信息安全课件cha.ppt

西北大学信息科学与技术学院 肖云 ,计算机通信信息安全技术,基础知识： 计算机网络 教材： 计算机通信信息安全技术 清华大学出版社 王景中著 参考教材： 网络与信息安全 清华大学出版社 胡铮著 学时： 36,西北大学信息科学与技术学院 肖云 ,西北大学信息科学与技术学院 肖云 ,内容,绪论 计算机病毒 密码技术 计算机系统安全 信息安全服务 防火墙技术,西北大学信息科学与技术学院 肖云 ,第一章 绪论,对计算机通信信息安全所涉及的基本概念、研究内容、安全服务、安全标准、安全的作用等进行概括性的介绍,西北大学信息科学与技术学院 肖云 ,1.1信息安全,Hartley：信息是选择通信符号的方式 Shannon：信息是随机的 Wiener：信息是交换的内容的名称 Longo：差异就是信息,西北大学信息科学与技术学院 肖云 ,1.1.2 信息的定义,一、信息的定义 信息是事物运动的状态与方式，是事物的一种属性。 二、 通信领域中的信息 信息主要涉及到电路、信号、消息与系统，其实它们都是信息的载体 。,西北大学信息科学与技术学院 肖云 ,信息有别于： 消息只是信息的外壳，信息则是消息的内核 ； 信号是信息的载体，信息则是信号所载荷的内容 ； 数据是记录信息的一种形式，同样的信息也可以用文字或图像来表述 ； 情报通常是揭示秘密的、专门的、新颖的一类信息；可以说所有的情报都是信息，但不能说所有的信息都是情报； 知识是认识主体所表达的信息，是逻辑化的信息，并非所有的信息都是知识。,1.1.2 信息的定义,西北大学信息科学与技术学院 肖云 ,1.1.3 信息的性质,一、信息的性质 信息来源于物质，但不是物质本身；信息也来源于精神世界，但又不限于精神的领域。 二、信息的属性 信息的物质性决定了它的一般属性。 分别为：普遍性、客观性、无限性、相对性、抽象性、依附性、动态性、异步性、共事性、可传递性、可变换性、可转化性和可伪性等。,西北大学信息科学与技术学院 肖云 ,1.1.4 信息的功能,信息具有一般物质的属性，它的功能就是信息属性的体现。 信息的功能可分为两类： 第一类功能是信息的基本功能，用于维持和强化世界的有序性； 第二类功能是信息的社会功能，表现为维系社会的生存，促进人类文明的进步和人类自身的发展。,西北大学信息科学与技术学院 肖云 ,信息的功能主要表现在5个方面： 信息是宇宙万物有序运行的内在依据 。 信息是人类认识世界和改造世界的媒介，它实现人类与自然界的沟通 。 信息是社会生存与发展的动力。 信息是智慧之源，是人类的精神食粮。 信息是管理的灵魂。,1.1.4 信息的功能,西北大学信息科学与技术学院 肖云 ,在计算机通信领域，信息技术定义是： 在计算机和通信技术支持下用以获取、加工、存储、变换、显示和传输文字、数值、图像、视频、音频以及语音信息，并且包括提供设备和信息服务两大方面的方法与设备的总称。 “信息技术”作为专门术语，其概念的本质是“技术”而非“信息”。,1.1.5 信息技术,西北大学信息科学与技术学院 肖云 ,信息系统的定义分广义的和狭义的两种。 一、信息系统的广义定义： 各种处理信息的系统都可以认为是信息系统，包括人体本身和各种人造系统。 二、信息系统的狭义定义： 指基于计算机的系统，是人、规程、数据库、硬件和软件等各种设施、工具和运行环境的有机集合，它突出的是计算机和网络通信等技术的应用 。,1.1.6 信息系统,西北大学信息科学与技术学院 肖云 ,一、计算机安全的定义： 计算机的硬件、软件和数据受到保护，不因偶然和恶意的原因而遭到破坏、篡改和泄露，保证系统连续正常运行。 二、从计算机组成上看，计算机安全的内容分别对应物理安全和逻辑安全。 物理安全：指系统设备及相关设施受到物理保护，免于破坏、丢失等，强调的是硬件安全； 逻辑安全：包括信息完整性、机密性和可用性。,1.1.7 计算机安全,西北大学信息科学与技术学院 肖云 ,三、计算机安全又可以分为静态的和动态两种 静态观点: 计算机安全主要是解决特定计算机设备的安全问题。 动态观点，计算机安全问题是一个动态的过程，计算机要为人所用，大多数情况下，它处于动态的使用、运行状态 因此，计算机安全更应该该从动态的观点看待计算机安全。,1.1.7 计算机安全,西北大学信息科学与技术学院 肖云 ,一、通信网络安全的定义 对计算机和计算机之间相连接的传输线路、设备和协议进行管理，特别是对通信网络的组成方式、拓扑结构和网络应用的管理，保障信息传输的安全性。 二、通信网络安全的主要内容： 保护网络系统中的硬件、软件及其数据和数据的传输不受偶然或者恶意原因而遭到破坏、更改、泄露，系统连续可靠地正常运行，网络服务不中断。,1.1.8 通信网络安全,西北大学信息科学与技术学院 肖云 ,一、信息系统安全的定义 确保以电磁信号为主要形式的、在计算机网络化系统中进行获取、处理、存储、传输和利用的信息内容，在各个物理位置、逻辑区域、存储和传输介质中、处于动态和静态过程中的机密性、完整性、可用性、可审查性和不可否认性，使这些信息内容与人、通信网络、环境有关的技术和管理规程形成有机集合。 人指信息系统的主体，包括各类用户、支持人员以及技术管理和行政管理人员； 通信网络则指计算机和网络互联设备、传输介质、操作系统、通信协议和应用程序所构成的物理的和逻辑的完整体系； 环境则指系统稳定和可靠运行所需要的保障系统，包括建筑物、机房、动力保障与备份以及应急与恢复系统。,1.1.9 信息安全,西北大学信息科学与技术学院 肖云 ,信息系统安全是一个多维、多层次、多因素、多目标的体系。 就信息安全和信息系统安全的内涵而言，保证信息（内容）的机密性是系统安全的基本和首要目标之一。,1.1.9 信息安全,西北大学信息科学与技术学院 肖云 ,在强调信息系统安全和保密时，是将保密作为管理策略和安全策略的一部分，而不仅仅是作为信息机密性指标来定义的。 作为管理策略和安全策略，保密涉及对信息系统的信息密级进行划分和管理，对涉密网络和非涉密网络进行界定和管理，对保密技术和产品进行保护。,1.1.9 信息安全,西北大学信息科学与技术学院 肖云 ,二、信息安全所做工作 将处理与信息依附性、动态性、异步性、共享性、可传递性、可变换性、可转化性和可他性等有关的问题。 三、信息安全的任务 是确保信息功能的正确实现。 本书涉及的信息安全概念是狭义的、用于计算机通信领域的信息系统安全。,1.1.9 信息安全,西北大学信息科学与技术学院 肖云 ,信息网络已经成为社会发展的重要保证。 信息网络安全已涉及到国家的政府、军事、科技、文教等各个领域。 已经形成计算机通信信息安全（简称网络安全）的专门技术，它主要研究计算机网络中在信息获取、存储、传输、信息处理、信息共享等各个方面的信息安全问题。 对抗不断出现的攻击和威胁。,1.1.10 信息安全的重要性,西北大学信息科学与技术学院 肖云 ,典型攻击,红色代码 尼姆达（Nimda） Melissa(1999) 和 LoveLetter(2000) 冲击波病毒 分布式拒绝服务攻击 远程控制特洛伊木马后门,西北大学信息科学与技术学院 肖云 ,Code Red,西北大学信息科学与技术学院 肖云 ,Code Red,西北大学信息科学与技术学院 肖云 ,Code Red,西北大学信息科学与技术学院 肖云 ,Impacto de Blaster（冲击波）,275,000台/7小时 1,000,000台/48小时,西北大学信息科学与技术学院 肖云 ,西北大学信息科学与技术学院 肖云 ,西北大学信息科学与技术学院 肖云 ,西北大学信息科学与技术学院 肖云 ,西北大学信息科学与技术学院 肖云 ,西北大学信息科学与技术学院 肖云 ,1.2 计算机通信信息安全研究的内容,主机安全的研究：主要进行计算机（单机）安全技术的研究； 通信网络安全的研究：主要进行通信信息安全技术的研究。,西北大学信息科学与技术学院 肖云 ,信息安全技术包括了信息系统中从信息的产生直至信息的应用这一全部过程。 信息安全技术实际上是一门涉及计算机科学、网络技术、通信技术、密码技术、管理科学、应用数学、数论、信息论等多种学科的综合性内容。,1.2.1 信息安全技术,西北大学信息科学与技术学院 肖云 ,计算机安全研究的内容可分为物理安全和逻辑安全。,1.2.2 计算机安全技术,物理安全：研究计算机系统设备及相关设施的物理保护问题，使得计算机系统免于遭到破坏或者丢失。 逻辑安全：研究包括信息完整性、机密性和可用性问题。它确保信息不会被非授权修改，保持信息的一致性；确保在授权情况下高级别信息可以安全地流向低级别的客体与主体；确保合法用户的正常请求能及时、正确、安全地得到服务，保证计算机系统的正常使用。,西北大学信息科学与技术学院 肖云 ,一、计算机通信信息安全（网络安全）的定义 网络系统的硬件、软件及其系统中的数据受到保护，不受意外的或者恶意的操作遭到破坏、更改、泄露，保证系统连续可靠正常地运行，保证网络服务不中断。 计算机通信安全是一种动态的信息安全问题。 二、计算机通信安全的研究领域 涉及到网络上信息的机密性、完整性、可用性、真实性和可控性的相关技术和理论。,1.2.3 计算机通信信息安全,西北大学信息科学与技术学院 肖云 ,三、计算机通信信息安全涉及的主要内容 密码学的研究 基本的安全技术 应用系统的安全 四、从对安全的处理角度来看，计算机通信信息安全包含的主要内容 网络攻击 安全防御 攻击检测 应急处理和灾难恢复,1.2.3 计算机通信信息安全,西北大学信息科学与技术学院 肖云 ,计算机网络的发展，使信息共享日益广泛与深入，但是信息在公共通信网络上存储、共享和传输，会被非授权的入侵者非法窃听、截取、篡改或毁坏，从而导致不可估量的损失。因此，研究网络安全时，首先要了解通信网络系统面临的各种威胁，这样，我们才能有的放矢，对抗这些威胁。,1.3 安全威胁,西北大学信息科学与技术学院 肖云 ,安全威胁：某人、物、事件或者概念对某一资源的机密性、完整性、可用性或合法使用所造成的危害。 攻击：威胁的具体实现。,1.3.1 安全威胁,一、基本安全威胁 主要包括的类型有： 信息泄露（机密性）：窃听、探测 完整性破坏（完整性）：修改、复制 拒绝服务（可用性）：加大负载、中断服务 非法使用（合法性）：侵入计算机系统、盗用,西北大学信息科学与技术学院 肖云 ,二、潜在的安全威胁 三、偶发威胁与故意威胁 偶发性威胁：指那些不带预谋企图的威胁，发出的威胁不带主观故意。 故意性威胁：指发出的威胁带有主观故意，它的范围可以从使用易行的监视工具进行随意的监听和检测，到使用特别的专用工具进行攻击。 四、主动威胁或被动威胁 主动威胁：指对系统中所含信息的篡改，或对系统的状态或操作的改变。 被动威胁：不对系统中所含信息进行直接的任何篡改，而且系统的操作与状态也不受改变。,1.3.1 安全威胁,西北大学信息科学与技术学院 肖云 ,攻击：安全威胁的具体实现叫做安全攻击。 几种常见的特定攻击类型： 冒充：一个实体假装成另一个不同的实体实施非法攻击 重放：为了产生非授权效果，而让一个消息，或部分消息重复 消息篡改：当所传送的内容被改变而未被发觉，并导致一种非授权后果 服务拒绝：当一个实体不能执行它的正常功能，或它的动作妨碍了别的实体执行它们的正常功能,1.3.2 攻击类型,西北大学信息科学与技术学院 肖云 ,诈骗者利用谷歌日历的邀请功能，企图欺骗用户泄露其Gmail口令和出生日期。据悉，冒充谷歌的是一封来自署名为“customer varification”(拼写有错误)的电子邮件。 邮件内容大致为：谷歌为了广大用户安全，将会对部分匿名注册的电子邮件帐户进行销户处理。因此，如果你想继续使用谷歌提供的邮件功能的话，需要提供一些信息以进行确认。,西北大学信息科学与技术学院 肖云 ,阿里巴巴和40大盗的故事 人物-黑客：阿里巴巴; 用户：40大盗; 系统：宝库 身份认证：石门; 故事情节： 话说有一天，40大盗准备把一抢来得珠宝放进他们的宝库里去。 / 用户打算登陆系统 他们来到宝库面前，准备打开石门 / 系统要求身份认证，弹出口令窗口 40大盗的首领对着石门喊道：“芝麻开门” /用户输入口令 “芝麻开门” 这一幕不巧被阿里巴巴看到 /有黑客截获用户的登陆过程 40大盗将宝物放进宝库后，就离开了 /用户退出系统 等40大盗走远后，阿里巴巴来到石门前也大喊“芝麻开门” /黑客对系统进行了重放攻击 石门打开了，阿里巴巴把宝物都搬回家了 /成功入侵系统,西北大学信息科学与技术学院 肖云 ,西北大学信息科学与技术学院 肖云 ,清华大学新闻网站遭黑客攻击篡改,西北大学信息科学与技术学院 肖云 ,西北大学信息科学与技术学院 肖云 ,内部攻击：系统的合法用户以非故意或非授权方式进行操作 外部攻击：从系统的外围环境出发，对系统进行攻击 陷门：在某个系统或者某个文件中设置机关，使得当提供特定的输入数据时，允许违反安全策略。 特洛伊木马（Torjan Horse）：隐含在应用程序上的一段程序，当它被执行时，会破坏用户的安全性。,1.3.2 攻击类型,西北大学信息科学与技术学院 肖云 ,西北大学信息科学与技术学院 肖云 ,安全措施：对抗安全威胁所采取的方法。 1.4.1 基本安全措施 1.4.2 安全技术,1.4 安全措施,西北大学信息科学与技术学院 肖云 ,1.4.1 基本安全措施,基本安全措施主要包括以下几种类型： 密码技术 物理安全 人员安全 管理安全 媒体安全 辐射安全 生命周期控制,西北大学信息科学与技术学院 肖云 ,计算机通信信息安全常用的几种信息安全技术： 防火墙：防火墙按照系统管理员预先定义好的安全策略和规则控制两个网络之间数据包的进出。 身份认证：阻止非法实体的不良访问。 数据加密：通过对信息的重新组合，使得只有通信双方才能解码还原信息的传统方法。,1.4.2 安全技术,西北大学信息科学与技术学院 肖云 ,数字签名 ：防止非法伪造、假冒和篡改信息。 安全监控 密码机：加密技术的硬件实现，它是传统的链路层加密设备，通常使用对称密钥算法，提供点对点式的加密通信。,1.4.2 安全技术,西北大学信息科学与技术学院 肖云 ,在计算机通信网络中，系统提供的主要的安全防护措施被称作安全服务。 1.5.1 认证 1.5.2 访问控制 1.5.3 机密性 1.5.4 完整性 1.5.5 不可否认性,1.5 安全服务,西北大学信息科学与技术学院 肖云 ,认证服务提供了关于某个实体身份的保证。如口令、 PIN、身份证都是提供认证的熟知方法。 认证是对付假冒攻击的有效方法。 认证又分为实体认证和数据起源认证两种形式。 实体认证：身份是由参与某次通信连接或会话的远端的一方提交的。 数据起源认证：身份是由声称它是某个数据项的发送者的那个实体所提交的，此身份连同数据项一起发送给接收者。,1.5.1 认证,西北大学信息科学与技术学院 肖云 ,1.5.2 访问控制,定义：防止对资源进行未授权访问的措施。 模型： 发起者：主动的实体 目标：被动的资源 访问控制实施功能：实现访问控制策略 访问控制决策功能：访问控制策略的表现形式,访问控制是实施授权的一种方法 保护敏感信息不经过有风险的环境传送,西北大学信息科学与技术学院 肖云 ,机密性服务就是保护信息不泄露或不暴露给那些未授权掌握这一信息的实体。 在计算机通信安全中，提供两种类型的机密性服务： 数据机密性服务：这种服务使得攻击者想要从某个数据项中推出敏感信息是十分困难的；该服务又可进一步分为： 有连接的机密性服务，它是对某个连接上传输的所有数据进行加密； 无连接机密性服务，它是对构成一个无连接数据单元的所有数据进行加密； 选择字段机密性服务，它仅对某个数据单元中所指定的字段进行加密 业务流机密性服务：这种服务使得攻击者想要通过观察网络的业务流来获得敏感信息也是十分困难的。,1.5.3 机密性,西北大学信息科学与技术学院 肖云 ,完整性服务：防止对数据进行非法修改、添加、重放、删除等操作的措施。 数据完整性服务的一个重要特征是它的具体分类，即对什么样的数据采用完整性服务。 有连接完整性服务：它是对某个连接上传输的所有数据进行完整性检验； 无连接完整性服务：它是对构成一个无连接数据单元的所有数据进行完整性检验； 选择字段完整性服务：它仅对某个数据单元中所指定的字段进行完整性检验。,1.5.4 完整性,西北大学信息科学与技术学院 肖云 yx