網絡安全-01-引 言

計算機與網絡安全2024/3/31西安電子科技大學計算機學院本節(jié)課程內容認識你們的老師！上課的要求！怎么考核？這門課程學什么？課程概要及相關概念2024/3/32西安電子科技大學計算機學院認識你們的老師！馬卓，博士，講師通信地址：西安電子科技大學161#信箱電子郵箱：mazhuo@個人主頁：http:///mazhuo/

辦公地點：北校區(qū)主樓1區(qū)319室2024/3/33西安電子科技大學計算機學院上課的要求關于筆記關于紀律關于點名關于加分關于考試重點2024/3/34西安電子科技大學計算機學院怎么考核？方式：課堂講授＋課外閱讀設計實踐讀書報告考試：平時作業(yè)+設計實踐＋讀書報告(20%)筆試(80%)2024/3/35西安電子科技大學計算機學院這門課程學什么？視頻1視頻22024/3/36西安電子科技大學計算機學院這門課程學什么？密碼學計算機安全網絡安全Internet安全2024/3/37西安電子科技大學計算機學院三個關鍵概念計算機安全（ComputerSecurity）對于一個自動化的信息系統(tǒng)，采取保護措施確保信息系統(tǒng)資源（包括硬件、軟件、固件、信息/數據和通信）的保密性、完整性、可用性。NIST《計算機安全手冊》網絡安全（

NetworkSecurity）

保護數據在傳輸中安全的方法互聯網安全（InternetSecurity）

保護數據安全通過互聯網絡的方法2024/3/38西安電子科技大學計算機學院網絡安全的核心需求網絡安全核心地位的三個關鍵目標保密性（Confidentiality）數據保密性隱私性完整性（Integrity）（包括不可否認性、真實性）數據完整性系統(tǒng)完整性可用性（Availability）真實性（Authenticity）可追朔性（Accountability）2024/3/39西安電子科技大學計算機學院2024/3/3西安電子科技大學計算機學院10教材和參考書教材：WilliamStallings,Cryptographyandnetworksecurity:principlesandpractice,4rdEdition

(中譯本：密碼編碼學與網絡安全—原理與實踐（第四版），電子工業(yè)出版社，2006.11)2024/3/310西安電子科技大學計算機學院2024/3/3西安電子科技大學計算機學院11教材和參考書參考教材：馬建峰.計算機系統(tǒng)安全，西安電子科技大學出版社，2007.盧開澄．計算機密碼學—計算機網絡中的數據保密與安全（第3版）清華大學出版社，2003.BruceSchneier.

AppliedCryptography,Protocols,algorithms,and

sourcecodeinC(2ndEdition)，1996(中譯本：應用密碼學－協(xié)議、算法與C源程序，

機械工業(yè)出版社，2000.1)閔嗣鶴，初等數論，高等教育出版社，2003.……2024/3/311西安電子科技大學計算機學院課程內容第一部分對稱密碼對稱密碼，古典算法和現代算法，DES和AES第二部分公鑰密碼公鑰密碼，RSA和ECC，公鑰密碼的應用第三部分網絡安全密碼算法和安全協(xié)議的應用，用戶認證、電子郵件、IP安全和Web安全第四部分系統(tǒng)安全系統(tǒng)安全措施，入侵、病毒、蠕蟲和防火墻技術2024/3/312西安電子科技大學計算機學院學習目標理解信息安全的基本原理和技術;了解一些最新研究成果;掌握網絡與信息安全的理論基礎,具備研究與實踐的基本能力。2024/3/313西安電子科技大學計算機學院引言2024/3/314西安電子科技大學計算機學院網絡安全現狀Internet一方面成為人們離不開的信息工具，同時也成為公開的攻擊對象目標。網絡的全球性、開放性、無縫連通性、共享性、動態(tài)性，使任何人都可以自由地接入Internet，其中有善者，也有惡者。惡意者時刻在試圖穿透別人的系統(tǒng)，搗毀別人的信箱、散布破壞性信息、傾瀉信息拉圾。2024/3/315西安電子科技大學計算機學院EmailWebISP門戶網站E-Commerce電子交易復雜程度時間Internet變得越來越重要2024/3/316西安電子科技大學計算機學院網絡安全問題日益突出混合型威脅(RedCode,Nimda)拒絕服務攻擊(Yahoo!,eBay)發(fā)送大量郵件的病毒(LoveLetter/Melissa)多變形病毒(Tequila)特洛伊木馬病毒網絡入侵70,00060,00050,00040,00030,00020,00010,000已知威脅的數量2024/3/317西安電子科技大學計算機學院CERT有關安全事件的統(tǒng)計

計算機緊急響應組織（CERT）

年份事件報道數目198861989132199025219914061992773199313341994234019952412199625731997213419983734199998592000217562001526582024/3/318西安電子科技大學計算機學院2024/3/319西安電子科技大學計算機學院2011年網絡安全事件2011年末，中國公眾經歷了一次大規(guī)模個人信息泄露事件的洗禮，幾乎人人自危。CSDN、天涯等眾多互聯網公司的賬戶密碼信息被公開下載；12月4日伊朗捕獲了一架美國RQ-170“哨兵”無人機；4月，索尼迄今為止遭遇到的規(guī)模最大的黑客攻擊；3月，RSA被網絡釣魚；美國花旗銀行6月8日證實，該銀行系統(tǒng)日前被黑客侵入，21萬北美地區(qū)銀行卡用戶的姓名、賬戶、電子郵箱等信息或遭泄露；…2024/3/320西安電子科技大學計算機學院到底是誰在攻擊網絡？通過什么樣的手段攻擊網絡？2024/3/321西安電子科技大學計算機學院WhoisAttackingSystems?2024/3/322西安電子科技大學計算機學院網絡中存在的安全威脅系統(tǒng)穿透(Systempenetration)違反授權原則(Autherizationviolation)植入(Planting)通信監(jiān)視(Communicutionsmonitoring)通信竄擾(Communicationstampering)中斷(Interruption)拒絕服務(Denialofservice)否認(Repudiation)病毒2024/3/323西安電子科技大學計算機學院思考如何保證網絡安全？2024/3/324西安電子科技大學計算機學院OSI安全框架ITU-TX.800“SecurityArchitectureforOSI”即OSI安全框架；提供了一個定義和提供安全需求的系統(tǒng)化方法；提供了一個有用的學習研究的概貌。ITU:國際電信聯盟OSI:開放式系統(tǒng)互聯2024/3/325西安電子科技大學計算機學院OSI安全框架安全攻擊，securityattack任何危及系統(tǒng)信息安全的活動。安全服務，securityservice加強數據處理系統(tǒng)和信息傳輸的安全性的一種服務。目的在于利用一種或多種安全機制阻止安全攻擊。安全機制，securitymechanism用來保護系統(tǒng)免受偵聽、阻止安全攻擊及恢復系統(tǒng)的機制。2024/3/326西安電子科技大學計算機學院安全攻擊攻擊/威脅？攻擊的類型被動攻擊主動攻擊2024/3/327西安電子科技大學計算機學院被動攻擊（1）2024/3/328西安電子科技大學計算機學院被動攻擊（2）是在未經用戶同意和認可的情況下將信息或數據文件泄露給系統(tǒng)攻擊者，但不對數據信息做任何修改。常見手段：搭線監(jiān)聽；無線截獲；其他截獲。不易被發(fā)現。重點在于預防，如使用虛擬專用網（VPN）、采用加密技術保護網絡以及使用加保護的分布式網絡等。2024/3/329西安電子科技大學計算機學院主動攻擊（1）2024/3/330西安電子科技大學計算機學院主動攻擊（2）涉及某些數據流的篡改或虛假流的產生。通常分為：假冒；重放；篡改消息；拒絕服務。

能夠檢測出來。不易有效防止，具體措施包括自動審計、入侵檢測和完整性恢復等。2024/3/331西安電子科技大學計算機學院安全機制要具備檢測、防御或從安全攻擊中恢復的能力沒有單一的機制能夠提供所有的安全服務一個機制往往構成其它安全機制的基礎，如:加密技術2024/3/332西安電子科技大學計算機學院安全機制(X.800)特定的安全機制（specificsecuritymechanisms）:加密，

數字簽名，

訪問控制，數據完整性，認證交換，流量填充，路由控制，公證等普遍的安全機制（pervasivesecuritymechanisms）:可信功能，安全標簽，事件檢測，安全審計跟蹤，安全恢復等2024/3/333西安電子科技大學計算機學院安全服務強化一個組織的數據處理系統(tǒng)和信息傳輸中的安全性對安全攻擊的反擊采用一個或更多的安全機制

對文檔進行安全地分發(fā)例如簽名，對信息進行保護以免披露、損害或毀壞2024/3/334西安電子科技大學計算機學院安全服務X.800:為系統(tǒng)協(xié)議層提供的服務，用來保證系統(tǒng)或數據的傳輸有足夠的安全性。RFC2828:一種由系統(tǒng)提供的對系統(tǒng)資源進行特殊保護的處理或通信服務，安全服務通過安全機制來實現安全策略。2024/3/335西安電子科技大學計算機學院安全服務

(

X.800

)可認證性

-assurancethatthecommunicatingentityistheoneclaimed訪問控制

-preventionoftheunauthorizeduseofaresource機密性

Confidentiality-protectionofdatafromunauthorizeddisclosure完整性

Integrity-assurancethatdatareceivedisassentbyanauthorizedentity不可否認性

Non-repudiation-protectionagainstdenialbyoneofthepartiesinacommunication可用性

-availability2024/3/336西安電子科技大學計算機學院安全服務與機制間的關系表1.62024/3/337西安電子科技大學計算機學院網絡安全模型2024/3/338西安電子科技大學計算機學院網絡安全模型設計安全服務應包含四個方面內容：

設計執(zhí)行安全相關傳輸的算法

產生算法所使用的秘密信息

設計分配和共享秘密信息的方法

指明通信雙方使用的協(xié)議，該協(xié)議利用安全算法和秘密信息實現安全服務2024/3/339西安電子科技大學計算機學院網絡訪問安全模型2024/3/340西安電子科技大學計算機學院網絡訪問安全模型需要做到:選擇合適的門衛(wèi)功能以識別用戶

實現安全控制以確保只有授權用戶才可以訪問被指定的信息或資源

可信計算機系統(tǒng)

2024/3/341西安電子科技大學計算機學院國外網絡安全標準（1）美國國防部TCSEC可信計算機系統(tǒng)標準評估準則(桔皮書)。該標準是美國國防部制定80年代的。它將安全分為4個方面:安全政策、可說明性、安全保障和文檔。在美國國防部虹系列(RainbowSeries)標準中有詳細的描述。該標準將以上4個方面分為7個安全級別,從低到高依次為D、C1、C2、B1、B2、B3和A1級：A1級：驗證設計級；B3級：安全域級B2級：結構化保護級B1級：標記安全保護級完全可信網絡安全（B1、B2、B3）；C2級：受控存取保護級；

C1級：自主安全保護劑D級：不可信網絡安全。問題：以保密和單點機為主。2024/3/342西安電子科技大學計算機學院國外網絡安全標準（2）歐洲ITSEC

與TCSEC不同,它并不把保密措施直接與計算機功能相聯系,而是只敘述技術安全的要求,把保密作為安全增強功能。另外,TCSEC把保密作為安全的重點,而ITSEC則把完整性、可用性與保密性作為同等重要的因素。ITSEC定義了從E0級(不滿足品質)到E6級(形式化驗證)的7個安全等級,對于每個系統(tǒng),安全功能可分別定義。ITSEC預定義了10種功能,其中前5種與桔皮書中的C1-B3級非常相似。2024/3/343西安電子科技大學計算機學院國外網絡安全標準（3）加拿大CTCPEC

該標準將安全需求分為4個層次:機密性、完整性、可靠性和可說明性。對產品和評估過程強調功能和保證。分為7個保證級，通常稱為EAL-1到EAL-7。美國聯邦準則(FC)

該標準參照了CTCPEC及TCSEC,其目的是提供TCSEC的升級版本,同時保護已有投資,但FC有很多缺陷,是一個過渡標準,后來結合ITSEC發(fā)展為聯合公共準則CC。2024/3/344西安電子科技大學計算機學院國外網絡安全標準（4）信息技術安全評價通用準則(CC)

CC的目的是想把已有的安全準則結合成一個統(tǒng)一的標準。該計劃從1993年開始執(zhí)行,1996年推出第一版。CC結合了FC及ITSEC的主要特征,它強調將安全的功能與保障（安全功能的可信度）分離,并將功能需求分為11類63族,將保障分為7類29族。

99.7通過國際標準化組織認可,為ISO/IEC15408信息技術安全評估準則。2024/3/345西安電子科技大學計算機學院國外網絡安全標準（5）ISO安全體系結構標準在安全體系結構方面,ISO制定了國際標準ISO7498-2-1989《信息處理系統(tǒng)開放系統(tǒng)互連基本參考模型第2部分安全體系結構》。該標準為開放系統(tǒng)互連(OSI)描述了基本參考模型,為協(xié)調開發(fā)現有的與未來的系統(tǒng)互連標準建立起了一個框架。其任務是提供安全服務與有關機制的一般描述,確定在參考模型內部可以提供這些服務與機制的位置