1、1/10/2023h1第一章 网络信息安全概述一、信息安全基本概念二、网络信息安全及其体系结构三、网络信息安全威胁四、网络信息的基本要素五、网络信息技术六、网络信息的工作目的七、网络信息模型及其主要评价准则1/10/2023h2本章主要介绍了信息安全、网络信息安全的概念,内容涉及网络信息安全威胁、安全的要素以及安全技术、安全工作目的等。信息安全(Information security)网络信息安全(Network and information security)实体安全(Entity security)运行安全(Operation security)1/10/2023h3 网络信息安全不仅
2、涉及到国家的经济、金融和社会的安全,也涉及到国防、政治和文化的安全,可以说,信息安全就是国家安全。企业的信息化促进了电子商务的蓬勃发展,同时也电子商务的发展也推动了企业的创新与结构调整,进而大大提高了企业的效率。但是,在发展的过程中存在着严峻的安全问题,其中比较大的问题依然是信息安全问题。1/10/2023h4 信息安全是电子商务发展的基础和动力。开放的、自由和国际化和Internet的发展给政府机构、企事业单位带来了革命性的改革和开放,使得他们能够利用因特网提高办事效率和市场反应能力,以便更具竞争力。如何保护企业和机密信息不受黑客和工业间谍的入侵,已成为政府机构、企事业单位信息化健康发展所要
3、考虑的重要事情之一1/10/2023h5第节信息安全基本概念 1.1.1 信息安全 “安全”概念就是指“远离危险的状态和特征”和“为防范间谍活动和蓄意破坏、犯罪、攻击或逃跑而采取的措施”安全不是技术,而是一个过程。对于信息安全(国内),中国工程院权威人士认为:可以把信息安全保密内容分为实体安全、运行安全、数据安全和管理安全等四个方面。1/10/2023h6 许多教科书上认为计算机安全包括:实体安全、运行安全、数据安全和软件安全.而国家信息安全等级保护条例中心认为,计算机信息人机系统安全和目标是着为实体安全、运行安全、信息安全和人员安全维护。对于信息安全(国外),有人认为,信息安全是使信息避免一
4、系列威胁,保障商务的连续性,最大限度的减少商务的损失,最大限度的获取投资和商务的回报,涉及的是机密性、完整性和可用性。1/10/2023h7 我们认为信息安全是指防止信息资源被故意的或偶然的非授权泄露、更改和破坏、或者信息被非法系统辨认、控制和否认。即确保信息的完整性、秘密性、可用性、可控性和不可否认性。实体安全(物理安全)就是保护计算机设备、设施(含网络)以及其它媒体免遭地震、水灾和火灾和其它环境事故破坏的措施和过程。运行安全:就是为保障系统功能和安全实现,提供一套安全措施(如风险分析)来保护来保护信息处理过程的安全。1/10/2023h8 数据安全和内容安全(见书本)信息安全分层结构与信息
5、安全和属性之间的关系属性机密性真实性可用性层次物理安全卫生防泄漏抗恶劣环境运行安全抗非授权访问正常提供服务数据安全防解析发布路由内容真实抗否认内容安全信息解析路由内容欺骗信息阻断1/10/2023h9 1.1.2信息安全技术 含义:就是指在信息系统的物理层、运行层以及对信息自身的保护及攻击的层面上,所反应出的对信息自身与信息系统在可用性、机密性与真实性方面的保护与攻击和的技术。信息安全的技术安全措施可分为访问控制技术和密码技术两大类。1/10/2023h10第节网络信息安全及其体系结构 1.2.1网络信息安全概况 网络信息系统依靠计算机网络接收和处理信息,实现其相互间的联系和对目标的管理和控制
6、以网络方式获取信息和交流信息已成为现代信息社会的一个重要特征 因特网所具有的特性对网络信息安全提出了更高的要求,主要表现在以下几点:1/10/2023h11 一、开放性 网络的技术是全开放的,任何一个人或团体都可能获得,因而网络所面临的破坏和攻击是多方面的。二、国际性 网络的攻击不仅来自于本地网络的用户,还可以来自于因特网上的任何一台机器。三、自由性 网络最初对用户的使用并没有提供任何的技术制约,用户可以自由的访问网络,自由的使用和发布各种类型的信息。用户只对自己的行为负责,而没有的任何法制约束。1/10/2023h12 近年来,国家有关部门逐步重视网络信息安全问题,建立了相应的机构,发布了有
7、关的法规,以加强对网络信息的管理.2001年1月,国家保密局发布的已开始实施.2000年4月,公安部发布了.2000年10月,信息产业部成立了网络安全应急协调小组.1/10/2023h13 目前,在网络安全产品研制和开发方面,我国每三天就有一家安全公司成立.我国一些比较很有知名的IT公司也纷纷开始开发安全产品,例如:紫光、天网、实达朗科和海信等都有了自己的防火墙。国外网络安全厂商也纷纷涌入我国,并采取各种手段,以扩大国内市场份额。1/10/2023h14 1.1.2网络信息安全概念 从本质上讲,网络信息安全就是网络上的信息安全,是指网络系统中的硬件、软件及其系统中的数据受到保护,不受偶然的或恶
8、意的原因而遭到破坏、更改或泄漏,系统连续可靠正常的运行,网络服务不中断。广义来说,凡是涉及到网络上信息的保密性、完整性、可用性和真实性和相关技术和理论都是网络信息安全所要研究的领域。1/10/2023h15 如何更有效的保护重要的信息数据、提高计算机系统的网络安全性已成为所有计算机网络应用必须考虑和解决的一个重要问题。网络信息可分为静态信息和动态信息。1/10/2023h16 1.2.3网络安全的体系结构 网络安全的体系结构由以下几个方面组成:物理安全、网络安全和信息安全一、物理安全:是保护计算机网络网络设备、设施以及其它媒体免遭地震、水灾和火灾等环境事故以及人为操作失误及各种计算机犯罪行为导
9、致的破坏行为过程。主要包括三个方面:环境安全设备安全媒体安全31/10/2023h17正常的防范措施:一、对主机房及重要信息存储、收发部门进行屏蔽处理。二、对本地网和局域网传输线路传导力辐射的抑制。三、对终端设备辐射的防范1/10/2023h18 二、网络安全 网络安全包括:系统(主机、服务器)安全、反病毒、系统安全检测、入侵检测、审计分析、子网安全以及网络安全检测等。1.内外网隔离及访问控制系统防火墙分组过滤应用代理1/10/2023h19 2.内部网不同网络安全域的隔离及访问控制.在这里,防火墙被用来隔离内部网络的一个网段与另一个网段。3 网络安全检测 信息网络系统的安全性取决于网络系统中
10、最薄弱的环节。网络安全检测工具通常是一个网络安全性评估分析软件,其功能是用实践性的方法 扫描分析网络系统,检查报告系统存在的弱点的漏洞。1/10/2023h20 4 审计与监控 它不仅级识别谁访问了系统,还能指出系统正被怎样的使用 5 反病毒 网络反病毒技术包括预防病毒、检测病毒和消毒。反病毒技术的具体实现方法包括对网络服务器中的文件进行频繁的扫描和监测。6 网络备份 一、全盘备份 二、增量备份 三、差分备份 1/10/2023h21三、信息安全1.鉴别一、口令机制二、智能卡三、主体特征鉴别1/10/2023h222.数据传输安全系统为保障数据传输的安全,需采用数据传输加密技术、数据完整性鉴别
11、技术及防抵赖技术。.数据存储安全系统数据库安全及终端安全4.信息内容审计系统1/10/2023h23.安全管理 一、安全管理有规则 多人负责 任期有限有规则 职责分离原则 二、安全管理的实现 根据工作的重要程度,确定该系统的安全等级;根据确定的安全等级,确定安全管理的范围。1/10/2023h24 针对网络信息系统实际运行的TCP/IP协议,我们、把网络安全体系分为五个层次:应用层应用平台和系统的安全会话层会话安全网络层安全路由访问机制链路层链路安全物理层网络层信息安全1/10/2023h25 第 节 网络信息安全威胁1.3.1 网络信息安全威胁种类 一、网络信息安全存在的威胁 非授权访问 没
12、有预先经过同意,就使用网络或计算机资源被看作是非授权访问。如有意避开系统访问控制,寻网络设备及资源进行非正常使用,越权访问信息。31/10/2023h26 信息泄漏或丢失指敏感数据在有意或无意中被泄漏出去。破坏数据完整性以非法手段窃取对数据的使用权,或恶意添加、修改、删除数据,以干扰用户的正常使用。n拒绝服务攻击这种攻击不对对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应速度减慢甚至瘫痪。利用网络传播病毒1/10/2023h27 二、互联网络信息安全存在的安全 信息的截取 如果没有釆取加密措施或密度强度不够,攻击者可能通过互联网或公用电话网等装置内按装截收装置或在数据包通过
13、的网关和路由器上截取数据等。信息的篡改 当攻击者熟悉了网络信息格式后,通过各种技术方法和手段对网络传输的信息进行中途修改,并发往目的地,从而破坏信息的完整性。1/10/2023h28信息假冒当攻击者掌握了网络信息数据规律或了解商务信息以后,可以假冒用户或发送假冒信息欺骗其它用户。两种方式:伪造电子邮件和假冒家他人身份1/10/2023h29.3.2网络信息安全威胁的表现形式 内部威胁、外部威胁、主动威胁、被动威胁、偶发性威胁和故意性威胁、等级威胁。针对网络安全的威胁有三个方面:.人为的无意失误.人为的故意失误.网络软件的漏洞和“后门”1/10/2023h30第节网络信息安全的基本要素 网络信息
14、安全的核心:通过计算机、网络、密码技术和安全技术,保护在公用网络信息系统中传输、交换和存储的消息的保密性、完整性和真实性等。网络信息的基本要素 1.保密性 要保证数据在传输或存储过程中不被他人窃取1/10/2023h31 2.完整性 是指网络信息未经授权不能进行改变的特性。要求信息不被泄露给未授权的人,而完整性则要求信息不受到各种原因的破坏。3.可用性 是网络信息系统面向用户的安全性能,是网络信息可被授权实体访问并按需求使用的特性。1/10/2023h32 4.可控性 是指对信息及信息系统实施安全监控以及对网络 信息的传播及内容具的控制能力的特性 5.可审查性能够对网络出现的安全问题提供调查依
15、据和手段。6.不可抵懒性 也称不可否认性,在网络信息系统交互过程中,确信参与者的真实同一性。1/10/2023h33 7.认证性 保证信息资源不被非授权的使用。一般通过CA和证书来实现。8.可靠性 网络信息系统能够在规定条件下和规定时间内完成规定的功能的特征,是系统安全最基本要求之一。1/10/2023h34第5节 网络信息安全技术 网络信息安全技术主要包括:网络加密技术、防火墙技术、网络地址转换技术、身份验证技术和网络防病毒技术。.数据传输加密技术数据传输加密技术 链路加密、节点加密、端到端的加密 常规密码算法 公钥密码算法1/10/2023h35.防火墙技术防火墙技术.防火墙是用一个或一组
16、网络设备(计算机系统或路由器等),在两个或多个网络间加强访问控制,以保护一个网络不受来自另一个网络攻击的安全技术。.网络地址转换技术()网络地址转换技术()网络地址转换器也称为地址共享器或地址映射器。内部主机向外部主机连接时,使用同一个IP地址;相反,外部主机向内部主机连接时,必须通过网关映射到内部主机上。1/10/2023h36.安全内核技术安全内核技术美国国防部(DOD)技术标准把OS的安全等级分成D、C1、C2、B1、B2、B3和A级。目前,主要的OS的安全等级都是C2级。.身份验证技术身份验证技术 身份验证身份验证是用户向系统出示自己身份证明的过程。身份认证身份认证是系统查核用户身份证
17、明的过程。一、数字签名 二、Kerberos 系统 基于DCE/Kerberos的身份验证1/10/2023h37.网络防病毒技术网络防病毒技术 一、预防病毒技术 二、检测病毒技术三、消除病毒技术.数据完整性鉴别技术数据完整性鉴别技术 一、报文鉴别 二、校验和 三、加密校验和 四、消息完整性编码MIC.防抵懒技术防抵懒技术 常用方法是数字签名。数字签名采用一定的数据交换协议,使得通信双方能够满足两个条件:接收方能够鉴别发送方所宣称的身份;发送方以后不能否认他发送过数据这一事实。1/10/2023h38.网络信息安全研究方向网络信息安全研究方向 1.安全技术基础 2.入侵与防范技术研究 3.系统
18、安全体系及策略研究 4.内容安全分析及保障技术研究1/10/2023h39第节网络信息安全的工作目的 目标:对网络安全现状作出判断 较为准确地估计特定网络用户的风险 建立相应的控制风险体制 最大限度的提高系统的可用性,并把网络带来的风险减低到可接受程度1/10/2023h40第节信息安全模型及其主要评价准则.7.攸攸信息安全模型.安全模式 安全=风险分析执行策略漏洞检测实时响应.安全模式 公式:ttt 公式:ttt()1/10/2023h41 1.7.2信息安全的主要评介标准 美国(桔皮书)美国(桔皮书)它将安全分为四个方面(安全政策、可说明性、安全保障和文档)和七个安全级别(从高到低依次是D、C1、C2、B1、B2、B3和A)欧洲欧洲 它定义了从EO级到E6级的七个安全等级和十种安全功能。1/10/2023h42 美国联邦准则美国联邦准则 该标准的目的是提供的升级版本,同时保护已有资源 联合公共准则联合公共准则 CC的目的是建立一个各国都能接受的通用的信息安全产品和系统的安全性评价准则 系统安全工程能力成熟模型系统安全工程能力成熟模型 ()该模型定义了一个安全工程过程应有的特征,这些特征是完善的安全工程的根本保证。安全体系结构标准安全体系结构标准 该标准提供了安全服务与有关机制的一般描述,确定地参考模型内部可以提供这些服务机制的位置
