网络与信息安全概论-信息安全体系结构篇要点共50页文档
第1讲 概论-(2)OSI安全体系结构
An assault on system security that derives from an intelligent threat. That is, an intelligent act that is a deliberate attempt (especially in the sense of a method or technique) to evade security services and violate the security policy of a system.
网络备份系 统
网络反病毒
内外网隔离 及访问控制
系统
加强网 络安全 的措施
网络安全检 测
审计与监控
内部网不同 网络安全域 的隔离及访
问控制
网络与信息安全
13
网络与信息安全
14
网络与信息安全
4
NIS的另一种层次结构
安全服务
安全控制
物理安全
网络与信息安全
5
物理安全
• 指在物理介质层次上对存储和传输的网络信息的 安全保护。物理安全是网络信息安全的最基本保 障。
• 该层次上常见的不安全因素包括三大类:
(1) 自然灾害
(2) 电磁辐射
(3) 操作失误
网络与信息安全
6
安全控制
指在网络信息系统中对存储和传输信息的操作和进程进行控制和管理, 重点是在网络信息处理层次上对信息进行初步的安全保护。
安全控制可以分为以下三个层次:
(1) 操作系统的安全控制。包括对用户的合法身份进行核实(比如,开机时要求键入 口令)和对文件的读/写存取的控制( 比如,文件属性控制机制)等。
2
网络与信息安全概论信息安全体系结构篇PPT课件
2. 动机
• 获取机密或敏感数据的访问权(注意:那些对 某些人或组织有很高价值的信息对别人可能毫 无用处);
• 跟踪或监视目标系统的运行; • 扰乱目标的运行; • 窃取钱物或服务; • 免费使用资源(如计算机资源或免费使用网
的位置 • 确认的含义是希望收到下一个字节的编号
2.2 一些基本概念
• 脆弱性 • 信息安全威胁 • 攻击 • 信息安全风险 • 信息安全措施 • 信息安全机制
2.2.1 脆弱性
• 脆弱性是信息系统及其资源带有的,可能被威胁源 用来对信息系统及其资源实施具有损害行为的缺陷 或漏洞。
• 脆弱性可表现在
– 硬件设施的脆弱性 – 软件的脆弱性 – 网络通信协议的脆弱性 – 管理的脆弱性
2.2.2 信息安全威胁
• 所谓威胁就是指可能导致对系统或组织损害 的不期望事件发生的潜在原因。
1. 威胁的分类
• 人们可能认为对手具有恶意攻击目的,然而, 在系统安全和保护系统和信息的环境中,认识 到由那些非恶意目的发起的攻击是非常重要的。
我们不可能削弱一个对手的能力,但却可能减少对 手的(攻击)机会。
2.2.3 攻击
• IATF定义了5类攻击
– 被动攻击 – 主动攻击 – 物理临近攻击 – 内部人员攻击 – 分发攻击
(1)被动攻击
• 被动攻击包括流量分析、 监视未受保护的通信、解 密弱加密的数据流、获得 认证信息(如密码)。被 动拦截网络操作可以获得 对手即将发动的行为的征 兆和警报。
主机号
C类 1 1 0
网络号
主机号
D类 1 1 1 0
多播地址
E类 1 1 1 1
信息安全体系结构概述(PPT 48张)
定义了5种安全目标,10多种安全机制。
5种安全目标是: 机密性、完整性 身份识别、访问控制、防抵赖
应用平台安全体系
目前,通过国际标准化组织的努力,提出若干体系结构方面的 标准。比较有影响的是国际标准化组织( ISO )的开放系统互连 ( OSI )安全体系结构( ISO 7498-2 )、高层安全模型( ISO/IEC 10745);互联网工程任务组(IETF)的安全体系结构 IPSec、传输 层安全TLS等。
使信息系统组件具有抗击外界电磁辐射或噪声干扰能力而保持正常运行。
物理安全除了包括机械防护、电磁防护安全机制外,还包括限制非法 接入,抗摧毁,报警,恢复,应急响应等多种安全机制。
计算机系统平台安全体系
硬件上主要通过下述机制,提供一个可信的硬件环境,实现其安全目标。
1. 存储器安全机制 2. 运行安全机制
安全机制
信息安全中安全策略要通过安全机制来实现。安全机制可以分为保护机 制、检测机制和恢复机制三个类别。下面我们对常用的安全机制的概念进 行说明。
加密
加密技术能为数据或通信信息流提供机密性。同时对其他安全机制的 实现起主导作用或辅助作用。
(1)传统密码:DES、AES
(2)公然破坏。
在无连接模式的数据传输中(如UDP),与时间戳机制的结合可以起到防重放 的作用。
身份识别
身份识别在OSI中称为鉴别交换 各种系统通常为用户设定一个用户名或标识符的索引值。身份识别就是后续交 互中当前用户对其标识符一致性的一个证明过程,通常是用交互式协议实现的。 常用的身份识别技术有: (1) 口令(password) 验证方提示证明方输入口令,证明方输入后由验证方进行真伪识别。 (2) 密码身份识别协议 使用密码技术,可以构造出多种身份识别协议。如挑战—应答协议、 零知识证明、数字签名识别协议等。 (3)使用证明者的特征或拥有物的身份识别协议 如指纹、面容、虹膜等生物特征,身份证、IC卡等拥有物的识别协议。 当然这些特征或拥有物至少应当以很大的概率是独一无二的。
计算机网络与信息安全 网络体系结构
二、计算机网络体系结构
研究背景
3.层数应适中。若层数太少,则层间功能划分不明确,多种功能混杂在一 层中,从而造成每一层的协议太复杂。若层数太多,则体系结构过于复杂,各 层组装时会困难得多。
网络体系结构(Network Architecture)是计算机之间相互通信的层次,以 及各层中的协议和层次之间接口的集合。网络体系结构是指通信系统的整体设 计,它为网络硬件、软件、协议、存取控制和拓扑提供标准。现在广泛采用的 是国际标准化组织(ISO)提出的开放系统互联OSI的参考模型,每个分层遵守 以下几个主要原则:
4.标准化。每一层功能的划分和选择应着眼于使该层协议标准化。标准化 应包括现在的国际标准和未来的国际标准。
第2章 计算机网络体系结构
2.1 网络体系结构
一、网络协议
网络协议是计算机网络中不研可缺究少背的组景成部分。计算机网络是一个涉及计
算机技术、通信技术等多个领域的复杂系统。在网络中包含多种计算机系统, 它们的硬件和软件系统各异,要使其能协同工作以实现信息交换和资源共享,它 们之间必须具有共同的语言。为计算机网络中相互通信的对等实体之间的数据 交换而建立的规则、标准或约定的集合称为网络协议(Protocol)。
网络协议主要由下列三个要素组成: 1.语义:确定协议元素的类型,如规定通信双方要发出的控制信息、执行 的动作、返回的应答等。 2.语法:主要是确定用户数据与控制信息的结构和格式,它涉及数据及控 制信息的格式、编码、信号电平等。 3.时序:是事件实现顺序的详细说明,它涉及速度匹配、排序等。
二、计算机网络体系结构
第2章 计算机网络体系结构
信息安全概论第一章概述(与“信息安全”有关的文档共62张)
第六页,共62页。
ISP:Internet Service Provider
169,163就是中国电信 旗下的ISP
7
第七页,共62页。
信息安全概况
计算机和网络的发展
信息安全现状
信息安全面临问题 信息安全管理保障体系
8
第八页,共62页。
信息化建设带来的问题
F信息化建设成为国家重要基础设施
目前,所谓“三网融合”,就是指电信网、广播电视网和计算 机通信网的相互渗透、互相兼容、并逐步整合成为全世界统一 的信息通信网络。“三网融合”是为了实现网络资源的共享, 避免低水平的重复建设,形成适应性广、容易维护、费用低的 高速宽带的多媒体基础平台。“三网融合”后,民众可用电视 遥控器打电话,在手机上看电视剧,随需选择网络和终端,只 要拉一条线、或无线接入即完成通信、电视、上网等。 还有物联网的构建,物联网的概念是在1999年提出的。物联 网就是“物物相连的互联网”。物联网的核心和基础仍然是 互联网,是在互联网基础上的延伸和扩展的网络;
也许是有了在美国的教训,马靖易变得极为狡 猾和谨慎,他不通过正规途径招聘销售人员,而是 直接拉人入伙;所有与国外的交易都通过电子邮件 商谈;在国内,马靖易团伙基本不接触盗版软件, 只是在确认资金到账后,通知美国的手下通过快递 公司送货。
16
第十六页,共62页。
警方调查发现,从2003年7月起,马靖易在上海设立了多个窝点,
(7)逻辑炸弹型:输入犯罪指令或一段隐蔽的逻辑程序, 在系统运行过程中,该指令或程序能够按照犯罪行为人 的意图在指定的时间或条件下触发运行,从而抹除数据 文件或破坏系统的功能,进行计算机诈骗或破坏等犯罪 活动。然后在预定时间或事件发生时,指令该“炸弹” 自行销毁。这种方法被广泛应用于毁灭罪证、实施破坏。
信息安全的体系结构共118页
56、书不仅是生活,而且是现在、过 去和未 来文化 生活的 源泉。 ——库 法耶夫 57、生命不可能有两次,但许多人连一 次也不 善于度 过。— —吕凯 特 58、问渠哪得清如许,为有源头活水来 。—— 朱熹 59、我的努力求学没有得到别的好处, 只不过 是愈来 愈发觉 自己的 无知。 ——笛 卡儿
信息安全的体系结构
1、战鼓一响,法律无声。——英国 2、任何法律的根本;不,不成文法本 身就是 讲道理 ……法 律,也 ----即 明示道 理。— —爱·科 克
3、法律是最保险的头盔。——爱·科 克 4、一个国家如果纲纪不正,其国风一 定颓败 。—— 塞内加 5、法律不能使人人平等,但是在法律 面前人 人是平 等的。 ——敢地 走到底 ,决不 回头。 ——左
信息安全体系结构.doc
第1章概述1.1 基本概念1.1.1 体系结构:是系统整体体系结构的描述的一部分,应该包括一组相互依赖、协作的安全功能相关元素的最高层描述与配置,这些元素共同实施系统的安全策略。
1.1.2 信息安全体系结构1.1.3 信息安全保障:是人类利用技术和经验来实现信息安全的一个过程。
1.2 三要素1.2.1 人:包括信息安全保障目标的实现过程中的所有有关人员。
1.2.2 技术:用于提供信息安全服务和实现安全保障目标的技术。
1.2.3 管理:对实现信息安全保障目标有责任的有管人员具有的管理职能。
1.2.4 三者的相互关系:在实现信息安全保障目标的过程中,三个要素相辅相成,缺一不可。
1.2.5 作为一个信息安全工作者,应该遵循哪些道德规范?1、不可使用计算机去做伤害他人的事2、不要干扰他人使用计算机的工作3、不要窥视他人的计算机文件4、不要使用计算机进行偷窃。
5、不要使用计算机来承担为证6、不要使用没有付款的专用软件。
第2章信息安全体系结构规划与设计2.1 网络与信息系统总体结构初步分析2.2 信息安全需求分析2.2.1 物理安全:从外界环境、基础设施、运行硬件、介质等方面为信息系统安全运行提供基本的底层支持和保障。
安全需求主要包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷电、防火、防静电。
2.2.2 系统安全:提供安全的操作系统和安全的数据库管理系统,以实现操作系统和数据库管理系统的安全运行。
安全需求包括:操作系统、数据库系统、服务器安全需求、基于主机的入侵检测、基于主机的漏洞扫描、基于主机的恶意代码的检测与防范、基于主机的文件完整性检验、容灾、备份与恢复。
2.2.3 网络安全:为信息系统能够在安全的网络环境中运行提供支持。
安全需求包括:信息传输安全需求(VPN、无线局域网、微博与卫星通信)、网络边界防护安全需求、网络上的检测与响应安全需求。
2.2.4 数据安全:目的:实现数据的机密性、完整性、可控性、不可否认性,并进行数据备份和恢复。
网络与信息安全概论-信息安全体系结构篇要点
• 保证保密性的方法
– 物理保密:采用各种物理方法,如限制、隔离、控制等措施保 护信息不被泄露; – 信息加密:采用密码技术加密信息,没有密钥的用户无法解密 密文信息; – 信息隐藏:将信息嵌入其它客体中,隐藏信息的存在; – 电磁屏蔽:防止信息以电磁的方式(电磁辐射、电磁泄漏)发 送出去。
保密性不但包括信息内容的保密,而且包括信息状 态的保密。
通信安全阶段
1949年Shannon发表的《保密系统的通信理论》 主要安全威胁:搭线窃听和密码学分析 主要防护措施:数据加密
1940S
1970S
1990S
时代
(1)通信保密阶段
• 开始于20世纪40年代,标志是1949年Shannon发表的 《保密系统的通信理论》,该理论将密码学的研究纳 入了科学的轨道。 • 所面临的主要安全威胁:搭线窃听和密码学分析。主 要的防护措施:数据加密。 • 人们主要关心通信安全,主要关心对象是军方和政府。 需要解决的问题:在远程通信中拒绝非授权用户的信 息访问以及确保通信的真实性,包括加密、传输保密、 发射保密以及通信设备的物理安全。 • 技术重点:通过密码技术解决通信保密问题,保证数 据的保密性和完整性。
第1章 信息安全概述
• 什么是信息安全? • 信息安全体系结构 • 我国的信息安全对策
• 本章小结
1.1 什么是信息安全?
随着世界科学技术的迅猛发展和信息技术的广泛应用,特 别是我国国民经济和社会信息化进程的全面加快,网络 与信息系统的基础性、全局性作用日益增强,信息安全 已经成为国家安全的重要组成部分。
(2)完整性
• 完整性(integrity)
– 数据没有遭受以非授权方式所作的篡改或破坏。 – 影响信息完整性的主要因素有:设备故障,传输、处理和存 储过程中产生的误码,人为攻击和计算机病毒等。
网络与信息安全概论
第一章网络安全概述ζ安全的基本含义:客观上不受威胁,主观上不存在恐惧.`网络信息安全概念:通俗的说,网络信息安全主要是指保护网络信息系统,使其没有危险、不受威胁、不出事故。
从技术角度来说,网络信息安全的技术特征主要表现在系统的保密性、完整性、真实性、可靠性、可用性、不可抵赖性、可控性等方面。
网络信息安全的核心及其本质:网络信息安全的核心是通过计算机、网络、密码技术和安全技术,保护在公用网络信息系统中传输、交换和存储消息的保密性、完整性、真实性、可靠性、可用性、不可抵赖性、可控性等。
ζ(开放系统互连)OSI安全体系结构:它定义了5类安全服务、8种特定的安全机制、5种普遍性安全机制。
5类安全服务:鉴别,访问控制,数据机密性,数据完整性,抗否性(不可抵赖性);8种安全机制:加密、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、通信业务填充机制、路由选择控制机制、公证机制。
ζ网络信息安全面临的主要威胁:1.人为或自然威胁 2.安全缺陷 3.软件漏洞 4.病毒和黑客入侵ζ网络安全模型:P²DR安全模型:(1)策略.(2)保护.(3)检测.(4)响应PDRR安全模型:(1)保护 .(2)检测. (3)反应.(4)恢复第二章密码学♂被隐蔽的消息称作明文,通常以m表示;密码可将明文变换成另一种隐蔽形式,称为密文,通常以c表示。
♂这种由明文到密文的变换称为加密。
由合法接收者从密文恢复出明文的过程称为解密(或脱密)。
♂非法接收者试图从密文分析出明文的过程称为破译。
对明文进行加密时采用的一组规则称为加密算法,通常以E表示。
♂对密文解密时采用的一组规则称为解密算法,通常以D表示。
加密算法和解密算法是在一组仅有合法用户知道的秘密信息的控制下进行的,该秘密信息称为密钥,加密和解密过程使用的密钥分别称为加密密钥和解密密钥。
♂如果以密钥为标准,可将密码系统分为单钥密码(又称为对称密码或私钥密码)和双钥密码(又称为非对称密码或公钥密码)。
信息安全体系结构
– 为系统提供经济、有效的安全服务,保障系统安全运 行
信息安全体系结构
信息安全体系建立的流程
系统资源
评估
安全风险
再进行 导出
对抗
安全体系
指导
信息安全体系结构
安全7
6
5 4
3 2 1
鉴别服务 访问控制 数据完整性 数据保密性 抗抵赖
➢ 这种访问控制要与不同的安全策略协调一致。
信息安全体系结构
OSI安全体系
数据机密性
– 针对信息泄露、窃听等被动威胁的防御措施。可 细分为如下 3种。 (1)信息保密
• 信息保密指的是保护通信系统中的信息或网络数据库 数据。
• 而对于通信系统中的信息,又分为面向连接保密和无 连接保密:连接机密性这种服务为一连接上的全部用 户数据保证其机密性。无连接机密服务为单个无连接 的SDU中的全部用户数据保证其机密性
信息安全体系结构
OSI安全体系
访问控制
➢ 针对越权使用资源和非法访问的防御措施。 ➢ 访问控制大体可分为自主访问控制和强制访问控制两
类:其实现机制可以是基于访问控制属性的访问控制 表(或访问控制路),或基于“安全标签”、用户分类 和资源分档的多级访问控制等。 ➢ 访问控制安全服务主要位于应用层、传输层和网络层。 它可以放在通信源、通信目标或两者之间的某一部分。
OSI安全体系
数据完整性
– 针对非法地篡改和破坏信息、文件和业务流而设 置的防范措施,以保证资源的可获得性。这组安 全服务又细分为如下3种:
(1)基于连接的数据完整性
• 这种服务为连接上的所有用户数据提供完整性,可 以检测整个SDU序列中的数据遭到的任何篡改、插人、 删除或重放。同时根据是否提供恢复成完整数据的 功能,区分为有恢复的完整性服务和无恢复的完整 性服务。