《第1章信息系统安全概述》由会员分享,可在线阅读,更多相关《第1章信息系统安全概述(77页珍藏版)》请在金锄头文库上搜索。
1、中国计算机学会中国计算机学会“21“21世纪大学本科计算机专业系列教材世纪大学本科计算机专业系列教材”信息安全原理及应用信息安全原理及应用阙喜戎 等 编著信息工程学院 景旭 KCOJGTGCICKPUQTTAI am here again,sorry105,97,109,104,101,114,101,97,103,97,105,110,115,111,114,114,121,-67,-112,78,107,-87,103,-48,43,-58,-113,-122,116,18,-38,51,-101,24,100,114,-66,-74,40,-76,-72,1侦探侦探Morse的疑惑的疑惑
2、Your package ready Friday 21st room three please destroy this immediately2本课程前言本课程前言课程定位:网络中的信息安全课程定位:网络中的信息安全课程重点:重在应用课程重点:重在应用 课程主要内容:加密、鉴别、认证课程主要内容:加密、鉴别、认证课程目标:阐述现代密技术的原理及其在信息安课程目标:阐述现代密技术的原理及其在信息安全中的应用。了解密码学基础理论全中的应用。了解密码学基础理论(信息理论基础、信息理论基础、复杂性理论基础复杂性理论基础);理解加密算法及其理论基础;理解加密算法及其理论基础(密密码学的技术实现码学的
3、技术实现);掌握密码协议和安全协议;掌握密码协议和安全协议(密码密码学的实际运用学的实际运用);常用系统安全及网络安全;常用系统安全及网络安全(实用技实用技术术)课程学习要求:原理要理解,数论不深究课程学习要求:原理要理解,数论不深究3本课程主要参考资料本课程主要参考资料刘玉珍等译刘玉珍等译.密码编码学与网络安全密码编码学与网络安全原理与实原理与实践践.电子工业出版社,第三版电子工业出版社,第三版,2004崔宝江崔宝江.信息安全实验指导信息安全实验指导.国防工业出版社国防工业出版社,2005蔡红柳蔡红柳.信息安全技术及应用实验信息安全技术及应用实验.科学出版社科学出版社.2005 徐迎晓徐迎晓
4、.Java安全性编程实例安全性编程实例.清华大学出版社清华大学出版社,20044西北农林科技大学本科生学分制学籍管理规定西北农林科技大学本科生学分制学籍管理规定( (校教发校教发20082332008233号号) ) 第十七条第十七条学生因病因事不能上课须在学院教学秘书处办理请学生因病因事不能上课须在学院教学秘书处办理请假手续,请假时数累计超过该课程教学时数假手续,请假时数累计超过该课程教学时数1/31/3以以上者,按缺课处理,无故旷课达上者,按缺课处理,无故旷课达6 6学时(迟到两次学时(迟到两次折合折合1 1学时)以上者,缺交作业(含实验报告)达学时)以上者,缺交作业(含实验报告)达1/3
5、1/3以上者,或未完成教师要求的报告、实验者,以上者,或未完成教师要求的报告、实验者,不得参加该课程考核,按缺课处理,并在成绩记不得参加该课程考核,按缺课处理,并在成绩记载时注明载时注明“缺考缺考”字样。缺考的课程不得补考,字样。缺考的课程不得补考,必须重修,旷课、迟到、缺交作业等由任课教师必须重修,旷课、迟到、缺交作业等由任课教师负责记录。负责记录。 5第第1章章 信息系统安全概述信息系统安全概述信息工程学院信息工程学院 景旭景旭 6网络信息系统的脆弱性网络信息系统的脆弱性 网络信息系统:网络信息系统:互相连接起来的独立自主的计算机信互相连接起来的独立自主的计算机信息系统的集合。息系统的集合
6、。从从技术技术角度看,网络信息系统脆弱性的主要原因:角度看,网络信息系统脆弱性的主要原因:网络的开放性网络的开放性:协议公开性使得容易被攻击;网络协议公开性使得容易被攻击;网络共享使得远程攻击得以实现;基于主机的信任社团共享使得远程攻击得以实现;基于主机的信任社团容易假冒。容易假冒。 组成网络的通信系统和信息系统的自身缺陷组成网络的通信系统和信息系统的自身缺陷: 微机微机安全结构过于简单;信息技术使得微机成为公用计安全结构过于简单;信息技术使得微机成为公用计算机;网络把计算机变成网络中的组成部分;操作算机;网络把计算机变成网络中的组成部分;操作系统存在安全缺陷。系统存在安全缺陷。 黑客(黑客(
7、hacker)及病毒。)及病毒。 7黑客黑客黑客的破坏性黑客的破坏性 解密网上黑客七大类解密网上黑客七大类 黑客与红客黑客与红客史上最强五大黑客与红客史上最强五大黑客与红客 8有害程序有害程序(1)1.计算机病毒计算机病毒(1)能能够利用系统进行自我复制和传播,通过特定够利用系统进行自我复制和传播,通过特定事件触发是一种有害程序;事件触发是一种有害程序;(2)传统病毒:引导型、文件型、宏病毒;传统病毒:引导型、文件型、宏病毒;(3)邮件病毒。邮件病毒。2.程序后门程序后门(1)绕开系统的安全检查,直接的程序入口,通常绕开系统的安全检查,直接的程序入口,通常是由程序设计人员为各种目的预留的。是由
8、程序设计人员为各种目的预留的。(2)后门形成途径:黑客入侵植入;设备或程序员后门形成途径:黑客入侵植入;设备或程序员预留;远程服务预留预留;远程服务预留隐蔽通道分析隐蔽通道分析卿斯汉卿斯汉9有害程序有害程序(2)3.特特洛伊木马洛伊木马冒充正常程序的有害程序,或包含在有用程序中冒充正常程序的有害程序,或包含在有用程序中的隐藏代码。当用户试图运行的时候将造成破的隐藏代码。当用户试图运行的时候将造成破坏。不能自我复制和传播。坏。不能自我复制和传播。4.细菌细菌本身没有强烈的破坏性,但通过自我复制,耗尽本身没有强烈的破坏性,但通过自我复制,耗尽系统资源。系统资源。5.蠕虫蠕虫是通过某种网络载体,利用
9、网络联机关系,从一个是通过某种网络载体,利用网络联机关系,从一个系统蔓延到另一个系统的程序。系统蔓延到另一个系统的程序。“莫里斯蠕虫莫里斯蠕虫”10计算机网络中计算机网络中有害程序有害程序危害的特点危害的特点网络的出现改变了病毒的传播方式网络的出现改变了病毒的传播方式几何级数式的传播。几何级数式的传播。扩大了危害范围。扩大了危害范围。增强了攻击的破坏力。增强了攻击的破坏力。 11网络信息系统的主要威胁网络信息系统的主要威胁 从协议层次看,常见主要威胁:从协议层次看,常见主要威胁:物理层物理层: :窃取、插入、删除等,但需要一定的设备。窃取、插入、删除等,但需要一定的设备。数据链路层数据链路层:
10、 :数据监听数据监听( (预防措施:划分网段;交换机预防措施:划分网段;交换机代替集线器;利用代替集线器;利用VLANVLAN实现点对点通信实现点对点通信) )。网络层网络层 :IPIPV4V4没有考虑到安全问题没有考虑到安全问题。( (常见攻击:常见攻击:IPIP欺骗欺骗; ;侦听源路由侦听源路由; ;路由协议如路由协议如RIPRIP攻击攻击; ;利用利用ICMPICMP的重的重定向破坏路由定向破坏路由) )传输层:传输层:TCPTCP连接欺骗等针对传输层协议的漏洞的攻连接欺骗等针对传输层协议的漏洞的攻击。击。( (SYN FloodingSYN Flooding拒绝服务、伪造源端口、源地址
11、拒绝服务、伪造源端口、源地址) )应用层:存在认证、访问控制、完整性、保密性等所应用层:存在认证、访问控制、完整性、保密性等所有安全问题。有安全问题。( (DNSDNS缺少加密认证、缺少加密认证、NFSNFS的的RPCRPC调用、调用、FingerFinger漏洞、匿名漏洞、匿名FTPFTP和远程登录和远程登录) ) IPV4IPV4协议格式协议格式TCPTCP包头格式包头格式12安全攻击的方式安全攻击的方式正常的信息流从一个源(如一个文件或主存储器的正常的信息流从一个源(如一个文件或主存储器的一个区域)流到一个目的地(如另一个文件或一个一个区域)流到一个目的地(如另一个文件或一个用户)如图所
12、示。用户)如图所示。信息源信息源信息源信息源Information Source信息目的地信息目的地信息目的地信息目的地Information Destination正常正常正常正常Normal Flow13安全攻击方式:中断安全攻击方式:中断中断:该系统的资产被破坏或变得不可利用或不能中断:该系统的资产被破坏或变得不可利用或不能使用,这是对使用,这是对可用性可用性的攻击。的攻击。如:部分硬件的毁坏、一条通信线路的切断或某文如:部分硬件的毁坏、一条通信线路的切断或某文件管理系统的失效。件管理系统的失效。信息源信息源信息源信息源信息目的地信息目的地信息目的地信息目的地中断中断Interrupti
13、on14安全攻击方式:截获安全攻击方式:截获截获:一个未授权方获取了对某个资产的访问,这截获:一个未授权方获取了对某个资产的访问,这是是机密性机密性攻击。该未授权方可以是一个人、一个程攻击。该未授权方可以是一个人、一个程序或一台计算机。序或一台计算机。如:在网线上搭线窃听以获取数据,违法复制文件如:在网线上搭线窃听以获取数据,违法复制文件或程序等。或程序等。信息目的地信息目的地信息目的地信息目的地截获截获Interception信息源信息源信息源信息源15安全攻击方式:篡改安全攻击方式:篡改篡改:未授权方不仅获得了访问,而且篡改了某些篡改:未授权方不仅获得了访问,而且篡改了某些资产,这是对资产
14、,这是对完整性完整性的攻击。的攻击。如:改变数据文件的值,改变程序使得它的执行结如:改变数据文件的值,改变程序使得它的执行结果不同,篡改在网络中传输的消息的内容等等。果不同,篡改在网络中传输的消息的内容等等。信息源信息源信息源信息源信息目的地信息目的地信息目的地信息目的地篡改篡改Modification16安全攻击方式:伪造安全攻击方式:伪造伪造:未授权方将伪造的对象插入系统,这是对伪造:未授权方将伪造的对象插入系统,这是对真实真实性性的攻击。的攻击。如:在网络中插入伪造的消息或为文件增加记录等。如:在网络中插入伪造的消息或为文件增加记录等。信息源信息源信息源信息源信息目的地信息目的地信息目的
15、地信息目的地伪造伪造Fabrication17攻击的种类攻击的种类信息保障技术框架(信息保障技术框架(IATFIATF)3.03.0版中将攻击版中将攻击分为以下分为以下5 5类:类: 被动攻击。被动攻击。主动攻击。主动攻击。物理临近攻击。物理临近攻击。内部人员攻击。内部人员攻击。软硬件配装攻击。软硬件配装攻击。 18被动攻击被动攻击定义:定义:在未经用户同意和认可的情况下将信息或数据文件泄露在未经用户同意和认可的情况下将信息或数据文件泄露给系统攻击者,但不对数据信息做任何修改。给系统攻击者,但不对数据信息做任何修改。 常见手段:常见手段:搭线监听、无线截获、其他截获。搭线监听、无线截获、其他截
16、获。攻击方式:攻击方式:析出消息内容、通信量分析析出消息内容、通信量分析析出消息内容析出消息内容:破译电话交谈、电子邮件消息和传送的文件。:破译电话交谈、电子邮件消息和传送的文件。通信量分析通信量分析:通过测定通信主机的位置和标识,观察被交换消:通过测定通信主机的位置和标识,观察被交换消息的频率和长度息的频率和长度。特点特点:不易被发现。:不易被发现。 预防措施:预防措施:重点在于预防重点在于预防 ,如使用虚拟专用网(,如使用虚拟专用网(VPN)、采用)、采用加密技术保护网络以及使用加保护的分布式网络等加密技术保护网络以及使用加保护的分布式网络等19主动攻击主动攻击含义:含义:涉及某些数据流的
17、篡改或虚假流的产生。涉及某些数据流的篡改或虚假流的产生。 通常分为通常分为:假冒假冒:一个实体假装为一个不同的实体。:一个实体假装为一个不同的实体。重放重放:一个数据单元的被动获取以及后继的重传,:一个数据单元的被动获取以及后继的重传,以产生一个未授权的效果。以产生一个未授权的效果。篡改消息篡改消息:一个合法消息的某些部分被改变,或消:一个合法消息的某些部分被改变,或消息被延迟或改变顺序,以产生一个未授权的效果。息被延迟或改变顺序,以产生一个未授权的效果。拒绝服务拒绝服务:防止或禁止通信设施的正常使用或管理。:防止或禁止通信设施的正常使用或管理。特点特点:能够检测出来,不易有效防止。:能够检测
18、出来,不易有效防止。预防措施:预防措施:自动审计、入侵检测和完整性恢复。自动审计、入侵检测和完整性恢复。20物理临近物理临近定义:定义:指未授权个人以更改、收集或拒绝访问为指未授权个人以更改、收集或拒绝访问为目的而物理临近网络、系统或设备。目的而物理临近网络、系统或设备。21内部人员攻击内部人员攻击内部人员攻击分为内部人员攻击分为恶意的或非恶意的;恶意的或非恶意的;恶意攻击:恶意攻击:指内部人员有计划的窃听、偷窃或损指内部人员有计划的窃听、偷窃或损坏信息,或拒绝其他授权用户的访问。坏信息,或拒绝其他授权用户的访问。非恶意攻击:非恶意攻击:指通常由于粗心、知识缺乏或为了指通常由于粗心、知识缺乏或
19、为了“完成工作完成工作”等无意间绕过安全策略但对系统产生等无意间绕过安全策略但对系统产生了破坏的行为造成。了破坏的行为造成。22软硬件配置攻击软硬件配置攻击定义:定义:又称为分发攻击,指在软硬件的生产工厂又称为分发攻击,指在软硬件的生产工厂内或在产品分发过程中恶意修改硬件或软件。内或在产品分发过程中恶意修改硬件或软件。23安全目标安全目标系统安全的目标系统安全的目标:保护计算机和网络系统中的资源:保护计算机和网络系统中的资源免受破坏、窃取和丢失。免受破坏、窃取和丢失。安全部件包括:安全部件包括:计算机、网络设备、存储介质、软计算机、网络设备、存储介质、软件和程序、各种数据、数据库、通信资源件和
20、程序、各种数据、数据库、通信资源(信道、端信道、端口、带宽口、带宽 )最终目标最终目标: 保护信息的安全。保护信息的安全。24网络信息安全的概念网络信息安全的概念系统安全系统安全指网络设备的硬件、操作系统和应用软件的安指网络设备的硬件、操作系统和应用软件的安全;全;信息安全信息安全指各种信息的存储、传输的安全。指各种信息的存储、传输的安全。网络安全网络安全依赖于两种技术:传统意义上的依赖于两种技术:传统意义上的存取控制和授存取控制和授权权,如访问空指表技术、口令验证技术;利用,如访问空指表技术、口令验证技术;利用密码技密码技术术实现对信息的加密、身份鉴别;实现对信息的加密、身份鉴别;国际标准化
21、组织国际标准化组织“计算机安全计算机安全”:为数据处理系统建立:为数据处理系统建立和采用的技术和管理上的安全保护,保护计算机硬件、和采用的技术和管理上的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。泄露。网络因素的定义网络因素的定义:保护网络系统中的各种资源不因偶然:保护网络系统中的各种资源不因偶然或恶意的原因而遭到占用、毁坏、更改和泄露,系统或恶意的原因而遭到占用、毁坏、更改和泄露,系统能够连续正常运行。能够连续正常运行。25网络信息系统安全的基本需求网络信息系统安全的基本需求 (1)保密性保密性 (Confide
22、ntiality):信息不泄露给非授权用户信息不泄露给非授权用户/实实体体/过程,不被非法利用。过程,不被非法利用。典型攻击:典型攻击:监听、流量分析监听、流量分析保障手段:保障手段:加密技术、存储保密的访问控制加密技术、存储保密的访问控制完整性完整性 (Integrity):数据未经授权不能进行改变的特性,数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏即信息在存储或传输过程中保持不被修改、不被破坏和丢失。和丢失。典型攻击典型攻击:篡改:篡改保障手段:保障手段:加密、数字签名、散列函数加密、数字签名、散列函数26可用性可用性 (Availability):可被授
23、权实体访问并按需求使可被授权实体访问并按需求使用的特性,即当需要时总能够存取所需的信息。用的特性,即当需要时总能够存取所需的信息。典型攻击典型攻击:拒绝服务:拒绝服务保障手段:保障手段:鉴别技术鉴别技术可控性可控性 (Controllability):对信息的传播及内容具有对信息的传播及内容具有控制能力。控制能力。典型攻击典型攻击:越权访问:越权访问保障手段:保障手段:访问控制列表、身份鉴别、活动审计访问控制列表、身份鉴别、活动审计不可否认性不可否认性( non-repudiation):发送者不能否认发送者不能否认其发送的信息。其发送的信息。保障手段:保障手段:数字签名、公证机制数字签名、公
24、证机制网络信息系统安全的基本需求网络信息系统安全的基本需求 (2)27安全服务安全服务定义定义: :为加强网络信息系统安全性及对抗安全攻击而采取的一系为加强网络信息系统安全性及对抗安全攻击而采取的一系列措施。列措施。主要内容:主要内容:安全机制、安全连接、安全协议、安全策略安全机制、安全连接、安全协议、安全策略ISO 7498-2(ISO 7498-2(信息处理系统开放系统互连基本参考模型第信息处理系统开放系统互连基本参考模型第2 2部部分分安全体系结构安全体系结构) )中中定义定义的五可选的安全服务的五可选的安全服务包括包括:鉴别鉴别: :保证真实性保证真实性, ,包括对等实体鉴别和数据源鉴
25、别;包括对等实体鉴别和数据源鉴别;访问控制访问控制: :防止非授权访问,保证可控性防止非授权访问,保证可控性;数据保密数据保密: :防止被动攻击防止被动攻击;数据完整性数据完整性: :防止主动攻击,具有数据恢复功能防止主动攻击,具有数据恢复功能;不可否认不可否认: :防止抵赖防止抵赖28安全服务的实施位置安全服务的实施位置 应用层可实现所有的安全服务,同一种安全服务可在不应用层可实现所有的安全服务,同一种安全服务可在不同层实现,安全保障各有特点同层实现,安全保障各有特点29应用层提供安全服务的特点应用层提供安全服务的特点位置:位置:只能在只能在通信两端通信两端的主机系统上实施。的主机系统上实施
26、。 优点:优点:安全策略和措施通常是基于用户制定的;安全策略和措施通常是基于用户制定的; 对用户想要保护的数据具有完整的访问权,因而能很方对用户想要保护的数据具有完整的访问权,因而能很方便地提供一些服务;便地提供一些服务; 不必依赖操作系统来提供这些服务;不必依赖操作系统来提供这些服务; 对数据的实际含义有着充分的理解。对数据的实际含义有着充分的理解。 缺点:缺点:针对每个应用单独设计一套安全机制。针对每个应用单独设计一套安全机制。效率太低;效率太低;对现有系统的兼容性太差;对现有系统的兼容性太差;改动的程序太多,出现错误的概率大增,为系统带来更改动的程序太多,出现错误的概率大增,为系统带来更
27、多的安全漏洞。多的安全漏洞。 30传输层提供安全服务的特点传输层提供安全服务的特点位置位置:只能在通信两端的主机系统上实施。:只能在通信两端的主机系统上实施。 优点:优点:与应用层安全相比,在传输层提供安全服务与应用层安全相比,在传输层提供安全服务的好处是能为其上的各种应用提供安全服务,提供的好处是能为其上的各种应用提供安全服务,提供了更加细化的基于进程对进程的安全服务,这样现了更加细化的基于进程对进程的安全服务,这样现有的和未来的应用可以很方便地得到安全服务,而有的和未来的应用可以很方便地得到安全服务,而且在传输层的安全服务内容有变化时,只要接口不且在传输层的安全服务内容有变化时,只要接口不
28、变,应用程序就不必改动。变,应用程序就不必改动。缺点:缺点:由于传输层很难获取关于每个用户的背景数由于传输层很难获取关于每个用户的背景数据,实施时通常假定只有一个用户使用系统,所以据,实施时通常假定只有一个用户使用系统,所以很难满足针对每个用户的安全需求。很难满足针对每个用户的安全需求。31网络层网络层提供安全服务的特点提供安全服务的特点位置:位置:在在端系统和路由器端系统和路由器上都可以实现。上都可以实现。 优点优点:透明性,能提供主机对主机的安全服务,不要求传输层和透明性,能提供主机对主机的安全服务,不要求传输层和应用层做改动,也不必为每个应用设计自己的安全机制;应用层做改动,也不必为每个
29、应用设计自己的安全机制;网络层支持以子网为基础的安全,子网可采用物理分段或网络层支持以子网为基础的安全,子网可采用物理分段或逻辑分段,因而可很容易实现逻辑分段,因而可很容易实现VPN和内联网,防止对网络和内联网,防止对网络资源的非法访问;资源的非法访问;密钥协商:由于多种传送协议和应用程序可共享由网络层密钥协商:由于多种传送协议和应用程序可共享由网络层提供的密钥管理架构,密钥协商的开销大大降低。提供的密钥管理架构,密钥协商的开销大大降低。 缺点:缺点:无法实现针对用户和用户数据语义上的安全控制。无法实现针对用户和用户数据语义上的安全控制。 32数据链路层提供安全服务的特点数据链路层提供安全服务
30、的特点位置:位置:在在链路链路的两端实现。的两端实现。优点优点:整个分组(包括分组头信息)都被加密整个分组(包括分组头信息)都被加密 ,保密性,保密性强。强。缺点缺点:使用范围有限。只有在专用链路上才能很好地工使用范围有限。只有在专用链路上才能很好地工作作 ,中间不能有转接点。,中间不能有转接点。 33安全机制安全机制定义:定义:实现安全服务的技术手段,表现为操作系统、软硬件功实现安全服务的技术手段,表现为操作系统、软硬件功能部件、管理程序以及它们的任意组合。能部件、管理程序以及它们的任意组合。ISO 7498-2ISO 7498-2中的八类安全机制中的八类安全机制q加密机制(加密机制(Enc
31、ryption Encryption ););q数字签名机制(数字签名机制(Digital Signature MechanismsDigital Signature Mechanisms););q访问控制机制(访问控制机制(Access Control MechanismsAccess Control Mechanisms););q数据完整性机制(数据完整性机制(Data Integrity MechanismsData Integrity Mechanisms););q鉴别交换机制(鉴别交换机制(Authentication Mechanisms Authentication Mechan
32、isms ););q通信业务填充机制(通信业务填充机制(Traffic Padding MechanismsTraffic Padding Mechanisms););q路由控制机制(路由控制机制(Routing Control MechanismsRouting Control Mechanisms););q公证机制(公证机制(Notarization MechanismsNotarization Mechanisms)。)。34安全服务与安全机制的关系安全服务与安全机制的关系35安全策略安全策略定义:定义:指在一个特定的环境中,为保证提供一定级指在一个特定的环境中,为保证提供一定级别的安全
33、保护所必须遵守的规则。别的安全保护所必须遵守的规则。 目的:目的:决定采用何种方式和手段来保证安全。包括决定采用何种方式和手段来保证安全。包括严格管理和先进技术严格管理和先进技术具体策略包括具体策略包括:采用什么样的安全保障体系;采用什么样的安全保障体系; 确定网络资源的职责划分;确定网络资源的职责划分; 制定使用规则;制定使用规则; 制定日常维护规程;制定日常维护规程; 确定在检测到安全问题或系统遭到破坏时应采用确定在检测到安全问题或系统遭到破坏时应采用什么样的相应措施。什么样的相应措施。 36国外网络安全标准(国外网络安全标准(1 1)美国美国TCSEC(TCSEC(可信任计算机标准评估规
34、则可信任计算机标准评估规则) )。该标准是美国国防部制定该标准是美国国防部制定8080年代的。它将安全分为年代的。它将安全分为4 4个方面个方面: :安全政策、可说明性、安全保障和文档。在安全政策、可说明性、安全保障和文档。在美国国防部虹系列美国国防部虹系列(Rainbow Series)(Rainbow Series)标准中有详细标准中有详细的描述。该标准将以上的描述。该标准将以上4 4个方面分为个方面分为7 7个安全级别个安全级别, ,从从低到高依次为低到高依次为D D、C1C1、C2C2、B1B1、B2B2、B3B3和和A A级:级:A A级:绝对可信网络安全;级:绝对可信网络安全;B
35、B级:完全可信网络安全(级:完全可信网络安全(B1B1、B2B2、B3B3););C C级:可信网络安全(级:可信网络安全(C1C1、C2C2););D D级:不可信网络安全。级:不可信网络安全。问题:以保密和单点机为主。问题:以保密和单点机为主。37国外网络安全标准(国外网络安全标准(2 2)欧洲欧洲ITSEC(ITSEC(欧洲信息安全技术评估规则欧洲信息安全技术评估规则) ) 与与TCSECTCSEC不同不同, ,它并不把保密措施直接与计算机它并不把保密措施直接与计算机功能相联系功能相联系, ,而是只叙述技术安全的要求而是只叙述技术安全的要求, ,把保密作把保密作为安全增强功能。另外为安全
36、增强功能。另外,TCSEC,TCSEC把保密作为安全的重把保密作为安全的重点点, ,而而ITSECITSEC则把完整性、可用性与保密性作为同等则把完整性、可用性与保密性作为同等重要的因素。重要的因素。ITSECITSEC定义了从定义了从E0E0级级( (不满足品质不满足品质) )到到E6E6级级( (形式化验证形式化验证) )的的7 7个安全等级个安全等级, ,对于每个系统对于每个系统, ,安全功能可分别定义。安全功能可分别定义。ITSECITSEC预定义了预定义了1010种功能种功能, ,其其中前中前5 5种与桔皮书中的种与桔皮书中的C1-B3C1-B3级非常相似。级非常相似。38国外网络安
37、全标准(国外网络安全标准(3)加拿大CTCPEC(加拿大可信任计算标准) 该标准将安全需求分为该标准将安全需求分为4 4个层次个层次: :机密性、完机密性、完整性、可靠性和可说明性。对产品和评估过程强调整性、可靠性和可说明性。对产品和评估过程强调功能和保证。分为功能和保证。分为7 7个保证级,通常称为个保证级,通常称为EAL-1EAL-1到到EAL-7EAL-7。美国联邦准则美国联邦准则(FC)(FC) 该标准参照了该标准参照了CTCPECCTCPEC及及TCSEC,TCSEC,其目的是提供其目的是提供TCSECTCSEC的升级版本的升级版本, ,同时保护已有投资同时保护已有投资, ,但但FC
38、FC有很多有很多缺陷缺陷, ,是一个过渡标准是一个过渡标准, ,后来结合后来结合ITSECITSEC发展为联合发展为联合公共准则公共准则CCCC。 39国外网络安全标准(国外网络安全标准(4 4)信息技术安全评价通用准则信息技术安全评价通用准则(CC)CCCC的目的是想把已有的安全准则结合成一个统的目的是想把已有的安全准则结合成一个统一的标准。该计划从一的标准。该计划从19931993年开始执行年开始执行,1996,1996年推出年推出第一版。第一版。CCCC结合了结合了FCFC及及ITSECITSEC的主要特征的主要特征, ,它强调将它强调将安全的功能与保障(安全功能的可信度)分离安全的功能
39、与保障(安全功能的可信度)分离, ,并并将功能需求分为将功能需求分为1111类类 6363族族, ,将保障分为将保障分为7 7类类 2929族。族。 99.799.7通过国际标准化组织认可通过国际标准化组织认可, ,为为ISO/IEC 15408ISO/IEC 15408信息技术安全评估准则。信息技术安全评估准则。40国外网络安全标准(国外网络安全标准(5)ISOISO安全体系结构标准安全体系结构标准 在安全体系结构方面在安全体系结构方面,ISO,ISO制定了国际标准制定了国际标准ISO7498-2-1989ISO7498-2-1989信息处理系统开放系统互连基本信息处理系统开放系统互连基本参
40、考模型第参考模型第2 2部分安全体系结构部分安全体系结构。该标准为开放。该标准为开放系统互连系统互连(OSI)(OSI)描述了基本参考模型描述了基本参考模型, ,为协调开发现为协调开发现有的与未来的系统互连标准建立起了一个框架。其有的与未来的系统互连标准建立起了一个框架。其任务是提供安全服务与有关机制的一般描述任务是提供安全服务与有关机制的一般描述, ,确定确定在参考模型内部可以提供这些服务与机制的位置。在参考模型内部可以提供这些服务与机制的位置。41国外网络安全标准(国外网络安全标准(6)信息保障技术框架信息保障技术框架信息保障技术框架信息保障技术框架(IATF)(IATF)。安全观点的演变
41、:安全观点的演变:安全观点的演变:安全观点的演变:42国外网络安全标准(国外网络安全标准(7) 信息保障技术框架信息保障技术框架信息保障技术框架信息保障技术框架 (IATF) (IATF) (IATF) (IATF) 企图解决什么问题企图解决什么问题企图解决什么问题企图解决什么问题 怎样定义信息保护需求和解决方案?怎样定义信息保护需求和解决方案? 现有的何种技术能够满足我的保护需求?现有的何种技术能够满足我的保护需求? 什么样的机构资源能够帮助找到所需的保护?什么样的机构资源能够帮助找到所需的保护? 当前有哪些信息保障产品和服务市场当前有哪些信息保障产品和服务市场? ? 对对IAIA方法和技术
42、的研究关注点应放在哪里?方法和技术的研究关注点应放在哪里? 信息保障的原则是什么?信息保障的原则是什么?提出了提出了“深度保卫战略”原则和原则和“信息系统安全工程”的的概念。概念。 43国外网络安全标准(国外网络安全标准(8)深度保卫战略的原则深度保卫战略的原则人人技技 术术操操 作作培训意识培养物理安全人事安全系统安全管理深度保卫技术框架领域安全标准IT/IA 采购风险评估认证和授权评估监视入侵检测警告响应 恢复44从从通信通信的角度,网络分为通信服务提供者和通信服务的角度,网络分为通信服务提供者和通信服务使用者。使用者。目标:目标:安全可靠的跨越网络传输消息。安全可靠的跨越网络传输消息。安
43、全通信技术需求:安全通信技术需求:(1)对消息进行相关变换;对消息进行相关变换;(2)通信双方共享的密钥信息通信双方共享的密钥信息通信服务提供者系统通信服务提供者系统(1)45通信服务提供者系统的安全模型通信服务提供者系统的安全模型 46安全网络通信内容:安全网络通信内容:(1)确定一个算法来执行安全性变换;确定一个算法来执行安全性变换;(2)生成用于该算法的秘密信息;生成用于该算法的秘密信息;(3)研制通信双方秘密信息共享与发布方法;研制通信双方秘密信息共享与发布方法;(4)确定双方使用的协议及通过加密算法和秘密信息确定双方使用的协议及通过加密算法和秘密信息来获取所需安全服务。来获取所需安全
44、服务。通信服务提供者系统通信服务提供者系统(2)47通信服务使用者系统通信服务使用者系统内涵:内涵:传统意义的信息系统,是存放和处理信息的场传统意义的信息系统,是存放和处理信息的场所所安全需求:安全需求:防止未授权访问和保证系统正常工作。防止未授权访问和保证系统正常工作。48计算机安全参考模型计算机安全参考模型 安全监视器提供参考功能和授权功安全监视器提供参考功能和授权功能。实际表现形式是系统安全内核,能。实际表现形式是系统安全内核,由软件、硬件和固件来实现由软件、硬件和固件来实现49通信服务使用者系统的安全模型通信服务使用者系统的安全模型 50加密功能的实施方式加密功能的实施方式 两种基本方
45、式:两种基本方式:链到链加密;链到链加密; 端到端加密。端到端加密。 51链到链加密方式(链到链加密方式(1)在在物理层物理层或或数据链路层数据链路层实施加密机制。实施加密机制。采用采用物理物理加密设备加密设备:链路所有数据加密、接入方便链路所有数据加密、接入方便52链到链加密方式链到链加密方式 (2 2)优点:优点:主机维护加密设施,易于实现,对用户透明;主机维护加密设施,易于实现,对用户透明; 能提供流量保密性;能提供流量保密性; 密钥管理简单;密钥管理简单; 可提供主机鉴别;可提供主机鉴别; 加加/ /解密是在线。解密是在线。 缺点:缺点:数据仅在传输线路上是加密;数据仅在传输线路上是加
46、密;开销大;开销大;每段链路需要使用不同的密钥。每段链路需要使用不同的密钥。 53端到端加密方式(端到端加密方式(1)数据在发送端被加密后数据在发送端被加密后,通过网络传输通过网络传输,到达接收端后才被解密到达接收端后才被解密54端到端加密方式(端到端加密方式(2) 优点优点:在发送端和中间节点上数据都是加密的,安全性在发送端和中间节点上数据都是加密的,安全性好;好; 能提供用户鉴别;能提供用户鉴别; 提供了更灵活的保护手段。提供了更灵活的保护手段。 缺点缺点:不能提供流量保密性;不能提供流量保密性; 密钥管理系统复杂;密钥管理系统复杂; 加密是离线的。加密是离线的。 55两者的结合两者的结合
47、56端到端和链路加密的结合端到端和链路加密的结合过程:过程:发送端主机先对数据包的用户数据部分用端到发送端主机先对数据包的用户数据部分用端到端加密密钥进行加密,整个数据包再用一个链到链端加密密钥进行加密,整个数据包再用一个链到链加密密钥进行加密。加密密钥进行加密。优点:优点:链到链的加密能抵抗流量分析攻击,端到端加密减少链到链的加密能抵抗流量分析攻击,端到端加密减少了网络节点中未加密数据处理带来的威胁。了网络节点中未加密数据处理带来的威胁。密钥管理:密钥管理:两种方式的密钥管理可以分开。网络管理两种方式的密钥管理可以分开。网络管理员可以只关心物理层员可以只关心物理层/数据链路层加密和相关的密钥
48、数据链路层加密和相关的密钥管理,而每个用户只负责相应的端到端加密和相关管理,而每个用户只负责相应的端到端加密和相关的密钥管理。的密钥管理。57流量攻击中可以获得的信息流量攻击中可以获得的信息流量分析中可得到信息流量分析中可得到信息:(1)通信双方的身份;通信双方的身份;(2)双方通信的频率和时间段;双方通信的频率和时间段;(3)交换的数据包的模式、长度和数量;交换的数据包的模式、长度和数量;(4)与通信双方某次特定的会话相关的事件。与通信双方某次特定的会话相关的事件。58流量的保密业务方式流量的保密业务方式链到链加密链到链加密:流量填充:流量填充端到端加密端到端加密:在传输层或应用层将数据单元
49、填充:在传输层或应用层将数据单元填充到同一长度。到同一长度。59本章小结本章小结(1)了解本课程主要内容;了解本课程主要内容;(2)了解学习主要学习方法;了解学习主要学习方法;(3)了解网络安全脆弱性问题了解网络安全脆弱性问题;(4)了解安全需求和安全服务了解安全需求和安全服务;(5)理解信息系统安全模型理解信息系统安全模型;(6)掌握加密功能实施的方式掌握加密功能实施的方式;(7)了解流量保密的意义。了解流量保密的意义。60课外阅读课外阅读信息安全现状和若干进展信息安全现状和若干进展2002年中国信息安全状况综述年中国信息安全状况综述国家国家863信息安全发展战略信息安全发展战略信息安全风险
50、评估工具综述信息安全风险评估工具综述61作作 业业1、关键术语、关键术语网络信息系统网络信息系统(P1)、计算机病毒、计算机病毒(P2)、后门、后门(P2)、特洛、特洛伊木马伊木马(P2)、假冒、假冒(P7)、重放、重放(P7)、篡改消息、篡改消息(P7)、系、系统安全统安全(P8)、信息安全、信息安全(P8)、考虑网络因素的计算机、考虑网络因素的计算机安全安全(P9)、保密性、保密性(P9)、完整性、完整性(P10)、可用性、可用性(P10)、可控性可控性(P9)、不可否认性、不可否认性(P10)、流量分析、流量分析(p6)2、在规划一个安全的计算机网络时、在规划一个安全的计算机网络时,必须
51、考虑哪些内容必须考虑哪些内容?3、流量分析可以得到哪些信息、流量分析可以得到哪些信息?流量保密如何实现流量保密如何实现?4、比较链路加密和端到端加密的优缺点?、比较链路加密和端到端加密的优缺点?5、网络信息系统安全需求有哪些?用什么安全服务提、网络信息系统安全需求有哪些?用什么安全服务提供这些需求?供这些需求?62国内外信息安全发展趋势国内外信息安全发展趋势63信息安全内涵信息安全内涵随着信息技术的发展与应用,信息安全的内涵在不断的随着信息技术的发展与应用,信息安全的内涵在不断的延伸,从最初的信息保密性发展到信息的完整性、可延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性
52、,进而又发展为用性、可控性和不可否认性,进而又发展为“攻(攻攻(攻击)、防(防范)、测(检测)、控(控制)、管击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)(管理)、评(评估)”等多方面的基础理论和实施等多方面的基础理论和实施技术。技术。信息安全是一个综合、交叉学科领域,它要综合利用数信息安全是一个综合、交叉学科领域,它要综合利用数学、物理、通信和计算机诸多学科的长期知识积累和学、物理、通信和计算机诸多学科的长期知识积累和最新发展成果,进行自主创新研究,加强顶层设计,最新发展成果,进行自主创新研究,加强顶层设计,提出系统的、完整的,协同的解决方案。提出系统的、完整的,协同的解
53、决方案。64国内外信息安全最新领域国内外信息安全最新领域目前,信息安全领域的焦点主要有:目前,信息安全领域的焦点主要有: 1) 密码理论与技术;密码理论与技术; 2) 安全协议理论与技术;安全协议理论与技术; 3) 安全体系结构理论与技术;安全体系结构理论与技术; 4) 信息对抗理论与技术;信息对抗理论与技术; 5) 网络安全与安全产品。网络安全与安全产品。65密码理论与技术研究现状及发展趋势密码理论与技术研究现状及发展趋势(1)密码理论与技术主要包括两部分:密码理论与技术主要包括两部分:基于数学的密码理论与技术包括公钥密码、分组密码、基于数学的密码理论与技术包括公钥密码、分组密码、序列密码、
54、认证码、数字签名、序列密码、认证码、数字签名、Hash函数、身份识函数、身份识别、密钥管理、别、密钥管理、PKI技术等。技术等。非数学的密码理论与技术包括信息隐形,量子密码,非数学的密码理论与技术包括信息隐形,量子密码,基于生物特征的识别理论与技术。基于生物特征的识别理论与技术。目前最为人们所关注的实用密码技术是目前最为人们所关注的实用密码技术是PKI技术。国技术。国外的外的PKI应用已经开始,但总的说来应用已经开始,但总的说来PKI技术仍在发技术仍在发展中。展中。IDC公司认为:公司认为:PKI技术将成为所有应用的计技术将成为所有应用的计算基础结构的核心部件,包括那些越出传统网络界限算基础结
55、构的核心部件,包括那些越出传统网络界限的应用。的应用。B2B电子商务活动需要的认证、不可否认等电子商务活动需要的认证、不可否认等只有只有PKI产品才有能力提供这些功能。产品才有能力提供这些功能。 66密码理论与技术研究现状及发展趋势密码理论与技术研究现状及发展趋势(2)目前,国际上对非数学的密码理论与技术包括信息目前,国际上对非数学的密码理论与技术包括信息隐形,量子密码,基于生物特征的识别理论与技术隐形,量子密码,基于生物特征的识别理论与技术等非常关注。等非常关注。信息隐藏将在未来网络中保护信息免于破坏起到重信息隐藏将在未来网络中保护信息免于破坏起到重要作用。特别是图象叠加、数字水印、潜信道、
56、隐要作用。特别是图象叠加、数字水印、潜信道、隐匿协议等的理论与技术的研究已经引起人们的重视。匿协议等的理论与技术的研究已经引起人们的重视。基于生物特征比如手形、指纹、语音、视网膜、虹基于生物特征比如手形、指纹、语音、视网膜、虹膜、脸形、膜、脸形、DNA等的识别理论与技术已有所发展,等的识别理论与技术已有所发展,形成了一些理论和技术,也形成了一些产品,这类形成了一些理论和技术,也形成了一些产品,这类产品往往由于成本高而未被广泛采用。产品往往由于成本高而未被广泛采用。 67安全协议理论与技术研究现状及发展趋势安全协议理论与技术研究现状及发展趋势安全协议的研究主要包括安全协议的安全性安全协议的研究主
57、要包括安全协议的安全性分析方法研究和实用安全协议的设计与分析分析方法研究和实用安全协议的设计与分析研究。研究。安全协议的安全性分析方法主要有两类:安全协议的安全性分析方法主要有两类: 一类是攻击检验方法;一类是攻击检验方法; 一类是形式化分析方法。一类是形式化分析方法。实用安全协议有:电子商务协议,实用安全协议有:电子商务协议,IPSec协议,协议,TLS协议,简单网络管理协议(协议,简单网络管理协议(SNMP),),PGP协议,协议,PEM协议,协议,S-HTTP协议,协议,S/MIME协议等。协议等。68安全体系结构理论与技术研究现状及发展趋势安全体系结构理论与技术研究现状及发展趋势 安全
58、体系结构理论与技术主要包括:安全体系模安全体系结构理论与技术主要包括:安全体系模型的建立及其形式化描述与分析,安全策略和机型的建立及其形式化描述与分析,安全策略和机制的研究,检验和评估系统安全性的科学方法和制的研究,检验和评估系统安全性的科学方法和准则的建立,符合这些模型、策略和准则的系统准则的建立,符合这些模型、策略和准则的系统的研制(比如安全操作系统,安全数据库系统等)。的研制(比如安全操作系统,安全数据库系统等)。 80 年代中期,美国国防部制订了年代中期,美国国防部制订了“可信计算机系可信计算机系统安全评价准则统安全评价准则”(TCSEC)。)。90年代初,英、法、德、荷四国联合提出了
59、年代初,英、法、德、荷四国联合提出了“信息信息技术安全评价准则技术安全评价准则”( ITSEC )。)。69信息对抗理论与技术研究现状及发展趋势信息对抗理论与技术研究现状及发展趋势 信息对抗理论与技术主要包括:黑客防范体信息对抗理论与技术主要包括:黑客防范体系,信息伪装理论与技术,信息分析与监控,系,信息伪装理论与技术,信息分析与监控,入侵检测原理与技术,反击方法,应急响应入侵检测原理与技术,反击方法,应急响应系统,计算机病毒,人工免疫系统在反病毒系统,计算机病毒,人工免疫系统在反病毒和抗入侵系统中的应用等。和抗入侵系统中的应用等。 该领域正在发展阶段,理论和技术都很不该领域正在发展阶段,理论
60、和技术都很不成熟,也比较零散。目前看到的成果主要是成熟,也比较零散。目前看到的成果主要是一些产品(比如一些产品(比如IDS、防范软件、杀病毒软、防范软件、杀病毒软件等),攻击程序和黑客攻击成功的事件。件等),攻击程序和黑客攻击成功的事件。70网络安全与安全产品研究现状及发展趋势网络安全与安全产品研究现状及发展趋势 网络安全研究内容包括:网络安全整体解决网络安全研究内容包括:网络安全整体解决方案的设计与分析,网络安全产品的研发等。方案的设计与分析,网络安全产品的研发等。网络安全包括物理安全和逻辑安全。网络安全包括物理安全和逻辑安全。解决网络信息安全问题的主要途径是利用密解决网络信息安全问题的主要
61、途径是利用密码技术和网络访问控制技术。密码技术用于码技术和网络访问控制技术。密码技术用于隐蔽传输信息、认证用户身份等。网络访问隐蔽传输信息、认证用户身份等。网络访问控制技术用于对系统进行安全保护,抵抗各控制技术用于对系统进行安全保护,抵抗各种外来攻击。种外来攻击。71网络安全产品网络安全产品目前,在市场上比较流行,而又能够代表未来发目前,在市场上比较流行,而又能够代表未来发展方向的安全产品大致有以下有:展方向的安全产品大致有以下有: 1)防火墙;)防火墙; 2)安全路由器;)安全路由器;3)虚拟专用网()虚拟专用网(VPN); 4)安全服务器;安全服务器;5)电子签证机构)电子签证机构-CA和
62、和PKI产品;产品;6)用户认证产品;)用户认证产品; 7)安全管理中心;)安全管理中心;8)入侵检测系统()入侵检测系统(IDS); 9)安全数据库;)安全数据库;10)安全操作系统。)安全操作系统。72结结 论论在上述所有主要的发展方向和产品种类上,都包含了在上述所有主要的发展方向和产品种类上,都包含了密码技术的应用,并且是非常基础性的应用。很多的密码技术的应用,并且是非常基础性的应用。很多的安全功能和机制的实现都是建立在密码技术的基础之安全功能和机制的实现都是建立在密码技术的基础之上,甚至可以说没有密码技术就没有安全可言。但是,上,甚至可以说没有密码技术就没有安全可言。但是,我们也应该看
63、到密码技术与通信技术、计算机技术以我们也应该看到密码技术与通信技术、计算机技术以及芯片技术的融合正日益紧密,其产品的分界线越来及芯片技术的融合正日益紧密,其产品的分界线越来越模糊,彼此也越来越不能分割。在一个计算机系统越模糊,彼此也越来越不能分割。在一个计算机系统中,很难简单地划分某个设备是密码设备,某个设备中,很难简单地划分某个设备是密码设备,某个设备是通信设备。而这种融合的最终目的还是在于为用户是通信设备。而这种融合的最终目的还是在于为用户提供高可信任的、安全的计算机和网络信息系统。提供高可信任的、安全的计算机和网络信息系统。73IPv4IPv4返回威胁74TCP包头格式包头格式返回威胁7
64、5TCP包头格式注解包头格式注解源端口:源端口:1616位;位;目的端口:目的端口:1616位位序列码:序列码:3232位,当位,当SYNSYN出现,序列码实际上是初始序列码(出现,序列码实际上是初始序列码(ISNISN),而第一个数据字节是),而第一个数据字节是ISN+1ISN+1; 确认码:确认码:3232位,如果设置了位,如果设置了ACKACK控制位,这个值表示一个准备接收的包的序列码;控制位,这个值表示一个准备接收的包的序列码;数据偏移量:数据偏移量:4 4位,指示何处数据开始;位,指示何处数据开始;保留:保留:6 6位,这些位必须是位,这些位必须是0 0;控制位:控制位:6 6位;位;窗口:窗口:1616位;位; 校验位:校验位:1616位;位;优先指针:优先指针:1616位,指向后面是优先数据的字节;位,指向后面是优先数据的字节;选项:长度不定;但长度必须以字节记;选项的具体内容我们结合具体命令来看;选项:长度不定;但长度必须以字节记;选项的具体内容我们结合具体命令来看;填充:不定长,填充的内容必须为填充:不定长,填充的内容必须为0 0,它是为了保证包头的结合和数据的开始处偏移量,它是为了保证包头的结合和数据的开始处偏移量能够被能够被3232整除;整除;7677
