信息安全概述.ppt-淘文阁

资源描述

《信息安全概述.ppt》由会员分享，可在线阅读，更多相关《信息安全概述.ppt（60页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、电子科技大学计算机学院王庆先 Email：,信息安全理论与技术,2,教师基本情况,姓名：王庆先研究方向：密码学；信息安全办公地址：科技试验大楼1107 电话： 66886122 电子邮件：,3,课程目的,掌握信息安全理论相关知识学习信息安全相关技术掌握设计和部署信息安全组件的基本方法和技巧掌握如何从事信息安全学习和研究的基本方法,4,数据加密（Data Encryption) 对称加密算法，如DES、AES 非对称加密算法，RSA，ECC 消息摘要（Message Digest) 典型算法MD5、SHA 数字签名(Digital Signature) 密钥管理(Key Manag

2、ement),信息安全理论研究-密码理论,5,身份认证（Authentication) 口令认证-主要研究认证的特征，可信协议及模型授权和访问控制（Authorization and Access Control) 主要研究内容是授权策略、访问控制模型、大规模系统的快速访问算法审计追踪（Auditing and Tracing) 主要研究内容是审计素材的记录模式、审计模型及追踪算法安全协议（Security Protocol）主要研究内容协议的内容和实现层次、协议自身的安全性、协议的互操作性。,信息安全理论研究-安全理论,6,防火墙技术（Firewall) 主要研究内容包括防火墙的安全

3、策略,实现模式和强度分析等漏洞扫描技术（Venearbility Scanning）主要研究内容包括漏洞的发现，特征分析及定位，扫描方式和协议等入侵检测技术（Auditing and Tracing) 主要研究内容包括信息流提取技术，入侵特征分析技术，入侵行为模式分析技术，入侵行为关联分析技术好高速信息流快速分析技术等防病毒技术（Anti-Virus）主要研究内容包括病毒的作用机理，特征，传播方式，破坏力，扫描和清楚等。,信息安全应用研究-安全技术,7,物理安全（Physical Security) 主要技术备份技术，安全加固技术，安全设计技术等网络安全（Network Secur

4、ity）主要研究内容安全隧道技术，网络协议脆弱性分析技术，安全路由技术和安全IP协议等系统安全（System Security) 主要研究内容安全操作系统的模型与实现，操作系统的安全加固、脆弱性分析，操作系统与其他开发平台的安全关系等,信息安全应用研究-平台安全（一）,8,数据安全（Application Security) 主要研究内容有安全数据库系统，数据存取安全策略和实现方式等用户安全（User Security）主要研究内容用户帐户管理、用户登录模式、用户权限管理和用户的角色管理等边界安全（System Security) 主要研究内容有安全边界防护协议和模型，不同安全策略的

5、连接关系问题、信息从高安全域流向低安全域的保密问题、安全边界的审计问题等。,信息安全应用研究-平台安全（二）,9,安全策略研究主要研究内容有安全风险的评估，安全代价的评估，安全机制的制定以及安全措施的实施和管理等安全标准研究主要研究内容有安全等级划分标准，安全技术操作标准，安全体系结构标准，安全产品测评标准和安全工程实施标准等安全测评研究主要研究内容有测评模型，测评方法，测评工具和测评规程等,信息安全管理研究,10,学习信息安全的准备工作,学习信息安全必备的基础：数学相关知识（数论，概率论，离散数学，组合数学）计算机网络基础操作系统的理论知识及各种系统的使用,了解常用操作系统（

6、Unix Linux Windows）至少一种编程语言(如C，C，汇编）。数据库的理论及常用数据库（Oracle,Db2,Sqlserver）。,11,考试,作业（20）考勤（20）笔试（60%）,12,教材信息安全学机械工业出版社周学广刘艺编著参考书 1网络安全技术与实践清华大学出版社刘建伟王育民 2 William Stallings，密码编码学与网络安全原理与实践（第三版），电子工业出版社，2004 3信息安全原理清华大学出版社 Michael E.Whitman 著徐焱译 4信息安全原理及应用清华大学出版社阙喜戎等编著,教材和参考书,13,第一章信息安全

7、概述第二章信息安全核心：密码技术第三章信息安全钥匙：密钥分配与管理技术第四章信息安全门户:访问控制与防火墙技术第五章信息安全检测：IDS 第六章信息安全应用软件第七章企业及个人信息安全第八章 web的安全性,本课程内容,14,第一章信息安全概述,1.1 信息的定义 1.2 信息安全的基本概念 1.3 信息安全的发展史 1.4 信息安全的发展态势 1.5 信息安全体系结构,15,1.1信息的定义,一、什么是信息？,两次不确定性之间的差异，是用以消除不确定性的东西。 -香农通信的数学理论人与外部时间互相交换的内容的名称。-维纳事物运动的状态与方式。 -钟义信,16,

8、1.1信息的定义,作者认为，所谓信息，就是客观世界中各种事物的变化和特征的最新反映，是客观事物之间联系的表征，也是客观事物状态经过传递后的再现。,17,1.1信息的定义,二、信息的性质和特征,普遍性和可识别性存储性和可处理性时效性和可共享性增值性和可开发性可控性和多效用性,18,1.2 信息安全基本概念,国家安全电信和信息系统安全委员会定义：信息安全是对信息、系统以及使用、存储和传输信息的硬件的保护。国家信息安全重点实验室给出的定义是：“信息安全涉及到信息的机密性、完整性、可用性、可控性。综合起来说，就是要保障电子信息的有效性。,一信息安全的定义,19,1.2 信息安全基本概念,英

9、国BS7799信息安全管理标准给出的定义：“信息安全是使信息避免一系列威胁，保障商务的连续性，最大限度地减少商务的损失，最大限度地获取投资和商务的回报，涉及的是机密性、完整性、可用性。” 国际标准化委员会给出的定义是：“为数据处理系统而采取的技术的和管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。”,20,一信息安全的定义,1、信息安全所涉及层面的角度：实体（物理）安全、运行安全、数据（信息）安全； 2、信息安全所涉及的安全属性的角度：机密性、完整性、可用性。,21,1.完整性(integrity) 2.可用性(availability)

10、3.保密性(confidentiality) 4.可控性(controllability) 5.可靠性(reliability) “信息安全”是指采用一切可能的办法和手段，来保证信息的上述“五性”。,二信息安全的属性,22,1 完整性(integrity),指信息在存储或传输过程中保持不被修改、不被破坏、不被插入、不延迟、不乱序和不丢失的特性。,23,2 可用性(availability),是指信息被合法用户访问并能按要求顺序使用的特性。,24,3保密性(confidentiality),是指信息不泄漏给非授权的个人和实体。,25,4 可控性(controllability),指授权机构可以

11、随时控制信息的机密性。如：密钥托管，密钥恢复等。,26,5 可靠性(reliability)性,指信息以用户认可的质量连续服务于用户的特性,27,1.3 信息安全发展史,20世纪60年代 20世纪70、80年代 20世纪90年代现在,28,20世纪60年代 60年代以前：物理安全 60年代：文档安全,1.3 信息安全发展史,29,1.3 信息安全发展史,20世纪70、80年代 1973年 Metcalfe指出ARPANET存在几个基本问题：远程用户、密码格式等。 Rand Report-609指出用户访问终端的地理分布，使得通过物理隔离已不能保障安全。 UNIX安全,30,1.3 信息安全

12、发展史,20世纪90年代及现在 Internet普及带来安全问题（APRANET基于信任）信息安全已危机到国家安全,31,1.4 信息安全的发展态势,计算机病毒在2002，2003两年中出现的三个最危险的互联网病毒对世界经济的影响估计约为132亿美元。在2002年，报告到 CERT (国家计算机网络应急技术处理协调中心) 的事件从2001年的52,658起剧增到82,094起。仅在2003第一季度内报告的事件就有42,586起。,32,资料,33,案例,34,1.4 信息安全的发展态势,黑客（hacker）白帽黑客（white hat hacker）黑帽黑客（black hat ha

13、cker）又叫骇客（cracker ）灰帽黑客（grey hat hacker）,35,1.4 信息安全的发展态势,系统存在安全漏洞 Windows Unix,36,1.4 信息安全的发展态势,信息战、信息对抗 91年海湾战争，美特工在安曼将伊拉克从德国进口的打印设备换上“可控计算机病毒”芯片，导致伊在战争初期计算机系统就处于瘫痪状态。,37,1.5 信息安全体系结构,1988年发布ISO7489作为OSI基本参考模型的补充 1989年12月发布ISO7498-2标准，首次确定了开放系统互连(OSI)参考模型的信息安全体系结构。国标：GB/T9387-2。 ISO7498-2包括五类安全服

14、务和八类安全机制。,38,OSI/RM,39,1.5.1 安全服务,安全服务是由参与通信的开放系统的某一层提供的服务，它确保该系统或数据传输具有足够的安全性。ISO7498-2确定了五大类安全服务，即鉴别、访问控制、数据保密性、数据完整性和不可否认。,40,1.5.1 安全服务,鉴别这种安全服务可鉴别参与通信的对等实体和数据源（1）对等实体鉴别这种安全服务由(N)层提供时，可向(N+1)实体证实对等实体是它需要的(N+1)实体。（2）数据源鉴别这种安全服务由(N)层提供时，可向(N+1)实体证实数据源正是它所需要的对等(N+1)实体。,41,2访问控制,这种安全服务提供保护，防止未经

15、授权用户访问受保护资源，这些资源可能是通过OSI协议可访问的OSI资源或非OSI资源。这种安全服务可用于对某个资源的各类访问(如通信资源的利用，信息资源的阅读、书写或删除，处理资源的执行)或用于对某个资源的所有访问。,42,数据保密性,这种安全服务提供保护，防止数据未经授权而泄露。（1）连接保密性这种安全服务向某个(N)连接的所有(N)用户数据提供保密性。（2）无连接保密性这种安全服务向单个无连接(N)安全数据单元(SDU)中的所有(N)用户数据提供保密性。（3）选择字段保密性这种安全服务向(N)连接上的(N)用户数据内或单个无连接(N)SDU中的被选择的一些字段提供保密性。（4

16、）业务流保密性,43,数据完整性,（1）带恢复的连接完整性这种安全服务向某个(N)连接上的所有(N)用户数据提供完整性保护，并且检测对某个完整的SDU序列内任何一个数据做出的任何窜改、插入、删除或重演(非法者在对数据进行了这些非法处理之后，试图恢复数据原貌)。（2）不带恢复的连接完整性与（1）相同，但没有试图恢复数据原貌。,44,（3）选择字段连接完整性向传输的某个(N)SDU的(N)用户数据字段提供完整性保护，并且确定这些字段是否经过窜改、插入、删除或重演。（4）无连接完整性这种安全服务由(N)层提供时，向提出请求的(N+1)实体提供完整性保证。这种服务可以对单个无连接SDU的完整

17、性提供保证，并且确定收到的SDU是否经过窜改，另外，可以对重演情况进行有限的检测。（5）选择字段无连接完整性这种安全服务对单个无连接SDU中被选择字段的完整性提供保证，并且确定被选择的字段是否经过窜改。,数据完整性,45,不可否认,（1）带数据源证明的不可否认向数据接收者提供数据来源的证明，制止发信者不真实地否认发送该数据或其内容的任何企图。（2）带递交证明的不可否认向数据发送者提供数据递交的证明，制止收信者不真实地否认接收该数据或其内容的任何事后的企图。,46,1.5.2 安全机制,和ISO7498-2确定了八大类安全机制，即加密、数据签名机制、访问控制机制、数据完整性机制、鉴别交换

18、机制、业务填充机制、路由控制机制、公证机制。,47,1加密,（1）保密性加密可向数据或业务流信息提供保密性，并且可以对下述其它安全机制起作用或对它们进行补充。（2）加密算法对称(即秘密密钥)加密非对称(即公开密钥)加密（3）密钥管理,48,2数字签名机制,这种安全机制决定两个过程：对数据单元签名；验证签过名的数据单元。第一个过程利用签名者私有的(即独有的和保密的)信息。第二个过程利用公之于众的信息，但通过它们不能推出签名者的私有信息。,49,（1）签名签名过程利用签名者的私有信息作秘密密钥，或对数据单元加密，或产生该数据单元的密码校验值。（2）验证验证过程是利用公开的信息

19、确定签名是否是利用该签名者的私有信息产生的。（3）特征只有秘密信息的唯一拥有者能够产生那个签名。,2数字签名机制,50,3访问控制机制,（1）确定访问权（2）访问控制机制可以建立在下列一个或多个手段之上（访问控制信息库p8）（3）访问控制机制可用在通信连接任何一端或用在中间任何位置,51,（1）数据完整性机制的两个方面（UNIT，FIELD）（2）有连接：编序形式(序号、时戳等) （3）无连接：保护形式（时戳）,4数据完整性机制,52,这种安全机制是通过信息交换确保实体身份的一种机制。（1）可用于鉴别交换的一些技术（鉴别，密码技术）（2）对等实体鉴别（3）确保安全（4）应用环

20、境,5鉴别交换机制,53,这是一种制造假的通信实例、产生欺骗性数据单元或数据单元中假数据的安全机制。该机制可用于提供各种等级的保护，防止业务分析。该机制只在业务填充受到保密性服务保护时才有效。,6业务填充机制,54,7路由控制机制,（1）路由选择路由既可动态选择，也可事先安排好，以便只利用物理上安全的子网、中继站或链路。（2）路由连接在检测到持续操作攻击时，端系统可望指示网络服务提供者通过不同的路由建立连接。（3）安全策略携带某些安全标签的数据可能被安全策略禁止通过某些子网、中继站或链路。连接的发起者(或无连接数据单元的发送者)可以指定寻由说明，请求回避特定的子网、链路或中继站 .,

21、55,关于在两个或多个实体间通信的数据的性能，如它的完整性、来源、时间和目的地等，可由公证机制保证。保证由第三方公证人提供，公证人得到通信实体的信任，并且掌握有按照某种可证实方式提供所需保证的必要的信息。每个通信场合都可以利用数字签名、加密和完整性机制适应公证人提供的服务。在用到这样一个公证机制时，数据便经由受保护的通信场合和公证人在通信实体之间传送。,8 公证机制,56,1.5.3 安全服务安全机制和OSI参考模型各层关系,一种安全服务可以通过某种安全机制单独提供，也可以通过多种安全机制联合提供；一种安全机制可用于提供一种或多种安全服务。ISO7498-2标准确定了上述安全服务和安全机制的

22、相互关系及OSI参考模型内部可以提供这些服务和机制的位置。,57,1.5.3 安全服务安全机制和OSI参考模型各层关系,58,1.5.3 安全服务安全机制和OSI参考模型各层关系,59,信息安全主要研究领域,（16）电子邮件安全技术（17）反垃圾邮件技术（18）入侵渗透技术（19）攻击躲避技术（20）安全协议（21）密钥交换协议（22）用户认证协议（23）公平交换技术（24）匿名/隐私通信技术（25）电子选举协议（26）安全多方计算（27）零知识证明技术（28）秘密共享协议（29）数字现金协议（30）电子商务安全（拍卖、交易）,（01）DDoS防治技术（02）蠕虫病毒防治技术（03）入侵检测技术（04）计算机取证技术（05）访问控制技术（06）木马及防治技术（07）密钥管理技术（08）安全审计技术（09）间谍软件检测与防治技术（10）网络钓鱼检测与防治技术（11）入侵响应技术（12）IP源回溯技术（13）系统容灾保护技术（14）数据库安全技术（15）WEB安全技术,60,思考题,什么是信息安全信息安全的基本属性信息安全的研究领域,

展开阅读全文