信息安全概論第一章概述_第1頁
信息安全概論第一章概述_第2頁
信息安全概論第一章概述_第3頁
信息安全概論第一章概述_第4頁
信息安全概論第一章概述_第5頁
已閱讀5頁,還剩56頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1第一章概述信息安全概況

計算機和網(wǎng)絡的發(fā)展信息安全現(xiàn)狀信息安全面臨問題

信息安全管理保障體系2

隨著現(xiàn)代通信技術迅速的發(fā)展和普及,特別是隨著通信技術與計算機相結合而誕生的計算機互聯(lián)網(wǎng)絡全面進入千家萬戶,信息的應用與共享日益廣泛,且更為深入。人類開始從主要依賴物質和能源的社會步入物質、能源和信息三位一體的社會。各種信息系統(tǒng)已成為國家基礎設施,支撐電子政務、電子商務、電子金融、科學研究、網(wǎng)絡教育、能源、通信、交通和社會保障等方方面面,信息成為人類社會必須的重要資源。與此同時信息的安全問題也日益突出。從大的方面來說,信息安全問題已威脅到國家的政治、經(jīng)濟、軍事、文化、意識形態(tài)等領域,因此很早有人提出信息戰(zhàn)的概念并將信息武器列為繼原子武器、生化武器之后的第四大武器;從小的方面說,信息安全問題也涉及到人們能否保護個人隱私。因此信息安全已成為社會穩(wěn)定安全的必要前提條件。3計算機與網(wǎng)絡技術的發(fā)展歷程

42009年我國上網(wǎng)人數(shù)已突破3億,而且手機上網(wǎng)人數(shù)猛增。5

根據(jù)聯(lián)合國的資料,全球收入最高國家中的五分之一人口擁有全球國內生產(chǎn)總值的86%,其互聯(lián)網(wǎng)用戶總數(shù)占世界互聯(lián)網(wǎng)用戶總數(shù)的93%,而收入最低國家的五分之一人口則只擁有全球國內生產(chǎn)總值的1%,其互聯(lián)網(wǎng)用戶總數(shù)只占全球互聯(lián)網(wǎng)用戶總數(shù)的0.2%。6ISP:InternetServiceProvider

169,163就是中國電信旗下的ISP7信息安全概況

計算機和網(wǎng)絡的發(fā)展

信息安全現(xiàn)狀信息安全面臨問題

信息安全管理保障體系8信息化建設帶來的問題F信息化建設成為國家重要基礎設施目前,所謂“三網(wǎng)融合”,就是指電信網(wǎng)、廣播電視網(wǎng)和計算機通信網(wǎng)的相互滲透、互相兼容、并逐步整合成為全世界統(tǒng)一的信息通信網(wǎng)絡?!叭W(wǎng)融合”是為了實現(xiàn)網(wǎng)絡資源的共享,避免低水平的重復建設,形成適應性廣、容易維護、費用低的高速寬帶的多媒體基礎平臺。“三網(wǎng)融合”后,民眾可用電視遙控器打電話,在手機上看電視劇,隨需選擇網(wǎng)絡和終端,只要拉一條線、或無線接入即完成通信、電視、上網(wǎng)等。

還有物聯(lián)網(wǎng)的構建,物聯(lián)網(wǎng)的概念是在1999年提出的。物聯(lián)網(wǎng)就是“物物相連的互聯(lián)網(wǎng)”。物聯(lián)網(wǎng)的核心和基礎仍然是互聯(lián)網(wǎng),是在互聯(lián)網(wǎng)基礎上的延伸和擴展的網(wǎng)絡;

F信息安全威脅給社會帶來巨大沖擊F信息安全問題正在進入國家戰(zhàn)略層910112007年我國網(wǎng)絡安全事件發(fā)生量的增長幅度較大

中央政府門戶網(wǎng)站2008年04月29日來源:新華社新華社北京4月29日電(馮曉芳、李華穎)國家計算機網(wǎng)絡應急技術處理協(xié)調中心29日發(fā)布的數(shù)據(jù)顯示:2007年我國網(wǎng)絡安全事件發(fā)生量的增長幅度較大,網(wǎng)絡仿冒、網(wǎng)頁惡意代碼、網(wǎng)站篡改等增長速度接近200%,木馬主機的增長率為2125%。

“我國網(wǎng)絡安全面臨的形勢非常嚴峻?!眹矣嬎銠C網(wǎng)絡應急技術處理協(xié)調中心運行管理部主任孫蔚敏說,“木馬、僵尸網(wǎng)絡和與域名相關的安全問題等構成了主要威脅?!?/p>

面臨嚴峻的網(wǎng)絡安全形勢,如何尋求網(wǎng)絡安全問題的解決之道,成為重中之重。針對此問題,孫蔚敏表示,當務之急是建立并擁有一套完善的網(wǎng)絡安全預警和應急保障體系。為達到這一目標,各方面都要貫徹執(zhí)行“積極預防、及時發(fā)現(xiàn)、快速響應、力?;謴汀钡氖址结槨?/p>

12提高網(wǎng)民網(wǎng)絡安全意識,是積極預防的首要環(huán)節(jié)。同時,對于最常用的殺毒軟件和防火墻,“如果能采取政府和市場結合的機制,作為一種公共服務來提供,我認為也能降低整個國家網(wǎng)絡安全的管理成本?!睂O蔚敏說。

除了積極預防,及時發(fā)現(xiàn)也能幫助減少網(wǎng)絡安全事件。據(jù)2008年病毒疫情調查報告的數(shù)據(jù)顯示,調查的網(wǎng)絡安全事件中,由信息網(wǎng)絡管理員通過技術監(jiān)測發(fā)現(xiàn)的占53.5%,通過部署購買安全產(chǎn)品報警發(fā)現(xiàn)的占46.4%,事后分析發(fā)現(xiàn)的占35.4%。

孫蔚敏表示,及時發(fā)現(xiàn)可以用兩種方式采取措施,一是建立必要的網(wǎng)絡安全監(jiān)控系統(tǒng)。二是建立信息共享機制。比如,對于國家計算機網(wǎng)絡應急技術處理協(xié)調中心來講,監(jiān)測到有90萬個IP植入了木馬,但其中的IP是網(wǎng)通還是電信用戶,是銀行還是證券部門,卻需要相關部門具體研究和信息共享。

“當然,不管積極預防還是及時發(fā)現(xiàn),不可避免還是會有問題發(fā)生。這就要求一旦事件發(fā)生,就要在最關鍵的時間點響應,并在最短時間內把損失降低到最小,做到快速響應,力?;謴??!睂O蔚敏說。(即入侵檢測系統(tǒng))13中國計算機犯罪案件逐年上升1986年發(fā)生第一起計算機犯罪案件。(深圳市某銀行蛇口支行陳某伙同他人利用計算機詐騙巨款一案)據(jù)公安部公共信息網(wǎng)絡安全監(jiān)察局不完全統(tǒng)計,1998年立案偵查計算機違法犯罪案件僅為142起;1999年增至908起;2000年劇增為2700余起,比上年增加了2倍;2001年又漲到4500余起,比上年上升70%;2002年開始突破一萬起。14上海警方破獲全球最大規(guī)模制販盜版軟件案文章來源:

中國計算機安全

2008-04-25

烏魯木齊在線訊歷經(jīng)連續(xù)17個月的漫長守候,一個特大跨國制販盜版軟件犯罪集團連根拔起。記者昨日從(上海)市公安局獲悉,以馬靖易為首的11名犯罪嫌疑人被一網(wǎng)打盡。這是迄今為止全球最大規(guī)模的跨國制販盜版軟件案,僅上海部分,涉案金額就高達數(shù)千萬元。

15“拼音猜字”鎖定頭目

2006年2月28日,上海警方接到來自公安部的線索:一個以名為“MAKEPEI”為首的犯罪團伙在上海以電腦網(wǎng)絡公司名義從事跨國制販盜版軟件犯罪活動。根據(jù)這一細微線索,改名為馬靖易的犯罪嫌疑人進入警方視線。

早在2003年2月,美國紐約警方摧毀一個當?shù)劁N售盜版軟件的犯罪集團時,該團伙頭目馬靖易因在國內過年,無意中躲過抓捕?!安m天過海”網(wǎng)上交易

也許是有了在美國的教訓,馬靖易變得極為狡猾和謹慎,他不通過正規(guī)途徑招聘銷售人員,而是直接拉人入伙;所有與國外的交易都通過電子郵件商談;在國內,馬靖易團伙基本不接觸盜版軟件,只是在確認資金到賬后,通知美國的手下通過快遞公司送貨。16

警方調查發(fā)現(xiàn),從2003年7月起,馬靖易在上海設立了多個窩點,通過網(wǎng)站發(fā)布盜版軟件銷售信息,以正版軟件1/10的價格向境外客戶銷售盜版軟件。馬靖易集團經(jīng)營的盜版軟件主要集中在殺毒軟件和工程軟件領域,涉及賽門鐵克等21家境外知名公司100多個品種的軟件。

11名嫌疑人被警方抓獲

2006年10月,美國聯(lián)邦調查局向中國公安部反映,他們在調查美國國內盜版犯罪集團時發(fā)現(xiàn)深圳的王某、車某等人涉嫌大量生產(chǎn)、銷售盜版軟件,請求中方協(xié)助。2007年7月6日,上海、深圳警方同時展開“夏至行動”。上海警方抓獲馬靖易等11名犯罪嫌疑人,同時凍結了犯罪團伙涉案金額400多萬元、房產(chǎn)5處,繳獲了159個品種的軟件樣碟、14張光盤外觀印制膠片、20臺計算機和銷售臺賬。

另悉,僅去年一年全市公安刑偵部門共破獲各類侵犯知識產(chǎn)權犯罪案件215起,抓獲犯罪嫌疑人495人,收繳贓款、贓物總值4.86億余元。來源:中國計算機安全

17網(wǎng)絡經(jīng)濟犯罪的犯罪特點

(1)冒充合法用戶身份侵入型:犯罪行為人常利用從事網(wǎng)絡相關工作之便或接近計算機系統(tǒng)工作人員之便非法竊取口令與密碼,冒充合法用戶進入系統(tǒng),實施經(jīng)濟犯罪。如山東濟寧農(nóng)行鄒城支行2000年12月10日發(fā)生的利用銀行計算機網(wǎng)絡竊取資金案件就是一起典型的冒充合法用戶身份侵入型網(wǎng)絡經(jīng)濟犯罪案件。犯罪行為人馬某(濟寧市某農(nóng)行營業(yè)所主管會計)與劉某(濟寧市某廠工人)違規(guī)異地登錄鄒城農(nóng)壇儲蓄所,并破解該所某臨柜員用戶口令,通過轉帳竊取資金18萬余元。(2)特洛伊木馬型:犯罪行為人往往利用某種方式侵入網(wǎng)絡中的計算機系統(tǒng),設置特洛伊木馬程序并通過程序收集相關資料如客戶商業(yè)秘密、合法用戶口令、特權用戶口令等等,然后利用收集到的信息實施經(jīng)濟犯罪。例如俄羅斯圣彼得堡的弗拉基末爾萊文利用網(wǎng)絡技術竊取銀行客戶的口令與密碼,并進行非法轉帳,數(shù)額高達370多萬美元。18(3)技術攻擊型:犯罪行為人利用網(wǎng)絡的某種缺點實施攻擊,典型方式是利用編寫軟件之機或接近編程人員之機,設置“后門”或“陷阱”,并進而入侵計算機系統(tǒng)。一般要求行為人掌握較高的計算機專業(yè)知識。例如1999年,年僅28歲的趙哲非法進入證券交易系統(tǒng)修改程序,造成股市波動并損失295萬余元。(4)制作、傳播病毒型:犯罪行為人通過非法入侵系統(tǒng)后放置計算機病毒或利用電子郵件等其他形式在網(wǎng)絡中傳播病毒,造成較大損失。這種方式犯罪目標不明確,侵害范圍廣,后果嚴重。1999年臺灣電腦奇才陳贏毫為了檢驗自己的計算機技術水平而開發(fā)“CIH”病毒,造成全球至少6000萬臺電腦中毒。(5)設置特定程序型:典型的是浮報虛頭程序,一是利用計算機重復計息;二是采用“意大利香腸術”對利息尾數(shù)進行修改進而非法占有。如美國一名程序員通過計算機浮報費用,每次只虛報一兩美元,然后轉移到另外的帳戶上,六年時間共占有一百多萬美元而一直未被發(fā)現(xiàn)。19(6)網(wǎng)絡洗錢型:以上幾種是將合法的財物通過網(wǎng)絡非法占為己有,而“網(wǎng)絡洗錢”則是通過世界性的網(wǎng)絡貿易,將走私、販毒等非法所得進行跨越國境的房地產(chǎn)、股票、債券等投資,倒來倒去成為合法所得。(7)邏輯炸彈型:輸入犯罪指令或一段隱蔽的邏輯程序,在系統(tǒng)運行過程中,該指令或程序能夠按照犯罪行為人的意圖在指定的時間或條件下觸發(fā)運行,從而抹除數(shù)據(jù)文件或破壞系統(tǒng)的功能,進行計算機詐騙或破壞等犯罪活動。然后在預定時間或事件發(fā)生時,指令該“炸彈”自行銷毀。這種方法被廣泛應用于毀滅罪證、實施破壞。(8)偽造證件型:盜取客戶信息,利用專門制作工具,偽造信用卡、存折等,并冒用、冒領他人存款的行為。1999年青島工商銀行曾以菲偽造信用卡一案即是一典型案例。該類犯罪行為人往往有比較明確的范圍。2021國外信息安全技術研究現(xiàn)狀

美國有一定規(guī)模的信息安全產(chǎn)品廠家約有800家,生產(chǎn)十大類2000余種安全產(chǎn)品,達到B1級至A1級(計算機安全產(chǎn)品按從低到高的順序分為四等八級:D,C1,C2,B1,B2,B3,A1,超A1。

)的信息安全產(chǎn)品已有126種,美國信息安全產(chǎn)品年產(chǎn)值已達500億美元。其它國家和地區(qū),如歐洲、日本、加拿大、澳大利亞等在近五年內也大幅度增加信息安全技術的投入,資助和推動國家級的研究和標準化部門成為信息安全技術研究開發(fā)的主力軍。22安全級別特征D級最低保護。無需任何安全措施,屬于這個級別的操作系統(tǒng)有:DOS,Apple等。C1級自覺的安全保護。系統(tǒng)能夠把數(shù)據(jù)和用戶隔開,用戶可根據(jù)需要采用系統(tǒng)提供的訪問控制措施來保護自己的數(shù)據(jù)。C2級訪問控制類保護。提供了比C1級更細的訪問控制,系統(tǒng)必須對所有的注冊、文件的打開、建立和刪除進行記錄。操作系統(tǒng)有:Unix、WindowsNT。B1級有標簽的安全保護。系統(tǒng)中的每個對象都有一個敏感性標簽而每個用戶都有一個許可級別。B2級結構化保護。系統(tǒng)的設計和實現(xiàn)要經(jīng)過徹底的測試和審查。有強制性訪問控制。B3級安全域。覆蓋了B2級的安全要求,并增加了下述內容:傳遞所有用戶行為,系統(tǒng)防篡改,系統(tǒng)必須提供管理支持、審計、備份和恢復方法,能完全防止非法訪問。A1級適用于軍事計算機系統(tǒng)23我國信息安全現(xiàn)狀F硬件設備上嚴重依賴國外:打印機和芯片等F網(wǎng)絡信息安全管理存在漏洞F安全技術和標準體系有待研究F美國和西方國家對我國進行破壞、滲透F啟動了一些信息安全研究項目F建立一批國家信息安全基礎設施F出現(xiàn)一批專門從事信息安全研究的科研單位和公司2425我國信息安全發(fā)展趨勢F從國家戰(zhàn)略高度規(guī)劃信息安全建設,特別是信息安全基礎設施的建設F繼續(xù)跟蹤研究國際信息安全前沿技術和產(chǎn)品F重視信息安全基礎系統(tǒng)平臺的安全加固,特別重視功能比較單一的信息安全關鍵芯片的研制F針對現(xiàn)有網(wǎng)絡和信息系統(tǒng),建設網(wǎng)絡安全保障體系F注重信息安全技術標準化和安全產(chǎn)品評估體系的建設,積極推動信息安全產(chǎn)業(yè)。26信息安全概況

計算機和網(wǎng)絡的發(fā)展信息安全現(xiàn)狀

信息安全面臨問題

信息安全管理保障體系27安全問題根源 安全威脅究其存在根源,大體有以下幾種:物理安全問題:包括物理設備本身的安全、環(huán)境安全和物理設備所在的地域等因素;方案設計缺陷:方案設計者的安全理論與實踐水平不夠,設計出來的方案就必然存在安全隱患;系統(tǒng)安全漏洞:系統(tǒng)的安全漏洞:隨著軟件系統(tǒng)規(guī)模的不斷增大,信息系統(tǒng)中的安全漏洞和“后門”也不可避免的存在。包括操作系統(tǒng)安全漏洞、網(wǎng)絡安全漏洞、應用系統(tǒng)安全漏洞等。人為因素:人的因素是網(wǎng)絡安全問題的重要因素,包括人為的無意義的失誤,人為的惡意攻擊,管理上的漏洞等。

總之,信息安全的實質,就是要保障信息系統(tǒng)中的人、設備、軟件、數(shù)據(jù)等要素免受各種偶然和人為的破壞和攻擊,使它們發(fā)揮正常,保障信息系統(tǒng)能安全可靠地工作。28信息安全領域面臨嚴峻挑戰(zhàn)1、系統(tǒng)太脆弱,太容易受攻擊;2、被攻擊時很難及時發(fā)現(xiàn)和制止;3、信息安全意識薄弱;4、網(wǎng)上犯罪形勢不容樂觀;5、有害信息污染嚴重;6、網(wǎng)絡病毒的蔓延和破壞;7、網(wǎng)上黑客無孔不入;8、機要信息流失與信息間諜潛入;9、網(wǎng)絡安全產(chǎn)品的自控權;10、信息戰(zhàn)的陰影不可忽視;29信息安全概況

計算機和網(wǎng)絡的發(fā)展信息安全現(xiàn)狀信息安全面臨問題

信息安全管理保障體系30國家重視信息化建設F黨的十五屆五中全會提出了大力推進國民經(jīng)濟和社會信息化的戰(zhàn)略舉措。F在黨的十六大報告中再一次強調了要繼續(xù)深化國家信息化建設。31國家重視信息安全體系建設2001年7月,前總書記江澤民曾在中央舉辦的法制講座中指示:要“大力推進信息化進程,高度重視信息網(wǎng)絡安全”。2002年7月,前總理朱镕基主持召開國家信息化領導小組第二次會議,提出“以電子政務帶動國家信息化建設”,強調要高度重視信息安全體系的建設,堅持一手抓信息化,一手抓網(wǎng)絡信息的安全,要改進技術手段,全面強化管理,建立健全信息安全保障體系和防范機制,維護信息網(wǎng)絡的安全。3233信息安全保證體系六大要素

我國信息安全保障應具備信息安全防護能力、安全隱患發(fā)現(xiàn)能力、安全事故發(fā)生后的應急反應能力、安全攻擊發(fā)生時的對抗能力。 具備這四種能力,是我國信息安全保證體系建設所要達到的目標。要達到這一目標,我們要從以下六個方面加以努力:組織建設:組織管理體系的建設,是信息化安全保障體系的建設的重點,有一套從領導管理、技術實現(xiàn)的個各層次人員,猶如信息化安全保障的基礎建設。標準規(guī)范和法律建設:這也是信息安全保障體系建設的一個重要方面。我國第一部信息化法律《電子簽名法》于2005年出臺。目前《保密法》正在修改之中,《國家信息安全法》、《個人數(shù)據(jù)保護法》、《網(wǎng)上知識產(chǎn)權保護法》等一系列法律法規(guī)正在制定之中。34技術保障:技術保障是信息安全保障體系的重要環(huán)節(jié)。重點應做到以下幾點:在重點、核心技術上通過技術創(chuàng)新,擁有自主知識產(chǎn)權的產(chǎn)品;做到信息關鍵技術可控;強調建立基礎性技術體系;重視系統(tǒng)的物理安全技術的研究;關注具有前瞻性的高新技術的發(fā)展。產(chǎn)業(yè)支撐環(huán)境的發(fā)展:我國的信息安全保障體系,必須搭建在我國自主知識產(chǎn)權產(chǎn)品的基礎之上。強大的產(chǎn)業(yè)支撐是安全的根本保障。35重視信息安全的基礎設施建設:數(shù)字證書的認證體系架設;信息安全產(chǎn)品和信息評測產(chǎn)品的開發(fā);信息安全的應急支援體系;信息系統(tǒng)的災難恢復的建設;病毒及網(wǎng)絡攻擊的防范體系建設;網(wǎng)絡監(jiān)控和預警機制的建設。人才教育和培養(yǎng):信息安全保障體系的建設,人才是關鍵因素。我們需要大量的高技術復合型人才。36

有關信息的定義沒有統(tǒng)一的標準。信息是客觀世界中各種事物的變化和特征的反映,是客觀事物之間聯(lián)系的特征,也是客觀事物狀態(tài)經(jīng)過傳遞后的再現(xiàn)。信息是主觀直接聯(lián)系客觀世界的橋梁。本課程的信息是指存在計算機和網(wǎng)絡中的數(shù)據(jù)資源。1.1信息安全的目標37信息安全:即關注信息本身的安全,而不管是否應用了計算機作為信息處理的手段。信息安全的任務是保護信息財產(chǎn),以防止偶然的或未被授權者對信息的惡意泄漏、修改和破壞,從而導致信息的不可靠或無法處理等。信息安全技術:信息安全技術是一門綜合的學科,它涉及信息論、計算機科學和密碼學等多方面的知識,它研究計算機系統(tǒng)和通信網(wǎng)絡內信息的保護方法,以實現(xiàn)系統(tǒng)內信息的安全、保密、真實、完整。

信息安全的目標:保護信息的機密性、完整性、抗否認性和可用性;也有的認為是機密性、完整性和可用性,即CIA(Confidentiality,Integrity,Availability)。1.1信息安全的目標381.機密性(Confidentiality)

機密性是保證信息不被非授權訪問;即使非授權用戶得到信息也無法知曉信息的內容,因而不能使用。措施:訪問控制,加密變換2.完整性(Integrity)

完整性是指維護信息的一致性,即信息在生成、傳輸、存儲和使用過程中不應發(fā)生人為的非授權篡改。措施:通過訪問控制阻止篡改行為,通過消息摘要算法來檢驗信息是否被篡改。3.抗否認性(Non-repudiation)

抗否認性是指能保障用戶無法在事后否認曾經(jīng)對信息進行的生成、簽發(fā)、接收等行為,是針對通信各方信息真實同一性的安全要求。措施:數(shù)字簽名394.可用性(Availability)

可用性是指保障信息資源隨時可提供服務的特性,即授權用戶根據(jù)需要可以隨時訪問所需信息。5.可控性(Controllability)

可控性是指對信息的傳播及內容具有控制能力的特性。即授權機構可以隨時控制信息的機密性,能夠對信息實施安全監(jiān)控。信息安全的任務就是要實現(xiàn)信息的上述5種安全屬性。對攻擊者來說,就是要通過一切可能的方法和手段破壞信息的安全屬性。40411.2信息安全的研究內容

信息安全是一門既古老又年輕的學科。涉及多方面的理論和知識。除了數(shù)學、通訊、計算機等自然科學外,還涉及法律、犯罪學、心理學、經(jīng)濟學、應用數(shù)學、計算機病毒學和審計學等學科。該教材從自然科學的角度介紹信息安全的研究內容。42

密碼理論研究基礎理論研究

安全理論研究安全實現(xiàn)技術信息安全研究應用技術研究

安全平臺技術安全標準安全管理研究安全策略安全測評43安全目標:機密性、完整性、抗否認性、可用性和可控性平臺安全:物理安全網(wǎng)絡安全系統(tǒng)安全數(shù)據(jù)安全邊界安全用戶安全

安全理論:身份認證訪問控制審計追蹤安全協(xié)議安全技術:防火墻技術漏洞掃描技術入侵檢測技術密碼理論:數(shù)據(jù)加密、數(shù)字簽名、消息摘要、密鑰管理安全管理:安全標準安全策略安全測評441.密碼理論:研究重點是算法,包括數(shù)據(jù)加密算法、數(shù)字簽名算法、消息摘要算法及相應的密鑰管理協(xié)議等;算法提供的服務有:(1)直接對信息進行運算,保護信息的安全特性,即通過加密變換保護信息的機密性,通過消息摘要變換檢測信息的完整性,通過數(shù)字簽名保護信息的抗否認性;(2)提供對身份認證和安全協(xié)議等理論的支持;2.安全理論:研究重點是單機或網(wǎng)絡環(huán)境下信息防護的基本理論,主要有訪問控制(授權)、身份認證、審計追蹤(這三者稱為AAA,即Authorization,Authenticatiion,Audit)、安全協(xié)議等。其研究成果為安全平臺提供理論依據(jù)。453.安全技術:研究重點是單機或網(wǎng)絡環(huán)境下信息防護的應用技術,主要有防火墻技術、入侵檢測技術、漏洞掃描技術和防病毒技術等。研究成果直接為平臺安全防護和檢測提供技術依據(jù)。4.平臺安全:重點是保障承載信息產(chǎn)生、存儲、傳輸和處理的平臺的安全和可控。涉及到物理安全、網(wǎng)絡安全、系統(tǒng)安全、數(shù)據(jù)安全和邊界安全,同時還包括用戶行為的安全。5.安全管理:安全管理應有統(tǒng)一的標準、可行的策略和必要的測評。其作用于安全理論和技術各個方面。461.2.1信息安全基礎研究信息安全基礎研究包括密碼理論和安全理論研究1.密碼理論

密碼理論是信息安全的基礎,信息安全的機密性、完整性和抗否認性都依賴于密碼算法。

密碼學的主要研究內容是加密算法、消息摘要算法和數(shù)字簽名算法以及密鑰管理。

(1)數(shù)據(jù)加密(DataEncryption)

數(shù)據(jù)加密算法是一種數(shù)學變換,在選定密鑰的參與下,將信息從易于理解的明文加密為不易理解的密文,同時也可以將密文解密為明文。加解密的算法可以相同,也可以不同;相同的叫對稱算法,典型的有DES和AES等;不同的叫非對稱算法,又叫公鑰算法,典型的有RSA和ECC。47(2)消息摘要(MessageDigest)

消息摘要也是一種數(shù)學變換,通常是單向(不可逆)的變換,它將不定長的信息變換為固定長度的摘要,信息的任何改變(即是使1bit)也能引起摘要面目全非,因而可以通過摘要檢測消息是否被篡改。典型的算法有MD5、SHA等。(3)數(shù)字簽名(Digest

Signature)

數(shù)字簽名主要是消息摘要和非對稱加密算法的組合應用。即通過私鑰用非對稱算法對信息本身進行加密,可實現(xiàn)數(shù)字簽名功能。48(4)密鑰管理(KeyManagement)

密鑰算法是公開的,但密鑰是嚴格保護的。如果非授權用戶獲得加密算法和密鑰,則很容易破解和偽造密文,加密也就失去了意義。密鑰管理研究密鑰的產(chǎn)生、發(fā)放、存儲、更換和銷毀的算法和協(xié)議等。2.安全理論

(1)身份認證(Authentication)

身份認證是指驗證用戶身份與其所聲稱的身份是否一致的過程。最常見的身份認證是口令認證。復雜的身份認證是則需要基于可信第三方權威機構的認證和復雜的密碼協(xié)議來支持,如基于證書認證中心(CA)和公鑰算法的認證等。身份認證研究的內容有:認證的特征(知識、推理、生物特征等)和認證的可信協(xié)議及模型。49(2)授權和訪問控制(AuthorizationandAccessControl)

授權和訪問控制的細微區(qū)別在于,授權側重于強調用戶擁有什么樣訪問權限,這種權限是系統(tǒng)預先設定的,并不關心用戶是否發(fā)起訪問請求;而訪問控制是對用戶行為進行控制,它將用戶的訪問性為控制在授權允許的范圍之內。授權和訪問控制的研究內容是授權策略、訪問控制模型等。(3)審計追蹤(AuditingandTracing)

審計是對用戶的行為進行記錄、分析和審查,以確認操作的歷史行為。追蹤是通過審計結果對用戶的全程行蹤進行追查。審計通常只在某個系統(tǒng)內進行。而追蹤則需要對多個系統(tǒng)的審計結果綜合分析。50(4)安全協(xié)議(SecurityProtocol)

安全協(xié)議是指構建安全平臺時所使用的與安全防護有關的協(xié)議,是各種安全技術和策略具體實現(xiàn)時共同遵循的規(guī)定,如安全傳輸協(xié)議、安全認證協(xié)議、安全保密協(xié)議等。典型的安全協(xié)議有網(wǎng)絡層安全協(xié)議IPsec、傳輸層安全協(xié)議SSL、應用層安全電子商務協(xié)議SET等。安全協(xié)議的內容是協(xié)議的內容和實現(xiàn)層次、協(xié)議自身的安全性、協(xié)議的互操作性等。511.2.2信息安全應用研究信息安全的應用研究是針對信息在應用環(huán)境下的安全保護而提出的,是信息安全基礎理論的具體應用,包括安全技術研究和平臺安全研究。1.安全技術信息安全技術包括防火墻技術、漏洞掃描技術、入侵檢測技術和防病毒技術等。

(1)防火墻技術(Firewall)

防火墻技術是一種安全隔離技術,通過在兩個安全策略不同的域之間設置防火墻來控制兩個域之間的互訪行為。目前應用較多的是網(wǎng)絡層的包過濾技術和應用層安全代理技術。52(2)漏洞掃描技術(VenearbilityScanning)

漏洞掃描技術是針對特定信息網(wǎng)絡中存在的漏洞而進行的。信息網(wǎng)絡中無論主機還是網(wǎng)絡設備都可能存在安全隱患,有些是系統(tǒng)設計時考慮不周留下的,有些是系統(tǒng)建設時出現(xiàn)的。如操作系統(tǒng)經(jīng)常出現(xiàn)的補丁模塊就是為加固發(fā)現(xiàn)的漏洞而開發(fā)的。但很難發(fā)現(xiàn)未知漏洞。目前的漏洞掃描更多的是對已知漏洞檢查定位。漏洞掃描技術研究的內容主要包括漏洞的發(fā)現(xiàn),特征分析以及定位、掃描方式和協(xié)議等。(3)入侵檢測技術(IntrusionDetection)入侵檢測是指通過對網(wǎng)絡信息流提取和分析發(fā)現(xiàn)非正常訪問模式的技術。目前主要有基于用戶行為模式、系統(tǒng)行為模式和入侵特征的檢測。重點介紹基于主機的入侵檢測和基于網(wǎng)絡的入侵檢測。53(4)防病毒技術(Anti-Virus)

病毒是一種具有傳染性和破壞性的計算機程序。研究和防范計算機病毒也是信息安全的一個重要方面。2.平臺安全(1)物理安全物理安全是指保障信息網(wǎng)絡物理設備不受物理損壞,或是損壞時能及時修復或替換。通常是針對設備的自然損壞、人為破壞或災害損壞而提出的。目前物理安全技術有:備份技術、安全加固技術、安全設計技術等。(2)網(wǎng)絡安全網(wǎng)絡安全的目標是防止針對網(wǎng)絡平臺的實現(xiàn)和訪問模式的安全威脅。54(3)系統(tǒng)安全系統(tǒng)安全是各種應用程序的基礎。系統(tǒng)安全關心的主要問題是操作系統(tǒng)自身的安全性問題。如果操作系統(tǒng)本身存在漏洞,就有可能使用戶的訪問繞過安全機制,使安全措施形同虛設。因此操作系統(tǒng)的安全是非常重要的。(4)數(shù)據(jù)安全數(shù)據(jù)是信息的直接表現(xiàn)形式,數(shù)據(jù)的安全性是不言而喻的。數(shù)據(jù)安全關心數(shù)據(jù)在存儲和應用過程中是否會被非授權用戶有意破壞,或被授權用戶無意破壞。數(shù)據(jù)安全主要是數(shù)據(jù)庫或數(shù)據(jù)文件的安全問題。55(5)用戶安全用戶安全包括:合法用戶的權限是否被正確授權,

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論