計(jì)算機(jī)信息網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)課件

1、計(jì)算機(jī)信息網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),1,計(jì)算機(jī)信息網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),中國科學(xué)技術(shù)大學(xué) 網(wǎng)絡(luò)中心 楊壽保 2001.11.28,計(jì)算機(jī)信息網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),2,網(wǎng)絡(luò)安全問題狀況,據(jù)調(diào)查世界排名前1000的公司幾乎都曾被黑客闖入 美國每年因網(wǎng)絡(luò)安全造成的損失高達(dá)175億美元 互連網(wǎng)上黑客站點(diǎn)數(shù)以萬計(jì)： 教唆破譯口令 發(fā)送E-mail漏洞列表 教唆成為黑客 教唆隱藏網(wǎng)絡(luò)痕跡,計(jì)算機(jī)信息網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),3,計(jì)算機(jī)信息系統(tǒng)及安全,計(jì)算機(jī)信息系統(tǒng)計(jì)算機(jī)實(shí)體、信息和人 計(jì)算機(jī)信息系統(tǒng) 廣播電視系統(tǒng) 電信系統(tǒng) 計(jì)算機(jī)信息系統(tǒng)安全 實(shí)體安全(物理安全) 運(yùn)行安全 信息安全,計(jì)算機(jī)信息網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),4,計(jì)算機(jī)信息系

2、統(tǒng)及安全,計(jì)算機(jī)信息網(wǎng)絡(luò)安全 計(jì)算機(jī)信息系統(tǒng)和信息網(wǎng)絡(luò)安全的演變 靜態(tài)安全和動(dòng)態(tài)安全 可用性 完整性 保密性 真實(shí)性 可靠性 可控性,計(jì)算機(jī)信息網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),5,計(jì)算機(jī)系統(tǒng)面臨的威脅及脆弱性,計(jì)算機(jī)信息系統(tǒng)受到的威脅 外部威脅： 自然災(zāi)害 黒客攻擊 病毒 垃圾郵件與黃毒 商業(yè)經(jīng)濟(jì)間諜 電子商務(wù)的安全威脅 信息戰(zhàn)與計(jì)算機(jī)犯罪,計(jì)算機(jī)信息網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),6,計(jì)算機(jī)系統(tǒng)面臨的威脅及脆弱性,內(nèi)部威脅 軟件的問題 存儲(chǔ)的問題 電子數(shù)據(jù)的非物質(zhì)性 電磁輻射 網(wǎng)絡(luò)環(huán)境和協(xié)議 個(gè)人,計(jì)算機(jī)信息網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),7,計(jì)算機(jī)系統(tǒng)面臨的威脅及脆弱性,信息社會(huì)的脆弱性和安全問題 技術(shù)的被動(dòng)性與依賴性導(dǎo)致的問題

3、國家安全問題 不同民族文化的沖突,計(jì)算機(jī)信息網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),8,計(jì)算機(jī)信息系統(tǒng)的保護(hù)和監(jiān)察,計(jì)算機(jī)信息系統(tǒng)的安全保護(hù) 基本概念 安全法規(guī) 安全管理 組織建設(shè)、制度建設(shè)和人員意識(shí) 安全技術(shù) 計(jì)算機(jī)信息系統(tǒng)安全保護(hù) 事前檢查事中保護(hù)、監(jiān)測(cè)、控制事后取證,計(jì)算機(jī)信息網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),9,計(jì)算機(jī)信息系統(tǒng)的保護(hù)和監(jiān)察,計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的基本策略,信息,人,職業(yè)道德,法律規(guī)范紀(jì)律,安全物理環(huán)境,安全硬件,安全軟件,計(jì)算機(jī)信息網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),10,計(jì)算機(jī)信息系統(tǒng)的保護(hù)和監(jiān)察,公共信息網(wǎng)絡(luò)安全監(jiān)察 公共信息網(wǎng)絡(luò)安全監(jiān)察工作的性質(zhì) 公共信息網(wǎng)絡(luò)安全監(jiān)察工作的一般原則 公共信息網(wǎng)絡(luò)安全監(jiān)察的任務(wù),計(jì)算機(jī)

4、信息網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),11,計(jì)算機(jī)信息網(wǎng)絡(luò)安全模型,傳統(tǒng)安全模型的局限性 絕對(duì)安全的系統(tǒng)是不存在的： 系統(tǒng)軟件包括操作系統(tǒng)的復(fù)雜性 不能完全隔離外部的服務(wù)請(qǐng)求 計(jì)算機(jī)網(wǎng)絡(luò)關(guān)鍵技術(shù)的安全問題,計(jì)算機(jī)信息網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),12,計(jì)算機(jī)信息網(wǎng)絡(luò)安全模型,網(wǎng)絡(luò)安全體系結(jié)構(gòu)及安全模型 體系結(jié)構(gòu),防御,調(diào)查,檢測(cè),事后分析,計(jì)算機(jī)信息網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),13,計(jì)算機(jī)信息網(wǎng)絡(luò)安全模型,信息保障的基本內(nèi)容,保護(hù),反應(yīng),恢復(fù),檢測(cè),信息保障,計(jì)算機(jī)信息網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),14,計(jì)算機(jī)信息網(wǎng)絡(luò)安全模型,安全模型 預(yù)警 保護(hù) 檢測(cè) 響應(yīng) 恢復(fù) 反擊,計(jì)算機(jī)信息網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),15,計(jì)算機(jī)信息網(wǎng)絡(luò)安全模型,OSI層的安

5、全模型 OSI網(wǎng)絡(luò)體系結(jié)構(gòu)參考模型,應(yīng)用層 Application Layer 7,表示層 Presentation Layer 6,會(huì)話層 Session Layer 5,傳輸層 Transportation Layer 4,網(wǎng)絡(luò)層 Network Layer 3,物理層 Physical Layer 1,數(shù)據(jù)鏈路層 Data link Layer 2,計(jì)算機(jī)信息網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),16,計(jì)算機(jī)信息網(wǎng)絡(luò)安全模型,網(wǎng)絡(luò)安全技術(shù)的實(shí)施層次 網(wǎng)絡(luò)安全技術(shù)的實(shí)現(xiàn)主要在應(yīng)用層和網(wǎng)絡(luò)層 加、解密技術(shù) SSH、SSL、SHTP(https:/)、SNMPv2等 Proxy IP過濾防火墻、IPSec等 基于

6、應(yīng)用的安全技術(shù)(鏈路級(jí)的,計(jì)算機(jī)信息網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),17,計(jì)算機(jī)信息網(wǎng)絡(luò)安全模型,計(jì)算機(jī)信息網(wǎng)絡(luò)安全策略 總的策略 你需要保護(hù)哪些資源？ 保護(hù)這些資源你需要防備哪些人？ 可能存在什么樣的威脅？ 資源的重要性如何？ 你能夠采取哪些措施？ 你是否定期檢查網(wǎng)絡(luò)安全策略？你的網(wǎng)絡(luò)目標(biāo)和環(huán)境是否已經(jīng)改變？ 你是否知道黑客們的最新動(dòng)向,計(jì)算機(jī)信息網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),18,計(jì)算機(jī)信息網(wǎng)絡(luò)安全模型,網(wǎng)絡(luò)使用和責(zé)任 允許誰使用這些資源？ 什么是對(duì)資源的正確使用？ 誰被授予有授權(quán)訪問和同意使用的權(quán)力？ 誰可能擁有系統(tǒng)管理特權(quán)？ 用戶的權(quán)利和責(zé)任是什么？ 系統(tǒng)管理員的權(quán)利和責(zé)任是什么？ 如何處理敏感信息？ 檢測(cè)和監(jiān)

7、視系統(tǒng)運(yùn)行 檢測(cè)和監(jiān)視非授權(quán)活動(dòng) 反應(yīng)策略,計(jì)算機(jī)信息網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),19,信息網(wǎng)絡(luò)安全防御技術(shù)綜述,Internet的特點(diǎn) 多個(gè)網(wǎng)絡(luò)的集合 開放性：以TCP/IP協(xié)議為核心和基礎(chǔ)，不屬于任何國家、組織或個(gè)人 信息傳輸是跳躍式的，途徑不確定 用戶不需了解網(wǎng)絡(luò)底層結(jié)構(gòu) 可以通過PSTN撥號(hào)上網(wǎng)，應(yīng)用日益普及 豐富的、多樣的網(wǎng)絡(luò)資源 網(wǎng)絡(luò)文化與網(wǎng)絡(luò)人,計(jì)算機(jī)信息網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),20,信息網(wǎng)絡(luò)安全防御技術(shù)綜述,Internet是不安全的 網(wǎng)絡(luò)是開放的 共享信道、廣播方式的信息傳送 各種協(xié)議的漏洞 各種系統(tǒng)的漏洞 因此，網(wǎng)絡(luò)發(fā)展為我們帶來歷史機(jī)遇的同時(shí)，也帶來巨大風(fēng)險(xiǎn),計(jì)算機(jī)信息網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),

8、21,What are they doing,計(jì)算機(jī)信息網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),22,計(jì)算機(jī)信息網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),23,計(jì)算機(jī)和網(wǎng)絡(luò) 安全問題的防范,計(jì)算機(jī)信息網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),24,信息網(wǎng)絡(luò)安全防御技術(shù)綜述,信息網(wǎng)絡(luò)安全的要求 保密性、完整性、可用性、可控性、不可否認(rèn)性 信息網(wǎng)絡(luò)安全的服務(wù)技術(shù)與機(jī)制 加密與隱藏 網(wǎng)絡(luò)安全的目標(biāo) Secrecy 保密性 Authenticity 真實(shí)性 Non-repudiation 不可否認(rèn)性 Integrity control 完整性 Control Possibility 可控性,計(jì)算機(jī)信息網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),25,信息網(wǎng)絡(luò)安全防御技術(shù)綜述,對(duì)信息傳輸安全的威脅

9、 被動(dòng)攻擊：竊聽 主動(dòng)攻擊：攔截、假冒、篡改、丟棄 對(duì)計(jì)算機(jī)中信息安全的威脅 瀏覽、泄露、篡改、破壞、誤刪 計(jì)算機(jī)安全級(jí)別(1985) 美國國防部：可信任計(jì)算機(jī)標(biāo)準(zhǔn)評(píng)估準(zhǔn)則(Trusted Computer Standards Evaluation Criteria) 又稱桔黃皮書(Orange Book) D1級(jí)：最低安全形式，沒有保護(hù)，沒有控制 C1級(jí)：存在某種程度的保護(hù)，用戶有注冊(cè)名和口令 C2級(jí)：除對(duì)用戶權(quán)限進(jìn)一步限制外，有身份驗(yàn)證與系統(tǒng) 審計(jì)能力,計(jì)算機(jī)信息網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),26,信息網(wǎng)絡(luò)安全防御技術(shù)綜述,B1級(jí)：支持多級(jí)安全(如秘密和絕密) B2級(jí)：結(jié)構(gòu)保護(hù)，所有對(duì)象都貼標(biāo)簽分配級(jí)

10、別 B3級(jí)：安全域級(jí)別，安裝硬件來加強(qiáng)安全 A級(jí)：最高安全級(jí)別，有嚴(yán)格的設(shè)計(jì)、控制和驗(yàn)證過程 加密系統(tǒng)模型,加密密鑰KE,加密算法E,解密算法D,解密密鑰KB,明文信息M,明文信息M,密文信息C,被動(dòng)竊聽,主動(dòng)攻擊,不安全傳輸信道,計(jì)算機(jī)信息網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),27,信息網(wǎng)絡(luò)安全防御技術(shù)綜述,私有密鑰加密系統(tǒng)(對(duì)稱密鑰系統(tǒng)) 加密密鑰和解密密鑰一樣，或可以互導(dǎo) DES(Data Encryption Standard) 1977, 美國 用56位長(zhǎng)的密鑰加密64位長(zhǎng)的數(shù)據(jù)塊 256=72,057,584,037,927,936 約7.2億億 IDEA(International Data Enc

11、ryption Algorithm) 用128位長(zhǎng)的密鑰加密64位長(zhǎng)的數(shù)據(jù)塊, 1991, 瑞士 特點(diǎn)：運(yùn)算速度快，不能做數(shù)字簽名,計(jì)算機(jī)信息網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),28,信息網(wǎng)絡(luò)安全防御技術(shù)綜述,公開密鑰加密系統(tǒng)(非對(duì)稱密鑰系統(tǒng)) 加密密鑰與解密密鑰不同，不可互導(dǎo)，公開加密密鑰不會(huì)危及解密密鑰，可實(shí)現(xiàn)數(shù)字簽名。 RSA：典型的公鑰加密系統(tǒng)，1978，美國 公開：加密密鑰 e，模數(shù) n (n=pq, p, q為素?cái)?shù)) 秘密：解密密鑰 d，p和q 其中，ed mod (n) = 1 加密：C = Me mod n，C 為密文，M為明文 解密：M = Cd mod n = Med mod n = M 特

12、點(diǎn)：安全性高，基于因數(shù)分解難度， 可實(shí)現(xiàn)數(shù)字簽名，運(yùn)算速度低,計(jì)算機(jī)信息網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),29,信息網(wǎng)絡(luò)安全防御技術(shù)綜述,認(rèn)證和身份鑒別機(jī)制 認(rèn)證機(jī)制(Authentication) 認(rèn)證通信雙方：網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)用戶 消息接收者驗(yàn)證消息的合法性、真實(shí)性、完整性 消息發(fā)送者不能否認(rèn)所發(fā)消息 任何人不能偽造合法消息 數(shù)字簽名(Digital Signature) 可使消息接收者能夠驗(yàn)證消息的確來自合法用戶的一種加密機(jī)制 任何人不能偽造簽字人的簽名 簽字人無法否認(rèn)自己的簽名 可用于身份認(rèn)證和數(shù)據(jù)完整性控制,計(jì)算機(jī)信息網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),30,信息網(wǎng)絡(luò)安全防御技術(shù)綜述,身份鑒別 驗(yàn)證用戶知道什么(如口令

13、、密鑰等) 驗(yàn)證用戶擁有什么(如鑰匙、徽標(biāo)、IC卡等) 驗(yàn)證用戶的生理特征(如指紋、聲紋等) 驗(yàn)證用戶的習(xí)慣動(dòng)作(如筆跡等) 審計(jì) 完整性保護(hù) 保證數(shù)據(jù)在存儲(chǔ)或傳輸過程中不被非法修改、破壞或丟失 主要手段是報(bào)文摘要技術(shù)(message digest, MD): 輸入不定長(zhǎng)數(shù)據(jù)，經(jīng)過雜湊函數(shù)(Hash)，通過各種變換，輸出定長(zhǎng)的摘要。標(biāo)準(zhǔn)有MD5、SHS等,計(jì)算機(jī)信息網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),31,信息網(wǎng)絡(luò)安全防御技術(shù)綜述,訪問控制 業(yè)務(wù)填充 路由控制 公證 冗余和備份,計(jì)算機(jī)信息網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),32,信息網(wǎng)絡(luò)安全防御技術(shù)綜述,信息網(wǎng)絡(luò)安全技術(shù)的產(chǎn)生與發(fā)展 VPN虛擬專用網(wǎng)技術(shù) Virtual Pri

14、vate Network 利用公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施，構(gòu)建安全、可靠、可控的屬于自己的專用網(wǎng)絡(luò)和安全通道。要求達(dá)到： 安全性、流量控制、可操作性與可管理性 PKI公開密鑰基礎(chǔ)設(shè)施 認(rèn)證中心、注冊(cè)中心、證書持有者、用戶、證書庫,計(jì)算機(jī)信息網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),33,信息網(wǎng)絡(luò)安全防御技術(shù)綜述,有效的訪問控制防火墻 什么是防火墻？ 防火墻是建立在兩個(gè)網(wǎng)絡(luò)的邊界上的實(shí)現(xiàn)安全策略和網(wǎng)絡(luò)通信監(jiān)控的系統(tǒng)或系統(tǒng)組，強(qiáng)制執(zhí)行對(duì)內(nèi)部網(wǎng)和外部網(wǎng)的訪問控制。通過建立一整套規(guī)則和策略來監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，實(shí)現(xiàn)保護(hù)內(nèi)部網(wǎng)絡(luò)的目的,計(jì)算機(jī)信息網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),34,信息網(wǎng)絡(luò)安全防御技術(shù)綜述,防火墻的功能 訪問控制 授

15、權(quán)認(rèn)證 內(nèi)容安全：病毒掃描、URL掃描、HTTP過濾 加密 路由器安全管理 地址翻譯 均衡負(fù)載 日志記帳、審計(jì)報(bào)警,計(jì)算機(jī)信息網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),35,信息網(wǎng)絡(luò)安全防御技術(shù)綜述,防火墻技術(shù)及實(shí)現(xiàn) 基于IP包過濾的堡壘主機(jī)防火墻 IP過濾路由器 帶雙網(wǎng)絡(luò)接口配置的堡壘主機(jī),計(jì)算機(jī)信息網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),36,信息網(wǎng)絡(luò)安全防御技術(shù),代理服務(wù)器防火墻(Proxy Server) 不允許外部網(wǎng)與內(nèi)部網(wǎng)的直接通信，內(nèi)外計(jì)算機(jī)應(yīng)用層的連接由終止于Proxy Server上的連接來實(shí)現(xiàn),計(jì)算機(jī)信息網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),37,信息網(wǎng)絡(luò)安全防御技術(shù),應(yīng)用網(wǎng)關(guān)(Application Gateway) 建立在網(wǎng)絡(luò)傳輸層上基于主機(jī)的協(xié)議過濾、轉(zhuǎn)發(fā)器