安徽工程大学信息安全原理及应用第一安全概述.ppt

网络与信息安全 参考书 王昭等 信息安全原理及应用 电子工业出版社 2010WilliamStallings 密码编码学与网络安全 原理与实践 第四版 电子工业出版社 2006冯登国 信息安全中的数学方法与技术 清华大学出版社 2009公共邮箱 ahpuis 密码 is123456 3 内容体系 密码学基础 对称密码 古典密码 现代对称分组密码 流密码 非对称分组密码 散列算法 Hash 数字签名 密码技术密码学应用 电子邮件的安全 身份鉴别 SSL TLS网络安全 防火墙技术 网络攻防与入侵检测系统安全 访问控制 操作系统的安全 病毒 第1讲信息安全概述 背景介绍 背景介绍 泄密门 提示人们 在互联网时代 网络安全意识应该像日常交通安全意识一样作为常识被确立 密码泄露危机暴露个人信息保护短板 2011年12月21日 国内最大的程序员社区CSDN上600万用户资料被公开 同时黑客公布的文件中包含有用户的邮箱账号和密码 随后 密码泄露事件开始大范围发酵 据传 天涯社区 开心网 世纪佳缘 百合网 美空网等网站的 密码集 也先后出现在网络上 涉及用户资料达5000万之上 受影响的网站预计达数十家 尽管数据并没有得到相关网站的官方证实 不过 来自奇虎360的最新监测发现 目前网上公开暴露的网络账户密码超过1亿个 对此 专家建议用户在不同网站设置不同密码 并避免网站注册密码与邮箱密码相同 以更好地保证个人隐私 黑客攻击猖獗 网络 内部 外部泄密 拒绝服务攻击 逻辑炸弹 特洛伊木马 黑客攻击 计算机病毒 后门 隐蔽通道 蠕虫 网络欺诈的实施过程 非法网站 10 信息为什么不安全 信息需要存储 信息需要共享 信息需要使用 信息需要交换 信息需要传输 什么是信息安全 Security 广义地说 信息就是消息 信息可以被交流 存储和使用 信息 information 是经过加工 获取 推理 分析 计算 存储等 的特定形式数据 是物质运动规律的总和 采取保护 防止来自攻击者的有意或无意的破坏 信息安全是指信息网络的硬件 软件及其系统中的数据受到保护 不受偶然的或者恶意的原因而遭到破坏 更改 泄露 系统连续可靠正常地运行 信息服务不中断 信息安全涉及的知识领域 信息安全是一门涉及计算机科学 网络技术 通信技术 密码技术 信息安全技术 应用数学 数论 信息论等多种学科的综合性学科 传统方式下的信息安全 复制品与原件存在不同对原始文件的修改总是会留下痕迹模仿的签名与原始的签名有差异用铅封来防止文件在传送中被非法阅读或篡改用保险柜来防止文件在保管中被盗窃 毁坏 非法阅读或篡改用签名或者图章来表明文件的真实性和有效性信息安全依赖于物理手段与行政管理 数字世界中的信息安全 复制后的文件跟原始文件没有差别对原始文件的修改可以不留下痕迹无法象传统方式一样在文件上直接签名或盖章不能用传统的铅封来防止文件在传送中被非法阅读或篡改难以用类似于传统的保险柜来防止文件在保管中被盗窃 毁坏 非法阅读或篡改信息社会更加依赖于信息 信息的泄密 毁坏所产生的后果更严重信息安全无法完全依靠物理手段和行政管理 信息安全的发展历史 信息安全的发展经历了如下几个阶段 古典信息安全辐射安全计算机安全网络安全信息安全 安全性攻击 被动攻击攻击者在未被授权的情况下 非法获取信息或数据文件 但不对数据信息作任何修改搭线监听 无线截获 其他截获 流量分析破坏了信息的机密性主动攻击包括对数据流进行篡改或伪造伪装 重放 消息篡改 破坏了信息的完整性拒绝服务 破坏了信息系统的可用性 信息安全的目标 机密性 Confidentiality 指保证信息不被非授权访问 完整性 Integrity 指信息在生成 传输 存储和使用过程中不应被第三方篡改 可用性 Availability 指授权用户可以根据需要随时访问所需信息 其它信息安全性质 可靠性 是指系统在规定条件下和规定时间内 完成规定功能的概率 不可抵赖性 也称作抗否认性 是面向通信双方 人 实体或进程 信息真实统一的安全要求 它包括收 发双方均不可抵赖 可审查性 使用审计 监控 防抵赖等安全机制 使得使用者 包括合法用户 攻击者 破坏者 抵赖者 的行为有证可查 并能够对网络出现的安全问题提供调查依据和手段 可控性 是对信息及信息系统实施安全监控 管理机构对危害国家信息的来往 使用加密手段从事非法的通信活动等进行监视审计 对信息的传播及内容具有控制能力 信息与网络安全的目标 进不来 拿不走 看不懂 改不了 跑不了 信息安全的研究内容 信息安全的研究范围非常广泛 其领域划分成三个层次信息安全基础理论研究信息安全应用技术研究信息安全管理研究 信息安全基础研究 密码理论数据加密算法消息认证算法数字签名算法密钥管理安全理论身份认证 授权和访问控制 安全审计和安全协议 信息安全应用研究 安全技术防火墙技术 漏洞扫描和分析 入侵检测 防病毒等 平台安全物理安全 网络安全 系统安全 数据安全 用户安全和边界安全 信息安全管理研究 安全策略研究包括安全风险评估 安全代价评