新计算机网络与信息安全技术 教学课件 俞承杭 CH03信息安全体系结构
合集下载
网络与信息安全概论信息安全体系结构篇PPT课件
• 地震 • 火山爆发 • 飓风 • 台风 • 洪水 • 闪电 • 冰雹
2. 动机
• 获取机密或敏感数据的访问权(注意:那些对 某些人或组织有很高价值的信息对别人可能毫 无用处);
• 跟踪或监视目标系统的运行; • 扰乱目标的运行; • 窃取钱物或服务; • 免费使用资源(如计算机资源或免费使用网
的位置 • 确认的含义是希望收到下一个字节的编号
2.2 一些基本概念
• 脆弱性 • 信息安全威胁 • 攻击 • 信息安全风险 • 信息安全措施 • 信息安全机制
2.2.1 脆弱性
• 脆弱性是信息系统及其资源带有的,可能被威胁源 用来对信息系统及其资源实施具有损害行为的缺陷 或漏洞。
• 脆弱性可表现在
– 硬件设施的脆弱性 – 软件的脆弱性 – 网络通信协议的脆弱性 – 管理的脆弱性
2.2.2 信息安全威胁
• 所谓威胁就是指可能导致对系统或组织损害 的不期望事件发生的潜在原因。
1. 威胁的分类
• 人们可能认为对手具有恶意攻击目的,然而, 在系统安全和保护系统和信息的环境中,认识 到由那些非恶意目的发起的攻击是非常重要的。
我们不可能削弱一个对手的能力,但却可能减少对 手的(攻击)机会。
2.2.3 攻击
• IATF定义了5类攻击
– 被动攻击 – 主动攻击 – 物理临近攻击 – 内部人员攻击 – 分发攻击
(1)被动攻击
• 被动攻击包括流量分析、 监视未受保护的通信、解 密弱加密的数据流、获得 认证信息(如密码)。被 动拦截网络操作可以获得 对手即将发动的行为的征 兆和警报。
主机号
C类 1 1 0
网络号
主机号
D类 1 1 1 0
多播地址
E类 1 1 1 1
2. 动机
• 获取机密或敏感数据的访问权(注意:那些对 某些人或组织有很高价值的信息对别人可能毫 无用处);
• 跟踪或监视目标系统的运行; • 扰乱目标的运行; • 窃取钱物或服务; • 免费使用资源(如计算机资源或免费使用网
的位置 • 确认的含义是希望收到下一个字节的编号
2.2 一些基本概念
• 脆弱性 • 信息安全威胁 • 攻击 • 信息安全风险 • 信息安全措施 • 信息安全机制
2.2.1 脆弱性
• 脆弱性是信息系统及其资源带有的,可能被威胁源 用来对信息系统及其资源实施具有损害行为的缺陷 或漏洞。
• 脆弱性可表现在
– 硬件设施的脆弱性 – 软件的脆弱性 – 网络通信协议的脆弱性 – 管理的脆弱性
2.2.2 信息安全威胁
• 所谓威胁就是指可能导致对系统或组织损害 的不期望事件发生的潜在原因。
1. 威胁的分类
• 人们可能认为对手具有恶意攻击目的,然而, 在系统安全和保护系统和信息的环境中,认识 到由那些非恶意目的发起的攻击是非常重要的。
我们不可能削弱一个对手的能力,但却可能减少对 手的(攻击)机会。
2.2.3 攻击
• IATF定义了5类攻击
– 被动攻击 – 主动攻击 – 物理临近攻击 – 内部人员攻击 – 分发攻击
(1)被动攻击
• 被动攻击包括流量分析、 监视未受保护的通信、解 密弱加密的数据流、获得 认证信息(如密码)。被 动拦截网络操作可以获得 对手即将发动的行为的征 兆和警报。
主机号
C类 1 1 0
网络号
主机号
D类 1 1 1 0
多播地址
E类 1 1 1 1
《网络与信息安全》课件
网络钓鱼
欺骗用户透露个人信息,导致身份盗窃和 欺诈。
拒绝服务攻击
通过洪水式请求使网络服务无法正常运行, 导致服务中断。
数据泄露
机密数据被盗或泄露,对组织和个人造成 重大损失。
保护网络与信息安全的基本原则
1 机密性
确保只有授权用户可以访问和处理敏感信息。
2 完整性
防止数据被未经授权的修改、篡改或破坏。
实施网络与信息安全的挑战
1
技术复杂度
威胁的不断演进和新技术的出现,
人为因素
2
使保护网络安全变得更加复杂。
员工的疏忽和不法行为,是网络安
全的一个重要威胁。
3
合规要求
组织需要符合不同的法规和标准, 增加了实施网络安全的挑战。
网络与信息安全的未来发展趋势
人工智能和机器学习
利用智能算法识别和阻 止恶意行为,提高网络 和信息资源的安全性。
区块链技术
分布式账本和加密机制, 为信息的存储和传输提 供安全保障。
物联网安全
保护物联网设备和通信, 防止黑客入侵和数据泄 露的风险。
《网络与信息安全》PPT 课件
网络与信息安全的重要性,现代社会依赖于互义和范围
网络与信息安全是一系列措施和实践,旨在保护网络系统、通信和存储的信 息,涵盖密码学、安全策略、访问控制等领域。
常见的网络与信息安全威胁
网络病毒
恶意软件和病毒威胁网络的安全性,造成 数据泄露和系统瘫痪。
3 可用性
确保合法用户可以始终访问所需的网络和信息资源。
网络与信息安全的关键技术和策略
加密技术
通过将数据转化为密文,防止未经授权的访问 和泄露。
防火墙
监控和过滤网络流量,阻止恶意攻击和未经授 权的访问。
优选计算机网络安全体系结构演示ppt
1.DISSP的目的
(1) 保证国防部对DISSP的利用和管理;
(2) 将所有的网络和信息系统高度自动化,以便使用; (3) 确保网络和信息系统的有效、安全、可互操作;
(4) 促进国防信息系统的协调、综合开发;
(5) 建立能使各个国防机构、各军种以及北约和美盟国的所有网 络和信息系统彼此之间具有良好互操作性的安全结构。
第二章 计算机网络安全体系结构
第一节 网络安全体系结构的概念 第二节 网络安全体系结构的内容
第三节 网络安全的协议与标准 第四节 网络安全的评估
第十二页,共37页。
第二章 计算机网络安全体系结构
一、
开
放
系
统
OSI安全体系结构的核心内容在于:以实现
互
完备的网络安全功能为目标,描述了6大类安
连
安
全服务,以及提供这些服务的8大类安全机制和
开
放
2.OSI安全体系结构的安全机制
系
按照OSI安全体系结构,为了提供以上所列6大类安全服
统 务,采用下列 8大类安全机制来实现: 互
连
安全加密机制、Fra bibliotek数据签名机制、 公证机制、
体
数据完整性机制、交换鉴别机制、 业务流填充机制、
系
路由控制机制、 访问控制机制。
结
构
第十七页,共37页。
第二章 计算机网络安全体系结构
第二十六页,共37页。
第二章 计算机网络安全体系结构
三、 基 于
TCP/IP
的 网 络
安 全
体
系 结
构
TCP/IP体系结构也是一种分层结构,其中的每一层,都对应于OSI 体系结构的某一层或某几层。其具体的对应关系,如表2.4所示。
(1) 保证国防部对DISSP的利用和管理;
(2) 将所有的网络和信息系统高度自动化,以便使用; (3) 确保网络和信息系统的有效、安全、可互操作;
(4) 促进国防信息系统的协调、综合开发;
(5) 建立能使各个国防机构、各军种以及北约和美盟国的所有网 络和信息系统彼此之间具有良好互操作性的安全结构。
第二章 计算机网络安全体系结构
第一节 网络安全体系结构的概念 第二节 网络安全体系结构的内容
第三节 网络安全的协议与标准 第四节 网络安全的评估
第十二页,共37页。
第二章 计算机网络安全体系结构
一、
开
放
系
统
OSI安全体系结构的核心内容在于:以实现
互
完备的网络安全功能为目标,描述了6大类安
连
安
全服务,以及提供这些服务的8大类安全机制和
开
放
2.OSI安全体系结构的安全机制
系
按照OSI安全体系结构,为了提供以上所列6大类安全服
统 务,采用下列 8大类安全机制来实现: 互
连
安全加密机制、Fra bibliotek数据签名机制、 公证机制、
体
数据完整性机制、交换鉴别机制、 业务流填充机制、
系
路由控制机制、 访问控制机制。
结
构
第十七页,共37页。
第二章 计算机网络安全体系结构
第二十六页,共37页。
第二章 计算机网络安全体系结构
三、 基 于
TCP/IP
的 网 络
安 全
体
系 结
构
TCP/IP体系结构也是一种分层结构,其中的每一层,都对应于OSI 体系结构的某一层或某几层。其具体的对应关系,如表2.4所示。
网络与信息安全技术课件
2、被动防御技术
(1)防火墙技术。防火墙是一种置于可信网络与不可信网络之间 的安全防御系统,可以认为是一种访问控制机制,用于控制非 授权的访问进出防火墙。
(2)安全扫描。可自动检测远程或本地主机安全弱点的程序,用 于观察网络的工作情况、收集主机的信息。
(3)密码检查器。通过口令验证程序检查薄弱的口令。 (4)安全审计。在网络信息系统中有记录与安全相关事件的日志
1.偷窃 网络信息安全中的偷窃包括设备偷窃、信息偷窃和服务
偷窃等内容。 2.废物搜寻
指的是在扔掉的打印材料、废弃软盘等废物中搜寻所需 要的信息。 3.身份识别错误
非法建立文件或记录,企图把它们作为有效的、正式生 产的文件或记录。 4.间谍行为
是一种为了省钱或获取有价值的机密、采用不道德的手
段获取信息。
(3)访问控制。访问控制主要分为自主访问控制和强制访问 控制两种,即通过身份认证来控制用户对资源的访问和通 过规定主体对客体的操作权限来保证信息的安全。
(4)虚拟网络技术。使用VPN或VLAN技术,通过网段的划 分、控制数据流向等手段实现防范的目的。
(5)入侵检测。入侵检测是使用软件(或硬件)技术监视和分 析网络信息系统中发生的事件,当系统受Байду номын сангаас攻击时,它可 以检测出来并做出积极的响应。
1.4 信息安全体系结构与模型
1.4.1 OSI安全体系结构
1.安全服务 在对威胁进行分析的基础上,规定了5种标准的安全服务: (1)对象认证安全服务。 (2)访问控制安全服务。 (3)数据保密性安全服务。 (4)数据完整性安全服务。 (5)防抵赖性安全服务。
2.安全机制
一个安全策略和安全服务可以单个使用,也可以组合起来 使用,在上述提到的安全服务中可以借助以下安全机制: (1)加密机制。 (2)数字签名。 (3)访问控制机制。 (4)数据完整性机制。 (5)认证交换机制。 (6)防业务流量分析机制。 (7)路由控制机制。 (8)公证机制。
计算机网络安全体系结构ppt课件
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
系统性
计算机网络安全包括了物理层、网络层、系 统层、应用层以及管理层等多个方面。
从技术上来说,系统的安全是由多个安全组 件来保证的,单独的安全组件只能提供部分 的安全功能,缺少哪一个安全组件都不能构 成完整的安全系统。
所以说,防护是网络安全策略中最重要的
环节。
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
P2DR安全模型 2、防护
防护可以分为三大类: 系统安全防护 网络安全防护 信息安全防护
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
P2DR安全模型 1、策略
安全策略具有一般性和普遍性,一个恰当的 安全策略总会把关注的核心集中到最高决策 层认为必须值得注意的那些方面。
概括地说,一种安全策略实质上明确在安全 领域的范围内:
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
P2DR安全模型 3、检测
检测是动态响应和加强防护的依据,是强制 落实安全策略的工具
通过不断地检测和监控网络及系统,来发现新 的威胁和弱点,
通过循环反馈来及时做出有效的响应
P2DR安全模型
信息安全概论--信息安全体系结构 ppt课件
3. 通信机制
事实上,除了在最底层——物理层,上进行的是实际的通信之外,其余各 对等实体之间进行的都是虚通信或逻辑通信。高层实体之间的通信是调用 相邻低层实体之间的通信实现的,如此下去总是要经过物理层才能实现通 信。
N+1层实体要想把数据D传送到对等实体手中,它将调用N层提供的通信服 务,在被称为服务数据单元(SDU)的D前面加上协议头(PH),传送到 对等的N层实体手中,而N层实体去掉协议头,把信息D交付到N+1层对等 实体手中。
·
路由 控制
公证
·
·
·
·
·
·
Y
·
Y
·
·
·
Y
·
·
·
·
·
·
·
·
·
·
·
·
Y
·
Y
2.3.5 层次化结构中服务的配置
服务
协议层
1
2
3
4
5
6
7
对等实体鉴别
·
·
Y
Y
·
·
Y
数据原发鉴别
·
·
Y
Y
·
·
Y
访问控制
·
·
Y
Y
·
·
Y
连接机密性
Y
Y
Y
Y
·
Y
Y
无连接机密性
·
Y
Y
Y
·
Y
Y
选择字段机密性
·
·
·
·
·
Y
Y
通信业务流机密性
(11)选择字段的无连接完整性 仅对一层上协议的某个服务数据单元SDU的部分字段提供完整性检查服务,确
1.3信息安全技术体系结构
1.3信息安全技术体系结构1.3 信息安全技术体系结构信息安全技术是⼀门综合的学科,它涉及信息论、计算机科学和密码学等多⽅⾯知识,它的主要任务是研究计算机系统和通信⽹络内信息的保护⽅法以实现系统内信息的安全、保密、真实和完整。
⼀个完整的信息安全技术体系结构由物理安全技术、基础安全技术、系统安全技术、⽹络安全技术以及应⽤安全技术组成。
1.3.1 物理安全技术物理安全在整个计算机⽹络信息系统安全体系中占有重要地位。
计算机信息系统物理安全的内涵是保护计算机信息系统设备、设施以及其他媒体免遭地震、⽔灾、⽕灾等环境事故以及⼈为操作失误或错误及各种计算机犯罪⾏为导致的破坏。
包含的主要内容为环境安全、设备安全、电源系统安全和通信线路安全。
(1)环境安全。
计算机⽹络通信系统的运⾏环境应按照国家有关标准设计实施,应具备消防报警、安全照明、不间断供电、温湿度控制系统和防盗报警,以保护系统免受⽔、⽕、有害⽓体、地震、静电的危害。
(2)设备安全。
要保证硬件设备随时处于良好的⼯作状态,建⽴健全使⽤管理规章制度,建⽴设备运⾏⽇志。
同时要注意保护存储介质的安全性,包括存储介质⾃⾝和数据的安全。
存储介质本⾝的安全主要是安全保管、防盗、防毁和防霉;数据安全是指防⽌数据被⾮法复制和⾮法销毁,关于存储与数据安全这⼀问题将在下⼀章具体介绍和解决。
(3)电源系统安全。
电源是所有电⼦设备正常⼯作的能量源,在信息系统中占有重要地位。
电源安全主要包括电⼒能源供应、输电线路安全、保持电源的稳定性等。
(4)通信线路安全。
通信设备和通信线路的装置安装要稳固牢靠,具有⼀定对抗⾃然因素和⼈为因素破坏的能⼒。
包括防⽌电磁信息的泄露、线路截获以及抗电磁⼲扰。
1.3.2 基础安全技术随着计算机⽹络不断渗透到各个领域,密码学的应⽤也随之扩⼤。
数字签名、⾝份鉴别等都是由密码学派⽣出来的新技术和应⽤。
密码技术(基础安全技术)是保障信息安全的核⼼技术。
密码技术在古代就已经得到应⽤,但仅限于外交和军事等重要领域。
网络安全体系结构ppt课件
可信的第三方
发送者
接收者
与安全相
关的转换
安
消
全
息
消
息
信息通道
与安全相
安
关的转换
全
消
消
息
息
秘密信息
攻击者
秘密信息12图2-3 络通信安全模型2.2 网络通信安全模型
2.2.1 网络访问安全模型 归纳起来,由图2-3所示的通信模型可知,在设计网络安全系统
时,应完成下述四个方面的基本任务: 1)设计一个用来执行与安全相关的安全转换算法,而且该算法
6
2.1 OSI安全体系结构
2.1.2 安全体系结构的8种安全机制 3.访问控制机制
访问控制机制(Access Control Mechanisms)是网络安全防护 的核心策略,它的主要任务是按事先确定的规则决定主体对客体的访 问是否合法,以保护网络系统资源不被非法访问和使用。 4.数据完整性机制
可信计算231可信计算的概念232可信计算的关键技术233可信计算的发展趋势24网络安全标准及管理241网络与信息安全标准体系242网络与信息安全标准化概况243可信计算机系统安全评价准则244网络安全管理2221osi安全体系结构图图221osiosi安全体系结构三维示意图安全体系结构三维示意图链路层网络层传输层会话层表示层应用层物理层osi参考模型安全机制身份认证访问控制数据完整性数据机密性不可否认安全服务3321osi安全体系结构211安全体系结构的5类安全服务1身份认证服务身份认证服务也称之为身份鉴别服务这是一个向其他人证明身份的过程这种服务可防止实体假冒或重放以前的连接即伪造连接初始化攻击
身份认证服务也称之为身份鉴别服务,这是一个向其他人证明身 份的过程,这种服务可防止实体假冒或重放以前的连接,即伪造连接 初始化攻击。
《信息安全体系结构》PPT课件
2〕系统安全技术.通过对信息系统与安全相关组件的操 作系统的安全性选择措施或自主控制,使信息系统安全组件 的软件工作平台达到相应的安全等级,一方面避免操作平台 自身的脆弱性和漏洞引发的风险,另一方面阻塞任何形式的 非授权行为对信息系统安全组件的入侵或接管系统管理权.
13
3.3 信息安全体系框架
组织机构体系
安全服务
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
安全机制
加数访数鉴业路公 密字问据别务由证
签控完交流控 名制整换填制
性充
6
3.2 开放系统互连安全体系结构
安全机制是指用来保护系统免受侦听、阻止 安全攻击及恢复系统的机制.
安全服务就是加强数据处理系统和信息传输的 安全性的一类服务,其目的在于利用一种或多种安全 机制阻止安全攻击.
5〕管理安全性〔管理层安全〕.安全管理包括安全技术和 设备的管理、安全管理制度、部门与人员的组织规则等.管理 的制度化极大程度地影响着整个网络的安全,严格的安全管理 制度、明确的部门安全职责划分、合理的人员角色配置都可以 在很大程度上降低其他层次的安全漏洞.
17
3.4 信息安全技术
20XX主要的信息安全技术应用统计
产品认证 人员认证 系统认证
20
3.6 信息安全等级保护与分级认证
3.6.1 IT安全评估通用准则
1985年,美国国防部颁布了可信计算机的安全评估准则 〔TCSEC〕; 1995年 统一成CC;1999年,CC准则成为国际 标准〔ISO/IEC 15408〕
CC评估准则将信息系统的安全性定义为7个评估保证级 别〔EAL1~EAL7〕,即EAL1:功能测试;EAL2:结构测试; EAL3:系统地测试和检查;EAL4:系统地设计;EAL5:半 形式化设计和测试;EAL6:半形式化验证的设计和测试; EAL7:形式化验证的设计和测试.
13
3.3 信息安全体系框架
组织机构体系
安全服务
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
安全机制
加数访数鉴业路公 密字问据别务由证
签控完交流控 名制整换填制
性充
6
3.2 开放系统互连安全体系结构
安全机制是指用来保护系统免受侦听、阻止 安全攻击及恢复系统的机制.
安全服务就是加强数据处理系统和信息传输的 安全性的一类服务,其目的在于利用一种或多种安全 机制阻止安全攻击.
5〕管理安全性〔管理层安全〕.安全管理包括安全技术和 设备的管理、安全管理制度、部门与人员的组织规则等.管理 的制度化极大程度地影响着整个网络的安全,严格的安全管理 制度、明确的部门安全职责划分、合理的人员角色配置都可以 在很大程度上降低其他层次的安全漏洞.
17
3.4 信息安全技术
20XX主要的信息安全技术应用统计
产品认证 人员认证 系统认证
20
3.6 信息安全等级保护与分级认证
3.6.1 IT安全评估通用准则
1985年,美国国防部颁布了可信计算机的安全评估准则 〔TCSEC〕; 1995年 统一成CC;1999年,CC准则成为国际 标准〔ISO/IEC 15408〕
CC评估准则将信息系统的安全性定义为7个评估保证级 别〔EAL1~EAL7〕,即EAL1:功能测试;EAL2:结构测试; EAL3:系统地测试和检查;EAL4:系统地设计;EAL5:半 形式化设计和测试;EAL6:半形式化验证的设计和测试; EAL7:形式化验证的设计和测试.