1信息安全概述

1965’— 1985’
计算机安全 发展时期
1985’— 1995’
机密性 信息安全 真实性 （网络安全） 可用性 发展时期 不可否认性 可控性
1995’后
2 整体发展和 信息安全保障 新型应用下 •NESSIE,AES,PKI,PDR,IAIF; 发展时期 的安全问题 •电子签名法(2004),(2004)中办发[2003]27 号文;
内容安全技术
监控数字内容传播技术，主要包括网络内容的发现和追踪、内容的过 滤和多媒体的网络发现等技术。
23
信息安全评测与管理技术
信息安全测评技术技术
对信息安全产品或信息系统的安全性等进行验证、测试、 评价和定级，以规范他们的安全特性。
信息安全管理技术
涉及安全管理制度的制定、物理安全管理、系统与网络安 全管理、信息安全等级保护及信息资产的风险管理等内容。 已成为信息安全技术的一部分，已成为构建信息安全系统 的重要环节之一。
30
本章主要内容
1 什么是信息安全
信息安全的定义及属性 信息安全发展历程 信息安全技术体系
2
OSI安全体系结构
安全攻击 安全服务 安全机制
安全攻击
即冒名顶替。一般而言，伪装攻击的同时 往往还伴随着其他形式的主动攻击
主动攻击:更改数据流，或伪造假的数据流。
重放攻击先被动地窃取通 伪装 信数据，然后再有目的地 篡改攻击即修改报文的内容。 重新发送 重放 或者对截获的报文延迟、重新 排序 拒绝服务阻止或占据对通信设施的正常使用 篡改 或管理。针对特定目标或是某个网络 拒绝服务
网络与系统安全防护与应急响应技术
防火墙：设置在受保护网络或系统的入口，起到防御攻击的作用。
入侵检测系统（IDS）：部署于系统内部，用于检测非授权侵入。 蜜罐（Honey Pot）：搜集、分析潜在攻击者的信息。
安全审计与责任认定技术
安全审计记录，数字指纹
恶意代码检测与防范技术
利用恶意代码的不同特征来检测并阻止其运行。
ITU-X.800给出的相关属性的定义
（4）真实性（Authentication）： assurance that the communicating entity is the one it claims to be. peer entity authentication. Data-origin authentication.
14
P2DR网络安全模型
PPDR 的基本思想是在 —— PROTECT — RESPONSE PPDR PPDR —— POLICY DETECT 整体的安全策略的指导 传统安全机制 在遭遇攻击和紧急事 访问控制策略 从监视、分析、审计 下，在综合应用防护工 访问控制技术 件时及时采取措施， 信息网络活动的角度， 包括调整系统的安全 加密通信策略 具（如防火墙、操作系 ACL 发现对于信息网络的 统身份认证和加密等手 措施、跟踪反击攻击 身份认证策略 FIREWALL 攻击、破坏活动，提 段）的同时，利用检测 源和保护性关闭服务 信息加密技术 供预警、实时响应、 备份恢复策略 工具（如漏洞评估、入 和主机等。 事后分析和系统恢复 身份认证技术 侵检测等）了解和评价 等等 评估系统受到的危害 等方面的支持，使安 一次性口令 系统的安全状态，将系 与损失，恢复系统功 全防护从单纯的被动 统调整到最安全和风险 X.509 能和数据，启动备份 防护演进到积极的主 最低的状态。 等等 系统等。 动防御。
ITU-X.800给出的相关属性的定义
（1）机密性（Confidentiality）： Prevent unauthorised disclosure of information. 即使非授权用户得到信息也无法知晓信 息内容。可通过访问控制阻止非授权用 户获得机密信息，通过加密阻止非授权 用户知晓信息内容。
OSI安全体系结构的核心内容是如何保证异构计 算机系统进程与进程之间远距离安全交换信息。
29
OSI安全体系结构
安全攻击：任何可能会危及机构信息安全的 行为。 安全机制：用来检测、防范安全攻击并从中 恢复系统的机制。 安全服务：用来增强机构的数据处理系统安 全性和信息传递安全性的服务。 OSI安全体系，作为研究设计计算机网络系 统以及评估和改进现有系统的理论依据。
安全攻击 安全服务 安全机制
信息安全发展历程
•通信业大发展 •各行业的信息化建设 •网络攻防与信息战 •焦点：整体安全解决 •计算机应用逐渐广泛 方案 •网络开始普及 •电子商务逐渐发展 •电子政务逐步推进 •焦点：网络安全
•国防、外交等机 要信息 •焦点：通信保密 问题 ——1960s
ITU-X.800给出的相关属性的定义
（5）不可否认性（Non-Repudiation）： protection against denial by one of the parties in a communication. Origin non-repudiation：proof that the message was sent by the specified party. Destination non-repudiation：proof that the message was received by the specified party. 一般通过数字签名（digital signature）来提供 不可否认性服务。
北京电子科技学院
《信息安全概论》
第1章 信息安全概述
李冬冬 Lidongdong@besti.edu.cn 信息安全系 2012/9
本章主要内容
1 什么是信息安全
信息安全的定义及属性 信息安全发展历程 信息安全技术体系
2
OSI安全体系结构
安全攻击 安全服务 安全机制
本章主要内容
24
信息安全知识点
本章主要内容
1 什么是信息安全
信息安全的定义及属性 信息安全发展历程 信息安全技术体系
2
OSI安全体系结构
安全攻击 安全服务 安全机制
Security Goals
Confidentiality
保密性
Integrity 完整性
Avalaibility 可用性
15
建立安全保障体系的目的 信息安全防护能力
隐患发现能力
网络应急反应能力 信息对抗能力
广义信息安全保障体系-国家层面
国家信息安全保障体系框架
组 织 管 理
技 术 保 障
基 础 设 施
产 业 支 撑
人 材 培 养
环 境 建 设
本章主要内容
1 什么是信息安全
信息安全的定义及属性 信息安全发展历程 信息安全技术体系
网络系统安全技术
网络安全体系的参考模型与系统安全框架。 传输层安全：SSL/TLS。 网络层安全：IPSec。 应用层安全：安全电子交易系统（SET） 。
22
应用安全技术
网络与系统攻击技术
攻击者利用信息系统弱点破坏或非授权地入侵网络和系统的技术。
网络与系统调查、口令攻击、拒绝服务攻击（ DoS）、缓冲区溢出攻 击。
什么是信息安全
从目标保护角度看信息安全（属性）: ISO17799（信息安全管理体系）定义：“信息安 全是使信息避免一系列威胁，保障商务的连续性， 最大限度地减少商务的损失，最大限度地获取投资 和商务的回报，涉及机密性、完整性、可用性。” 国际标准化委员会定义：“为数据处理系统而采 取的技术的和管理的安全保护，保护计算机硬件、 软件、数据不因偶然的或恶意的原因而遭到破坏 （可用性）、更改（完整性）、显露（机密性）”
ITU-X.800给出的相关属性的定义
（3）可用性（Availability）： services should be accessible when needed and without delay. 保障数据和服务的任何时候都正常 可用。 涉及物理、网络、系统、数据、应 用和用户等多方面因素。
•计算机的开始使用 •焦点：计算机安全 （单机信息保护、防 病毒）
1960-80s
1990s
1995——
通信安全
计算机安全
信息安全
信息保障
13
古代— 1965’
通信安全 发展时期
机密性 机密性 真实性 可用性
信息传输的机密性： •古典密码; •Shannon保密通信模型(1949); 计算机和信息系统安全： •操作系统安全(65); •计算机安全模型(70),访问控制策略; •计算机安全标准化商业 化:TCSEC(85),(85)IDS; •公钥密码体制(76),DES(77),RSA(78); 互联网促进了信息安全的发展和应用： •密码学:ECC,密钥托管,DSS,可证安全; •安全协议:IPSec,SSL,SET; •安全评估:ITSEC,CC;ITSECCC;(90s’)) •网络安全:NIDS,DIDS,防火墙; •主动防护:CERT/CC(89); 信息安全的发展与国家战略结合在一起：
被动攻击:对传输进行偷听与监视，获得传 输信息。 窃听和分析所传输的报文内容
报文分析 流量分析
分析通信主机的位置、通信的 频繁程度、报文长度等信息
ITU-X.800给出的相关属性的定义
（2）完整性（Integrity）： Assurance that data received are exactly as sent by an authorized sender. 通过访问控制阻止篡改行为，通过消 息摘要算法检验信息是否被篡改。
21
基础设施安全技术
主机系统安全技术
主机系统主要包括操作系统和数据库等。 主机系统安全技术采纳了大量的标识与认证及授权与访 问控制等技术。 也包含自身固有的技术，如获得内存安全、进程安全、账户安全、 内核安全、业务数据完整性和事务提交可靠性等的技术，并且设 计高等级安全的操作系统需要进行形式化论证。
信 息 安 全 管 理 技 术
核心基础安全技术
密码技术 信息隐藏技术
基础学科
数学 物理 微电子 通信 计算机
源自文库30
20
核心基础安全技术
密码技术
密码算法：分组密码、序列密码、公钥密码、 杂凑函数、数字签名。 密码协议：在消息处理环节采用密码算法的协议。
信息隐藏
将特定用途的信息隐藏在其它可公开的数据或 载体中，使得它难以被消除或发现。 隐写，数字水印，软硬件中的数据隐藏。 隐蔽通信，版权保护。
1 什么是信息安全
信息安全的定义及属性 信息安全发展历程 信息安全技术体系
2
OSI安全体系结构
安全攻击 安全服务 安全机制
什么是信息安全
信息安全是指信息网络的硬件、软件及其 系统中的数据受到保护，不受偶然的或者 恶意的原因而遭到破坏、更改、泄露，系 统连续可靠正常地运行，信息服务不中断。 信息系统抵御意外事件或恶意行为的能力， 这些事件和行为将危及所存储、处理或传 输的数据或由这些系统所提供的服务的可 用性、机密性、完整性、非否认性、真实 性和可控性。
其它属性
（6）可控性（Controllability）： 能够保证掌握和控制信息与信息系统基本情况， 可对信息和信息系统的使用实施可靠的授权、审计、 责任认定、传播源追踪和监管等控制。
本章主要内容
1 什么是信息安全
信息安全的定义及属性 信息安全发展历程 信息安全技术体系
2
OSI安全体系结构
2
OSI安全体系结构
安全攻击 安全服务 安全机制
应用安全技术
网络与系统攻 击技术 网络与系统安 全防护与应急 响应技术 安全审计与责 任认定技术 恶意代码检测 与防范技术 内容安全技术
信 息 安 全 测 评 技 术
基础设施安全技术
主机系统安全技术 网络系统安全技术
安全基础设施技术
标识与认证技术 授权与访问控制技术
Norepudiation 不可否认性
27
信息安全防护
信息安全防护的目的是什么？
维持信息的价值。 保持信息的各种安全属性。
OSI安全体系结构
需要一种系统方法来定义安全需求以及满足安 全需求的方法。
ISO7498-2标准：1989年12月颁布，确立了基于 OSI参考模型的七层协议之上的信息安全体系结构。 我国称其为GB/T9387-2标准。