计算机系统与网络安全
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
内容
信息安全技术 信息加密、数字签名、数据完整性、身份鉴别、访问 控制、安全数据库、网络安全、病毒、安全审计、业 务填充、路由控制、公证机制等
信息安全管理 信息安全法律与标准
2020/12/8
第1章 概论
引言 信息与信息技术 安全与信息安全 安全体系结构 威胁与攻击 总结
2020/12/8
确保实体的活动可被跟踪 可靠性(Reliability)
特定行为和结果的一致性
2020/12/8
信息安全的含义(80-90年代)
安全需求的多样性
• 保密性 • 一致性 • 可用性 • 可靠性 • 可认证,真实性
• 责任定位,审计性 • 高性能 • 实用性 • 占有权 • ……
2020/12/8
2020/12/8
信息安全主要研究领域(续)
从产品角度来看,信息安全包括:
信息保密产品 用户认证授权产品 安全平台/系统 网络安全检测监控设备
2020/12/8
信息安全主要研究领域(续)
信息保密产品 安全授权认证产品 安全平台/系统 安全检测与监控产品
高
密 码 加 密 产 品
密 钥 管 理 产 品
安全策略包括:
制度 技术 管理 三分技术,七分管理
2020/12/8
如何定义安全策略
Review and Revise Policy
Determine the Policy Scope
Obtain Executive Level Support
Distribute Policy
Conduct Business Impact Analysis
所采用的安全防御措施合法吗? 公司职员愿意接受吗? 法律和风俗将影响技术的可用性
2020/12/8
人员问题
公司的问题
职权与责任 经济利益
人员问题
外部用户与内部用户
哪一类威胁更大?
社交工程(Social engineering)
2020/12/8
安全体系结构
2020/12/8
风险分析 安全策略设计 安全服务与安全机制设计 安全服务与安全机制的关系 安全服务部署
2020/12/8
信息安全的含义(80-90年代)
信息安全的其他方面
信息的不可否认性(Non-repudiation ) 要求无论发送方还是接收方都不能抵赖所进行的传输
鉴别(Authentication) 鉴别就是确认实体是它所声明的。适用于用户、进程、
系统、信息等 审计(Accountability)
安全体系结构
安全体系结构(Security Architecture)
安全体系结构是指对信息和信息系统安全功能的抽象 描述,是从整体上定义信息及信息系统所提供的安全 服务、安全机制以及各种安全组件之间的关系和交互。
用于防御安全攻击的硬件或者软件方法、方案或系统
2020/12/8
安全体系结构(续)
安全体系结构的内容
风险分析 安全策略设计 安全服务与安全机制设计 安全服务部署
2020/12/8
安全体系结构(续)
风险分析 安全策略设计
策略是基础
2020/12/8
安全服务与安全机制设计 安全服务与安全机制的关系
安全服务部署
安全体系结构(续)
风险分析 安全策略设计
安全服务与安全机制设计
依据风险分析的结果制定安全计划
2020/12/8
风险缓解(Risk Mitigation)
风险缓解:
用于减少风险的步骤或方法
残余风险( Residual Risk : RR)
在已经启用安全防御措施后依然存在的风险
残余风险的保护(Safeguards for RR):
完全排除残余风险是非常困难的 最好的方法是将残余风险维持在一个可接受的水平
信息
攻击者
2020/12/8
安全机制
计算机系统
基本概念
计算机系统(Computer System)
是由计算机及其相关配套的设备、设施等构成的,并按 一定的应用目标和规则对信息进行采集、加工、存储、 传输、检索等处理的人机系统
安全(Security)
远离危险的状态或特性
2020/12/8
基本概念(续)
安全的主要属性
完整性 保密性 可用性 不可抵赖性 可靠性
安全的其他属性
可控性 可审查性 认证 访问控制
2020/12/8
基本概念(续)
计算机安全( Computer Security )
是保护数据阻止黑客行为的一组工具的总称
网络安全(Network Security)
保护数据传输的方法或措施的总称
2020/12/8
管理问题
成本效益分析(Cost-Benefit Analysis)
效益 vs.总成本 风险分析(Risk Analysis)
我们要保护什么? 保护这些东西需要多大的代价? 随着环境和时间的变化,代价会改变
2020/12/8
管理问题(续)
法律与风俗(Laws and Customs)
2020/12/8
什么是信息化?
信息革命--《第三次浪潮》
三次伟大的生产力革命 第一是农业革命 第二是工业革命 第三是信息革命 (USA) A. Toffler 指出:计算机网络的建立与普及将彻
底地改变人类的生存及生活模式,而控制与把握网络的 人就是人类未来命运的主宰.谁掌握了信息,控制了网络, 谁就拥有整个世界。
计算机专业人员必须掌握的专业知识
数学基础 操作系统 数据结构 计算机网络 程序设计及语言 软件工程
计算机体系结构 通信网原理 信号与系统 电路设计 控制理论与控制系统设计 ……
2020/12/8
问题
什么是信息安全专业人才?
2020/12/8
信息安全专业与计算机专业人才的区别与联系 首先,信息安全专业人才必须具备计算机专业人
2020/12/8
什么是信息化?(续)
信息化是以通信和计算机为技术基础,以数字化 和网络化为技术特点。它有别于传统的信息获取、 存储、传输、交换、处理、使用,从而也给现代 社会的正常发展带来了前所未有的风险和威胁。
2020/12/8
信息技术
信息技术(IT:Information Technology)的内涵
2020/12/8
信息安全主要研究领域(续)
从信息对抗角度来看,它包括:
安全保障 安全保障体系结构 安全保障技术 ▪ 预警 ▪ 保护 ▪ 检测 ▪ 防御 ▪ 响应 ▪ 恢复 安全保障系统
2020/12/8
信息安全主要研究领域(续)
从信息对抗角度来看,它包括
安全攻击 攻击机理技术 攻击工具 安全审计躲避技术
信息安全的含义(90年代以后)
美国人提出的概念:信息保障(Information Assurance)
保护(Protect) 检测(Detect) 反应(React)
保护 Protect
检测 Detect
恢复(Restore)
反应
恢复
React
Restore
2020/12/8
信息安全的实现
计算机系统与网络安全
Computer System and Network Security
2020/12/8
电子科技大学 计算机科学与工程学院
第1章 概论
引言 信息与信息技术 安全与信息安全 威胁与攻击 总结
2020/12/8
第1章 概论
引言 信息与信息技术 安全与信息安全 威胁与攻击 总结
2020/12/8
2020/12/8
网 络 安 全 隐 患 扫 描 检 测 工 具
网 络 安 全 监 控 及 预 警 设 备
网 络 信网 息情 远分 程析 监系 控统 系 统
引自北京大学网络与信息安全研究所
信息安全主要研究领域(续)
最后,作为信息安全产品不要忘记网络入侵工具 及系统。
2020/12/8
信息安全的“369”原则
信息传递 (通信)
信息认知->信息再生 (计算机)
信息传递 (通信)
信息获取 (感测)
外部世界
信息实效 (控制)
IT=Computer+Communication+Control
2020/12/8
第1章 概论
引言 信息与信息技术 安全与信息安全 威胁与攻击 总结
2020/12/8
攻击与防范
安全需求与策略
2020/12/8
安全服务与安全机制的关系 安全服务部署
安全策略
安全域(Security Zone )
属于一个组织的资源集合
安全策略(Security Policy)
属于安全域的一组规则
2020/12/8
安全策略(续)
含义:什么是允许的,什么是不允许的。 两种方法:
凡是没有被具体规定的,就是允许的 凡是被具体规定的,就是不允许的
2020/12/8
第1章 概论
引言 信息与信息技术 安全与信息安全 威胁与攻击 总结
2020/12/8
信息
信息不同于一般的理解:
信息与消息 信息与信号 信息与数据 信息与情报 信息与知识
2020/12/8
信息(续)
信息的定义:
信息是事物运动的状态和状态的变化方式
信息的特征:
信息与物质 信息与精神 信息与能量
风险管理
风险管理:
是用于分析信息系统的威胁和脆弱性,以及资源或系 统功能失效所带来的影响的过程
如何进行风险管理?
列出威胁及脆弱性 列出可能的控制方法和相应成本 进行成本分析
控制所需要的成本是否大于资源损失所带来的成本 ?
2020/12/8
风险管理(续)
风险分析的结果是采取有效防御措施的主要依据 之一
Internet安全(Internet Security)
保护互联网上数据传输的方法或措施的总称
何为信息安全(Information Security)?
2020/12/8
信息安全的含义(60年代)
通信的保密模型 通信安全-60年代(COMSEC)
发方
敌人
收方
信源编码 信道编码 信道传输 通信协议 密码
2020/12/8
安全体系结构
2020/12/8
风险分析 安全策略设计 安全服务与安全机制设计 安全服务与安全机制的关系 安全服务部署
才的基本素质; 其次,信息安全专业人才还应该具备以下特殊知
识和技能:
通信保密知识 计算机网络安全防护知识和技能 熟知安全各类安全设备和安全系统 熟知国内外信息安全标准、法律、法规和发展动态
2020/12/8
信息安全主要研究领域(续)
从不同的角度看,信息安全研究领域也不尽相同 信息安全是一个新型学科,它本身也处于发展时
2020/12/8
信息安全的含义(80-90年代)
信息安全的三个基本方面
机密性 Confidentiality 保证信息为授权者享用而不泄漏给未经授权者。
完整性 Integrity 数据完整性,未被未授权篡改或者损坏 系统完整性,系统未被非授权操纵,按既定的功能运 行
可用性 Availability 保证信息和信息系统随时为授权者提供服务,而不要 出现非授权者滥用却对授权者拒绝服务的情况。
2020/12/8
信息安全主要研究领域(续)
计算机网络的安全
网络安全
协议 设施
主机安全 操作系统安全 应用安全 数据库安全
2020/12/8
信息安全主要研究领域(续)
从信息安全理论和技术来看,它包括:
密码理论与技术 认证与识别理论与技术 授权与访问控制理论与技术 审计追踪技术 网络隔离与访问代理技术 安全管理与安全工程理论与技术 反病毒技术
Stakeholder Policy review
2020/12/8
Draft
Interview Key Employees
如何定义安全策略(续)
设计方法与过程
资源
威胁
其他因素
安全服务
2020/12/8
ห้องสมุดไป่ตู้
安全目标 安全需求
策略
安全机制 ?
设计安全策略的其他问题
管理问题(Operational Issues) 人员问题(Human Issues)
性 能 加 密 芯 片 产
数 字 签 名 产 品
品
数 字 证 书 管 理 系 统
用 户 安 全 认 证 卡
智 能
IC 卡
鉴 别 与 授 权 服 务 器
安
全
安 全 操 作 系 统
安
全 Web 数安 据全 库平 系台
统
路 由 器 与 虚 拟 专 用 网 络
产
品
网 络 病 毒 检 查 预 防 和 清 除 产 品
期 信息安全应该为视为一个交叉学科
计算机科学 通信科学 数学科学 电子工程
2020/12/8
信息安全主要研究领域(续)
从信息安全学科领域来看,它包括
通信网络的安全 计算机网络的安全
2020/12/8
信息安全主要研究领域(续)
通信网络的安全
数据保密通信 数据编码 数据加密 ▪ 加密/解密算法 ▪ 加密/解密设备 数据压缩 数据安全传输
信息安全技术 信息加密、数字签名、数据完整性、身份鉴别、访问 控制、安全数据库、网络安全、病毒、安全审计、业 务填充、路由控制、公证机制等
信息安全管理 信息安全法律与标准
2020/12/8
第1章 概论
引言 信息与信息技术 安全与信息安全 安全体系结构 威胁与攻击 总结
2020/12/8
确保实体的活动可被跟踪 可靠性(Reliability)
特定行为和结果的一致性
2020/12/8
信息安全的含义(80-90年代)
安全需求的多样性
• 保密性 • 一致性 • 可用性 • 可靠性 • 可认证,真实性
• 责任定位,审计性 • 高性能 • 实用性 • 占有权 • ……
2020/12/8
2020/12/8
信息安全主要研究领域(续)
从产品角度来看,信息安全包括:
信息保密产品 用户认证授权产品 安全平台/系统 网络安全检测监控设备
2020/12/8
信息安全主要研究领域(续)
信息保密产品 安全授权认证产品 安全平台/系统 安全检测与监控产品
高
密 码 加 密 产 品
密 钥 管 理 产 品
安全策略包括:
制度 技术 管理 三分技术,七分管理
2020/12/8
如何定义安全策略
Review and Revise Policy
Determine the Policy Scope
Obtain Executive Level Support
Distribute Policy
Conduct Business Impact Analysis
所采用的安全防御措施合法吗? 公司职员愿意接受吗? 法律和风俗将影响技术的可用性
2020/12/8
人员问题
公司的问题
职权与责任 经济利益
人员问题
外部用户与内部用户
哪一类威胁更大?
社交工程(Social engineering)
2020/12/8
安全体系结构
2020/12/8
风险分析 安全策略设计 安全服务与安全机制设计 安全服务与安全机制的关系 安全服务部署
2020/12/8
信息安全的含义(80-90年代)
信息安全的其他方面
信息的不可否认性(Non-repudiation ) 要求无论发送方还是接收方都不能抵赖所进行的传输
鉴别(Authentication) 鉴别就是确认实体是它所声明的。适用于用户、进程、
系统、信息等 审计(Accountability)
安全体系结构
安全体系结构(Security Architecture)
安全体系结构是指对信息和信息系统安全功能的抽象 描述,是从整体上定义信息及信息系统所提供的安全 服务、安全机制以及各种安全组件之间的关系和交互。
用于防御安全攻击的硬件或者软件方法、方案或系统
2020/12/8
安全体系结构(续)
安全体系结构的内容
风险分析 安全策略设计 安全服务与安全机制设计 安全服务部署
2020/12/8
安全体系结构(续)
风险分析 安全策略设计
策略是基础
2020/12/8
安全服务与安全机制设计 安全服务与安全机制的关系
安全服务部署
安全体系结构(续)
风险分析 安全策略设计
安全服务与安全机制设计
依据风险分析的结果制定安全计划
2020/12/8
风险缓解(Risk Mitigation)
风险缓解:
用于减少风险的步骤或方法
残余风险( Residual Risk : RR)
在已经启用安全防御措施后依然存在的风险
残余风险的保护(Safeguards for RR):
完全排除残余风险是非常困难的 最好的方法是将残余风险维持在一个可接受的水平
信息
攻击者
2020/12/8
安全机制
计算机系统
基本概念
计算机系统(Computer System)
是由计算机及其相关配套的设备、设施等构成的,并按 一定的应用目标和规则对信息进行采集、加工、存储、 传输、检索等处理的人机系统
安全(Security)
远离危险的状态或特性
2020/12/8
基本概念(续)
安全的主要属性
完整性 保密性 可用性 不可抵赖性 可靠性
安全的其他属性
可控性 可审查性 认证 访问控制
2020/12/8
基本概念(续)
计算机安全( Computer Security )
是保护数据阻止黑客行为的一组工具的总称
网络安全(Network Security)
保护数据传输的方法或措施的总称
2020/12/8
管理问题
成本效益分析(Cost-Benefit Analysis)
效益 vs.总成本 风险分析(Risk Analysis)
我们要保护什么? 保护这些东西需要多大的代价? 随着环境和时间的变化,代价会改变
2020/12/8
管理问题(续)
法律与风俗(Laws and Customs)
2020/12/8
什么是信息化?
信息革命--《第三次浪潮》
三次伟大的生产力革命 第一是农业革命 第二是工业革命 第三是信息革命 (USA) A. Toffler 指出:计算机网络的建立与普及将彻
底地改变人类的生存及生活模式,而控制与把握网络的 人就是人类未来命运的主宰.谁掌握了信息,控制了网络, 谁就拥有整个世界。
计算机专业人员必须掌握的专业知识
数学基础 操作系统 数据结构 计算机网络 程序设计及语言 软件工程
计算机体系结构 通信网原理 信号与系统 电路设计 控制理论与控制系统设计 ……
2020/12/8
问题
什么是信息安全专业人才?
2020/12/8
信息安全专业与计算机专业人才的区别与联系 首先,信息安全专业人才必须具备计算机专业人
2020/12/8
什么是信息化?(续)
信息化是以通信和计算机为技术基础,以数字化 和网络化为技术特点。它有别于传统的信息获取、 存储、传输、交换、处理、使用,从而也给现代 社会的正常发展带来了前所未有的风险和威胁。
2020/12/8
信息技术
信息技术(IT:Information Technology)的内涵
2020/12/8
信息安全主要研究领域(续)
从信息对抗角度来看,它包括:
安全保障 安全保障体系结构 安全保障技术 ▪ 预警 ▪ 保护 ▪ 检测 ▪ 防御 ▪ 响应 ▪ 恢复 安全保障系统
2020/12/8
信息安全主要研究领域(续)
从信息对抗角度来看,它包括
安全攻击 攻击机理技术 攻击工具 安全审计躲避技术
信息安全的含义(90年代以后)
美国人提出的概念:信息保障(Information Assurance)
保护(Protect) 检测(Detect) 反应(React)
保护 Protect
检测 Detect
恢复(Restore)
反应
恢复
React
Restore
2020/12/8
信息安全的实现
计算机系统与网络安全
Computer System and Network Security
2020/12/8
电子科技大学 计算机科学与工程学院
第1章 概论
引言 信息与信息技术 安全与信息安全 威胁与攻击 总结
2020/12/8
第1章 概论
引言 信息与信息技术 安全与信息安全 威胁与攻击 总结
2020/12/8
2020/12/8
网 络 安 全 隐 患 扫 描 检 测 工 具
网 络 安 全 监 控 及 预 警 设 备
网 络 信网 息情 远分 程析 监系 控统 系 统
引自北京大学网络与信息安全研究所
信息安全主要研究领域(续)
最后,作为信息安全产品不要忘记网络入侵工具 及系统。
2020/12/8
信息安全的“369”原则
信息传递 (通信)
信息认知->信息再生 (计算机)
信息传递 (通信)
信息获取 (感测)
外部世界
信息实效 (控制)
IT=Computer+Communication+Control
2020/12/8
第1章 概论
引言 信息与信息技术 安全与信息安全 威胁与攻击 总结
2020/12/8
攻击与防范
安全需求与策略
2020/12/8
安全服务与安全机制的关系 安全服务部署
安全策略
安全域(Security Zone )
属于一个组织的资源集合
安全策略(Security Policy)
属于安全域的一组规则
2020/12/8
安全策略(续)
含义:什么是允许的,什么是不允许的。 两种方法:
凡是没有被具体规定的,就是允许的 凡是被具体规定的,就是不允许的
2020/12/8
第1章 概论
引言 信息与信息技术 安全与信息安全 威胁与攻击 总结
2020/12/8
信息
信息不同于一般的理解:
信息与消息 信息与信号 信息与数据 信息与情报 信息与知识
2020/12/8
信息(续)
信息的定义:
信息是事物运动的状态和状态的变化方式
信息的特征:
信息与物质 信息与精神 信息与能量
风险管理
风险管理:
是用于分析信息系统的威胁和脆弱性,以及资源或系 统功能失效所带来的影响的过程
如何进行风险管理?
列出威胁及脆弱性 列出可能的控制方法和相应成本 进行成本分析
控制所需要的成本是否大于资源损失所带来的成本 ?
2020/12/8
风险管理(续)
风险分析的结果是采取有效防御措施的主要依据 之一
Internet安全(Internet Security)
保护互联网上数据传输的方法或措施的总称
何为信息安全(Information Security)?
2020/12/8
信息安全的含义(60年代)
通信的保密模型 通信安全-60年代(COMSEC)
发方
敌人
收方
信源编码 信道编码 信道传输 通信协议 密码
2020/12/8
安全体系结构
2020/12/8
风险分析 安全策略设计 安全服务与安全机制设计 安全服务与安全机制的关系 安全服务部署
才的基本素质; 其次,信息安全专业人才还应该具备以下特殊知
识和技能:
通信保密知识 计算机网络安全防护知识和技能 熟知安全各类安全设备和安全系统 熟知国内外信息安全标准、法律、法规和发展动态
2020/12/8
信息安全主要研究领域(续)
从不同的角度看,信息安全研究领域也不尽相同 信息安全是一个新型学科,它本身也处于发展时
2020/12/8
信息安全的含义(80-90年代)
信息安全的三个基本方面
机密性 Confidentiality 保证信息为授权者享用而不泄漏给未经授权者。
完整性 Integrity 数据完整性,未被未授权篡改或者损坏 系统完整性,系统未被非授权操纵,按既定的功能运 行
可用性 Availability 保证信息和信息系统随时为授权者提供服务,而不要 出现非授权者滥用却对授权者拒绝服务的情况。
2020/12/8
信息安全主要研究领域(续)
计算机网络的安全
网络安全
协议 设施
主机安全 操作系统安全 应用安全 数据库安全
2020/12/8
信息安全主要研究领域(续)
从信息安全理论和技术来看,它包括:
密码理论与技术 认证与识别理论与技术 授权与访问控制理论与技术 审计追踪技术 网络隔离与访问代理技术 安全管理与安全工程理论与技术 反病毒技术
Stakeholder Policy review
2020/12/8
Draft
Interview Key Employees
如何定义安全策略(续)
设计方法与过程
资源
威胁
其他因素
安全服务
2020/12/8
ห้องสมุดไป่ตู้
安全目标 安全需求
策略
安全机制 ?
设计安全策略的其他问题
管理问题(Operational Issues) 人员问题(Human Issues)
性 能 加 密 芯 片 产
数 字 签 名 产 品
品
数 字 证 书 管 理 系 统
用 户 安 全 认 证 卡
智 能
IC 卡
鉴 别 与 授 权 服 务 器
安
全
安 全 操 作 系 统
安
全 Web 数安 据全 库平 系台
统
路 由 器 与 虚 拟 专 用 网 络
产
品
网 络 病 毒 检 查 预 防 和 清 除 产 品
期 信息安全应该为视为一个交叉学科
计算机科学 通信科学 数学科学 电子工程
2020/12/8
信息安全主要研究领域(续)
从信息安全学科领域来看,它包括
通信网络的安全 计算机网络的安全
2020/12/8
信息安全主要研究领域(续)
通信网络的安全
数据保密通信 数据编码 数据加密 ▪ 加密/解密算法 ▪ 加密/解密设备 数据压缩 数据安全传输