网络培训ppt课件

.,信息安全保障及关键技术措施,.,讲述内容,一、网络信息面临的威胁二、信息安全概念和内涵三、信息关键技术四、信息安全保障体系,2015-11-5,.,2015-11-5,一、网络信息面临的威胁,.,信息：事物的运动的状态和状态变化的方式信息科学原理钟义信教授“客观世界在认知的映射和表示”？数据：信息的载体，以不同形式、在不同的系统、载体商存在。网络空间（cyberspace）:信息基础设施相互依存的网络，包括互联网、电信网、电脑系统及重要产业中的处理器和控制器。（美国第54号国家安全总统令暨第23号国土安全总统令）随着互联网信息系统的普片使用，信息安全问题变得尤为突出。,2015-11-5,信息与网络空间,.,2010中国互联网络发展状况统计报告,截止200年12月30日，中国网民规模达到3.84亿人，年增长率为28.9%。中国宽带网民规模达到3.46亿人。中国手机上网网民规模年增长1.2亿。达到2.33亿人，占整体网民的60.8%。商务交易类应用的用户规模增长最快，平均年增幅68%，其中网上支付用户增幅80.9%，在所有应用中排名第一。2009年全球网民大约15亿（美国统计）,2015-11-5,.,信息安全问题日益严重,计算机系统集中管理着国家和企业的政治、军事、金融、商务等重要信息。计算机系统成为不法分子的主要攻击目标。计算机系统本身的脆弱性和网络的开放性，使得信息安全成为世人关注的社会问题。当前，信息安全的形式日益严重。,2015-11-5,.,典型案例病毒与网络蠕虫,红色代码2001年7月，直接经济损失超过26亿美元。2001年9月，尼姆达蠕虫，约5.9亿美元的损失“熊猫病毒”是2006年中国十大病毒之首。它通过多种方式进行传播，并将感染的所有程序文件熊猫举着三根香的摸样，同时该病毒还具有盗取用户游戏账号、QQ账号等功能。,2015-11-5,.,典型案例黑客入侵,2000年2月7日起的一周内，黑客对美国的雅虎等著名网站发动攻击，致使这些网站瘫痪，造成直接经济损失12亿美元。我国163网站也陷入困境。2001年5月1日前后，发生了一场网上“中美黑客大战”双反互相攻击对方的网站，双方都有很大损失。这场网上大战，给我们留下深刻的思考。2006年12月31日中国工商银行被黑2008年8月底，清华网站被黑捏造清华大学校长言论。2008年8-10月，黑客入侵美国电子邮箱和选举文件，获得美国政策立场文件和选举出行计划,2015-11-5,.,典型案例计算机网络犯罪,2006年5月21日，黑客篡改超市收银记录侵占397万余元2006年11月16日，研究生侵入财务系统盗窃70万2007年3月，上海一市民网上银行账户16元莫名丢失2008年，黑客利用QQ骗取钱财2007-2008网络犯罪造成美国公民损失80亿美元，公民的隐私受到侵犯、身份资料被盗取、正常生活被打乱、钱财被盗光。（奥巴马）,2015-11-5,.,国家之间的信息战争,95年美国提出信息作战，成立指导委员会。美国在内2007年9月成立网络司令部，核心任务市保证本国网络安全和选袭击他国核心网络，有攻也有防，被外界称为“黑客”司令部，对我国信息安全形成了严重的威胁。2010年5月，该网络司令部已正式开始运转。2007年爱莎尼亚“世界首次网络大战”。2009年5月，美国：网络空间政策评估报告,2015-11-5,.,1.8加强信息系统保密管理势在必行。,网络以其无国界、超领土的虚拟存在，全面渗透到现实世界的各方面、各领域，被称为继陆海空天的第五空间，成为整个社会正常运转的神经系统。如何保卫中国占世界1/4的虚拟国土。全球互联网用户20亿。计算机系统的保密管理到了不抓不行。不管不行的时刻。,2015-11-5,.,信息安全威胁的分类,2015-11-5,.,产生信息安全威胁的根源,微机的安全结构过于简单操作系统存在安全缺陷网络设计与现实本身存在缺陷核心硬件和基础软件没有自主知识产权网络信息共享与信息交换需求使信息安全威胁加剧信息拥有者、使用者与信息的管理者不匹配,2015-11-5,.,2015-11-5,.,二、信息安全的内涵及发展,2015-11-5,.,信息安全：指保护信息和信息系统不被未经授权的访问、使用、泄漏、终端、修改和被破坏，为信息和信息系统提供保密性、完整性、可用性、可控性和不可否认性,2015-11-5,.,2.1信息安全内涵,机密性：指保证信息不被非授权窃取。完整性：在信息生成、传输、存储和使用过程中不应发生认为或非人为的非授权篡改。可用性：指授权用户在需要时能不受其他因素的影响，方便地使用所需信息。可控性：指信息在整个生命周期内可由合法拥有者加以安全的控制。不可抵赖性：指保障用户无法在事后否认曾经对信息的生成、签发、接受等行为,2015-11-5,.,2.1信息安全内涵,面向数据的安全需求与属性：机密性、完整性、可用性和可控性。面向使用者的安全需求与属性：真实性（可鉴别性）、授权、访问控制、抗抵赖性和可服务性以及基于内容的个人隐私、知识产权等的保护。面向系统的安全需求与属性：可用性、可控性、可在生性、可生存性。,2015-11-5,.,信息安全需求与属性随着信息系统法杖而变化,2015-11-5,.,信息安全需求与属性随着信息系统法杖而变化,2015-11-5,.,2.2信息安全服务,安全服务包括：数据机密性服务、完整性服务、不可否认服务、认证服务和访问控制服务,2015-11-5,.,保护信息不被泄露或暴漏给非授权的实体，如密封的信件。两种类型的机密性服务：数据保密：防止攻击者从某一数据项中推出敏感信息；业务流保密：防止攻击者通过观察网络的业务流来获得敏感信息。,机密性服务（保密性服务）,完整性服务,保护数据以防止未经授权的篡改：增删、修改或代替。防止如下安全威胁：以某种违反安全策略的方式，改变数据的价值和存在。改变数据的价值：指对数据进行修改和重新排序；改变数据的存在：意味着新增和删除它。,2015-11-5,.,不可否认服务,防止参与某次通信交换的一方事后否认本次交换曾经发生过一是原发证明，通过信息接收者以证据（发方不可否认）二是交付证明，提供信息发送者以证明（收方不可否认）不可否认服务不能消除业务否认不可否认服务在电子商务、电子政务、电子银行中尤为重要,认证服务（验证服务、鉴别服务）,提供某个实体（人或系统）的身份的保证，换句话说，这种服务保证信息使用者和信息服务者都是真实声称者，防止假冒和重放攻击（如带照片的身份卡、身份证）认证用于一个特殊的通信过程，在此过程中需要提交人或物的身份：对等实体认证：身份是由参与某次通信连接或会话的远端的一方提交；数据认证：身份是由声称他是某个数据项的发送者的那个人或物所提交的,2015-11-5,.,访问控制服务,保护资源以防止对它的非法使用和操纵，即非授权的访问非授权的访问包括未经授权的使用、泄漏、修改、销毁以及颁发指令访问控制直接支持机密性、完整性、可用性以及合法使用的安全目标,2015-11-5,.,2.3信息安全机制,安全机制是信息安全服务的基础。一种安全服务的实施可用使用不同的机制，或单独使用，或组合使用，取决于该服务的目的以及使用的机制。根据ISO7498-2标准，适合于数据通信环境安全机制有加密机制、数据完整性机制、鉴别交换机制、业务流填充机制、公证机制。,2015-11-5,.,加密机制是安全机制的基础和核心，其基本理论和技术是密码学。加密是把可以理解的明文消息，利用密码算法进行变换，生成不可理解的密文的过程。解密是加密的逆操作。加密既能为数据提供机密性，也能为通信业务流信息提供机密性，并且还广泛用于其它安全机制和服务中。,加密机制,数字签名机制,数字签名是附加在数据单元上的一些数据，或是对数据单元所做的密码变换，这种数据或变换允许数据单元的接收着确认数据单元来源和数据单元的完整性，并保护数据，防止被他人伪造。数据签名机制涉及两个过程：对数据单元签名和验证签名过的数据单元。,2015-11-5,.,访问控制机制是实施对资源访问或操作加以限制的策略，这种策略把对资源的访问只限于那些被授权的用户。,访问控制机制,鉴别交换机制,鉴别是通过交换信息的方式来确定实体身份的机制。用于鉴别交换的方法主要有：1.使用鉴别信息，如口令等2.密码技术3.使用实体特征或占有物，如指纹、身份卡,2015-11-5,.,是一种对抗通信业务分析的机制。通过伪造通信业务和将协议数据单元填充到一个固定的长度等方法能够为防止通信业务分析提供有限的保护。,业务流填充机制,公证机制,在两个或多个实体之间的数据性质能够借助公证人利用公证机制来提供保证，公证人为通信实体所信任，并掌握必要信息，以一种可证实方式通过所需保证。,2015-11-5,.,安全机制与安全服务关系,2015-11-5,.,三、信息安全关键技术,2015-11-5,.,3.1信息安全基本技术,2015-11-5,.,信息加密：信息由可懂形式变为不可懂形式,2015-11-5,.,信息加密：对称密匙体制,2015-11-5,.,数据完整性：两种密匙体制均可用,正确密匙的信息保持的信息在传输过程的完整性消息认证MAC：使用HASH函数计算信息的“摘要”，将它连同信息发送给接收方，接收方重新计算“摘要”，并与收到得“摘要”比较，以验证消息在传输过程中的完整性。HASH函数的特点任何两个不同的输入不会产生相同的输出。因此一个被修改了的文件不可能有同样的摘要,2015-11-5,.,数据完整性（采用公匙）,2015-11-5,.,访问控制：保证系统资源不被非法窃取和使用,对主体访问壳体的权限或能力的限制，以及限制进入物理区域（出入控制）限制使用计算机系统资源（存在控制）,安全管理：审计,记录用户在系统中所有活动过程，也记录攻击者试图攻击系统的有关活动，这是防止内外攻击者的攻击、提高系统安全性的重要工具。它不仅能识别谁访问了系统，还能指示系统正被怎样的使用。,密匙管理,记录密匙生成、分发、使用、更换、销毁等全过程密匙设备状态管理涉密人员资料管理,2015-11-5,.,3.2信息安全技术的分类按信息安全模型分类,PDR防护、检测、响应防护、检测、响应、管理防护、管理、基础设施,2015-11-5,.,3.2.1安全管理技术,风险管理：漏洞扫描、渗透测试、安全评估、抗攻击测试（模拟黑客攻击，检验系统抗攻水平）监控管理：安全审计、入侵检测、内容与行为监控、（如BBS、聊天等站点监控，以及浏览、邮件等）、内容过滤、安全预警应急响应管理：备份与恢复、系统荣灾、容忍入侵、强生存技术设备与策略管理：安全设备管理（对全网安全设备的设备进行实时监控、流量统计等）、安全策略管理（安全策略管理、安全策略的一致性和完整性的检查等）密码管理：算法管理、密匙管理,2015-11-5,.,3.2.2安全管理技术,社会公共服务,基于PKI/PMI数字证书信任和授权体系；基于CC/TCSEC的信息安全产品和系统的测评与评估体系；计算机病毒防治与服务体系；网络应急响应与支援体系；灾难恢复基础设施；基于KMI的密匙管理基础设施。,2015-11-5,.,行政监管执法类,网络信息内容安全监控体系；网络犯罪监察与防范体系；电子信息保密监管体系；网络侦控与凡窃密体系；网络监控、预警与反击体系；知识产权保护相关技术（数字水印、信息隐藏、反拷贝技术、追踪技术）。,2015-11-5,.,3.2.3安全管理技术,物理安全防护：防电磁辐射、防光和声辐射网络安全防护：边界防护、安全互连与接入，移动安全接入、VPN（属综合安全技术，支持机密性、完整性、数据源认证、防攻击等）、访问控制网管、网络防火墙、网络防病毒、安全隔离、UTM网关主机安全防护：主机防病毒、主机防火墙、安全公文包、OS安全增强、数据库安全增强、安全中间件（无缝嵌入终端、服务器等主机系统，实现所需的安全功能，安全、透明）、安全电子邮件应用系统安全：安全认证、授权与访问控制、数字签名、电子印章,2015-11-5,.,公匙基础设施PKI：解决网络中数字证书的颁发管理，是网络信任体系的基础。解决“你是谁”的问题授权管理基础设施PMI：解决对信息系统访问使用的权限管理问题，是访问控制的前提。解决“你能干什么”的问题密匙管理基础设施KMI：主要解决在网络安全中存储加密、传输加密、安全认证等密码应用的密匙管理问题，是确保密码安全的关键要素。解决密匙生产、存储、分发、销毁等全生命周期的管理问题。,2015-11-5,.,3.3信息安全技术的发展趋势,安全技术一体化产品功能综合化安全保障体系化,2015-11-5,.,四、信息安全保障体系,2015-11-5,.,信息安全：20世纪7090年代，重点是确保计算机和网络的硬件、软件和传输、存储和处理信息的安全。主要安全威胁是非法访问、恶意代码、网络入侵、病毒破坏等。主要保障措施是安全操作系统（TCB）、防火墙、防病毒软件、漏洞扫描、入侵检测、PKI、VPN和安全管理其时代标志是1985年美国国防部公布的可信计算机系统评价标准（TCSEC）和ISO的安全评估准则CC（ISO15408）,.,4.1信息安全保障体系发展,通信保密时代：19世纪70年代前，重点是通过密码技术解决通信保密问题，主要安全威胁是搭线窃听和密码分析，采用的保障措施就是加密，确保保密性和完整性。其时代标志是1949年Shannon发表的保密通信的信息理论和1977年美国国家标准局公布的数据加密标准（DES）,历经了三代,2015-11-5,.,信息安全保障时代：90年代后期至今，不仅是对信息的保护，也包括信息系统的保护和防御，包括了对信息的保护、检测、反应和恢复能力。信息保障强调信息系统整个生命周期的防御和恢复，同时安全问题的出现和解决方案也超越纯技术范畴。典型标志是美国国家安全局制定的信息保障技术框架（IATF，美国国家安全局1998年发布），2002年9月发布了3.1版,2015-11-5,.,4.2信息安全保障的内涵,美国国防部关于信息保障的定义：“确保信息和信息系统的可用性、完整性、可认证性、机密性和不可否认性的保护和防范活动。它包括了以综合保护、检测、反应能力来提供信息系统的恢复”,2015-11-5,.,认得因素第一；管理是保证；技术是核心,2015-11-5,.,深入理解信息安全保障的内涵-2四个层面：本地计算机环境、边界、网络与基础设施、支撑性信息安全基础设施；五个状态：生产、存储、处理、传输、消亡；六个属性：机密性、完整性、真实性、抗抵赖性、可用性、可控性；七个环节：策略、防护、检测、响应、恢复、反击、预警,2015-11-5,.,与传统信息安全概念的主要变化系统工程思路：强调人、管理和技术、人是第一位的、管理是第二位的、技术是第三位的。整体安全技术：全面性、主动性、动态性、可再生性。纵深防御策略：层层设防，分级保护。,2015-11-5,.,2015-11-5,.,4.3信息安全保障体系的基本框架,2015-11-5,.,4.3.1人是信息安全的第一位因素,第一位因素信息系统是人建立的；信息系统是为人服务的；信息系统受人的行为影响。应依靠专业人才保障安全涉密意识、培训、教育安全意识、安全观念是核心承认系统漏洞客观存在正视安全威胁和攻击面对安全风险实施适度防护,2015-11-5,.,4.3.2管理是信息安全的保证,道德规范基础促进信息共享、尊重道德隐私、承担社会责任；国家利益为重、公共利益优先；政策指导技术应用、社会管理科技发展、产业发展法律准绳国家的法令单位要强调制度落实三分技术七分管理,2015-11-5,.,4.3.3技术是信息