信息安全技術(shù)導(dǎo)論cha(2)

1、信息安全技術(shù)導(dǎo)論本課所需前序課程 本書是計算機、通信及信息管理等專業(yè)高年級本科生和研究生教材，需要學(xué)習(xí)的前序課程是高等數(shù)學(xué)、近世代數(shù)、計算機網(wǎng)絡(luò)和操作系統(tǒng)。這些課程與本課的關(guān)系如下圖所示。教學(xué)參考書 張煥國等譯密碼編碼學(xué)與網(wǎng)絡(luò)安全：原理與實踐（第三版）,電子工業(yè)出版社，2001，4馮登國，網(wǎng)絡(luò)安全原理與技術(shù)，科學(xué)出版社，2003，9王立斌、黃征等譯,計算機安全學(xué)安全的藝術(shù)與科學(xué),電子工業(yè)出版社，2006，1第一章 網(wǎng)絡(luò)安全緒論 1信息安全現(xiàn)狀安全威脅安全策略安全技術(shù)安全標準網(wǎng)絡(luò)信息安全發(fā)展趨勢展望計算機與網(wǎng)絡(luò)技術(shù)的發(fā)展歷程用戶規(guī)模主要應(yīng)用成熟期大型機小科學(xué)計算1960年代10年小型機/WAN1

2、970年代小7年部門內(nèi)部PC / LAN1980年代中5年企業(yè)之間Client / Server1990年代大4年商家之間IntranetInternet2000年代商家與消費者之間服務(wù)為本 全球無所不在3年ExtranetInternetInternet 用戶數(shù)百萬Internet商業(yè)應(yīng)用快速增長億美元網(wǎng)絡(luò)安全問題日益突出混合型威脅 (Red Code, Nimda)拒絕服務(wù)攻擊(Yahoo!, eBay)發(fā)送大量郵件的病毒(Love Letter/Melissa)多變形病毒(Tequila)特洛伊木馬病毒網(wǎng)絡(luò)入侵70,00060,00050,00040,00030,00020,00010,

3、000已知威脅的數(shù)量典型應(yīng)用環(huán)境的完全威脅與安全需求應(yīng)用環(huán)境安全威脅安全需求所有網(wǎng)絡(luò)假冒攻擊阻止外部入侵銀行完整性破壞假冒攻擊，服務(wù)否認竊聽攻擊避免欺詐或交易的意外修改識別零售的交易顧客保護個人識別號確保顧客秘密電子交易假冒攻擊，完整性破壞竊聽攻擊服務(wù)否認確保交易的起源和完整性保護共同秘密為交易提供合法的電子簽名政府假冒攻擊，侵權(quán)攻擊，竊聽，完整性破壞服務(wù)否認避免敏感信息未授權(quán)泄漏或修改政府文件提供電子簽名公共電信載體假冒攻擊，授權(quán)侵犯拒絕服務(wù)竊聽攻擊對授權(quán)的個人限制訪問管理功能避免服務(wù)中斷保護用戶秘密互聯(lián)/專用網(wǎng)絡(luò)竊聽攻擊假冒攻擊，完整性破壞保護團體/個人的秘密確保消息的真實性第一章 網(wǎng)絡(luò)安

4、全緒論 2信息安全現(xiàn)狀安全威脅安全策略安全技術(shù)安全標準網(wǎng)絡(luò)信息安全發(fā)展趨勢展望常見的安全威脅網(wǎng)絡(luò)內(nèi)部、外部洩密拒絕服務(wù)攻擊特洛伊木馬黑客攻擊病毒，蠕蟲系統(tǒng)漏洞潛信道第一章 網(wǎng)絡(luò)安全緒論 3信息安全現(xiàn)狀安全威脅安全策略安全技術(shù)安全標準網(wǎng)絡(luò)信息安全發(fā)展趨勢展望安全策略安全策略是針對網(wǎng)絡(luò)和信息系統(tǒng)的安全需要，所做出允許什么、禁止什么的規(guī)定，通?？梢允褂脭?shù)學(xué)方式來表達策略，將其表示為允許（安全）或不允許（不安全）的狀態(tài)列表。安全策略分類物理安全策略 訪問控制策略 信息加密策略 安全管理策略 第一章 網(wǎng)絡(luò)安全緒論 4信息安全現(xiàn)狀安全威脅安全策略安全技術(shù)安全標準網(wǎng)絡(luò)信息安全發(fā)展趨勢展望訪問控制技術(shù)包括入網(wǎng)

5、訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級安全控制和屬性安全控制等多種手段。訪問控制技術(shù)防火墻技術(shù)網(wǎng)絡(luò)入侵檢測技術(shù)漏洞掃描技術(shù) 安全審計技術(shù) 現(xiàn)代密碼技術(shù)安全協(xié)議 公鑰基礎(chǔ)設(shè)施（PKI） 其他安全技術(shù) ，如容災(zāi)、備份第一章 網(wǎng)絡(luò)安全緒論 5信息安全現(xiàn)狀安全威脅安全策略安全技術(shù)安全標準網(wǎng)絡(luò)信息安全發(fā)展趨勢展望國際標準組織國際標準化組織（ISOInternational Organization Standardization）國際電報和電話咨詢委員會(CCITT) 國際信息處理聯(lián)合會第十一技術(shù)委員會（IFIP TC11） 電氣與電子工程師學(xué)會（IEEE） Internet體系結(jié)構(gòu)委員會（IAB） 美國國家標

6、準局(NBS)與美國商業(yè)部國家技術(shù)標準研究所(NIST)美國國家標準協(xié)會(ANSI) 美國國防部(DoD)及國家計算機安全中心(NCSC)國際可信任計算機評估標準20世紀70年代，美國國防部制定“可信計算機系統(tǒng)安全評價準則”（TCSEC)，為安全信息系統(tǒng)體系結(jié)構(gòu)最早準則（只考慮保密性）；20世紀90年代，英、法、德、荷提出包括保密性、完整性、可用性概念的“信息技術(shù)安全評價準則”（ITSEC)，但未給出綜合解決以上問題的理論模型和方案；近年，六國（美、加、英、法、德、荷）共同提出“信息技術(shù)安全評價通用準則”（CC for ITSEC)。TCSEC安全級別類別級別名稱主要特征DD低級保護沒有安全保

7、護CC1自主安全保護自主存儲控制C2受控存儲控制單獨的可查性，安全標識BB1標識的安全保護強制存取控制，安全標識B2結(jié)構(gòu)化保護面向安全的體系結(jié)構(gòu)，較好的抗?jié)B透能力B3安全區(qū)域存取控制，高抗?jié)B透能力AA驗證設(shè)計形式化的最高級描述和驗證我國可信任計算機評估標準第一級 用戶自主保護級：使用戶具備自主安全保護的能力，保護用戶信息免受非法的讀寫破壞；第二級 系統(tǒng)審計保護級：除前一個級別的安全功能外，要求創(chuàng)建維護訪問的審計跟蹤記錄，使所有用戶對自己的行為合法性負責(zé)；第三級 安全標記保護級：除前一個級別的安全功能外，要求以訪問對象標記的安全級別限制訪問者的訪問權(quán)限，實現(xiàn)對訪問對象強制保護；第四級 結(jié)構(gòu)化保護

8、級：除前一個級別的安全功能外，將安全保護機制劃分為關(guān)鍵部分和非關(guān)鍵部分，對關(guān)鍵部分直接控制訪問者對訪問對象的存取，從而加強系統(tǒng)的抗?jié)B透能力；第五級 訪問驗證保護級：特別增設(shè)了訪問驗證功能，負責(zé)仲裁訪問者對訪問對象的所有訪問活動；OSI模型定義的安全服務(wù)第一章 網(wǎng)絡(luò)安全緒論 6信息安全現(xiàn)狀安全威脅安全策略安全技術(shù)安全標準網(wǎng)絡(luò)信息安全發(fā)展趨勢展望我國網(wǎng)絡(luò)安全研究現(xiàn)狀我國信息化建設(shè)基礎(chǔ)設(shè)備依靠國外引進，信息安全防護能力只是處于相對安全階段，無法做到自主性安全防護和有效監(jiān)控（核心芯片、系統(tǒng)內(nèi)核程序源碼、大型應(yīng)用系統(tǒng)）；信息安全學(xué)科的基礎(chǔ)性研究工作信息安全評估方法學(xué)的研究尚處于跟蹤學(xué)習(xí)研究階段；國內(nèi)開發(fā)

9、研制的一些防火墻、安全路由器、安全網(wǎng)關(guān)、“黑客”入侵檢測、系統(tǒng)弱點掃描軟件等在完善性、規(guī)范性、實用性方面還存許多不足，特別是在多平臺的兼容性、多協(xié)議的適應(yīng)性、多接口的滿足性方面存在很大差距；我國網(wǎng)絡(luò)安全研究現(xiàn)狀制定了國家、行業(yè)信息安全管理的政策、法律、法規(guī)；按照國家通用準則建立了代表國家對信息安全產(chǎn)品、信息技術(shù)和信息系統(tǒng)安全性以及信息安全服務(wù)實施公正性評測的技術(shù)職能機構(gòu)中國國家信息安全測評認證中心和行業(yè)中心；建立了支撐網(wǎng)絡(luò)信息安全研究的國家重點實驗室和部門實驗室，各種學(xué)術(shù)會議相繼召開，已出版許多專著、論文，在有關(guān)高等院校已建立了向關(guān)系所、開設(shè)了相關(guān)課程，并開始培養(yǎng)自己的碩士、博士研究生；附、常

10、見的網(wǎng)絡(luò)安全協(xié)議PKCS(Public-key Cryptography Standards)由美國RSA數(shù)據(jù)安全公司RSA實驗室在apple，Microsoft，DEC，Lotus，Sun，和MIT等機構(gòu)非正式的咨詢合作下開發(fā)的有關(guān)公開密鑰密碼的標準。SSL(Secure Socket Layer Handshake Protocol)SSL協(xié)議是Netscape公司開發(fā)的用于WWW上的會話層安全協(xié)議，它保護傳遞于用戶瀏覽器和Web服務(wù)器之間的敏感數(shù)據(jù)，通過超文本傳輸協(xié)議(HTTP)或安全的超文本協(xié)議(S-HTTP)把密碼應(yīng)用于超文本環(huán)境中，從而提供多種安全服務(wù)。附、常見的網(wǎng)絡(luò)安全協(xié)議S-H

11、TTP(Secure Hypertext Transfer Protocol)S-HTTP是Enterprise Integration Technologies最初開發(fā),進一步開發(fā)于Terisa系統(tǒng)的安全協(xié)議。它基于WWW，提供保密、鑒別或認證、完整性和不可否認等服務(wù)，保證在Web上交換的媒體文本的安全。PTC(Private Communication Technology Protocol) PTC是Microsoft和Visa開發(fā)的在Internet上保密通信的協(xié)議，與SSL類似。其不同點是在客戶和服務(wù)器之間包含了幾個短的報文數(shù)據(jù)，鑒別和加密使用不同的密鑰，并且提供了某種防火墻的功能。

12、附、常見的網(wǎng)絡(luò)安全協(xié)議SWAN(Secure Wide Area Network)S/WAN設(shè)計基于IP層的安全協(xié)議，可以在IP層提供加密，保證防火墻和TCPIP產(chǎn)品的互操作，以便構(gòu)作虛擬專網(wǎng)(VPN)。 SET(secure Electronic Transaction)SET是Visa，MasterCard合作開發(fā)的用于開放網(wǎng)絡(luò)進行電子支付的安全協(xié)議，用于保護商店和銀行之間的支付信息。SMIME(SecureMultipurpose Internet Mail Extension)S/MIME是用于多目的的電子郵件安全的報文安全協(xié)議，和報文安全協(xié)議(MSP)、郵件隱私增強協(xié)議(PEM)、MIME對象安全服務(wù)協(xié)議(MOSS)及PGP協(xié)議的目的一樣