 网络安全威胁2024/8/2735信息安全技术信息安全技术网络网络流量分析流量分析拒绝服务拒绝服务特洛伊木马特洛伊木马资源非授权使用资源非授权使用计算机病毒计算机病毒假冒、重放假冒、重放破坏完整性破坏完整性诽谤诽谤窃听窃听主要威胁种类:主要威胁
26、种类:1.2 网络安全威胁2024/8/2736信息安全技术信息安全技术商业间谍商业间谍按照FBI的估计,由于商业间谍的危害,美国各大公司每年要损失100亿美元1.2 网络安全威胁动机2024/8/2737信息安全技术信息安全技术经济利益经济利益1.2 网络安全威胁动机2024/8/2738信息安全技术信息安全技术报复或者引入注意报复或者引入注意:为了炫耀能力的黑客少了,为了非为了炫耀能力的黑客少了,为了非法取得政治、经济利益的人越来越多法取得政治、经济利益的人越来越多1.2 网络安全威胁动机2024/8/2739信息安全技术信息安全技术1.2 网络安全威胁动机恶作剧恶作剧2024/8/274
27、0信息安全技术信息安全技术无知无知黑客黑客“菜霸菜霸”1.2 网络安全威胁动机2024/8/2741信息安全技术信息安全技术1.3 网络安全的层次结构物 理 安 全1安 全 控 制2安 全 服 务32024/8/2742信息安全技术信息安全技术1.3 网络安全的层次结构 _物理安全自然灾害、物理损坏、设备故障自然灾害、物理损坏、设备故障v某一天下着大雨,突然某一天下着大雨,突然“霹雳霹雳”一声,电脑突然断线了,经查是上网一声,电脑突然断线了,经查是上网用的用的adsl modemadsl modem被击坏了。被击坏了。电磁辐射、乘机而入、痕迹泄露电磁辐射、乘机而入、痕迹泄露vQQQQ被盗,黑客
28、公开售卖被盗,黑客公开售卖200200元,最后费尽周折,利用密码保护才要回了元,最后费尽周折,利用密码保护才要回了自己心爱的自己心爱的QQQQ号,但是里面的好友和群全部被删除号,但是里面的好友和群全部被删除操作失误、意外疏漏操作失误、意外疏漏v想通过优盘把连夜加班的资料拷贝到单位电脑上,可插入想通过优盘把连夜加班的资料拷贝到单位电脑上,可插入u u盘后里面空盘后里面空空如也,一晚上的工作付之东流。空如也,一晚上的工作付之东流。 2024/8/2743信息安全技术信息安全技术1.3 网络安全的层次结构 _安全控制网络互联设备网络接口模块操作系统通过网管软件或路由器通过网管软件或路由器配置实现配置
29、实现对其它机器的网络通信进程对其它机器的网络通信进程进行安全控制进行安全控制开机时要求键入口令开机时要求键入口令2024/8/2744信息安全技术信息安全技术1.3 网络安全的层次结构安全服务安全服务安全服务安全服务安全服务安全机制安全连接安全协议安全策略2024/8/2745信息安全技术信息安全技术1.4.1 网络安全的评价标准19851985年,美国国防部发表了年,美国国防部发表了可信计算机系统评估准则可信计算机系统评估准则,它依据处理,它依据处理的信息等级采取相应的对策,划分了四类七个安全等级。依照各类、级的信息等级采取相应的对策,划分了四类七个安全等级。依照各类、级的安全要求从低到高,
30、依次是的安全要求从低到高,依次是D D、C1C1、C2C2、B1B1、B2B2、B3B3和和A1A1级。级。2024/8/2746信息安全技术信息安全技术1.4.1 网络安全的评价标准类别类别级别级别名称名称主要特征主要特征D DD D最低安全保护没有安全保护C CC1C1自主安全保护自主存储控制C2C2可控访问(受控存储)控制单独的可查性,安全标识B BB1B1标识的安全保护强制存取控制,安全标识B2B2结构化保护面向安全的体系结构,较好的抗 渗透能力B3B3安全区域存取监控、高抗渗透能力A AA A可验证设计形式化的最高级描述和验证C类称为酌情保护,B类称为强制保护,A类称为核实保护。这个
31、标准过分强调了保密性,而对系统的可用性和完整性重视不够,因此实用性较低。2024/8/2747信息安全技术信息安全技术1.4 .2 网络安全服务vOSIOSI(Open Systems InterconnectionOpen Systems Interconnection)标)标准由准由ISOISO(International Standard International Standard OrganizationOrganization)与)与ITUITU(International International Telecommunication UnionTelecommunication
32、 Union)联合制定,将)联合制定,将开放互联网络用开放互联网络用7 7层描述,并通过相应的层描述,并通过相应的7 7层层协议实现系统间的相互连接协议实现系统间的相互连接OSI(开放系统互联参考模型)(开放系统互联参考模型)2024/8/2748信息安全技术信息安全技术OSIOSI的安全体系结构的安全体系结构成果标志是成果标志是ISOISO发布了发布了ISO7498-2ISO7498-2标准标准,作为,作为OSIOSI基本参考模型的补充基本参考模型的补充是基于是基于OSIOSI参考模型的七层协议之上的信息安参考模型的七层协议之上的信息安全体系结构全体系结构ISO7498-2ISO7498-2
33、标准定义了标准定义了5 5类安全服务、类安全服务、8 8种特定种特定的安全机制、的安全机制、5 5种普遍性安全机制种普遍性安全机制它确定了安全服务与安全机制的关系以及在它确定了安全服务与安全机制的关系以及在OSIOSI七层模型中安全服务的配置七层模型中安全服务的配置确定了确定了OSIOSI安全体系的安全管理安全体系的安全管理1.4 .2 网络安全服务2024/8/2749信息安全技术信息安全技术ISO 7498-2ISO 7498-2三维图三维图链路层链路层网络层网络层传输层传输层会话层会话层表示层表示层应用层应用层加加密密数数字字签签名名访访问问 控控制制数数据据完完整整性性签签别别交交换换
34、业业务务流流填填充充路路由由控控制制公公证证访问控制访问控制不可否认不可否认数据完整性数据完整性数据保密数据保密身份认证身份认证OSI参考模型参考模型安全机制安全机制安全服务安全服务1.4 .2 网络安全服务2024/8/2750信息安全技术信息安全技术五类安全服务五类安全服务身份认证(鉴别)身份认证(鉴别)A A与与B B通信,通信,A A是发起方是发起方对等实体鉴别对等实体鉴别v鉴别鉴别B B的身份的真实性的身份的真实性 vA A使用这种服务可以确信使用这种服务可以确信: : 一一 个实体此时没个实体此时没有试图冒充别的实体有试图冒充别的实体, , 或没有试图将先前的连或没有试图将先前的连
35、接作非授权地重演接作非授权地重演 。数据原发鉴别数据原发鉴别vB B鉴别鉴别A A来源的身份的真实性。来源的身份的真实性。v对数据单元的来源提供确认。这种服务对数对数据单元的来源提供确认。这种服务对数据单元的重复或篡改不提供保护。据单元的重复或篡改不提供保护。1.4 .2 网络安全服务2024/8/2751信息安全技术信息安全技术五类安全服务五类安全服务数据保密数据保密对数据提供保护使之不被非授权地泄露对数据提供保护使之不被非授权地泄露 1.4 .2 网络安全服务2024/8/2752信息安全技术信息安全技术保护信息不被未授权者非法纂改信息,如保护信息不被未授权者非法纂改信息,如修改、复制、插
36、入和删除等修改、复制、插入和删除等五类安全服务五类安全服务数据完整性数据完整性1.4 .2 网络安全服务2024/8/2753信息安全技术信息安全技术五类安全服务五类安全服务不可否认(抗抵赖)不可否认(抗抵赖)A A B B 用于防止参与通信的实体在事后否认曾参与用于防止参与通信的实体在事后否认曾参与全部或部分通信。全部或部分通信。v防止消息或行动源否认曾发送消息或采取过的防止消息或行动源否认曾发送消息或采取过的行动;行动;v防止消息接收者否认曾收到该消息无连接完整防止消息接收者否认曾收到该消息无连接完整性性1.4 .2 网络安全服务2024/8/2754信息安全技术信息安全技术五类安全服务五
37、类安全服务访问控制访问控制对系统的资源提供保护,防止未授权利用对系统的资源提供保护,防止未授权利用这种保护服务可应用于对资源的各种不同类这种保护服务可应用于对资源的各种不同类型的访问型的访问v读、写或删除信息资源读、写或删除信息资源v应用于对一种资源的所有访问应用于对一种资源的所有访问1.4 .2 网络安全服务2024/8/2755信息安全技术信息安全技术Windows XP Windows XP 文件访问控制文件访问控制1.4 .2 网络安全服务2024/8/2756信息安全技术信息安全技术1.4 .2 网络安全服务2024/8/2757信息安全技术信息安全技术八大安全机制八大安全机制加密加
38、密使用加密算法对存放的数据进行加密使用加密算法对存放的数据进行加密加密算法加密算法v可逆加密算法:对称加密;不对称加密可逆加密算法:对称加密;不对称加密v不可逆加密算法可以使用密钥,也可以不不可逆加密算法可以使用密钥,也可以不使用使用1.4 .3 特定安全机制2024/8/2758信息安全技术信息安全技术八大安全机制八大安全机制数字签名机制数字签名机制采用非对称密钥体制,使用私钥进行数字签名,使用公钥采用非对称密钥体制,使用私钥进行数字签名,使用公钥对签名信息进行验证。两个过程:对签名信息进行验证。两个过程: 一:一:对数据签名对数据签名v使用签名者所私有的信息使用签名者所私有的信息v即使用签
39、名者的私有信息作为私钥即使用签名者的私有信息作为私钥, , 或对数据单或对数据单元进行加密元进行加密, , 或产生出该数据单元的一个密码校验或产生出该数据单元的一个密码校验值。值。 二:二:验证签过名的数据验证签过名的数据v使用公开的规程与信息来决定该签名是不是用签名使用公开的规程与信息来决定该签名是不是用签名者的私有信息产生的。者的私有信息产生的。v所用的规程与信息是所用的规程与信息是公之于众的公之于众的, , 但不能够从它们但不能够从它们推断出该签名者的私有信息。推断出该签名者的私有信息。本质特征本质特征:该签名只有使用签名者的私有信息才能产生:该签名只有使用签名者的私有信息才能产生出来。
40、因而,当该签名得到验证后,它能在事后的任何时出来。因而,当该签名得到验证后,它能在事后的任何时候向第三方(例如法官或仲裁人)证明只有那个私有信息候向第三方(例如法官或仲裁人)证明只有那个私有信息的惟一拥有者才能产生这个签名。的惟一拥有者才能产生这个签名。数字签名是解决网络通信中特有的安全问题的有效方法。数字签名是解决网络通信中特有的安全问题的有效方法。特别是针对通信双方发生争执时可能产生的特别是针对通信双方发生争执时可能产生的否认、冒充、否认、冒充、伪造、篡改伪造、篡改;具有可证实性、不可否认性、不可伪造性和;具有可证实性、不可否认性、不可伪造性和不可重用性。不可重用性。1.4 .3 特定安全
41、机制2024/8/2759信息安全技术信息安全技术八大安全机制八大安全机制访问控制机制访问控制机制根据访问者的身份和其它信息,来决定和实施实体根据访问者的身份和其它信息,来决定和实施实体的访问权限的访问权限: :v已鉴别的身份已鉴别的身份v有关该实体的信息有关该实体的信息v使用该实体的权力使用该实体的权力v访问控制的功能访问控制的功能: :v拒绝实体试图使用非授权的资源拒绝实体试图使用非授权的资源, , 或者以不正或者以不正当方式使用授权资源。可能产生一个报警信号或当方式使用授权资源。可能产生一个报警信号或记录进行安全审计跟踪。记录进行安全审计跟踪。1.4 .3 特定安全机制2024/8/27
42、60信息安全技术信息安全技术八大安全机制八大安全机制数据完整性机制数据完整性机制判断信息在传输过程中是否被篡改、增加、删除判断信息在传输过程中是否被篡改、增加、删除过,确保信息的完整。主要有两种形式:过,确保信息的完整。主要有两种形式:数据单元完整性:数据单元完整性:v发送实体发送实体给数据单元附加上一个量给数据单元附加上一个量, , 这个量这个量为该数据的函数,例如校验码。为该数据的函数,例如校验码。接收实体接收实体产生产生一个相应的量一个相应的量, , 并把它与接收到的那个量进行并把它与接收到的那个量进行比较以决定该数据是否在转送中被篡改过。比较以决定该数据是否在转送中被篡改过。v单靠这种
43、机制不能防止单个数据单元的重演单靠这种机制不能防止单个数据单元的重演数据单元序列的完整性:数据单元序列的完整性:v要求数据编号的连续性和时间标记的正确性,要求数据编号的连续性和时间标记的正确性,以防止假冒、丢失、重发、插入或修改数据以防止假冒、丢失、重发、插入或修改数据1.4 .3 特定安全机制2024/8/2761信息安全技术信息安全技术八大安全机制八大安全机制鉴别交换机制鉴别交换机制以交换信息的方式来确认实体身份的机制,实现以交换信息的方式来确认实体身份的机制,实现同级之间的身份认证。同级之间的身份认证。用于交换鉴别的技术有:用于交换鉴别的技术有:v口令口令:由发方实体提供,收方实体检测:
44、由发方实体提供,收方实体检测v密码技术密码技术:将交换的数据加密,只有合法用户才能:将交换的数据加密,只有合法用户才能解密,得出有意义的明文。在许多情况下,这种技术解密,得出有意义的明文。在许多情况下,这种技术与与时间标记和同步时钟、双方或三方时间标记和同步时钟、双方或三方“握手握手”、数字、数字签名和公证机构签名和公证机构一起使用。一起使用。v实体的特征或占有物实体的特征或占有物: ICIC卡、指纹识别和身份卡等卡、指纹识别和身份卡等对等实体鉴别:对等实体鉴别:v如果在鉴别实体时如果在鉴别实体时, , 这一机制得到这一机制得到否定否定的结果的结果, , 就就会导致会导致连接的拒绝或终止连接的
45、拒绝或终止, , 也可能使在安全审计跟踪也可能使在安全审计跟踪中增加一个记录中增加一个记录, , 或给安全管理中心一个报告。或给安全管理中心一个报告。1.4 .3 特定安全机制2024/8/2762信息安全技术信息安全技术八大安全机制八大安全机制通信业务填充机制通信业务填充机制通过填充通过填充冗余的冗余的业务流量,防止攻击者对流量进业务流量,防止攻击者对流量进行分析,填充过的流量需通过加密进行保护行分析,填充过的流量需通过加密进行保护主要是对抗非法者在线路上监听数据并对其进行主要是对抗非法者在线路上监听数据并对其进行流量和流向分析;防止业务风险流量和流向分析;防止业务风险1.4 .3 特定安全
46、机制2024/8/2763信息安全技术信息安全技术八大安全机制八大安全机制路由选择控制机制路由选择控制机制为数据的传送,动态地或预定地选取路由,以便为数据的传送,动态地或预定地选取路由,以便只使用物理上安全的子网络、中继站或链路只使用物理上安全的子网络、中继站或链路通信系统检测到主动或被动攻击时,可以指示网通信系统检测到主动或被动攻击时,可以指示网络服务的提供者经不同的路由建立连接络服务的提供者经不同的路由建立连接连接带有连接带有某些安全标记的数据某些安全标记的数据可能被可能被安全策略安全策略禁禁止通过某些子网络、中继或链路。连接的发起者可止通过某些子网络、中继或链路。连接的发起者可以指定路由
47、选择说明以指定路由选择说明, ,由它请求回避某些特定的子由它请求回避某些特定的子网络、链路或中继网络、链路或中继 1.4 .3 特定安全机制2024/8/2764信息安全技术信息安全技术八大安全机制八大安全机制公证机制公证机制第三方公证人参与第三方公证人参与数字签名、加密和完整性机制,数字签名、加密和完整性机制,基于通信双方对第三方的基于通信双方对第三方的绝对信任绝对信任,为两个或多个,为两个或多个实体之间通信实体之间通信数据的完整性、原发、时间和目的地数据的完整性、原发、时间和目的地等性质等性质提供保证。提供保证。公证人为通信实体所信任公证人为通信实体所信任, , 并掌握必要信息以一种并掌握
48、必要信息以一种可证实方式提供所需的保证:可证实方式提供所需的保证:CACA(Certificate Certificate Authority)Authority)、Hotmail/yahoo Hotmail/yahoo 邮件服务登陆认证邮件服务登陆认证1.4 .3 特定安全机制2024/8/2765信息安全技术信息安全技术1.4 .4 普遍性安全机制安全审计跟踪安全审计跟踪事件检测事件检测安全标记安全标记安全恢复安全恢复可信功能可信功能2024/8/2766信息安全技术信息安全技术1.5 研究网络与信息安全的意义1网络安全与政治2网络安全与经济3网络安全与军事2024/8/2767信息安全技术信息安全技术潜伏代码潜伏代码满足条件否?监视监视满足而满足而爆炸爆炸满足而满足而爆炸爆炸伊拉克的打印机伊拉克的打印机香港的银行系统香港的银行系统.1.5 研究网络与信息安全的意义2024/8/2768信息安全技术信息安全技术安全管理模型安全管理模型PDCA持续改进模式持续改进模式2024/8/2769
