信息安全技術(shù)導(dǎo)論cha(2)

1、信息安全技術(shù)導(dǎo)論本課所需前序課程 本書(shū)是計(jì)算機(jī)、通信及信息管理等專(zhuān)業(yè)高年級(jí)本科生和研究生教材，需要學(xué)習(xí)的前序課程是高等數(shù)學(xué)、近世代數(shù)、計(jì)算機(jī)網(wǎng)絡(luò)和操作系統(tǒng)。這些課程與本課的關(guān)系如下圖所示。教學(xué)參考書(shū) 張煥國(guó)等譯密碼編碼學(xué)與網(wǎng)絡(luò)安全：原理與實(shí)踐（第三版）,電子工業(yè)出版社，2001，4馮登國(guó)，網(wǎng)絡(luò)安全原理與技術(shù)，科學(xué)出版社，2003，9王立斌、黃征等譯,計(jì)算機(jī)安全學(xué)安全的藝術(shù)與科學(xué),電子工業(yè)出版社，2006，1第一章 網(wǎng)絡(luò)安全緒論 1信息安全現(xiàn)狀安全威脅安全策略安全技術(shù)安全標(biāo)準(zhǔn)網(wǎng)絡(luò)信息安全發(fā)展趨勢(shì)展望計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展歷程用戶規(guī)模主要應(yīng)用成熟期大型機(jī)小科學(xué)計(jì)算1960年代10年小型機(jī)/WAN1

2、970年代小7年部門(mén)內(nèi)部PC / LAN1980年代中5年企業(yè)之間Client / Server1990年代大4年商家之間IntranetInternet2000年代商家與消費(fèi)者之間服務(wù)為本 全球無(wú)所不在3年ExtranetInternetInternet 用戶數(shù)百萬(wàn)Internet商業(yè)應(yīng)用快速增長(zhǎng)億美元網(wǎng)絡(luò)安全問(wèn)題日益突出混合型威脅 (Red Code, Nimda)拒絕服務(wù)攻擊(Yahoo!, eBay)發(fā)送大量郵件的病毒(Love Letter/Melissa)多變形病毒(Tequila)特洛伊木馬病毒網(wǎng)絡(luò)入侵70,00060,00050,00040,00030,00020,00010,

3、000已知威脅的數(shù)量典型應(yīng)用環(huán)境的完全威脅與安全需求應(yīng)用環(huán)境安全威脅安全需求所有網(wǎng)絡(luò)假冒攻擊阻止外部入侵銀行完整性破壞假冒攻擊，服務(wù)否認(rèn)竊聽(tīng)攻擊避免欺詐或交易的意外修改識(shí)別零售的交易顧客保護(hù)個(gè)人識(shí)別號(hào)確保顧客秘密電子交易假冒攻擊，完整性破壞竊聽(tīng)攻擊服務(wù)否認(rèn)確保交易的起源和完整性保護(hù)共同秘密為交易提供合法的電子簽名政府假冒攻擊，侵權(quán)攻擊，竊聽(tīng)，完整性破壞服務(wù)否認(rèn)避免敏感信息未授權(quán)泄漏或修改政府文件提供電子簽名公共電信載體假冒攻擊，授權(quán)侵犯拒絕服務(wù)竊聽(tīng)攻擊對(duì)授權(quán)的個(gè)人限制訪問(wèn)管理功能避免服務(wù)中斷保護(hù)用戶秘密互聯(lián)/專(zhuān)用網(wǎng)絡(luò)竊聽(tīng)攻擊假冒攻擊，完整性破壞保護(hù)團(tuán)體/個(gè)人的秘密確保消息的真實(shí)性第一章 網(wǎng)絡(luò)安

4、全緒論 2信息安全現(xiàn)狀安全威脅安全策略安全技術(shù)安全標(biāo)準(zhǔn)網(wǎng)絡(luò)信息安全發(fā)展趨勢(shì)展望常見(jiàn)的安全威脅網(wǎng)絡(luò)內(nèi)部、外部洩密拒絕服務(wù)攻擊特洛伊木馬黑客攻擊病毒，蠕蟲(chóng)系統(tǒng)漏洞潛信道第一章 網(wǎng)絡(luò)安全緒論 3信息安全現(xiàn)狀安全威脅安全策略安全技術(shù)安全標(biāo)準(zhǔn)網(wǎng)絡(luò)信息安全發(fā)展趨勢(shì)展望安全策略安全策略是針對(duì)網(wǎng)絡(luò)和信息系統(tǒng)的安全需要，所做出允許什么、禁止什么的規(guī)定，通常可以使用數(shù)學(xué)方式來(lái)表達(dá)策略，將其表示為允許（安全）或不允許（不安全）的狀態(tài)列表。安全策略分類(lèi)物理安全策略 訪問(wèn)控制策略 信息加密策略 安全管理策略 第一章 網(wǎng)絡(luò)安全緒論 4信息安全現(xiàn)狀安全威脅安全策略安全技術(shù)安全標(biāo)準(zhǔn)網(wǎng)絡(luò)信息安全發(fā)展趨勢(shì)展望訪問(wèn)控制技術(shù)包括入網(wǎng)

5、訪問(wèn)控制、網(wǎng)絡(luò)權(quán)限控制、目錄級(jí)安全控制和屬性安全控制等多種手段。訪問(wèn)控制技術(shù)防火墻技術(shù)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)漏洞掃描技術(shù) 安全審計(jì)技術(shù) 現(xiàn)代密碼技術(shù)安全協(xié)議 公鑰基礎(chǔ)設(shè)施（PKI） 其他安全技術(shù) ，如容災(zāi)、備份第一章 網(wǎng)絡(luò)安全緒論 5信息安全現(xiàn)狀安全威脅安全策略安全技術(shù)安全標(biāo)準(zhǔn)網(wǎng)絡(luò)信息安全發(fā)展趨勢(shì)展望國(guó)際標(biāo)準(zhǔn)組織國(guó)際標(biāo)準(zhǔn)化組織（ISOInternational Organization Standardization）國(guó)際電報(bào)和電話咨詢委員會(huì)(CCITT) 國(guó)際信息處理聯(lián)合會(huì)第十一技術(shù)委員會(huì)（IFIP TC11） 電氣與電子工程師學(xué)會(huì)（IEEE） Internet體系結(jié)構(gòu)委員會(huì)（IAB） 美國(guó)國(guó)家標(biāo)

6、準(zhǔn)局(NBS)與美國(guó)商業(yè)部國(guó)家技術(shù)標(biāo)準(zhǔn)研究所(NIST)美國(guó)國(guó)家標(biāo)準(zhǔn)協(xié)會(huì)(ANSI) 美國(guó)國(guó)防部(DoD)及國(guó)家計(jì)算機(jī)安全中心(NCSC)國(guó)際可信任計(jì)算機(jī)評(píng)估標(biāo)準(zhǔn)20世紀(jì)70年代，美國(guó)國(guó)防部制定“可信計(jì)算機(jī)系統(tǒng)安全評(píng)價(jià)準(zhǔn)則”（TCSEC)，為安全信息系統(tǒng)體系結(jié)構(gòu)最早準(zhǔn)則（只考慮保密性）；20世紀(jì)90年代，英、法、德、荷提出包括保密性、完整性、可用性概念的“信息技術(shù)安全評(píng)價(jià)準(zhǔn)則”（ITSEC)，但未給出綜合解決以上問(wèn)題的理論模型和方案；近年，六國(guó)（美、加、英、法、德、荷）共同提出“信息技術(shù)安全評(píng)價(jià)通用準(zhǔn)則”（CC for ITSEC)。TCSEC安全級(jí)別類(lèi)別級(jí)別名稱(chēng)主要特征DD低級(jí)保護(hù)沒(méi)有安全保

7、護(hù)CC1自主安全保護(hù)自主存儲(chǔ)控制C2受控存儲(chǔ)控制單獨(dú)的可查性，安全標(biāo)識(shí)BB1標(biāo)識(shí)的安全保護(hù)強(qiáng)制存取控制，安全標(biāo)識(shí)B2結(jié)構(gòu)化保護(hù)面向安全的體系結(jié)構(gòu)，較好的抗?jié)B透能力B3安全區(qū)域存取控制，高抗?jié)B透能力AA驗(yàn)證設(shè)計(jì)形式化的最高級(jí)描述和驗(yàn)證我國(guó)可信任計(jì)算機(jī)評(píng)估標(biāo)準(zhǔn)第一級(jí) 用戶自主保護(hù)級(jí)：使用戶具備自主安全保護(hù)的能力，保護(hù)用戶信息免受非法的讀寫(xiě)破壞；第二級(jí) 系統(tǒng)審計(jì)保護(hù)級(jí)：除前一個(gè)級(jí)別的安全功能外，要求創(chuàng)建維護(hù)訪問(wèn)的審計(jì)跟蹤記錄，使所有用戶對(duì)自己的行為合法性負(fù)責(zé)；第三級(jí) 安全標(biāo)記保護(hù)級(jí)：除前一個(gè)級(jí)別的安全功能外，要求以訪問(wèn)對(duì)象標(biāo)記的安全級(jí)別限制訪問(wèn)者的訪問(wèn)權(quán)限，實(shí)現(xiàn)對(duì)訪問(wèn)對(duì)象強(qiáng)制保護(hù)；第四級(jí) 結(jié)構(gòu)化保護(hù)

8、級(jí)：除前一個(gè)級(jí)別的安全功能外，將安全保護(hù)機(jī)制劃分為關(guān)鍵部分和非關(guān)鍵部分，對(duì)關(guān)鍵部分直接控制訪問(wèn)者對(duì)訪問(wèn)對(duì)象的存取，從而加強(qiáng)系統(tǒng)的抗?jié)B透能力；第五級(jí) 訪問(wèn)驗(yàn)證保護(hù)級(jí)：特別增設(shè)了訪問(wèn)驗(yàn)證功能，負(fù)責(zé)仲裁訪問(wèn)者對(duì)訪問(wèn)對(duì)象的所有訪問(wèn)活動(dòng)；OSI模型定義的安全服務(wù)第一章 網(wǎng)絡(luò)安全緒論 6信息安全現(xiàn)狀安全威脅安全策略安全技術(shù)安全標(biāo)準(zhǔn)網(wǎng)絡(luò)信息安全發(fā)展趨勢(shì)展望我國(guó)網(wǎng)絡(luò)安全研究現(xiàn)狀我國(guó)信息化建設(shè)基礎(chǔ)設(shè)備依靠國(guó)外引進(jìn)，信息安全防護(hù)能力只是處于相對(duì)安全階段，無(wú)法做到自主性安全防護(hù)和有效監(jiān)控（核心芯片、系統(tǒng)內(nèi)核程序源碼、大型應(yīng)用系統(tǒng)）；信息安全學(xué)科的基礎(chǔ)性研究工作信息安全評(píng)估方法學(xué)的研究尚處于跟蹤學(xué)習(xí)研究階段；國(guó)內(nèi)開(kāi)發(fā)

9、研制的一些防火墻、安全路由器、安全網(wǎng)關(guān)、“黑客”入侵檢測(cè)、系統(tǒng)弱點(diǎn)掃描軟件等在完善性、規(guī)范性、實(shí)用性方面還存許多不足，特別是在多平臺(tái)的兼容性、多協(xié)議的適應(yīng)性、多接口的滿足性方面存在很大差距；我國(guó)網(wǎng)絡(luò)安全研究現(xiàn)狀制定了國(guó)家、行業(yè)信息安全管理的政策、法律、法規(guī)；按照國(guó)家通用準(zhǔn)則建立了代表國(guó)家對(duì)信息安全產(chǎn)品、信息技術(shù)和信息系統(tǒng)安全性以及信息安全服務(wù)實(shí)施公正性評(píng)測(cè)的技術(shù)職能機(jī)構(gòu)中國(guó)國(guó)家信息安全測(cè)評(píng)認(rèn)證中心和行業(yè)中心；建立了支撐網(wǎng)絡(luò)信息安全研究的國(guó)家重點(diǎn)實(shí)驗(yàn)室和部門(mén)實(shí)驗(yàn)室，各種學(xué)術(shù)會(huì)議相繼召開(kāi)，已出版許多專(zhuān)著、論文，在有關(guān)高等院校已建立了向關(guān)系所、開(kāi)設(shè)了相關(guān)課程，并開(kāi)始培養(yǎng)自己的碩士、博士研究生；附、常

10、見(jiàn)的網(wǎng)絡(luò)安全協(xié)議PKCS(Public-key Cryptography Standards)由美國(guó)RSA數(shù)據(jù)安全公司RSA實(shí)驗(yàn)室在apple，Microsoft，DEC，Lotus，Sun，和MIT等機(jī)構(gòu)非正式的咨詢合作下開(kāi)發(fā)的有關(guān)公開(kāi)密鑰密碼的標(biāo)準(zhǔn)。SSL(Secure Socket Layer Handshake Protocol)SSL協(xié)議是Netscape公司開(kāi)發(fā)的用于WWW上的會(huì)話層安全協(xié)議，它保護(hù)傳遞于用戶瀏覽器和Web服務(wù)器之間的敏感數(shù)據(jù)，通過(guò)超文本傳輸協(xié)議(HTTP)或安全的超文本協(xié)議(S-HTTP)把密碼應(yīng)用于超文本環(huán)境中，從而提供多種安全服務(wù)。附、常見(jiàn)的網(wǎng)絡(luò)安全協(xié)議S-H

11、TTP(Secure Hypertext Transfer Protocol)S-HTTP是Enterprise Integration Technologies最初開(kāi)發(fā),進(jìn)一步開(kāi)發(fā)于Terisa系統(tǒng)的安全協(xié)議。它基于WWW，提供保密、鑒別或認(rèn)證、完整性和不可否認(rèn)等服務(wù)，保證在Web上交換的媒體文本的安全。PTC(Private Communication Technology Protocol) PTC是Microsoft和Visa開(kāi)發(fā)的在Internet上保密通信的協(xié)議，與SSL類(lèi)似。其不同點(diǎn)是在客戶和服務(wù)器之間包含了幾個(gè)短的報(bào)文數(shù)據(jù)，鑒別和加密使用不同的密鑰，并且提供了某種防火墻的功能。

12、附、常見(jiàn)的網(wǎng)絡(luò)安全協(xié)議SWAN(Secure Wide Area Network)S/WAN設(shè)計(jì)基于IP層的安全協(xié)議，可以在IP層提供加密，保證防火墻和TCPIP產(chǎn)品的互操作，以便構(gòu)作虛擬專(zhuān)網(wǎng)(VPN)。 SET(secure Electronic Transaction)SET是Visa，MasterCard合作開(kāi)發(fā)的用于開(kāi)放網(wǎng)絡(luò)進(jìn)行電子支付的安全協(xié)議，用于保護(hù)商店和銀行之間的支付信息。SMIME(SecureMultipurpose Internet Mail Extension)S/MIME是用于多目的的電子郵件安全的報(bào)文安全協(xié)議，和報(bào)文安全協(xié)議(MSP)、郵件隱私增強(qiáng)協(xié)議(PEM)、MIME對(duì)象安全服務(wù)協(xié)議(MOSS)及PGP協(xié)議的目的一樣