信息安全技術(shù)-1課件2

信息安全技術(shù)——

網(wǎng)絡(luò)安全技術(shù)概論信息安全技術(shù)——網(wǎng)絡(luò)安全技術(shù)概論1提綱網(wǎng)絡(luò)在當今社會中的重要作用網(wǎng)絡(luò)世界中的安全威脅信息安全的內(nèi)涵信息安全體系結(jié)構(gòu)與模型網(wǎng)絡(luò)信息安全管理體系網(wǎng)絡(luò)信息安全評測認證體系網(wǎng)絡(luò)信息安全與法律提綱網(wǎng)絡(luò)在當今社會中的重要作用2網(wǎng)絡(luò)信息安全的內(nèi)涵信息安全的內(nèi)涵網(wǎng)絡(luò)出現(xiàn)前主要指面向數(shù)據(jù)的安全，即對信息的機密性（Confidentiality）、完整性（Integrity）和可用性（Availability）的保護（即通常所說的CIA

三元組）網(wǎng)絡(luò)出現(xiàn)后除上述概念外，還涵蓋了面向用戶的安全，即鑒別、授權(quán)、訪問控制、抗否認性和可服務(wù)性，以及對于內(nèi)容的個人隱私、知識產(chǎn)權(quán)等的保護?！陨蟽烧呓Y(jié)合就是現(xiàn)代的信息安全體系結(jié)構(gòu)網(wǎng)絡(luò)信息安全的內(nèi)涵信息安全的內(nèi)涵3網(wǎng)絡(luò)信息安全網(wǎng)絡(luò)信息安全網(wǎng)絡(luò)上信息的安全，即網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)安全。網(wǎng)絡(luò)信息的傳輸、存儲、處理和使用都要求處于安全的狀態(tài)。網(wǎng)絡(luò)的安全將成為傳統(tǒng)的國界、領(lǐng)海、領(lǐng)空的三大國防和基于太空的第四國防之外的第五國防，稱為cyber-space信息安全即將進入綜合研究時期。從最初的信息保密性發(fā)展到信息的完整性、可用性、可控性和不可否認性，進而又發(fā)展為攻（攻擊）、防（防范）、測（檢測）、控（控制）、管（管理）、評（評估）”等多方面的理論和實施技術(shù)的研究。網(wǎng)絡(luò)信息安全網(wǎng)絡(luò)信息安全4對網(wǎng)絡(luò)信息安全的幾點認識信息安全是體系的概念全面考慮信息靜態(tài)和動態(tài)安全充分重視技術(shù)與人的結(jié)合信息安全是一個長期、動態(tài)的過程，其中維護和管理是關(guān)鍵安全是相對的，不存在絕對安全投入安全的成本應(yīng)遠小于被保護資源的價值信息系統(tǒng)不是越安全越好信息安全體系的建立必須有相應(yīng)的保護對象安全和服務(wù)質(zhì)量往往是相互矛盾的對網(wǎng)絡(luò)信息安全的幾點認識信息安全是體系的概念5網(wǎng)絡(luò)信息安全的基本特征保密性信息不泄露給非授權(quán)的個人、實體和過程，或供其使用；完整性信息未經(jīng)授權(quán)不能被修改、破壞、插入、延遲、亂序和丟失；可用性保證合法用戶在需要時可以訪問到信息及相關(guān)資產(chǎn)；可控性授權(quán)機構(gòu)對信息的內(nèi)容及傳播具有控制能力，可以控制授權(quán)范圍內(nèi)的信息流向及其方式；可審查性在信息交流過程結(jié)束后，通信雙方不能抵賴曾經(jīng)做出的行為，也不能否認曾經(jīng)接收到對方的信息；網(wǎng)絡(luò)信息安全的基本特征保密性6信息安全研究的內(nèi)容安全目標：機密性、完整性、抗否認性、可用性平臺安全：物理安全網(wǎng)絡(luò)安全系統(tǒng)安全數(shù)據(jù)安全邊界安全用戶安全安全理論：身份認證訪問控制審計追蹤安全協(xié)議安全技術(shù)：防火墻技術(shù)漏洞掃描技術(shù)入侵檢測技術(shù)防病毒技術(shù)密碼理論：數(shù)據(jù)加密、數(shù)字簽名、消息摘要、密鑰管理安全管理:安全標準安全策略

安全評測信息安全研究的內(nèi)容安全目標：機密性、完整性、抗否認性、可用性7網(wǎng)絡(luò)信息安全的關(guān)鍵技術(shù)網(wǎng)絡(luò)信息安全的關(guān)鍵技術(shù)主機安全技術(shù)身份認證技術(shù)訪問控制技術(shù)加密技術(shù)防火墻技術(shù)安全審計/入侵檢測技術(shù)安全管理技術(shù)網(wǎng)絡(luò)信息安全的關(guān)鍵技術(shù)網(wǎng)絡(luò)信息安全的關(guān)鍵技術(shù)8信息安全分類(1/5)監(jiān)察安全監(jiān)控查驗發(fā)現(xiàn)違規(guī)，確定入侵，定位損害、監(jiān)控威脅犯罪起訴起訴，量刑糾偏建議信息安全分類(1/5)監(jiān)察安全9信息安全分類(2/5)管理安全技術(shù)管理安全多級安全用戶鑒別技術(shù)的管理多級安全加密技術(shù)的管理密鑰管理技術(shù)的管理行政管理安全人員管理系統(tǒng)管理應(yīng)急管理安全應(yīng)急的措施組織入侵的自衛(wèi)與反擊信息安全分類(2/5)管理安全10信息安全分類(3/5)技術(shù)安全實體安全環(huán)境安全（溫度、濕度、氣壓等）建筑安全（防雷、防水、防鼠等）網(wǎng)絡(luò)與設(shè)備安全軟件安全軟件的安全開發(fā)與安裝軟件的安全復制與升級軟件加密軟件安全性能測試數(shù)據(jù)安全（數(shù)據(jù)加密，數(shù)據(jù)存儲安全，數(shù)據(jù)備份）運行安全（訪問控制，審計跟蹤，入侵告警與系統(tǒng)恢復等）信息安全分類(3/5)技術(shù)安全11信息安全分類(4-5/5)立法安全有關(guān)信息安全的政策、法令、法規(guī)認知安全辦學，獎懲與揚抑，信息安全宣傳與普及教育信息安全分類(4-5/5)立法安全12網(wǎng)絡(luò)信息安全策略安全策略在特定環(huán)境里，為保證提供一定級別的安全保護所必須遵守的規(guī)則。是網(wǎng)絡(luò)安全技術(shù)集成的基礎(chǔ)主要手段法律手段：通過建立與信息安全有關(guān)的法律、法規(guī)技術(shù)手段：諸如入侵檢測、防火墻、訪問控制、密碼體系等；管理手段：管理方法、管理體制，整體的信息安全意識網(wǎng)絡(luò)信息安全策略安全策略13網(wǎng)絡(luò)信息安全策略的5個方面網(wǎng)絡(luò)信息安全策略的5個方面物理安全策略訪問控制策略防火墻控制信息加密策略網(wǎng)絡(luò)安全管理策略網(wǎng)絡(luò)信息安全策略的5個方面網(wǎng)絡(luò)信息安全策略的5個方面14提綱網(wǎng)絡(luò)在當今社會中的重要作用網(wǎng)絡(luò)世界中的安全威脅信息安全的內(nèi)涵信息安全體系結(jié)構(gòu)與模型網(wǎng)絡(luò)信息安全管理體系網(wǎng)絡(luò)信息安全評測認證體系網(wǎng)絡(luò)信息安全與法律提綱網(wǎng)絡(luò)在當今社會中的重要作用15知識點網(wǎng)絡(luò)參考模型和安全體系結(jié)構(gòu)網(wǎng)絡(luò)信息安全解決方案網(wǎng)絡(luò)信息安全等級與標準知識點網(wǎng)絡(luò)參考模型和安全體系結(jié)構(gòu)16網(wǎng)絡(luò)參考模型與安全體系結(jié)構(gòu)網(wǎng)絡(luò)的體系結(jié)構(gòu)采用分層原則層與協(xié)議的集合網(wǎng)絡(luò)參考模型ISO-OSI（國際標準化組織-開放系統(tǒng)互連）模型TCP/IP模型（IETF）安全體系結(jié)構(gòu)：ITU-T的X.800和IETF的RFC2808安全攻擊：損害信息或信息系統(tǒng)安全的任何行為安全機制：用于檢測、預防安全攻擊或者恢復系統(tǒng)的機制安全服務(wù)：用于提供信息處理、存儲系統(tǒng)和信息傳輸安全的服務(wù)，這些服務(wù)致力于抵御安全攻擊安全模型網(wǎng)絡(luò)安全模型：涉及信息在網(wǎng)絡(luò)傳輸中的安全網(wǎng)絡(luò)訪問安全模型：涉及網(wǎng)絡(luò)本身的安全網(wǎng)絡(luò)參考模型與安全體系結(jié)構(gòu)網(wǎng)絡(luò)的體系結(jié)構(gòu)17ISO安全體系結(jié)構(gòu)ISO安全體系結(jié)構(gòu)安全服務(wù)安全機制安全管理ISO安全體系結(jié)構(gòu)ISO安全體系結(jié)構(gòu)18ISO安全體系結(jié)構(gòu)ISO安全體系結(jié)構(gòu)安全服務(wù)安全機制安全管理ISO安全體系結(jié)構(gòu)ISO安全體系結(jié)構(gòu)19安全服務(wù)安全服務(wù)由參與通信的開放系統(tǒng)的某一層所提供的服務(wù)，確保該系統(tǒng)或數(shù)據(jù)傳輸具有足夠的安全性。ISO安全體系結(jié)構(gòu)所確定的5大類安全服務(wù)認證訪問控制數(shù)據(jù)保密性數(shù)據(jù)完整性不可否認安全服務(wù)安全服務(wù)20ISO安全體系結(jié)構(gòu)ISO安全體系結(jié)構(gòu)安全服務(wù)安全機制 ——為安全服務(wù)提供支持安全管理ISO安全體系結(jié)構(gòu)ISO安全體系結(jié)構(gòu)21安全機制安全機制ISO安全體系結(jié)構(gòu)定義的8大類安全機制加密機制數(shù)字簽名機制訪問控制機制數(shù)據(jù)完整性機制鑒別交換機制業(yè)務(wù)填充機制路由控制機制公證機制安全機制安全機制22ISO安全體系結(jié)構(gòu)ISO安全體系結(jié)構(gòu)安全服務(wù)安全機制安全管理ISO安全體系結(jié)構(gòu)ISO安全體系結(jié)構(gòu)23安全管理安全管理實施一系列安全政策，對系統(tǒng)和網(wǎng)絡(luò)上的操作進行管理。系統(tǒng)安全管理安全服務(wù)管理安全機制管理安全管理安全管理24安全服務(wù)與攻擊的關(guān)系攻擊服務(wù)報文分析流量分析偽裝重放篡改拒絕服務(wù)對等實體認證Y數(shù)據(jù)源認證Y訪問控制Y機密性Y流量機密性Y數(shù)據(jù)完整性YY非否認服務(wù)可用性Y安全服務(wù)與攻擊的關(guān)系攻擊服務(wù)報文分析流量25安全服務(wù)與機制的關(guān)系機制服務(wù)加密數(shù)字簽名訪問控制完整性認證流量填充路由控制公證對等實體認證YYY數(shù)據(jù)源認證YY訪問控制Y機密性YY流量機密性YYY數(shù)據(jù)完整性YYY非否認服務(wù)YYY可用性YY安全服務(wù)與機制的關(guān)系機制服務(wù)加密數(shù)字簽名訪問控26知識點網(wǎng)絡(luò)參考模型和安全體系結(jié)構(gòu)網(wǎng)絡(luò)信息安全解決方案網(wǎng)絡(luò)信息安全等級與標準知識點網(wǎng)絡(luò)參考模型和安全體系結(jié)構(gòu)27知識點動態(tài)的自適應(yīng)網(wǎng)絡(luò)模型背景模型的提出P2DR安全模型5層網(wǎng)絡(luò)安全模型知識點動態(tài)的自適應(yīng)網(wǎng)絡(luò)模型28動態(tài)的自適應(yīng)網(wǎng)絡(luò)模型（1/4）提出的背景基于靜態(tài)密碼體系的安全理論無法完整地描述動態(tài)的安全模型現(xiàn)有的安全標準未能涵蓋可能的風險；基于經(jīng)典的、傳統(tǒng)的計算機安全防護手段已經(jīng)不能有效保障網(wǎng)絡(luò)安全，信息安全防衛(wèi)體系發(fā)生動搖動態(tài)的自適應(yīng)網(wǎng)絡(luò)模型（1/4）提出的背景29動態(tài)的自適應(yīng)網(wǎng)絡(luò)模型（2/4）模型的提出20世紀90年代末，美國國際互聯(lián)網(wǎng)公司（ISS）提出了自適應(yīng)網(wǎng)絡(luò)安全模型ANSM（AdaptiveNetworkSecurityModel)該模型可以量化，可由數(shù)學家證明動態(tài)的自適應(yīng)網(wǎng)絡(luò)模型（2/4）模型的提出30動態(tài)的自適應(yīng)網(wǎng)絡(luò)模型（3/4）基于時間的安全模型P2DRPolicyProtectionDetectionResponse模型描述安全=風險分析+執(zhí)行策略+系統(tǒng)實施+漏洞檢測+實時響應(yīng)防護檢測反應(yīng)策略P2DR安全模型動態(tài)的自適應(yīng)網(wǎng)絡(luò)模型（3/4）基于時間的安全模型P2DR防護31動態(tài)的自適應(yīng)網(wǎng)絡(luò)模型（4/4）P2DR安全模型的特點強調(diào)系統(tǒng)安全的動態(tài)性，以安全檢測、漏洞監(jiān)測和自適應(yīng)填充“安全間隙”為循環(huán)來提高網(wǎng)絡(luò)安全，特別考慮到人為管理的因素特點安全管理的持續(xù)性、安全策略的動態(tài)性可測性（可控性）新技術(shù)的引入：利用專家系統(tǒng)、統(tǒng)計分析、神經(jīng)網(wǎng)絡(luò)等方法對現(xiàn)有網(wǎng)絡(luò)行為進行實時監(jiān)控報告和分析——該模型已經(jīng)成為目前國際上比較實際并可以指導信息系統(tǒng)安全建設(shè)和安全運營的安全模型框架，表明當前的信息安全是面向網(wǎng)管、面向規(guī)約的。動態(tài)的自適應(yīng)網(wǎng)絡(luò)模型（4/4）P2DR安全模型的特點32知識點動態(tài)的自適應(yīng)網(wǎng)絡(luò)模型5層網(wǎng)絡(luò)安全模型網(wǎng)絡(luò)層的安全性系統(tǒng)的安全性用戶的安全性應(yīng)用程序的安全性數(shù)據(jù)的安全性知識點動態(tài)的自適應(yīng)網(wǎng)絡(luò)模型335層網(wǎng)絡(luò)安全模型5層網(wǎng)絡(luò)安全模型在考慮網(wǎng)絡(luò)安全時，應(yīng)充分考慮哪些問題網(wǎng)絡(luò)是否安全？操作系統(tǒng)是否安全？用戶是否安全？應(yīng)用程序是否安全？數(shù)據(jù)是否安全？——網(wǎng)絡(luò)層的安全性——系統(tǒng)的安全性——用戶的安全性——應(yīng)用程序的安全性——數(shù)據(jù)的安全性5層安全體系，各層之間并非孤立分散，而是相互作用。在實際操作中，需要從整體角度來考慮。5層網(wǎng)絡(luò)安全模型5層網(wǎng)絡(luò)安全模型——網(wǎng)絡(luò)層的安全性5層安全體345層網(wǎng)絡(luò)安全模型(1/5)網(wǎng)絡(luò)層的安全性問題的核心：網(wǎng)絡(luò)是否得到控制是否任何一個IP地址的用戶都可以進入網(wǎng)絡(luò)目的：阻止非信任IP的訪問方法專用網(wǎng)（如軍網(wǎng)）防火墻虛擬專用網(wǎng)（VPN）5層網(wǎng)絡(luò)安全模型(1/5)網(wǎng)絡(luò)層的安全性355層網(wǎng)絡(luò)安全模型(2/5)系統(tǒng)的安全性兩個需要考慮的問題病毒對網(wǎng)絡(luò)的威脅黑客對網(wǎng)絡(luò)的破壞和入侵對策防病毒軟件安全的系統(tǒng)配置，科學的風險評估和補漏機制，審計分析系統(tǒng)5層網(wǎng)絡(luò)安全模型(2/5)系統(tǒng)的安全性365層網(wǎng)絡(luò)安全模型(3/5)用戶的安全性需要考慮的問題是否只有那些真正被授權(quán)的用戶才能使用系統(tǒng)中的資源和數(shù)據(jù)方法分組分級管理身份認證存在的問題用戶個人的安全警惕性技術(shù)漏洞5層網(wǎng)絡(luò)安全模型(3/5)用戶的安全性375層網(wǎng)絡(luò)安全模型(4/5)應(yīng)用程序的安全性需要考慮的問題是否只有合法的用戶才能對特定的數(shù)據(jù)進行合法的操作應(yīng)用程序?qū)?shù)據(jù)的合法權(quán)限應(yīng)用程序?qū)τ脩舻暮戏?quán)限5層網(wǎng)絡(luò)安全模型(4/5)應(yīng)用程序的安全性385層網(wǎng)絡(luò)安全模型(5/5)數(shù)據(jù)的安全性需要考慮的問題機密數(shù)據(jù)是否還處于機密狀態(tài)傳輸、保存過程和使用過程5層網(wǎng)絡(luò)安全模型(5/5)數(shù)據(jù)的安全性39知識點網(wǎng)絡(luò)參考模型和安全體系結(jié)構(gòu)網(wǎng)絡(luò)信息安全解決方案網(wǎng)絡(luò)信息安全等級與標準知識點網(wǎng)絡(luò)參考模型和安全體系結(jié)構(gòu)40網(wǎng)絡(luò)信息安全等級和標準網(wǎng)絡(luò)信息安全等級和標準國外TCSEC標準、歐洲ITSEC標準、加拿大CTCPEC評價標準、美國聯(lián)邦準則FC、聯(lián)合公共準則CC標準、BS7799標準（BS7799-1目前已正式成為ISO國際標準，BS7799-2正在轉(zhuǎn)換成ISO國際標準的過程中）我國GB17895-1999《計算機信息系統(tǒng)安全保護等級劃分準則》其他——具體請參看教材page:12-14網(wǎng)絡(luò)信息安全等級和標準網(wǎng)絡(luò)信息安全等級和標準41提綱網(wǎng)絡(luò)在當今社會中的重要作用網(wǎng)絡(luò)世界中的安全威脅信息安全的內(nèi)涵信息安全體系結(jié)構(gòu)與模型網(wǎng)絡(luò)信息安全管理體系網(wǎng)絡(luò)信息安全評測認證體系網(wǎng)絡(luò)信息安全與法律提綱網(wǎng)絡(luò)在當今社會中的重要作用42知識點信息安全管理體系的定義信息安全管理體系的構(gòu)建知識點信息安全管理體系的定義43信息安全管理體系的定義信息安全管理體系的定義《信息安全管理體系（ISMS）標準》英國標準協(xié)會1995年制定1999年提交ISO2000年12月，經(jīng)ISO成員國投票通過，部分已施行提供127種安全控制指南，對計算機網(wǎng)絡(luò)與信息安全的控制措施進行了闡述主要內(nèi)容信息安全對策、信息安全組織、信息資產(chǎn)分類與管理、個人信息安全、物理和環(huán)境安全、通信和操作安全管理、存取控制、信息系統(tǒng)的開發(fā)和維護、持續(xù)運營管理等信息安全管理體系的定義信息安全管理體系的定義44信息安全體系的建立信息安全體系的建立網(wǎng)絡(luò)與信息安全=信息安全技術(shù)

+信息安全管理體系技術(shù)層面管理層面信息安全體系的建立信息安全體系的建立技術(shù)層面管理層面45信息安全管理體系的構(gòu)建信息安全管理體系的構(gòu)建定義信息安全策略合理，切合實際定義NISMS的范圍點面結(jié)合，分層分級進行信息安全風險評估與本組織對信息資產(chǎn)風險的保護需求一致信息安全風險管理考慮如何避險以及對風險的承受能力確定管理目標和選擇管理措施動態(tài)過程，考慮成本準備信息安全適用性聲明信息安全是相對安全，不是絕對安全信息安全管理體系的構(gòu)建信息安全管理體系的構(gòu)建46提綱網(wǎng)絡(luò)信息安全基礎(chǔ)知識網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)與模型網(wǎng)絡(luò)信息安全管理體系網(wǎng)絡(luò)信息安全管理體系網(wǎng)絡(luò)信息安全評測認證體系網(wǎng)絡(luò)信息安全與法律參考教材page:15-20提綱網(wǎng)絡(luò)信息安全基礎(chǔ)知識參考教材page:15-2047信息安全技術(shù)——

網(wǎng)絡(luò)安全技術(shù)概論信息安全技術(shù)——網(wǎng)絡(luò)安全技術(shù)概論48提綱網(wǎng)絡(luò)在當今社會中的重要作用網(wǎng)絡(luò)世界中的安全威脅信息安全的內(nèi)涵信息安全體系結(jié)構(gòu)與模型網(wǎng)絡(luò)信息安全管理體系網(wǎng)絡(luò)信息安全評測認證體系網(wǎng)絡(luò)信息安全與法律提綱網(wǎng)絡(luò)在當今社會中的重要作用49網(wǎng)絡(luò)信息安全的內(nèi)涵信息安全的內(nèi)涵網(wǎng)絡(luò)出現(xiàn)前主要指面向數(shù)據(jù)的安全，即對信息的機密性（Confidentiality）、完整性（Integrity）和可用性（Availability）的保護（即通常所說的CIA

三元組）網(wǎng)絡(luò)出現(xiàn)后除上述概念外，還涵蓋了面向用戶的安全，即鑒別、授權(quán)、訪問控制、抗否認性和可服務(wù)性，以及對于內(nèi)容的個人隱私、知識產(chǎn)權(quán)等的保護。——以上兩者結(jié)合就是現(xiàn)代的信息安全體系結(jié)構(gòu)網(wǎng)絡(luò)信息安全的內(nèi)涵信息安全的內(nèi)涵50網(wǎng)絡(luò)信息安全網(wǎng)絡(luò)信息安全網(wǎng)絡(luò)上信息的安全，即網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)安全。網(wǎng)絡(luò)信息的傳輸、存儲、處理和使用都要求處于安全的狀態(tài)。網(wǎng)絡(luò)的安全將成為傳統(tǒng)的國界、領(lǐng)海、領(lǐng)空的三大國防和基于太空的第四國防之外的第五國防，稱為cyber-space信息安全即將進入綜合研究時期。從最初的信息保密性發(fā)展到信息的完整性、可用性、可控性和不可否認性，進而又發(fā)展為攻（攻擊）、防（防范）、測（檢測）、控（控制）、管（管理）、評（評估）”等多方面的理論和實施技術(shù)的研究。網(wǎng)絡(luò)信息安全網(wǎng)絡(luò)信息安全51對網(wǎng)絡(luò)信息安全的幾點認識信息安全是體系的概念全面考慮信息靜態(tài)和動態(tài)安全充分重視技術(shù)與人的結(jié)合信息安全是一個長期、動態(tài)的過程，其中維護和管理是關(guān)鍵安全是相對的，不存在絕對安全投入安全的成本應(yīng)遠小于被保護資源的價值信息系統(tǒng)不是越安全越好信息安全體系的建立必須有相應(yīng)的保護對象安全和服務(wù)質(zhì)量往往是相互矛盾的對網(wǎng)絡(luò)信息安全的幾點認識信息安全是體系的概念52網(wǎng)絡(luò)信息安全的基本特征保密性信息不泄露給非授權(quán)的個人、實體和過程，或供其使用；完整性信息未經(jīng)授權(quán)不能被修改、破壞、插入、延遲、亂序和丟失；可用性保證合法用戶在需要時可以訪問到信息及相關(guān)資產(chǎn)；可控性授權(quán)機構(gòu)對信息的內(nèi)容及傳播具有控制能力，可以控制授權(quán)范圍內(nèi)的信息流向及其方式；可審查性在信息交流過程結(jié)束后，通信雙方不能抵賴曾經(jīng)做出的行為，也不能否認曾經(jīng)接收到對方的信息；網(wǎng)絡(luò)信息安全的基本特征保密性53信息安全研究的內(nèi)容安全目標：機密性、完整性、抗否認性、可用性平臺安全：物理安全網(wǎng)絡(luò)安全系統(tǒng)安全數(shù)據(jù)安全邊界安全用戶安全安全理論：身份認證訪問控制審計追蹤安全協(xié)議安全技術(shù)：防火墻技術(shù)漏洞掃描技術(shù)入侵檢測技術(shù)防病毒技術(shù)密碼理論：數(shù)據(jù)加密、數(shù)字簽名、消息摘要、密鑰管理安全管理:安全標準安全策略

安全評測信息安全研究的內(nèi)容安全目標：機密性、完整性、抗否認性、可用性54網(wǎng)絡(luò)信息安全的關(guān)鍵技術(shù)網(wǎng)絡(luò)信息安全的關(guān)鍵技術(shù)主機安全技術(shù)身份認證技術(shù)訪問控制技術(shù)加密技術(shù)防火墻技術(shù)安全審計/入侵檢測技術(shù)安全管理技術(shù)網(wǎng)絡(luò)信息安全的關(guān)鍵技術(shù)網(wǎng)絡(luò)信息安全的關(guān)鍵技術(shù)55信息安全分類(1/5)監(jiān)察安全監(jiān)控查驗發(fā)現(xiàn)違規(guī)，確定入侵，定位損害、監(jiān)控威脅犯罪起訴起訴，量刑糾偏建議信息安全分類(1/5)監(jiān)察安全56信息安全分類(2/5)管理安全技術(shù)管理安全多級安全用戶鑒別技術(shù)的管理多級安全加密技術(shù)的管理密鑰管理技術(shù)的管理行政管理安全人員管理系統(tǒng)管理應(yīng)急管理安全應(yīng)急的措施組織入侵的自衛(wèi)與反擊信息安全分類(2/5)管理安全57信息安全分類(3/5)技術(shù)安全實體安全環(huán)境安全（溫度、濕度、氣壓等）建筑安全（防雷、防水、防鼠等）網(wǎng)絡(luò)與設(shè)備安全軟件安全軟件的安全開發(fā)與安裝軟件的安全復制與升級軟件加密軟件安全性能測試數(shù)據(jù)安全（數(shù)據(jù)加密，數(shù)據(jù)存儲安全，數(shù)據(jù)備份）運行安全（訪問控制，審計跟蹤，入侵告警與系統(tǒng)恢復等）信息安全分類(3/5)技術(shù)安全58信息安全分類(4-5/5)立法安全有關(guān)信息安全的政策、法令、法規(guī)認知安全辦學，獎懲與揚抑，信息安全宣傳與普及教育信息安全分類(4-5/5)立法安全59網(wǎng)絡(luò)信息安全策略安全策略在特定環(huán)境里，為保證提供一定級別的安全保護所必須遵守的規(guī)則。是網(wǎng)絡(luò)安全技術(shù)集成的基礎(chǔ)主要手段法律手段：通過建立與信息安全有關(guān)的法律、法規(guī)技術(shù)手段：諸如入侵檢測、防火墻、訪問控制、密碼體系等；管理手段：管理方法、管理體制，整體的信息安全意識網(wǎng)絡(luò)信息安全策略安全策略60網(wǎng)絡(luò)信息安全策略的5個方面網(wǎng)絡(luò)信息安全策略的5個方面物理安全策略訪問控制策略防火墻控制信息加密策略網(wǎng)絡(luò)安全管理策略網(wǎng)絡(luò)信息安全策略的5個方面網(wǎng)絡(luò)信息安全策略的5個方面61提綱網(wǎng)絡(luò)在當今社會中的重要作用網(wǎng)絡(luò)世界中的安全威脅信息安全的內(nèi)涵信息安全體系結(jié)構(gòu)與模型網(wǎng)絡(luò)信息安全管理體系網(wǎng)絡(luò)信息安全評測認證體系網(wǎng)絡(luò)信息安全與法律提綱網(wǎng)絡(luò)在當今社會中的重要作用62知識點網(wǎng)絡(luò)參考模型和安全體系結(jié)構(gòu)網(wǎng)絡(luò)信息安全解決方案網(wǎng)絡(luò)信息安全等級與標準知識點網(wǎng)絡(luò)參考模型和安全體系結(jié)構(gòu)63網(wǎng)絡(luò)參考模型與安全體系結(jié)構(gòu)網(wǎng)絡(luò)的體系結(jié)構(gòu)采用分層原則層與協(xié)議的集合網(wǎng)絡(luò)參考模型ISO-OSI（國際標準化組織-開放系統(tǒng)互連）模型TCP/IP模型（IETF）安全體系結(jié)構(gòu)：ITU-T的X.800和IETF的RFC2808安全攻擊：損害信息或信息系統(tǒng)安全的任何行為安全機制：用于檢測、預防安全攻擊或者恢復系統(tǒng)的機制安全服務(wù)：用于提供信息處理、存儲系統(tǒng)和信息傳輸安全的服務(wù)，這些服務(wù)致力于抵御安全攻擊安全模型網(wǎng)絡(luò)安全模型：涉及信息在網(wǎng)絡(luò)傳輸中的安全網(wǎng)絡(luò)訪問安全模型：涉及網(wǎng)絡(luò)本身的安全網(wǎng)絡(luò)參考模型與安全體系結(jié)構(gòu)網(wǎng)絡(luò)的體系結(jié)構(gòu)64ISO安全體系結(jié)構(gòu)ISO安全體系結(jié)構(gòu)安全服務(wù)安全機制安全管理ISO安全體系結(jié)構(gòu)ISO安全體系結(jié)構(gòu)65ISO安全體系結(jié)構(gòu)ISO安全體系結(jié)構(gòu)安全服務(wù)安全機制安全管理ISO安全體系結(jié)構(gòu)ISO安全體系結(jié)構(gòu)66安全服務(wù)安全服務(wù)由參與通信的開放系統(tǒng)的某一層所提供的服務(wù)，確保該系統(tǒng)或數(shù)據(jù)傳輸具有足夠的安全性。ISO安全體系結(jié)構(gòu)所確定的5大類安全服務(wù)認證訪問控制數(shù)據(jù)保密性數(shù)據(jù)完整性不可否認安全服務(wù)安全服務(wù)67ISO安全體系結(jié)構(gòu)ISO安全體系結(jié)構(gòu)安全服務(wù)安全機制 ——為安全服務(wù)提供支持安全管理ISO安全體系結(jié)構(gòu)ISO安全體系結(jié)構(gòu)68安全機制安全機制ISO安全體系結(jié)構(gòu)定義的8大類安全機制加密機制數(shù)字簽名機制訪問控制機制數(shù)據(jù)完整性機制鑒別交換機制業(yè)務(wù)填充機制路由控制機制公證機制安全機制安全機制69ISO安全體系結(jié)構(gòu)ISO安全體系結(jié)構(gòu)安全服務(wù)安全機制安全管理ISO安全體系結(jié)構(gòu)ISO安全體系結(jié)構(gòu)70安全管理安全管理實施一系列安全政策，對系統(tǒng)和網(wǎng)絡(luò)上的操作進行管理。系統(tǒng)安全管理安全服務(wù)管理安全機制管理安全管理安全管理71安全服務(wù)與攻擊的關(guān)系攻擊服務(wù)報文分析流量分析偽裝重放篡改拒絕服務(wù)對等實體認證Y數(shù)據(jù)源認證Y訪問控制Y機密性Y流量機密性Y數(shù)據(jù)完整性YY非否認服務(wù)可用性Y安全服務(wù)與攻擊的關(guān)系攻擊服務(wù)報文分析流量72安全服務(wù)與機制的關(guān)系機制服務(wù)加密數(shù)字簽名訪問控制完整性認證流量填充路由控制公證對等實體認證YYY數(shù)據(jù)源認證YY訪問控制Y機密性YY流量機密性YYY數(shù)據(jù)完整性YYY非否認服務(wù)YYY可用性YY安全服務(wù)與機制的關(guān)系機制服務(wù)加密數(shù)字簽名訪問控73知識點網(wǎng)絡(luò)參考模型和安全體系結(jié)構(gòu)網(wǎng)絡(luò)信息安全解決方案網(wǎng)絡(luò)信息安全等級與標準知識點網(wǎng)絡(luò)參考模型和安全體系結(jié)構(gòu)74知識點動態(tài)的自適應(yīng)網(wǎng)絡(luò)模型背景模型的提出P2DR安全模型5層網(wǎng)絡(luò)安全模型知識點動態(tài)的自適應(yīng)網(wǎng)絡(luò)模型75動態(tài)的自適應(yīng)網(wǎng)絡(luò)模型（1/4）提出的背景基于靜態(tài)密碼體系的安全理論無法完整地描述動態(tài)的安全模型現(xiàn)有的安全標準未能涵蓋可能的風險；基于經(jīng)典的、傳統(tǒng)的計算機安全防護手段已經(jīng)不能有效保障網(wǎng)絡(luò)安全，信息安全防衛(wèi)體系發(fā)生動搖動態(tài)的自適應(yīng)網(wǎng)絡(luò)模型（1/4）提出的背景76動態(tài)的自適應(yīng)網(wǎng)絡(luò)模型（2/4）模型的提出20世紀90年代末，美國國際互聯(lián)網(wǎng)公司（ISS）提出了自適應(yīng)網(wǎng)絡(luò)安全模型ANSM（AdaptiveNetworkSecurityModel)該模型可以量化，可由數(shù)學家證明動態(tài)的自適應(yīng)網(wǎng)絡(luò)模型（2/4）模型的提出77動態(tài)的自適應(yīng)網(wǎng)絡(luò)模型（3/4）基于時間的安全模型P2DRPolicyProtectionDetectionResponse模型描述安全=風險分析+執(zhí)行策略+系統(tǒng)實施+漏洞檢測+實時響應(yīng)防護檢測反應(yīng)策略P2DR安全模型動態(tài)的自適應(yīng)網(wǎng)絡(luò)模型（3/4）基于時間的安全模型P2DR防護78動態(tài)的自適應(yīng)網(wǎng)絡(luò)模型（4/4）P2DR安全模型的特點強調(diào)系統(tǒng)安全的動態(tài)性，以安全檢測、漏洞監(jiān)測和自適應(yīng)填充“安全間隙”為循環(huán)來提高網(wǎng)絡(luò)安全，特別考慮到人為管理的因素特點安全管理的持續(xù)性、安全策略的動態(tài)性可測性（可控性）新技術(shù)的引入：利用專家系統(tǒng)、統(tǒng)計分析、神經(jīng)網(wǎng)絡(luò)等方法對現(xiàn)有網(wǎng)絡(luò)行為進行實時監(jiān)控報告和分析——該模型已經(jīng)成為目前國際上比較實際并可以指導信息系統(tǒng)安全建設(shè)和安全運營的安全模型框架，表明當前的信息安全是面向網(wǎng)管、面向規(guī)約的。動態(tài)的自適應(yīng)網(wǎng)絡(luò)模型（4/4）P2DR安全模型的特點79知識點動態(tài)的自適應(yīng)網(wǎng)絡(luò)模型5層網(wǎng)絡(luò)安全模型網(wǎng)絡(luò)層的安全性系統(tǒng)的安全性用戶的安全性應(yīng)用程序的安全性數(shù)據(jù)的安全性知識點動態(tài)的自適應(yīng)網(wǎng)絡(luò)模型805層網(wǎng)絡(luò)安全模型5層網(wǎng)絡(luò)安全模型在考慮網(wǎng)絡(luò)安全時，應(yīng)充分考慮哪些問題網(wǎng)絡(luò)是否安全？操作系統(tǒng)是否安全？用戶是否安全？應(yīng)用程序是否安全？數(shù)據(jù)是否安全？——網(wǎng)絡(luò)層的安全性——系統(tǒng)的安全性——用戶的安全性——應(yīng)用程序的安全性——數(shù)據(jù)的安全性5層安全體系，各層之間并非孤立分散，而是相互作用。在實際操作中，需要從整體角度來考慮。5層網(wǎng)絡(luò)安全模型5層網(wǎng)絡(luò)安全模型——網(wǎng)絡(luò)層的安全性5層安全體815層網(wǎng)絡(luò)安全模型(1/5)網(wǎng)絡(luò)層的安全性問題的核心：網(wǎng)絡(luò)是否得到控制是否任何一個IP地址的用戶都可以進入網(wǎng)絡(luò)目的：阻止非信任IP的訪問方法專用網(wǎng)（如軍網(wǎng)）防火墻虛擬專用網(wǎng)（VPN）5層網(wǎng)絡(luò)安全模型(1/5)網(wǎng)絡(luò)層的安全性825層網(wǎng)絡(luò)安全模型(2/5)系統(tǒng)的安全性兩個需要考慮的問題病毒對網(wǎng)絡(luò)的威脅黑客對網(wǎng)絡(luò)的破壞和入侵對策防病毒軟件安全的系統(tǒng)配置，科學的風險評估和補漏機制，審計分析系統(tǒng)5層網(wǎng)絡(luò)安全模型(2/5)系統(tǒng)的安全性835層網(wǎng)絡(luò)安全模型(3/5)用戶的安全性需要考慮的問題是否只有那些真正被授權(quán)的用戶才能使用系統(tǒng)中的資源和數(shù)據(jù)方法分組分級管理身份認證存在的問題用戶個人的安全警惕性技術(shù)漏洞5層網(wǎng)絡(luò)安全模型(3/5)用戶的安全性845層網(wǎng)絡(luò)安全模型(4/5)應(yīng)用程序的安全性需要考慮的問題是否只有合法的用戶才能對特定的數(shù)據(jù)進行合法的操作應(yīng)用程