信息安全引言教學課件

信息安全引言56、極端的法規(guī)，就是極端的不公。——西塞羅57、法律一旦成為人們的需要，人們就不再配享受自由了?！呥_哥拉斯58、法律規(guī)定的懲罰不是為了私人的利益，而是為了公共的利益；一部分靠有害的強制，一部分靠榜樣的效力?！窭闲闼?9、假如沒有法律他們會更快樂的話，那么法律作為一件無用之物自己就會消滅。——洛克60、人民的幸福是至高無個的法。——西塞羅信息安全引言信息安全引言56、極端的法規(guī)，就是極端的不公。——西塞羅57、法律一旦成為人們的需要，人們就不再配享受自由了。——畢達哥拉斯58、法律規(guī)定的懲罰不是為了私人的利益，而是為了公共的利益；一部分靠有害的強制，一部分靠榜樣的效力?！窭闲闼?9、假如沒有法律他們會更快樂的話，那么法律作為一件無用之物自己就會消滅?！蹇?0、人民的幸福是至高無個的法?！魅_2故用兵之法，無恃其不來，恃吾有以待也；無恃其不攻，恃吾有所不可攻也?！秾O子兵法》3信息安全南京農業(yè)大學信息學院主講：趙力信息安全主要研究能夠抵抗各種攻擊的技術。通過信息安全，希望達到以下目的：保證信息為授權者享用而不泄漏給未經授權者，不讓未被授權者篡改或者損壞信息，能夠驗證一個實體的身份，能夠驗證消息來自可靠的源點，且沒有被篡改，限制資源只能被授權的實體訪問。防止對以前行為否認的措施把某實體做某件事情或承認某件事情的批準傳遞給另一實體……6從古到今，信息安全經歷了如下三個階段傳統的信息安全主要依靠物理和行政手段來保證。計算機的應用，需要自動工具來保護存于計算機中的文件和其他信息。網絡和通信連接的應用，需要有網絡安全措施來保護被傳輸的數據。7傳統方式和數字世界的信息安全傳統方式下數字世界中復制品與原件存在不同復制后的文件跟原始文件沒有差別對原始文件的修改總是會留下痕跡對原始文件的修改可以不留下痕跡模仿的簽名與原始的簽名有差異無法象傳統方式一樣在文件上直接簽名或蓋章用鉛封來防止文件在傳送中被非法閱讀或篡改不能用傳統的鉛封來防止文件在傳送中被非法閱讀或篡改用保險柜來防止文件在保管中被盜竊、毀壞、非法閱讀或篡改難以用類似于傳統的保險柜來防止文件在保管中被盜竊、毀壞、非法閱讀或篡改信息安全依賴于物理手段與行政管理信息安全不能完全依賴于物理手段和行政管理

由于數字世界中，信息社會更加依賴于信息，因此，信息安全的危害更大，信息的泄密、毀壞所產生的后果更嚴重。8信息安全的定義信息安全（information

security）：在分布式計算環(huán)境中，對信息的傳輸、存儲、訪問提供安全保護，以防止信息被竊取、篡改和非法操作。信息安全的三個基本要素是保密性、完整性和可用性服務，在分布式網絡環(huán)境下還應提供鑒別、訪問控制和抗否認等安全服務?！队嬎銠C科學技術百科全書》9網絡信息系統安全網絡信息系統安全的內容包括了系統安全和信息安全兩個部分：系統安全主要指網絡設備的硬件、操作系統和應用軟件的安全；信息安全主要指各種信息的存儲、傳輸的安全。10信息安全保障體系完整的信息安全保障體系應包括保護、檢測、響應、恢復四個方面。保護：用加解密技術、訪問控制技術、數字簽名技術對信息的傳輸、存儲、訪問加以保護。檢測：對信息傳輸的內容的可控性的檢測；對信息網絡訪問過程的檢測；對違規(guī)與惡意攻擊的檢測；對系統與網絡的安全漏洞的檢測。響應：保證信息系統與網絡遇到攻擊時及時采取措施，提供有力的響應機制。恢復：災難恢復以及評估系統受到的危害與損失。11構建一個信息系統的安全子系統時，首先要分析該系統有可能面臨的威脅或攻擊。122、安全攻擊從形式上，安全攻擊分為主動攻擊和被動攻擊。被動攻擊目的：獲得傳輸的信息，威脅信息的保密性。特征：對傳輸進行竊聽和檢測，不對信息作任何改動，系統的操作和狀態(tài)也不會改變。例如：消息內容的泄漏、流量分析等。主動攻擊目的：篡改或者偽造消息，威脅信息的完整性、可用性和真實性。特征：消息被改動，系統的操作和狀態(tài)可能被改變。例如：偽裝、篡改、重放和拒絕服務等。13消息內容的泄漏消息的內容被泄露給某個非授權的實體。手段：合法的或非法的，例如：搭線竊聽、電磁泄露、網絡嗅探器等。流量分析通過對系統進行長期監(jiān)聽，利用統計分析方法對諸如通信雙方的標識、通信頻度、消息格式、通信的信息流向和通信總量的變化等參數進行研究，從中發(fā)現有價值的信息和規(guī)律。在流量分析過程中，攻擊者雖然不能獲得消息的內容，但可以分許數據從哪里來到哪里去，傳送多長時間，什么時候發(fā)送，發(fā)送頻繁程度以及是否與其它事件有關聯等信息來判斷通信的性質。14篡改指對合法用戶之間的通信消息進行修改或者改變消息的順序。偽裝指一個實體冒充另一個實體。通常攻擊者通過欺騙通信系統（或用戶）冒充成為合法用戶，或者特權小的攻擊者冒充成為特權大的用戶。黑客大多是采用偽裝攻擊。重放將獲得的信息再次發(fā)送以期獲得合法用戶的利益。拒絕服務(DoS)指阻止對信息或其他資源的合法訪問。常見的形式是破壞設備的正常運行和管理，也可擾亂整個網絡，降低系統性能，使合法用戶的不到應有的服務。15需要采取哪些措施來保護信息和系統的安全呢？16網絡信息系統的基本安全需求保密性（Confidentiality）完整性（Integrity）可用性（Availability）可控性（controllability）不可否認性（Non-repudiation）17保密性：指信息不泄露給非授權用戶、實體和過程，不被非法利用的特性。完整性：指數據未經授權不能進行改變的特性?？捎眯裕褐缚杀皇跈鄬嶓w訪問并按需求使用的特性?？煽匦裕褐缚梢钥刂剖跈喾秶鷥鹊男畔⒘飨蚣靶袨榉绞?，對信息的傳播及內容具有控制能力。不可否認性：指信息的行為人要對自己的信息行為負責，不能抵賴自己曾有過的行為，也不能否認曾經接到對方的信息。18如何才能滿足網絡信息系統安全的基本需求呢？19安全服務通常將為加強網絡信息系統安全性及對抗安全攻擊而采取的一系列措施稱為安全服務。其目的在于阻止安全攻擊；通常利用一種或多種安全機制來提供這種服務。20OSI安全框架定義的五大類安全服務鑒別（authentication）訪問控制（accesscontrol）數據保密性（dataconfidentiality）數據完整性（dataintegrity）不可否認性（non-repudiation）21鑒別：保證通信的實體是它所聲稱的實體。訪問控制：阻止對資源的非授權使用。數據保密性：保證數據免于非授權泄漏。數據完整性：保證收到的數據確是授權實體所發(fā)出的數據。不可否認性：防止整個或部分通信過程中，任意通信實體進行否認的行為。22靠什么來實現這些安全服務？23安全機制安全機制是用來保護系統免受偵聽、阻止安全攻擊及恢復系統的機制。安全機制是實現安全服務的技術手段。它表現為操作系統、軟硬件功能部件、管理程序以及他們的組合。注意：所有的安全機制都是針對某些安全攻擊而設計的，沒有哪一種機制能夠提供所有的安全服務。24特定的安全機制（ISO7498-2）ISO7498-2中定義了8類安全機制加密機制（encryption）；數字簽名機制（digitalsignaturemechanisms）；訪問控制機制（accesscontrolmechanisms）；數據完整性機制（dataintegritymechanisms）；鑒別機制（authenticationmechanisms）；通信業(yè)務填充機制（trafficpaddingmechanisms）；路由控制機制（routingcontrolmechanisms）；公證機制（notarizationmechanisms）；25其他安全機制可信功能機制安全標簽機制事件檢測機制審計跟蹤機制安全恢復機制26安全服務與安全機制之間的關系

機制/服務保密性完整性鑒別訪問控制不可否認加密YYY--數字簽名-YY-Y訪問控制---Y-數據完整性-Y--Y鑒別--Y--業(yè)務填充Y----路由控制Y----公證----Y27實現安全機制的核心技術是什么？28密碼學與信息安全的關系定義：研究密碼系統或通信安全的一門科學?；灸繕耍簩崿F機密性、數據完整性、鑒別和抗否認?；竟ぞ撸杭用?、散列函數、數字簽名在8種安全機制中，除業(yè)務填充和路由控制外，其余6中都同密碼算法有關。29密碼學是網絡信息系統安全的

——核心技術30課程簡介傳統密碼學對稱密碼分組密碼算法及數據加密標準DES分組密碼的加密模式用對稱密碼實現保密性公鑰密碼RSA算法密鑰管理Hash函數報文鑒別技術數字簽名技術身分認證技術31教材主教材：信息安全原理與技術作者：郭亞軍等出版：清華大學出版社主要參考教材：密碼編碼學與網絡安全

——原理與實踐（第四版）作者：[美]WilliamStallings翻譯：劉玉珍等出版：電子工業(yè)出版社32其他參考教材：密碼學原理與實踐（第二版）作者：[加]DouglasR.Stinson，翻譯：馮登國，出版：電子工業(yè)出版社密碼學導引作者：馮登國，裴定一，出版：科學出版社應用密碼學：協議、算法與C源程序作者：BruceSchneier，翻譯：吳世忠等，機械工業(yè)出版社信息安全數學基礎作者：陳恭亮，出版：