網(wǎng)絡(luò)安全與實(shí)踐一引言

信息安全原理及應(yīng)用網(wǎng)絡(luò)安全—技術(shù)與實(shí)踐（第2版）本課程前言課程重點(diǎn)：密碼學(xué)、入侵檢測(cè)、防火墻、VPN、無線網(wǎng)絡(luò)安全。課程目標(biāo)：本課程為本專業(yè)必修課程，是培養(yǎng)信息安全或計(jì)算機(jī)本科人才的重要課程之一。本課程系統(tǒng)介紹有關(guān)計(jì)算機(jī)安全（主要是網(wǎng)絡(luò)安全）各方面的問題,涉及密碼學(xué)、程序與軟件、操作系統(tǒng)、數(shù)據(jù)庫以及網(wǎng)絡(luò)的安全、安全管理與實(shí)施、信息安全中法律問題、道德隱私問題等。通過對(duì)課程的學(xué)習(xí)和實(shí)驗(yàn),達(dá)到計(jì)算機(jī)安全方面認(rèn)知的廣度和深度,了解當(dāng)今計(jì)算機(jī)安全方面的熱點(diǎn),為將來從事安全相關(guān)領(lǐng)域的科學(xué)研究或者工作培養(yǎng)興趣,做好準(zhǔn)備。第1章引言教學(xué)內(nèi)容:隨著因特網(wǎng)技術(shù)的發(fā)展和應(yīng)用的普及,信息全球化已經(jīng)成為一種趨勢(shì)。隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展和網(wǎng)絡(luò)的普及,黑客的攻擊技術(shù)和手段不斷提高,作為全球信息基礎(chǔ)設(shè)施的關(guān)鍵部分的因特網(wǎng),它的開放性、復(fù)雜性、無界性、脆弱性,使之成為某些或出于政治目的或受經(jīng)濟(jì)利益驅(qū)動(dòng)的個(gè)人、群體、組織、乃至國(guó)家攻擊的重要目標(biāo),對(duì)本來就十分脆弱的系統(tǒng)提出了巨大的挑戰(zhàn)。網(wǎng)絡(luò)安全已經(jīng)涉及到人們的生產(chǎn)、生活以及國(guó)民經(jīng)濟(jì)的各個(gè)領(lǐng)域,成為信息化建設(shè)的一個(gè)突出問題。教學(xué)目標(biāo):了解和掌握計(jì)算機(jī)網(wǎng)絡(luò)安全相關(guān)的概念和研究?jī)?nèi)容。第1章引言網(wǎng)絡(luò)安全需求二三

四引言一五網(wǎng)絡(luò)攻擊的常見形式六開放式系統(tǒng)互聯(lián)安全體系結(jié)構(gòu)七安全攻擊的分類安全威脅與防護(hù)措施網(wǎng)絡(luò)安全策略引言一第1章網(wǎng)絡(luò)安全基礎(chǔ)網(wǎng)絡(luò)安全需求二三

四引言一五網(wǎng)絡(luò)攻擊的常見形式六開放式系統(tǒng)互聯(lián)安全體系結(jié)構(gòu)七安全攻擊的分類安全威脅與防護(hù)措施網(wǎng)絡(luò)安全策略引言一1.1

引言信息安全的兩次重大變革計(jì)算機(jī)的發(fā)明計(jì)算機(jī)網(wǎng)絡(luò)及分布式系統(tǒng)的出現(xiàn)1.1引言網(wǎng)絡(luò)安全的重要性Hotspot，是指在公共場(chǎng)所提供無線局域網(wǎng)（WLAN）接入Internet服務(wù)的地點(diǎn)。這類地點(diǎn)多數(shù)是咖啡館、機(jī)場(chǎng)、車站、商務(wù)酒店、高等院校、大型展覽會(huì)館等。這些熱點(diǎn)有的是收費(fèi)的提供無線寬帶接入服務(wù)，有的則是免費(fèi)的。在無線熱點(diǎn)覆蓋的地區(qū)，用戶可以通過使用裝有內(nèi)置或外置無線網(wǎng)卡的筆記本電腦、PDA和手機(jī)，來實(shí)現(xiàn)對(duì)Internet的接入。案例1：無線熱點(diǎn)用一臺(tái)能上互聯(lián)網(wǎng)的筆記本電腦就可以創(chuàng)建無線熱點(diǎn)。案例1：無線熱點(diǎn)只要一臺(tái)WIN7系統(tǒng)電腦、一套無線網(wǎng)絡(luò)及一個(gè)網(wǎng)絡(luò)包分析軟件，設(shè)置一個(gè)無線熱點(diǎn)AP，就能輕松搭建出一個(gè)WIFI（無線網(wǎng)絡(luò)），不設(shè)密碼。用戶很難察覺黑客搭建的偽造WIFI（無線網(wǎng)絡(luò)）的真假。一旦連入，黑客15分鐘就可以竊取手機(jī)上網(wǎng)用戶的個(gè)人信息和密碼問題：為什么利用無線熱點(diǎn)能夠竊取用戶的信息？案例1：無線熱點(diǎn)棱鏡計(jì)劃（PRISM）是一項(xiàng)由美國(guó)國(guó)家安全局（NSA）自2007年小布什時(shí)期起開始實(shí)施的絕密電子監(jiān)聽計(jì)劃。美國(guó)情報(bào)機(jī)構(gòu)一直在九家美國(guó)互聯(lián)網(wǎng)公司中進(jìn)行數(shù)據(jù)挖掘工作，從音頻、視頻、圖片、郵件、文檔以及連接信息中分析個(gè)人的聯(lián)系方式與行動(dòng)。監(jiān)控的類型有10類：信息電郵、即時(shí)消息、視頻、照片、存儲(chǔ)數(shù)據(jù)、語音聊天、文件傳輸、視頻會(huì)議、登錄時(shí)間、社交網(wǎng)絡(luò)資料的細(xì)節(jié)。案例2：棱鏡門愛德華.斯諾登由于世界主要技術(shù)公司的總部都在美國(guó)，那些參與互聯(lián)世界、使用谷歌或者SKYPE的人士的隱私都可能被棱鏡項(xiàng)目所侵犯。美國(guó)政府可能接觸到世界的大部分?jǐn)?shù)據(jù)。”斯諾登稱，他是出于對(duì)隱私權(quán)的擔(dān)心才采取報(bào)料行為的。他對(duì)英國(guó)衛(wèi)報(bào)稱：“我不想生活在一個(gè)做那些事情的社會(huì)里，我不想生活在一言一行都被記錄的世界里。涉及到的公司有微軟、谷歌、蘋果、雅虎等九大網(wǎng)絡(luò)公司的服務(wù)器。案例2：棱鏡門通過棱鏡門反映了什么問題？美國(guó)政府能看到什么？數(shù)據(jù)保護(hù)法律有沒有？我們是否遭到了監(jiān)視？住在哪個(gè)國(guó)家有區(qū)別嗎？使用互聯(lián)網(wǎng)意味著什么？中國(guó)需要反思什么問題？抓住新一輪信息技術(shù)革命的機(jī)遇，全面籌劃構(gòu)筑牢固的網(wǎng)絡(luò)防線。案例2：棱鏡門2013年6月23日，中國(guó)最大的電商企業(yè)阿里巴巴發(fā)出內(nèi)部郵件，要求所有員工只能使用阿里自己的通訊產(chǎn)品進(jìn)行業(yè)務(wù)交流和資料傳輸。雖然郵件全文并未提及不得使用的第三方IM和SNS的名稱，但事實(shí)上，以騰訊QQ占有率而言，其實(shí)等同于宣布不再對(duì)騰訊QQ信任。

阿里集團(tuán)首席風(fēng)險(xiǎn)官邵曉峰曾從事刑警工作20年，曾任職杭州重案隊(duì)長(zhǎng)、刑偵專家等，在安全方面有著一線經(jīng)驗(yàn)。棱鏡門后續(xù)事件信息安全的基本目標(biāo)基本目標(biāo)保密性完整性合法使用可用性第1章網(wǎng)絡(luò)安全基礎(chǔ)網(wǎng)絡(luò)安全需求二三

四引言一五網(wǎng)絡(luò)攻擊的常見形式六開放式系統(tǒng)互聯(lián)安全體系結(jié)構(gòu)七安全攻擊的分類安全威脅與防護(hù)措施網(wǎng)絡(luò)安全策略計(jì)算機(jī)病毒層出不窮1.2網(wǎng)絡(luò)安全需求——網(wǎng)絡(luò)安全發(fā)展態(tài)勢(shì)1.2網(wǎng)絡(luò)安全需求——網(wǎng)絡(luò)安全發(fā)展態(tài)勢(shì)1.2網(wǎng)絡(luò)安全需求——網(wǎng)絡(luò)安全發(fā)展態(tài)勢(shì)案例3：震網(wǎng)病毒震網(wǎng)病毒，于2010年發(fā)現(xiàn)，伊朗遭到的攻擊最為嚴(yán)重，“震網(wǎng)”計(jì)算機(jī)病毒令德黑蘭的核計(jì)劃拖后了兩年。這個(gè)惡意軟件2010年一再以伊朗核設(shè)施為目標(biāo)，通過滲透進(jìn)windows操作系統(tǒng)，并對(duì)其進(jìn)行重新編程而造成破壞。這種病毒可能是新時(shí)期電子戰(zhàn)爭(zhēng)中的一種武器。震網(wǎng)病毒，截止2011年，感染了全球超過45000個(gè)網(wǎng)絡(luò)，60%的個(gè)人電腦感染了這種病毒。有人懷疑這種病毒是美國(guó)和以色列研發(fā)的。計(jì)算機(jī)病毒層出不窮黑客攻勢(shì)逐年攀升1.2

網(wǎng)絡(luò)安全需求——網(wǎng)絡(luò)安全發(fā)展態(tài)勢(shì)1.2網(wǎng)絡(luò)安全需求——網(wǎng)絡(luò)安全發(fā)展態(tài)勢(shì)案例4：百度網(wǎng)站遭到攻擊2010年元月百度網(wǎng)站遭到攻擊，用戶打開時(shí)出現(xiàn)如下的界面，百度網(wǎng)站癱瘓近4個(gè)小時(shí)，此次攻擊黑客利用了DNS記錄篡改的方式。這是自百度建立以來，所遭遇的持續(xù)時(shí)間最長(zhǎng)、影響最嚴(yán)重的黑客攻擊。發(fā)生此次攻擊的根本原因，在于目前互聯(lián)網(wǎng)域名的DNS管理服務(wù)器安全性未受到應(yīng)有的重視。目前絕大多數(shù)域名都存在類似安全風(fēng)險(xiǎn)，使得DNS存在很多安全隱患。在本次事件中，黑客繞開了百度本身的安全保護(hù)，而攻擊了DNS管理服務(wù)器，導(dǎo)致了此次攻擊的嚴(yán)重后果。計(jì)算機(jī)病毒層出不窮黑客攻勢(shì)逐年攀升1.2網(wǎng)絡(luò)安全需求——網(wǎng)絡(luò)安全發(fā)展態(tài)勢(shì)系統(tǒng)存在安全漏洞案例5：“史上最高齡”漏洞

“長(zhǎng)老”漏洞（18年）2010年11月360公司發(fā)現(xiàn)，2011年2月9日微軟公告MS11-011最早出現(xiàn)在1992年的WindowsNT中，并影響到其后的所有Windows版本。輔助木馬病毒可以獲得電腦的最高權(quán)限，從而輕而易舉地破壞殺毒軟件、防火墻、還原系統(tǒng)、沙箱等各類安全軟件第22頁計(jì)算機(jī)病毒層出不窮黑客攻勢(shì)逐年攀升1.2

網(wǎng)絡(luò)安全需求——網(wǎng)絡(luò)安全發(fā)展態(tài)勢(shì)系統(tǒng)存在安全漏洞各國(guó)軍方加緊信息戰(zhàn)研究案例6：信息戰(zhàn)網(wǎng)絡(luò)已經(jīng)成為陸地、海洋、天空和太空之外的第五戰(zhàn)場(chǎng)，成為新形勢(shì)下維護(hù)國(guó)家安全的重要領(lǐng)域之一。關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施已成為網(wǎng)絡(luò)武器攻擊的主要目標(biāo)，并可能引發(fā)極為嚴(yán)重的災(zāi)難性后果。斯諾登事件暴露出少數(shù)國(guó)家利用掌握的互聯(lián)網(wǎng)基礎(chǔ)資源和信息技術(shù)優(yōu)勢(shì)，大規(guī)模實(shí)施網(wǎng)絡(luò)監(jiān)控，大量竊取政治、經(jīng)濟(jì)、軍事秘密以及企業(yè)、個(gè)人敏感數(shù)據(jù)。要真正保障信息安全，除了國(guó)家出臺(tái)相關(guān)戰(zhàn)略和政策，加強(qiáng)頂層設(shè)計(jì)，更需要廠商、用戶、機(jī)構(gòu)組織等多方努力。因此，建立一個(gè)適合國(guó)情的信息安全生態(tài)圈，顯得尤為重要。第24頁信息安全的研究需求1.2網(wǎng)絡(luò)安全需求

根據(jù)多級(jí)安全模型，信息密級(jí)由低到高劃分為秘密級(jí)、機(jī)密級(jí)、絕密級(jí)；

敏感非機(jī)密信息也應(yīng)進(jìn)行加密保護(hù)；敏感信息對(duì)安全的需求：網(wǎng)絡(luò)應(yīng)用對(duì)安全的需求：

Internet發(fā)展速度迅猛，存在著巨大的發(fā)展空間和潛力；

網(wǎng)絡(luò)安全是互聯(lián)網(wǎng)發(fā)展中需要解決的一個(gè)重要問題；第1章網(wǎng)絡(luò)安全基礎(chǔ)網(wǎng)絡(luò)安全需求二三

四引言一五網(wǎng)絡(luò)攻擊的常見形式六開放式系統(tǒng)互聯(lián)安全體系結(jié)構(gòu)七安全攻擊的分類安全威脅與防護(hù)措施網(wǎng)絡(luò)安全策略1.3安全威脅與防護(hù)措施

某個(gè)人、物、事件或概念對(duì)某一資源的保密性、完整性、可用性或合法使用所造成的危險(xiǎn)。安全威脅防護(hù)措施：

保護(hù)資源免受威脅的一些物理的控制、機(jī)制、策略和過程。風(fēng)險(xiǎn)：

對(duì)某個(gè)已知的、可能引發(fā)某種成功攻擊的脆弱性的代價(jià)的測(cè)度。1.3安全威脅與防護(hù)措施2.主要的可實(shí)現(xiàn)威脅

1.基本威脅

3.潛在威脅1.3安全威脅與防護(hù)措施——基本威脅信息泄漏1完整性破壞2拒絕服務(wù)3非法使用41.3安全威脅與防護(hù)措施——主要可實(shí)現(xiàn)威脅滲入威脅植入威脅假冒旁路控制授權(quán)侵犯特洛伊木馬陷門1.3

安全威脅與防護(hù)措施——潛在威脅基本威脅潛在威脅在某個(gè)特定環(huán)境中，對(duì)基本威脅和可實(shí)現(xiàn)威脅分析可發(fā)現(xiàn)其潛在威脅。竊聽Eavesdropping流量分析Trafficanalysis操作人員不慎導(dǎo)致信息泄漏媒體廢棄物導(dǎo)致信息泄漏信息泄漏1.3安全威脅與防護(hù)措施——典型威脅及其相互關(guān)系竊聽流量分析電磁/射頻截獲人員疏忽媒體廢棄物滲入假冒旁路控制授權(quán)侵犯物理侵入植入特洛依木馬陷門服務(wù)欺騙信息泄漏完整性侵害拒絕服務(wù)非法使用竊取1.3

安全威脅與防護(hù)措施——防護(hù)措施2.人員安全1.物理安全6.生命周期控制4.媒體安全5.輻射安全3.管理安全第1章網(wǎng)絡(luò)安全基礎(chǔ)網(wǎng)絡(luò)安全需求二三

四引言一五網(wǎng)絡(luò)攻擊的常見形式六開放式系統(tǒng)互聯(lián)安全體系結(jié)構(gòu)七安全攻擊的分類安全威脅與防護(hù)措施網(wǎng)絡(luò)安全策略

安全策略：某個(gè)安全域內(nèi)，施加給所有與安全相關(guān)活動(dòng)的一套規(guī)則。安全域：屬于某個(gè)組織機(jī)構(gòu)的一系列處理進(jìn)程和通信資源1.4

網(wǎng)絡(luò)安全策略金融行業(yè)的應(yīng)用安全策略目標(biāo)機(jī)構(gòu)安全策略系統(tǒng)安全策略1.4

網(wǎng)絡(luò)安全策略——授權(quán)

授權(quán)：是指主體（用戶、終端、程序等）對(duì)客體（數(shù)據(jù)、程序等）的支配權(quán)利，它等于規(guī)定了誰可以對(duì)什么做些什么（Whomaydowhattowhat）。1.4

網(wǎng)絡(luò)安全策略——訪問控制策略強(qiáng)制性訪問策略自主性訪問策略多等級(jí)策略基于身份的策略基于任務(wù)的策略所有安全策略的一個(gè)潛在基本原則：責(zé)任第1章網(wǎng)絡(luò)安全基礎(chǔ)網(wǎng)絡(luò)安全需求二三

四引言一五網(wǎng)絡(luò)攻擊的常見形式六開放式系統(tǒng)互聯(lián)安全體系結(jié)構(gòu)七安全攻擊的分類安全威脅與防護(hù)措施網(wǎng)絡(luò)安全策略1.5安全攻擊的分類源站截獲目的站源站中斷目的站源站篡改目的站源站偽造目的站被動(dòng)攻擊主動(dòng)攻擊信息泄漏流量分析偽裝攻擊（ImpersonationAttack）重放攻擊（ReplayAttack）消息篡改（MessageModification）拒絕服務(wù)（DenialofService）被動(dòng)攻擊主動(dòng)攻擊第1章網(wǎng)絡(luò)安全基礎(chǔ)網(wǎng)絡(luò)安全需求二三

四引言一五網(wǎng)絡(luò)攻擊的常見形式六開放式系統(tǒng)互聯(lián)安全體系結(jié)構(gòu)七安全攻擊的分類安全威脅與防護(hù)措施網(wǎng)絡(luò)安全策略1.6

網(wǎng)絡(luò)攻擊的常見形式

5.協(xié)議缺陷

1.口令竊取

6.信息泄漏

8.拒絕服務(wù)攻擊

7.指數(shù)攻擊

2.欺騙攻擊

4.認(rèn)證失效

3.缺陷和后門攻擊網(wǎng)絡(luò)攻擊1.6網(wǎng)絡(luò)攻擊的常見形式—口令竊取抵御口令猜測(cè)攻擊方式口令猜測(cè)攻擊的三種基本方式利用已知或假定的口令嘗試登錄根據(jù)竊取的口令文件進(jìn)行猜測(cè)竊聽某次合法終端之間的會(huì)話，并記錄所使用的口令阻止選擇低級(jí)口令對(duì)口令文件嚴(yán)格保護(hù)徹底解決口令機(jī)制的弊端使用基于令牌的機(jī)制，例如一次性口令方案（OTP-One-Timepassword）1.6

網(wǎng)絡(luò)攻擊的常見形式—欺騙攻擊1.6

網(wǎng)絡(luò)攻擊的常見形式—缺陷和后門攻擊緩沖器溢出（堆棧粉碎）攻擊網(wǎng)絡(luò)蠕蟲傳播方式之一是向守護(hù)程序發(fā)送新的代碼蠕蟲向“讀”緩沖區(qū)內(nèi)注入大量的數(shù)據(jù)一種擾亂程序的攻擊方法通過改進(jìn)設(shè)計(jì)或者避免在堆棧上執(zhí)行代碼消除此缺陷缺陷指程序中某些代碼不能滿足特定需求采取相應(yīng)的步驟，降低缺陷發(fā)生的可能性1.6

網(wǎng)絡(luò)攻擊的常見形式—認(rèn)證失效

認(rèn)證機(jī)制的失效易導(dǎo)致服務(wù)器被攻擊者欺騙。被破壞的主機(jī)不會(huì)進(jìn)行安全加密，因此對(duì)源主機(jī)采用密碼認(rèn)證的方式無用。通過修改認(rèn)證方案消除其缺陷，完全可以挫敗這種類型的攻擊。1.6

網(wǎng)絡(luò)攻擊的常見形式—協(xié)議缺陷安全殼（SSH）協(xié)議易遭受協(xié)議本身的缺陷導(dǎo)致攻擊的發(fā)生攻擊者可以對(duì)TCP發(fā)起序列號(hào)攻擊DNS和許多基于RPC的協(xié)議易遭到序列號(hào)攻擊通過改進(jìn)設(shè)計(jì)或者避免在堆棧上執(zhí)行代碼消除此缺陷802.11無線數(shù)據(jù)通信標(biāo)準(zhǔn)中的WEP協(xié)議也存在缺陷1.6

網(wǎng)絡(luò)攻擊的常見形式—信息泄漏DNS有豐富的數(shù)據(jù)來源，易被黑客利用協(xié)議丟失的信息易被攻擊者利用，攻擊者借助這些信息攻破系統(tǒng)Finger協(xié)議口令猜測(cè)，欺騙攻擊等1.6

網(wǎng)絡(luò)攻擊的常見形式—指數(shù)攻擊指數(shù)攻擊能夠使用程序快速復(fù)制并傳播攻擊蠕蟲（Worms）：程序自行傳播病毒：依附于其他程序傳播1.6

網(wǎng)絡(luò)攻擊的常見形式—拒絕服務(wù)攻擊拒絕服務(wù)攻擊分布式拒絕服務(wù)攻擊過度使用服務(wù)，使軟件、硬件過度運(yùn)行，使網(wǎng)絡(luò)連接超出其容量造成關(guān)機(jī)或系統(tǒng)癱瘓，或者降低服務(wù)質(zhì)量使用很多Internet主機(jī)同時(shí)向某個(gè)目標(biāo)發(fā)起攻擊1.7

開放系統(tǒng)互聯(lián)安全體系結(jié)構(gòu)2.安全機(jī)制1.安全服務(wù)1.7

開放系統(tǒng)互聯(lián)安全體系結(jié)構(gòu)-安全服務(wù)X.800定義的5類安全服務(wù)認(rèn)證確保通信實(shí)體就是它們所聲稱的實(shí)體訪問控制防止對(duì)資源的非授權(quán)訪問數(shù)據(jù)保密性保護(hù)數(shù)據(jù)，使之不被非授權(quán)地泄露數(shù)據(jù)完整性保證收到的數(shù)據(jù)確實(shí)是授權(quán)實(shí)體所發(fā)出的數(shù)據(jù)（即沒有修改、插入、刪除或重發(fā)）不可否認(rèn)性防止整個(gè)或部分通信過程中，任意一個(gè)通信實(shí)體進(jìn)行否認(rèn)的行為1.7

開放系統(tǒng)互聯(lián)安全體系結(jié)構(gòu)-安全機(jī)制數(shù)據(jù)完整性認(rèn)證交換數(shù)字簽名訪問控制加密流量填充公證路由控制X.800定義的安全機(jī)制1.7

開放系統(tǒng)互聯(lián)安全體系結(jié)構(gòu)安全服務(wù)加密數(shù)字簽名訪問控制數(shù)據(jù)完整性認(rèn)證交換流量填充路由控制公證對(duì)等實(shí)體認(rèn)證YY——Y———數(shù)據(jù)源認(rèn)證YY——————訪問控制——Y—————保密性Y—————Y—流量保密性Y————YY—數(shù)據(jù)完整性YY—Y————不可否認(rèn)性—Y—Y———Y可用性———YY———安全服務(wù)與安全機(jī)制的關(guān)系1.7

開放系統(tǒng)互聯(lián)安全體系結(jié)構(gòu)安全服務(wù)協(xié)

議

層1234567對(duì)等實(shí)體認(rèn)證——YY——Y數(shù)據(jù)源點(diǎn)認(rèn)證——YY——Y訪問控制——YY——Y連接保密性YYYY—YY無連接保密性—YYY—YY選擇域保密性——————Y流量保密性—————YY具有恢復(fù)功能的連接完整性Y—Y———Y不具有恢復(fù)功能的連接完整性———Y——Y選擇域無連接完整性——YY——Y無連接完整性——————Y選擇域無連接完整性——YY——Y源點(diǎn)的不可否認(rèn)——————Y信宿的不可否認(rèn)——————Y在OSI層中的服務(wù)配置安全消息安全消息消息消息1.8

網(wǎng)絡(luò)安全模型可信的第三方（如仲裁者、秘密信息的分配者）信息通道安全變換發(fā)送方接收方安全變換秘密信息秘密信息攻擊者1.8

網(wǎng)絡(luò)安全模型攻擊者——人（如黑客）——軟件（如病毒、蠕蟲）訪問通道門衛(wèi)功能信息系統(tǒng)計(jì)算機(jī)資源（處理器、內(nèi)存、I/O）數(shù)據(jù)進(jìn)程軟件內(nèi)部安全控制信息安全的概念信息安全：指計(jì)算機(jī)信息系統(tǒng)的硬件、軟件、網(wǎng)絡(luò)及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷。信息安全主要涉及到信息存儲(chǔ)的安全、信息傳輸?shù)陌踩约皩?duì)網(wǎng)絡(luò)傳輸信息內(nèi)容的審計(jì)三方面。它研究計(jì)算機(jī)系統(tǒng)和通信網(wǎng)絡(luò)內(nèi)信息的保護(hù)方法。

小結(jié)信息安全概念與技術(shù)通信服務(wù)提供者系統(tǒng)的安全模型通信服務(wù)提供者系統(tǒng)的安全模型

防止通信中的任一實(shí)體否認(rèn)它過去執(zhí)行的某個(gè)操作或者行為不可否認(rèn)性可控性可用性完整性機(jī)密性可以控制授權(quán)范圍內(nèi)的信息流向及行為方式確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程只有得到允許的人才能修改數(shù)據(jù)，并且能夠辨別數(shù)據(jù)是否已被修改得到授權(quán)的實(shí)體在需要時(shí)可以訪問數(shù)據(jù)，即攻擊者不能占用所有資源而阻礙授權(quán)者的工作信息安全基本需求a)數(shù)據(jù)保密通信數(shù)據(jù)編碼數(shù)據(jù)加密加密/解密算法加密/解密設(shè)備數(shù)據(jù)壓縮數(shù)據(jù)安全傳輸

b)網(wǎng)絡(luò)安全安全協(xié)議安全設(shè)施c)主機(jī)安全d)操作系統(tǒng)安全本課程的主要研究?jī)?nèi)容從信息安全到信息保障單機(jī)系統(tǒng)的信息保密階段網(wǎng)絡(luò)信息安全階段信息保障階段信息保密技術(shù)，發(fā)展各種密碼算法信息安全與防護(hù)技術(shù)（被動(dòng)防御）綜合利用保護(hù)、探測(cè)和反應(yīng)能力以恢復(fù)系統(tǒng)的功能（主動(dòng)防御）信息安全發(fā)展趨勢(shì)防火墻訪問控制防病毒入侵檢測(cè)

虛擬專用網(wǎng)漏洞評(píng)估完備的信息安全防衛(wèi)技術(shù)架構(gòu)保護(hù)檢測(cè)恢復(fù)響應(yīng)信息保障采用一切手段（主要指靜態(tài)防護(hù)手段）保護(hù)信息系統(tǒng)的五大特性。及時(shí)恢復(fù)系統(tǒng)，使其盡快正常對(duì)外提供服務(wù)，是降低網(wǎng)絡(luò)攻擊造成損失的有效途徑對(duì)危及網(wǎng)絡(luò)安全的事件和行為做出反應(yīng)，阻止對(duì)信息系統(tǒng)的進(jìn)一步破壞并使損失降到最低

信息安全保障PDRR模型：保護(hù)（Protection）、檢測(cè)（Detection）、響應(yīng)（Reaction）和恢復(fù)（Restore）檢測(cè)本地網(wǎng)絡(luò)的安全漏洞和存在的非法信息流，從而有效阻止網(wǎng)絡(luò)攻擊完備的信息安全防衛(wèi)技術(shù)架構(gòu)國(guó)內(nèi)外信息安全最新領(lǐng)域目前，信息安全領(lǐng)域的焦點(diǎn)主要有：

1）密碼理論與技術(shù)；2）安全協(xié)議理論與技術(shù)；

3）安全體系結(jié)構(gòu)理論與技術(shù)；

4）信息對(duì)抗理論與技術(shù)；5）網(wǎng)絡(luò)安全與安全產(chǎn)品。密碼理論與技術(shù)主要包括兩部分：基于數(shù)學(xué)的密碼理論與技術(shù)包括公鑰密碼、分組密碼、序列密碼、認(rèn)證碼、數(shù)字簽名、Hash函數(shù)、身份識(shí)別、密鑰管理、PKI技術(shù)等。非數(shù)學(xué)的密碼理論與技術(shù)包括信息隱形，量子密碼，基于生物特征的識(shí)別理論與技術(shù)。目前最為人們所關(guān)注的實(shí)用密碼技術(shù)是PKI技術(shù)。國(guó)外的PKI應(yīng)用已經(jīng)開始，但總的說來PKI技術(shù)仍在發(fā)展中。IDC公司認(rèn)為：PKI技術(shù)將成為所有應(yīng)用的計(jì)算基礎(chǔ)結(jié)構(gòu)的核心部件，包括那些越出傳