網(wǎng)絡(luò)安全-01-引 言

計(jì)算機(jī)與網(wǎng)絡(luò)安全2024/3/31西安電子科技大學(xué)計(jì)算機(jī)學(xué)院本節(jié)課程內(nèi)容認(rèn)識(shí)你們的老師！上課的要求！怎么考核？這門課程學(xué)什么？課程概要及相關(guān)概念2024/3/32西安電子科技大學(xué)計(jì)算機(jī)學(xué)院認(rèn)識(shí)你們的老師！馬卓，博士，講師通信地址：西安電子科技大學(xué)161#信箱電子郵箱：mazhuo@個(gè)人主頁：http:///mazhuo/

辦公地點(diǎn)：北校區(qū)主樓1區(qū)319室2024/3/33西安電子科技大學(xué)計(jì)算機(jī)學(xué)院上課的要求關(guān)于筆記關(guān)于紀(jì)律關(guān)于點(diǎn)名關(guān)于加分關(guān)于考試重點(diǎn)2024/3/34西安電子科技大學(xué)計(jì)算機(jī)學(xué)院怎么考核？方式：課堂講授＋課外閱讀設(shè)計(jì)實(shí)踐讀書報(bào)告考試：平時(shí)作業(yè)+設(shè)計(jì)實(shí)踐＋讀書報(bào)告(20%)筆試(80%)2024/3/35西安電子科技大學(xué)計(jì)算機(jī)學(xué)院這門課程學(xué)什么？視頻1視頻22024/3/36西安電子科技大學(xué)計(jì)算機(jī)學(xué)院這門課程學(xué)什么？密碼學(xué)計(jì)算機(jī)安全網(wǎng)絡(luò)安全I(xiàn)nternet安全2024/3/37西安電子科技大學(xué)計(jì)算機(jī)學(xué)院三個(gè)關(guān)鍵概念計(jì)算機(jī)安全（ComputerSecurity）對(duì)于一個(gè)自動(dòng)化的信息系統(tǒng)，采取保護(hù)措施確保信息系統(tǒng)資源（包括硬件、軟件、固件、信息/數(shù)據(jù)和通信）的保密性、完整性、可用性。NIST《計(jì)算機(jī)安全手冊(cè)》網(wǎng)絡(luò)安全（

NetworkSecurity）

保護(hù)數(shù)據(jù)在傳輸中安全的方法互聯(lián)網(wǎng)安全（InternetSecurity）

保護(hù)數(shù)據(jù)安全通過互聯(lián)網(wǎng)絡(luò)的方法2024/3/38西安電子科技大學(xué)計(jì)算機(jī)學(xué)院網(wǎng)絡(luò)安全的核心需求網(wǎng)絡(luò)安全核心地位的三個(gè)關(guān)鍵目標(biāo)保密性（Confidentiality）數(shù)據(jù)保密性隱私性完整性（Integrity）（包括不可否認(rèn)性、真實(shí)性）數(shù)據(jù)完整性系統(tǒng)完整性可用性（Availability）真實(shí)性（Authenticity）可追朔性（Accountability）2024/3/39西安電子科技大學(xué)計(jì)算機(jī)學(xué)院2024/3/3西安電子科技大學(xué)計(jì)算機(jī)學(xué)院10教材和參考書教材：WilliamStallings,Cryptographyandnetworksecurity:principlesandpractice,4rdEdition

(中譯本：密碼編碼學(xué)與網(wǎng)絡(luò)安全—原理與實(shí)踐（第四版），電子工業(yè)出版社，2006.11)2024/3/310西安電子科技大學(xué)計(jì)算機(jī)學(xué)院2024/3/3西安電子科技大學(xué)計(jì)算機(jī)學(xué)院11教材和參考書參考教材：馬建峰.計(jì)算機(jī)系統(tǒng)安全，西安電子科技大學(xué)出版社，2007.盧開澄．計(jì)算機(jī)密碼學(xué)—計(jì)算機(jī)網(wǎng)絡(luò)中的數(shù)據(jù)保密與安全（第3版）清華大學(xué)出版社，2003.BruceSchneier.

AppliedCryptography,Protocols,algorithms,and

sourcecodeinC(2ndEdition)，1996(中譯本：應(yīng)用密碼學(xué)－協(xié)議、算法與C源程序，

機(jī)械工業(yè)出版社，2000.1)閔嗣鶴，初等數(shù)論，高等教育出版社，2003.……2024/3/311西安電子科技大學(xué)計(jì)算機(jī)學(xué)院課程內(nèi)容第一部分對(duì)稱密碼對(duì)稱密碼，古典算法和現(xiàn)代算法，DES和AES第二部分公鑰密碼公鑰密碼，RSA和ECC，公鑰密碼的應(yīng)用第三部分網(wǎng)絡(luò)安全密碼算法和安全協(xié)議的應(yīng)用，用戶認(rèn)證、電子郵件、IP安全和Web安全第四部分系統(tǒng)安全系統(tǒng)安全措施，入侵、病毒、蠕蟲和防火墻技術(shù)2024/3/312西安電子科技大學(xué)計(jì)算機(jī)學(xué)院學(xué)習(xí)目標(biāo)理解信息安全的基本原理和技術(shù);了解一些最新研究成果;掌握網(wǎng)絡(luò)與信息安全的理論基礎(chǔ),具備研究與實(shí)踐的基本能力。2024/3/313西安電子科技大學(xué)計(jì)算機(jī)學(xué)院引言2024/3/314西安電子科技大學(xué)計(jì)算機(jī)學(xué)院網(wǎng)絡(luò)安全現(xiàn)狀I(lǐng)nternet一方面成為人們離不開的信息工具，同時(shí)也成為公開的攻擊對(duì)象目標(biāo)。網(wǎng)絡(luò)的全球性、開放性、無縫連通性、共享性、動(dòng)態(tài)性，使任何人都可以自由地接入Internet，其中有善者，也有惡者。惡意者時(shí)刻在試圖穿透別人的系統(tǒng)，搗毀別人的信箱、散布破壞性信息、傾瀉信息拉圾。2024/3/315西安電子科技大學(xué)計(jì)算機(jī)學(xué)院EmailWebISP門戶網(wǎng)站E-Commerce電子交易復(fù)雜程度時(shí)間Internet變得越來越重要2024/3/316西安電子科技大學(xué)計(jì)算機(jī)學(xué)院網(wǎng)絡(luò)安全問題日益突出混合型威脅(RedCode,Nimda)拒絕服務(wù)攻擊(Yahoo!,eBay)發(fā)送大量郵件的病毒(LoveLetter/Melissa)多變形病毒(Tequila)特洛伊木馬病毒網(wǎng)絡(luò)入侵70,00060,00050,00040,00030,00020,00010,000已知威脅的數(shù)量2024/3/317西安電子科技大學(xué)計(jì)算機(jī)學(xué)院CERT有關(guān)安全事件的統(tǒng)計(jì)

計(jì)算機(jī)緊急響應(yīng)組織（CERT）

年份事件報(bào)道數(shù)目198861989132199025219914061992773199313341994234019952412199625731997213419983734199998592000217562001526582024/3/318西安電子科技大學(xué)計(jì)算機(jī)學(xué)院2024/3/319西安電子科技大學(xué)計(jì)算機(jī)學(xué)院2011年網(wǎng)絡(luò)安全事件2011年末，中國公眾經(jīng)歷了一次大規(guī)模個(gè)人信息泄露事件的洗禮，幾乎人人自危。CSDN、天涯等眾多互聯(lián)網(wǎng)公司的賬戶密碼信息被公開下載；12月4日伊朗捕獲了一架美國RQ-170“哨兵”無人機(jī)；4月，索尼迄今為止遭遇到的規(guī)模最大的黑客攻擊；3月，RSA被網(wǎng)絡(luò)釣魚；美國花旗銀行6月8日證實(shí)，該銀行系統(tǒng)日前被黑客侵入，21萬北美地區(qū)銀行卡用戶的姓名、賬戶、電子郵箱等信息或遭泄露；…2024/3/320西安電子科技大學(xué)計(jì)算機(jī)學(xué)院到底是誰在攻擊網(wǎng)絡(luò)？通過什么樣的手段攻擊網(wǎng)絡(luò)？2024/3/321西安電子科技大學(xué)計(jì)算機(jī)學(xué)院WhoisAttackingSystems?2024/3/322西安電子科技大學(xué)計(jì)算機(jī)學(xué)院網(wǎng)絡(luò)中存在的安全威脅系統(tǒng)穿透(Systempenetration)違反授權(quán)原則(Autherizationviolation)植入(Planting)通信監(jiān)視(Communicutionsmonitoring)通信竄擾(Communicationstampering)中斷(Interruption)拒絕服務(wù)(Denialofservice)否認(rèn)(Repudiation)病毒2024/3/323西安電子科技大學(xué)計(jì)算機(jī)學(xué)院思考如何保證網(wǎng)絡(luò)安全？2024/3/324西安電子科技大學(xué)計(jì)算機(jī)學(xué)院OSI安全框架ITU-TX.800“SecurityArchitectureforOSI”即OSI安全框架；提供了一個(gè)定義和提供安全需求的系統(tǒng)化方法；提供了一個(gè)有用的學(xué)習(xí)研究的概貌。ITU:國際電信聯(lián)盟OSI:開放式系統(tǒng)互聯(lián)2024/3/325西安電子科技大學(xué)計(jì)算機(jī)學(xué)院OSI安全框架安全攻擊，securityattack任何危及系統(tǒng)信息安全的活動(dòng)。安全服務(wù)，securityservice加強(qiáng)數(shù)據(jù)處理系統(tǒng)和信息傳輸?shù)陌踩缘囊环N服務(wù)。目的在于利用一種或多種安全機(jī)制阻止安全攻擊。安全機(jī)制，securitymechanism用來保護(hù)系統(tǒng)免受偵聽、阻止安全攻擊及恢復(fù)系統(tǒng)的機(jī)制。2024/3/326西安電子科技大學(xué)計(jì)算機(jī)學(xué)院安全攻擊攻擊/威脅？攻擊的類型被動(dòng)攻擊主動(dòng)攻擊2024/3/327西安電子科技大學(xué)計(jì)算機(jī)學(xué)院被動(dòng)攻擊（1）2024/3/328西安電子科技大學(xué)計(jì)算機(jī)學(xué)院被動(dòng)攻擊（2）是在未經(jīng)用戶同意和認(rèn)可的情況下將信息或數(shù)據(jù)文件泄露給系統(tǒng)攻擊者，但不對(duì)數(shù)據(jù)信息做任何修改。常見手段：搭線監(jiān)聽；無線截獲；其他截獲。不易被發(fā)現(xiàn)。重點(diǎn)在于預(yù)防，如使用虛擬專用網(wǎng)（VPN）、采用加密技術(shù)保護(hù)網(wǎng)絡(luò)以及使用加保護(hù)的分布式網(wǎng)絡(luò)等。2024/3/329西安電子科技大學(xué)計(jì)算機(jī)學(xué)院主動(dòng)攻擊（1）2024/3/330西安電子科技大學(xué)計(jì)算機(jī)學(xué)院主動(dòng)攻擊（2）涉及某些數(shù)據(jù)流的篡改或虛假流的產(chǎn)生。通常分為：假冒；重放；篡改消息；拒絕服務(wù)。

能夠檢測(cè)出來。不易有效防止，具體措施包括自動(dòng)審計(jì)、入侵檢測(cè)和完整性恢復(fù)等。2024/3/331西安電子科技大學(xué)計(jì)算機(jī)學(xué)院安全機(jī)制要具備檢測(cè)、防御或從安全攻擊中恢復(fù)的能力沒有單一的機(jī)制能夠提供所有的安全服務(wù)一個(gè)機(jī)制往往構(gòu)成其它安全機(jī)制的基礎(chǔ)，如:加密技術(shù)2024/3/332西安電子科技大學(xué)計(jì)算機(jī)學(xué)院安全機(jī)制(X.800)特定的安全機(jī)制（specificsecuritymechanisms）:加密，

數(shù)字簽名，

訪問控制，數(shù)據(jù)完整性，認(rèn)證交換，流量填充，路由控制，公證等普遍的安全機(jī)制（pervasivesecuritymechanisms）:可信功能，安全標(biāo)簽，事件檢測(cè)，安全審計(jì)跟蹤，安全恢復(fù)等2024/3/333西安電子科技大學(xué)計(jì)算機(jī)學(xué)院安全服務(wù)強(qiáng)化一個(gè)組織的數(shù)據(jù)處理系統(tǒng)和信息傳輸中的安全性對(duì)安全攻擊的反擊采用一個(gè)或更多的安全機(jī)制

對(duì)文檔進(jìn)行安全地分發(fā)例如簽名，對(duì)信息進(jìn)行保護(hù)以免披露、損害或毀壞2024/3/334西安電子科技大學(xué)計(jì)算機(jī)學(xué)院安全服務(wù)X.800:為系統(tǒng)協(xié)議層提供的服務(wù)，用來保證系統(tǒng)或數(shù)據(jù)的傳輸有足夠的安全性。RFC2828:一種由系統(tǒng)提供的對(duì)系統(tǒng)資源進(jìn)行特殊保護(hù)的處理或通信服務(wù)，安全服務(wù)通過安全機(jī)制來實(shí)現(xiàn)安全策略。2024/3/335西安電子科技大學(xué)計(jì)算機(jī)學(xué)院安全服務(wù)

(

X.800

)可認(rèn)證性

-assurancethatthecommunicatingentityistheoneclaimed訪問控制

-preventionoftheunauthorizeduseofaresource機(jī)密性

Confidentiality-protectionofdatafromunauthorizeddisclosure完整性

Integrity-assurancethatdatareceivedisassentbyanauthorizedentity不可否認(rèn)性

Non-repudiation-protectionagainstdenialbyoneofthepartiesinacommunication可用性

-availability2024/3/336西安電子科技大學(xué)計(jì)算機(jī)學(xué)院安全服務(wù)與機(jī)制間的關(guān)系表1.62024/3/337西安電子科技大學(xué)計(jì)算機(jī)學(xué)院網(wǎng)絡(luò)安全模型2024/3/338西安電子科技大學(xué)計(jì)算機(jī)學(xué)院網(wǎng)絡(luò)安全模型設(shè)計(jì)安全服務(wù)應(yīng)包含四個(gè)方面內(nèi)容：

設(shè)計(jì)執(zhí)行安全相關(guān)傳輸?shù)乃惴?/p>

產(chǎn)生算法所使用的秘密信息

設(shè)計(jì)分配和共享秘密信息的方法

指明通信雙方使用的協(xié)議，該協(xié)議利用安全算法和秘密信息實(shí)現(xiàn)安全服務(wù)2024/3/339西安電子科技大學(xué)計(jì)算機(jī)學(xué)院網(wǎng)絡(luò)訪問安全模型2024/3/340西安電子科技大學(xué)計(jì)算機(jī)學(xué)院網(wǎng)絡(luò)訪問安全模型需要做到:選擇合適的門衛(wèi)功能以識(shí)別用戶

實(shí)現(xiàn)安全控制以確保只有授權(quán)用戶才可以訪問被指定的信息或資源

可信計(jì)算機(jī)系統(tǒng)

2024/3/341西安電子科技大學(xué)計(jì)算機(jī)學(xué)院國外網(wǎng)絡(luò)安全標(biāo)準(zhǔn)（1）美國國防部TCSEC可信計(jì)算機(jī)系統(tǒng)標(biāo)準(zhǔn)評(píng)估準(zhǔn)則(桔皮書)。該標(biāo)準(zhǔn)是美國國防部制定80年代的。它將安全分為4個(gè)方面:安全政策、可說明性、安全保障和文檔。在美國國防部虹系列(RainbowSeries)標(biāo)準(zhǔn)中有詳細(xì)的描述。該標(biāo)準(zhǔn)將以上4個(gè)方面分為7個(gè)安全級(jí)別,從低到高依次為D、C1、C2、B1、B2、B3和A1級(jí)：A1級(jí)：驗(yàn)證設(shè)計(jì)級(jí)；B3級(jí)：安全域級(jí)B2級(jí)：結(jié)構(gòu)化保護(hù)級(jí)B1級(jí)：標(biāo)記安全保護(hù)級(jí)完全可信網(wǎng)絡(luò)安全（B1、B2、B3）；C2級(jí)：受控存取保護(hù)級(jí)；

C1級(jí)：自主安全保護(hù)劑D級(jí)：不可信網(wǎng)絡(luò)安全。問題：以保密和單點(diǎn)機(jī)為主。2024/3/342西安電子科技大學(xué)計(jì)算機(jī)學(xué)院國外網(wǎng)絡(luò)安全標(biāo)準(zhǔn)（2）歐洲ITSEC

與TCSEC不同,它并不把保密措施直接與計(jì)算機(jī)功能相聯(lián)系,而是只敘述技術(shù)安全的要求,把保密作為安全增強(qiáng)功能。另外,TCSEC把保密作為安全的重點(diǎn),而ITSEC則把完整性、可用性與保密性作為同等重要的因素。ITSEC定義了從E0級(jí)(不滿足品質(zhì))到E6級(jí)(形式化驗(yàn)證)的7個(gè)安全等級(jí),對(duì)于每個(gè)系統(tǒng),安全功能可分別定義。ITSEC預(yù)定義了10種功能,其中前5種與桔皮書中的C1-B3級(jí)非常相似。2024/3/343西安電子科技大學(xué)計(jì)算機(jī)學(xué)院國外網(wǎng)絡(luò)安全標(biāo)準(zhǔn)（3）加拿大CTCPEC

該標(biāo)準(zhǔn)將安全需求分為4個(gè)層次:機(jī)密性、完整性、可靠性和可說明性。對(duì)產(chǎn)品和評(píng)估過程強(qiáng)調(diào)功能和保證。分為7個(gè)保證級(jí)，通常稱為EAL-1到EAL-7。美國聯(lián)邦準(zhǔn)則(FC)

該標(biāo)準(zhǔn)參照了CTCPEC及TCSEC,其目的是提供TCSEC的升級(jí)版本,同時(shí)保護(hù)已有投資,但FC有很多缺陷,是一個(gè)過渡標(biāo)準(zhǔn),后來結(jié)合ITSEC發(fā)展為聯(lián)合公共準(zhǔn)則CC。2024/3/344西安電子科技大學(xué)計(jì)算機(jī)學(xué)院國外網(wǎng)絡(luò)安全標(biāo)準(zhǔn)（4）信息技術(shù)安全評(píng)價(jià)通用準(zhǔn)則(CC)

CC的目的是想把已有的安全準(zhǔn)則結(jié)合成一個(gè)統(tǒng)一的標(biāo)準(zhǔn)。該計(jì)劃從1993年開始執(zhí)行,1996年推出第一版。CC結(jié)合了FC及ITSEC的主要特征,它強(qiáng)調(diào)將安全的功能與保障（安全功能的可信度）分離,并將功能需求分為11類63族,將保障分為7類29族。

99.7通過國際標(biāo)準(zhǔn)化組織認(rèn)可,為ISO/IEC15408信息技術(shù)安全評(píng)估準(zhǔn)則。2024/3/345西安電子科技大學(xué)計(jì)算機(jī)學(xué)院國外網(wǎng)絡(luò)安全標(biāo)準(zhǔn)（5）ISO安全體系結(jié)構(gòu)標(biāo)準(zhǔn)在安全體系結(jié)構(gòu)方面,ISO制定了國際標(biāo)準(zhǔn)ISO7498-2-1989《信息處理系統(tǒng)開放系統(tǒng)互連基本參考模型第2部分安全體系結(jié)構(gòu)》。該標(biāo)準(zhǔn)為開放系統(tǒng)互連(OSI)描述了基本參考模型,為協(xié)調(diào)開發(fā)現(xiàn)有的與未來的系統(tǒng)互連標(biāo)準(zhǔn)建立起了一個(gè)框架。其任務(wù)是提供安全服務(wù)與有關(guān)機(jī)制的一般描述,確定在參考模型內(nèi)部可以提供這些服務(wù)與機(jī)制的位置