信息安全技术概述PPT.ppt

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,信息安全技术,0,主讲人：任凯,联系方式：,renkai_jlxy,信 息 安 全 技 术,1,2,0,几个生活中经常遇到的情况,使用,U,盘时，是否在,“,我的电脑,”,中双击打开,U,盘盘符？,播放从网上下载的一个,AVI,格式电影，有可能中毒吗？,访问网页会中毒吗？,一般什么情况认为自己中毒了？,3,0,几个小问题,上网安全吗？,如果你的电脑被入侵，你觉得可能对你造成的最大危害是什么？,如何进行安全防护，避免各类攻击？,使用强口令,文件必须安全存储,临时离开请及时锁屏或注销,杀（防）毒软件不可少,个人防火墙不可替代,不打开来历不明的邮件或附件,不要随意浏览黑客、色情网站,警惕,“,网络钓鱼,”,聊天软件的安全,移动设备的安全,4,0,2014,年国内重大的信息安全,支付宝找回密码功能存在系统漏洞,携程网用户支付信息出现漏洞，漏洞泄露的信息包括用户的姓名、身份证号码、银行卡卡号、银行卡,CVV,码、支付密码,UC,浏览器存在可能导致用户敏感数据泄漏的漏洞,小米论坛存在用户资料泄露,黑客通过公共场所免费,WIFI,诱导用户链接而获取手机中银行卡、支付宝等账户信息从而盗取资金的消息,苹果手机获取用户位置信息,5,0,2013-2014,年国际重大的信息安全事件,“,棱镜门,”,事件：美国国家安全局监控用户隐私,Google,曝法国伪造,CA,证书全球首例国家级伪造,CA,证书劫持加密通讯事件诞生,Apple,、,Facebook,、,Twitter,等科技巨头相继被入侵，用户数据泄漏,OpenSSL,出现,“,Heartbleed,”,有史以来最大的比特币失窃案，全球最大,Bitcoin,交易平台,Mt.Gox,申请破产,6,0,一些常用名词,红客：,从事网络安全行业的爱国黑客,白客：,又称安全防护者，用寻常话说就是一些原本的黑客转正了，他们进入各大科技公司专门防护网络安全,黑客：,指某些热衷于计算机和网络技术、技能高超、非法入侵他人计算机系统的人，又称,“,骇客,”,灰客：,指某些对计算机和网络安全感兴趣，初步了解网络安全知识，能够利用黑客软件或初级手法从事一些黑客行为的人。由于他们受技术限制，既不够,“,黑,”,，但也不,“,白,”,蓝客：,指某些标榜自己只热衷于纯粹的互联网技术而不关心其他事物、我行我素的,“,黑客,”,7,0,信息战已经成为各国军事斗争的主要组成部分,中国需要维护国家信息系统的安全，建立保护网络国家边界的网军势在必行,：,1.,我国集成电路芯片的自给率不足,10%,。要做到网络安全，首先就是硬件安全，而芯片安全是硬件安全核心内容之一,2.,微软的各版本操作系统在中国市场的占有率达到,98%,。软件安全是网络安全的另一个核心内容，最基本的操作系统不是自己编写的，同样留有安全隐患,8,0,理解安全与不安全概念,“,安全,”,一词在字典中被定义为,“,远离危险的状态或特性,”,和,“,为防范间谍活动或蓄意破坏、犯罪、攻击或逃跑而采取的措施,”,。,没有危险；不受威胁；不出事故,9,0,先行案例,黑色星期五,源于西方的宗教信仰与迷信：耶稣基督死在星期五，而,13,是不吉利的数字。两者的结合令人相信当天会发生不幸的事情,历史上有好几个事件都发生于星期五：,1869,年的黑色星期五：美国金融市场大泻,1919,年的黑色星期五：格拉斯哥工人罢工,1939,年的黑色星期五：澳大利亚发生山林大火,1978,年的黑色星期五：伊朗示威者大屠杀,1982,年的黑色星期五：福克兰群岛战争爆发（英国和阿根廷）,10,0,先行案例,2001,年,“,红色代码,”,蠕虫,2001,年,“,尼姆达,Nimda,”,蠕虫事件,多种手段攻击网络,2003,年,SQL SLAMMER,蠕虫,攻击,SQL,服务器,2003,年口令蠕虫,口令方式攻击主机,2003,年 冲击波,“,MSBLAST,”,蠕虫和,“,Blast,清除者,”,蠕虫,2004,年 震荡波蠕虫,针对微软,windows,操作系统的漏洞,2005,年,“,黛蛇,”,蠕虫事件,2006,年,“,魔波,”,蠕虫,引发,“,僵尸网络,”,2007,年,“,Nimaya,（熊猫烧香）,”,病毒事件,2008,年,“,机器狗,”,病毒事件,2009,年,“,飞客,”,蠕虫的泛滥,11,0,2010,年初，,美国硅谷的迈克菲公司发布最新报告，约,109.5,万台中国计算机被病毒感染（美国,105.7,万），排第一位。,2010,年,1,月,2,日，公安部物证鉴定中心被黑，登陆该网站，有些嘲弄语言，还贴一张,“,我们睡，你们讲,”,的图片，图片是公安某单位一次会议上，台下参会人员大睡的场面。,先行案例,12,0,先行案例,2010今年,“,两会,”,期间，,3,月,3,日，全国政协委员严琪所办陶然居餐饮集团网站（,-,）被黑，引发热议。,13,0,先行案例,英国税务局,“,光盘,”,门,2007,年,11,月，英国税务及海关总署的一名公务员在将两张光碟寄给审计部门时，由于,疏忽忘记依照规范以挂号寄出,，导致光碟下落不明。光碟中有英国家庭申请十六岁以下儿童福利补助的资料，包括公民的姓名、地址、出生年月、社会保险号码和银行帐户资料，据称其中还包括了英国首相布朗一家的机密资料。,英国财政大臣达林在国会下院承认数据丢失，布朗面色凝重。,14,0,卖家网上叫卖英国失踪税务光盘,15,0,先行案例,网络成为重要的窃密渠道,扫描网络,发现漏洞,控制系统,窃取文件,16,0,先行案例,违规操作泄密,敌对势力窃密,互联网,部队失密案：,2003,年初，军队某参谋违反规定，使用涉密计算机上因特网，被台湾情报机关跟踪锁定，一次窃走,1000,多份文档资料，影响和损失极为严重。,17,0,提高信息安全意识,不通过email传输敏感信息，敏感信息加密以后再传输,不借用帐号、不随意说出密码,敏感信息不要随意地放置,打印或复印的敏感资料要及时取走,离开电脑时记得锁屏与清除桌面,不在公司外部讨论敏感信息,发现安全问题及时报告,.,18,0,加强计算机与网络安全,设置复杂密码,根据安全规范进行安全设置,及时安装补丁,安装防病毒软件并及时更新,不随意下载安装软件，防止恶意程序、病毒及后门等黑客程序,19,0,通俗地说，安全就是,安全是稳定状态或确定状态,20,0,关于课程,学习本课程的要求,教学目标,通过本课程的学习，要求对信息安全的概念与内涵有较全面的了解，较全面地掌握有关信息安全的基础理论和实用技术，掌握网络系统安全防护的基本方法，培养网络安全防护意识，增强网络系统安全保障能力，并能在实践中其指导作用。,教材：,王凤英，网络与信息安全技术，中国铁道出版社,张同光，信息安全技术实用教程，电子工业出版社,熊平，信息安全原理及应用，清华大学出版社,赵泽茂，信息安全技术，西安电子科技大学出版社,21,0,关于课程,课程内容,信息安全综述,对称密钥密码体系,公钥密码体系,身份认证、,访问控制,与系统审计,操作系统安全,单向散列函数,PKI,技术,数据库系统安全,因特网安全和,VPN,WEB,电子商务安全,防火墙技术,入侵检测技术,22,0,关于课程,本课程对学生的要求,提高信息安全意识，具有信息安全的理论基础和基本实践能力,了解和掌握信息安全的基本原理和相关技术,关注国内外最新的研究成果和发展动态,23,0,关于课程,考核,30%,（平时成绩：出勤、平时作业等）,+70%,考试成绩,听课,课堂纪律,欢迎同学上讲台跟同学们分享信息安全相关知识,24,0,1,信息安全综述,25,0,本章提要,网络与信息安全的基本概念,网络安全威胁,网络安全的层次结构,安全评价标准,研究网络与信息安全的意义,网络信息安全管理,26,0,1.1,计算机网络安全的基本概念,密码安全：,通信安全的最核心部分,计算机安全：,一种确定的状态，使计算机化数据和程序不致被非授权人员、计算机或程序访问获取和修改,网络安全：,指利用网络管理控制技术措施，保证在一个网络环境里信息数据的保密性、完整性及可使用性受到保护,信息安全：,防止任何对,数据,进行未授权访问的措施，或防止造成信息有意无意泄漏、破坏、丢失等问题的发生，让数据处于远离危险、免于威胁的状态或特性,27,0,1.1,网络与信息安全的基本概念,关系,信息安全,网络安全,计算机安全,密码安全,28,0,1.1,网络与信息安全的基本概念,网络信息安全的要求,即消息的发送者在发送后不能否认他发送过该消息,抗抵赖,完整性,机密性,即消息只有合法的接收者才能读出，其他人即使收到也读不出,即消息的确是由宣称的发送者发送的，如冒名顶替则会被发现,即消息在传输过程中如果篡改则会被发现,真实性,29,0,1.1,网络与信息安全的基本概念,木桶原理,网络安全遵循,“,木桶原理,”,，即一个木桶的容积决定于组成它的最短的一块木板，一个系统的安全强度等于它最薄弱环节的安全强度。,安全防护必须建立在一个完整的多层次的安全体系之上，任何的薄弱环节都将导致整个安全体系的崩溃,30,0,1.2,网络安全威胁,网络安全问题日益突出,网络与信息系统在变成,”,金库,”,当然就会吸引大批合法或非法的,”,掏金者,”,所以网络信息的安全与保密问题显得越来越重要。,几乎每天都有各种各样的,“,黑客,”,故事：,1994,年末,俄罗斯黑客弗拉基米尔,利文与其伙伴从圣彼得堡的一家小软件公司的联网计算机上，向美国名为,CITYBANK,银行发动了一连串攻击，通过电子转帐方式，从,CITYBANK,银行在纽约的计算机主机里窃取美元,1100,万。,31,0,1996年8月17日,美国司法部的网络服务器遭到,“,黑客,”,入侵，并将,“,美国司法部,”,的主页改为,“,美国不公正部,”,，将司法部部长的照片换成了阿道夫,希特勒，将司法部徽章换成了纳粹党徽，并加上一幅色情女郎的图片作为所谓司法部部长的助手。,1999年4月26日,台湾人编制的CIH病毒的大爆发，有统计说,我国,大陆受其影响的PC机总量达36万台之多。有人估计在这次事件中，经济损失高达近12亿元,1.2,网络安全威胁,32,0,2000,年,5,月,4,日,一种名为,“,我爱你,”,（爱虫）的电脑,病毒,开始在全球各地迅速传播。据美国加利福尼亚州的名为,“,电脑经济,”,的研究机构发布的初步统计数据，,“,爱虫,”,大爆发两天之后，全球约有,4500,万台电脑被感染，造成的损失已经达到,26,亿美元。在以后几天里，,“,爱虫,”,病毒所造成的损失以每天,10,亿美元到,15,亿美元的幅度增加。,1.2,网络安全威胁,33,0,数据大集中,风险也更集中了；,系统复杂了,安全问题解决难度加大；,云计算,安全已经不再是自己可以控制的,3G,、物联网、三网合一,IP,网络中安全问题引入到了电话、手机、广播电视中,web2.0,、微博、人肉搜索,网络安全与日常生活越来越贴近,新应用导致新的安全问题,1.2,网络安全威胁,34,0,1.2,网络安全威胁,35,0,1.2,网络安全威胁,36,0,网络,流量分析,拒绝服务,特洛伊木马,资源非授权使用,计算机病毒,假冒、重放,破坏完整性,诽谤,窃听,主要威胁种类：,1.2,网络安全威胁,37,0,商业间谍,按照,FBI,的估计，由于商业间谍的危害，美国各大公司每年要损失,100,亿美元,1.2,网络安全威胁,动机,38,0,经济利益,1.2,网络安全威胁,动机,39,0,报复或者引入注意,：,为了炫耀能力的黑客少了，为了非法取得政治、经济利益的人越来越多,1.2,网络安全威胁,动机,40,0,1.2,网络安全威胁,动机,恶作剧,41,0,无知,黑客“菜霸”,1.2,网络安全威胁,动机,42,0,1.3,网络安全的层次结构,物 理 安 全,1,安 全 控 制,2,安 全 服 务,3,43,0,1.3,网络安全的层次结构,_,物理安全,自然灾害、物理损坏、设备故障,某一天下着大雨，突然,“,霹雳,”,一声，电脑突然断线了，经查是上网用的adsl modem被击坏了。,电磁辐射、乘机而入、痕迹泄露,QQ,被盗，黑客公开售卖,200,元，最后费尽周折，利用密码保护才要回了自己心爱的,QQ,号，但是里面的好友和群全部被删除,操作失误、意外疏漏,想通过优盘把连夜加班的资料拷贝到单位电脑上，可插入,u,盘后里面空空如也，一晚上的工作付之东流。,44,0,1.3 网络安全的层次结构 _,安全控制,网络互联设备,网络接口模块,操作系统,通过网管软件或路由器,配置实现,对其它机器的网络通信进程,进行安全控制,开机时要求键入口令,45,0,1.3,网络安全的层次结构,安全服务,安全服务,安全机制,安全连接,安全协议,安全策略,46,0,1.4.1,网络安全的评价标准,1985,年，美国国防部发表了,可信计算机系统评估准则,，它依据处理的信息等级采取相应的对策，划分了四类七个安全等级。依照各类、级的安全要求从低到高，依次是,D,、,C1,、,C2,、,B1,、,B2,、,B3,和,A1,级。,47,0,1.4.1,网络安全的评价标准,类别,级别,名称,主要特征,D,D,最低安全保护,没有安全保护,C,C1,自主安全保护,自主存储控制,C2,可控访问（受控存储）控制,单独的可查性，安全标识,B,B1,标识的安全保护,强制存取控制，安全标识,B2,结构化保护,面向安全的体系结构，较好的抗 渗透能力,B3,安全区域,存取监控、高抗渗透能力,A,A,可验证设计,形式化的最高级描述和验证,C,类称为酌情保护，,B,类称为强制保护，,A,类称为核实保护。,这个标准过分强调了保密性，而对系统的可用性和完整性重视不够，因此实用性较低。,48,0,1.4.2,网络安全服务,OSI,（,Open Systems Interconnection,）标准由,ISO,（,International Standard Organization,）与,ITU,（,International Telecommunication Union,）联合制定，将开放互联网络用,7,层描述，并通过相应的,7,层协议实现系统间的相互连接,OSI,（开放系统互联参考模型）,49,0,OSI,的安全体系结构,成果标志是,ISO,发布了,ISO7498-2,标准,，作为,OSI,基本参考模型的补充,是基于,OSI,参考模型的七层协议之上的信息安全体系结构,ISO7498-2,标准定义了,5,类安全服务、,8,种特定的安全机制、,5,种普遍性安全机制,它确定了安全服务与安全机制的关系以及在,OSI,七层模型中安全服务的配置,确定了,OSI,安全体系的安全管理,1.4.2,网络安全服务,50,0,ISO 7498-2,三维图,链路层,网络层,传输层,会话层,表示层,应用层,加密,数字签名,访问 控制,数据完整性,签别交换,业务流填充,路由控制,公证,访问控制,不可否认,数据完整性,数据保密,身份认证,OSI,参考模型,安全机制,安全服务,1.4.2,网络安全服务,51,0,五类安全服务,身份认证（鉴别）,A,与,B,通信，,A,是发起方,对等实体鉴别,鉴别,B,的身份的真实性,A,使用这种服务可以确信,:,一 个实体此时没有试图冒充别的实体,或没有试图将先前的连接作非授权地重演。,数据原发鉴别,B,鉴别,A,来源的身份的真实性。,对数据单元的来源提供确认。这种服务对数据单元的重复或篡改不提供保护。,1.4.2,网络安全服务,52,0,五类安全服务,数据保密,对数据提供保护使之不被非授权地泄露,1.4.2,网络安全服务,53,0,保护信息不被未授权者非法纂改信息，如修改、复制、插入和删除等,五类安全服务,数据完整性,1.4.2,网络安全服务,54,0,五类安全服务,不可否认（抗抵赖）,A,B,用于防止参与通信的实体在事后否认曾参与全部或部分通信。,防止消息或行动源否认曾发送消息或采取过的行动；,防止消息接收者否认曾收到该消息无连接完整性,1.4.2,网络安全服务,55,0,五类安全服务,访问控制,对系统的资源提供保护，防止未授权利用,这种保护服务可应用于对资源的各种不同类型的访问,读、写或删除信息资源,应用于对一种资源的所有访问,1.4.2,网络安全服务,56,0,Windows XP,文件访问控制,1.4.2,网络安全服务,57,0,1.4.2,网络安全服务,58,0,八大安全机制,加密,使用加密算法对存放的数据进行加密,加密算法,可逆加密算法：对称加密；不对称加密,不可逆加密算法可以使用密钥，也可以不使用,1.4.3,特定安全机制,59,0,八大安全机制,数字签名机制,采用非对称密钥体制，使用私钥进行数字签名，使用公钥对签名信息进行验证。两个过程：,一：,对数据签名,使用签名者所私有的信息,即使用签名者的私有信息作为私钥,或对数据单元进行加密,或产生出该数据单元的一个密码校验值。,二：,验证签过名的数据,使用公开的规程与信息来决定该签名是不是用签名者的私有信息产生的。,所用的规程与信息是,公之于众的,但不能够从它们推断出该签名者的私有信息。,本质特征,：该签名只有使用签名者的私有信息才能产生出来。因而，当该签名得到验证后，它能在事后的任何时候向第三方（例如法官或仲裁人）证明只有那个私有信息的惟一拥有者才能产生这个签名。,数字签名是解决网络通信中特有的安全问题的有效方法。特别是针对通信双方发生争执时可能产生的,否认、冒充、伪造、篡改,；具有可证实性、不可否认性、不可伪造性和不可重用性。,1.4.3,特定安全机制,60,0,八大安全机制,访问控制机制,根据访问者的身份和其它信息，来决定和实施实体的访问权限,:,已鉴别的身份,有关该实体的信息,使用该实体的权力,访问控制的功能,:,拒绝实体试图使用非授权的资源,或者以不正当方式使用授权资源。可能产生一个报警信号或记录进行安全审计跟踪。,1.4.3,特定安全机制,61,0,八大安全机制,数据完整性机制,判断信息在传输过程中是否被篡改、增加、删除过，确保信息的完整。主要有两种形式：,数据单元完整性：,发送实体,给数据单元附加上一个量,这个量为该数据的函数，例如校验码。,接收实体,产生一个相应的量,并把它与接收到的那个量进行比较以决定该数据是否在转送中被篡改过。,单靠这种机制不能防止单个数据单元的重演,数据单元序列的完整性：,要求数据编号的连续性和时间标记的正确性，以防止假冒、丢失、重发、插入或修改数据,1.4.3,特定安全机制,62,0,八大安全机制,鉴别交换机制,以交换信息的方式来确认实体身份的机制，实现同级之间的身份认证。,用于交换鉴别的技术有：,口令,：由发方实体提供，收方实体检测,密码技术,：将交换的数据加密，只有合法用户才能解密，得出有意义的明文。在许多情况下，这种技术与,时间标记和同步时钟、双方或三方“握手”、数字签名和公证机构,一起使用。,实体的特征或占有物,：,IC,卡、指纹识别和身份卡等,对等实体鉴别：,如果在鉴别实体时,这一机制得到,否定,的结果,就会导致,连接的拒绝或终止,也可能使在安全审计跟踪中增加一个记录,或给安全管理中心一个报告。,1.4.3,特定安全机制,63,0,八大安全机制,通信业务填充机制,通过填充,冗余的,业务流量，防止攻击者对流量进行分析，填充过的流量需通过加密进行保护,主要是对抗非法者在线路上监听数据并对其进行流量和流向分析；防止业务风险,1.4.3,特定安全机制,64,0,八大安全机制,路由选择控制机制,为数据的传送，动态地或预定地选取路由，以便只使用物理上安全的子网络、中继站或链路,通信系统检测到主动或被动攻击时，可以指示网络服务的提供者经不同的路由建立连接,连接带有,某些安全标记的数据,可能被,安全策略,禁止通过某些子网络、中继或链路。连接的发起者可以指定路由选择说明,由它请求回避某些特定的子网络、链路或中继,1.4.3,特定安全机制,65,0,八大安全机制,公证机制,第三方公证人参与,数字签名、加密和完整性机制，,基于通信双方对第三方的,绝对信任,，为两个或多个实体之间通信,数据的完整性、原发、时间和目的地等性质,提供保证。,公证人为通信实体所信任,并掌握必要信息以一种可证实方式提供所需的保证：,CA,（,Certificate Authority),、,Hotmail/yahoo,邮件服务登陆认证,1.4.3,特定安全机制,66,0,1.4.4,普遍性安全机制,安全审计跟踪,事件检测,安全标记,安全恢复,可信功能,67,0,1.5,研究网络与信息安全的意义,1,网络安全与政治,2,网络安全与经济,3,网络安全与军事,68,0,潜伏代码,满足条,件否？,监视,满足而,爆炸,满足而,爆炸,伊拉克的打印机,香港的银行系统,.,软件后门,政治目的？军事目的？经济目的？,1.5,研究网络与信息安全的意义,69,0,安全管理模型,PDCA,持续改进模式,