1、信息安全技術(shù)導(dǎo)論本課所需前序課程 本書是計算機(jī)、通信及信息管理等專業(yè)高年級本科生和研究生教材，需要學(xué)習(xí)的前序課程是高等數(shù)學(xué)、近世代數(shù)、計算機(jī)網(wǎng)絡(luò)和操作系統(tǒng)。這些課程與本課的關(guān)系如下圖所示。教學(xué)參考書 張煥國等譯密碼編碼學(xué)與網(wǎng)絡(luò)安全：原理與實(shí)踐（第三版）,電子工業(yè)出版社，2001，4馮登國，網(wǎng)絡(luò)安全原理與技術(shù)，科學(xué)出版社，2003，9王立斌、黃征等譯,計算機(jī)安全學(xué)安全的藝術(shù)與科學(xué),電子工業(yè)出版社，2006，1第一章 網(wǎng)絡(luò)安全緒論 1信息安全現(xiàn)狀安全威脅安全策略安全技術(shù)安全標(biāo)準(zhǔn)網(wǎng)絡(luò)信息安全發(fā)展趨勢展望計算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展歷程用戶規(guī)模主要應(yīng)用成熟期大型機(jī)小科學(xué)計算1960年代10年小型機(jī)/WAN1

2、970年代小7年部門內(nèi)部PC / LAN1980年代中5年企業(yè)之間Client / Server1990年代大4年商家之間IntranetInternet2000年代商家與消費(fèi)者之間服務(wù)為本 全球無所不在3年ExtranetInternetInternet 用戶數(shù)百萬Internet商業(yè)應(yīng)用快速增長億美元網(wǎng)絡(luò)安全問題日益突出混合型威脅 (Red Code, Nimda)拒絕服務(wù)攻擊(Yahoo!, eBay)發(fā)送大量郵件的病毒(Love Letter/Melissa)多變形病毒(Tequila)特洛伊木馬病毒網(wǎng)絡(luò)入侵70,00060,00050,00040,00030,00020,00010,

3、000已知威脅的數(shù)量典型應(yīng)用環(huán)境的完全威脅與安全需求應(yīng)用環(huán)境安全威脅安全需求所有網(wǎng)絡(luò)假冒攻擊阻止外部入侵銀行完整性破壞假冒攻擊，服務(wù)否認(rèn)竊聽攻擊避免欺詐或交易的意外修改識別零售的交易顧客保護(hù)個人識別號確保顧客秘密電子交易假冒攻擊，完整性破壞竊聽攻擊服務(wù)否認(rèn)確保交易的起源和完整性保護(hù)共同秘密為交易提供合法的電子簽名政府假冒攻擊，侵權(quán)攻擊，竊聽，完整性破壞服務(wù)否認(rèn)避免敏感信息未授權(quán)泄漏或修改政府文件提供電子簽名公共電信載體假冒攻擊，授權(quán)侵犯拒絕服務(wù)竊聽攻擊對授權(quán)的個人限制訪問管理功能避免服務(wù)中斷保護(hù)用戶秘密互聯(lián)/專用網(wǎng)絡(luò)竊聽攻擊假冒攻擊，完整性破壞保護(hù)團(tuán)體/個人的秘密確保消息的真實(shí)性第一章 網(wǎng)絡(luò)安

4、全緒論 2信息安全現(xiàn)狀安全威脅安全策略安全技術(shù)安全標(biāo)準(zhǔn)網(wǎng)絡(luò)信息安全發(fā)展趨勢展望常見的安全威脅網(wǎng)絡(luò)內(nèi)部、外部洩密拒絕服務(wù)攻擊特洛伊木馬黑客攻擊病毒，蠕蟲系統(tǒng)漏洞潛信道第一章 網(wǎng)絡(luò)安全緒論 3信息安全現(xiàn)狀安全威脅安全策略安全技術(shù)安全標(biāo)準(zhǔn)網(wǎng)絡(luò)信息安全發(fā)展趨勢展望安全策略安全策略是針對網(wǎng)絡(luò)和信息系統(tǒng)的安全需要，所做出允許什么、禁止什么的規(guī)定，通?？梢允褂脭?shù)學(xué)方式來表達(dá)策略，將其表示為允許（安全）或不允許（不安全）的狀態(tài)列表。安全策略分類物理安全策略 訪問控制策略 信息加密策略 安全管理策略 第一章 網(wǎng)絡(luò)安全緒論 4信息安全現(xiàn)狀安全威脅安全策略安全技術(shù)安全標(biāo)準(zhǔn)網(wǎng)絡(luò)信息安全發(fā)展趨勢展望訪問控制技術(shù)包括入網(wǎng)

5、訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級安全控制和屬性安全控制等多種手段。訪問控制技術(shù)防火墻技術(shù)網(wǎng)絡(luò)入侵檢測技術(shù)漏洞掃描技術(shù) 安全審計技術(shù) 現(xiàn)代密碼技術(shù)安全協(xié)議 公鑰基礎(chǔ)設(shè)施（PKI） 其他安全技術(shù) ，如容災(zāi)、備份第一章 網(wǎng)絡(luò)安全緒論 5信息安全現(xiàn)狀安全威脅安全策略安全技術(shù)安全標(biāo)準(zhǔn)網(wǎng)絡(luò)信息安全發(fā)展趨勢展望國際標(biāo)準(zhǔn)組織國際標(biāo)準(zhǔn)化組織（ISOInternational Organization Standardization）國際電報和電話咨詢委員會(CCITT) 國際信息處理聯(lián)合會第十一技術(shù)委員會（IFIP TC11） 電氣與電子工程師學(xué)會（IEEE） Internet體系結(jié)構(gòu)委員會（IAB） 美國國家標(biāo)

6、準(zhǔn)局(NBS)與美國商業(yè)部國家技術(shù)標(biāo)準(zhǔn)研究所(NIST)美國國家標(biāo)準(zhǔn)協(xié)會(ANSI) 美國國防部(DoD)及國家計算機(jī)安全中心(NCSC)國際可信任計算機(jī)評估標(biāo)準(zhǔn)20世紀(jì)70年代，美國國防部制定“可信計算機(jī)系統(tǒng)安全評價準(zhǔn)則”（TCSEC)，為安全信息系統(tǒng)體系結(jié)構(gòu)最早準(zhǔn)則（只考慮保密性）；20世紀(jì)90年代，英、法、德、荷提出包括保密性、完整性、可用性概念的“信息技術(shù)安全評價準(zhǔn)則”（ITSEC)，但未給出綜合解決以上問題的理論模型和方案；近年，六國（美、加、英、法、德、荷）共同提出“信息技術(shù)安全評價通用準(zhǔn)則”（CC for ITSEC)。TCSEC安全級別類別級別名稱主要特征DD低級保護(hù)沒有安全保

7、護(hù)CC1自主安全保護(hù)自主存儲控制C2受控存儲控制單獨(dú)的可查性，安全標(biāo)識BB1標(biāo)識的安全保護(hù)強(qiáng)制存取控制，安全標(biāo)識B2結(jié)構(gòu)化保護(hù)面向安全的體系結(jié)構(gòu)，較好的抗?jié)B透能力B3安全區(qū)域存取控制，高抗?jié)B透能力AA驗(yàn)證設(shè)計形式化的最高級描述和驗(yàn)證我國可信任計算機(jī)評估標(biāo)準(zhǔn)第一級 用戶自主保護(hù)級：使用戶具備自主安全保護(hù)的能力，保護(hù)用戶信息免受非法的讀寫破壞；第二級 系統(tǒng)審計保護(hù)級：除前一個級別的安全功能外，要求創(chuàng)建維護(hù)訪問的審計跟蹤記錄，使所有用戶對自己的行為合法性負(fù)責(zé)；第三級 安全標(biāo)記保護(hù)級：除前一個級別的安全功能外，要求以訪問對象標(biāo)記的安全級別限制訪問者的訪問權(quán)限，實(shí)現(xiàn)對訪問對象強(qiáng)制保護(hù)；第四級 結(jié)構(gòu)化保護(hù)

8、級：除前一個級別的安全功能外，將安全保護(hù)機(jī)制劃分為關(guān)鍵部分和非關(guān)鍵部分，對關(guān)鍵部分直接控制訪問者對訪問對象的存取，從而加強(qiáng)系統(tǒng)的抗?jié)B透能力；第五級 訪問驗(yàn)證保護(hù)級：特別增設(shè)了訪問驗(yàn)證功能，負(fù)責(zé)仲裁訪問者對訪問對象的所有訪問活動；OSI模型定義的安全服務(wù)第一章 網(wǎng)絡(luò)安全緒論 6信息安全現(xiàn)狀安全威脅安全策略安全技術(shù)安全標(biāo)準(zhǔn)網(wǎng)絡(luò)信息安全發(fā)展趨勢展望我國網(wǎng)絡(luò)安全研究現(xiàn)狀我國信息化建設(shè)基礎(chǔ)設(shè)備依靠國外引進(jìn)，信息安全防護(hù)能力只是處于相對安全階段，無法做到自主性安全防護(hù)和有效監(jiān)控（核心芯片、系統(tǒng)內(nèi)核程序源碼、大型應(yīng)用系統(tǒng)）；信息安全學(xué)科的基礎(chǔ)性研究工作信息安全評估方法學(xué)的研究尚處于跟蹤學(xué)習(xí)研究階段；國內(nèi)開發(fā)

9、研制的一些防火墻、安全路由器、安全網(wǎng)關(guān)、“黑客”入侵檢測、系統(tǒng)弱點(diǎn)掃描軟件等在完善性、規(guī)范性、實(shí)用性方面還存許多不足，特別是在多平臺的兼容性、多協(xié)議的適應(yīng)性、多接口的滿足性方面存在很大差距；我國網(wǎng)絡(luò)安全研究現(xiàn)狀制定了國家、行業(yè)信息安全管理的政策、法律、法規(guī)；按照國家通用準(zhǔn)則建立了代表國家對信息安全產(chǎn)品、信息技術(shù)和信息系統(tǒng)安全性以及信息安全服務(wù)實(shí)施公正性評測的技術(shù)職能機(jī)構(gòu)中國國家信息安全測評認(rèn)證中心和行業(yè)中心；建立了支撐網(wǎng)絡(luò)信息安全研究的國家重點(diǎn)實(shí)驗(yàn)室和部門實(shí)驗(yàn)室，各種學(xué)術(shù)會議相繼召開，已出版許多專著、論文，在有關(guān)高等院校已建立了向關(guān)系所、開設(shè)了相關(guān)課程，并開始培養(yǎng)自己的碩士、博士研究生；附、常

10、見的網(wǎng)絡(luò)安全協(xié)議PKCS(Public-key Cryptography Standards)由美國RSA數(shù)據(jù)安全公司RSA實(shí)驗(yàn)室在apple，Microsoft，DEC，Lotus，Sun，和MIT等機(jī)構(gòu)非正式的咨詢合作下開發(fā)的有關(guān)公開密鑰密碼的標(biāo)準(zhǔn)。SSL(Secure Socket Layer Handshake Protocol)SSL協(xié)議是Netscape公司開發(fā)的用于WWW上的會話層安全協(xié)議，它保護(hù)傳遞于用戶瀏覽器和Web服務(wù)器之間的敏感數(shù)據(jù)，通過超文本傳輸協(xié)議(HTTP)或安全的超文本協(xié)議(S-HTTP)把密碼應(yīng)用于超文本環(huán)境中，從而提供多種安全服務(wù)。附、常見的網(wǎng)絡(luò)安全協(xié)議S-H

11、TTP(Secure Hypertext Transfer Protocol)S-HTTP是Enterprise Integration Technologies最初開發(fā),進(jìn)一步開發(fā)于Terisa系統(tǒng)的安全協(xié)議。它基于WWW，提供保密、鑒別或認(rèn)證、完整性和不可否認(rèn)等服務(wù)，保證在Web上交換的媒體文本的安全。PTC(Private Communication Technology Protocol) PTC是Microsoft和Visa開發(fā)的在Internet上保密通信的協(xié)議，與SSL類似。其不同點(diǎn)是在客戶和服務(wù)器之間包含了幾個短的報文數(shù)據(jù)，鑒別和加密使用不同的密鑰，并且提供了某種防火墻的功能。

12、附、常見的網(wǎng)絡(luò)安全協(xié)議SWAN(Secure Wide Area Network)S/WAN設(shè)計基于IP層的安全協(xié)議，可以在IP層提供加密，保證防火墻和TCPIP產(chǎn)品的互操作，以便構(gòu)作虛擬專網(wǎng)(VPN)。 SET(secure Electronic Transaction)SET是Visa，MasterCard合作開發(fā)的用于開放網(wǎng)絡(luò)進(jìn)行電子支付的安全協(xié)議，用于保護(hù)商店和銀行之間的支付信息。SMIME(SecureMultipurpose Internet Mail Extension)S/MIME是用于多目的的電子郵件安全的報文安全協(xié)議，和報文安全協(xié)議(MSP)、郵件隱私增強(qiáng)協(xié)議(PEM)、MIME對象安全服務(wù)協(xié)議(MOSS)及PGP協(xié)議的目的一樣