演示文稿信息安全概述現在是1頁\一共有37頁\編輯于星期三信息安全概述現在是2頁\一共有37頁\編輯于星期三課程主要內容信息安全的目標信息安全的發展信息安全的研究內容

3

現在是3頁\一共有37頁\編輯于星期三信息 信息就是消息，是關于客觀事實的可通訊的知識。信息可以被交流、存儲和使用。信息安全 國際標準化組織(ISO)的定義為：“為數據處理系統建立和采用的技術和管理的安全保護，保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄露”。§1信息安全的目標

4

現在是4頁\一共有37頁\編輯于星期三（1）網絡安全的任務：保障各種網絡資源穩定可靠的運行，受控合法的使用。（2）信息安全的任務：

保證：機密性、完整性、不可否認性、可用性（3）其他方面：病毒防治，預防內部犯罪§1.1網絡與信息安全的主要任務

5

現在是5頁\一共有37頁\編輯于星期三(1)信息與網絡安全的防護能力較弱。(2)基礎信息產業相對薄弱，核心技術嚴重依賴國外。對引進的信息技術和設備缺乏保護信息安全的有效管理和技術改造。(3)信息安全管理力度還要加強,法律法規滯后現象急待解決。(4)信息犯罪在我國有快速發展的趨勢。(5)國內具有知識產權的信息與網絡安全產品相對缺乏,且安全功能急待提高。(6)全社會的信息安全意識急待提高，加強專門安全人才的培養刻不容緩。§1.2我國信息安全的現狀

6

現在是6頁\一共有37頁\編輯于星期三§1.3信息安全威脅信息安全威脅：指某個人、物、事件或概念對信息資源的保密性、完整性、可用性或合法使用性等等所造成的威脅。攻擊就是對安全威脅的具體體現。雖然人為因素和非人為因素都可以對通信安全構成威脅，但是精心設計的人為攻擊威脅最大。

7

現在是7頁\一共有37頁\編輯于星期三網絡安全攻擊的形式

8

現在是8頁\一共有37頁\編輯于星期三被動攻擊： 目的是竊聽、監視、存儲數據，但是不修改數據。很難被檢測出來，通常采用預防手段來防止被動攻擊，如數據加密。主動攻擊：修改數據流或創建一些虛假數據流。常采用數據加密技術和適當的身份鑒別技術。主動與被動攻擊

9

現在是9頁\一共有37頁\編輯于星期三網絡安全攻擊截獲以保密性作為攻擊目標，表現為非授權用戶通過某種手段獲得對系統資源的訪問，如搭線竊聽、非法拷貝等中斷(阻斷）以可用性作為攻擊目標，表現為毀壞系統資源，切斷通信線路等

10

現在是10頁\一共有37頁\編輯于星期三網絡安全攻擊篡改以完整性作為攻擊目標，非授權用戶通過某種手段獲得系統資源后，還對文件進行竄改，然后再把篡改過的文件發送給用戶。偽造以完整性作為攻擊目標，非授權用戶將一些偽造的、虛假的數據插入到正常系統中

11

現在是11頁\一共有37頁\編輯于星期三§1.4常見的安全威脅1．信息泄露：信息被泄露或透露給某個非授權的實體。2．破壞完整性：數據被非授權地進行增刪、修改或破壞而受到損失。3．拒絕服務：對信息或其它資源的合法訪問被無條件地阻止。4．非法使用：某一資源被某個非授權的人，或以非授權的方式使用。5．竊聽：用各種可能的合法或非法的手段竊取系統中的信息資源和敏感信息。

12

現在是12頁\一共有37頁\編輯于星期三6．業務流分析：通過對系統進行長期監聽來分析對通信頻度、信息流向等發現有價值的信息和規律。

7．假冒：通過欺騙通信系統（或用戶）達到非法用戶冒充成為合法用戶，或者特權小的用戶冒充成為特權大的用戶的目的。黑客大多是采用假冒攻擊。8．旁路控制：攻擊者利用系統的安全缺陷或安全性上的脆弱之處獲得非授權的權利或特權。9．授權侵犯：被授權以某一目的使用某一系統或資源的某個人，卻將此權限用于其它非授權的目的，也稱作“內部攻擊”。§1.4常見的安全威脅

13

現在是13頁\一共有37頁\編輯于星期三10．特洛伊木馬：軟件中含有一個察覺不出的或者無害的程序段，當它被執行時，會破壞用戶的安全。這種應用程序稱為特洛伊木馬。11．陷阱門：在某個系統或某個部件中設置的“機關”，使得當提供特定的輸入數據時，允許違反安全策略。12．抵賴：這是一種來自用戶的攻擊，比如：否認自己曾經發布過的某條消息、偽造一份對方來信等。13．重放：所截獲的某次合法的通信數據拷貝，出于非法的目的而被重新發送。14．計算機病毒：是一種在計算機系統運行過程中能夠實現傳染和侵害的功能程序。§1.4常見的安全威脅

14

現在是14頁\一共有37頁\編輯于星期三15．人員不慎：一個授權的人為了錢或利益，或由于粗心，將信息泄露給一個非授權的人。16．媒體廢棄：信息被從廢棄的磁的或打印過的存儲介質中獲得。17．物理侵入：侵入者通過繞過物理控制而獲得對系統的訪問；18．竊取：重要的安全物品，如令牌或身份卡被盜；19．業務欺騙：某一偽系統或系統部件欺騙合法的用戶或系統自愿地放棄敏感信息。§1.4常見的安全威脅

15

現在是15頁\一共有37頁\編輯于星期三安全威脅的后果安全漏洞危害在增大信息對抗的威脅在增加電力交通醫療金融工業廣播控制通訊因特網

16

現在是16頁\一共有37頁\編輯于星期三§1.5信息安全的目標安全工作的目的就是為了在安全法律、法規、政策的支持與指導下，通過采用合適的安全技術與安全管理措施，完成：使用授權機制，實現對用戶的權限控制，即不該拿走的“拿不走”，同時結合內容審計機制，實現對網絡資源及信息的可控性。使用訪問控制機制，阻止非授權用戶進入網絡，即“進不來”，從而保證網絡系統的可用性。使用加密機制，確保信息不暴漏給未授權的實體或進程，即“看不懂”，從而實現信息的保密性。

17

現在是17頁\一共有37頁\編輯于星期三使用數據完整性鑒別機制，保證只有得到允許的人才能修改數據，而其它人“改不了”，從而確保信息的完整性。使用審計、監控、防抵賴等安全機制，使得攻擊者、破壞者、抵賴者“走不脫”，并進一步對網絡出現的安全問題提供調查依據和手段，實現信息安全的可審查性。§1.5信息安全的目標

18

現在是18頁\一共有37頁\編輯于星期三（1）主動防御保護技術數據加密、身份鑒別、存取控制、權限設置、虛擬專用網(VPN)技術。（2）被動防御保護技術防火墻、入侵檢測系統、安全掃描器、口令驗證、審計跟蹤、物理保護與安全管理§1.6信息安全保護技術

19

現在是19頁\一共有37頁\編輯于星期三

信息安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的邊緣性綜合學科。§2信息安全的研究內容一、信息安全理論研究二、信息安全應用研究三、信息安全管理研究信息安全研究的內容包括

20

現在是20頁\一共有37頁\編輯于星期三信息安全研究內容及相互關系

21

現在是21頁\一共有37頁\編輯于星期三1、密碼理論

加密：將信息從易于理解的明文加密為不易理解的密文

消息摘要：將不定長度的信息變換為固定長度的摘要

數字簽名：實際為加密和消息摘要的組合應用

密鑰管理：研究密鑰的產生、發放、存儲、更換、銷毀§2.1信息安全理論研究

22

現在是22頁\一共有37頁\編輯于星期三2、安全理論

身份認證：驗證用戶身份是否與其所聲稱的身份一致

授權與訪問控制：將用戶的訪問行為控制在授權范圍內

審計跟蹤：記錄、分析和審查用戶行為，追查用戶行蹤

安全協議：構建安全平臺使用的與安全防護有關的協議§2.1信息安全理論研究

23

現在是23頁\一共有37頁\編輯于星期三1、安全技術

防火墻技術：控制兩個安全策略不同的域之間的互訪行為

漏洞掃描技術：對安全隱患的掃描檢查、修補加固

入侵檢測技術：提取和分析網絡信息流，發現非正常訪問

病毒防護技術：預防病毒入侵§2.2信息安全應用研究

24

現在是24頁\一共有37頁\編輯于星期三2、平臺安全

物理安全：主要防止物理通路的損壞、竊聽、干擾等

網絡安全：保證網絡只給授權的客戶使用授權的服務，保證網絡路由正確，避免被攔截或監聽

系統安全：保證客戶資料、操作系統訪問控制的安全，同時能對該操作系統上的應用進行審計

數據安全：對安全環境下的數據需要進行加密

用戶安全：對用戶身份的安全性進行識別

邊界安全：保障不同區域邊界連接的安全性§2.2信息安全應用研究

25

現在是25頁\一共有37頁\編輯于星期三信息安全保障體系、信息安全應急反應技術、安全性能測試和評估、安全標準、法律、管理法規制定、安全人員培訓提高等。§2.3信息安全管理研究1、安全策略研究2、安全標準研究3、安全測評研究三分技術，七分管理！

26

現在是26頁\一共有37頁\編輯于星期三

一、安全策略指在一個特定的環境里，為保證提供一定級別的安全保護所必須遵守的規則。該安全策略模型包括了建立安全環境的三個重要組成部分，即威嚴的法律、先進的技術、嚴格的管理。§2.3信息安全管理研究

安全策略是建立安全系統的第一道防線

確保安全策略不與公司目標和實際活動相抵觸

給予資源合理的保護

27

現在是27頁\一共有37頁\編輯于星期三以安全策略為核心的安全模型安全策略防護

檢測響應ISS（InternetSecuritySystemsInC.)提出§2.3信息安全管理研究

28

現在是28頁\一共有37頁\編輯于星期三MP2DRR安全模型PMRRD安全模型MP2DRR訪問控制機制入侵檢測機制安全響應機制備份與恢復機制管理P安全策略

29

現在是29頁\一共有37頁\編輯于星期三1、TCSEC（可信計算機系統評估標準）2、CC(通用準則)3、ITSEC（歐洲安全評價標準）4、我國的標準§2.3信息安全管理研究二、安全標準研究

30

現在是30頁\一共有37頁\編輯于星期三TCSEC美國TCSEC(桔皮書)可信計算機系統評估準則。1985年由美國國防部制定。TCSEC是歷史上第一個計算機安全評價標準。內容分為4個方面:安全政策、可說明性、安全保障和文檔。安全等級劃分為D,C,B,A共4類7級，由低到高。

31

現在是31頁\一共有37頁\編輯于星期三TCSEC類別級別名稱主要特征DD低級保護沒有安全保護CC1自主安全保護自主存儲控制C2受控存儲控制單獨的可查性，安全標識BB1標識的安全保護強制存取控制，安全標識B2結構化保護面向安全的體系結構較好的抗滲透能力B3安全區域存取監控、高抗滲透能力AA驗證設計形式化的最高級描述和驗證

32

現在是32頁\一共有37頁\編輯于星期三CC通用評估準則，簡稱CC，CC源于TCSEC，但完全改進了TCSEC。CC定義了作為評估信息技術產品和系統安全性的基礎準則，提出了目前國際上公認的表述信息技術安全性的結構以及如何正確有效地實施這些功能的保證要求，是目前系統安全認證方面最權威的標準。作為評估信息技術產品和系統安全性的世界性通用準則，是信息技術安全性評估結果國際互認的基礎。CC的先進性體現在其結構的開放性、表達方式的通用性以及結構和表達方式的內在完備性和實用性四個方面。

33

現在是33頁\一共有37頁\編輯于星期三CC

CC分為三個部分：1)“簡介和一般模型”，介紹了CC中的有關術語、基本概念和一般模型以及與評估有關的一些框架，附錄部分主要介紹“保護輪廓”和“安全目標”的基本內容；2)“安全功能要求”，按“類——子類——組件”的方式提出安全功能要求，每一個類除正文以外，還有對應的提示性附錄作進一步解釋；3)“安全保證要求”，定義了評估保證級別，介紹了“保護輪廓”和“安全目標”的評估，并按“類——子類——組件”的方式提出安全保證要求。

34

現在是34頁\一共有37頁\編輯于星期三ITSEC

歐洲的安全評價標準（IT