《第01章信息安全技术概述.ppt》由会员分享,可在线阅读,更多相关《第01章信息安全技术概述.ppt(69页珍藏版)》请在三一办公上搜索。
1、主讲人:任凯联系方式:renkai_,信 息 安 全 技 术,2,00:55:47,几个生活中经常遇到的情况,使用U盘时,是否在“我的电脑”中双击打开U盘盘符?播放从网上下载的一个AVI格式电影,有可能中毒吗?访问网页会中毒吗?一般什么情况认为自己中毒了?,3,00:55:47,几个小问题,上网安全吗?如果你的电脑被入侵,你觉得可能对你造成的最大危害是什么?如何进行安全防护,避免各类攻击?使用强口令文件必须安全存储临时离开请及时锁屏或注销杀(防)毒软件不可少个人防火墙不可替代,不打开来历不明的邮件或附件不要随意浏览黑客、色情网站警惕“网络钓鱼”聊天软件的安全移动设备的安全,4,00:55:47
2、,2014年国内重大的信息安全,支付宝找回密码功能存在系统漏洞携程网用户支付信息出现漏洞,漏洞泄露的信息包括用户的姓名、身份证号码、银行卡卡号、银行卡CVV码、支付密码UC浏览器存在可能导致用户敏感数据泄漏的漏洞 小米论坛存在用户资料泄露黑客通过公共场所免费WIFI诱导用户链接而获取手机中银行卡、支付宝等账户信息从而盗取资金的消息 苹果手机获取用户位置信息,5,00:55:47,2013-2014年国际重大的信息安全事件,“棱镜门”事件:美国国家安全局监控用户隐私Google曝法国伪造CA证书全球首例国家级伪造CA证书劫持加密通讯事件诞生Apple、Facebook、Twitter 等科技巨头
3、相继被入侵,用户数据泄漏OpenSSL出现“Heartbleed”有史以来最大的比特币失窃案,全球最大Bitcoin交易平台Mt.Gox申请破产,6,00:55:47,一些常用名词,红客:从事网络安全行业的爱国黑客白客:又称安全防护者,用寻常话说就是一些原本的黑客转正了,他们进入各大科技公司专门防护网络安全黑客:指某些热衷于计算机和网络技术、技能高超、非法入侵他人计算机系统的人,又称“骇客”灰客:指某些对计算机和网络安全感兴趣,初步了解网络安全知识,能够利用黑客软件或初级手法从事一些黑客行为的人。由于他们受技术限制,既不够“黑”,但也不“白”蓝客:指某些标榜自己只热衷于纯粹的互联网技术而不关心
4、其他事物、我行我素的“黑客”,7,00:55:47,信息战已经成为各国军事斗争的主要组成部分,中国需要维护国家信息系统的安全,建立保护网络国家边界的网军势在必行:1.我国集成电路芯片的自给率不足10%。要做到网络安全,首先就是硬件安全,而芯片安全是硬件安全核心内容之一2.微软的各版本操作系统在中国市场的占有率达到98%。软件安全是网络安全的另一个核心内容,最基本的操作系统不是自己编写的,同样留有安全隐患,8,00:55:47,理解安全与不安全概念,“安全”一词在字典中被定义为“远离危险的状态或特性”和“为防范间谍活动或蓄意破坏、犯罪、攻击或逃跑而采取的措施”。没有危险;不受威胁;不出事故,9,
5、00:55:47,先行案例,黑色星期五源于西方的宗教信仰与迷信:耶稣基督死在星期五,而13是不吉利的数字。两者的结合令人相信当天会发生不幸的事情历史上有好几个事件都发生于星期五:1869年的黑色星期五:美国金融市场大泻 1919年的黑色星期五:格拉斯哥工人罢工 1939年的黑色星期五:澳大利亚发生山林大火 1978年的黑色星期五:伊朗示威者大屠杀 1982年的黑色星期五:福克兰群岛战争爆发(英国和阿根廷),10,00:55:47,先行案例,2001年“红色代码”蠕虫2001年“尼姆达Nimda”蠕虫事件多种手段攻击网络2003年 SQL SLAMMER蠕虫 攻击SQL服务器2003 年口令蠕虫
6、 口令方式攻击主机2003年 冲击波“MSBLAST”蠕虫和“Blast清除者”蠕虫 2004年 震荡波蠕虫 针对微软windows操作系统的漏洞2005年“黛蛇”蠕虫事件2006年“魔波”蠕虫 引发“僵尸网络”2007年“Nimaya(熊猫烧香)”病毒事件 2008年“机器狗”病毒事件 2009年“飞客”蠕虫的泛滥,11,00:55:47,2010年初,美国硅谷的迈克菲公司发布最新报告,约109.5万台中国计算机被病毒感染(美国105.7万),排第一位。2010年1月2日,公安部物证鉴定中心被黑,登陆该网站,有些嘲弄语言,还贴一张“我们睡,你们讲”的图片,图片是公安某单位一次会议上,台下参会
7、人员大睡的场面。,先行案例,12,00:55:47,先行案例,2010今年“两会”期间,3月3日,全国政协委员严琪所办陶然居餐饮集团网站(-)被黑,引发热议。,13,00:55:47,先行案例,英国税务局“光盘”门2007年11月,英国税务及海关总署的一名公务员在将两张光碟寄给审计部门时,由于疏忽忘记依照规范以挂号寄出,导致光碟下落不明。光碟中有英国家庭申请十六岁以下儿童福利补助的资料,包括公民的姓名、地址、出生年月、社会保险号码和银行帐户资料,据称其中还包括了英国首相布朗一家的机密资料。,英国财政大臣达林在国会下院承认数据丢失,布朗面色凝重。,14,00:55:47,卖家网上叫卖英国失踪税务
8、光盘,15,00:55:47,先行案例,网络成为重要的窃密渠道,扫描网络,发现漏洞,控制系统,窃取文件,16,00:55:47,先行案例,违规操作泄密,敌对势力窃密,互联网,部队失密案:2003年初,军队某参谋违反规定,使用涉密计算机上因特网,被台湾情报机关跟踪锁定,一次窃走1000多份文档资料,影响和损失极为严重。,17,00:55:47,提高信息安全意识,不通过email传输敏感信息,敏感信息加密以后再传输不借用帐号、不随意说出密码敏感信息不要随意地放置,打印或复印的敏感资料要及时取走离开电脑时记得锁屏与清除桌面不在公司外部讨论敏感信息发现安全问题及时报告.,18,00:55:47,加强计
9、算机与网络安全,设置复杂密码根据安全规范进行安全设置及时安装补丁安装防病毒软件并及时更新不随意下载安装软件,防止恶意程序、病毒及后门等黑客程序,19,00:55:47,通俗地说,安全就是,安全是稳定状态或确定状态,20,00:55:47,关于课程,学习本课程的要求,教学目标,通过本课程的学习,要求对信息安全的概念与内涵有较全面的了解,较全面地掌握有关信息安全的基础理论和实用技术,掌握网络系统安全防护的基本方法,培养网络安全防护意识,增强网络系统安全保障能力,并能在实践中其指导作用。,教材:,王凤英,网络与信息安全技术,中国铁道出版社张同光,信息安全技术实用教程,电子工业出版社熊平,信息安全原理
10、及应用,清华大学出版社赵泽茂,信息安全技术,西安电子科技大学出版社,21,00:55:47,关于课程,课程内容,信息安全综述,对称密钥密码体系,公钥密码体系,身份认证、访问控制与系统审计,操作系统安全,单向散列函数,PKI技术,数据库系统安全,因特网安全和VPN,WEB电子商务安全,防火墙技术,入侵检测技术,22,00:55:47,关于课程,本课程对学生的要求,23,00:55:47,关于课程,考核,30%(平时成绩:出勤、平时作业等)+70%考试成绩,听课,课堂纪律欢迎同学上讲台跟同学们分享信息安全相关知识,24,00:55:47,1,信息安全综述,25,00:55:47,本章提要,网络与信
11、息安全的基本概念网络安全威胁网络安全的层次结构安全评价标准研究网络与信息安全的意义网络信息安全管理,26,00:55:47,1.1计算机网络安全的基本概念,密码安全:通信安全的最核心部分计算机安全:一种确定的状态,使计算机化数据和程序不致被非授权人员、计算机或程序访问获取和修改网络安全:指利用网络管理控制技术措施,保证在一个网络环境里信息数据的保密性、完整性及可使用性受到保护信息安全:防止任何对数据进行未授权访问的措施,或防止造成信息有意无意泄漏、破坏、丢失等问题的发生,让数据处于远离危险、免于威胁的状态或特性,27,00:55:47,1.1 网络与信息安全的基本概念,关系,信息安全,网络安全
12、,计算机安全,密码安全,28,00:55:47,1.1 网络与信息安全的基本概念,网络信息安全的要求,29,00:55:47,1.1 网络与信息安全的基本概念,木桶原理网络安全遵循“木桶原理”,即一个木桶的容积决定于组成它的最短的一块木板,一个系统的安全强度等于它最薄弱环节的安全强度。安全防护必须建立在一个完整的多层次的安全体系之上,任何的薄弱环节都将导致整个安全体系的崩溃,30,00:55:47,1.2 网络安全威胁,网络安全问题日益突出,网络与信息系统在变成”金库”,当然就会吸引大批合法或非法的”掏金者”,所以网络信息的安全与保密问题显得越来越重要。几乎每天都有各种各样的“黑客”故事:19
13、94年末 俄罗斯黑客弗拉基米尔利文与其伙伴从圣彼得堡的一家小软件公司的联网计算机上,向美国名为CITYBANK银行发动了一连串攻击,通过电子转帐方式,从CITYBANK银行在纽约的计算机主机里窃取美元1100万。,31,00:55:47,1996年8月17日 美国司法部的网络服务器遭到“黑客”入侵,并将“美国司法部”的主页改为“美国不公正部”,将司法部部长的照片换成了阿道夫希特勒,将司法部徽章换成了纳粹党徽,并加上一幅色情女郎的图片作为所谓司法部部长的助手。1999年4月26日 台湾人编制的CIH病毒的大爆发,有统计说我国大陆受其影响的PC机总量达36万台之多。有人估计在这次事件中,经济损失高
14、达近12亿元,1.2 网络安全威胁,32,00:55:47,2000年5月4日 一种名为“我爱你”(爱虫)的电脑病毒开始在全球各地迅速传播。据美国加利福尼亚州的名为“电脑经济”的研究机构发布的初步统计数据,“爱虫”大爆发两天之后,全球约有4500万台电脑被感染,造成的损失已经达到26亿美元。在以后几天里,“爱虫”病毒所造成的损失以每天10亿美元到15亿美元的幅度增加。,1.2 网络安全威胁,33,00:55:47,数据大集中风险也更集中了;系统复杂了安全问题解决难度加大;云计算安全已经不再是自己可以控制的3G、物联网、三网合一IP网络中安全问题引入到了电话、手机、广播电视中web2.0、微博、
15、人肉搜索网络安全与日常生活越来越贴近,新应用导致新的安全问题,1.2 网络安全威胁,34,00:55:47,1.2 网络安全威胁,35,00:55:47,1.2 网络安全威胁,36,00:55:47,主要威胁种类:,1.2 网络安全威胁,37,00:55:47,商业间谍,按照FBI的估计,由于商业间谍的危害,美国各大公司每年要损失100亿美元,1.2 网络安全威胁动机,38,00:55:47,经济利益,1.2 网络安全威胁动机,39,00:55:47,报复或者引入注意:为了炫耀能力的黑客少了,为了非法取得政治、经济利益的人越来越多,1.2 网络安全威胁动机,40,00:55:47,1.2 网络
16、安全威胁动机,恶作剧,41,00:55:47,无知,黑客“菜霸”,1.2 网络安全威胁动机,42,00:55:47,1.3 网络安全的层次结构,43,00:55:47,1.3 网络安全的层次结构 _物理安全,自然灾害、物理损坏、设备故障某一天下着大雨,突然“霹雳”一声,电脑突然断线了,经查是上网用的adsl modem被击坏了。电磁辐射、乘机而入、痕迹泄露QQ被盗,黑客公开售卖200元,最后费尽周折,利用密码保护才要回了自己心爱的QQ号,但是里面的好友和群全部被删除操作失误、意外疏漏想通过优盘把连夜加班的资料拷贝到单位电脑上,可插入u盘后里面空空如也,一晚上的工作付之东流。,44,00:55:
17、47,1.3 网络安全的层次结构 _安全控制,45,00:55:47,1.3 网络安全的层次结构安全服务,安全服务,46,00:55:47,1.4.1 网络安全的评价标准,1985年,美国国防部发表了可信计算机系统评估准则,它依据处理的信息等级采取相应的对策,划分了四类七个安全等级。依照各类、级的安全要求从低到高,依次是D、C1、C2、B1、B2、B3和A1级。,47,00:55:47,1.4.1 网络安全的评价标准,C类称为酌情保护,B类称为强制保护,A类称为核实保护。这个标准过分强调了保密性,而对系统的可用性和完整性重视不够,因此实用性较低。,48,00:55:47,1.4.2 网络安全服
18、务,OSI(Open Systems Interconnection)标准由ISO(International Standard Organization)与ITU(International Telecommunication Union)联合制定,将开放互联网络用7层描述,并通过相应的7层协议实现系统间的相互连接,OSI(开放系统互联参考模型),49,00:55:47,OSI的安全体系结构,成果标志是ISO发布了ISO7498-2标准,作为OSI基本参考模型的补充是基于OSI参考模型的七层协议之上的信息安全体系结构ISO7498-2标准定义了5类安全服务、8种特定的安全机制、5种普遍性安全
19、机制它确定了安全服务与安全机制的关系以及在OSI七层模型中安全服务的配置确定了OSI安全体系的安全管理,1.4.2 网络安全服务,50,00:55:47,ISO 7498-2三维图,1.4.2 网络安全服务,51,00:55:47,五类安全服务身份认证(鉴别),A与B通信,A是发起方,对等实体鉴别鉴别B的身份的真实性 A使用这种服务可以确信:一 个实体此时没有试图冒充别的实体,或没有试图将先前的连接作非授权地重演。,数据原发鉴别B鉴别A来源的身份的真实性。对数据单元的来源提供确认。这种服务对数据单元的重复或篡改不提供保护。,1.4.2 网络安全服务,52,00:55:47,五类安全服务数据保密
20、,对数据提供保护使之不被非授权地泄露,1.4.2 网络安全服务,53,00:55:47,保护信息不被未授权者非法纂改信息,如修改、复制、插入和删除等,五类安全服务数据完整性,1.4.2 网络安全服务,54,00:55:47,五类安全服务不可否认(抗抵赖),用于防止参与通信的实体在事后否认曾参与全部或部分通信。防止消息或行动源否认曾发送消息或采取过的行动;防止消息接收者否认曾收到该消息无连接完整性,1.4.2 网络安全服务,55,00:55:47,五类安全服务访问控制,对系统的资源提供保护,防止未授权利用,这种保护服务可应用于对资源的各种不同类型的访问读、写或删除信息资源应用于对一种资源的所有访
21、问,1.4.2 网络安全服务,56,00:55:47,Windows XP 文件访问控制,1.4.2 网络安全服务,57,00:55:47,1.4.2 网络安全服务,58,00:55:47,八大安全机制加密,使用加密算法对存放的数据进行加密,加密算法可逆加密算法:对称加密;不对称加密不可逆加密算法可以使用密钥,也可以不使用,1.4.3 特定安全机制,59,00:55:47,八大安全机制数字签名机制,采用非对称密钥体制,使用私钥进行数字签名,使用公钥对签名信息进行验证。两个过程:,一:对数据签名使用签名者所私有的信息即使用签名者的私有信息作为私钥,或对数据单元进行加密,或产生出该数据单元的一个密
22、码校验值。,二:验证签过名的数据使用公开的规程与信息来决定该签名是不是用签名者的私有信息产生的。所用的规程与信息是公之于众的,但不能够从它们推断出该签名者的私有信息。,本质特征:该签名只有使用签名者的私有信息才能产生出来。因而,当该签名得到验证后,它能在事后的任何时候向第三方(例如法官或仲裁人)证明只有那个私有信息的惟一拥有者才能产生这个签名。,数字签名是解决网络通信中特有的安全问题的有效方法。特别是针对通信双方发生争执时可能产生的否认、冒充、伪造、篡改;具有可证实性、不可否认性、不可伪造性和不可重用性。,1.4.3 特定安全机制,60,00:55:47,八大安全机制访问控制机制,根据访问者的
23、身份和其它信息,来决定和实施实体的访问权限:已鉴别的身份有关该实体的信息使用该实体的权力,访问控制的功能:拒绝实体试图使用非授权的资源,或者以不正当方式使用授权资源。可能产生一个报警信号或记录进行安全审计跟踪。,1.4.3 特定安全机制,61,00:55:47,八大安全机制数据完整性机制,判断信息在传输过程中是否被篡改、增加、删除过,确保信息的完整。主要有两种形式:,数据单元完整性:发送实体给数据单元附加上一个量,这个量为该数据的函数,例如校验码。接收实体产生一个相应的量,并把它与接收到的那个量进行比较以决定该数据是否在转送中被篡改过。单靠这种机制不能防止单个数据单元的重演,数据单元序列的完整
24、性:要求数据编号的连续性和时间标记的正确性,以防止假冒、丢失、重发、插入或修改数据,1.4.3 特定安全机制,62,00:55:47,八大安全机制鉴别交换机制,以交换信息的方式来确认实体身份的机制,实现同级之间的身份认证。用于交换鉴别的技术有:口令:由发方实体提供,收方实体检测密码技术:将交换的数据加密,只有合法用户才能解密,得出有意义的明文。在许多情况下,这种技术与时间标记和同步时钟、双方或三方“握手”、数字签名和公证机构一起使用。实体的特征或占有物:IC卡、指纹识别和身份卡等,对等实体鉴别:如果在鉴别实体时,这一机制得到否定的结果,就会导致连接的拒绝或终止,也可能使在安全审计跟踪中增加一个
25、记录,或给安全管理中心一个报告。,1.4.3 特定安全机制,63,00:55:47,八大安全机制通信业务填充机制,通过填充冗余的业务流量,防止攻击者对流量进行分析,填充过的流量需通过加密进行保护主要是对抗非法者在线路上监听数据并对其进行流量和流向分析;防止业务风险,1.4.3 特定安全机制,64,00:55:47,八大安全机制路由选择控制机制,为数据的传送,动态地或预定地选取路由,以便只使用物理上安全的子网络、中继站或链路,通信系统检测到主动或被动攻击时,可以指示网络服务的提供者经不同的路由建立连接,连接带有某些安全标记的数据可能被安全策略禁止通过某些子网络、中继或链路。连接的发起者可以指定路
26、由选择说明,由它请求回避某些特定的子网络、链路或中继,1.4.3 特定安全机制,65,00:55:47,八大安全机制公证机制,第三方公证人参与数字签名、加密和完整性机制,基于通信双方对第三方的绝对信任,为两个或多个实体之间通信数据的完整性、原发、时间和目的地等性质提供保证。,公证人为通信实体所信任,并掌握必要信息以一种可证实方式提供所需的保证:CA(Certificate Authority)、Hotmail/yahoo 邮件服务登陆认证,1.4.3 特定安全机制,66,00:55:47,1.4.4 普遍性安全机制,安全审计跟踪,事件检测,安全标记,安全恢复,可信功能,67,00:55:47,1.5 研究网络与信息安全的意义,68,00:55:47,潜伏代码,满足条件否?,满足而爆炸,满足而爆炸,伊拉克的打印机香港的银行系统.,软件后门,政治目的?军事目的?经济目的?,1.5 研究网络与信息安全的意义,69,00:55:47,安全管理模型PDCA持续改进模式,
