《信息安全技術(shù)概述》

Chapter1:信息平安技術(shù)概述劉大林://Friday,December1,2023編輯ppt提綱引言信息、信息平安與信息平安技術(shù)信息平安的開展歷史?信息平安技術(shù)教程?的定位信息平安技術(shù)概述技術(shù)體系框架技術(shù)體系構(gòu)成平安效勞與平安機(jī)制開展趨勢編輯ppt什么是信息?用通俗的語言來描述，所謂信息，就是有意義的資料，人們可以通過它獲得一些知識信息已日漸成為一種資源、資產(chǎn)現(xiàn)代戰(zhàn)爭中的“信息戰(zhàn)〞信息化社會中：信息就是財富，財富就是信息編輯ppt什么是信息平安?隨著時代的開展，信息平安涉及的內(nèi)容在不斷擴(kuò)展導(dǎo)致不同的人在不同場合下對信息平安的多方面理解孤立的討論信息平安沒有實際意義,需要結(jié)合信息技術(shù)的開展信息平安不是最終目的，只是效勞于信息化的一種手段為信息提供平安保護(hù)InformationSecurityandAssurance編輯ppt什么是信息平安技術(shù)信息平安不是信息產(chǎn)品的簡單堆積，而是環(huán)境、人員、技術(shù)、操作四種要素緊密結(jié)合的系統(tǒng)工程，是不斷演進(jìn)、循環(huán)開展的動態(tài)過程。信息平安技術(shù)是信息平安的一個組成局部。技術(shù)解決信息平安——“見招拆招〞早期——密碼學(xué)，加密了就平安；后來——防火墻決定信息平安，IDS、PKI、VPN……現(xiàn)在——“多功能網(wǎng)關(guān)〞、UTM，能想到的平安技術(shù)全加上，就平安了編輯ppt信息平安的需求真實性(IdentificationandAuthentication)保密性(ConfidentialityandPrivacy)完整性(DataIntegrity)不可否認(rèn)性(NonRepudiation)可用性(Availability)編輯ppt真實性－Identification人的標(biāo)識用戶名，QQ號碼，用戶圖象機(jī)器標(biāo)識IP地址，MAC地址，CPU序列號網(wǎng)絡(luò)標(biāo)識網(wǎng)絡(luò)地址，域名應(yīng)用標(biāo)識進(jìn)程名字，應(yīng)用名，占用端口，標(biāo)準(zhǔn)的應(yīng)答方式編輯ppt真實性－鑒別／認(rèn)證Whatdoyouknow你知道什么密碼，口令，媽媽的生日，機(jī)密問題Whatdoyouhave你有什么鑰匙，IC卡，令牌，身份證Whatyouare你是什么手型，指紋，眼紋，聲紋，說話方式，行走方式編輯ppt網(wǎng)絡(luò)交易中認(rèn)證的要求網(wǎng)絡(luò)不可信，不能明文傳送認(rèn)證信息加密可以解決認(rèn)證者可能不可信，所以要求認(rèn)證者不能假冒被認(rèn)證者〔零知識〕只有非對稱算法才能提供這樣的機(jī)制要針對大規(guī)模的人群進(jìn)行認(rèn)證，每個應(yīng)用系統(tǒng)又不能存放所有人的認(rèn)證信息．專用的認(rèn)證系統(tǒng)，提供認(rèn)證效勞編輯ppt保密性問題通信保密信息隱藏信息加密系統(tǒng)存儲(文件系統(tǒng))／處理保密存取控制自主存取控制強(qiáng)制存取控制〔平安操作系統(tǒng)〕加密和隱藏編輯ppt加密技術(shù)對稱密碼知道加密的人原那么上就知道如何解密，知道解密的人也知道如何加密〔對稱〕一個對稱的密鑰k,雙方都知道非對稱算法知道加密的人不可能知道如何解密，知道解密的人知道如何加密一個加密密鑰e，一個解密密鑰d，由d可以算出e，但由e不能算出d編輯ppt完整性問題校驗編碼，解決硬件出錯攻擊者知道了編碼方法利用帶有密鑰的MAC進(jìn)行校驗第三方攻擊沒有方法，但對方可以抵賴數(shù)字簽名，對方不可抵賴?yán)脭?shù)字簽名，任何一個第三方可以驗證編輯ppt不可否認(rèn)性絕對可信第三方保存?zhèn)浞萁^對可信第三方作MAC或數(shù)字簽名時間戳效勞器通信雙方簽名可信第三方簽發(fā)證書任意第三方可以驗證編輯ppt可用性系統(tǒng)自身的鞏固，魯棒性“年故障時間2小時〞故障仍舊有可能發(fā)生利用冗余加強(qiáng)雙機(jī)備份〔冷備份，熱備份，冗余備份〕仍舊無法抵抗攻擊入侵容忍技術(shù)Byzantine錯誤防御技術(shù)門檻密碼應(yīng)用系統(tǒng)編輯ppt用時間的眼光看歷史通信平安計算機(jī)平安信息平安信息保障信息平安與保障編輯ppt信息平安開展的四個階段年代通信平安開展時期從有人類以來60年代中期計算機(jī)平安開展時期80年代中期信息平安開展時期90年代中期信息平安保障開展時期平安保障能力編輯ppt信息平安開展的四個階段年代通信平安開展時期從有人類以來60年代中期計算機(jī)平安開展時期80年代中期信息平安開展時期90年代中期信息平安保障開展時期平安保障能力這一時期主要關(guān)注“機(jī)密性〞40年代以前“通信平安〔COMSEC〕〞也稱“通信保密〞40年代增加了“電子平安〞50年代歐美國家將“通信平安〞和“電子平安〞合稱為“信號平安〔SIGSEC〕〞密碼學(xué)是解決“通信平安〞的重要技術(shù)編輯ppt信息平安開展的四個階段年代通信平安開展時期從有人類以來60年代中期計算機(jī)平安開展時期80年代中期信息平安開展時期90年代中期信息平安保障開展時期平安保障能力密碼學(xué)是解決“機(jī)密性〞的核心技術(shù)，這一時期密碼學(xué)得到了很好的開展。Shannon于1949年發(fā)表的論文?保密系統(tǒng)的信息理論?為對稱密碼學(xué)建立了理論根底，從此密碼學(xué)從非科學(xué)發(fā)展成為一門科學(xué)。編輯ppt信息平安開展的四個階段年代通信平安開展時期從有人類以來60年代中期計算機(jī)平安開展時期80年代中期信息平安開展時期90年代中期信息平安保障開展時期平安保障能力1965年美國率先提出了計算機(jī)平安〔COMPUSEC〕這一時期主要關(guān)注“機(jī)密性、訪問控制、認(rèn)證〞60年代出現(xiàn)了多用戶系統(tǒng)，從而引入了受控共享的問題。此時計算機(jī)主要用于軍方，1969年的Ware報告初步的提出了計算機(jī)平安及其評估問題。研究方面，出現(xiàn)了Adept50和multics操作系統(tǒng)上的平安研究工作。編輯ppt信息平安開展的四個階段年代通信平安開展時期從有人類以來60年代中期計算機(jī)平安開展時期80年代中期信息平安開展時期90年代中期信息平安保障開展時期平安保障能力這一時期現(xiàn)代密碼學(xué)得到了快速開展，最有影響的兩個大事件是：一件是Diffiee和Hellman于1976年發(fā)表的論文?密碼編碼學(xué)新方向?，該文導(dǎo)致了密碼學(xué)上的一場革命，他們首次證明了在發(fā)送者和接收者之間無密鑰傳輸?shù)谋Ｃ芡ㄐ攀强赡艿?，從而開創(chuàng)了公鑰密碼學(xué)的新紀(jì)元；另一件是美國于1977年制定的數(shù)據(jù)加密標(biāo)準(zhǔn)DES。這兩個事件標(biāo)志著現(xiàn)代密碼學(xué)的誕生。編輯ppt信息平安開展的四個階段年代通信平安開展時期從有人類以來60年代中期計算機(jī)平安開展時期80年代中期信息平安開展時期90年代中期信息平安保障開展時期平安保障能力80年代的一個標(biāo)志性特征就是計算機(jī)平安的標(biāo)準(zhǔn)化工作。美國軍方提出了著名的TCSEC標(biāo)準(zhǔn)，為計算機(jī)平安評估奠定了根底。在這之后又陸續(xù)發(fā)表了TNI、TDI等TCSEC解釋性評估標(biāo)準(zhǔn)。標(biāo)準(zhǔn)化的工作帶動了平安產(chǎn)品的大量出現(xiàn)。80年代的另一個標(biāo)志性特征就是計算機(jī)在商業(yè)環(huán)境中得到了應(yīng)用，所以訪問控制的研究也不可防止的要涉及到商業(yè)平安策略。而Clark-wilson和Chinesewall策略模型是典型的代表。編輯ppt信息平安開展的四個階段年代通信平安開展時期從有人類以來60年代中期計算機(jī)平安開展時期80年代中期信息平安開展時期90年代中期信息平安保障開展時期平安保障能力入侵檢測系統(tǒng)〔IDS〕概念最早出自于Anderson在1972年的一項報告。1980年，Anderson為美國空軍做的題為?計算機(jī)平安威脅監(jiān)控與監(jiān)視?的技術(shù)報告，第一次詳細(xì)地闡述了入侵檢測的概念，并首次為入侵和入侵檢測提出了一個統(tǒng)一的架構(gòu)。80年代初，平安協(xié)議理論如平安多方計算、形式化分析和可證明平安性等相繼問世編輯ppt信息平安開展的四個階段年代通信平安開展時期從有人類以來60年代中期計算機(jī)平安開展時期80年代中期信息平安開展時期90年代中期信息平安保障開展時期平安保障能力這一時期主要關(guān)注“機(jī)密性、完整性、可用性、非否認(rèn)性〞80年代中期，美國和歐洲先后在學(xué)術(shù)界和軍事領(lǐng)域開始使用“信息平安〔INFOSEC〕〞和“信息系統(tǒng)平安〔INFOSYSSEC或ISSEC〕〞。主要內(nèi)容包括：通信平安計算機(jī)平安發(fā)射平安〔EMSEC〕傳輸平安〔TRANSEC〕物理平安〔PHYSICALSEC〕人事平安〔PERSONNELSEC〕編輯ppt信息平安開展的四個階段年代通信平安開展時期從有人類以來60年代中期計算機(jī)平安開展時期80年代中期信息平安開展時期90年代中期信息平安保障開展時期平安保障能力密碼技術(shù)得到了空前的開展，提出了很多新觀點和新方法如ECC、密鑰托管、盲簽名、零知識證明協(xié)議涌現(xiàn)了大量的實用平安協(xié)議，如互聯(lián)網(wǎng)密鑰交換〔IKE〕協(xié)議、分布式認(rèn)證平安效勞〔DASS〕協(xié)議、Kerberos認(rèn)證協(xié)議、X.509協(xié)議、SET協(xié)議、iKP協(xié)議平安協(xié)議的三大理論〔平安多方計算、形式化分析和可證明平安性〕取得了突破性進(jìn)展編輯ppt信息平安開展的四個階段年代通信平安開展時期從有人類以來60年代中期計算機(jī)平安開展時期80年代中期信息平安開展時期90年代中期信息平安保障開展時期平安保障能力這一時期主要關(guān)注“預(yù)警、保護(hù)、檢測、響應(yīng)、恢復(fù)、還擊〞整個過程信息平安保障強(qiáng)調(diào)保護(hù)、檢測、反響和恢復(fù)這四種能力，圍繞人、技術(shù)和管理這三個層面，以支持機(jī)構(gòu)的任務(wù)和職能為目標(biāo)，注重體系建設(shè)，強(qiáng)化組織與協(xié)調(diào)功能。編輯ppt信息平安開展的四個階段年代通信平安開展時期從有人類以來60年代中期計算機(jī)平安開展時期80年代中期信息平安開展時期90年代中期信息平安保障開展時期平安保障能力1995年，在研究信息平安及網(wǎng)絡(luò)戰(zhàn)防御理論過程中，美國國防部提出了“信息平安保障體系〞〔IA〕概念，并給出了“保護(hù)〔Protection〕—監(jiān)測〔detection〕—響應(yīng)〔Response〕〞三環(huán)節(jié)動態(tài)模型，即“PDR〞模型。后來增加了恢復(fù)〔Restore〕,變?yōu)椤癙DRR〞模型。其中“響應(yīng)〞包括平時事件響應(yīng)和應(yīng)急響應(yīng)，而重點在應(yīng)急處理。我國專家在1999年提出了更為完善的“預(yù)警—保護(hù)—監(jiān)測—應(yīng)急—恢復(fù)—還擊〞即“WPDRRC〞模型，使信息平安保障技術(shù)體系立于更堅實的根底上。編輯ppt信息平安開展的四個階段年代通信平安開展時期從有人類以來60年代中期計算機(jī)平安開展時期80年代中期信息平安開展時期90年代中期信息平安保障開展時期平安保障能力信息平安保障體系的建設(shè)是一項長期而艱巨的任務(wù)當(dāng)前，人們從以下幾個方面致力于建立信息平安保障體系組織管理體系：做頂層設(shè)計技術(shù)與產(chǎn)品體系：密碼、平安監(jiān)控、平安審計、內(nèi)容平安、授權(quán)認(rèn)證、檢測、可信計算、病毒防范、網(wǎng)絡(luò)攻擊、平安評估、應(yīng)急處理標(biāo)準(zhǔn)體系法規(guī)體系人才培養(yǎng)、培訓(xùn)與效勞咨詢體系應(yīng)急處理體系編輯ppt用技術(shù)的眼光看歷史保護(hù)保障生存自生成編輯ppt第一代信息平安技術(shù):保護(hù)(Protect)修筑城墻的技術(shù)通信保密：加密技術(shù)平安系統(tǒng)：存取控制技術(shù)特好的城墻：平安操作系統(tǒng)邊界繼續(xù)擴(kuò)大：防火墻技術(shù)秦始皇修筑了世界最長的城墻結(jié)果呢?編輯ppt簡單保護(hù)技術(shù)的失敗修得太小，好多東西沒保住修得太大，內(nèi)部問題一大堆修得再好，敵人就會有更好的手段大氣層保護(hù)，不讓人進(jìn)入太空，還是進(jìn)了水保護(hù)水下動物，人也下去了城墻修了，飛機(jī)可以飛過房子修了，X射線可以穿過編輯ppt是否有完美的保護(hù)系統(tǒng)?是否存在在任何條件下都完全正確的復(fù)雜邏輯設(shè)計〔如CPU〕?幾百萬門的復(fù)雜電路沒有任何漏洞?是否存在沒有錯誤的編碼〔如OS〕?TCB的編碼和設(shè)計可以做到萬無一失?編寫TCB的程序員絕對不會成為叛徒?集成電路的設(shè)計人員和軟件都沒有任何問題?編輯ppt第一道防線被越過(只修墻不行!)內(nèi)部攻擊，身份假冒基于系統(tǒng)漏洞的攻擊存取控制內(nèi)部系統(tǒng)用戶鑒別/認(rèn)證編輯ppt第二代平安技術(shù):信息保障(InformationAssurance)修筑的第二道防線：雷達(dá)檢測系統(tǒng)以檢測(Detection)技術(shù)為主要標(biāo)志結(jié)合保護(hù),檢測,響應(yīng),恢復(fù)(PDRR)檢測是根底,恢復(fù)是后盾編輯ppt檢測系統(tǒng)仍舊有魔高一丈的時候識別全部的入侵是困難的新的入侵方式內(nèi)部職員的犯罪是很難預(yù)防的(高價值系統(tǒng))技術(shù)人員犯罪(程序員,芯片設(shè)計人員)間諜,通過各種方式的滲透編輯ppt隱形飛機(jī)躲過雷達(dá)發(fā)現(xiàn)編輯ppt恢復(fù)技術(shù)不能勝任關(guān)鍵工作恢復(fù)的過程會影響系統(tǒng)的運(yùn)行恢復(fù)不能恢復(fù)全部的效勞數(shù)據(jù)恢復(fù)的系統(tǒng)仍舊是有漏洞的系統(tǒng)，仍舊會在敵人的同樣攻擊下倒下高價值的系統(tǒng)需要不間斷運(yùn)行編輯ppt依靠恢復(fù)不能滿足關(guān)鍵應(yīng)用高射炮系統(tǒng)正在恢復(fù)編輯ppt過去的技術(shù)不能保證平安網(wǎng)絡(luò)不能沒有病毒網(wǎng)絡(luò)上不會沒有黑客網(wǎng)絡(luò)系統(tǒng)肯定存在漏洞/BUG管理員不能全部永遠(yuǎn)地忠誠編輯ppt第三代平安技術(shù):生存(Survivability)在入侵環(huán)境中生存(IntrusionTolerance)在病毒環(huán)境中生存在惡劣環(huán)境中生存生存技術(shù)是真正采用風(fēng)險概念的技術(shù)入侵容忍—生存技術(shù)中的核心編輯ppt生存技術(shù)的兩種實現(xiàn)方式攻擊響應(yīng)的入侵容忍方法不需要重新設(shè)計系統(tǒng)高效的檢測系統(tǒng)，發(fā)現(xiàn)異常資源配置系統(tǒng)，調(diào)整系統(tǒng)資源修補(bǔ)系統(tǒng)，對錯誤進(jìn)行修補(bǔ)攻擊遮蔽的入侵容忍方法重新設(shè)計整個系統(tǒng)冗余、容錯技術(shù)門檻密碼學(xué)技術(shù)“拜占庭〞技術(shù)編輯ppt例子1：生存性網(wǎng)關(guān)編輯ppt例子2：拜占庭將軍問題1982，Lamport(SRI),Pease,Shostak幾個將軍圍困一座城池，大家必須商量一種策略，是進(jìn)攻還是撤退。如果有的進(jìn)攻，有的撤退就有可能打敗仗。條件是，有的將軍叛國，希望愛國的將軍打敗仗〔破壞達(dá)成一致〕。目標(biāo)就是，有什么方法使愛國的將軍在這種環(huán)境下達(dá)成一致？編輯ppt例子3：門檻密碼：入侵容忍的CA系統(tǒng)CA證明你就是你CA擁有巨大的權(quán)力CA將平安引到自己身上來，最需要保護(hù)CA是攻擊的重點，黑客證明他就是你惡意的操作員可以證明他就是你編輯ppt信息平安技術(shù)體系框架開放系統(tǒng)互連平安體系結(jié)構(gòu)與框架將平安技術(shù)和機(jī)制融入到OSI模型中，最初是由開放系統(tǒng)互聯(lián)平安體系結(jié)構(gòu)完成的，它是描述如何設(shè)計標(biāo)準(zhǔn)的標(biāo)準(zhǔn)美國信息保障技術(shù)框架給出了一個保護(hù)信息系統(tǒng)的通用框架，將信息系統(tǒng)的信息保障技術(shù)分成了四個層面編輯pptOSI平安體系OSI平安體系結(jié)構(gòu)認(rèn)為一個平安的信息系統(tǒng)結(jié)構(gòu)應(yīng)該包括：五種平安效勞八類平安技術(shù)和支持上述的平安效勞的普遍平安技術(shù)三種平安管理方法系統(tǒng)平安管理平安效勞管理平安機(jī)制管理編輯pptOSI平安技術(shù)框架OSI平安框架是對OSI平安體系結(jié)構(gòu)的擴(kuò)展，它包括如下7局部的內(nèi)容：平安框架綜述：簡述了各個組成局部和一些重要的術(shù)語和概念，例如封裝、單向函數(shù)、私鑰、公鑰等；認(rèn)證框架：定義了有關(guān)認(rèn)證原理和認(rèn)證體系結(jié)構(gòu)的重要術(shù)語，同時提出了對認(rèn)證交換機(jī)制的分類方法；訪問控制框架：定義了在網(wǎng)絡(luò)環(huán)境下提供訪問控制功能的術(shù)語和體系結(jié)構(gòu)模型；非否認(rèn)框架：描述了開放系統(tǒng)互連中非否認(rèn)的相關(guān)概念；機(jī)密性框架：描述了如何通過訪問控制等方法來保護(hù)敏感數(shù)據(jù)，提出了機(jī)密性機(jī)制的分類方法，并闡述了與其它平安效勞和機(jī)制的相互關(guān)系；完整性框架：描述了開放系統(tǒng)互連中完整性的相關(guān)概念；平安審計框架：該框架的目的在于測試系統(tǒng)控制是否充分，確保系統(tǒng)符合平安策略和操作標(biāo)準(zhǔn)，檢測平安漏洞，并提出相應(yīng)的修改建議。

編輯pptOSI平安表達(dá)結(jié)構(gòu)和框架標(biāo)準(zhǔn)作為“標(biāo)準(zhǔn)的標(biāo)準(zhǔn)〞有兩個實際用途指導(dǎo)可實現(xiàn)的平安標(biāo)準(zhǔn)的設(shè)計提供一個通用的術(shù)語平臺指導(dǎo)作用正在減弱，其重大意義在于為后續(xù)標(biāo)準(zhǔn)提供了通用的、可理解的概念和術(shù)語編輯ppt平安效勞編輯ppt平安機(jī)制編輯ppt平安效勞與平安機(jī)制的關(guān)系編輯ppt平安效勞與網(wǎng)絡(luò)層次的關(guān)系編輯ppt美國信息保障技術(shù)框架InformationAssuranceTechnicalFramework〔簡稱IATF〕給出了一個保護(hù)信息系統(tǒng)的通用框架，將信息系統(tǒng)的信息保障技術(shù)分成了四個層面本地的計算機(jī)環(huán)境區(qū)域邊界〔本地計算機(jī)區(qū)域的外緣〕網(wǎng)絡(luò)和根底設(shè)施支持性根底設(shè)施從系統(tǒng)擴(kuò)展互聯(lián)的角度，將平安技術(shù)分散在端系統(tǒng)邊界系統(tǒng)網(wǎng)絡(luò)系統(tǒng)支撐系統(tǒng)編輯ppt信息平安技術(shù)體系結(jié)構(gòu)OSI提供了一個非常合理的進(jìn)行平安技術(shù)分類的方法，即將平安技術(shù)與OSI的七層結(jié)構(gòu)對應(yīng)信息平安技術(shù)體系保存與OSI完全類似的分層模型，但是更傾向于使用IATF的分層方法與我國的GA/T390-2002?計算機(jī)信息系統(tǒng)平安等級保護(hù)通用技術(shù)要求?在體系劃分上是完全一致編輯ppt信息平安技術(shù)體系結(jié)構(gòu)編輯ppt平安層次企業(yè)級安全總體規(guī)劃安全業(yè)務(wù)調(diào)度安全安全政策法規(guī)功能設(shè)計安全職能劃分安全應(yīng)用級安全文件安全目錄安全數(shù)據(jù)安全郵件安全群件安全事件安全系統(tǒng)級安全操作系統(tǒng)安全用戶管理安全分布系統(tǒng)管理安全故障診斷系統(tǒng)監(jiān)控安全網(wǎng)絡(luò)運(yùn)行監(jiān)測平臺安全網(wǎng)絡(luò)級安全

...信息傳輸安全路由安全廣域網(wǎng)安全節(jié)點安全協(xié)議安全鏈路安全物理安全編輯pptInternet平安技術(shù)平安內(nèi)核技術(shù)平安等級制身份鑒別技術(shù)KerberosWeb平安技術(shù)SSLSHTTPSOCKS協(xié)議網(wǎng)絡(luò)反病毒技術(shù)防火墻技術(shù)動態(tài)IP過濾技術(shù)IP分片過濾技術(shù)IP欺騙保護(hù)地址轉(zhuǎn)換訪問控制保密網(wǎng)關(guān)技術(shù)面向信息與面向客戶綜合平安與保密策略實現(xiàn)編輯ppt平安協(xié)議傳輸層平安協(xié)議(Sockets&TLI)平安套接層SSL(SecureSocketsLayer)1995年12月公布v3,Netscape開發(fā)1996年4月IETF/TLSG傳輸層平安工作組起草TLSP微軟提出SSL升級版本成為PCT(privatecommunicationtechnology)主要問題上層應(yīng)用需要改變使用X.509證書，由于X.500目錄效勞的領(lǐng)悟力極差，導(dǎo)致密鑰分發(fā)和證書暴露許多問題。需要一個全球密鑰分發(fā)機(jī)制(CA〕，以DNS為根底，帶來法律與政治問題編輯ppt平安協(xié)議(Cnt.)應(yīng)用層平安協(xié)議PEM(PrivateEnhancedEmail)MIME對象平安效勞(MOSS)S/MIMEPGPS-HTTPSNMPv1和SNMPv2E-CommerceSET鑒別和密鑰分發(fā)系統(tǒng)(KerberosV5,Kryptoknight等)其它問題(PKI,平安效勞的層次〕編輯pptTCP/IP平安協(xié)議體系架構(gòu)IPv6