網(wǎng)絡(luò)信息安全技術(shù)講義課件

網(wǎng)絡(luò)信息安全技術(shù)

主講教師姜梅1網(wǎng)絡(luò)信息安全技術(shù)主講教師姜梅1從60年代末，人們已經(jīng)認(rèn)識(shí)到計(jì)算機(jī)系統(tǒng)的脆弱性，并開始了安全性研究。進(jìn)入80年代，計(jì)算機(jī)的性能有很大提高，人們將各孤立的計(jì)算機(jī)系統(tǒng)連接起來(lái)，實(shí)現(xiàn)相互通信和資源共享，特別是90年代的internet普及，促進(jìn)社會(huì)的信息化。但網(wǎng)絡(luò)的普及使計(jì)算機(jī)應(yīng)用更加深入和廣泛的同時(shí)，也為各種入侵和攻擊提供了機(jī)會(huì)，成為危害信息社會(huì)的一大威脅。安全問題引起人們的高度重視，亟待解決。早在80年代早期，國(guó)外高校就十分重視對(duì)學(xué)生計(jì)算機(jī)安全技術(shù)的教育，美國(guó)電器和電子工程師學(xué)會(huì)（IEEE）制訂的《計(jì)算機(jī)科學(xué)與工程示范教學(xué)計(jì)劃》為例，在計(jì)算機(jī)方面共開設(shè)的28門課中加入計(jì)算機(jī)安全技術(shù)的內(nèi)容，如：2從60年代末，人們已經(jīng)認(rèn)識(shí)到計(jì)算機(jī)系統(tǒng)的脆弱性，課程名稱安全技術(shù)內(nèi)容軟件工程安全與保密數(shù)據(jù)庫(kù)系統(tǒng)數(shù)據(jù)保護(hù)機(jī)制，安全性計(jì)算機(jī)通信網(wǎng)絡(luò)網(wǎng)絡(luò)中的數(shù)據(jù)保密性高級(jí)操作系統(tǒng)保密性和密碼編制從中可見，信息安全內(nèi)容的地位和重要性。3課程名稱安全技術(shù)內(nèi)容軟件工程安全與保密數(shù)據(jù)庫(kù)系統(tǒng)數(shù)據(jù)保護(hù)機(jī)制此外，國(guó)際上計(jì)算機(jī)犯罪案件日趨增加，為滿足社會(huì)對(duì)計(jì)算機(jī)安全專業(yè)人員的需要，國(guó)外一些高校設(shè)置計(jì)算機(jī)安全專業(yè)，主要方向有“數(shù)據(jù)庫(kù)安全”、“密碼學(xué)和密碼分析”、“計(jì)算機(jī)系統(tǒng)安全”等。在我國(guó)存在以下現(xiàn)狀：（1）研究起步晚、滯后；（2）人們安全意識(shí)不足，宣傳力度不夠。因此在信息化的今天，開設(shè)此課程十分必要。通過(guò)該課程的學(xué)習(xí)，使學(xué)生了解什么是計(jì)算機(jī)安全？計(jì)算機(jī)安全的內(nèi)容？安全技術(shù)有哪些？具備計(jì)算機(jī)人員在信息時(shí)代必需的解決安全問題的基本能力。4此外，國(guó)際上計(jì)算機(jī)犯罪案件日趨增加，為滿足社會(huì)對(duì)計(jì)算機(jī)安全?！毒W(wǎng)絡(luò)信息安全技術(shù)

》課程要求一、課程編號(hào)：071436，課程性質(zhì)：專業(yè)課/必修二、總學(xué)時(shí)：40（總學(xué)分2.5），其中理論授課30學(xué)時(shí)，實(shí)驗(yàn)10學(xué)時(shí)三、先行、后續(xù)課程情況：先行課程：計(jì)算機(jī)網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)系統(tǒng)概論、操作系統(tǒng)；后續(xù)課程：電子商務(wù)5《網(wǎng)絡(luò)信息安全技術(shù)》課程要求一、課程編號(hào)：071436，課《網(wǎng)絡(luò)信息安全技術(shù)

》課程要求四、1、教材郭亞軍等.信息安全原理與技術(shù).清華大學(xué)出版社，2008.92、參考書目：（1）蔡紅柳等.信息安全技術(shù)及應(yīng)用實(shí)驗(yàn)（第二版）.科學(xué)出版社，2009.9（2）鄧亞平.計(jì)算機(jī)網(wǎng)絡(luò)安全.人民郵電出版社，2004.9；6《網(wǎng)絡(luò)信息安全技術(shù)》課程要求四、1、教材6《網(wǎng)絡(luò)信息安全技術(shù)

》課程要求五、課程的目的與任務(wù)隨著計(jì)算機(jī)應(yīng)用的廣泛與深入，計(jì)算機(jī)安全問題日益突出和復(fù)雜，對(duì)當(dāng)今信息社會(huì)構(gòu)成嚴(yán)重威脅。通過(guò)本科課程學(xué)習(xí)，使學(xué)生理解信息系統(tǒng)安全與保密的內(nèi)涵，了解信息系統(tǒng)受到的各種威脅，明確信息系統(tǒng)安全的目標(biāo)，掌握信息安全的基本理論、基本概念和各種技術(shù)，為今后在信息系統(tǒng)安全領(lǐng)域的研究和應(yīng)用奠定良好的基礎(chǔ)。7《網(wǎng)絡(luò)信息安全技術(shù)》課程要求五、課程的目的與任務(wù)7六、教學(xué)基本要求1.掌握信息系統(tǒng)安全與保密的基本理論和基本概念；2.掌握信息系統(tǒng)的各種安全與保密技術(shù)；3.能夠運(yùn)用所學(xué)知識(shí)，解決實(shí)際安全問題。8六、教學(xué)基本要求8七、教學(xué)主要內(nèi)容1．信息安全概述2．信息安全數(shù)學(xué)基礎(chǔ)3．對(duì)稱（傳統(tǒng)）密碼體制4．公開密鑰（現(xiàn)代）密碼體制5．密碼技術(shù)應(yīng)用6．信息系統(tǒng)安全與保密技術(shù)7．網(wǎng)絡(luò)安全與保密技術(shù)8．計(jì)算機(jī)病毒理論八、課程考核成績(jī)1.期末考試成績(jī)占70%2.考勤、作業(yè)和實(shí)驗(yàn)成績(jī)占30%

9七、教學(xué)主要內(nèi)容9第一章信息系統(tǒng)安全概述一.基本要求與基本知識(shí)點(diǎn)（1）掌握信息系統(tǒng)的概念、信息系統(tǒng)受到的安全攻擊以及攻擊的主要手段；（2）掌握信息系統(tǒng)安全的含義和目標(biāo)；（3）掌握信息系統(tǒng)安全模型及信息安全技術(shù)的研究?jī)?nèi)容；（4）掌握信息系統(tǒng)安全體系結(jié)構(gòu)。二.教學(xué)重點(diǎn)與難點(diǎn)（1）信息系統(tǒng)安全的含義和目標(biāo)；（2）信息系統(tǒng)安全模型；（3）信息安全技術(shù)的研究?jī)?nèi)容；（4）信息系統(tǒng)安全體系結(jié)構(gòu)。10第一章信息系統(tǒng)安全概述一.基本要求與基本知識(shí)點(diǎn)101.1信息系統(tǒng)安全當(dāng)今社會(huì)是信息化社會(huì)，每天都有大量的信息在傳輸、交換、存儲(chǔ)和處理，而這些過(guò)程幾乎都要依賴強(qiáng)大的計(jì)算機(jī)系統(tǒng)來(lái)完成，人們把這樣的計(jì)算機(jī)系統(tǒng)稱為信息系統(tǒng)（又稱計(jì)算機(jī)信息系統(tǒng)）。因此，信息系統(tǒng)的安全實(shí)際上就是計(jì)算機(jī)系統(tǒng)的安全。一旦計(jì)算機(jī)系統(tǒng)發(fā)生安全問題，就可能造成信息的丟失、篡改、偽造、假冒、失密，以及系統(tǒng)遭受侵?jǐn)_和破壞等嚴(yán)重后果，輕者造成計(jì)算機(jī)系統(tǒng)運(yùn)行效率降低，重者造成計(jì)算機(jī)系統(tǒng)的癱瘓。因此，信息系統(tǒng)的安全保密成為迫切需要解決的問題。本章概述了信息系統(tǒng)安全的重要性及其主要研究的內(nèi)容。111.1信息系統(tǒng)安全當(dāng)今社會(huì)是信息化社會(huì)，每天都有大量的信息在《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》給出計(jì)算機(jī)信息系統(tǒng)的定義： 是指由計(jì)算機(jī)及其相關(guān)和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)劃，對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸和檢索等處理的人機(jī)系統(tǒng)。12《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)（1）信息采集，是信息系統(tǒng)最基本的功能，負(fù)責(zé)收集分散的信息，并整理成信息系統(tǒng)所需要的格式。（2）信息加工，負(fù)責(zé)對(duì)信息進(jìn)行加工處理，如排序、分類、歸納、檢索、統(tǒng)計(jì)、模擬、預(yù)測(cè)以及各種數(shù)學(xué)運(yùn)算等。（3）信息存儲(chǔ)，完成對(duì)有價(jià)值信息的存儲(chǔ)和保管。（4）信息檢索，是信息系統(tǒng)的重要功能，根據(jù)用戶的需要，查詢存儲(chǔ)在系統(tǒng)中的信息。（5）信息傳輸，是信息系統(tǒng)的信息交換功能，實(shí)現(xiàn)信息的傳遞，以便信息迅速準(zhǔn)確到達(dá)使用者手中。信息系統(tǒng)主要包括的功能13（1）信息采集，是信息系統(tǒng)最基本的功能，負(fù)責(zé)收集分散的信息，1.1.2信息系統(tǒng)受到的安全攻擊信息系統(tǒng)是借助計(jì)算機(jī)和通信網(wǎng)絡(luò)實(shí)現(xiàn)相互通信和資源共享的，因此它是一個(gè)開放式的互聯(lián)網(wǎng)絡(luò)系統(tǒng)。這種開放性為信息的竊取、盜用、非法修改以及各種擾亂破壞提供了可乘之機(jī)，使得信息存儲(chǔ)、處理和傳輸各環(huán)節(jié)，都有可能遭到入侵者的攻擊，造成系統(tǒng)癱瘓或重要數(shù)據(jù)的丟失。信息在存儲(chǔ)、共享和傳輸中，可能會(huì)被非法竊聽、截取、篡改和破壞，這些危及信息系統(tǒng)安全的活動(dòng)稱為安全攻擊（SecurityAttack）。安全攻擊分為被動(dòng)攻擊和主動(dòng)攻擊，如圖1-1所示。141.1.2信息系統(tǒng)受到的安全攻擊信息系統(tǒng)是借助計(jì)算機(jī)和通信受到的兩方面攻擊圖1-1信息傳輸受到的攻擊15受到的兩方面攻擊圖1-1信息傳輸受到的攻擊15（1）被動(dòng)攻擊 被動(dòng)攻擊的特征是對(duì)傳輸進(jìn)行竊聽和監(jiān)測(cè)，目的是獲得傳輸?shù)男畔?，不?duì)信息做任何改動(dòng)，因此被動(dòng)攻擊主要威脅信息系統(tǒng)的保密性。常見的被動(dòng)攻擊包括消息內(nèi)容的泄漏和流量分析等。（2）主動(dòng)攻擊 主動(dòng)攻擊目的在于篡改或者偽造信息、也可以是改變系統(tǒng)的狀態(tài)和操作。主動(dòng)攻擊主要威脅信息的完整性、可用性和真實(shí)性。常見的主動(dòng)攻擊包括：偽裝、篡改、重放和拒絕服務(wù)等。被動(dòng)攻擊和主動(dòng)攻擊16（1）被動(dòng)攻擊被動(dòng)攻擊和主動(dòng)攻擊16常見的安全攻擊

泄漏：消息的內(nèi)容被泄露或透露給某個(gè)非授權(quán)的實(shí)體。例如在通信線路中，通過(guò)電磁輻射偵截傳輸中的保密信息。流量分析（TrafficAnalysis）：利用統(tǒng)計(jì)分析方法對(duì)通信雙方的標(biāo)識(shí)、通信頻度、消息格式等參數(shù)進(jìn)行研究，從中發(fā)現(xiàn)有價(jià)值的信息和規(guī)律。篡改：指對(duì)合法用戶之間的通信消息進(jìn)行修改或者改變消息的順序。偽裝：指一個(gè)實(shí)體冒充另一個(gè)實(shí)體。例如非法用戶冒充成系統(tǒng)的合法用戶，對(duì)系統(tǒng)信息進(jìn)行訪問。重放（ReplayAttack）：將竊取的信息修改或排序后重放，從而造成信息重復(fù)和混亂。拒絕服務(wù)（DOS,DenialofService）：指阻止對(duì)信息或其它資源的合法訪問。病毒：是指編制或在計(jì)算機(jī)系統(tǒng)中插入破壞計(jì)算機(jī)功能或數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。它直接威脅計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)文件，破壞信息系統(tǒng)的正常運(yùn)行。17常見的安全攻擊泄漏：消息的內(nèi)容被泄露或透露給某個(gè)非授權(quán)的實(shí)1.1.3信息系統(tǒng)安全及其目標(biāo)

1、信息系統(tǒng)安全國(guó)際標(biāo)準(zhǔn)化組織ISO對(duì)“計(jì)算機(jī)安全”的定義：是指為信息處理系統(tǒng)建立和采取的技術(shù)上的和管理上的安全保護(hù)措施，保護(hù)系統(tǒng)中硬件、軟件及數(shù)據(jù)，不因偶然或惡意的原因而遭受破壞、更改或泄漏?！坝?jì)算機(jī)安全”一詞一直處在不斷的演變之中，從最初的保證硬件的安全到保證信息系統(tǒng)及信息資源的安全，使得計(jì)算機(jī)安全的內(nèi)容變得愈加復(fù)雜。181.1.3信息系統(tǒng)安全及其目標(biāo)

1、信息系統(tǒng)安全國(guó)際標(biāo)準(zhǔn)化從定義可見：①由于信息系統(tǒng)是以計(jì)算機(jī)為工具，對(duì)信息進(jìn)行采集、存儲(chǔ)、加工、分析和傳輸?shù)?，因此?jì)算機(jī)安全又可稱為信息系統(tǒng)安全。②1983年Sun公司提出的“網(wǎng)絡(luò)就是計(jì)算機(jī)”，即將網(wǎng)絡(luò)作為一種系統(tǒng)加以推廣。網(wǎng)絡(luò)安全是計(jì)算機(jī)安全概念在網(wǎng)絡(luò)環(huán)境下的擴(kuò)展和延伸，它的目標(biāo)是保證網(wǎng)絡(luò)中的硬件、軟件和數(shù)據(jù)免遭破壞、更改和泄漏。19從定義可見：192、信息系統(tǒng)的安全目標(biāo)安全目標(biāo)（SecurityGoal）是指能夠滿足一個(gè)組織或者個(gè)人的所有安全需求，通常包括保密性、完整性和可用性。保密性(Confidentiality)：防止非授權(quán)訪問信息。完整性(Integrity)：防止非法篡改和破壞信息?？捎眯?Availability)：防止系統(tǒng)拒絕服務(wù)。202、信息系統(tǒng)的安全目標(biāo)安全目標(biāo)（SecurityGoal）1.2.1信息系統(tǒng)安全模型信息系統(tǒng)安全的內(nèi)容主要包括安全技術(shù)、安全管理和安全法規(guī)。信息系統(tǒng)安全模型是一個(gè)層次結(jié)構(gòu)，如圖1-2所示。211.2.1信息系統(tǒng)安全模型信息系統(tǒng)安全的內(nèi)容主要包括安全技信息系統(tǒng)安全層次模型圖1-2信息系統(tǒng)安全層次模型各層次之間相互依賴，下層向上層提供支持，上層依賴于下層的功能，最終實(shí)現(xiàn)信息系統(tǒng)的安全。22信息系統(tǒng)安全層次模型圖1-2信息系統(tǒng)安全層次模型各層次之間（1）第一層是法律制度與道德規(guī)范。是指由政府部門所制定的一系列有關(guān)計(jì)算機(jī)犯罪的法令和法規(guī)，用于規(guī)范和制約人們的思想與行為，將信息安全納入規(guī)范化、法制化和科學(xué)化的軌道。如保密法、數(shù)據(jù)保護(hù)法、計(jì)算機(jī)安全法、計(jì)算機(jī)犯罪法、計(jì)算機(jī)系統(tǒng)安全標(biāo)準(zhǔn)、數(shù)據(jù)和信息安全標(biāo)準(zhǔn)等（指“社會(huì)規(guī)范”和“技術(shù)規(guī)范”兩方面）。23（1）第一層是法律制度與道德規(guī)范。是指由政府部門所制定的一系信息系統(tǒng)安全層次模型圖1-2信息系統(tǒng)安全層次模型24信息系統(tǒng)安全層次模型圖1-2信息系統(tǒng)安全層次模型24（2）第二層是管理制度的建立與實(shí)施。是指保證信息系統(tǒng)安全所制定的安全管理制度和規(guī)定，是實(shí)現(xiàn)信息系統(tǒng)安全的重要保證。主要包括安全管理人員的教育培訓(xùn)、制度落實(shí)、職責(zé)的檢查等內(nèi)容。例如某部門或某單位的計(jì)算機(jī)信息系統(tǒng)安全管理?xiàng)l例。25（2）第二層是管理制度的建立與實(shí)施。是指保證信息系統(tǒng)安全所制信息系統(tǒng)安全層次模型圖1-2信息系統(tǒng)安全層次模型26信息系統(tǒng)安全層次模型圖1-2信息系統(tǒng)安全層次模型26（3）第三、四層是物理實(shí)體的安全與硬件系統(tǒng)保護(hù)。計(jì)算機(jī)物理上安全與硬件系統(tǒng)的保護(hù)是信息系統(tǒng)安全不可缺少的重要環(huán)節(jié)。一是必須對(duì)自然災(zāi)害加強(qiáng)防護(hù)，如防火、防水、防雷擊等；二是采取必要的措施防止計(jì)算機(jī)設(shè)備被盜，如添加鎖、設(shè)置警鈴、刻上標(biāo)簽、購(gòu)置機(jī)柜等；三是盡量減少對(duì)硬件的損害，例如消除靜電、系統(tǒng)接地、鍵盤安全套、杜絕電磁干擾信號(hào)（攻擊者可能利用計(jì)算機(jī)硬件設(shè)備的電子輻射了解系統(tǒng)的內(nèi)部信息，因此要對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行屏蔽，防電子輻射）；四是配置不間斷電源UPS（UninterruptiblePowerSupply）。在遇到停電時(shí)，UPS能立即切換到內(nèi)部電池供電，并提供一個(gè)臨時(shí)電源，以便堅(jiān)持到供電恢復(fù)。27（3）第三、四層是物理實(shí)體的安全與硬件系統(tǒng)保護(hù)。計(jì)算機(jī)物理上信息系統(tǒng)安全層次模型圖1-2信息系統(tǒng)安全層次模型28信息系統(tǒng)安全層次模型圖1-2信息系統(tǒng)安全層次模型28（4）第五層至第七層是網(wǎng)絡(luò)、軟件和信息安全。通信網(wǎng)絡(luò)、軟件系統(tǒng)和信息安全保密技術(shù)是信息系統(tǒng)安全的關(guān)鍵，是信息安全技術(shù)研究的主要內(nèi)容。由信息系統(tǒng)安全層次模型可知，信息系統(tǒng)安全的內(nèi)容包括安全技術(shù)、安全管理和安全法規(guī)。29（4）第五層至第七層是網(wǎng)絡(luò)、軟件和信息安全。通信網(wǎng)絡(luò)、軟件系1.3信息系統(tǒng)安全體系結(jié)構(gòu)國(guó)際標(biāo)準(zhǔn)化組織ISO（InternationalStandandOrganization），于1989年在OSI參考模型的七層協(xié)議基礎(chǔ)之上，提出了OSI（OpenSystemInterconnetion）安全體系結(jié)構(gòu)，定義了5種安全服務(wù)和實(shí)現(xiàn)這些安全服務(wù)的8類安全機(jī)制，如圖1-4所示。301.3信息系統(tǒng)安全體系結(jié)構(gòu)國(guó)際標(biāo)準(zhǔn)化組織ISO（Inter安全體系結(jié)構(gòu)圖圖1-4三維安全體系結(jié)構(gòu)圖31安全體系結(jié)構(gòu)圖圖1-4三維安全體系結(jié)構(gòu)圖311、安全機(jī)制

阻止安全攻擊及恢復(fù)系統(tǒng)的機(jī)制稱為安全機(jī)制。安全機(jī)制是一種技術(shù)，一些軟件或?qū)嵤┮粋€(gè)或更多安全服務(wù)的過(guò)程。安全機(jī)制分為特定的安全機(jī)制和普遍的安全機(jī)制。一個(gè)特定的安全機(jī)制就是在同一時(shí)間只針對(duì)一種安全服務(wù)實(shí)施一種技術(shù)或軟件。它包括：加密、數(shù)字簽名、訪問控制、數(shù)據(jù)完整性、認(rèn)證交換、流量填充、路由控制和公證。普遍的安全機(jī)制不能應(yīng)用到OSI參考模型的任一層上。它包括：可信功能機(jī)制、安全標(biāo)簽機(jī)制、事件檢測(cè)機(jī)制、審計(jì)跟蹤機(jī)制、安全恢復(fù)機(jī)制。321、安全機(jī)制阻止安全攻擊及恢復(fù)系統(tǒng)的機(jī)制稱為安全機(jī)制。安全其中，與安全服務(wù)有關(guān)的機(jī)制是加密、數(shù)字簽名、訪問控制、數(shù)據(jù)完整性、認(rèn)證交換、流量填充、路由控制和公證；---特定的安全機(jī)制與管理相關(guān)的機(jī)制是可信功能機(jī)制，安全標(biāo)簽機(jī)制，事件檢測(cè)機(jī)制，審計(jì)跟蹤機(jī)制和安全恢復(fù)機(jī)制。---普遍的安全機(jī)制OSI安全體系結(jié)構(gòu)中制定了8類安全機(jī)制，即加密、數(shù)字簽名、訪問控制、數(shù)據(jù)完整性、認(rèn)證交換、流量填充、路由控制和公證仲裁機(jī)制，用于實(shí)現(xiàn)安全體系中的5種安全服務(wù)。33其中，332、安全服務(wù)安全服務(wù)是加強(qiáng)信息處理和信息傳輸?shù)陌踩缘囊环N服務(wù)，是指信息系統(tǒng)為其應(yīng)用提供的某些功能或者輔助業(yè)務(wù)。安全服務(wù)是利用一種或多種安全機(jī)制阻止安全攻擊，保證系統(tǒng)或者數(shù)據(jù)傳輸有足夠的安全性。OSI安全體系結(jié)構(gòu)定義了一組安全服務(wù)，主要包括認(rèn)證服務(wù)、訪問控制服務(wù)、數(shù)據(jù)保密性服務(wù)、數(shù)據(jù)完整性服務(wù)和不可否認(rèn)性服務(wù)。342、安全服務(wù)安全服務(wù)是加強(qiáng)信息處理和信息傳輸?shù)陌踩缘囊环N服2、安全服務(wù)（1）認(rèn)證（Authentication）服務(wù)用于識(shí)別對(duì)象的身份或?qū)ι矸莸淖C實(shí)。由于在某種程度上，OSI安全體系結(jié)構(gòu)的其他安全服務(wù)都依賴于認(rèn)證服務(wù)，因此認(rèn)證是一種重要的安全服務(wù)。認(rèn)證服務(wù)包括兩類：對(duì)等實(shí)體身份認(rèn)證：確認(rèn)對(duì)等實(shí)體身份是否與其聲明的是否一致，即是否真實(shí)。信源認(rèn)證：確認(rèn)所收到數(shù)據(jù)來(lái)源是否與所聲明的來(lái)源一致。352、安全服務(wù)（1）認(rèn)證（Authentication）服務(wù)3（2）訪問控制（AccessControl）服務(wù)訪問控制服務(wù)限制實(shí)體非授權(quán)訪問資源。（3）數(shù)據(jù)保密性（DataConfidentiality）服務(wù)數(shù)據(jù)保密性服務(wù)防止信息泄露或暴露給未授權(quán)實(shí)體。主要包括連接保密性、無(wú)連接保密性、選擇字段保密性、業(yè)務(wù)流保密性。（4）數(shù)據(jù)完整性（DataIntegrity）服務(wù)數(shù)據(jù)完整性服務(wù)防止用戶使用修改、復(fù)制、插入和刪除等手段非法篡改信息。（5）不可否認(rèn)性（Non-Reputation）服務(wù)防止參與某次通信交換的任何一方事后否認(rèn)本次通信或通信內(nèi)容。36（2）訪問控制（AccessControl）服務(wù)363、安全服務(wù)與安全機(jī)制關(guān)系

安全機(jī)制是安全服務(wù)的基礎(chǔ)。一種安全服務(wù)可以通過(guò)某種單獨(dú)的安全機(jī)制提供，也可以通過(guò)多種安全機(jī)制聯(lián)合提供。一種安全機(jī)制可用于提供一種或多種安全服務(wù)。OSI模型的七層協(xié)議中。安全服務(wù)和安全機(jī)制的對(duì)應(yīng)關(guān)系，如表1-1所示：373、安全服務(wù)與安全機(jī)制關(guān)系安全機(jī)制是安全服務(wù)的基礎(chǔ)。3738381.4信息安全技術(shù)研究的主要內(nèi)容信息安全研究?jī)?nèi)容主要包括：數(shù)據(jù)加解密算法、密碼分析、密鑰管理、操作系統(tǒng)安全、數(shù)據(jù)庫(kù)系統(tǒng)安全、網(wǎng)絡(luò)安全、病毒防治等。391.4信息安全技術(shù)研究的主要內(nèi)容信息安全研究?jī)?nèi)容主要包括：1.數(shù)據(jù)加解密算法

被保護(hù)信息或原始信息被稱為明文M（Message），可以通過(guò)某種方式變換成無(wú)法識(shí)別的密文C（Ciphertext），這個(gè)變換處理過(guò)程稱之為加密E（Enciphering）。密文可以通過(guò)相應(yīng)的逆變換再還原成明文，這個(gè)變換過(guò)程稱之為解密D（Deciphertext）。其中加密過(guò)程和解密過(guò)程分別受參數(shù)k1和k2的控制，k1和k2分別被稱為加密密鑰和解密密鑰，統(tǒng)稱為密鑰。加解密通信模型如圖1-3所示。401.數(shù)據(jù)加解密算法被保護(hù)信息或原始信息被稱為明文M（Mes加解密通信模型

圖1-3加密解密通信模型

經(jīng)過(guò)加密變換的信息，竊取者無(wú)法解密而不能理解其含義，而信息的合法接收者具有解密手段，從而可以獲得明文信息，這樣就起到了保護(hù)信息的作用。41加解密通信模型圖1-3加密解密通信模型經(jīng)過(guò)加密2.密碼分析密碼分析研究在不知道密鑰的情況下，通過(guò)獲取密文而恢復(fù)明文的科學(xué)。成功的密鑰分析可能會(huì)直接破譯明文和密鑰。422.密碼分析密碼分析研究在不知道密鑰的情況下，通過(guò)獲取密文3.密碼管理密鑰（Key）是由數(shù)字、字母或特殊符號(hào)組成的字符串，用于控制加密和解密過(guò)程。密碼算法的安全強(qiáng)度，在很大程度上依賴于密鑰的安全保護(hù)，由此引出密鑰管理。密鑰管理是一門綜合性技術(shù)，涉及到密鑰的產(chǎn)生、分配、存儲(chǔ)、修改以及銷毀的全過(guò)程，同時(shí)還與密鑰的行政管理制度與人員素質(zhì)密切相關(guān)。只要嚴(yán)格保管好密鑰，破譯者就無(wú)法將密文解密。一個(gè)完整的密碼系統(tǒng)將由算法、密文、密鑰組成，其中算法、密文可以公開，因此密碼系統(tǒng)的安全性取決于密鑰的保護(hù)。433.密碼管理密鑰（Key）是由數(shù)字、字母或特殊符號(hào)組成的字4.計(jì)算機(jī)系統(tǒng)安全（1）操作系統(tǒng)安全操作系統(tǒng)是計(jì)算機(jī)的重要系統(tǒng)軟件，他控制和管理系統(tǒng)資源，是計(jì)算機(jī)的指揮中心。由于操作系統(tǒng)的重要地位，使攻擊者常常以操作系統(tǒng)為主要攻擊對(duì)象。因此研究保護(hù)操作系統(tǒng)的方法、設(shè)計(jì)安全操作系統(tǒng)，對(duì)整個(gè)計(jì)算機(jī)系統(tǒng)的安全至關(guān)重要。（2）數(shù)據(jù)庫(kù)系統(tǒng)安全數(shù)據(jù)庫(kù)是相關(guān)信息的集合，攻擊者通過(guò)非法訪問數(shù)據(jù)庫(kù)，達(dá)到篡改和破壞信息的目的。因此研究如何使數(shù)據(jù)庫(kù)記錄保密、完整和可用，確保數(shù)據(jù)庫(kù)系統(tǒng)安全，成為整個(gè)計(jì)算機(jī)信息系統(tǒng)安全的重要組成部分。444.計(jì)算機(jī)系統(tǒng)安全（1）操作系統(tǒng)安全44（3）網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)就是將分撒在不同地理位置的自治計(jì)算機(jī)系統(tǒng)，通過(guò)某種介質(zhì)連接起來(lái)，實(shí)現(xiàn)信息傳遞和資源共享?；ヂ?lián)網(wǎng)的普及帶動(dòng)了世界各地計(jì)算機(jī)通信網(wǎng)絡(luò)的發(fā)展，同時(shí)也對(duì)網(wǎng)絡(luò)系統(tǒng)的安全提出了更高的要求。（4）病毒防治計(jì)算機(jī)病毒是一種危害極大的非法程序，它直接威脅著計(jì)算機(jī)系統(tǒng)的安全。計(jì)算機(jī)病毒在一定條件下被激活后，立刻感染計(jì)算機(jī)系統(tǒng)，侵占系統(tǒng)資源，毀壞系統(tǒng)信息，降低工作效率，重者造成系統(tǒng)癱瘓。因此研究計(jì)算機(jī)病毒產(chǎn)生的危害、機(jī)理，以及檢測(cè)和清除病毒，是計(jì)算機(jī)安全不可缺少的組成部分。45（3）網(wǎng)絡(luò)安全451.5本章總結(jié)（1）信息系統(tǒng)的概念；（2）信息系統(tǒng)受到的安全攻擊；（3）信息系統(tǒng)受到的常見安全攻擊；（4）信息系統(tǒng)安全及其目標(biāo)；（5）信息系統(tǒng)安全模型；（6）信息系統(tǒng)安全體系結(jié)構(gòu)；（7）信息安全技術(shù)研究的主要內(nèi)容；461.5本章總結(jié)（1）信息系統(tǒng)的概念；461.6思考及作業(yè)題（1）什么是計(jì)算機(jī)/信息系統(tǒng)安全？（2）信息系統(tǒng)的安全目標(biāo)是什么？（3）安全攻擊有哪兩類？（4）主動(dòng)攻擊和被動(dòng)攻擊的區(qū)別是什么？（5）信息系統(tǒng)常見的攻擊有哪些？（6）結(jié)合信息系統(tǒng)安全模型說(shuō)明信息系統(tǒng)安全的內(nèi)容是什么？（7）信息安全技術(shù)研究的主要內(nèi)容是什么？（8）在OSI安全體系結(jié)構(gòu)中，定義了哪5個(gè)標(biāo)準(zhǔn)安全服務(wù)和哪8個(gè)安全機(jī)制？（9）安全服務(wù)和安全機(jī)制的關(guān)系是怎樣的？471.6思考及作業(yè)題（1）什么是計(jì)算機(jī)/信息系統(tǒng)安全？47第一章完4848網(wǎng)絡(luò)信息安全技術(shù)

主講教師姜梅49網(wǎng)絡(luò)信息安全技術(shù)主講教師姜梅1從60年代末，人們已經(jīng)認(rèn)識(shí)到計(jì)算機(jī)系統(tǒng)的脆弱性，并開始了安全性研究。進(jìn)入80年代，計(jì)算機(jī)的性能有很大提高，人們將各孤立的計(jì)算機(jī)系統(tǒng)連接起來(lái)，實(shí)現(xiàn)相互通信和資源共享，特別是90年代的internet普及，促進(jìn)社會(huì)的信息化。但網(wǎng)絡(luò)的普及使計(jì)算機(jī)應(yīng)用更加深入和廣泛的同時(shí)，也為各種入侵和攻擊提供了機(jī)會(huì)，成為危害信息社會(huì)的一大威脅。安全問題引起人們的高度重視，亟待解決。早在80年代早期，國(guó)外高校就十分重視對(duì)學(xué)生計(jì)算機(jī)安全技術(shù)的教育，美國(guó)電器和電子工程師學(xué)會(huì)（IEEE）制訂的《計(jì)算機(jī)科學(xué)與工程示范教學(xué)計(jì)劃》為例，在計(jì)算機(jī)方面共開設(shè)的28門課中加入計(jì)算機(jī)安全技術(shù)的內(nèi)容，如：50從60年代末，人們已經(jīng)認(rèn)識(shí)到計(jì)算機(jī)系統(tǒng)的脆弱性，課程名稱安全技術(shù)內(nèi)容軟件工程安全與保密數(shù)據(jù)庫(kù)系統(tǒng)數(shù)據(jù)保護(hù)機(jī)制，安全性計(jì)算機(jī)通信網(wǎng)絡(luò)網(wǎng)絡(luò)中的數(shù)據(jù)保密性高級(jí)操作系統(tǒng)保密性和密碼編制從中可見，信息安全內(nèi)容的地位和重要性。51課程名稱安全技術(shù)內(nèi)容軟件工程安全與保密數(shù)據(jù)庫(kù)系統(tǒng)數(shù)據(jù)保護(hù)機(jī)制此外，國(guó)際上計(jì)算機(jī)犯罪案件日趨增加，為滿足社會(huì)對(duì)計(jì)算機(jī)安全專業(yè)人員的需要，國(guó)外一些高校設(shè)置計(jì)算機(jī)安全專業(yè)，主要方向有“數(shù)據(jù)庫(kù)安全”、“密碼學(xué)和密碼分析”、“計(jì)算機(jī)系統(tǒng)安全”等。在我國(guó)存在以下現(xiàn)狀：（1）研究起步晚、滯后；（2）人們安全意識(shí)不足，宣傳力度不夠。因此在信息化的今天，開設(shè)此課程十分必要。通過(guò)該課程的學(xué)習(xí)，使學(xué)生了解什么是計(jì)算機(jī)安全？計(jì)算機(jī)安全的內(nèi)容？安全技術(shù)有哪些？具備計(jì)算機(jī)人員在信息時(shí)代必需的解決安全問題的基本能力。52此外，國(guó)際上計(jì)算機(jī)犯罪案件日趨增加，為滿足社會(huì)對(duì)計(jì)算機(jī)安全?！毒W(wǎng)絡(luò)信息安全技術(shù)

》課程要求一、課程編號(hào)：071436，課程性質(zhì)：專業(yè)課/必修二、總學(xué)時(shí)：40（總學(xué)分2.5），其中理論授課30學(xué)時(shí)，實(shí)驗(yàn)10學(xué)時(shí)三、先行、后續(xù)課程情況：先行課程：計(jì)算機(jī)網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)系統(tǒng)概論、操作系統(tǒng)；后續(xù)課程：電子商務(wù)53《網(wǎng)絡(luò)信息安全技術(shù)》課程要求一、課程編號(hào)：071436，課《網(wǎng)絡(luò)信息安全技術(shù)

》課程要求四、1、教材郭亞軍等.信息安全原理與技術(shù).清華大學(xué)出版社，2008.92、參考書目：（1）蔡紅柳等.信息安全技術(shù)及應(yīng)用實(shí)驗(yàn)（第二版）.科學(xué)出版社，2009.9（2）鄧亞平.計(jì)算機(jī)網(wǎng)絡(luò)安全.人民郵電出版社，2004.9；54《網(wǎng)絡(luò)信息安全技術(shù)》課程要求四、1、教材6《網(wǎng)絡(luò)信息安全技術(shù)

》課程要求五、課程的目的與任務(wù)隨著計(jì)算機(jī)應(yīng)用的廣泛與深入，計(jì)算機(jī)安全問題日益突出和復(fù)雜，對(duì)當(dāng)今信息社會(huì)構(gòu)成嚴(yán)重威脅。通過(guò)本科課程學(xué)習(xí)，使學(xué)生理解信息系統(tǒng)安全與保密的內(nèi)涵，了解信息系統(tǒng)受到的各種威脅，明確信息系統(tǒng)安全的目標(biāo)，掌握信息安全的基本理論、基本概念和各種技術(shù)，為今后在信息系統(tǒng)安全領(lǐng)域的研究和應(yīng)用奠定良好的基礎(chǔ)。55《網(wǎng)絡(luò)信息安全技術(shù)》課程要求五、課程的目的與任務(wù)7六、教學(xué)基本要求1.掌握信息系統(tǒng)安全與保密的基本理論和基本概念；2.掌握信息系統(tǒng)的各種安全與保密技術(shù)；3.能夠運(yùn)用所學(xué)知識(shí)，解決實(shí)際安全問題。56六、教學(xué)基本要求8七、教學(xué)主要內(nèi)容1．信息安全概述2．信息安全數(shù)學(xué)基礎(chǔ)3．對(duì)稱（傳統(tǒng)）密碼體制4．公開密鑰（現(xiàn)代）密碼體制5．密碼技術(shù)應(yīng)用6．信息系統(tǒng)安全與保密技術(shù)7．網(wǎng)絡(luò)安全與保密技術(shù)8．計(jì)算機(jī)病毒理論八、課程考核成績(jī)1.期末考試成績(jī)占70%2.考勤、作業(yè)和實(shí)驗(yàn)成績(jī)占30%

57七、教學(xué)主要內(nèi)容9第一章信息系統(tǒng)安全概述一.基本要求與基本知識(shí)點(diǎn)（1）掌握信息系統(tǒng)的概念、信息系統(tǒng)受到的安全攻擊以及攻擊的主要手段；（2）掌握信息系統(tǒng)安全的含義和目標(biāo)；（3）掌握信息系統(tǒng)安全模型及信息安全技術(shù)的研究?jī)?nèi)容；（4）掌握信息系統(tǒng)安全體系結(jié)構(gòu)。二.教學(xué)重點(diǎn)與難點(diǎn)（1）信息系統(tǒng)安全的含義和目標(biāo)；（2）信息系統(tǒng)安全模型；（3）信息安全技術(shù)的研究?jī)?nèi)容；（4）信息系統(tǒng)安全體系結(jié)構(gòu)。58第一章信息系統(tǒng)安全概述一.基本要求與基本知識(shí)點(diǎn)101.1信息系統(tǒng)安全當(dāng)今社會(huì)是信息化社會(huì)，每天都有大量的信息在傳輸、交換、存儲(chǔ)和處理，而這些過(guò)程幾乎都要依賴強(qiáng)大的計(jì)算機(jī)系統(tǒng)來(lái)完成，人們把這樣的計(jì)算機(jī)系統(tǒng)稱為信息系統(tǒng)（又稱計(jì)算機(jī)信息系統(tǒng)）。因此，信息系統(tǒng)的安全實(shí)際上就是計(jì)算機(jī)系統(tǒng)的安全。一旦計(jì)算機(jī)系統(tǒng)發(fā)生安全問題，就可能造成信息的丟失、篡改、偽造、假冒、失密，以及系統(tǒng)遭受侵?jǐn)_和破壞等嚴(yán)重后果，輕者造成計(jì)算機(jī)系統(tǒng)運(yùn)行效率降低，重者造成計(jì)算機(jī)系統(tǒng)的癱瘓。因此，信息系統(tǒng)的安全保密成為迫切需要解決的問題。本章概述了信息系統(tǒng)安全的重要性及其主要研究的內(nèi)容。591.1信息系統(tǒng)安全當(dāng)今社會(huì)是信息化社會(huì)，每天都有大量的信息在《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》給出計(jì)算機(jī)信息系統(tǒng)的定義： 是指由計(jì)算機(jī)及其相關(guān)和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)劃，對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸和檢索等處理的人機(jī)系統(tǒng)。60《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)（1）信息采集，是信息系統(tǒng)最基本的功能，負(fù)責(zé)收集分散的信息，并整理成信息系統(tǒng)所需要的格式。（2）信息加工，負(fù)責(zé)對(duì)信息進(jìn)行加工處理，如排序、分類、歸納、檢索、統(tǒng)計(jì)、模擬、預(yù)測(cè)以及各種數(shù)學(xué)運(yùn)算等。（3）信息存儲(chǔ)，完成對(duì)有價(jià)值信息的存儲(chǔ)和保管。（4）信息檢索，是信息系統(tǒng)的重要功能，根據(jù)用戶的需要，查詢存儲(chǔ)在系統(tǒng)中的信息。（5）信息傳輸，是信息系統(tǒng)的信息交換功能，實(shí)現(xiàn)信息的傳遞，以便信息迅速準(zhǔn)確到達(dá)使用者手中。信息系統(tǒng)主要包括的功能61（1）信息采集，是信息系統(tǒng)最基本的功能，負(fù)責(zé)收集分散的信息，1.1.2信息系統(tǒng)受到的安全攻擊信息系統(tǒng)是借助計(jì)算機(jī)和通信網(wǎng)絡(luò)實(shí)現(xiàn)相互通信和資源共享的，因此它是一個(gè)開放式的互聯(lián)網(wǎng)絡(luò)系統(tǒng)。這種開放性為信息的竊取、盜用、非法修改以及各種擾亂破壞提供了可乘之機(jī)，使得信息存儲(chǔ)、處理和傳輸各環(huán)節(jié)，都有可能遭到入侵者的攻擊，造成系統(tǒng)癱瘓或重要數(shù)據(jù)的丟失。信息在存儲(chǔ)、共享和傳輸中，可能會(huì)被非法竊聽、截取、篡改和破壞，這些危及信息系統(tǒng)安全的活動(dòng)稱為安全攻擊（SecurityAttack）。安全攻擊分為被動(dòng)攻擊和主動(dòng)攻擊，如圖1-1所示。621.1.2信息系統(tǒng)受到的安全攻擊信息系統(tǒng)是借助計(jì)算機(jī)和通信受到的兩方面攻擊圖1-1信息傳輸受到的攻擊63受到的兩方面攻擊圖1-1信息傳輸受到的攻擊15（1）被動(dòng)攻擊 被動(dòng)攻擊的特征是對(duì)傳輸進(jìn)行竊聽和監(jiān)測(cè)，目的是獲得傳輸?shù)男畔?，不?duì)信息做任何改動(dòng)，因此被動(dòng)攻擊主要威脅信息系統(tǒng)的保密性。常見的被動(dòng)攻擊包括消息內(nèi)容的泄漏和流量分析等。（2）主動(dòng)攻擊 主動(dòng)攻擊目的在于篡改或者偽造信息、也可以是改變系統(tǒng)的狀態(tài)和操作。主動(dòng)攻擊主要威脅信息的完整性、可用性和真實(shí)性。常見的主動(dòng)攻擊包括：偽裝、篡改、重放和拒絕服務(wù)等。被動(dòng)攻擊和主動(dòng)攻擊64（1）被動(dòng)攻擊被動(dòng)攻擊和主動(dòng)攻擊16常見的安全攻擊

泄漏：消息的內(nèi)容被泄露或透露給某個(gè)非授權(quán)的實(shí)體。例如在通信線路中，通過(guò)電磁輻射偵截傳輸中的保密信息。流量分析（TrafficAnalysis）：利用統(tǒng)計(jì)分析方法對(duì)通信雙方的標(biāo)識(shí)、通信頻度、消息格式等參數(shù)進(jìn)行研究，從中發(fā)現(xiàn)有價(jià)值的信息和規(guī)律。篡改：指對(duì)合法用戶之間的通信消息進(jìn)行修改或者改變消息的順序。偽裝：指一個(gè)實(shí)體冒充另一個(gè)實(shí)體。例如非法用戶冒充成系統(tǒng)的合法用戶，對(duì)系統(tǒng)信息進(jìn)行訪問。重放（ReplayAttack）：將竊取的信息修改或排序后重放，從而造成信息重復(fù)和混亂。拒絕服務(wù)（DOS,DenialofService）：指阻止對(duì)信息或其它資源的合法訪問。病毒：是指編制或在計(jì)算機(jī)系統(tǒng)中插入破壞計(jì)算機(jī)功能或數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。它直接威脅計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)文件，破壞信息系統(tǒng)的正常運(yùn)行。65常見的安全攻擊泄漏：消息的內(nèi)容被泄露或透露給某個(gè)非授權(quán)的實(shí)1.1.3信息系統(tǒng)安全及其目標(biāo)

1、信息系統(tǒng)安全國(guó)際標(biāo)準(zhǔn)化組織ISO對(duì)“計(jì)算機(jī)安全”的定義：是指為信息處理系統(tǒng)建立和采取的技術(shù)上的和管理上的安全保護(hù)措施，保護(hù)系統(tǒng)中硬件、軟件及數(shù)據(jù)，不因偶然或惡意的原因而遭受破壞、更改或泄漏。“計(jì)算機(jī)安全”一詞一直處在不斷的演變之中，從最初的保證硬件的安全到保證信息系統(tǒng)及信息資源的安全，使得計(jì)算機(jī)安全的內(nèi)容變得愈加復(fù)雜。661.1.3信息系統(tǒng)安全及其目標(biāo)

1、信息系統(tǒng)安全國(guó)際標(biāo)準(zhǔn)化從定義可見：①由于信息系統(tǒng)是以計(jì)算機(jī)為工具，對(duì)信息進(jìn)行采集、存儲(chǔ)、加工、分析和傳輸?shù)?，因此?jì)算機(jī)安全又可稱為信息系統(tǒng)安全。②1983年Sun公司提出的“網(wǎng)絡(luò)就是計(jì)算機(jī)”，即將網(wǎng)絡(luò)作為一種系統(tǒng)加以推廣。網(wǎng)絡(luò)安全是計(jì)算機(jī)安全概念在網(wǎng)絡(luò)環(huán)境下的擴(kuò)展和延伸，它的目標(biāo)是保證網(wǎng)絡(luò)中的硬件、軟件和數(shù)據(jù)免遭破壞、更改和泄漏。67從定義可見：192、信息系統(tǒng)的安全目標(biāo)安全目標(biāo)（SecurityGoal）是指能夠滿足一個(gè)組織或者個(gè)人的所有安全需求，通常包括保密性、完整性和可用性。保密性(Confidentiality)：防止非授權(quán)訪問信息。完整性(Integrity)：防止非法篡改和破壞信息?？捎眯?Availability)：防止系統(tǒng)拒絕服務(wù)。682、信息系統(tǒng)的安全目標(biāo)安全目標(biāo)（SecurityGoal）1.2.1信息系統(tǒng)安全模型信息系統(tǒng)安全的內(nèi)容主要包括安全技術(shù)、安全管理和安全法規(guī)。信息系統(tǒng)安全模型是一個(gè)層次結(jié)構(gòu)，如圖1-2所示。691.2.1信息系統(tǒng)安全模型信息系統(tǒng)安全的內(nèi)容主要包括安全技信息系統(tǒng)安全層次模型圖1-2信息系統(tǒng)安全層次模型各層次之間相互依賴，下層向上層提供支持，上層依賴于下層的功能，最終實(shí)現(xiàn)信息系統(tǒng)的安全。70信息系統(tǒng)安全層次模型圖1-2信息系統(tǒng)安全層次模型各層次之間（1）第一層是法律制度與道德規(guī)范。是指由政府部門所制定的一系列有關(guān)計(jì)算機(jī)犯罪的法令和法規(guī)，用于規(guī)范和制約人們的思想與行為，將信息安全納入規(guī)范化、法制化和科學(xué)化的軌道。如保密法、數(shù)據(jù)保護(hù)法、計(jì)算機(jī)安全法、計(jì)算機(jī)犯罪法、計(jì)算機(jī)系統(tǒng)安全標(biāo)準(zhǔn)、數(shù)據(jù)和信息安全標(biāo)準(zhǔn)等（指“社會(huì)規(guī)范”和“技術(shù)規(guī)范”兩方面）。71（1）第一層是法律制度與道德規(guī)范。是指由政府部門所制定的一系信息系統(tǒng)安全層次模型圖1-2信息系統(tǒng)安全層次模型72信息系統(tǒng)安全層次模型圖1-2信息系統(tǒng)安全層次模型24（2）第二層是管理制度的建立與實(shí)施。是指保證信息系統(tǒng)安全所制定的安全管理制度和規(guī)定，是實(shí)現(xiàn)信息系統(tǒng)安全的重要保證。主要包括安全管理人員的教育培訓(xùn)、制度落實(shí)、職責(zé)的檢查等內(nèi)容。例如某部門或某單位的計(jì)算機(jī)信息系統(tǒng)安全管理?xiàng)l例。73（2）第二層是管理制度的建立與實(shí)施。是指保證信息系統(tǒng)安全所制信息系統(tǒng)安全層次模型圖1-2信息系統(tǒng)安全層次模型74信息系統(tǒng)安全層次模型圖1-2信息系統(tǒng)安全層次模型26（3）第三、四層是物理實(shí)體的安全與硬件系統(tǒng)保護(hù)。計(jì)算機(jī)物理上安全與硬件系統(tǒng)的保護(hù)是信息系統(tǒng)安全不可缺少的重要環(huán)節(jié)。一是必須對(duì)自然災(zāi)害加強(qiáng)防護(hù)，如防火、防水、防雷擊等；二是采取必要的措施防止計(jì)算機(jī)設(shè)備被盜，如添加鎖、設(shè)置警鈴、刻上標(biāo)簽、購(gòu)置機(jī)柜等；三是盡量減少對(duì)硬件的損害，例如消除靜電、系統(tǒng)接地、鍵盤安全套、杜絕電磁干擾信號(hào)（攻擊者可能利用計(jì)算機(jī)硬件設(shè)備的電子輻射了解系統(tǒng)的內(nèi)部信息，因此要對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行屏蔽，防電子輻射）；四是配置不間斷電源UPS（UninterruptiblePowerSupply）。在遇到停電時(shí)，UPS能立即切換到內(nèi)部電池供電，并提供一個(gè)臨時(shí)電源，以便堅(jiān)持到供電恢復(fù)。75（3）第三、四層是物理實(shí)體的安全與硬件系統(tǒng)保護(hù)。計(jì)算機(jī)物理上信息系統(tǒng)安全層次模型圖1-2信息系統(tǒng)安全層次模型76信息系統(tǒng)安全層次模型圖1-2信息系統(tǒng)安全層次模型28（4）第五層至第七層是網(wǎng)絡(luò)、軟件和信息安全。通信網(wǎng)絡(luò)、軟件系統(tǒng)和信息安全保密技術(shù)是信息系統(tǒng)安全的關(guān)鍵，是信息安全技術(shù)研究的主要內(nèi)容。由信息系統(tǒng)安全層次模型可知，信息系統(tǒng)安全的內(nèi)容包括安全技術(shù)、安全管理和安全法規(guī)。77（4）第五層至第七層是網(wǎng)絡(luò)、軟件和信息安全。通信網(wǎng)絡(luò)、軟件系1.3信息系統(tǒng)安全體系結(jié)構(gòu)國(guó)際標(biāo)準(zhǔn)化組織ISO（InternationalStandandOrganization），于1989年在OSI參考模型的七層協(xié)議基礎(chǔ)之上，提出了OSI（OpenSystemInterconnetion）安全體系結(jié)構(gòu)，定義了5種安全服務(wù)和實(shí)現(xiàn)這些安全服務(wù)的8類安全機(jī)制，如圖1-4所示。781.3信息系統(tǒng)安全體系結(jié)構(gòu)國(guó)際標(biāo)準(zhǔn)化組織ISO（Inter安全體系結(jié)構(gòu)圖圖1-4三維安全體系結(jié)構(gòu)圖79安全體系結(jié)構(gòu)圖圖1-4三維安全體系結(jié)構(gòu)圖311、安全機(jī)制

阻止安全攻擊及恢復(fù)系統(tǒng)的機(jī)制稱為安全機(jī)制。安全機(jī)制是一種技術(shù)，一些軟件或?qū)嵤┮粋€(gè)或更多安全服務(wù)的過(guò)程。安全機(jī)制分為特定的安全機(jī)制和普遍的安全機(jī)制。一個(gè)特定的安全機(jī)制就是在同一時(shí)間只針對(duì)一種安全服務(wù)實(shí)施一種技術(shù)或軟件。它包括：加密、數(shù)字簽名、訪問控制、數(shù)據(jù)完整性、認(rèn)證交換、流量填充、路由控制和公證。普遍的安全機(jī)制不能應(yīng)用到OSI參考模型的任一層上。它包括：可信功能機(jī)制、安全標(biāo)簽機(jī)制、事件檢測(cè)機(jī)制、審計(jì)跟蹤機(jī)制、安全恢復(fù)機(jī)制。801、安全機(jī)制阻止安全攻擊及恢復(fù)系統(tǒng)的機(jī)制稱為安全機(jī)制。安全其中，與安全服務(wù)有關(guān)的機(jī)制是加密、數(shù)字簽名、訪問控制、數(shù)據(jù)完整性、認(rèn)證交換、流量填充、路由控制和公證；---特定的安全機(jī)制與管理相關(guān)的機(jī)制是可信功能機(jī)制，安全標(biāo)簽機(jī)制，事件檢測(cè)機(jī)制，審計(jì)跟蹤機(jī)制和安全恢復(fù)機(jī)制。---普遍的安全機(jī)制OSI安全體系結(jié)構(gòu)中制定了8類安全機(jī)制，即加密、數(shù)字簽名、訪問控制、數(shù)據(jù)完整性、認(rèn)證交換、流量填充、路由控制和公證仲裁機(jī)制，用于實(shí)現(xiàn)安全體系中的5種安全服務(wù)。81其中，332、安全服務(wù)安全服務(wù)是加強(qiáng)信息處理和信息傳輸?shù)陌踩缘囊环N服務(wù)，是指信息系統(tǒng)為其應(yīng)用提供的某些功能或者輔助業(yè)務(wù)。安全服務(wù)是利用一種或多種安全機(jī)制阻止安全攻擊，保證系統(tǒng)或者數(shù)據(jù)傳輸有足夠的安全性。OSI安全體系結(jié)構(gòu)定義了一組安全服務(wù)，主要包括認(rèn)證服務(wù)、訪問控制服務(wù)、數(shù)據(jù)保密性服務(wù)、數(shù)據(jù)完整性服務(wù)和不可否認(rèn)性服務(wù)。822、安全服務(wù)安全服務(wù)是加強(qiáng)信息處理和信息傳輸?shù)陌踩缘囊环N服2、安全服務(wù)（1）認(rèn)證（Authentication）服務(wù)用于識(shí)別對(duì)象的身份或?qū)ι矸莸淖C實(shí)。由于在某種程度上，OSI安全體系結(jié)構(gòu)的其他安全服務(wù)都依賴于認(rèn)證服務(wù)，因此認(rèn)證是一種重要的安全服務(wù)。認(rèn)證服務(wù)包括兩類：對(duì)等實(shí)體身份認(rèn)證：確認(rèn)對(duì)等實(shí)體身份是否與其聲明的是否一致，即是否真實(shí)。信源認(rèn)證：確認(rèn)所收到數(shù)據(jù)來(lái)源是否與所聲明的來(lái)源一致。832、安全服務(wù)（1）認(rèn)證（Authentication）服務(wù)3（2）訪問控制（AccessControl）服務(wù)訪問控制服務(wù)限制實(shí)體非授權(quán)訪問資源。（3）數(shù)據(jù)保密性（DataConfidentiality）服務(wù)數(shù)據(jù)保密性服務(wù)防止信息泄露或暴露給未授權(quán)實(shí)體。主要包括連接保密性、無(wú)連接保密性、選擇字段保密性、業(yè)務(wù)流保密性。（4）數(shù)據(jù)完整性（DataIntegrity）服務(wù)數(shù)據(jù)完整性服務(wù)防止用戶使用修改、復(fù)制、插入和刪除等手段非法篡改信息。（5）不可否認(rèn)性（Non-Reputation）服務(wù)防止參與某次通信交換的任何一方事后否認(rèn)本次通信或通信內(nèi)容。84（2）訪問控制（AccessControl）服務(wù)363、安全服務(wù)與安全機(jī)制關(guān)系

安全機(jī)制是安全服務(wù)的基礎(chǔ)。一種安全服務(wù)可以通過(guò)某種單獨(dú)的安全機(jī)制提供，也可以通過(guò)多種安全機(jī)制聯(lián)合提供。一種安全機(jī)制可用于提供一種或多種安全服務(wù)。OSI模型的七層協(xié)議中。安全服務(wù)和安全機(jī)制的對(duì)應(yīng)關(guān)系，如表1-1所示：853、安全服務(wù)與安全機(jī)制關(guān)系安全機(jī)制是安全服務(wù)的基礎(chǔ)。3786381.4信息安全技術(shù)研究的主要內(nèi)容信息安全研究?jī)?nèi)容主要包括：數(shù)據(jù)加解密算法、密碼分析、密鑰管理、操作系統(tǒng)安全、數(shù)據(jù)庫(kù)系