國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心72

北京信息安全服務(wù)人員資質(zhì)培訓(xùn)

信息安全概述張玉清zhangyq@國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心3/9/20231內(nèi)容信息安全概述計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)安全體系與模型總結(jié)參考資料3/9/20232信息安全概述3/9/20233信息安全概述目錄信息安全概念、發(fā)展歷史和現(xiàn)狀；信息安全需求；信息破壞的嚴(yán)重后果；信息安全的目標(biāo)；信息安全技術(shù)；發(fā)達(dá)國(guó)家信息安全的策略；我國(guó)信息安全的現(xiàn)狀，戰(zhàn)略目標(biāo)和任務(wù)。3/9/20234關(guān)于信息化信息革命是人類第三次生產(chǎn)力的革命四個(gè)現(xiàn)代化，那一化也離不開信息化?！瓭擅?/9/20235信息化出現(xiàn)的新問題IT泡沫破裂互聯(lián)網(wǎng)經(jīng)營(yíng)模式是什么？網(wǎng)上信息可信度差垃圾電子郵件安全病毒攻擊……3/9/20236信息化與國(guó)家安全——信息戰(zhàn)“誰(shuí)掌握了信息，控制了網(wǎng)絡(luò)，誰(shuí)將擁有整個(gè)世界。”

（美國(guó)著名未來(lái)學(xué)家阿爾溫托爾勒）“今后的時(shí)代，控制世界的國(guó)家將不是靠軍事，而是信息能力走在前面的國(guó)家?！?/p>

（美國(guó)前總統(tǒng)克林頓）“信息時(shí)代的出現(xiàn)，將從根本上改變戰(zhàn)爭(zhēng)的進(jìn)行方式。”

（美國(guó)前陸軍參謀長(zhǎng)沙利文上將）3/9/20237有目的、和諧地處理信息的主要工具是信息系統(tǒng)，它把所有形態(tài)（原始數(shù)據(jù)、已分析的數(shù)據(jù)、知識(shí)和專家經(jīng)驗(yàn)）和所有形式（文字、視頻和聲音）的信息進(jìn)行收集、組織、存儲(chǔ)、處理和顯示。——《大英百科全書》信息系統(tǒng)概念3/9/20238信息安全概念（一）安全的概念？沒有統(tǒng)一的定義?；竞x：客觀上不受威脅；主觀上不存在恐懼。3/9/20239信息安全？?jī)煞N狹義定義：一類指具體的信息技術(shù)系統(tǒng)的安全；一類是指某一特定信息系統(tǒng)的安全；缺點(diǎn)：過于狹窄。優(yōu)點(diǎn)：內(nèi)容具體形象，便于理解和應(yīng)用。

信息安全概念（二）3/9/202310信息安全？廣義定義：一個(gè)國(guó)家的社會(huì)信息化狀態(tài)不受外來(lái)的威脅和傷害，一個(gè)國(guó)家的信息技術(shù)體系不受外來(lái)的威脅和侵害。缺點(diǎn)：抽象，不易理解。優(yōu)點(diǎn)：內(nèi)容廣泛，全面。信息安全概念（三）3/9/202311信息安全？ISO的定義為：為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和顯露。信息安全概念（四）3/9/202312確保以電磁信號(hào)為主要形式的，在計(jì)算機(jī)網(wǎng)絡(luò)化系統(tǒng)中進(jìn)行獲取、處理、存儲(chǔ)、傳輸和利用的信息內(nèi)容，在各個(gè)物理位置、邏輯區(qū)域、存儲(chǔ)和傳輸介質(zhì)中，處于動(dòng)態(tài)和靜態(tài)過程中的機(jī)密性、完整性、可用性、可審查性和抗抵賴性的，與人、網(wǎng)絡(luò)、環(huán)境有關(guān)的技術(shù)和管理規(guī)程的有機(jī)集合。——戴宗坤羅萬(wàn)伯《信息系統(tǒng)安全》信息系統(tǒng)安全概念3/9/202313幾乎和人類的書寫語(yǔ)言一樣古老。古埃及的法老的墓葬里就曾經(jīng)發(fā)現(xiàn)過用密碼書寫的文字資料。古印度文字KamaSutra里記載有對(duì)加密方法的描述。信息安全的產(chǎn)生歷史—古代3/9/202314在二戰(zhàn)中，名為“Zimmerman電報(bào)”的密碼情報(bào)保證了同盟國(guó)贏得戰(zhàn)爭(zhēng)的勝利?，F(xiàn)代意義上的信息安全，是在本世紀(jì)提出的。70年代初，美國(guó)提出了（Bell&Padula）計(jì)算機(jī)保密模型。信息安全的發(fā)展—現(xiàn)代（一）3/9/202315信息安全的發(fā)展—現(xiàn)代（二）80年代，美國(guó)制定了“可信計(jì)算機(jī)系統(tǒng)安全評(píng)價(jià)準(zhǔn)則”（TCSEC）；比較復(fù)雜的且擁有較強(qiáng)的加密能力的加密算法開始出現(xiàn)。3/9/202316信息安全的現(xiàn)狀（一）當(dāng)代，信息安全得到了全面迅猛的發(fā)展；信息安全的概念得到了深化；90年代，歐洲提出了“信息技術(shù)安全評(píng)價(jià)準(zhǔn)則”（ITSEC）；近年來(lái)，西方七國(guó)提出了“信息技術(shù)安全評(píng)價(jià)通用準(zhǔn)則”（CCforITSEC）；1999年5月，ISO正式提出了信息安全的國(guó)際標(biāo)準(zhǔn)。3/9/202317作為信息安全重要組成部分的加密技術(shù)和密碼算法取得了豐碩的成果；關(guān)于信息安全的框架，提出了系統(tǒng)的理論體系；網(wǎng)絡(luò)安全協(xié)議不斷推出，形式化系統(tǒng)的局限性不斷被發(fā)現(xiàn)，仍處于提高之中；開放源代碼的安全的操作系統(tǒng)不斷推出。信息安全的現(xiàn)狀（二）3/9/202318數(shù)字化隱寫技術(shù)在當(dāng)代技術(shù)的推動(dòng)下，取得大的突破，得到了廣泛的應(yīng)用；DNA密碼編碼和密碼分析取得巨大的突破，將有可能成為新的密碼編碼和分析的理論依托；量子密碼技術(shù)的理論和應(yīng)用研究開展的十分熱烈，有望取得不小的成就。信息安全的現(xiàn)狀（三）3/9/202319豐富的信息安全產(chǎn)品進(jìn)入市場(chǎng)；★網(wǎng)絡(luò)防火墻的技術(shù)日益成熟；★硬件加密卡廣泛應(yīng)用；★VPN技術(shù)形成產(chǎn)業(yè)；★CA認(rèn)證的體系已經(jīng)建立起來(lái)；★入侵檢測(cè)和漏洞掃描知識(shí)庫(kù)十分豐富；★反病毒技術(shù)和偽裝產(chǎn)品得到了大規(guī)模的應(yīng)用。信息安全的現(xiàn)狀（四）3/9/202320當(dāng)代信息安全的典型需求3/9/202321信息破壞產(chǎn)生嚴(yán)重的后果（一）2002年2月18日，黑客進(jìn)入了美國(guó)一家生物技術(shù)公司的網(wǎng)站，在網(wǎng)頁(yè)上宣布假合并的消息，股民紛紛買進(jìn)有關(guān)兩家公司的股票，結(jié)果大蝕血本。美國(guó)AS聯(lián)合會(huì)調(diào)查，美國(guó)每年因信息安全犯罪產(chǎn)生的損失高達(dá)150億美元。3/9/202322信息破壞產(chǎn)生嚴(yán)重的后果（二）2002年2月，一個(gè)“下載大腕”的國(guó)際性黑客組織宣稱，他們成功闖入了美國(guó)軍方的中樞電腦信息庫(kù)“五角大樓防務(wù)信息網(wǎng)絡(luò)系統(tǒng)”，后來(lái)又成功的竊取了美國(guó)宇航航空航天局信息網(wǎng)絡(luò)系統(tǒng)要害軟件。據(jù)說(shuō)，他們所竊取的信息已足夠?qū)γ绹?guó)軍方的軍用衛(wèi)星系統(tǒng)及其軍事系統(tǒng)進(jìn)行有效的控制。3/9/202323目前存在的信息威脅（一）

信息系統(tǒng)的網(wǎng)絡(luò)化提供了資源的共享性.用戶使用的方便性、通過分布式處理提高了系統(tǒng)效率和可靠性，并且還具有擴(kuò)展性。但這些也增加了信息在網(wǎng)絡(luò)上的不安全性。信息安全與保密所面臨的威脅來(lái)自多方面，并且隨著時(shí)間的變化而變化。3/9/202324目前存在的信息威脅（二）基本的威脅★信息泄漏信息被泄露或透漏給某個(gè)未授權(quán)的實(shí)體。這種威脅主要來(lái)自竊聽、搭線等錯(cuò)綜復(fù)雜的信息探測(cè)攻擊；★拒絕服務(wù)對(duì)信息或其他資源的合法訪問被無(wú)條件的阻止；3/9/202325基本的威脅（續(xù)）★非法使用某一資源被某個(gè)未授權(quán)的人或以一種授權(quán)的方式使用；★完整性破壞數(shù)據(jù)的一致性通過未授權(quán)的創(chuàng)建、修改或破壞而受到損害；目前存在的信息威脅（三）3/9/202326主要的可實(shí)現(xiàn)的威脅★假冒某個(gè)實(shí)體（人或系統(tǒng)）假裝成另外一個(gè)不同的實(shí)體。這是滲入某個(gè)安全防線的最為通用的方法?！锱月房刂?/p>

為了獲得未授權(quán)的權(quán)利和特權(quán)，某個(gè)攻擊者會(huì)發(fā)掘系統(tǒng)的缺陷或安全上的脆弱之處。目前存在的信息威脅（四）3/9/202327主要的可實(shí)現(xiàn)的威脅★授權(quán)侵犯被授權(quán)以某一目的使用某一系統(tǒng)或資源的某個(gè)人，卻將此權(quán)限用于其它未授權(quán)目的；★特洛伊木馬

軟件中含有一個(gè)覺察不出的或無(wú)害的程序段，當(dāng)它被執(zhí)行時(shí)，會(huì)破壞用戶的安全性；

目前存在的信息威脅（五）3/9/202328主要的可實(shí)現(xiàn)的威脅★陷門

在某個(gè)系統(tǒng)或某個(gè)文件中設(shè)置的“機(jī)關(guān)”，使得當(dāng)提供特定的輸入數(shù)據(jù)時(shí)，允許違反安全策略。目前存在的信息威脅（六）3/9/202329潛在的威脅對(duì)于信息泄露的基本威脅，有以下的潛在威脅：★竊聽；★業(yè)務(wù)流分析；★人員疏忽等。

目前存在的信息威脅（七）3/9/202330典型的潛在威脅及其之間的相互關(guān)系目前存在的信息威脅（八）信息泄漏完整性破壞拒絕服務(wù)非法使用竊聽業(yè)務(wù)流分析電磁/射頻截獲人員疏漏媒體清理

假冒旁路控制授權(quán)侵犯物理侵犯滲入

特洛伊木馬陷門業(yè)務(wù)欺騙

植入

竊取截獲/修改否認(rèn)

信息泄漏完整性破壞竊取重放

資源耗盡完整性破壞3/9/202331典型的網(wǎng)絡(luò)安全威脅總結(jié)（一）威脅授權(quán)侵犯旁路控制拒絕服務(wù)竊聽

人員疏忽非法使用電磁/射頻截獲媒體清理假冒 截獲/修改完整性破壞信息泄露描述物理侵入為某一特定目的授權(quán)使用一個(gè)系統(tǒng)的人卻將該系統(tǒng)用作其它未授權(quán)的目的攻擊者發(fā)掘系統(tǒng)的缺陷或安全脆弱性 對(duì)信息或其它資源的合法訪問被無(wú)條件的拒絕或推遲與時(shí)間密切相關(guān)的操作信息從被監(jiān)視的通信過程中泄露出去信息從電子或機(jī)電設(shè)備所發(fā)出的無(wú)線射頻或其它電磁場(chǎng)輻射中被提取出來(lái)數(shù)據(jù)的一致性通過對(duì)數(shù)據(jù)進(jìn)行未授權(quán)的創(chuàng)建、修改或破壞而受到損壞信息被泄露或暴露給某個(gè)未授權(quán)的實(shí)體 一個(gè)授權(quán)的人為了金錢或利益或由于粗心將信息泄露給一個(gè)未授權(quán)的人資源被某個(gè)未授權(quán)的人或者以未授權(quán)的方式使用一個(gè)侵入者通過繞過物理控制而獲得對(duì)系統(tǒng)的訪問信息被從廢棄的或打印過的媒體中獲得 一個(gè)實(shí)體（人或系統(tǒng)）假裝成另一個(gè)不同的實(shí)體某一通信數(shù)據(jù)項(xiàng)在傳輸過程中被改變、刪除或替代3/9/202332重放 否認(rèn) 資源耗盡服務(wù)欺騙竊取 將所截獲的合法通信數(shù)據(jù)項(xiàng)拷貝，出于非法的目的而被重新發(fā)送參與某次通信交換的一方，事后錯(cuò)誤地否認(rèn)曾經(jīng)發(fā)生過此次交換某一資源（如訪問接口）被故意超負(fù)荷地使用，導(dǎo)致其它用戶的服務(wù)被中斷某一偽系統(tǒng)或系統(tǒng)部件欺騙合法的用戶或系統(tǒng)自愿地放棄敏感信息某一安全攸關(guān)的物品，如令牌或身份卡被盜業(yè)務(wù)流分析陷門通過對(duì)通信業(yè)務(wù)流模式進(jìn)行觀察（有，無(wú)，數(shù)量，方向，頻率），而造成信息被泄露給未授權(quán)的實(shí)體 將某一“特征”設(shè)立于某個(gè)系統(tǒng)或系統(tǒng)部件之中，使得在提供特定的輸入數(shù)據(jù)時(shí)，允許安全策略被違反特洛伊木馬含有一個(gè)覺察不出或無(wú)害程序段的軟件，當(dāng)它被運(yùn)行時(shí)，會(huì)損害用戶的安全典型的網(wǎng)絡(luò)安全威脅總結(jié)（二）3/9/202333機(jī)密性真實(shí)性完整性可用性可控性可靠性訪問控制抗抵賴性可審查性

信息安全的目標(biāo)3/9/202334

又稱保密性，Confidentiality

保證機(jī)密信息不會(huì)泄露給非授權(quán)的人或?qū)嶓w，或供其使用的特性信息機(jī)密性3/9/202335信息安全的目標(biāo)應(yīng)當(dāng)滿足：能對(duì)通訊實(shí)體身份的真實(shí)性進(jìn)行鑒別身份真實(shí)性3/9/202336指通信傳輸?shù)臄?shù)據(jù)應(yīng)防止被修改、刪除、插人替換或重發(fā)，以保證數(shù)據(jù)的真實(shí)性

完整性3/9/202337保證合法用戶對(duì)信息和資源的使用不會(huì)被不正當(dāng)?shù)鼐芙^服務(wù)可用性3/9/202338能夠控制使用資源的人或?qū)嶓w的使用方式系統(tǒng)可控性3/9/202339

可靠性保證所傳輸?shù)男畔⒉粚儆跓o(wú)用信息可靠性3/9/202340保證網(wǎng)絡(luò)資源不被非法使用和非常訪問

訪問控制3/9/202341也稱不可否認(rèn)性：建立有效的責(zé)任機(jī)制，防止實(shí)體否認(rèn)其行為抗抵賴性3/9/202342

對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段可審查性3/9/202343信息安全技術(shù)物理安全控制安全安全服務(wù)3/9/202344信息安全技術(shù)（二）物理安全★目的：保護(hù)計(jì)算機(jī)系統(tǒng)免受硬件實(shí)體和通信鏈路的破壞和損害。主要問題：★防止電磁輻射；★防止自然災(zāi)害和人為的故意破壞；措施：★電磁屏蔽；★干擾措施。3/9/202345安全控制保證網(wǎng)絡(luò)資源不被非法使用和非常訪問。分類：★介入訪問控制★用戶權(quán)限控制★防火墻控制

信息安全技術(shù)（三）3/9/202346安全服務(wù)

★加密技術(shù)

★認(rèn)證技術(shù)★入侵檢測(cè)

★反病毒技術(shù)

信息安全技術(shù)（四）3/9/202347加密技術(shù)加密是一種主動(dòng)的防護(hù)手段；分類：對(duì)稱加密；公鑰加密。信息安全技術(shù)（五）3/9/202348認(rèn)證技術(shù)目前計(jì)算機(jī)中一般采用基于密碼的認(rèn)證技術(shù)；人的生理特征參數(shù)的保密性很好，但實(shí)現(xiàn)起來(lái)比較困難；基于智能卡的認(rèn)證技術(shù)是目前比較成熟的技術(shù)。信息安全技術(shù)（六）3/9/202349入侵檢測(cè)技術(shù)目的：提供實(shí)時(shí)的入侵檢測(cè)和采取相應(yīng)的手段；入侵檢測(cè)技術(shù)是一門新型的安全防范技術(shù)；可以彌補(bǔ)防火墻的不足，抵御來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊。信息安全技術(shù)（七）3/9/202350反病毒技術(shù)包含病毒預(yù)防，病毒檢測(cè)和病毒清除。方法：對(duì)存儲(chǔ)器上的信息進(jìn)行掃描和檢測(cè)，對(duì)網(wǎng)絡(luò)傳輸進(jìn)來(lái)的數(shù)據(jù)進(jìn)行監(jiān)測(cè)。信息安全技術(shù)（八）3/9/202351最小特權(quán)縱深防御阻塞點(diǎn)監(jiān)測(cè)和/或消除最薄弱鏈接失效保護(hù)普遍參與防御多樣化簡(jiǎn)單化信息系統(tǒng)安全的防御策略3/9/202352系統(tǒng)性相關(guān)性動(dòng)態(tài)性相對(duì)性信息系統(tǒng)安全的工程策略3/9/202353信息安全的方向通信保密（COMSEC）：60年代計(jì)算機(jī)安全（COMPUSEC）：60-70年代信息安全（INFOSEC）：80-90年代信息保障（IA）：90年代-InformationAssurance3/9/202354什么是信息保障InformationAssurance保護(hù)（Protect）檢測(cè)（Detect）反應(yīng)（React）恢復(fù)（Restore）保護(hù)Protect檢測(cè)Detect恢復(fù)Restore反應(yīng)ReactIA3/9/202355PDRR保護(hù)（Protect）：采用可能采取的手段保障信息的保密性、完整性、可用性、可控性和不可否認(rèn)性。檢測(cè)（Detect）：利用高技術(shù)提供的工具檢查系統(tǒng)存在的可能提供黑客攻擊、白領(lǐng)犯罪、病毒泛濫脆弱性。反應(yīng)（React）：對(duì)危及安全的事件、行為、過程及時(shí)作出響應(yīng)處理，杜絕危害的進(jìn)一步蔓延擴(kuò)大，力求系統(tǒng)尚能提供正常服務(wù)。恢復(fù)（Restore）：一旦系統(tǒng)遭到破壞，盡快恢復(fù)系統(tǒng)功能，盡早提供正常的服務(wù)。3/9/202356美國(guó)成立了直屬總統(tǒng)的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)委員會(huì)負(fù)責(zé)保護(hù)美國(guó)的信息安全。俄羅斯則把信息安全提到國(guó)家戰(zhàn)略的高度予以重視。日本政府成立了“信息安全省廳局長(zhǎng)協(xié)調(diào)會(huì)議”。發(fā)達(dá)國(guó)家的信息安全策略（一）3/9/20235720個(gè)國(guó)家建立了信息安全測(cè)評(píng)認(rèn)證機(jī)構(gòu)和計(jì)算機(jī)安全應(yīng)急中心（Cert）等信息安全基礎(chǔ)設(shè)施。美國(guó)到1999年，已經(jīng)通過了涉及計(jì)算機(jī)、互聯(lián)網(wǎng)和安全問題的法律文件379個(gè)。60多個(gè)國(guó)家自1987年以來(lái)，也就信息安全問題制訂了一系列法律、法規(guī)。發(fā)達(dá)國(guó)家的信息安全策略（二）3/9/202358

整體安全防范技術(shù)水平低下；信息安全法制建設(shè)不健全，依法管理力度不夠；正在從通訊安全，計(jì)算機(jī)數(shù)據(jù)保密向信息安全轉(zhuǎn)變；我國(guó)信息安全問題變得日益嚴(yán)峻。我國(guó)信息安全現(xiàn)狀3/9/202359我國(guó)信息安全戰(zhàn)略目標(biāo)和任務(wù)（一）我國(guó)信息安全的國(guó)家戰(zhàn)略目標(biāo)：保證國(guó)民經(jīng)濟(jì)基礎(chǔ)設(shè)施的信息安全，抵御有關(guān)國(guó)家、地區(qū)、集團(tuán)可能對(duì)我實(shí)施“信息戰(zhàn)”的威脅和打擊以及國(guó)內(nèi)外的高技術(shù)犯罪，保障國(guó)家安全、社會(huì)穩(wěn)定和經(jīng)濟(jì)發(fā)展。3/9/202360我國(guó)信息安全戰(zhàn)略防御的重點(diǎn)任務(wù)：國(guó)民經(jīng)濟(jì)中的國(guó)家關(guān)鍵基礎(chǔ)設(shè)施，包括金融、銀行、稅收、能源生產(chǎn)儲(chǔ)備、糧油生產(chǎn)儲(chǔ)備、水電汽供應(yīng)、交通運(yùn)輸、郵電通信、廣播電視、商業(yè)貿(mào)易等國(guó)家關(guān)鍵基礎(chǔ)設(shè)施。支持這些設(shè)施運(yùn)作的信息安全基礎(chǔ)設(shè)施建設(shè)。信息安全戰(zhàn)略目標(biāo)和任務(wù)（二）3/9/202361計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)3/9/202362計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)目錄計(jì)算機(jī)網(wǎng)絡(luò)概念；計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展過程；計(jì)算機(jī)網(wǎng)絡(luò)的功能和應(yīng)用；計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展方向；ISO的OSI結(jié)構(gòu)；TCP/IP協(xié)議簇。3/9/202363計(jì)算機(jī)網(wǎng)絡(luò)是利用通信設(shè)備和線路將地理位置不同的、功能獨(dú)立的多個(gè)計(jì)算機(jī)系統(tǒng)互連起來(lái)，以功能完善的網(wǎng)絡(luò)軟件（即網(wǎng)絡(luò)通信協(xié)議、信息交換方式、網(wǎng)絡(luò)操作系統(tǒng)等）實(shí)現(xiàn)網(wǎng)絡(luò)中資源共享和信息傳遞的系統(tǒng)。計(jì)算機(jī)網(wǎng)絡(luò)概念（一）3/9/202364圖典型的計(jì)算機(jī)網(wǎng)絡(luò)計(jì)算機(jī)網(wǎng)絡(luò)概念（二）3/9/202365計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展過程（一）計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展過程面向終端的網(wǎng)絡(luò)；計(jì)算機(jī)－計(jì)算機(jī)網(wǎng)絡(luò)；開放式標(biāo)準(zhǔn)化網(wǎng)絡(luò)三個(gè)階段。

3/9/202366面向終端的網(wǎng)絡(luò)以單個(gè)計(jì)算機(jī)為中心的遠(yuǎn)程聯(lián)機(jī)系統(tǒng)，構(gòu)成面向終端的計(jì)算機(jī)網(wǎng)絡(luò)。

計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展過程（二）3/9/202367計(jì)算機(jī)－計(jì)算機(jī)網(wǎng)絡(luò)多臺(tái)計(jì)算機(jī)互連的系統(tǒng)，開創(chuàng)了“計(jì)算機(jī)－計(jì)算機(jī)”通信時(shí)代，并存多處理中心，實(shí)現(xiàn)資源共享。成功的典例：美國(guó)的ARPA網(wǎng)，IBM的SNA網(wǎng)，DEC的DNA網(wǎng)。計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展過程（三）3/9/202368開放式標(biāo)準(zhǔn)化網(wǎng)絡(luò)國(guó)際標(biāo)準(zhǔn)化組織ISO于1984年頒布了一個(gè)稱為“開放系統(tǒng)互連基本參考模型”的國(guó)際標(biāo)準(zhǔn)ISO7498，簡(jiǎn)稱OSI/RM。即著名的OSI七層模型。優(yōu)點(diǎn)：網(wǎng)絡(luò)產(chǎn)品有了統(tǒng)一標(biāo)準(zhǔn)，促進(jìn)了企業(yè)的競(jìng)爭(zhēng)，大大加速了計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展。

計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展過程（四）3/9/202369計(jì)算機(jī)網(wǎng)絡(luò)可以提供以下一些主要功能：資源共享；信息傳輸與集中處理；均衡負(fù)荷與分布處理；綜合信息服務(wù)。計(jì)算機(jī)網(wǎng)絡(luò)功能3/9/202370計(jì)算機(jī)網(wǎng)絡(luò)目前主要有以下應(yīng)用：遠(yuǎn)程登錄；傳送電子郵件；電子數(shù)據(jù)交換；聯(lián)機(jī)會(huì)議；滲透到國(guó)民經(jīng)濟(jì)以及人們?nèi)粘Ｉ畹母鱾€(gè)方面。

計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用3/9/202371光纖通信應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)；多媒體技術(shù)；綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)絡(luò)ISDN；人工智能網(wǎng)絡(luò)的出現(xiàn)和發(fā)展。開放式的網(wǎng)絡(luò)體系結(jié)構(gòu)；向高性能發(fā)展；計(jì)算機(jī)網(wǎng)絡(luò)的智能化，多方面提高網(wǎng)絡(luò)的性能和綜合的多功能服務(wù)。

計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展方向3/9/202372OSI基本參考模型：開放系統(tǒng)互連(OpenSystemInterconnection)基本參考模型是由國(guó)際標(biāo)準(zhǔn)化組織(ISO)制定的標(biāo)準(zhǔn)化開放式計(jì)算機(jī)網(wǎng)絡(luò)層次結(jié)構(gòu)模型，又稱ISO’sOSI參考模型；

“開放”：能使任何兩個(gè)遵守參考模型和有關(guān)標(biāo)準(zhǔn)的系統(tǒng)進(jìn)行互連。計(jì)算機(jī)網(wǎng)絡(luò)的OSI結(jié)構(gòu)（一）3/9/202373OSI包括：體系結(jié)構(gòu)：定義了一個(gè)七層模型，用以進(jìn)行進(jìn)程間的通信，并作為一個(gè)框架來(lái)協(xié)調(diào)各層標(biāo)準(zhǔn)的制定；服務(wù)定義：描述了各層所提供的服務(wù)，以及層與層之間的抽象接口和交息及何種過程來(lái)解釋該控制信息；協(xié)議規(guī)范

計(jì)算機(jī)網(wǎng)絡(luò)的OSI結(jié)構(gòu)（二）3/9/202374應(yīng)用層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層物理層物理層網(wǎng)絡(luò)層物理層網(wǎng)絡(luò)層物理層通信子網(wǎng)邊界內(nèi)部子網(wǎng)協(xié)議數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層第七層第六層第五層第四層第三層第二層第一層網(wǎng)絡(luò)層主機(jī)－路由協(xié)議數(shù)據(jù)鏈路層主機(jī)－路由協(xié)議

物理層主機(jī)－路由協(xié)議計(jì)算機(jī)網(wǎng)絡(luò)的OSI結(jié)構(gòu)（三）3/9/202375計(jì)算機(jī)網(wǎng)絡(luò)的OSI結(jié)構(gòu)（四）數(shù)據(jù)的實(shí)際傳遞過程

3/9/202376各層功能簡(jiǎn)要介紹-----物理層使原始的數(shù)據(jù)比特流能在物理媒體上傳輸,具體涉及接插件的規(guī)格、“0”、“1”信號(hào)的電平表示、收發(fā)雙方的協(xié)調(diào)等。計(jì)算機(jī)網(wǎng)絡(luò)的OSI結(jié)構(gòu)（五）3/9/202377數(shù)據(jù)鏈路層比特流被組織成數(shù)據(jù)鏈路協(xié)議數(shù)據(jù)單元(通常稱為幀)，并以其為單位進(jìn)行傳輸，幀中包含地址、控制、數(shù)據(jù)及校驗(yàn)碼等信息。作用是通過校驗(yàn)、確認(rèn)和反饋重發(fā)等手段,將不可靠的物理鏈路改造成對(duì)網(wǎng)絡(luò)層來(lái)說(shuō)無(wú)差錯(cuò)的數(shù)據(jù)鏈路。協(xié)調(diào)收發(fā)雙方的數(shù)據(jù)傳輸速率，即進(jìn)行流量控制，以防止接收方因來(lái)不及處理發(fā)送來(lái)的高速數(shù)據(jù)而導(dǎo)致緩沖器溢出及線路阻塞。計(jì)算機(jī)網(wǎng)絡(luò)的OSI結(jié)構(gòu)（六）3/9/202378各層功能簡(jiǎn)要介紹-----網(wǎng)絡(luò)層數(shù)據(jù)以網(wǎng)絡(luò)協(xié)議數(shù)據(jù)單元(分組)為單位進(jìn)行傳輸，關(guān)心的是通信子網(wǎng)的運(yùn)行控制。主要解決如何使數(shù)據(jù)分組跨越通信子網(wǎng)從源地址傳送到目的地的問題。需要對(duì)流入的分組數(shù)量進(jìn)行控制。解決網(wǎng)際互連的問題。計(jì)算機(jī)網(wǎng)絡(luò)的OSI結(jié)構(gòu)（七）3/9/202379各層功能簡(jiǎn)要介紹-----傳輸層(運(yùn)輸層)是第一個(gè)端--端，即主機(jī)--主機(jī)的層次；提供端到端的透明數(shù)據(jù)運(yùn)輸服務(wù)，由此用統(tǒng)一的運(yùn)輸原語(yǔ)書寫的高層軟件便可運(yùn)行于任何通信子網(wǎng)上；處理端到端的差錯(cuò)控制和流量控制問題。計(jì)算機(jī)網(wǎng)絡(luò)的OSI結(jié)構(gòu)（八）3/9/202380各層功能簡(jiǎn)要介紹-----會(huì)話層是進(jìn)程--進(jìn)程的層次；組織和同步不同的主機(jī)上各種進(jìn)程間的通信(也稱為對(duì)話)；負(fù)責(zé)在兩個(gè)會(huì)話層實(shí)體之間進(jìn)行對(duì)話連接的建立和拆除。

計(jì)算機(jī)網(wǎng)絡(luò)的OSI結(jié)構(gòu)（九）3/9/202381各層功能簡(jiǎn)要介紹-----表示層為上層用戶提供共同的數(shù)據(jù)或信息的語(yǔ)法表示變換；采用抽象的標(biāo)準(zhǔn)方法來(lái)定義數(shù)據(jù)結(jié)構(gòu)，并采用標(biāo)準(zhǔn)的編碼表示形式；數(shù)據(jù)壓縮和加密也是表示層可提供的表示變換功能。計(jì)算機(jī)網(wǎng)絡(luò)的OSI結(jié)構(gòu)（十）3/9/202382各層功能簡(jiǎn)要介紹-----應(yīng)用層

是開放系統(tǒng)互連環(huán)境的最高層；不同的應(yīng)用層為特定類型的網(wǎng)絡(luò)應(yīng)用提供訪問OSI環(huán)境的手段；網(wǎng)絡(luò)環(huán)境下不同主機(jī)間的文件傳送訪問和管理;傳送標(biāo)準(zhǔn)電子郵件的文件處理系統(tǒng)(MHS）；使不同類型的終端和主機(jī)通過網(wǎng)絡(luò)可以交互訪問虛擬終端(VT)。計(jì)算機(jī)網(wǎng)絡(luò)的OSI結(jié)構(gòu)（十一）3/9/202383TCP/IP(TransmissionControlProtocol/InternetProtocol)是一個(gè)使用非常普遍的網(wǎng)絡(luò)互連標(biāo)準(zhǔn)協(xié)議。TCP/IP協(xié)議和許多別的協(xié)議，組成TCP/IP協(xié)議簇。TCP提供傳輸層服務(wù)；IP提供網(wǎng)絡(luò)層服務(wù)。TCP/IP協(xié)議簇（一）3/9/202384TCP/IP協(xié)議簇（二）TCP/IP簇的體系結(jié)構(gòu)與ISO的OSI模型的對(duì)應(yīng)關(guān)系3/9/202385TCP/IP協(xié)議簇（三）TCP/IP協(xié)議層次

3/9/202386TCP/IP網(wǎng)絡(luò)層四個(gè)協(xié)議：IP、ICMP、ARP和RARP。提供在互相獨(dú)立的局域網(wǎng)上建立互連網(wǎng)絡(luò)的服務(wù)；提供端到端的分組分發(fā)功能；提供了數(shù)據(jù)分塊和重組功能；很多的擴(kuò)充功能。TCP/IP協(xié)議簇（四）3/9/202387TCP/IP網(wǎng)絡(luò)層-----IP網(wǎng)絡(luò)層最重要的協(xié)議；IP的基本任務(wù)是通過互連網(wǎng)傳送數(shù)據(jù)報(bào)；在主機(jī)資源不足的情況下，可能丟棄某些數(shù)據(jù)報(bào)，同時(shí)也不檢查被數(shù)據(jù)鏈路層丟棄的報(bào)文。TCP/IP協(xié)議簇（五）3/9/202388TCP/IP網(wǎng)絡(luò)層-----ICMPIP提供的是一種不可靠的無(wú)連接報(bào)文分組傳送服務(wù)；如何解決路由器等故障造成的網(wǎng)絡(luò)阻塞？在IP層加入了一類特殊用途的報(bào)文機(jī)制，即互連網(wǎng)控制報(bào)文協(xié)議ICMP。TCP/IP協(xié)議簇（六）3/9/202389TCP/IP網(wǎng)絡(luò)層-----ARP解決把互連網(wǎng)地址變換為物理地址的地址轉(zhuǎn)換問題；ARP使主機(jī)可以找出同一物理網(wǎng)絡(luò)中任一個(gè)物理主機(jī)的物理地址，只需給出目的主機(jī)的IP地址即可，網(wǎng)絡(luò)的物理編址可以對(duì)網(wǎng)絡(luò)層服務(wù)透明。TCP/IP協(xié)議簇（七）3/9/202390TCP/IP網(wǎng)絡(luò)層-----ARP在局域網(wǎng)上，網(wǎng)絡(luò)層廣播ARP請(qǐng)求以獲取目的站信息，而目的站必須回答該ARP請(qǐng)求。TCP/IP協(xié)議簇（八）3/9/202391TCP/IP網(wǎng)絡(luò)層-----RARP解決只有自己的物理地址而沒有IP地址的問題；方法：通過RARP協(xié)議，發(fā)出廣播請(qǐng)求，征求自己的IP地址，而RARP服務(wù)器則負(fù)責(zé)回答；廣泛用于獲取無(wú)盤工作站的IP地址。TCP/IP協(xié)議簇（九）3/9/202392TCP/IP的傳輸層兩個(gè)主要的協(xié)議：傳輸控制協(xié)議(TCP)和用戶數(shù)據(jù)協(xié)議(UDP)。TCP/IP協(xié)議簇（十）3/9/202393TCP/IP的運(yùn)輸層-----TCP

TCP提供的是一種可靠的數(shù)據(jù)流服務(wù)；對(duì)應(yīng)于OSI模型的運(yùn)輸層在IP協(xié)議的基礎(chǔ)上，提供端到端的面向連接的可靠傳輸。TCP采用“帶重傳的肯定確認(rèn)”技術(shù)來(lái)實(shí)現(xiàn)傳輸?shù)目煽啃?。TCP/IP協(xié)議簇（十一）3/9/202394TCP/IP的運(yùn)輸層-----TCP采用“滑動(dòng)窗口”的流量控制機(jī)制來(lái)提高網(wǎng)絡(luò)的吞吐量；實(shí)現(xiàn)了一種“虛電路”的概念；連接的建立采用三次握手的過程。TCP/IP協(xié)議簇（十二）3/9/202395TCP/IP的運(yùn)輸層-----UDPUDP是依靠IP協(xié)議來(lái)傳送報(bào)文的，是對(duì)IP協(xié)議組的擴(kuò)充；不用確認(rèn)、不對(duì)報(bào)文排序、也不進(jìn)行流量控制的服務(wù)；UDP報(bào)文可能會(huì)出現(xiàn)丟失、重復(fù)、失序等現(xiàn)象。TCP/IP協(xié)議簇（十三）3/9/202396TCP/IP會(huì)話層至應(yīng)用層TCP/IP的上三層與OSI參考模型有較大區(qū)別，也沒有非常明確的層次劃分；幾個(gè)在各種不同機(jī)型上廣泛實(shí)現(xiàn)的協(xié)議：FTP、TELNET、SMTP、DNS。

TCP/IP協(xié)議簇（十四）3/9/202397TCP/IP會(huì)話層至應(yīng)用層-----FTP可以在本地機(jī)與遠(yuǎn)程機(jī)之間進(jìn)行有關(guān)文件的操作的協(xié)議；兩條TCP連接，一條用于傳送文件，另一條用于傳送控制；采用客戶/服務(wù)器模式，它包含客戶FTP和服務(wù)器FTP。

TCP/IP協(xié)議簇（十五）3/9/202398TCP/IP會(huì)話層至應(yīng)用層-----TELNETTELNET的連接是一個(gè)TCP連接，用于傳送具有TELNET控制信息的數(shù)據(jù)。它提供了與終端設(shè)備或終端進(jìn)程交互的標(biāo)準(zhǔn)方法，支持終端到終端的連接及進(jìn)程到進(jìn)程分布式計(jì)算的通信。TCP/IP協(xié)議簇（十六）3/9/202399TCP/IP會(huì)話層至應(yīng)用層-----DNSDNS是一個(gè)域名服務(wù)的協(xié)議，提供域名到IP地址的轉(zhuǎn)換，允許對(duì)域名資源進(jìn)行分散管理。DNS最初設(shè)計(jì)的目的是使郵件發(fā)送方知道郵件接收主機(jī)及郵件發(fā)送主機(jī)的IP地址，后來(lái)又發(fā)展成為服務(wù)于其它許多目標(biāo)的協(xié)議。TCP/IP協(xié)議簇（十七）3/9/2023100TCP/IP會(huì)話層至應(yīng)用層-----SMTP一個(gè)基于文件的協(xié)議，用于可靠、有效的數(shù)據(jù)傳輸；郵件傳輸獨(dú)立于傳輸子系統(tǒng)，可在TCP/IP環(huán)境、OSI運(yùn)輸層或X.25協(xié)議環(huán)境中傳輸郵件；郵件發(fā)送之前必須協(xié)商；當(dāng)郵件不能正常傳輸時(shí)可按原路由找到發(fā)送者。TCP/IP協(xié)議簇（十八）3/9/2023101TCP/IP協(xié)議簇的廣泛性TCP/IP已經(jīng)融入U(xiǎn)NIX操作系統(tǒng)中；DOS上也推出了相應(yīng)的TCP/IP軟件產(chǎn)品；SUN公司則將TCP/IP廣泛推向商務(wù)系統(tǒng)，它在所有的工作站系統(tǒng)中都預(yù)先安裝了TCP/IP網(wǎng)絡(luò)軟件及網(wǎng)絡(luò)硬件。TCP/IP協(xié)議簇（十九）3/9/2023102安全體系與模型3/9/2023103安全體系與模型目錄安全體系與模型概述；ISO的OSI信息安全體系結(jié)構(gòu)；流行的INTERNET安全體系架構(gòu)；安全模型：Bell-LaPadula模型、Clark-Wilson模型和ChinaWall模型；信息安全標(biāo)準(zhǔn)：TCSEC和ITSEC；著名的IPSEC協(xié)議。3/9/2023104安全體系結(jié)構(gòu)定義為實(shí)現(xiàn)以下功能的實(shí)體：提供未定義環(huán)境的概念上的安全定義和結(jié)構(gòu)；在環(huán)境內(nèi)可以獨(dú)立設(shè)計(jì)安全組件；說(shuō)明安全獨(dú)立組件應(yīng)該如何集成在整體環(huán)境中；保證完成后的環(huán)境符合最初建立的虛擬實(shí)體。安全體系與模型概述（一）3/9/2023105安全體系結(jié)構(gòu)的重要性：安全體系結(jié)構(gòu)同各種元素協(xié)同工作以保護(hù)信息的安全性。沒有安全體系結(jié)構(gòu)會(huì)使系統(tǒng)變的很脆弱。一個(gè)良好定義的安全體系結(jié)構(gòu)能夠保證應(yīng)用程序和系統(tǒng)的設(shè)計(jì)符合一個(gè)標(biāo)準(zhǔn)的最低安全級(jí)別。安全體系與模型概述（二）3/9/2023106安全體系結(jié)構(gòu)的要點(diǎn)：安全體系結(jié)構(gòu)不依賴于系統(tǒng)的存在；安全體系結(jié)構(gòu)是由一些構(gòu)件部件組成的；安全體系結(jié)構(gòu)的三個(gè)部件：基礎(chǔ)，信任和控制。安全體系與模型概述（三）3/9/2023107ISO是目前國(guó)際上普遍遵循的計(jì)算機(jī)信息系統(tǒng)互連標(biāo)準(zhǔn)，ISO7498-2確定了開放系統(tǒng)互連參考模型的信息安全體系標(biāo)準(zhǔn)。確定了五種基本安全服務(wù)和八種安全機(jī)制,并在OSI七層中有相對(duì)應(yīng)的關(guān)系。OSI安全體系結(jié)構(gòu)

（一）3/9/2023108

網(wǎng)絡(luò)安全服務(wù)層次模型OSI安全體系結(jié)構(gòu)

（二）3/9/2023109安全服務(wù)身份認(rèn)證；訪問控制；數(shù)據(jù)保密；數(shù)據(jù)完整性；防止否認(rèn)。OSI安全體系結(jié)構(gòu)

（三）3/9/2023110安全服務(wù)-----身份認(rèn)證可以鑒別參與通訊的對(duì)等實(shí)體和數(shù)據(jù)源。是授權(quán)控制的基礎(chǔ)；應(yīng)該提供雙向的認(rèn)證；目前一般采用高強(qiáng)度的密碼技術(shù)來(lái)進(jìn)行身份認(rèn)證。OSI安全體系結(jié)構(gòu)

（四）3/9/2023111安全服務(wù)-----授權(quán)控制控制不同用戶對(duì)信息資源訪問權(quán)限；授權(quán)控制的要求：★一致性；★統(tǒng)一性；★要求有審計(jì)核查功能；★盡可能地提供細(xì)粒度的控制；

OSI安全體系結(jié)構(gòu)

（五）3/9/2023112安全服務(wù)-----通信加密提供保護(hù)，防止數(shù)據(jù)未經(jīng)授權(quán)就泄露；連接保密性；無(wú)連接保密性；選擇字段保密性；業(yè)務(wù)流保密性；手段：★基于對(duì)稱密鑰加密的算法；★基于非對(duì)稱密鑰的加密算法；OSI安全體系結(jié)構(gòu)

（六）3/9/2023113安全服務(wù)-----數(shù)據(jù)完整性是指通過網(wǎng)上傳輸?shù)臄?shù)據(jù)應(yīng)防止被修改、刪除、插人替換或重發(fā)，以保證合法用戶接收和使用該數(shù)據(jù)的真實(shí)性；用于對(duì)付主動(dòng)威脅。

OSI安全體系結(jié)構(gòu)

（七）3/9/2023114安全服務(wù)-----防止否認(rèn)接收方要發(fā)送方保證不能否認(rèn)收到的信息是發(fā)送方發(fā)出的信息，而不是被他人冒名篡改過的信息。發(fā)送方也要求對(duì)方不能否認(rèn)已經(jīng)收到的信息，防止否認(rèn)對(duì)金融電子化系統(tǒng)很重要。電子簽名的主要目的是防止抵賴、防止否認(rèn)，給仲裁提供證據(jù)。OSI安全體系結(jié)構(gòu)

（八）3/9/2023115三維的信息系統(tǒng)安全體系結(jié)構(gòu)

OSI安全體系結(jié)構(gòu)

（九）3/9/2023116八類安全機(jī)制數(shù)據(jù)加密機(jī)制數(shù)據(jù)簽名機(jī)制訪問控制機(jī)制數(shù)據(jù)完整性機(jī)制鑒別交換機(jī)制業(yè)務(wù)填充機(jī)制路由控制機(jī)制公證機(jī)制OSI安全體系結(jié)構(gòu)

（十）3/9/2023117八類安全機(jī)制-----加密向數(shù)據(jù)和業(yè)務(wù)信息流提供保密性，對(duì)其他安全機(jī)制起補(bǔ)充作用；加密算法：★對(duì)稱加密；★非對(duì)稱加密；密鑰管理；OSI安全體系結(jié)構(gòu)

（十一）3/9/2023118八類安全機(jī)制-----數(shù)據(jù)簽名機(jī)制決定于兩個(gè)過程：★對(duì)數(shù)據(jù)單元簽名；★驗(yàn)證簽過名的數(shù)據(jù)單元；特征：簽名只有利用簽名者的私有信息才能產(chǎn)生出來(lái)；OSI安全體系結(jié)構(gòu)

（十二）3/9/2023119八類安全機(jī)制-----訪問控制機(jī)制利用某個(gè)實(shí)體經(jīng)鑒別的身份或關(guān)于該實(shí)體的信息或該實(shí)體的權(quán)標(biāo)，進(jìn)行確定并實(shí)施實(shí)體的訪問權(quán)；可用于通訊連接的任何一端或用在中間連接的任何位置。OSI安全體系結(jié)構(gòu)

（十三）3/9/2023120八類安全機(jī)制-----數(shù)據(jù)完整性機(jī)制兩個(gè)方面：★單個(gè)的數(shù)據(jù)單元或字段的完整性；★數(shù)據(jù)單元串或字段串的完整性；對(duì)于連接形式的數(shù)據(jù)傳輸----編序形式；無(wú)連接的數(shù)據(jù)傳輸----時(shí)標(biāo)的保護(hù)形式。OSI安全體系結(jié)構(gòu)

（十四）3/9/2023121八類安全機(jī)制-----鑒別交換機(jī)制通過信息交換以確保實(shí)體身份的機(jī)制；利用密碼技術(shù)時(shí)可同握手協(xié)議結(jié)合；與其他技術(shù)的結(jié)合使用：

★時(shí)標(biāo)和同步時(shí)鐘；★雙向和三向握手；★數(shù)字簽名實(shí)現(xiàn)的不可否認(rèn)服務(wù)；OSI安全體系結(jié)構(gòu)

（十五）3/9/2023122八類安全機(jī)制-----業(yè)務(wù)填充機(jī)制一種制造假的通訊實(shí)例、產(chǎn)生欺騙性數(shù)據(jù)單元或在數(shù)據(jù)單元中產(chǎn)生假數(shù)據(jù)的安全機(jī)制；提供對(duì)各種等級(jí)的保護(hù)，防止業(yè)務(wù)分析；只在業(yè)務(wù)填充受到保密性服務(wù)時(shí)有效。OSI安全體系結(jié)構(gòu)

（十六）3/9/2023123八類安全機(jī)制-----路由控制機(jī)制路由既可以動(dòng)態(tài)選擇，也可以事先安排；攜帶某些安全標(biāo)簽的數(shù)據(jù)可能被安全策略禁止通過某些子網(wǎng)、中繼站或鏈路；連接的發(fā)起者可以請(qǐng)求回避特定的子網(wǎng)、中繼站或鏈路。OSI安全體系結(jié)構(gòu)

（十七）3/9/2023124八類安全機(jī)制-----公證機(jī)制關(guān)于在兩個(gè)或三個(gè)實(shí)體之間進(jìn)行通訊的數(shù)據(jù)的性能，可由公證機(jī)制來(lái)保證；保證由第三方提供；第三方能得到通訊實(shí)體的信任。OSI安全體系結(jié)構(gòu)

（十八）3/9/2023125機(jī)制與實(shí)現(xiàn)的安全服務(wù)圖示3/9/2023126OSI安全結(jié)構(gòu)在OSI七層中的配置3/9/2023127應(yīng)用舉例分兩步：第一步是建立典型的安全需求與安全威脅之間的對(duì)應(yīng)關(guān)系，見后面表1；第二步是指出用于對(duì)付典型的威脅可能采用的安全服務(wù)，見表2。3/9/20231283/9/2023129表二用于對(duì)付典型安全威脅的安全服務(wù)3/9/2023130通過對(duì)網(wǎng)絡(luò)的全面了解，按照安全策略的要求及風(fēng)險(xiǎn)分析的結(jié)果，整個(gè)INTERNET網(wǎng)絡(luò)措施應(yīng)按系統(tǒng)體系建立。具體的安全控制系統(tǒng)的幾個(gè)方面：★物理安全；★網(wǎng)絡(luò)安全；★信息安全；★安全管理；

Internet安全體系結(jié)構(gòu)（一）

3/9/2023131物理安全保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是整個(gè)計(jì)算機(jī)信息系統(tǒng)安全的前提。主要包括三個(gè)方面：★環(huán)境安全；★設(shè)備安全；★媒體安全；Internet安全體系結(jié)構(gòu)（二）3/9/2023132物理安全正常的防范措施：★對(duì)主機(jī)房及重要信息存儲(chǔ)、收發(fā)部門進(jìn)行屏蔽處理；★采用光纜傳輸方式；★采取主動(dòng)式的干擾設(shè)備如干擾機(jī)來(lái)破壞對(duì)應(yīng)信息的竊取。Internet安全體系結(jié)構(gòu)（三）3/9/2023133網(wǎng)絡(luò)安全I(xiàn)nternet安全體系結(jié)構(gòu)（四）網(wǎng)絡(luò)安全系統(tǒng)（主機(jī)、服務(wù)器）安全反病毒系統(tǒng)安全檢測(cè)入侵檢測(cè)審計(jì)分析網(wǎng)絡(luò)運(yùn)行安全備份與恢復(fù)應(yīng)急、災(zāi)難恢復(fù)局域網(wǎng)、子網(wǎng)安全訪問控制（防火墻）網(wǎng)絡(luò)安全檢測(cè)3/9/2023134網(wǎng)絡(luò)安全-----內(nèi)外網(wǎng)隔離及訪問控制系統(tǒng)在內(nèi)部網(wǎng)與外部網(wǎng)之間，設(shè)置防火墻（包括分組過濾與應(yīng)用代理等）實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離，與訪問控制是保護(hù)內(nèi)部網(wǎng)安全的最主要、同時(shí)也是最有效、最經(jīng)濟(jì)的措施之一。Internet安全體系結(jié)構(gòu)（五）3/9/2023135網(wǎng)絡(luò)安全-----防火墻功能過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)；管理進(jìn)、出網(wǎng)絡(luò)的訪問行為；封堵某些禁止的業(yè)務(wù)；記錄通過防火墻的信息內(nèi)容和活動(dòng)；對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)和告警。Internet安全體系結(jié)構(gòu)（六）3/9/2023136網(wǎng)絡(luò)安全-----內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離及訪問控制防火墻被用來(lái)隔離內(nèi)部網(wǎng)絡(luò)的一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段；設(shè)置防火墻就可以限制局部網(wǎng)絡(luò)安全問題對(duì)全局網(wǎng)絡(luò)造成的影響。Internet安全體系結(jié)構(gòu)（七）3/9/2023137網(wǎng)絡(luò)安全-----網(wǎng)絡(luò)安全檢測(cè)網(wǎng)絡(luò)安全檢測(cè)工具通常是一個(gè)網(wǎng)絡(luò)安全性評(píng)估分析軟件，其功能是用實(shí)踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng)，檢查報(bào)告系統(tǒng)存在的弱點(diǎn)和漏洞，建議補(bǔ)救措施和安全策略,達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。Internet安全體系結(jié)構(gòu)（八）3/9/2023138網(wǎng)絡(luò)安全-----審計(jì)與監(jiān)控審計(jì)是記錄用戶使用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行所有活動(dòng)的過程，它是提高安全性的重要工具。能夠更迅速和系統(tǒng)地識(shí)別問題，并且它是后面階段事故處理的重要依據(jù)。Internet安全體系結(jié)構(gòu)（九）3/9/2023139網(wǎng)絡(luò)安全-----網(wǎng)絡(luò)反病毒計(jì)算機(jī)病毒的防范是網(wǎng)絡(luò)安全性建設(shè)中重要的一環(huán)；包括三種技術(shù)：★預(yù)防病毒技術(shù)★檢測(cè)病毒技術(shù)★分析病毒技術(shù)

Internet安全體系結(jié)構(gòu)（十）3/9/2023140網(wǎng)絡(luò)安全-----網(wǎng)絡(luò)備份系統(tǒng)目的：盡可能快地全盤恢復(fù)運(yùn)行計(jì)算機(jī)系統(tǒng)所需的數(shù)據(jù)和系統(tǒng)信息。備份機(jī)制有：★場(chǎng)地內(nèi)高速度、大容量數(shù)據(jù)的自動(dòng)存儲(chǔ),備份與恢復(fù)；★場(chǎng)地外的數(shù)據(jù)存儲(chǔ)、備份與恢復(fù)；★對(duì)系統(tǒng)設(shè)備的備份。Internet安全體系結(jié)構(gòu)（十一）3/9/2023141信息安全I(xiàn)nternet安全體系結(jié)構(gòu)（十二）信息安全信息傳輸安全（動(dòng)態(tài)安全）數(shù)據(jù)加密數(shù)據(jù)完整性的鑒別防抵賴信息存儲(chǔ)安全（靜態(tài)安全）數(shù)據(jù)庫(kù)安全終端安全信息的防泄密信息內(nèi)容審計(jì)

用戶鑒別授權(quán)3/9/2023142信息安全分類：信息傳輸?shù)陌踩?；信息存?chǔ)的安全；對(duì)網(wǎng)絡(luò)傳輸信息內(nèi)容的審計(jì)；Internet安全體系結(jié)構(gòu)（十三）3/9/2023143信息安全-----鑒別是對(duì)網(wǎng)絡(luò)中的主體進(jìn)行驗(yàn)證的過程；三種驗(yàn)證主體身份的方法：★口令機(jī)制；★智能卡；★主體特征鑒別：視網(wǎng)膜掃描儀、聲音驗(yàn)證設(shè)備、手型識(shí)別器等。Internet安全體系結(jié)構(gòu)（十四）3/9/2023144信息安全-----數(shù)據(jù)傳輸安全系統(tǒng)目的是對(duì)傳輸中的數(shù)據(jù)流加密，以防止通信線路上的竊聽、泄漏、篡改和破壞。三個(gè)不同層次：★鏈路加密；★節(jié)點(diǎn)加密；★端到端加密。Internet安全體系結(jié)構(gòu)（十五）3/9/2023145信息安全-----數(shù)據(jù)傳輸安全系統(tǒng)對(duì)數(shù)據(jù)完整性鑒別：★報(bào)文鑒別；★校驗(yàn)和；★加密校驗(yàn)和；★消息完整性編碼；★防抵賴技術(shù)（對(duì)源和目的地雙方的證明).Internet安全體系結(jié)構(gòu)（十六）3/9/2023146信息安全-----數(shù)據(jù)存儲(chǔ)安全系統(tǒng)存儲(chǔ)的信息主要包括:★純粹的數(shù)據(jù)信息--數(shù)據(jù)庫(kù)信息的保護(hù);★各種功能文件信息--終端安全很重要;終端安全：主要解決微機(jī)信息的安全保護(hù)問題.Internet安全體系結(jié)構(gòu)（十七）3/9/2023147信息安全-----數(shù)據(jù)存儲(chǔ)安全系統(tǒng)數(shù)據(jù)庫(kù)安全★物理完整性;★邏輯完整性;★元素完整性;★數(shù)據(jù)的加密;★用戶鑒別;★可獲得性;★可審計(jì)性Internet安全體系結(jié)構(gòu)（十八）3/9/2023148信息安全-----內(nèi)容審計(jì)系統(tǒng)實(shí)時(shí)對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行內(nèi)容審計(jì),以防止或追查可能的泄密行為。因此，為了滿足國(guó)家保密法的要求，在某些重要或涉密網(wǎng)絡(luò)，應(yīng)該安裝使用此系統(tǒng)。

Internet安全體系結(jié)構(gòu)（十九）3/9/2023149安全管理除完善系統(tǒng)的安全保密措施外，還必須花大力氣加強(qiáng)網(wǎng)絡(luò)的安全管理;安全管理主要基于三個(gè)原則:★多人負(fù)責(zé)原則;★任期有限原則;★職責(zé)分離原則。Internet安全體系結(jié)構(gòu)（二十）3/9/2023150定義：安全模型包括一些概念、原理、結(jié)構(gòu)和標(biāo)準(zhǔn)等，這些是用于設(shè)計(jì)、實(shí)施、監(jiān)視操作系統(tǒng)、設(shè)備、網(wǎng)絡(luò)應(yīng)用的安全性，同時(shí)它們可以用來(lái)增強(qiáng)信息系統(tǒng)的機(jī)密性、完整性和可用性等。安全模型3/9/2023151安全體系模型介紹P2DR模型安氏的PADIMEE?模型Bell-LaPadula保密性模型Clark-Wilson模型ChinaWall模型

3/9/2023152網(wǎng)絡(luò)安全建設(shè)模型-P2DR模型

3/9/2023153信息安全生命周期-PADIMEE?模型（一）

PADIMEE?是安氏公司提出的并被業(yè)界廣泛認(rèn)同的信息安全生命周期方法論，它建立在BS7799/ISO17799之上3/9/2023154信息安全生命周期-PADIMEE?模型（二）3/9/2023155信息安全生命周期-PADIMEE?模型（三）

七個(gè)核心策略（Policy）評(píng)估(Assessment)設(shè)計(jì)(Design)執(zhí)行(Implementation)管理(Management)緊急響應(yīng)(EmergencyResponse)教育(Education)3/9/2023156Bell-LaPadula保密性模型是第一個(gè)能夠提供分級(jí)別數(shù)據(jù)機(jī)密性保障的安全策略模型（多級(jí)安全）；基于強(qiáng)制訪問控制系統(tǒng)，以敏感度來(lái)劃分資源的安全級(jí)別；將數(shù)據(jù)劃分為多安全級(jí)別與敏感度的系統(tǒng)稱之為多級(jí)安全系統(tǒng)（如本模型）；Bell_LaPadula安全模型（一）3/9/2023157Bell_LaPadula模型數(shù)據(jù)和用戶被劃分為以下安全等級(jí)★公開（Unclassified）★受限（Restricted）★秘密（Confidential）★機(jī)密（Secret）★高密（TopSecret）Bell_LaPadula安全模型（二）3/9/2023158BLP保密模型基于兩種規(guī)則來(lái)保障數(shù)據(jù)的機(jī)密度與敏感度：★上讀(NRU),主體不可讀安全級(jí)別高于它的數(shù)據(jù)；★下寫(NWD),主體不可寫安全級(jí)別低它的數(shù)據(jù)；Bell_LaPadula安全模型（三）3/9/2023159Bell_LaPadula模型信息系統(tǒng)是一個(gè)由低到高的層次化結(jié)構(gòu)。

Bell_LaPadula安全模型（四）3/9/2023160通訊過程中的模型應(yīng)用1★一個(gè)例子是防火墻所實(shí)現(xiàn)的單向訪問機(jī)制。防火墻提供“上讀”功能來(lái)阻止Internet

對(duì)內(nèi)部網(wǎng)絡(luò)的訪問，提供“下寫”功能來(lái)限制進(jìn)入內(nèi)部的數(shù)據(jù)流只能經(jīng)由“由內(nèi)向外”發(fā)起的連接流入。Bell_LaPadula安全模型（五）3/9/2023161通訊過程中的模型應(yīng)用2Bell_LaPadula安全模型（六）3/9/2023162Clark-Wilson模型定義：★CDI:數(shù)據(jù)項(xiàng)約束–數(shù)據(jù)項(xiàng)的完整性保護(hù)；★IVP:完整性檢測(cè)過程–判斷CDI是否在合法的狀態(tài)；★

TP:轉(zhuǎn)換過程–通過事務(wù)過程將CDI從一個(gè)合法狀態(tài)轉(zhuǎn)換到另一種合理狀態(tài)。Clark-Wilson安全模型（一）3/9/2023163處理過程★系統(tǒng)接受“自由數(shù)據(jù)條目(UDI)”并將其轉(zhuǎn)換為“受限數(shù)據(jù)條目(CDI)”?！铩笆芟迶?shù)據(jù)條目(CDI)”僅能被“轉(zhuǎn)換程序（TP）”所改變；★訪問控制機(jī)制由三個(gè)元素組成(主體,TP,CDI)。★“轉(zhuǎn)換程序(TP)”保證“受限數(shù)據(jù)條目CDI”的完整性；★每個(gè)受限數(shù)據(jù)條目(CDI)擁有一個(gè)完整性檢查程序(IVP)；Clark-Wilson安全模型（二）3/9/2023164Clark-Wilson模型-----應(yīng)用舉例Clark-Wilson安全模型（三）3/9/2023165ChinaWall模型是應(yīng)用在多邊安全系統(tǒng)中的安全模型，應(yīng)用在可能存在利益沖突的組織中；ChinaWall安全策略的基礎(chǔ)是客戶訪問的信息不會(huì)與目前他們可支配的信息產(chǎn)生沖突。ChinaWall安全模型（一）3/9/2023166ChinaWall安全模型的兩個(gè)主要屬性：★用戶必須選擇一個(gè)他可以訪問的區(qū)域；★用戶必須自動(dòng)拒絕來(lái)自其它與用戶所選區(qū)域的利益沖突區(qū)域的訪問；這種模型同時(shí)包括了DAC和MAC的屬性：銀行家可以選擇為誰(shuí)工作（DAC），但是一旦選定，他就被只能為該客戶工作（MAC）。

ChinaWall安全模型（二）3/9/2023167應(yīng)用示例：

ChinaWall安全模型（三）3/9/2023168信息安全標(biāo)準(zhǔn)的產(chǎn)生與安全領(lǐng)域有關(guān)的標(biāo)準(zhǔn)主要來(lái)自以下四個(gè)方面：有關(guān)信息技術(shù)的國(guó)際標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)是由以下組織建立的：國(guó)際標(biāo)準(zhǔn)化組織（ISO），國(guó)際電工委員會(huì)（IEC），國(guó)際電信聯(lián)盟（ITU，原稱CCITT）和電氣與電子工程師協(xié)會(huì)（IEEE）；銀行工業(yè)標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)或者是由ISO國(guó)際性地開發(fā)的，或者是由美國(guó)國(guó)家標(biāo)準(zhǔn)協(xié)會(huì)(ANSI)面向美國(guó)國(guó)內(nèi)的應(yīng)用而開發(fā)的；國(guó)家政府標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)是由各國(guó)政府制定的；Internet標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)是由Internet協(xié)會(huì)開發(fā)的。3/9/2023169

隨著眾多的團(tuán)體對(duì)信息系統(tǒng)依賴的增加,安全因素變的越來(lái)越重要。國(guó)際國(guó)內(nèi)評(píng)估信息系統(tǒng)的安全的指導(dǎo)原則均為提供客觀的、一致的安全標(biāo)準(zhǔn)。最先由美國(guó)國(guó)防部頒布的分類手冊(cè)是黃皮書（TC-SEC-NCSC可信計(jì)算機(jī)系統(tǒng)）。

TCSEC標(biāo)準(zhǔn)

3/9/2023170TCSEC標(biāo)準(zhǔn)（TC-SEC-NCSC可信計(jì)算機(jī)系統(tǒng)）將IT系統(tǒng)劃分為A、B、C、D共4類7個(gè)安全等級(jí)：D<C1<C2<B1<B2<B3<A1；TCSEC標(biāo)準(zhǔn)

（二）

3/9/2023171不符合C1-A1級(jí)安全要求標(biāo)準(zhǔn)的系統(tǒng)為D級(jí)，其安全水平最低；C級(jí)標(biāo)準(zhǔn)要求客戶定義訪問控制，即客戶能夠定義系統(tǒng)的訪問權(quán)限；B類系統(tǒng)必須建立基于規(guī)則的安全設(shè)置，在系統(tǒng)上，客戶不能分配權(quán)限；僅系統(tǒng)管理者擁有該特權(quán)；A類標(biāo)準(zhǔn)安全模型的一致性需經(jīng)得住教學(xué)模型的檢驗(yàn)，應(yīng)有保證機(jī)制以確保硬、軟件按規(guī)定完成。TCSEC標(biāo)準(zhǔn)

（三）

3/9/2023172ITSEC標(biāo)準(zhǔn)ITSEC（信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)）是歐洲的分類手冊(cè)；象美國(guó)的黃皮書一樣，歐洲的ITSEC標(biāo)準(zhǔn)目錄將IT系統(tǒng)換分為七個(gè)安全類（E0-E6）；

ITSEC標(biāo)準(zhǔn)

3/9/2023173ITSEC與TCSEC的對(duì)應(yīng)：E0DE1C1E2C2E3B1E4B2E5B3E6A1ITSEC標(biāo)準(zhǔn)

（二）3/9/2023174IPSEC協(xié)議為了加強(qiáng)互聯(lián)網(wǎng)的安全性，從1995年開始，IETF著手研究制定了一套用于保護(hù)IP通信的安全（IPSecurity，IPSec）協(xié)議。IPSec提供既可用于IPv4也可用于IPv6的安全性機(jī)制,它是IPv6的一個(gè)組成部分，也是IPv4的一個(gè)可選擴(kuò)展協(xié)議。IPSec協(xié)議（一）3/9/2023175IPSEC協(xié)議-----功能IPSec提供的安全性服務(wù)★訪問控制；★無(wú)連接的完整性；★數(shù)據(jù)源身份認(rèn)證；★保密；★有限的業(yè)務(wù)流保密性；IPSec協(xié)議（二）3/9/2023176IPSEC協(xié)議-----體系結(jié)構(gòu)IPsec由一系列協(xié)議組成：RFC2401，RFC2402（驗(yàn)證頭）、RFC2406（封裝安全載荷）、RFC2407（用于Internet安全聯(lián)盟和密鑰管理協(xié)議ISAKMP的InternetIP安全解釋域）、RFC2408（ISAKMP）、RFC2409（Internet密鑰交換，IKE）、RFC2411（IP安全文檔指南）、RFC2412（OAKLEY密鑰確定協(xié)議）等。IPSec協(xié)議（三）3/9/2023177ＩＰ層是互聯(lián)網(wǎng)體系結(jié)構(gòu)中附加安全措施的很好場(chǎng)所安全協(xié)議標(biāo)準(zhǔn)ＩＰｓｅｃ和ＩＫＭＰ密鑰管理協(xié)議（ＩＥＴＦ）特殊的報(bào)頭：

認(rèn)證報(bào)頭ＡＨ，封裝安全載荷ＥＳＰIPSec協(xié)議（四）3/9/2023178IPSEC協(xié)議-----體系結(jié)構(gòu)圖IPSec協(xié)議（五）3/9/2023179ESP：IP封裝安全有效負(fù)載，它定義了一個(gè)通用的數(shù)據(jù)報(bào)封裝方法ESP通過對(duì)要保護(hù)的數(shù)據(jù)進(jìn)行加密，以及將它放置在IP封裝安全有效負(fù)載的有效負(fù)載部分，來(lái)提供機(jī)密性和完整性。通過使用驗(yàn)證包頭AH，也可以提供IP數(shù)據(jù)報(bào)的驗(yàn)證IPSec協(xié)議（六）3/9/2023180IPSEC--體系結(jié)構(gòu)--驗(yàn)證頭（AH）

AH是一個(gè)安全協(xié)議頭，可在傳輸模式下使用，為IP包提供數(shù)據(jù)完整性和驗(yàn)證服務(wù)；AH頭插在IP頭和上層協(xié)議頭（如TCP或UDP頭）之間；IPSec協(xié)議（七）3/9/2023181封裝安全載荷（ESP）：ESP是一個(gè)安全協(xié)議頭，采用加密和驗(yàn)證機(jī)制，為IP數(shù)據(jù)報(bào)提供數(shù)據(jù)源驗(yàn)證、數(shù)據(jù)完整性、抗重播和機(jī)密性安全服務(wù)IPSECAH/ESP數(shù)據(jù)包結(jié)構(gòu)：IPSec協(xié)議（八）3/9/2023182IPSEC--體系結(jié)構(gòu)--密鑰交換（IKE）

IPsec的密鑰管理包括密鑰的確定和分配，有手工和自動(dòng)兩種方式；IPsec默認(rèn)的自動(dòng)密鑰管理協(xié)議是IKE。

IPSec協(xié)議（九）3/9/2023183IPSEC--體系結(jié)構(gòu)--加密和驗(yàn)證算法IPSec標(biāo)準(zhǔn)規(guī)定可使用3DES、RC5、IDEA、3IDEA、CAST，AES和Blowfish等加密算法。IPSec用HMAC作為驗(yàn)證算法；IPSec協(xié)議（十）3/9/2023184IPSEC--體系結(jié)構(gòu)--IPsec的模式

使用傳輸模式和隧道模式保護(hù)通信數(shù)據(jù);協(xié)議和模式有4種可能的組合：AH傳輸模式、AH隧道模式、ESP傳輸模式和ESP隧道模式。

傳輸模式用于兩臺(tái)主機(jī)之間;隧道模式用于主機(jī)與路由器或兩部路由器之間;IPSec協(xié)議（十一）3/9/2023185信息安全成為信息時(shí)代的一個(gè)重要任務(wù)；信息安全的目標(biāo)和要求；ISO的OSI網(wǎng)絡(luò)結(jié)構(gòu)是國(guó)際標(biāo)準(zhǔn)模型；TCP/IP協(xié)議簇是應(yīng)用最廣泛的協(xié)議；ISO提出了OSI信息系統(tǒng)安全體系結(jié)構(gòu)；廣泛應(yīng)用的INTERNET的安全體系架構(gòu)；總結(jié)（一）3/9/2023186總結(jié)（二）幾個(gè)典型的安全模型：BLP、C-W模型和ChinaWall模型；國(guó)際流行的信息安全評(píng)價(jià)標(biāo)準(zhǔn)：TCSEC、ITSEC標(biāo)準(zhǔn)；一個(gè)重要的安全協(xié)議：IPSEC協(xié)議；3/9/2023187參考資料馮登國(guó),《計(jì)算機(jī)通信網(wǎng)絡(luò)安全》清華大學(xué)出版社周學(xué)廣劉藝，《信息安全學(xué)》機(jī)械工業(yè)出版社戴宗坤羅萬(wàn)伯《信息系統(tǒng)安全》電子工業(yè)出版社張千里陳光英《網(wǎng)絡(luò)安全新技術(shù)》人民郵電出版社3/9/2023188謝謝！3/9/2023189VnYq$t*w-A1D4G8JbNeQhTlWoZr%u(y+B2E6H9KcOfRjUmXp!s&v)z0C4F7IaMdPgSkVnZq$t*x-A1D5G8JbNeQiTlWo#r%u(y+B3E6H9LcOfRjUmYp!s&w)z0C4F7JaMdPhSkVnZq$u*x-A2D5G8KbNfQiTlXo#r%v(y0B3E6I9LcOgRjUmYp!t&w)z1C4F7JaMePhSkWnZq$u*x+A2D5H8KbNfQiUlXo#s%v(y0B3F6I9LdOgRjVmYq!t&w-z1C4G7JbMePhTkWnZr$u*x+A2E5H8KcNfQiUlXp#s%v)y0B3F6IaLdOgSjVmYq!t*w-z1D4G7JbMeQhTkWoZr$u(x+B2E5H9KcNfRiUmXp#s&v)y0C3F7IaLdPgSjVnYq!t*w-A1D4G8JbMeQhTlWoZr%u(x+B2E6H9KcOfRiUmXp!s&v)z0C3F7IaMdPgSkVnYq$t*x-A1D5G8JbNeQiTlWo#r%u(y+B2E6H9LcOfRjUmXp!s&w)z0C4F7IaMdPhSkVnZq$t*x-A2D5G8KbNeQiTlXo#r%v(y+B3E6I9LcOgRjUmYp!t&w)z1C4F7JaMdPhSkWnZq$u*x-A2D5H8KbNfQiTlXo#s%v(y0B3E6I9LdOgRjVmYp!t&w-z1C4G7JaMePhTkWnZr$u*x+A2E5H8KcNfQiUlXp#s%v)y0B3F6I9LdOgSjVmYq!t&w-z1D4G7JbMePhTkWoZr$u(x+A2E5H9KcNfRiUlXp#s&v)y0C3F6IaLdPgSjVnYq!t*w-A1D4G8JbMeQhTkWoZr%u(x+B2E5H9KcOfRiUmXp#s&v)z0C3F7IaLdPgSkVnYq$t*w-A1D5G8JbNeQhTlWo#r%u(y+B2E6H9LcOfRjUmXp!s&w)z0C4F7IaMdPgSkVnZq$t*x-A1D5G8KbNeQiTlWo#r%v(y+B3E6H9LcOgRjUmYp!s&w)z1C4F7JaMdPhSkWnZq$u*x-A2D5H8KbNfQiTlXo#r%v(y0B3E6I9LcOgRjVmYp!t&w)z1C4G7JaMePhSkWnZr$u*x+A2D5H8KcNfQiUlXo#s%v)y0B3F6I9LdOgSjVmYq!t&w-z1C4G7JbMePhTkWnZr$u(x+A2E5H8KcNfRiUlXp#s%v)y0C3F6IaLdOgSjVnYq!t*w-z1D4G8JbMeQhTkWoZr%u(x+B2E5H9KcOfRiUmXp#s&v)y0C3F7IaLdPgSjVnYq$t*w-A1D4G8JbNeQhTlWoZr%u(y+B2E6H9KcOfRjUmXp!s&v)z0C4F7IaMdPgSkVnZq$t*x-A1D5G8JbNeQiTlWo#r%r%v(y+B3E6H9LcOfRjUmYp!s&w)z0C4F7JaMdPhSkVnZq$u*x-A2D5G8KbNfQiTlXo#r%v(y0B3E6I9LcOgRjVmYp!t&w)z1C4G7JaMePhSkWnZq$u*x+A2D5H8KbNfQiUlXo#s%v(y0B3F6I9LdOgRjVmYq!t&w-z1C4G7JbMePhTkWnZr$u(x+A2E5H8KcNfRiUlXp#s%v)y0B3F6IaLdOgSjVmYq!t*w-z1D4G7JbMeQhTkWoZr$u(x+B2E5H9KcNfRiUmXp#s&v)y0C3F7IaLdPgSjVnYq$t*w-A1D4G8JbNeQhTlWoZr%u(x+B2E6H9KcOfRiUmXp!s&v)z0C3F7IaMdPgSkVnYq$t*x-A1D5G8JbNeQiTlWo#r%u(y+B3E6H9LcOfRjUmYp!s&w)z0C4F7IaMdPhSkVnZq$t*x-A2D5G8KbNeQiTlXo#r%v(y+B3E6I9LcOgRjUmYp!t&w)z1C4F7JaMePhSkWnZq$u*x+A2D5H8KbNfQiTlXo#s%v(y0B3E6I9LdOgRjVmYp!t&w-z1C4G7JaMePhTkWnZr$u*x+A2E5H8KcNfQiUlXp#s%v)y0B3F6IaLdOgSjVjVmYq!t*w-z1D4G7JbMeQhTkWoZr$u(x+A2E5H9KcNfRiUlXp#s&v)y0C3F6IaLdPgSjVnYq!t*w-A1D4G8JbMeQhTlWoZr%u(x+B2E6H9KcOfRiUmXp!s&v)z0C3F7IaMdPgSkVnYq$t*w-A1D5G8JbNeQhTlWo#r%u(y+B2E6H9LcOfRjUmXp!s&w)z0C4F7IaMdPhSkVnZq$t*x-A2D5G8KbNeQiTlXo#r%v(y+B3E6H9LcOgRjUmYp!s&w)z1C4F7JaMdPhS