信息安全技术导论

我国可信任计算机评估标准
❖ 第一级 用户自主保护级：使用户具备自主安全保护的能力，保护用户信息 免受非法的读写破坏；
❖ 第二级 系统审计保护级：除前一个级别的安全功能外，要求创建维护访问 的审计跟踪记录，使所有用户对自己的行为合法性负责；
❖ 第三级 安全标记保护级：除前一个级别的安全功能外，要求以访问对象标 记的安全级别限制访问者的访问权限，实现对访问对象强制保护；
附、常见的网络安全协议
附、常见的网络安全协议
➢ S／WAN(Secure Wide Area Network)
S/WAN设计基于IP层的安全协议，可以在IP层提供加密，保证防 火墙和TCP／IP产品的互操作，以便构作虚拟专网(VPN)。
➢ SET(secure Electronic Transaction)
国际可信任计算机评估标准
❖ 20世纪70年代，美国国防部制定“可信计算机系统安全评价准则” （TCSEC)，为安全信息系统体系结构最早准则（只考虑保密性）；
❖ 20世纪90年代，英、法、德、荷提出包括保密性、完整性、可用性概 念的“信息技术安全评价准则”（ITSEC)，但未给出综合解决以上问 题的理论模型和方案；
黑客攻击 潜信道
病毒，蠕虫
系统漏洞
网络
拒绝服务攻击 內部、外部洩密
第一章 网络安全绪论 3
1. 信息安全现状 2. 安全威胁 3. 安全策略 4. 安全技术 5. 安全标准 6. 网络信息安全发展趋势展望
安全策略
➢ 安全策略是针对网络和信息系统的安全需要， 所做出允许什么、禁止什么的规定，通常可以 使用数学方式来表达策略，将其表示为允许 （安全）或不允许（不安全）的状态列表。
▣
人生得意须尽欢，莫使金樽空对月。02:37:4602:37:4602:3710/17/2020 2:37:46 AM
▣
安全象只弓，不拉它就松，要想保安 全，常 把弓弦 绷。20.10.1702:37:4602:37Oc t-2017- Oct-20
▣
加强交通建设管理，确保工程建设质 量。02:37:4602:37:4602:37Saturday, October 17, 2020
信息安全技术导论
本课所需前序课程
❖ 本书是计算机、通信及信息管理等专业高年级本科生和研究生 教材，需要学习的前序课程是高等数学、近世代数、计算机网 络和操作系统。这些课程与本课的关系如下图所示。
教学参考书
❖ 张焕国等译《密码编码学与网络安全：原理与实践》 （第三版）,电子工业出版社，2001，4
统安全性以及信息安全服务实施公正性评测的技术职能机构—中国国家 信息安全测评认证中心和行业中心； ➢ 建立了支撑网络信息安全研究的国家重点实验室和部门实验室，各种学 术会议相继召开，已出版许多专著、论文，在有关高等院校已建立了向 关系所、开设了相关课程，并开始培养自己的硕士、博士研究生；
附、常见的网络安全协议
Internet商业应用快速增长
4000
3000 2000
亿美元
1000
0
商家-顾客 商家-商家
总计
1996 5 6 11
1998 60 250 310
2000 80
1230 1310
2002 220 3270 3490
网络安全问题日益突出
已知威胁的数量
70,000 60,000 50,000 40,000 30,000 20,000 10,000
❖ 冯登国，《网络安全原理与技术》，科学出版社， 2003，9
❖ 王立斌、黄征等译,《计算机安全学－安全的艺术与科 学》,电子工业出版社，2006，1
第一章 网络安全绪论 1
1. 信息安全现状 2. 安全威胁 3. 安全策略 4. 安全技术 5. 安全标准 6. 网络信息安全发展趋势展望
计算机与网络技术的发展历程
▣
严格把控质量关，让生产更加有保障 。2020年10月 上午2时 37分20.10.1702:37Oc tober 17, 2020
▣
作业标准记得牢，驾轻就熟除烦恼。2020年10月17日星期 六2时37分46秒 02:37:4617 October 2020
▣
好的事情马上就会到来，一切都是最 好的安 排。上 午2时37分46秒 上午2时37分02:37:4620.10.17
谢谢大家！
❖ 第四级 结构化保护级：除前一个级别的安全功能外，将安全保护机制划分 为关键部分和非关键部分，对关键部分直接控制访问者对访问对象的存取 从而加强系统的抗渗透能力；
❖ 第五级 访问验证保护级：特别增设了访问验证功能，负责仲裁访问者对访 问对象的所有访问活动；
OSI模型定义的安全服务
应用层 表示层 会话层 传输层 网络层 数据链路层
防火墙技术
网络入侵检测技术
➢ 漏洞扫描技术 ➢ 安全审计技术 ➢ 现代密码技术 ➢ 安全协议 ➢ 公钥基础设施（PKI） ➢ 其他安全技术 ，如容灾、备份
第一章 网络安全绪论 5
1. 信息安全现状 2. 安全威胁 3. 安全策略 4. 安全技术 5. 安全标准 6. 网络信息安全发展趋势展望
国际标准组织
➢ 国 际 标 准 化 组 织 （ ISO——International Organizatio
Standardization）
➢ 国际电报和电话咨询委员会(CCITT) ➢ 国际信息处理联合会第十一技术委员会（IFIP TC11） ➢ 电气与电子工程师学会（IEEE） ➢ Internet体系结构委员会（IAB） ➢ 美国国家标准局(NBS)与美国商业部国家技术标准研究所(NI ➢ 美国国家标准协会(ANSI) ➢ 美国国防部(DoD)及国家计算机安全中心(NCSC)
安全策略分类
➢ 物理安全策略 ➢ 访问控制策略 ➢ 信息加密策略 ➢ 安全管理策略
第一章 网络安全绪论 4
1. 信息安全现状 2. 安全威胁 3. 安全策略 4. 安全技术 5. 安全标准 6. 网络信息安全发展趋势展望
访问控制技术
访问控制技术包括入网访问控制、网络权限控制、 录级安全控制和属性安全控制等多种手段。
▣
一马当先，全员举绩，梅开二度，业 绩保底 。20.10.1720.10.1702:3702:37:4602:37:46Oc t-20
▣
牢记安全之责，善谋安全之策，力务 安全之 实。2020年10月17日 星期六2时37分 46秒Saturday, October 17, 2020
▣
相信相信得力量。20.10.172020年10月 17日星 期六2时37分46秒20.10.17
1. 信息安全现状 2. 安全威胁 3. 安全策略 4. 安全技术 5. 安全标准 6. 网络信息安全发展趋势展望
我国网络安全研究现状
➢ 我国信息化建设基础设备依靠国外引进，信息安全防护能力只是处于相对 安全阶段，无法做到自主性安全防护和有效监控（核心芯片、系统内核程 序源码、大型应用系统）；
➢ 信息安全学科的基础性研究工作——信息安全评估方法学的研究尚处于跟 踪学习研究阶段；
▣
安全在于心细，事故出在麻痹。20.10.1720.10.1702:37:4602:37:46October 17, 2020
▣
踏实肯干，努力奋斗。2020年10月17日上午2时37分 20.10.1720.10.17
▣
追求至善凭技术开拓市场，凭管理增 创效益 ，凭服 务树立 形象。2020年10月17日星期 六上午2时37分 46秒02:37:4620.10.17
❖ 近年，六国（美、加、英、法、德、荷）共同提出“信息技术安全评 价通用准则”（CC for ITSEC)。
TCSEC安全级别
类别
D C
B A
级别
D C1 C2 B1 B2 B3 A
名称
低级保护 自主安全保护 受控存储控制 标识的安全保护
结构化保护 安全区域 验证设计
主要特征
没有安全保护 自主存储控制 单独的可查性，安全标识 强制存取控制，安全标识 面向安全的体系结构，较好的抗渗透能 存取控制，高抗渗透能力 形式化的最高级描述和验证
应用层 表示层 会话层
主机安全措施、身 份认证、加密
身份认证、访问控 制、数据保密、数据
完整、数据源点认 证、不可否认性
传输层 网络层
身份认证、访问控 制、数据保密、数据 完整、数据源点认证
身份认证、访问控 制、数据保密、数据 完整、数据源点认证
数据链路层
数据保密
物理层
物理层
互联的物理介质
数据保密
第一章 网络安全绪论 6
全球无所不在
3年
Internet 用户数
160
140
120
100
百万
80
60
40
20
0
美国
1998 70 2002 155
中国
2.1 61
德国
10.3 33
英国
8.9 23.3
日本
8.8 23
法国
加拿大
澳大利 亚
意大利
瑞典
4来自百度文库
4
3.4 3.1 2.5
23 13.2 12.3 10 7.6
荷兰
2.5 5.8
避免敏感信息未授权泄漏或 政府文件提供电子签名
对授权的个人限制访问管理 避免服务中断 保护用户秘密
保护团体/个人的秘密 确保消息的真实性
第一章 网络安全绪论 2
1. 信息安全现状 2. 安全威胁 3. 安全策略 4. 安全技术 5. 安全标准 6. 网络信息安全发展趋势展望
常见的安全威胁
特洛伊木马
Client / Server PC / LAN 大型机 小型机/WAN
Intranet
Internet
Extranet Internet
1960年代 1970年代 1980年代 1990年代
主要应用 科学计算 部门内部 企业之间 商家之间
用户规模 小
小
中
大
成熟期 10年
7年
5年
4年
2000年代
商家与消费者之间 服务为本
附、常用的安全工具
❖ 防火墙 ❖ 入侵检测工具snort ❖ 端口扫描工具nmap ❖ 系统工具netstat、lsof ❖ 网络嗅探器tcpdump、sniffer ❖ 综合工具X-Scanner、流光、Nessus
附、相关安全站点
▣
树立质量法制观念、提高全员质量意 识。20.10.1720.10.17Saturday, October 17, 2020
混合型威胁 (Red Code, Nimda)
拒绝服务攻击 (Yahoo!, eBay)
发送大量邮件的病毒 (Love Letter/Melissa)
特洛伊木马
网络入侵
多变形病毒 (Tequila)
病毒
典型应用环境的完全威胁与安全需求
应用环境
所有网络 银行
电子交易
政府 公共电信载体
互联/专用网络
安全威胁
假冒攻击
完整性破坏 假冒攻击，服务否认
窃听攻击
假冒攻击，完整性破坏 窃听攻击 服务否认
假冒攻击，侵权攻击，窃听，完整性破坏 服务否认
假冒攻击，授权侵犯 拒绝服务 窃听攻击
窃听攻击 假冒攻击，完整性破坏
安全需求
阻止外部入侵
避免欺诈或交易的意外修改 识别零售的交易顾客 保护个人识别号确保顾客秘
确保交易的起源和完整性 保护共同秘密 为交易提供合法的电子签名
➢ 国内开发研制的一些防火墙、安全路由器、安全网关、“黑客”入侵检测 系统弱点扫描软件等在完善性、规范性、实用性方面还存许多不足，特别 是在多平台的兼容性、多协议的适应性、多接口的满足性方面存在很大差 距；
我国网络安全研究现状
➢ 制定了国家、行业信息安全管理的政策、法律、法规； ➢ 按照国家通用准则建立了代表国家对信息安全产品、信息技术和信息系
SET是Visa，MasterCard合作开发的用于开放网络进行电子支付 的安全协议，用于保护商店和银行之间的支付信息。
➢ S／MIME(Secure／Multipurpose Internet Mail Extension)
S/MIME是用于多目的的电子邮件安全的报文安全协议，和报文 安全协议(MSP)、邮件隐私增强协议(PEM)、MIME对象安全服务协议 (MOSS)及PGP协议的目的一样都是针对增强Internet电子邮件的安全 性。