收藏 分销(赏)

信息安全技术概述.pptx

上传人:胜**** 文档编号:942950 上传时间:2024-04-08 格式:PPTX 页数:68 大小:2.04MB
下载 相关 举报
信息安全技术概述.pptx_第1页
第1页 / 共68页
信息安全技术概述.pptx_第2页
第2页 / 共68页
信息安全技术概述.pptx_第3页
第3页 / 共68页
信息安全技术概述.pptx_第4页
第4页 / 共68页
信息安全技术概述.pptx_第5页
第5页 / 共68页
点击查看更多>>
资源描述

1、信息安全技术信息安全技术106:44:44几个生活中经常遇到的情况几个生活中经常遇到的情况使用使用U U盘时,是否在盘时,是否在“我的电脑我的电脑”中双击中双击打开打开U U盘盘符?盘盘符?播放从网上下载的一个播放从网上下载的一个AVIAVI格式电影,有格式电影,有可能中毒吗?可能中毒吗?访问网页会中毒吗?访问网页会中毒吗?一般什么情况认为自己中毒了?一般什么情况认为自己中毒了?v第第1页页/共共68页页信息安全技术信息安全技术206:44:45几个小问题几个小问题上网安全吗?上网安全吗?如果你的电脑被入侵,你觉得可能对你造如果你的电脑被入侵,你觉得可能对你造成的最大危害是什么?成的最大危害是

2、什么?如何进行安全防护,避免各类攻击?如何进行安全防护,避免各类攻击?使用强口令使用强口令文件必须安全存储文件必须安全存储临时离开请及时锁屏或注销临时离开请及时锁屏或注销杀(防)毒软件不可少杀(防)毒软件不可少个人防火墙不可替代个人防火墙不可替代不打开来历不明的邮件或附件不打开来历不明的邮件或附件不要随意浏览黑客、色情网站不要随意浏览黑客、色情网站警惕警惕“网络钓鱼网络钓鱼”聊天软件的安全聊天软件的安全移动设备的安全移动设备的安全v第第2页页/共共68页页信息安全技术信息安全技术306:44:452014年国内重大的信息安全支付宝找回密码功能存在系统漏洞携程网用户支付信息出现漏洞,漏洞泄露的信

3、息包括用户的姓名、身份证号码、银行卡卡号、银行卡CVV码、支付密码UC浏览器存在可能导致用户敏感数据泄漏的漏洞 小米论坛存在用户资料泄露黑客通过公共场所免费WIFI诱导用户链接而获取手机中银行卡、支付宝等账户信息从而盗取资金的消息 苹果手机获取用户位置信息v第第3页页/共共68页页信息安全技术信息安全技术406:44:452013-2014年国际重大的信息安全事件“棱镜门”事件:美国国家安全局监控用户隐私Google曝法国伪造CA证书全球首例国家级伪造CA证书劫持加密通讯事件诞生Apple、Facebook、Twitter 等科技巨头相继被入侵,用户数据泄漏OpenSSL出现“Heartble

4、ed”有史以来最大的比特币失窃案,全球最大Bitcoin交易平台Mt.Gox申请破产v第第4页页/共共68页页信息安全技术信息安全技术506:44:45一些常用名词红客:红客:从事网络安全行业的爱国黑客白客:白客:又称安全防护者,用寻常话说就是一些原本的黑客转正了,他们进入各大科技公司专门防护网络安全黑客:黑客:指某些热衷于计算机和网络技术、技能高超、非法入侵他人计算机系统的人,又称“骇客”灰客:灰客:指某些对计算机和网络安全感兴趣,初步了解网络安全知识,能够利用黑客软件或初级手法从事一些黑客行为的人。由于他们受技术限制,既不够“黑”,但也不“白”蓝客:蓝客:指某些标榜自己只热衷于纯粹的互联网

5、技术而不关心其他事物、我行我素的“黑客”v第第5页页/共共68页页信息安全技术信息安全技术606:44:45信息战已经成为各国军事斗争的主要组成部分中国需要维护国家信息系统的安全,建立保护网络国家边界的网军势在必行:v1.我国集成电路芯片的自给率不足10%。要做到网络安全,首先就是硬件安全,而芯片安全是硬件安全核心内容之一v2.微软的各版本操作系统在中国市场的占有率达到98%。软件安全是网络安全的另一个核心内容,最基本的操作系统不是自己编写的,同样留有安全隐患v第第6页页/共共68页页信息安全技术信息安全技术706:44:45理解安全与不安全概念理解安全与不安全概念“安全安全”一词在字典中被定

6、义为一词在字典中被定义为“远离远离危险的状态或特性危险的状态或特性”和和“为防范间谍活为防范间谍活动或蓄意破坏、犯罪、攻击或逃跑而采动或蓄意破坏、犯罪、攻击或逃跑而采取的措施取的措施”。没有危险;不受威胁;不出事故没有危险;不受威胁;不出事故v第第7页页/共共68页页信息安全技术信息安全技术806:44:45先行案例黑色星期五黑色星期五v源于西方的宗教信仰与迷信:耶稣基督死在星源于西方的宗教信仰与迷信:耶稣基督死在星期五,而期五,而13是不吉利的数字。两者的结合令是不吉利的数字。两者的结合令人相信当天会发生不幸的事情人相信当天会发生不幸的事情v历史上有好几个事件都发生于星期五:历史上有好几个事

7、件都发生于星期五:J1869年的黑色星期五:美国金融市场大泻年的黑色星期五:美国金融市场大泻 J1919年的黑色星期五:格拉斯哥工人罢工年的黑色星期五:格拉斯哥工人罢工 J1939年的黑色星期五:澳大利亚发生山林大火年的黑色星期五:澳大利亚发生山林大火 J1978年的黑色星期五:伊朗示威者大屠杀年的黑色星期五:伊朗示威者大屠杀 J1982年的黑色星期五:福克兰群岛战争爆发(英国和阿根廷)年的黑色星期五:福克兰群岛战争爆发(英国和阿根廷)v第第8页页/共共68页页信息安全技术信息安全技术906:44:45先行案例20012001年年“红色代码红色代码”蠕虫蠕虫20012001年年“尼姆达尼姆达N

8、imda”Nimda”蠕虫事件蠕虫事件多种手段攻击网络多种手段攻击网络20032003年年 SQL SLAMMERSQL SLAMMER蠕虫蠕虫 攻击攻击SQLSQL服务器服务器2003 2003 年口令蠕虫年口令蠕虫 口令方式攻击主机口令方式攻击主机20032003年年 冲击波冲击波“MSBLAST”MSBLAST”蠕虫和蠕虫和“BlastBlast清除者清除者”蠕虫蠕虫 20042004年年 震荡波蠕虫震荡波蠕虫 针对微软针对微软windowswindows操作系统的漏洞操作系统的漏洞20052005年年 “黛蛇黛蛇”蠕虫事件蠕虫事件20062006年年“魔波魔波”蠕虫蠕虫 引发引发“僵尸

9、网络僵尸网络”20072007年年“NimayaNimaya(熊猫烧香)(熊猫烧香)”病毒事件病毒事件 20082008年年“机器狗机器狗”病毒事件病毒事件 20092009年年“飞客飞客”蠕虫的泛滥蠕虫的泛滥 v第第9页页/共共68页页信息安全技术信息安全技术1006:44:45 2010年年初初,美美国国硅硅谷谷的的迈迈克克菲菲公公司司发发布布最最新新报报告告,约约109.5109.5万台中国计算机被病毒感染(美国万台中国计算机被病毒感染(美国105.7105.7万),排第一位。万),排第一位。20102010年年1 1月月2 2日日,公公安安部部物物证证鉴鉴定定中中心心被被黑黑,登登陆陆

10、该该网网站站,有有些些嘲嘲弄弄语语言言,还还贴贴一一张张“我我们们睡睡,你你们们讲讲”的的图图片片,图图片片是是公安某单位一次会议上,台下参会人员大睡的场面。公安某单位一次会议上,台下参会人员大睡的场面。先行案例先行案例v第第10页页/共共68页页信息安全技术信息安全技术1106:44:45先行案例2010今今年年“两两会会”期期间间,3月月3日日,全全国国政政协协委委员员严严 琪琪 所所 办办 陶陶 然然 居居 餐餐 饮饮 集集 团团 网网 站站(-)被黑,引发热议。)被黑,引发热议。v第第11页页/共共68页页信息安全技术信息安全技术1206:44:45先行案例先行案例英国税务局英国税务局

11、“光盘光盘”门门v20072007年年1111月,英国税务及海关总署的一名公务员在将月,英国税务及海关总署的一名公务员在将两张光碟寄给审计部门时,由于两张光碟寄给审计部门时,由于疏忽忘记依照规范以疏忽忘记依照规范以挂号寄出挂号寄出,导致光碟下落不明。光碟中有英国家庭申,导致光碟下落不明。光碟中有英国家庭申请十六岁以下儿童福利补助的资料,包括公民的姓名、请十六岁以下儿童福利补助的资料,包括公民的姓名、地址、出生年月、社会保险号码和银行帐户资料,据地址、出生年月、社会保险号码和银行帐户资料,据称其中还包括了英国首相布朗一家的机密资料。称其中还包括了英国首相布朗一家的机密资料。英国财政大臣达林在英国

12、财政大臣达林在国会下院承认数据丢国会下院承认数据丢失,布朗面色凝重。失,布朗面色凝重。v第第12页页/共共68页页信息安全技术信息安全技术1306:44:46卖家网上叫卖英国失踪税务光盘 v第第13页页/共共68页页信息安全技术信息安全技术1406:44:46先行案例先行案例网络成为重要的窃密渠道网络成为重要的窃密渠道扫描网络扫描网络发现漏洞发现漏洞控制系统控制系统窃取文件窃取文件v第第14页页/共共68页页信息安全技术信息安全技术1506:44:46先行案例先行案例违规操作泄密违规操作泄密敌对势力窃密敌对势力窃密互联网互联网 部队失密案:部队失密案:20032003年初,军队某参谋违反规定,

13、使用涉年初,军队某参谋违反规定,使用涉密计算机上因特网,被台湾情报机关跟踪锁定,一次窃走密计算机上因特网,被台湾情报机关跟踪锁定,一次窃走10001000多份文档资料,影响和损失极为严重。多份文档资料,影响和损失极为严重。v第第15页页/共共68页页信息安全技术信息安全技术1606:44:46提高信息安全意识提高信息安全意识不通过不通过emailemail传输敏感信息,敏感信息加密以后传输敏感信息,敏感信息加密以后再传输再传输不借用帐号、不随意说出密码不借用帐号、不随意说出密码敏感信息不要随意地放置敏感信息不要随意地放置,打印或复印的敏感资打印或复印的敏感资料要及时取走料要及时取走离开电脑时记

14、得锁屏与清除桌面离开电脑时记得锁屏与清除桌面不在公司外部讨论敏感信息不在公司外部讨论敏感信息发现安全问题及时报告发现安全问题及时报告.v第第16页页/共共68页页信息安全技术信息安全技术1706:44:46加强计算机与网络安全加强计算机与网络安全设置复杂密码设置复杂密码根据安全规范进行安全设置根据安全规范进行安全设置及时安装补丁及时安装补丁安装防病毒软件并及时更新安装防病毒软件并及时更新不随意下载安装软件,防止恶意程序、病毒及不随意下载安装软件,防止恶意程序、病毒及后门等黑客程序后门等黑客程序 v第第17页页/共共68页页信息安全技术信息安全技术1806:44:46通俗地说,安全就是安全是稳定

15、状态或确定状态v第第18页页/共共68页页信息安全技术信息安全技术1906:44:46关于课程关于课程学习本课程的要求学习本课程的要求v教学目标教学目标通通过过本本课课程程的的学学习习,要要求求对对信信息息安安全全的的概概念念与与内内涵涵有有较较全全面面的的了了解解,较较全全面面地地掌掌握握有有关关信信息息安安全全的的基基础础理理论论和和实实用用技技术术,掌掌握握网网络络系系统统安安全全防防护护的的基基本本方方法法,培培养养网网络络安安全全防防护护意意识识,增增强强网网络络系系统统安安全全保保障障能能力力,并并能能在在实践中其指导作用。实践中其指导作用。v教材:教材:王凤英,网络与信息安全技术

16、,中国铁道出版社王凤英,网络与信息安全技术,中国铁道出版社张同光,信息安全技术实用教程,电子工业出版社张同光,信息安全技术实用教程,电子工业出版社熊平,信息安全原理及应用,清华大学出版社熊平,信息安全原理及应用,清华大学出版社赵泽茂,信息安全技术,西安电子科技大学出版社赵泽茂,信息安全技术,西安电子科技大学出版社v第第19页页/共共68页页信息安全技术信息安全技术2006:44:46关于课程关于课程课程内容课程内容v信息安全综述信息安全综述v对称密钥密码体系对称密钥密码体系v公钥密码体系公钥密码体系v身份认证、身份认证、访问控制访问控制与系统审计与系统审计v操作系统安全操作系统安全v单向散列函

17、数单向散列函数vPKIPKI技术技术v数据库系统安全数据库系统安全v因特网安全和因特网安全和VPNVPNvWEBWEB电子商务安全电子商务安全v防火墙技术防火墙技术v入侵检测技术入侵检测技术v第第20页页/共共68页页信息安全技术信息安全技术2106:44:46关于课程关于课程本本课课程程对对学学生生的的要要求求提提高高信信息息安安全全意意识识,具具有有信信息息安安全的理论基础和基本实践能力全的理论基础和基本实践能力了了解解和和掌掌握握信信息息安安全全的的基基本本原原理理和相关技术和相关技术 关关注注国国内内外外最最新新的的研研究究成成果果和和发发展动态展动态v第第21页页/共共68页页信息安

18、全技术信息安全技术2206:44:46关于课程关于课程考核考核v30%30%(平平时时成成绩绩:出出勤勤、平平时时作作业业等等)+70%+70%考试成绩考试成绩听课听课v课堂纪律课堂纪律v欢欢迎迎同同学学上上讲讲台台跟跟同同学学们们分分享享信信息息安安全全相相关关知识知识v第第22页页/共共68页页信息安全技术信息安全技术2306:44:461信息安全综述v第第23页页/共共68页页信息安全技术信息安全技术2406:44:46本章提要网络与信息安全的基本概念网络与信息安全的基本概念网络安全威胁网络安全威胁网络安全的层次结构网络安全的层次结构安全评价标准安全评价标准研究网络与信息安全的意义研究网

19、络与信息安全的意义网络信息安全管理网络信息安全管理v第第24页页/共共68页页信息安全技术信息安全技术2506:44:461.1计算机网络安全的基本概念密码安全:密码安全:通信安全的最核心部分计算机安全:计算机安全:一种确定的状态,使计算机化数据和程序不致被非授权人员、计算机或程序访问获取和修改网络安全:网络安全:指利用网络管理控制技术措施,保证在一个网络环境里信息数据的保密性、完整性及可使用性受到保护信息安全:信息安全:防止任何对数据进行未授权访问的措施,或防止造成信息有意无意泄漏、破坏、丢失等问题的发生,让数据处于远离危险、免于威胁的状态或特性v第第25页页/共共68页页信息安全技术信息安

20、全技术2606:44:461.1 网络与信息安全的基本概念关系关系信息安全信息安全网络安全网络安全计算机安全计算机安全密码安全密码安全v第第26页页/共共68页页信息安全技术信息安全技术2706:44:471.1 网络与信息安全的基本概念网络信息安全的要求网络信息安全的要求即消息的发送者在发送后不能否认他发送过该消息即消息的发送者在发送后不能否认他发送过该消息抗抵赖完整性机密性即消息只有合法的接收者才能读出,其他人即使收到也读不出即消息只有合法的接收者才能读出,其他人即使收到也读不出即消息的确是由宣称的发送者发送的,如冒名顶替则会被发现即消息的确是由宣称的发送者发送的,如冒名顶替则会被发现即消

21、息在传输过程中如果篡改则会被发现即消息在传输过程中如果篡改则会被发现真实性真实性v第第27页页/共共68页页信息安全技术信息安全技术2806:44:471.1 网络与信息安全的基本概念木桶原理木桶原理v网络安全遵循网络安全遵循“木桶原理木桶原理”,即一个木桶的容积决定,即一个木桶的容积决定于组成它的最短的一块木板,一个系统的安全强度等于组成它的最短的一块木板,一个系统的安全强度等于它最薄弱环节的安全强度。于它最薄弱环节的安全强度。v安全防护必须建立在一个完整的多层次的安全体系之安全防护必须建立在一个完整的多层次的安全体系之上,任何的薄弱环节都将导致整个安全体系的崩溃上,任何的薄弱环节都将导致整

22、个安全体系的崩溃v第第28页页/共共68页页信息安全技术信息安全技术2906:44:471.2 网络安全威胁网络安全问题日益突出网络与信息系统在变成网络与信息系统在变成”金库金库”,当然就会吸引大当然就会吸引大批合法或非法的批合法或非法的”掏金者掏金者”,所以网络信息的安全所以网络信息的安全与保密问题显得越来越重要。与保密问题显得越来越重要。几乎每天都有各种各样的几乎每天都有各种各样的“黑客黑客”故事:故事:v19941994年末年末 俄罗斯黑客弗拉基米尔俄罗斯黑客弗拉基米尔利文与其伙伴从圣彼得堡的利文与其伙伴从圣彼得堡的一家小软件公司的联网计算机上,向美国名为一家小软件公司的联网计算机上,向

23、美国名为CITYBANKCITYBANK银行发动了一连串攻击,通过电子转帐方式,银行发动了一连串攻击,通过电子转帐方式,从从CITYBANKCITYBANK银行在纽约的计算机主机里窃取美元银行在纽约的计算机主机里窃取美元11001100万。万。v第第29页页/共共68页页信息安全技术信息安全技术3006:44:47v19961996年年8 8月月1717日日 美国司法部的网络服务器遭到美国司法部的网络服务器遭到“黑客黑客”入侵,并将入侵,并将“美美国司法部国司法部”的主页改为的主页改为“美国不公正部美国不公正部”,将司法部部长,将司法部部长的照片换成了阿道夫的照片换成了阿道夫希特勒,将司法部徽

24、章换成了纳粹希特勒,将司法部徽章换成了纳粹党徽,并加上一幅色情女郎的图片作为所谓司法部部长的党徽,并加上一幅色情女郎的图片作为所谓司法部部长的助手。助手。v19991999年年4 4月月2626日日 台湾人编制的台湾人编制的CIHCIH病毒的大爆发,有统计说病毒的大爆发,有统计说我国我国大陆受其大陆受其影响的影响的PCPC机总量达机总量达3636万台之多。有人估计在这次事件中,万台之多。有人估计在这次事件中,经济损失高达近经济损失高达近1212亿元亿元1.2 网络安全威胁v第第30页页/共共68页页信息安全技术信息安全技术3106:44:47v20002000年年5 5月月4 4日日 一种名为

25、一种名为“我爱你我爱你”(爱虫)的电脑(爱虫)的电脑病毒病毒开始在全球各地开始在全球各地迅速传播。据美国加利福尼亚州的名为迅速传播。据美国加利福尼亚州的名为“电脑经济电脑经济”的研的研究机构发布的初步统计数据,究机构发布的初步统计数据,“爱虫爱虫”大爆发两天之后,大爆发两天之后,全球约有全球约有45004500万台电脑被感染,造成的损失已经达到万台电脑被感染,造成的损失已经达到2626亿亿美元。在以后几天里,美元。在以后几天里,“爱虫爱虫”病毒所造成的损失以每天病毒所造成的损失以每天1010亿美元到亿美元到1515亿美元的幅度增加。亿美元的幅度增加。1.2 网络安全威胁v第第31页页/共共68

26、页页信息安全技术信息安全技术3206:44:47v数据大集中风险也更集中了;v系统复杂了安全问题解决难度加大;v云计算安全已经不再是自己可以控制的v3G、物联网、三网合一IP网络中安全问题引入到了电话、手机、广播电视中vweb2.0、微博、人肉搜索网络安全与日常生活越来越贴近新应用导致新的安全问题新应用导致新的安全问题1.2 网络安全威胁v第第32页页/共共68页页信息安全技术信息安全技术3306:44:471.2 网络安全威胁v第第33页页/共共68页页信息安全技术信息安全技术3406:44:471.2 网络安全威胁v第第34页页/共共68页页信息安全技术信息安全技术3506:44:47网络

27、网络流量分析流量分析拒绝服务拒绝服务特洛伊木马特洛伊木马资源非授权使用资源非授权使用计算机病毒计算机病毒假冒、重放假冒、重放破坏完整性破坏完整性诽谤诽谤窃听窃听主要威胁种类:主要威胁种类:1.2 网络安全威胁v第第35页页/共共68页页信息安全技术信息安全技术3606:44:47商业间谍商业间谍按照FBI的估计,由于商业间谍的危害,美国各大公司每年要损失100亿美元1.2 网络安全威胁动机v第第36页页/共共68页页信息安全技术信息安全技术3706:44:47经济利益经济利益1.2 网络安全威胁动机v第第37页页/共共68页页信息安全技术信息安全技术3806:44:47报复或者引入注意报复或者

28、引入注意:为了炫耀能力的黑客少了,为了非为了炫耀能力的黑客少了,为了非法取得政治、经济利益的人越来越多法取得政治、经济利益的人越来越多1.2 网络安全威胁动机v第第38页页/共共68页页信息安全技术信息安全技术3906:44:471.2 网络安全威胁动机恶作剧恶作剧v第第39页页/共共68页页信息安全技术信息安全技术4006:44:47无知无知黑客黑客“菜霸菜霸”1.2 网络安全威胁动机v第第40页页/共共68页页信息安全技术信息安全技术4106:44:471.3 网络安全的层次结构物 理 安 全1安 全 控 制2安 全 服 务3v第第41页页/共共68页页信息安全技术信息安全技术4206:4

29、4:481.3 网络安全的层次结构 _物理安全自然灾害、物理损坏、设备故障自然灾害、物理损坏、设备故障v某一天下着大雨,突然某一天下着大雨,突然“霹雳霹雳”一声,电脑突然断线了,经查是上网一声,电脑突然断线了,经查是上网用的用的adsl modemadsl modem被击坏了。被击坏了。电磁辐射、乘机而入、痕迹泄露电磁辐射、乘机而入、痕迹泄露vQQQQ被盗,黑客公开售卖被盗,黑客公开售卖200200元,最后费尽周折,利用密码保护才要回了元,最后费尽周折,利用密码保护才要回了自己心爱的自己心爱的QQQQ号,但是里面的好友和群全部被删除号,但是里面的好友和群全部被删除操作失误、意外疏漏操作失误、意

30、外疏漏v想通过优盘把连夜加班的资料拷贝到单位电脑上,可插入想通过优盘把连夜加班的资料拷贝到单位电脑上,可插入u u盘后里面空盘后里面空空如也,一晚上的工作付之东流。空如也,一晚上的工作付之东流。v第第42页页/共共68页页信息安全技术信息安全技术4306:44:481.3 网络安全的层次结构 _安全控制网络互联设备网络接口模块操作系统通过网管软件或路由器通过网管软件或路由器配置实现配置实现对其它机器的网络通信进程对其它机器的网络通信进程进行安全控制进行安全控制开机时要求键入口令开机时要求键入口令v第第43页页/共共68页页信息安全技术信息安全技术4406:44:481.3 网络安全的层次结构安

31、全服务安全服务安全服务安全服务安全服务安全机制安全连接安全协议安全策略v第第44页页/共共68页页信息安全技术信息安全技术4506:44:481.4.1 网络安全的评价标准19851985年,美国国防部发表了年,美国国防部发表了可信计算机系统评估准则可信计算机系统评估准则,它依据处理,它依据处理的信息等级采取相应的对策,划分了四类七个安全等级。依照各类、级的信息等级采取相应的对策,划分了四类七个安全等级。依照各类、级的安全要求从低到高,依次是的安全要求从低到高,依次是D D、C1C1、C2C2、B1B1、B2B2、B3B3和和A1A1级。级。v第第45页页/共共68页页信息安全技术信息安全技术

32、4606:44:481.4.1 网络安全的评价标准类别类别级别级别名称名称主要特征主要特征D DD D最低安全保护没有安全保护C CC1C1自主安全保护自主存储控制C2C2可控访问(受控存储)控制单独的可查性,安全标识B BB1B1标识的安全保护强制存取控制,安全标识B2B2结构化保护面向安全的体系结构,较好的抗 渗透能力B3B3安全区域存取监控、高抗渗透能力A AA A可验证设计形式化的最高级描述和验证C类称为酌情保护,B类称为强制保护,A类称为核实保护。这个标准过分强调了保密性,而对系统的可用性和完整性重视不够,因此实用性较低。v第第46页页/共共68页页信息安全技术信息安全技术4706:

33、44:481.4.2 网络安全服务vOSIOSI(Open Systems InterconnectionOpen Systems Interconnection)标准由)标准由ISOISO(International Standard OrganizationInternational Standard Organization)与)与ITUITU(International Telecommunication International Telecommunication UnionUnion)联合制定,将开放互联网络用)联合制定,将开放互联网络用7 7层描层描述,并通过相应的述,并通过相

34、应的7 7层协议实现系统间的相层协议实现系统间的相互连接互连接OSI(开放系统互联参考模型)(开放系统互联参考模型)v第第47页页/共共68页页信息安全技术信息安全技术4806:44:48OSIOSI的安全体系结构的安全体系结构成果标志是成果标志是ISOISO发布了发布了ISO7498-2ISO7498-2标准标准,作为,作为OSIOSI基本参考模型的补充基本参考模型的补充是基于是基于OSIOSI参考模型的七层协议之上的信息安参考模型的七层协议之上的信息安全体系结构全体系结构ISO7498-2ISO7498-2标准定义了标准定义了5 5类安全服务、类安全服务、8 8种特定种特定的安全机制、的安

35、全机制、5 5种普遍性安全机制种普遍性安全机制它确定了安全服务与安全机制的关系以及在它确定了安全服务与安全机制的关系以及在OSIOSI七层模型中安全服务的配置七层模型中安全服务的配置确定了确定了OSIOSI安全体系的安全管理安全体系的安全管理1.4.2 网络安全服务v第第48页页/共共68页页信息安全技术信息安全技术4906:44:48ISO 7498-2ISO 7498-2三维图三维图链路层链路层网络层网络层传输层传输层会话层会话层表示层表示层应用层应用层加加密密数数字字签签名名访访问问 控控制制数数据据完完整整性性签签别别交交换换业业务务流流填填充充路路由由控控制制公公证证访问控制访问控制

36、不可否认不可否认数据完整性数据完整性数据保密数据保密身份认证身份认证OSI参考模型参考模型安全机制安全机制安全服务安全服务1.4.2 网络安全服务v第第49页页/共共68页页信息安全技术信息安全技术5006:44:48五类安全服务五类安全服务身份认证(鉴别)身份认证(鉴别)A A与与B B通信,通信,A A是发起方是发起方对等实体鉴别对等实体鉴别v鉴别鉴别B B的身份的真实性的身份的真实性 vA A使用这种服务可以确信使用这种服务可以确信:一一 个实体此时没个实体此时没有试图冒充别的实体有试图冒充别的实体,或没有试图将先前的连或没有试图将先前的连接作非授权地重演接作非授权地重演 。数据原发鉴别

37、数据原发鉴别vB B鉴别鉴别A A来源的身份的真实性。来源的身份的真实性。v对数据单元的来源提供确认。这种服务对数对数据单元的来源提供确认。这种服务对数据单元的重复或篡改不提供保护。据单元的重复或篡改不提供保护。1.4.2 网络安全服务v第第50页页/共共68页页信息安全技术信息安全技术5106:44:48五类安全服务五类安全服务数据保密数据保密对数据提供保护使之不被非授权地泄露对数据提供保护使之不被非授权地泄露 1.4.2 网络安全服务v第第51页页/共共68页页信息安全技术信息安全技术5206:44:48保护信息不被未授权者非法纂改信息,如保护信息不被未授权者非法纂改信息,如修改、复制、插

38、入和删除等修改、复制、插入和删除等五类安全服务五类安全服务数据完整性数据完整性1.4.2 网络安全服务v第第52页页/共共68页页信息安全技术信息安全技术5306:44:48五类安全服务五类安全服务不可否认(抗抵赖)不可否认(抗抵赖)A A B B 用于防止参与通信的实体在事后否认曾参与用于防止参与通信的实体在事后否认曾参与全部或部分通信。全部或部分通信。v防止消息或行动源否认曾发送消息或采取过的防止消息或行动源否认曾发送消息或采取过的行动;行动;v防止消息接收者否认曾收到该消息无连接完整防止消息接收者否认曾收到该消息无连接完整性性1.4.2 网络安全服务v第第53页页/共共68页页信息安全技

39、术信息安全技术5406:44:48五类安全服务五类安全服务访问控制访问控制对系统的资源提供保护,防止未授权利用对系统的资源提供保护,防止未授权利用这种保护服务可应用于对资源的各种不同类这种保护服务可应用于对资源的各种不同类型的访问型的访问v读、写或删除信息资源读、写或删除信息资源v应用于对一种资源的所有访问应用于对一种资源的所有访问1.4.2 网络安全服务v第第54页页/共共68页页信息安全技术信息安全技术5506:44:48Windows XP Windows XP 文件访问控制文件访问控制1.4.2 网络安全服务v第第55页页/共共68页页信息安全技术信息安全技术5606:44:491.4

40、.2 网络安全服务v第第56页页/共共68页页信息安全技术信息安全技术5706:44:49八大安全机制八大安全机制加密加密使用加密算法对存放的数据进行加密使用加密算法对存放的数据进行加密加密算法加密算法v可逆加密算法:对称加密;不对称加密可逆加密算法:对称加密;不对称加密v不可逆加密算法可以使用密钥,也可以不不可逆加密算法可以使用密钥,也可以不使用使用1.4.3 特定安全机制v第第57页页/共共68页页信息安全技术信息安全技术5806:44:49八大安全机制八大安全机制数字签名机制数字签名机制采用非对称密钥体制,使用私钥进行数字签名,使用公钥采用非对称密钥体制,使用私钥进行数字签名,使用公钥对

41、签名信息进行验证。两个过程:对签名信息进行验证。两个过程:一:一:对数据签名对数据签名v使用签名者所私有的信息使用签名者所私有的信息v即使用签名者的私有信息作为私钥即使用签名者的私有信息作为私钥,或对数据单元或对数据单元进行加密进行加密,或产生出该数据单元的一个密码校验值。或产生出该数据单元的一个密码校验值。二:二:验证签过名的数据验证签过名的数据v使用公开的规程与信息来决定该签名是不是用签名使用公开的规程与信息来决定该签名是不是用签名者的私有信息产生的。者的私有信息产生的。v所用的规程与信息是所用的规程与信息是公之于众的公之于众的,但不能够从它们但不能够从它们推断出该签名者的私有信息。推断出

42、该签名者的私有信息。本质特征本质特征:该签名只有使用签名者的私有信息才能产生:该签名只有使用签名者的私有信息才能产生出来。因而,当该签名得到验证后,它能在事后的任何时出来。因而,当该签名得到验证后,它能在事后的任何时候向第三方(例如法官或仲裁人)证明只有那个私有信息候向第三方(例如法官或仲裁人)证明只有那个私有信息的惟一拥有者才能产生这个签名。的惟一拥有者才能产生这个签名。数字签名是解决网络通信中特有的安全问题的有效方法。数字签名是解决网络通信中特有的安全问题的有效方法。特别是针对通信双方发生争执时可能产生的特别是针对通信双方发生争执时可能产生的否认、冒充、否认、冒充、伪造、篡改伪造、篡改;具

43、有可证实性、不可否认性、不可伪造性和;具有可证实性、不可否认性、不可伪造性和不可重用性。不可重用性。1.4.3 特定安全机制v第第58页页/共共68页页信息安全技术信息安全技术5906:44:49八大安全机制八大安全机制访问控制机制访问控制机制根据访问者的身份和其它信息,来决定和实施实体根据访问者的身份和其它信息,来决定和实施实体的访问权限的访问权限:v已鉴别的身份已鉴别的身份v有关该实体的信息有关该实体的信息v使用该实体的权力使用该实体的权力v访问控制的功能访问控制的功能:v拒绝实体试图使用非授权的资源拒绝实体试图使用非授权的资源,或者以不正或者以不正当方式使用授权资源。可能产生一个报警信号

44、或当方式使用授权资源。可能产生一个报警信号或记录进行安全审计跟踪。记录进行安全审计跟踪。1.4.3 特定安全机制v第第59页页/共共68页页信息安全技术信息安全技术6006:44:49八大安全机制八大安全机制数据完整性机制数据完整性机制判断信息在传输过程中是否被篡改、增加、删除判断信息在传输过程中是否被篡改、增加、删除过,确保信息的完整。主要有两种形式:过,确保信息的完整。主要有两种形式:数据单元完整性:数据单元完整性:v发送实体发送实体给数据单元附加上一个量给数据单元附加上一个量,这个量为这个量为该数据的函数,例如校验码。该数据的函数,例如校验码。接收实体接收实体产生一产生一个相应的量个相应

45、的量,并把它与接收到的那个量进行比较并把它与接收到的那个量进行比较以决定该数据是否在转送中被篡改过。以决定该数据是否在转送中被篡改过。v单靠这种机制不能防止单个数据单元的重演单靠这种机制不能防止单个数据单元的重演数据单元序列的完整性:数据单元序列的完整性:v要求数据编号的连续性和时间标记的正确性,要求数据编号的连续性和时间标记的正确性,以防止假冒、丢失、重发、插入或修改数据以防止假冒、丢失、重发、插入或修改数据1.4.3 特定安全机制v第第60页页/共共68页页信息安全技术信息安全技术6106:44:49八大安全机制八大安全机制鉴别交换机制鉴别交换机制以交换信息的方式来确认实体身份的机制,实现

46、以交换信息的方式来确认实体身份的机制,实现同级之间的身份认证。同级之间的身份认证。用于交换鉴别的技术有:用于交换鉴别的技术有:v口令口令:由发方实体提供,收方实体检测:由发方实体提供,收方实体检测v密码技术密码技术:将交换的数据加密,只有合法用户才能:将交换的数据加密,只有合法用户才能解密,得出有意义的明文。在许多情况下,这种技术解密,得出有意义的明文。在许多情况下,这种技术与与时间标记和同步时钟、双方或三方时间标记和同步时钟、双方或三方“握手握手”、数字、数字签名和公证机构签名和公证机构一起使用。一起使用。v实体的特征或占有物实体的特征或占有物:ICIC卡、指纹识别和身份卡等卡、指纹识别和身

47、份卡等对等实体鉴别:对等实体鉴别:v如果在鉴别实体时如果在鉴别实体时,这一机制得到这一机制得到否定否定的结果的结果,就会就会导致导致连接的拒绝或终止连接的拒绝或终止,也可能使在安全审计跟踪中增也可能使在安全审计跟踪中增加一个记录加一个记录,或给安全管理中心一个报告。或给安全管理中心一个报告。1.4.3 特定安全机制v第第61页页/共共68页页信息安全技术信息安全技术6206:44:49八大安全机制八大安全机制通信业务填充机制通信业务填充机制通过填充通过填充冗余的冗余的业务流量,防止攻击者对流量进业务流量,防止攻击者对流量进行分析,填充过的流量需通过加密进行保护行分析,填充过的流量需通过加密进行

48、保护主要是对抗非法者在线路上监听数据并对其进行主要是对抗非法者在线路上监听数据并对其进行流量和流向分析;防止业务风险流量和流向分析;防止业务风险1.4.3 特定安全机制v第第62页页/共共68页页信息安全技术信息安全技术6306:44:49八大安全机制八大安全机制路由选择控制机制路由选择控制机制为数据的传送,动态地或预定地选取路由,以便为数据的传送,动态地或预定地选取路由,以便只使用物理上安全的子网络、中继站或链路只使用物理上安全的子网络、中继站或链路通信系统检测到主动或被动攻击时,可以指示网通信系统检测到主动或被动攻击时,可以指示网络服务的提供者经不同的路由建立连接络服务的提供者经不同的路由

49、建立连接连接带有连接带有某些安全标记的数据某些安全标记的数据可能被可能被安全策略安全策略禁禁止通过某些子网络、中继或链路。连接的发起者可止通过某些子网络、中继或链路。连接的发起者可以指定路由选择说明以指定路由选择说明,由它请求回避某些特定的子由它请求回避某些特定的子网络、链路或中继网络、链路或中继 1.4.3 特定安全机制v第第63页页/共共68页页信息安全技术信息安全技术6406:44:49八大安全机制八大安全机制公证机制公证机制第三方公证人参与第三方公证人参与数字签名、加密和完整性机制,数字签名、加密和完整性机制,基于通信双方对第三方的基于通信双方对第三方的绝对信任绝对信任,为两个或多个,

50、为两个或多个实体之间通信实体之间通信数据的完整性、原发、时间和目的地数据的完整性、原发、时间和目的地等性质等性质提供保证。提供保证。公证人为通信实体所信任公证人为通信实体所信任,并掌握必要信息以一种并掌握必要信息以一种可证实方式提供所需的保证:可证实方式提供所需的保证:CACA(Certificate Certificate Authority)Authority)、Hotmail/yahoo Hotmail/yahoo 邮件服务登陆认证邮件服务登陆认证1.4.3 特定安全机制v第第64页页/共共68页页信息安全技术信息安全技术6506:44:491.4.4 普遍性安全机制安全审计跟踪安全审计

展开阅读全文
部分上传会员的收益排行 01、路***(¥15400+),02、曲****(¥15300+),
03、wei****016(¥13200+),04、大***流(¥12600+),
05、Fis****915(¥4200+),06、h****i(¥4100+),
07、Q**(¥3400+),08、自******点(¥2400+),
09、h*****x(¥1400+),10、c****e(¥1100+),
11、be*****ha(¥800+),12、13********8(¥800+)。
相似文档                                   自信AI助手自信AI助手
搜索标签

当前位置:首页 > 包罗万象 > 大杂烩

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        获赠5币

©2010-2024 宁波自信网络信息技术有限公司  版权所有

客服电话:4008-655-100  投诉/维权电话:4009-655-100

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :gzh.png    weibo.png    LOFTER.png 

客服