信息與網絡安全培訓課件

信息與網絡安全

InformationandNetworkSecurity沈玉龍楊超信息與網絡安全

InformationandNetwor你會想到什么？你會想到什么？全球范圍內正在發(fā)生的攻擊全球范圍內正在發(fā)生的攻擊全球范圍內正在發(fā)生的攻擊互聯(lián)網安全公司賽門鐵克2012年9月5日發(fā)布報告在2011年7月至2012年7月間，網絡攻擊給全球帶來1110億美元的損失全球有5.56億成年網民親身經歷過網絡攻擊，占到了所有成年網民數量的46%全球范圍內正在發(fā)生的攻擊互聯(lián)網安全公司賽門鐵克2012年9月攻擊為什么會發(fā)生？（一）攻擊為什么會發(fā)生？（一）攻擊為什么會發(fā)生？（二）攻擊為什么會發(fā)生？（二）攻擊為什么會發(fā)生？（三）攻擊為什么會發(fā)生？（三）攻擊為什么會發(fā)生？（四）攻擊為什么會發(fā)生？（四）攻擊為什么會發(fā)生？（五）

網絡信息系統(tǒng)內部人員威拒絕服務攻擊邏輯炸彈特洛伊木馬黑客攻擊計算機病毒信息泄漏、篡改、破壞后門、隱蔽通道蠕蟲天災系統(tǒng)Bug攻擊為什么會發(fā)生？（五）網絡信息系統(tǒng)內部人員威拒絕服務攻擊誰在入侵我們的網絡？黑客（Hacker）入侵者（Cracker）現(xiàn)在hacker和Cracker已經混為一談，人們通常將入侵計算機系統(tǒng)的人統(tǒng)稱為黑客。誰在入侵我們的網絡？黑客（Hacker）不得不提的凱文·米特尼克（KevinDavidMitnick）1964年出生。3歲父母離異，性格內向、沉默寡言,4歲玩游戲達到專家水平。13歲喜歡無線電，開始與世界各地愛好者聯(lián)絡。編寫的電腦程序簡潔實用，傾倒教師。15歲闖入“北美空中防務指揮系統(tǒng)”主機，翻閱了美國所有的核彈頭資料，令人難以置信。不久破譯了美國“太平洋電話公司”某地的用戶密碼，隨意更改用戶的電話號碼。被電腦信息跟蹤機發(fā)現(xiàn)，第一次被逮捕。不得不提的凱文·米特尼克（KevinDavidMitni不得不提的凱文·米特尼克（KevinDavidMitnick）出獄后，又連續(xù)非法修改多家公司電腦的財務帳單。1988年再次入獄，被判一年徒刑。1994年向圣地亞哥超級計算機中心發(fā)動攻擊，該中心安全專家決心將其捉拿歸案。期間還入侵了美國摩托羅拉、NOVELL、SUN公司及芬蘭NOKIA公司的電腦系統(tǒng)，盜走各種程序和數據，價值4億美金。最后，被“電子隱形化”技術跟蹤，從無線電話中找到了他的行跡。不得不提的凱文·米特尼克（KevinDavidMitniYouwillbethenextKevinDavidMitnick!?Youwillbethenext網絡與信息安全知識體系網絡與信息安全知識體系網絡與信息安全知識體系網絡與信息安全知識體系安全目標機密性完整性真實性不可否認可用性安全目標機密性完整性真實性不可否認可用性ITU-X.800給出的安全相關屬性的定義:機密性（Confidentiality）：Preventunauthoriseddisclosureofinformation.完整性（Integrity）：Assurancethatdatareceivedareexactlyassentbyanauthorizedsender.可用性（Availability）：servicesshouldbeaccessiblewhenneededandwithoutdelay.真實性（Authentication）：assurancethatthecommunicatingentityistheoneitclaimstobe.不可抵賴性（Non-Repudiation）：protectionagainstdenialbyoneofthepartiesinacommunication.ITU-X.800給出的安全相關屬性的定義:機密性（Conf網絡與信息安全應達到的效果進不來

拿不走

看不懂

改不了

跑不了

網絡與信息安全應達到的效果進不來拿不走網絡與信息安全知識體系網絡與信息安全知識體系網絡與信息安全知識體系網絡與信息安全知識體系密碼理論為了保證通信網絡能正常、安全地運行，要求系統(tǒng)能夠對信息實施有效保護，對合法用戶進行認證并能準確地鑒別出非法用戶，這些都需要借助于密碼學的力量。密碼學就是研究密碼技術的學科，它包含兩個分支，即密碼編碼學和密碼分析學。前者旨在對信息進行編碼實現(xiàn)信息隱蔽，后者旨在研究分析破譯密碼，兩者相互對立而又相互促進。密碼理論為了保證通信網絡能正常、安全地運行，要求系統(tǒng)能夠對信信息加解密傳輸或存儲信息明文已加密密文秘密密鑰密碼算法密碼分析者進行破譯分析信息加解密傳輸或存儲信息明文已加密密文秘密密鑰密碼算法密碼分信息與網絡安全培訓課件信息加解密信息加密：對稱密鑰體制加密密碼算法解密密碼算法信息明文解密信息明文秘密密鑰秘密密鑰公開信道秘密信道密文密文信息加解密信息加密：對稱密鑰體制加密密碼算法解密密碼算法信息信息加解密信息加密：非對稱密鑰體制（采用公鑰）加密密碼算法解密密碼算法信息明文解密信息明文秘密密鑰公開信道密文密文公開密鑰秘密密鑰公開密鑰1、加密密鑰和加密算法、解密算法是公開的，只有解密密鑰是保密的2、利用計算復雜度的原理信息加解密信息加密：非對稱密鑰體制（采用公鑰）加密密碼算法解消息摘要摘要？摘要MIC摘要MIC摘要摘要摘要消息摘要摘要？摘要MIC摘要MIC摘要摘要摘要數字簽名機制傳統(tǒng)簽名的基本特點: 能與被簽的文件在物理上不可分割 簽名者不能否認自己的簽名 簽名不能被偽造 容易被驗證數字簽名是傳統(tǒng)簽名的數字化，基本要求: 能與所簽文件“綁定” 簽名者不能否認自己的簽名 簽名不能被偽造 容易被自動驗證數字簽名機制傳統(tǒng)簽名的基本特點:數字簽名機制數字簽名機制決定于兩個過程：簽名過程簽名過程是利用簽名者的私有信息作為秘密鑰，或對數據單元進行加密或產生該數據單元的密碼校驗值；驗證過程驗證過程是利用公開的規(guī)程和信息來確定簽名是否是利用該簽名者的私有信息產生的。數字簽名機制數字簽名機制決定于兩個過程：密鑰管理對密鑰的產生、存儲、傳遞和定期更換進行有效控制，對增加網絡的安全性和抗攻擊性非常重要。

密鑰存儲在設計機或磁盤里，借助于網絡、磁盤以郵件方式傳遞。傳遞前須先將密鑰加密處理，接收方收到后再對其進行解密處理。

傳統(tǒng)的密鑰管理系統(tǒng)密鑰管理對密鑰的產生、存儲、傳遞和定期更換進行有效控制，對增網絡與信息安全知識體系網絡與信息安全知識體系網絡與信息安全知識體系網絡與信息安全知識體系身份認證（一）當用戶試圖訪問資源的時候，系統(tǒng)確定用戶的身份是否真實的過程。認證的重要性是訪問控制執(zhí)行的前提；是判斷用戶是否有權訪問信息的先決條件；為日后追究責任提供不可抵賴的證據。身份認證（一）當用戶試圖訪問資源的時候，系統(tǒng)確定用戶的身份是身份認證（二）根據5種信息進行認證用戶所知道的用戶所擁有的用戶本身的特征根據特定地點（時間）通過信任第三方身份認證（二）根據5種信息進行認證身份認證（三）身份認證（三）訪問控制機制訪問控制的目的是防止對信息資源的非授權訪問和非授權使用信息資源用來實施對資源訪問或操作加以限制的策略保證網絡資源不被非法使用和訪問在身份認證之后發(fā)起者訪問控制執(zhí)行功能AEF目標訪問控制決策功能ADF提交訪問請求執(zhí)行訪問請求決策請求決策結果主體客體訪問控制機制訪問控制的目的是防止對信息資源的非授權訪問和非授安全協(xié)議（一）建立在密碼體制基礎上的一種高互通協(xié)議它運行在計算機通信網或分布式系統(tǒng)中，為安全需求的各方提供一系列保障借助于密碼算法來達到密鑰分配、身份認證、信息保密以及安全地完成電子交易等目的安全協(xié)議（一）建立在密碼體制基礎上的一種高互通協(xié)議網絡攻擊被動攻擊竊聽或者偷窺流量分析被動攻擊非常難以檢測，但可以防范源目的sniffer網絡攻擊被動攻擊被動攻擊非常難以檢測，但可以防范源目的sni網絡攻擊主動攻擊可以檢測，但難以防范主動攻擊：指攻擊者對某個連接的中的PDU進行各種處理(更改、刪除、遲延、復制、偽造等)阻斷攻擊篡改攻擊偽造攻擊重放攻擊拒絕服務攻擊網絡攻擊主動攻擊可以檢測，但難以防范主動攻擊：指攻擊者對某個安全協(xié)議（二）安全協(xié)議常見類型密鑰交換協(xié)議認證協(xié)議認證和密鑰交換協(xié)議電子商務協(xié)議安全協(xié)議（二）安全協(xié)議常見類型安全協(xié)議（三）密鑰交換協(xié)議完成會話密鑰的建立，與認證協(xié)議結合使用。認證協(xié)議實體(身份)認證、消息認證、數據源認證作用：防止假冒、篡改、否認等攻擊認證密鑰交換協(xié)議先對通信實體的身份認證在成功認證的基礎上，為下一步的安全通信分配所使用的密鑰。實例：互聯(lián)網密鑰交換協(xié)議(IKE)電子商務協(xié)議以公平性為基礎，保證交易雙方都不能通過損害對方利益而得到它不應得到的利益。安全協(xié)議（三）密鑰交換協(xié)議審計追蹤記錄用戶在系統(tǒng)中所有活動的過程，也記錄攻擊者試圖攻擊系統(tǒng)的有關活動，這是防止內外攻擊者的攻擊、提高系統(tǒng)安全性的重要工具它不僅能識別誰訪問了系統(tǒng)，還能指示系統(tǒng)正被怎樣的使用（或受到攻擊）審計追蹤記錄用戶在系統(tǒng)中所有活動的過程，也記錄攻擊者試圖攻擊網絡與信息安全知識體系網絡與信息安全知識體系網絡與信息安全知識體系網絡與信息安全知識體系計算機病毒病毒是一種特殊的計算機程序，會進行一些惡意的破壞活動，使用戶的網絡或信息系統(tǒng)遭受浩劫病毒是一種基于硬件和操作系統(tǒng)的程序，任何一種病毒都是針對某種處理器和操作系統(tǒng)編寫的計算機病毒特點破壞性傳染性隱藏性可激活性針對性。病毒的主要傳播途徑：網絡、U盤、硬盤和光盤計算機病毒病毒是一種特殊的計算機程序，會進行一些惡意的破壞活計算機病毒——類型系統(tǒng)引導型病毒指寄生在磁盤引導區(qū)或主引導區(qū)的計算機病毒文件型病毒文件型病毒的宿主不是引導區(qū)而是一些可執(zhí)行程序宏病毒WindowsWord宏病毒是利用Word提供的宏功能，將病毒程序插入到帶有宏的.doc文件或.dot文件中計算機病毒——類型系統(tǒng)引導型病毒計算機病毒——類型混合型病毒混合型病毒指同時具有多種類型病毒特征的計算機病毒，它的破壞性更大，傳染的機會也更多，滅殺也更困難。網絡蠕蟲病毒蠕蟲病毒是一種通過網絡傳播的惡性病毒，具有自己的一些特征，如不利用文件寄生（有的只存在于內存中），使服務器拒絕服務合法用戶以及和黑客技術相結合等。木馬病毒是一種偽裝潛伏的網絡病毒，它通過一段特定的程序（木馬程序）來控制遠程計算機。計算機病毒——類型混合型病毒計算機病毒——防護國內外的殺毒軟件360殺毒軟件瑞星殺毒軟件江民殺毒軟件KV金山毒霸NortonAntiVirus……計算機病毒——防護國內外的殺毒軟件計算機病毒——防護查毒引擎是一個沒有畫面，沒有包裝的核心程序，它被放在殺毒軟件所安裝的目錄之下有了病毒特征碼，有了查毒引擎，再配合一個精美的操作畫面，就組成了殺毒軟件病毒掃描技術已知病毒掃描特征碼掃描技術廣譜特征掃描技術未知病毒掃描虛擬機技術計算機病毒——防護查毒引擎是一個沒有畫面，沒有包裝的核心程序拒絕服務攻擊DoSDoS（DenialofService）拒絕服務攻擊，是通過大量虛假訪問耗盡被攻擊對象的資源，讓目標計算機或網絡無法提供正常的服務或資源訪問，使目標系統(tǒng)服務系統(tǒng)停止響應甚至崩潰。DDoS（DistributedDenialofService）分布式拒絕服務攻擊，是指黑客利用并控制已經侵入的主機進行協(xié)同DoS攻擊，比一般的DoS攻擊更自動化、更隱蔽且更難防范。拒絕服務攻擊DoSDoS（DenialofServiceDoS攻擊Dos

DoS攻擊DosDDoS攻擊DDos—DistributeDos

DDoS攻擊DDos—DistributeDos防火墻——基本概念傳統(tǒng)的防火墻概念概念：防火墻被設計用來防止火從大廈的一部分傳播到另一部分防火墻——基本概念傳統(tǒng)的防火墻概念概念：防火墻被設計用來防止防火墻——基本概念防火墻----Firewall防火墻是位于兩個或多個網絡之間，執(zhí)行訪問控制策略的一個或一組系統(tǒng)，是一類防范措施的總稱。外部網絡（通常是Internet）被認為是不安全和不可信賴的內部網絡被認為是安全和可信賴的防火墻一般安放在被保護網絡的邊界

防火墻外部網絡內部網絡防火墻——基本概念防火墻----Firewall防火墻是位兩個安全域之間通信流的唯一通道安全域1HostAHostB安全域2HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根據訪問控制規(guī)則決定進出網絡的行為一種高級訪問控制設備，置于不同網絡安全域之間的一系列部件的組合，它是不同網絡安全域間通信流的唯一通道，能根據企業(yè)有關的安全政策控制（允許、拒絕、監(jiān)視、記錄）進出網絡的訪問行為。防火墻——基本概念兩個安全域之間通信流的唯一通道安全域1HostAHost入侵檢測系統(tǒng)入侵檢測系統(tǒng)（IDS，IntrusionDetectionSystem）是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未經授權的訪問和其他異?，F(xiàn)象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監(jiān)測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。入侵檢測系統(tǒng)入侵檢測系統(tǒng)（IDS，IntrusionDet入侵檢測系統(tǒng)入侵檢測系統(tǒng)的功能是發(fā)現(xiàn)可能存在的安全攻擊。入侵檢測系統(tǒng)的工作流程信息收集數據分析響應入侵檢測系統(tǒng)入侵檢測系統(tǒng)的功能是發(fā)現(xiàn)可能存在的安全攻擊。入侵檢測系統(tǒng)檢測方法基于攻擊特征行為：根據入侵行為的特征建立入侵行為模型，若當前行為過程與某個入侵行為特征一致，判定入侵發(fā)生。適合檢測已知攻擊誤用檢測：建立正常網絡活動的特征模型，若當前行為過程與正常模型不符，判定入侵發(fā)生。適合檢測未知攻擊入侵檢測方法的評估檢測率誤報率入侵檢測系統(tǒng)檢測方法防火墻入侵檢測系統(tǒng)聯(lián)動防火墻入侵檢測系統(tǒng)聯(lián)動網絡與信息安全知識體系網絡與信息安全知識體系網絡與信息安全知識體系網絡與信息安全知識體系平臺安全物理安全（Physicalsecurity）網絡安全（Networksecurity）:Securitychanneltechnique,Networkprotocol,vulnerabilityanalysis,Securityroutertechnique,SecureIP系統(tǒng)安全（SystemSecurity）:SecureOSmodel,OSvulnerabilityanalysis,RelationshipbetweenOSandotherdevelopmentplatform數據安全（DataSecurity）:SecureDBMS,securitypolicyofdataaccess用戶安全（UserSecurity）:Useraccountmanagement,Userloginpattern,Useraccessauthoritymanagement,Userrolemanagement邊界安全（BoundaryProtection）:Secureboundaryprotectionprotocol&model,Auditofsecureboundary平臺安全物理安全（Physicalsecurity）凱文十條經驗與大家分享備份資料。記住你的系統(tǒng)永遠不會是無懈可擊的，災難性的數據損失會發(fā)生在你身上——只需一條蠕蟲或一只木馬就已足夠。選擇很難猜的密碼。不要沒有腦子地填上幾個與你有關的數字，在任何情況下，都要及時修改默認密碼。安裝殺毒軟件，并讓它每天更新升級。及時更新操作系統(tǒng)，時刻留意軟件制造商發(fā)布的各種補丁，并及時安裝應用。不用電腦時候千萬別忘了斷開網線和電源。在IE或其它瀏覽器中會出現(xiàn)一些黑客釣魚，對此要保持清醒，拒絕點擊，同時將電子郵件客戶端的自動腳本功能關閉。在發(fā)送敏感郵件時使用加密軟件，也可用加密軟件保護你的硬盤上的數據。安裝一個或幾個反間諜程序，并且要經常運行檢查。使用個人防火墻并正確設置它，阻止其它計算機、網絡和網址與你的計算機建立連接，指定哪些程序可以自動連接到網絡。關閉所有你不使用的系統(tǒng)服務，特別是那些可以讓別人遠程控制你的計算機的服務，如RemoteDesktop、RealVNC和NetBIOS等。保證無線連接的安全。在家里，可以使用無線保護接入WPA和至少20個字符的密碼。正確設置你的筆記本電腦，不要加入任何網絡，除非它使用WPA。要想在一個充滿敵意的因特網世界里保護自己，的確是一件不容易的事。你要時刻想著，在地球另一端的某個角落里，一個或一些毫無道德的人正在刺探你的系統(tǒng)漏洞，并利用它們竊取你最敏感的秘密。希望你不會成為這些網絡入侵者的下一個犧牲品凱文十條經驗與大家分享備份資料。記住你的系統(tǒng)永遠不會是無懈可THEEND?NO!!!THEEND?NO!!!距離凱文還差一點?。?！距離凱文還差一點！??！專業(yè)知識體系總體結構信息科學基礎信息安全基礎信息系統(tǒng)基礎密碼信息隱藏網絡安全應用安全專業(yè)知識體系總體結構信息科學基礎信息安全基礎信息系統(tǒng)基礎密碼信息科學基礎知識：離散數學數據結構程序設計語言操作系統(tǒng)計算機網絡數據庫管理系統(tǒng)通信系統(tǒng)軟件工程專業(yè)知識體系信息科學基礎知識：專業(yè)知識體系信息安全基礎知識：信息安全導論信息安全數學基礎信息安全法律基礎信息安全管理基礎密碼管理，網絡管理，設備管理，人員管理，等級保護系統(tǒng)風險，技術風險，管理風險，應急響應信息安全產品評測，信息安全產品認證專業(yè)知識體系信息安全基礎知識：專業(yè)知識體系信息系統(tǒng)安全基礎知識：計算機設備安全：計算機設備的物理安全：場地安全，災害防護，電磁防護計算機存儲設備安全：糾錯，備份，恢復計算機輸入輸出設備安全：輸入輸出保護，輸入輸出加密嵌入式系統(tǒng)：智能卡，USB-Key，PDA操作系統(tǒng)安全:身份認證：基于口令的身份認證，基于usb-key的身份認證，基于生理特征的身份認證訪問控制：自主訪問控制，強制訪問控制進程安全保護：進程隔離，進程監(jiān)管存儲器保護：存儲器隔離，存儲器保護文件保護：文件備份、恢復、加密審計：日志采集，分析專業(yè)知識體系信息系統(tǒng)安全基礎知識：專業(yè)知識體系數據庫系統(tǒng)安全：數據庫的訪問控制與授權數據庫加密數據庫安全審計常用數據庫安全審計分析惡意軟件惡意軟件機理病毒和蠕蟲防火墻技術包過濾NAT應用層代理服務器專業(yè)知識體系數據庫系統(tǒng)安全：專業(yè)知識體系入侵檢測系統(tǒng)：入侵檢測入侵防護誤用檢測異常檢測入侵檢測系統(tǒng)的配置和應用VPN隧道協(xié)議：PPTP/L2TP/IPsecVPN的配置和應用專業(yè)知識體系入侵檢測系統(tǒng)：專業(yè)知識體系安全掃描安全掃描與開放服務端口掃描技術半連接全連接密碼探測掃描技術SMTP/POP3HTTPFTPOS漏洞掃描技術操作系統(tǒng)掃描Web服務掃描主流掃描工具配置與應用專業(yè)知識體系安全掃描專業(yè)知識體系Web安全Web安全的概念網頁防篡改技術Web訪問安全Web內容安全電子商務安全電子商務概念電子貨幣與支付電子商務安全體系SSL協(xié)議SET協(xié)議專業(yè)知識體系Web安全專業(yè)知識體系信息隱藏隱寫術概念隱寫方法數字水印原理數字水印算法數字水印檢測Internet版權與水印專業(yè)知識體系信息隱藏專業(yè)知識體系Q&ATHEENDQ&ATHEEND演講完畢，謝謝觀看！演講完畢，謝謝觀看！信息與網絡安全

InformationandNetworkSecurity沈玉龍楊超信息與網絡安全

InformationandNetwor你會想到什么？你會想到什么？全球范圍內正在發(fā)生的攻擊全球范圍內正在發(fā)生的攻擊全球范圍內正在發(fā)生的攻擊互聯(lián)網安全公司賽門鐵克2012年9月5日發(fā)布報告在2011年7月至2012年7月間，網絡攻擊給全球帶來1110億美元的損失全球有5.56億成年網民親身經歷過網絡攻擊，占到了所有成年網民數量的46%全球范圍內正在發(fā)生的攻擊互聯(lián)網安全公司賽門鐵克2012年9月攻擊為什么會發(fā)生？（一）攻擊為什么會發(fā)生？（一）攻擊為什么會發(fā)生？（二）攻擊為什么會發(fā)生？（二）攻擊為什么會發(fā)生？（三）攻擊為什么會發(fā)生？（三）攻擊為什么會發(fā)生？（四）攻擊為什么會發(fā)生？（四）攻擊為什么會發(fā)生？（五）

網絡信息系統(tǒng)內部人員威拒絕服務攻擊邏輯炸彈特洛伊木馬黑客攻擊計算機病毒信息泄漏、篡改、破壞后門、隱蔽通道蠕蟲天災系統(tǒng)Bug攻擊為什么會發(fā)生？（五）網絡信息系統(tǒng)內部人員威拒絕服務攻擊誰在入侵我們的網絡？黑客（Hacker）入侵者（Cracker）現(xiàn)在hacker和Cracker已經混為一談，人們通常將入侵計算機系統(tǒng)的人統(tǒng)稱為黑客。誰在入侵我們的網絡？黑客（Hacker）不得不提的凱文·米特尼克（KevinDavidMitnick）1964年出生。3歲父母離異，性格內向、沉默寡言,4歲玩游戲達到專家水平。13歲喜歡無線電，開始與世界各地愛好者聯(lián)絡。編寫的電腦程序簡潔實用，傾倒教師。15歲闖入“北美空中防務指揮系統(tǒng)”主機，翻閱了美國所有的核彈頭資料，令人難以置信。不久破譯了美國“太平洋電話公司”某地的用戶密碼，隨意更改用戶的電話號碼。被電腦信息跟蹤機發(fā)現(xiàn)，第一次被逮捕。不得不提的凱文·米特尼克（KevinDavidMitni不得不提的凱文·米特尼克（KevinDavidMitnick）出獄后，又連續(xù)非法修改多家公司電腦的財務帳單。1988年再次入獄，被判一年徒刑。1994年向圣地亞哥超級計算機中心發(fā)動攻擊，該中心安全專家決心將其捉拿歸案。期間還入侵了美國摩托羅拉、NOVELL、SUN公司及芬蘭NOKIA公司的電腦系統(tǒng)，盜走各種程序和數據，價值4億美金。最后，被“電子隱形化”技術跟蹤，從無線電話中找到了他的行跡。不得不提的凱文·米特尼克（KevinDavidMitniYouwillbethenextKevinDavidMitnick!?Youwillbethenext網絡與信息安全知識體系網絡與信息安全知識體系網絡與信息安全知識體系網絡與信息安全知識體系安全目標機密性完整性真實性不可否認可用性安全目標機密性完整性真實性不可否認可用性ITU-X.800給出的安全相關屬性的定義:機密性（Confidentiality）：Preventunauthoriseddisclosureofinformation.完整性（Integrity）：Assurancethatdatareceivedareexactlyassentbyanauthorizedsender.可用性（Availability）：servicesshouldbeaccessiblewhenneededandwithoutdelay.真實性（Authentication）：assurancethatthecommunicatingentityistheoneitclaimstobe.不可抵賴性（Non-Repudiation）：protectionagainstdenialbyoneofthepartiesinacommunication.ITU-X.800給出的安全相關屬性的定義:機密性（Conf網絡與信息安全應達到的效果進不來

拿不走

看不懂

改不了

跑不了

網絡與信息安全應達到的效果進不來拿不走網絡與信息安全知識體系網絡與信息安全知識體系網絡與信息安全知識體系網絡與信息安全知識體系密碼理論為了保證通信網絡能正常、安全地運行，要求系統(tǒng)能夠對信息實施有效保護，對合法用戶進行認證并能準確地鑒別出非法用戶，這些都需要借助于密碼學的力量。密碼學就是研究密碼技術的學科，它包含兩個分支，即密碼編碼學和密碼分析學。前者旨在對信息進行編碼實現(xiàn)信息隱蔽，后者旨在研究分析破譯密碼，兩者相互對立而又相互促進。密碼理論為了保證通信網絡能正常、安全地運行，要求系統(tǒng)能夠對信信息加解密傳輸或存儲信息明文已加密密文秘密密鑰密碼算法密碼分析者進行破譯分析信息加解密傳輸或存儲信息明文已加密密文秘密密鑰密碼算法密碼分信息與網絡安全培訓課件信息加解密信息加密：對稱密鑰體制加密密碼算法解密密碼算法信息明文解密信息明文秘密密鑰秘密密鑰公開信道秘密信道密文密文信息加解密信息加密：對稱密鑰體制加密密碼算法解密密碼算法信息信息加解密信息加密：非對稱密鑰體制（采用公鑰）加密密碼算法解密密碼算法信息明文解密信息明文秘密密鑰公開信道密文密文公開密鑰秘密密鑰公開密鑰1、加密密鑰和加密算法、解密算法是公開的，只有解密密鑰是保密的2、利用計算復雜度的原理信息加解密信息加密：非對稱密鑰體制（采用公鑰）加密密碼算法解消息摘要摘要？摘要MIC摘要MIC摘要摘要摘要消息摘要摘要？摘要MIC摘要MIC摘要摘要摘要數字簽名機制傳統(tǒng)簽名的基本特點: 能與被簽的文件在物理上不可分割 簽名者不能否認自己的簽名 簽名不能被偽造 容易被驗證數字簽名是傳統(tǒng)簽名的數字化，基本要求: 能與所簽文件“綁定” 簽名者不能否認自己的簽名 簽名不能被偽造 容易被自動驗證數字簽名機制傳統(tǒng)簽名的基本特點:數字簽名機制數字簽名機制決定于兩個過程：簽名過程簽名過程是利用簽名者的私有信息作為秘密鑰，或對數據單元進行加密或產生該數據單元的密碼校驗值；驗證過程驗證過程是利用公開的規(guī)程和信息來確定簽名是否是利用該簽名者的私有信息產生的。數字簽名機制數字簽名機制決定于兩個過程：密鑰管理對密鑰的產生、存儲、傳遞和定期更換進行有效控制，對增加網絡的安全性和抗攻擊性非常重要。

密鑰存儲在設計機或磁盤里，借助于網絡、磁盤以郵件方式傳遞。傳遞前須先將密鑰加密處理，接收方收到后再對其進行解密處理。

傳統(tǒng)的密鑰管理系統(tǒng)密鑰管理對密鑰的產生、存儲、傳遞和定期更換進行有效控制，對增網絡與信息安全知識體系網絡與信息安全知識體系網絡與信息安全知識體系網絡與信息安全知識體系身份認證（一）當用戶試圖訪問資源的時候，系統(tǒng)確定用戶的身份是否真實的過程。認證的重要性是訪問控制執(zhí)行的前提；是判斷用戶是否有權訪問信息的先決條件；為日后追究責任提供不可抵賴的證據。身份認證（一）當用戶試圖訪問資源的時候，系統(tǒng)確定用戶的身份是身份認證（二）根據5種信息進行認證用戶所知道的用戶所擁有的用戶本身的特征根據特定地點（時間）通過信任第三方身份認證（二）根據5種信息進行認證身份認證（三）身份認證（三）訪問控制機制訪問控制的目的是防止對信息資源的非授權訪問和非授權使用信息資源用來實施對資源訪問或操作加以限制的策略保證網絡資源不被非法使用和訪問在身份認證之后發(fā)起者訪問控制執(zhí)行功能AEF目標訪問控制決策功能ADF提交訪問請求執(zhí)行訪問請求決策請求決策結果主體客體訪問控制機制訪問控制的目的是防止對信息資源的非授權訪問和非授安全協(xié)議（一）建立在密碼體制基礎上的一種高互通協(xié)議它運行在計算機通信網或分布式系統(tǒng)中，為安全需求的各方提供一系列保障借助于密碼算法來達到密鑰分配、身份認證、信息保密以及安全地完成電子交易等目的安全協(xié)議（一）建立在密碼體制基礎上的一種高互通協(xié)議網絡攻擊被動攻擊竊聽或者偷窺流量分析被動攻擊非常難以檢測，但可以防范源目的sniffer網絡攻擊被動攻擊被動攻擊非常難以檢測，但可以防范源目的sni網絡攻擊主動攻擊可以檢測，但難以防范主動攻擊：指攻擊者對某個連接的中的PDU進行各種處理(更改、刪除、遲延、復制、偽造等)阻斷攻擊篡改攻擊偽造攻擊重放攻擊拒絕服務攻擊網絡攻擊主動攻擊可以檢測，但難以防范主動攻擊：指攻擊者對某個安全協(xié)議（二）安全協(xié)議常見類型密鑰交換協(xié)議認證協(xié)議認證和密鑰交換協(xié)議電子商務協(xié)議安全協(xié)議（二）安全協(xié)議常見類型安全協(xié)議（三）密鑰交換協(xié)議完成會話密鑰的建立，與認證協(xié)議結合使用。認證協(xié)議實體(身份)認證、消息認證、數據源認證作用：防止假冒、篡改、否認等攻擊認證密鑰交換協(xié)議先對通信實體的身份認證在成功認證的基礎上，為下一步的安全通信分配所使用的密鑰。實例：互聯(lián)網密鑰交換協(xié)議(IKE)電子商務協(xié)議以公平性為基礎，保證交易雙方都不能通過損害對方利益而得到它不應得到的利益。安全協(xié)議（三）密鑰交換協(xié)議審計追蹤記錄用戶在系統(tǒng)中所有活動的過程，也記錄攻擊者試圖攻擊系統(tǒng)的有關活動，這是防止內外攻擊者的攻擊、提高系統(tǒng)安全性的重要工具它不僅能識別誰訪問了系統(tǒng)，還能指示系統(tǒng)正被怎樣的使用（或受到攻擊）審計追蹤記錄用戶在系統(tǒng)中所有活動的過程，也記錄攻擊者試圖攻擊網絡與信息安全知識體系網絡與信息安全知識體系網絡與信息安全知識體系網絡與信息安全知識體系計算機病毒病毒是一種特殊的計算機程序，會進行一些惡意的破壞活動，使用戶的網絡或信息系統(tǒng)遭受浩劫病毒是一種基于硬件和操作系統(tǒng)的程序，任何一種病毒都是針對某種處理器和操作系統(tǒng)編寫的計算機病毒特點破壞性傳染性隱藏性可激活性針對性。病毒的主要傳播途徑：網絡、U盤、硬盤和光盤計算機病毒病毒是一種特殊的計算機程序，會進行一些惡意的破壞活計算機病毒——類型系統(tǒng)引導型病毒指寄生在磁盤引導區(qū)或主引導區(qū)的計算機病毒文件型病毒文件型病毒的宿主不是引導區(qū)而是一些可執(zhí)行程序宏病毒WindowsWord宏病毒是利用Word提供的宏功能，將病毒程序插入到帶有宏的.doc文件或.dot文件中計算機病毒——類型系統(tǒng)引導型病毒計算機病毒——類型混合型病毒混合型病毒指同時具有多種類型病毒特征的計算機病毒，它的破壞性更大，傳染的機會也更多，滅殺也更困難。網絡蠕蟲病毒蠕蟲病毒是一種通過網絡傳播的惡性病毒，具有自己的一些特征，如不利用文件寄生（有的只存在于內存中），使服務器拒絕服務合法用戶以及和黑客技術相結合等。木馬病毒是一種偽裝潛伏的網絡病毒，它通過一段特定的程序（木馬程序）來控制遠程計算機。計算機病毒——類型混合型病毒計算機病毒——防護國內外的殺毒軟件360殺毒軟件瑞星殺毒軟件江民殺毒軟件KV金山毒霸NortonAntiVirus……計算機病毒——防護國內外的殺毒軟件計算機病毒——防護查毒引擎是一個沒有畫面，沒有包裝的核心程序，它被放在殺毒軟件所安裝的目錄之下有了病毒特征碼，有了查毒引擎，再配合一個精美的操作畫面，就組成了殺毒軟件病毒掃描技術已知病毒掃描特征碼掃描技術廣譜特征掃描技術未知病毒掃描虛擬機技術計算機病毒——防護查毒引擎是一個沒有畫面，沒有包裝的核心程序拒絕服務攻擊DoSDoS（DenialofService）拒絕服務攻擊，是通過大量虛假訪問耗盡被攻擊對象的資源，讓目標計算機或網絡無法提供正常的服務或資源訪問，使目標系統(tǒng)服務系統(tǒng)停止響應甚至崩潰。DDoS（DistributedDenialofService）分布式拒絕服務攻擊，是指黑客利用并控制已經侵入的主機進行協(xié)同DoS攻擊，比一般的DoS攻擊更自動化、更隱蔽且更難防范。拒絕服務攻擊DoSDoS（DenialofServiceDoS攻擊Dos

DoS攻擊DosDDoS攻擊DDos—DistributeDos

DDoS攻擊DDos—DistributeDos防火墻——基本概念傳統(tǒng)的防火墻概念概念：防火墻被設計用來防止火從大廈的一部分傳播到另一部分防火墻——基本概念傳統(tǒng)的防火墻概念概念：防火墻被設計用來防止防火墻——基本概念防火墻----Firewall防火墻是位于兩個或多個網絡之間，執(zhí)行訪問控制策略的一個或一組系統(tǒng)，是一類防范措施的總稱。外部網絡（通常是Internet）被認為是不安全和不可信賴的內部網絡被認為是安全和可信賴的防火墻一般安放在被保護網絡的邊界

防火墻外部網絡內部網絡防火墻——基本概念防火墻----Firewall防火墻是位兩個安全域之間通信流的唯一通道安全域1HostAHostB安全域2HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根據訪問控制規(guī)則決定進出網絡的行為一種高級訪問控制設備，置于不同網絡安全域之間的一系列部件的組合，它是不同網絡安全域間通信流的唯一通道，能根據企業(yè)有關的安全政策控制（允許、拒絕、監(jiān)視、記錄）進出網絡的訪問行為。防火墻——基本概念兩個安全域之間通信流的唯一通道安全域1HostAHost入侵檢測系統(tǒng)入侵檢測系統(tǒng)（IDS，IntrusionDetectionSystem）是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未經授權的訪問和其他異常現(xiàn)象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監(jiān)測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。入侵檢測系統(tǒng)入侵檢測系統(tǒng)（IDS，IntrusionDet入侵檢測系統(tǒng)入侵檢測系統(tǒng)的功能是發(fā)現(xiàn)可能存在的安全攻擊。入侵檢測系統(tǒng)的工作流程信息收集數據分析響應入侵檢測系統(tǒng)入侵檢測系統(tǒng)的功能是發(fā)現(xiàn)可能存在的安全攻擊。入侵檢測系統(tǒng)檢測方法基于攻擊特征行為：根據入侵行為的特征建立入侵行為模型，若當前行為過程與某個入侵行為特征一致，判定入侵發(fā)生。適合檢測已知攻擊誤用檢測：建立正常網絡活動的特征模型，若當前行為過程與正常模型不符，判定入侵發(fā)生。適合檢測未知攻擊入侵檢測方法的評估檢測率誤報率入侵檢測系統(tǒng)檢測方法防火墻入侵檢測系統(tǒng)聯(lián)動防火墻入侵檢測系統(tǒng)聯(lián)動網絡與信息安全知識體系網絡與信息安全知識體系網絡與信息安全知識體系網絡與信息安全知識體系平臺安全物理安全（Physicalsecurity）網絡安全（Networksecurity）:Securitychanneltechnique,Networkprotocol,vulnerabilityanalysis,Securityroutertechnique,SecureIP系統(tǒng)安全（SystemSecurity）:SecureOSmodel,OSvulnerabilityanalysis,RelationshipbetweenOSandotherdevelopmentplatform數據安全（DataSecurity）:SecureDBMS,securitypolicyofdataaccess用戶安全（UserSecurity）:Useraccountmanagement,Userloginpattern,Useraccessauthoritymanagement,Userrolemanagement邊界安全（BoundaryProtection）:Secureboundaryprotectionprotocol&model,Auditofsecureboundary平臺安全物理安全（Physicalsecurity）凱文十條經驗與大家分享備份資料。記住你的系統(tǒng)永遠不會是無懈可擊的，災難性的數據損失會發(fā)生