信息安全概述学习资料.ppt

《信息安全概述学习资料.ppt》由会员分享，可在线阅读，更多相关《信息安全概述学习资料.ppt（39页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全概述第1讲信息安全概论课程主要内容课程主要内容信息安全的目标信息安全的目标信息安全的发展信息安全的发展信息安全的研究内容信息安全的研究内容2第1讲信息安全概论第1讲信息安全概论第1讲信息安全概论第1讲信息安全概论 1 1.3 3 信信信信息息息息安安安安全全全全威威威威胁胁胁胁l信息安全威胁：指某个人、物、事件或概念对信息资源的保密性、完整性、可用性或合法使用性等等所造成的威胁。攻击就是对安全威胁的具体体现。虽然人为因素和非人为因素都可以对通信安全构成威胁，但是精心设计的人为攻击威胁最大。6第1讲信息安全概论网络安全攻击的形式网络安全攻击的形式网络安全攻击的形式网络安全攻击的形式网络安

2、全攻击的形式网络安全攻击的形式7第1讲信息安全概论l l被动攻击被动攻击被动攻击被动攻击：目的是窃听、监视、存储数据，但是不修改数据。很难被检测出来，通常采用预防手段来防止被动攻击，如数据加密。l l主动攻击主动攻击主动攻击主动攻击：修改数据流或创建一些虚假数据流。常采用数据加密技术和适当的身份鉴别技术。主主主主动动动动与与与与被被被被动动动动攻攻攻攻击击击击8第1讲信息安全概论网网网网络络络络安安安安全全全全攻攻攻攻击击击击vv截获截获截获截获以保密性作为攻击目标，表现为非授权用户通过某种手段获得对系统资源的访问，如搭线窃听、非法拷贝等vv中断中断中断中断(阻断）阻断）阻断）阻断）以可用性作

3、为攻击目标，表现为毁坏系统资源，切断通信线路等9第1讲信息安全概论网网网网络络络络安安安安全全全全攻攻攻攻击击击击vv篡改篡改篡改篡改以完整性作为攻击目标，非授权用户通过某种手段获得系统资源后，还对文件进行窜改，然后再把篡改过的文件发送给用户。vv伪造伪造伪造伪造以完整性作为攻击目标，非授权用户将一些伪造的、虚假的数据插入到正常系统中10第1讲信息安全概论 1 1.4 4 常常常常见见见见的的的的安安安安全全全全威威威威胁胁胁胁 1信息泄露：信息被泄露或透露给某个非授权的实体。2破坏完整性：数据被非授权地进行增删、修改或破坏 而受到损失。3拒绝服务：对信息或其它资源的合法访问被无条件地 阻止。

4、4非法使用：某一资源被某个非授权的人，或以非授权 的方式使用。5窃听：用各种可能的合法或非法的手段窃取系统中的 信息资源和敏感信息。11第1讲信息安全概论6业务流分析：通过对系统进行长期监听来分析对通信频度、信息流向等发现有价值的信息和规律。7假冒：通过欺骗通信系统（或用户）达到非法用户冒充成为合法用户，或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击。8旁路控制：攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。9授权侵犯：被授权以某一目的使用某一系统或资源的某个人，却将此权限用于其它非授权的目的，也称作“内部攻击”。1 1.4 4 常常常常见见见见的的的

5、的安安安安全全全全威威威威胁胁胁胁 12第1讲信息安全概论10特洛伊木马：软件中含有一个察觉不出的或者无害的程序段，当它被执行时，会破坏用户的安全。这种应用程序称为特洛伊木马。11陷阱门：在某个系统或某个部件中设置的“机关”，使得当提供特定的输入数据时，允许违反安全策略。12抵赖：这是一种来自用户的攻击，比如：否认自己曾经发布过的某条消息、伪造一份对方来信等。13重放：所截获的某次合法的通信数据拷贝，出于非法的目的而被重新发送。14计算机病毒：是一种在计算机系统运行过程中能够实现传染和侵害的功能程序。1 1.4 4 常常常常见见见见的的的的安安安安全全全全威威威威胁胁胁胁 13第1讲信息安全概

6、论15人员不慎：一个授权的人为了钱或利益，或由于粗心，将信息泄露给一个非授权的人。16媒体废弃：信息被从废弃的磁的或打印过的存储介质中获得。17物理侵入：侵入者通过绕过物理控制而获得对系统的访问；18窃取：重要的安全物品，如令牌或身份卡被盗；19业务欺骗：某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息。1 1.4 4 常常常常见见见见的的的的安安安安全全全全威威威威胁胁胁胁 14第1讲信息安全概论安安安安全全全全威威威威胁胁胁胁的的的的后后后后果果果果安全漏洞危害在增大信息对抗的威胁在增加信息对抗的威胁在增加电力电力交通交通医疗医疗金融金融工业工业广播广播控制控制通讯通讯因特网因特

7、网15第1讲信息安全概论 1 1.5 5 信信信信息息息息安安安安全全全全的的的的目目目目标标标标安全工作的目的就是为了在安全法律、法规、政策的支持与指导下，通过采用合适的安全技术与安全管理措施，完成：v使用授权机制，实现对用户的权限控制，即不该拿走 的“拿不走”，同时结合内容审计机制，实现对网络资源及信息的可控性可控性可控性可控性。v使用访问控制机制，阻止非授权用户进入网络，即“进不来”，从而保证网络系统的可用性可用性可用性可用性。v使用加密机制，确保信息不暴漏给未授权的实体或进程，即“看不懂”，从而实现信息的保密性保密性保密性保密性。16第1讲信息安全概论v使用数据完整性鉴别机制，保证只有

8、得到允许的人才能修改数据，而其它人“改不了”，从而确保信息的完整性完整性完整性完整性。v使用审计、监控、防抵赖等安全机制，使得攻击者、破坏者、抵赖者“走不脱”，并进一步对网络出现的安全问题提供调查依据和手段，实现信息安全的可审可审可审可审查性查性查性查性。1 1.5 5 信信信信息息息息安安安安全全全全的的的的目目目目标标标标17第1讲信息安全概论（1 1 1 1）主动防御保护技术）主动防御保护技术）主动防御保护技术）主动防御保护技术 数据加密、身份鉴别、存取控制、权限设置、虚拟专用网(VPN)技术。（2 2 2 2）被动防御保护技术）被动防御保护技术）被动防御保护技术）被动防御保护技术 防火

9、墙、入侵检测系统、安全扫描器、口令验证、审计跟踪、物理保护与安全管理 1.6 1.6 1.6 信息安全保护技术信息安全保护技术信息安全保护技术信息安全保护技术信息安全保护技术信息安全保护技术18第1讲信息安全概论 信息安全信息安全信息安全信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的边缘性综合学科。2 2 2 2信息安全的研究内容信息安全的研究内容信息安全的研究内容信息安全的研究内容一、信息安全理论研究二、信息安全应用研究三、信息安全管理研究信息安全研究的内容包括信息安全研究的内容包括19第1讲信息安全概论信信信信息息息息安安安安全

10、全全全研研研研究究究究内内内内容容容容及及及及相相相相互互互互关关关关系系系系20第1讲信息安全概论1 1 1 1、密码理论、密码理论、密码理论、密码理论 加密加密加密加密：将信息从易于理解的明文加密为不易理解的密文 消息摘要消息摘要消息摘要消息摘要：将不定长度的信息变换为固定长度的摘要 数字签名数字签名数字签名数字签名：实际为加密和消息摘要的组合应用 密钥管理密钥管理密钥管理密钥管理：研究密钥的产生、发放、存储、更换、销毁2.12.12.12.1信息安全理论研究信息安全理论研究信息安全理论研究信息安全理论研究21第1讲信息安全概论2 2 2 2、安全理论、安全理论、安全理论、安全理论 身份认

11、证身份认证身份认证身份认证：验证用户身份是否与其所声称的身份一致 授权与访问控制授权与访问控制授权与访问控制授权与访问控制：将用户的访问行为控制在授权范围内 审计跟踪审计跟踪审计跟踪审计跟踪：记录、分析和审查用户行为，追查用户行踪 安全协议安全协议安全协议安全协议：构建安全平台使用的与安全防护有关的协议2.12.12.12.1信息安全理论研究信息安全理论研究信息安全理论研究信息安全理论研究22第1讲信息安全概论1 1 1 1、安全技术、安全技术、安全技术、安全技术 防火墙技术防火墙技术防火墙技术防火墙技术：控制两个安全策略不同的域之间的互访行为 漏洞扫描技术漏洞扫描技术漏洞扫描技术漏洞扫描技术

12、：对安全隐患的扫描检查、修补加固 入侵检测技术入侵检测技术入侵检测技术入侵检测技术：提取和分析网络信息流，发现非正常访问 病毒防护技术病毒防护技术病毒防护技术病毒防护技术：预防病毒入侵2.22.22.22.2信息安全应用研究信息安全应用研究信息安全应用研究信息安全应用研究23第1讲信息安全概论2 2 2 2、平台安全、平台安全、平台安全、平台安全 物理安全物理安全物理安全物理安全：主要防止物理通路的损坏、窃听、干扰等 网络安全网络安全网络安全网络安全：保证网络只给授权的客户使用授权的服务，保证网络路由正确，避免被拦截或监听 系统安全系统安全系统安全系统安全：保证客户资料、操作系统访问控制的安全

13、，同时能对该操作系统上的应用进行审计 数据安全数据安全数据安全数据安全：对安全环境下的数据需要进行加密 用户安全用户安全用户安全用户安全：对用户身份的安全性进行识别 边界安全边界安全边界安全边界安全：保障不同区域边界连接的安全性2.22.22.22.2信息安全应用研究信息安全应用研究信息安全应用研究信息安全应用研究24第1讲信息安全概论信息安全保障体系、信息安全应急反应技术、安全性能测试和评估、安全标准、法律、管理法规制定、安全人员培训提高等。2.32.32.32.3信息安全管理研究信息安全管理研究信息安全管理研究信息安全管理研究1 1、安全策略研究、安全策略研究2 2、安全标准研究、安全标准

14、研究3 3、安全测评研究、安全测评研究三分技术，七分管理！三分技术，七分管理！三分技术，七分管理！三分技术，七分管理！25第1讲信息安全概论 一、安全策略一、安全策略指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则。该安全策略模型包括了建立安全环境的三个重要组成部分，即威严的法律、先进的技术、严格的管理。2.32.32.32.32.32.3信息安全管理研究信息安全管理研究信息安全管理研究信息安全管理研究信息安全管理研究信息安全管理研究v 安全策略是建立安全系统的第一道防线安全策略是建立安全系统的第一道防线v 确保安全策略不与公司目标和实际活动相抵触确保安全策略不与公司目标和实

15、际活动相抵触v 给予资源合理的保护给予资源合理的保护26第1讲信息安全概论以安全策略为核心的安全模型以安全策略为核心的安全模型安全安全安全安全策略策略策略策略防护防护防护防护 检检检检 测测测测响响响响 应应应应ISS（Internet Security Systems InC.)提出 2 2.3 3信信信信息息息息安安安安全全全全管管管管理理理理研研研研究究究究27第1讲信息安全概论MPMP2 2DRRDRR安全模型安全模型安全模型安全模型PMRRD安全模型安全模型MP2DRR访问控制机制访问控制机制访问控制机制访问控制机制入侵检测机制入侵检测机制入侵检测机制入侵检测机制安全响应机制安全响应

16、机制安全响应机制安全响应机制备份与恢复机制备份与恢复机制备份与恢复机制备份与恢复机制管理管理管理管理P安全策略安全策略安全策略安全策略28第1讲信息安全概论1 1、TCSECTCSEC（可信计算机系统评估标准）（可信计算机系统评估标准）2 2、CC(CC(通用准则通用准则)3 3、ITSECITSEC（欧洲安全评价标准）（欧洲安全评价标准）4、我国的标准、我国的标准2.32.32.32.3信息安全管理研究信息安全管理研究信息安全管理研究信息安全管理研究二、安全标准研究二、安全标准研究29第1讲信息安全概论TCSEC 美国TCSEC(桔皮书)可信计算机系统评估准则。1985年由 美国国防部制定。

17、TCSEC是历史上第一个计算机安全评价标准。内容分为4个方面:安全政策、可说明性、安全保障和文档。安全等级划分为 D,C,B,A 共4类7级，由低到高。30第1讲信息安全概论TCSEC31第1讲信息安全概论CCl通用评估准则，简称CC，CC源于TCSEC，但完全改进了TCSEC。CC定义了作为评估信息技术产品和系统安全性的基础准则，提出了目前国际上公认的表述信息技术安全性的结构以及如何正确有效地实施这些功能的保证要求，是目前系统安全认证方面最权威的标准。作为评估信息技术产品和系统安全性的世界性通用准则，是信息技术安全性评估结果国际互认的基础。lCC的先进性体现在其结构的开放性、表达方式的通用性

18、以及结构和表达方式的内在完备性和实用性四个方面。32第1讲信息安全概论CClCC分为三个部分：1)“简介和一般模型”，介绍了CC中的有关术语、基本概 念和一般模型以及与评估有关的一些框架，附录部分主要介绍“保护轮廓”和“安全目标”的基本内容；2)“安全功能要求”，按“类子类组件”的方式提出安全功能要求，每一个类除正文以外，还有对应的提示性附录作进一步解释；3)“安全保证要求”，定义了评估保证级别，介绍了“保护轮廓”和“安全目标”的评估，并按“类子类组件”的方式提出安全保证要求。33第1讲信息安全概论ITSECl 欧洲的安全评价标准（ITSEC）是英国、法国、德国和荷兰制定的IT安全评估准则，较

19、美国军方制定的TCSEC准则在功能的灵活性和有关的评估技术方面均有很大的进步。l ITSEC是欧洲多国安全评价方法的综合产物，应用领域为军队、政府和商业。该标准将安全概念分为功能与评估两部分。功能准则从F1F10共分10级。15级对应于TCSEC的D到A。F6至F10级分别对应数据和程序的完整性、系统的可用性、数据通信的完整性、数据通信的保密性以及机密性和完整性的网络安全。34第1讲信息安全概论我国的评估标准我国的评估标准 信息安全等级是国家信息安全监督管理部门对计算机信息系统重要性的确认。1999年10月我国颁布了计算机信息系统安全保护等级划分准则（GB 17859-1999），将计算机安全

20、保护划分为用用户户自自主主保保护护、系系统统审审计计保保护护、安安全全标标记记保护保护、结构化保护结构化保护、访问验证保护访问验证保护五个等级。35第1讲信息安全概论三、安全测评研究三、安全测评研究1989颁布，确立了基于OSI/RM的信息安全体系结构五大类安全服务鉴别、访问控制、机密性、完整性、抗否认八类安全机制加密、数字签名、访问控制、数据完整性、鉴别交换、业务流填充、路由控制、公证OSI安全管理lITU X.800,1991年颁布2.32.32.32.32.32.3信息安全管理研究信息安全管理研究信息安全管理研究信息安全管理研究信息安全管理研究信息安全管理研究36第1讲信息安全概论3 3 3 3信息安全的发展信息安全的发展信息安全的发展信息安全的发展l通信保密通信保密（COMSECCOMSEC）：）：60-7060-70年代年代 信息保密信息保密l信息安全信息安全（INFOSECINFOSEC）：）：80-9080-90年代年代 机密性、完整性、可用性、不可否认性机密性、完整性、可用性、不可否认性l信息保障信息保障（IAIA）：）：9090年代年代-至今至今对整个信息和信息系统进行动态保护与防御对整个信息和信息系统进行动态保护与防御37第1讲信息安全概论谢谢大家！谢谢大家！38