《信息系统安全概述》PPT课件

1,中国计算机学会“21世纪大学本科计算机专业系列教材”信息安全原理及应用,阙喜戎等编著,信息工程学院景旭jingxu,KCOJGTGCICKPUQTTA,Iamhereagain,sorry,105,97,109,104,101,114,101,97,103,97,105,110,115,111,114,114,121,-67,-112,78,107,-87,103,-48,43,-58,-113,-122,116,18,-38,51,-101,24,100,114,-66,-74,40,-76,-72,2,侦探Morse的疑惑,YourpackagereadyFriday21stroomthreepleasedestroythisimmediately,3,本课程前言,课程定位：网络中的信息安全课程重点：重在应用课程主要内容：加密、鉴别、认证课程目标：阐述现代密技术的原理及其在信息安全中的应用。了解密码学基础理论(信息理论基础、复杂性理论基础)；理解加密算法及其理论基础(密码学的技术实现)；掌握密码协议和安全协议(密码学的实际运用)；常用系统安全及网络安全(实用技术)课程学习要求：原理要理解，数论不深究,4,本课程主要参考资料,刘玉珍等译.密码编码学与网络安全原理与实践.电子工业出版社，第三版,2004崔宝江.信息安全实验指导.国防工业出版社,2005蔡红柳.信息安全技术及应用实验.科学出版社.2005徐迎晓.Java安全性编程实例.清华大学出版社,2004,5,西北农林科技大学本科生学分制学籍管理规定(校教发2008233号)第十七条,学生因病因事不能上课须在学院教学秘书处办理请假手续，请假时数累计超过该课程教学时数1/3以上者，按缺课处理，无故旷课达6学时（迟到两次折合1学时）以上者，缺交作业（含实验报告）达1/3以上者，或未完成教师要求的报告、实验者，不得参加该课程考核，按缺课处理，并在成绩记载时注明“缺考”字样。缺考的课程不得补考，必须重修，旷课、迟到、缺交作业等由任课教师负责记录。,6,第1章信息系统安全概述,信息工程学院景旭jingxu,7,网络信息系统的脆弱性,网络信息系统：互相连接起来的独立自主的计算机信息系统的集合。从技术角度看，网络信息系统脆弱性的主要原因：网络的开放性:协议公开性使得容易被攻击；网络共享使得远程攻击得以实现；基于主机的信任社团容易假冒。组成网络的通信系统和信息系统的自身缺陷:微机安全结构过于简单；信息技术使得微机成为公用计算机；网络把计算机变成网络中的组成部分；操作系统存在安全缺陷。黑客（hacker）及病毒。,8,黑客,黑客的破坏性解密网上黑客七大类黑客与红客史上最强五大黑客与红客,9,有害程序(1),1.计算机病毒(1)能够利用系统进行自我复制和传播，通过特定事件触发是一种有害程序；(2)传统病毒：引导型、文件型、宏病毒；(3)邮件病毒。2.程序后门(1)绕开系统的安全检查，直接的程序入口，通常是由程序设计人员为各种目的预留的。(2)后门形成途径：黑客入侵植入；设备或程序员预留；远程服务预留隐蔽通道分析卿斯汉,10,有害程序(2),3.特洛伊木马冒充正常程序的有害程序，或包含在有用程序中的隐藏代码。当用户试图运行的时候将造成破坏。不能自我复制和传播。4.细菌本身没有强烈的破坏性，但通过自我复制，耗尽系统资源。5.蠕虫是通过某种网络载体，利用网络联机关系，从一个系统蔓延到另一个系统的程序。“莫里斯蠕虫”,11,计算机网络中有害程序危害的特点,网络的出现改变了病毒的传播方式几何级数式的传播。扩大了危害范围。增强了攻击的破坏力。,12,网络信息系统的主要威胁,从协议层次看，常见主要威胁：物理层:窃取、插入、删除等，但需要一定的设备。数据链路层:数据监听(预防措施：划分网段；交换机代替集线器；利用VLAN实现点对点通信)。网络层：IPV4没有考虑到安全问题。(常见攻击：IP欺骗;侦听源路由;路由协议如RIP攻击;利用ICMP的重定向破坏路由)传输层：TCP连接欺骗等针对传输层协议的漏洞的攻击。(SYNFlooding拒绝服务、伪造源端口、源地址)应用层：存在认证、访问控制、完整性、保密性等所有安全问题。(DNS缺少加密认证、NFS的RPC调用、Finger漏洞、匿名FTP和远程登录),IPV4协议格式,TCP包头格式,13,安全攻击的方式,正常的信息流从一个源（如一个文件或主存储器的一个区域）流到一个目的地（如另一个文件或一个用户）如图所示。,14,安全攻击方式：中断,中断：该系统的资产被破坏或变得不可利用或不能使用，这是对可用性的攻击。如：部分硬件的毁坏、一条通信线路的切断或某文件管理系统的失效。,15,安全攻击方式：截获,截获：一个未授权方获取了对某个资产的访问，这是机密性攻击。该未授权方可以是一个人、一个程序或一台计算机。如：在网线上搭线窃听以获取数据，违法复制文件或程序等。,16,安全攻击方式：篡改,篡改：未授权方不仅获得了访问，而且篡改了某些资产，这是对完整性的攻击。如：改变数据文件的值，改变程序使得它的执行结果不同，篡改在网络中传输的消息的内容等等。,17,安全攻击方式：伪造,伪造：未授权方将伪造的对象插入系统，这是对真实性的攻击。如：在网络中插入伪造的消息或为文件增加记录等。,18,攻击的种类,信息保障技术框架（IATF）3.0版中将攻击分为以下5类：被动攻击。主动攻击。物理临近攻击。内部人员攻击。软硬件配装攻击。,19,被动攻击,定义：在未经用户同意和认可的情况下将信息或数据文件泄露给系统攻击者，但不对数据信息做任何修改。常见手段：搭线监听、无线截获、其他截获。攻击方式：析出消息内容、通信量分析析出消息内容：破译电话交谈、电子邮件消息和传送的文件。通信量分析：通过测定通信主机的位置和标识，观察被交换消息的频率和长度。特点：不易被发现。预防措施：重点在于预防，如使用虚拟专用网（VPN）、采用加密技术保护网络以及使用加保护的分布式网络等,20,主动攻击,含义：涉及某些数据流的篡改或虚假流的产生。通常分为：假冒：一个实体假装为一个不同的实体。重放：一个数据单元的被动获取以及后继的重传，以产生一个未授权的效果。篡改消息：一个合法消息的某些部分被改变，或消息被延迟或改变顺序，以产生一个未授权的效果。拒绝服务：防止或禁止通信设施的正常使用或管理。特点：能够检测出来，不易有效防止。预防措施：自动审计、入侵检测和完整性恢复。,21,物理临近,定义：指未授权个人以更改、收集或拒绝访问为目的而物理临近网络、系统或设备。,22,内部人员攻击,内部人员攻击分为恶意的或非恶意的；恶意攻击：指内部人员有计划的窃听、偷窃或损坏信息，或拒绝其他授权用户的访问。非恶意攻击：指通常由于粗心、知识缺乏或为了“完成工作”等无意间绕过安全策略但对系统产生了破坏的行为造成。,23,软硬件配置攻击,定义：又称为分发攻击，指在软硬件的生产工厂内或在产品分发过程中恶意修改硬件或软件。,24,安全目标,系统安全的目标：保护计算机和网络系统中的资源免受破坏、窃取和丢失。安全部件包括：计算机、网络设备、存储介质、软件和程序、各种数据、数据库、通信资源(信道、端口、带宽)最终目标:保护信息的安全。,25,网络信息安全的概念,系统安全指网络设备的硬件、操作系统和应用软件的安全；信息安全指各种信息的存储、传输的安全。网络安全依赖于两种技术：传统意义上的存取控制和授权，如访问空指表技术、口令验证技术；利用密码技术实现对信息的加密、身份鉴别；国际标准化组织“计算机安全”：为数据处理系统建立和采用的技术和管理上的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。网络因素的定义：保护网络系统中的各种资源不因偶然或恶意的原因而遭到占用、毁坏、更改和泄露，系统能够连续正常运行。,26,网络信息系统安全的基本需求(1),保密性(Confidentiality):信息不泄露给非授权用户/实体/过程，不被非法利用。典型攻击：监听、流量分析保障手段：加密技术、存储保密的访问控制完整性(Integrity):数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失。典型攻击：篡改保障手段：加密、数字签名、散列函数,27,可用性(Availability):可被授权实体访问并按需求使用的特性，即当需要时总能够存取所需的信息。典型攻击：拒绝服务保障手段：鉴别技术可控性(Controllability):对信息的传播及内容具有控制能力。典型攻击：越权访问保障手段：访问控制列表、身份鉴别、活动审计不可否认性（non-repudiation）:发送者不能否认其发送的信息。保障手段：数字签名、公证机制,网络信息系统安全的基本需求(2),28,安全服务,定义:为加强网络信息系统安全性及对抗安全攻击而采取的一系列措施。主要内容：安全机制、安全连接、安全协议、安全策略ISO7498-2(信息处理系统开放系统互连基本参考模型第2部分安全体系结构)中定义的五可选的安全服务包括：鉴别:保证真实性,包括对等实体鉴别和数据源鉴别；访问控制:防止非授权访问，保证可控性；数据保密:防止被动攻击；数据完整性:防止主动攻击，具有数据恢复功能；不可否认:防止抵赖,29,安全服务的实施位置,应用层可实现所有的安全服务，同一种安全服务可在不同层实现，安全保障各有特点,30,应用层提供安全服务的特点,位置：只能在通信两端的主机系统上实施。优点：安全策略和措施通常是基于用户制定的；对用户想要保护的数据具有完整的访问权，因而能很方便地提供一些服务；不必依赖操作系统来提供这些服务；对数据的实际含义有着充分的理解。缺点：针对每个应用单独设计一套安全机制。效率太低；对现有系统的兼容性太差；改动的程序太多，出现错误的概率大增，为系统带来更多的安全漏洞。,31,传输层提供安全服务的特点,位置：只能在通信两端的主机系统上实施。优点：与应用层安全相比，在传输层提供安全服务的好处是能为其上的各种应用提供安全服务，提供了更加细化的基于进程对进程的安全服务，这样现有的和未来的应用可以很方便地得到安全服务，而且在传输层的安全服务内容有变化时，只要接口不变，应用程序就不必改动。缺点：由于传输层很难获取关于每个用户的背景数据，实施时通常假定只有一个用户使用系统，所以很难满足针对每个用户的安全需求。,32,网络层提供安全服务的特点,位置：在端系统和路由器上都可以实现。优点：透明性，能提供主机对主机的安全服务，不要求传输层和应用层做改动，也不必为每个应用设计自己的安全机制；网络层支持以子网为基础的安全，子网可采用物理分段或逻辑分段，因而可很容易实现VPN和内联网，防止对网络资源的非法访问；密钥协商：由于多种传送协议和应用程序可共享由网络层提供的密钥管理架构，密钥协商的开销大大降低。缺点：无法实现针对用户和用户数据语义上的安全控制。,33,数据链路层提供安全服务的特点,位置：在链路的两端实现。优点：整个分组（包括分组头信息）都被加密，保密性强。缺点：使用范围有限。只有在专用链路上才能很好地工作，中间不能有转接点。,34,安全机制,定义：实现安全服务的技术手段，表现为操作系统、软硬件功能部件、管理程序以及它们的任意组合。ISO7498-2中的八类安全机制加密机制（Encryption）；数字签名机制（DigitalSignatureMechanisms）；访问控制机制（AccessControlMechanisms）；数据完整性机制（DataIntegrityMechanisms）；鉴别交换机制（AuthenticationMechanisms）；通信业务填充机制（TrafficPaddingMechanisms）；路由控制机制（RoutingControlMechanisms）；公证机制（NotarizationMechanisms）。,35,安全服务与安全机制的关系,36,安全策略,定义：指在一个特定的环境中，为保证提供一定级别的安全保护所必须遵守的规则。目的：决定采用何种方式和手段来保证安全。包括严格管理和先进技术具体策略包括：采用什么样的安全保障体系；确定网络资源的职责划分；制定使用规则；制定日常维护规程；确定在检测到安全问题或系统遭到破坏时应采用什么样的相应措施。,37,国外网络安全标准（1）,美国TCSEC(可信任计算机标准评估规则)。该标准是美国国防部制定80年代的。它将安全分为4个方面:安全政策、可说明性、安全保障和文档。在美国国防部虹系列(RainbowSeries)标准中有详细的描述。该标准将以上4个方面分为7个安全级别,从低到高依次为D、C1、C2、B1、B2、B3和A级：A级：绝对可信网络安全；B级：完全可信网络安全（B1、B2、B3）；C级：可信网络安全（C1、C2）；D级：不可信网络安全。问题：以保密和单点机为主。,38,国外网络安全标准（2）,欧洲ITSEC(欧洲信息安全技术评估规则)与TCSEC不同,它并不把保密措施直接与计算机功能相联系,而是只叙述技术安全的要求,把保密作为安全增强功能。另外,TCSEC把保密作为安全的重点,而ITSEC则把完整性、可用性与保密性作为同等重要的因素。ITSEC定义了从E0级(不满足品质)到E6级(形式化验证)的7个安全等级,对于每个系统,安全功能可分别定义。ITSEC预定义了10种功能,其中前5种与桔皮书中的C1-B3级非常相似。,39,国外网络安全标准（3）,加拿大CTCPEC(加拿大可信任计算标准)该标准将安全需求分为4个层次:机密性、完整性、可靠性和可说明性。对产品和评估过程强调功能和保证。分为7个保证级，通常称为EAL-1到EAL-7。美国联邦准则(FC)该标准参照了CTCPEC及TCSEC,其目的是提供TCSEC的升级版本,同时保护已有投资,但FC有很多缺陷,是一个过渡标准,后来结合ITSEC发展为联合公共准则CC。,40,国外网络安全标准（4）,信息技术安全评价通用准则(CC)CC的目的是想把已有的安全准则结合成一个统一的标准。该计划从1993年开始执行,1996年推出第一版。CC结合了FC及ITSEC的主要特征,它强调将安全的功能与保障（安全功能的可信度）分离,并将功能需求分为11类63族,将保障分为7类29族。99.7通过国际标准化组织认可,为ISO/IEC15408信息技术安全评估准则。,41,国外网络安全标准（5）,ISO安全体系结构标准在安全体系结构方面,ISO制定了国际标准ISO7498-2-1989信息处理系统开放系统互连基本参考模型第2部分安全体系结构。该标准为开放系统互连(OSI)描述了基本参考模型,为协调开发现有的与未来的系统互连标准建立起了一个框架。其任务是提供安全服务与有关机制的一般描述,确定在参考模型内部可以提供这些服务与机制的位置。,42,国外网络安全标准（6）,信息保障技术框架(IATF)。安全观点的演变：,43,国外网络安全标准（7）,信息保障技术框架(IATF)企图解决什么问题怎样定义信息保护需求和解决方案？现有的何种技术能够满足我的保护需求？什么样的机构资源能够帮助找到所需的保护？当前有哪些信息保障产品和服务市场?对IA方法和技术的研究关注点应放在哪里？信息保障的原则是什么？提出了“深度保卫战略”原则和“信息系统安全工程”的概念。,44,国外网络安全标准（8）,深度保卫战略的原则,45,从通信的角度，网络分为通信服务提供者和通信服务使用者。目标：安全可靠的跨越网络传输消息。安全通信技术需求：(1)对消息进行相关变换；(2)通信双方共享的密钥信息,通信服务提供者系统(1),46,通信服务提供者系统的安全模型,47,安全网络通信内容：(1)确定一个算法来执行安全性变换；(2)生成用于该算法的秘密信息；(3)研制通信双方秘密信息共享与发布方法；(4)确定双方使用的协议及通过加密算法和秘密信息来获取所需安全服务。,通信服务提供者系统(2),48,通信服务使用者系统,内涵：传统意义的信息系统，是存放和处理信息的场所安全需求：防止未授权访问和保证系统正常工作。,49,计算机安全参考模型,安全监视器提供参考功能和授权功能。实际表现形式是系统安全内核，由软件、硬件和固件来实现,50,通信服务使用者系统的安全模型,51,加密功能的实施方式,两种基本方式：链到链加密；端到端加密。,52,链到链加密方式（1）,在物理层或数据链路层实施加密机制。采用物理加密设备:链路所有数据加密、接入方便,53,链到链加密方式（2）,优点：主机维护加密设施，易于实现，对用户透明；能提供流量保密性；密钥管理简单；可提供主机鉴别；加/解密是在线。缺点：数据仅在传输线路上是加密；开销大；每段链路需要使用不同的密钥。,54,端到端加密方式（1）,数据在发送端被加密后,通过网络传输,到达接收端后才被解密,55,端到端加密方式（2）,优点：在发送端和中间节点上数据都是加密的，安全性好；能提供用户鉴别；提供了更灵活的保护手段。缺点：不能提供流量保密性；密钥管理系统复杂；加密是离线的。,56,两者的结合,57,端到端和链路加密的结合,过程：发送端主机先对数据包的用户数据部分用端到端加密密钥进行加密，整个数据包再用一个链到链加密密钥进行加密。优点：链到链的加密能抵抗流量分析攻击，端到端加密减少了网络节点中未加密数据处理带来的威胁。密钥管理：两种方式的密钥管理可以分开。网络管理员可以只关心物理层/数据链路层加密和相关的密钥管理，而每个用户只负责相应的端到端加密和相关的密钥管理。,58,流量攻击中可以获得的信息,流量分析中可得到信息：(1)通信双方的身份；(2)双方通信的频率和时间段；(3)交换的数据包的模式、长度和数量；(4)与通信双方某次特定的会话相关的事件。,59,流量的保密业务方式,链到链加密：流量填充端到端加密：在传输层或应用层将数据单元填充到同一长度。,60,本章小结,(1)了解本课程主要内容；(2)了解学习主要学习方法；(3)了解网络安全脆弱性问题;(4)了解安全需求和安全服务;(5)理解信息系统安全模型;(6)掌握加密功能实施的方式;(7)了解流量保密的意义。,61,课外阅读,信息安全现状和若干进展2002年中国信息安全状况综述国家863信息安全发展战略信息安全风险评估工具综述,62,作业,1、关键术语网络信息系统(P1)、计算机病毒(P2)、后门(P2)、特洛伊木马(P2)、假冒(P7)、重放(P7)、篡改消息(P7)、系统安全(P8)、信息安全(P8)、考虑网络因素的计算机安全(P9)、保密性(P9)、完整性(P10)、可用性(P10)、可控性(P9)、不可否认性(P10)、流量分析(p6)2、在规划一个安全的计算机网络时,必须考虑哪些内容?3、流量分析可以得到哪些信息?流量保密如何实现?4、比较链路加密和端到端加密的优缺点？5、网络信息系统安全需求有哪些？用什么安全服务提供这些需求？,63,国内外信息安全发展趋势,64,信息安全内涵,随着信息技术的发展与应用，信息安全的内涵在不断的延伸，从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性，进而又发展为“攻（攻击）、防（防范）、测（检测）、控（控制）、管（管理）、评（评估）”等多方面的基础理论和实施技术。信息安全是一个综合、交叉学科领域，它要综合利用数学、物理、通信和计算机诸多学科的长期知识积累和最新发展成果，进行自主创新研究，加强顶层设计，提出系统的、完整的，协同的解决方案。,65,国内外信息安全最新领域,目前，信息安全领域的焦点主要有：1）密码理论与技术；2）安全协议理论与技术；3）安全体系结构理论与技术；4）信息对抗理论与技术；5）网络安全与安全产品。,66,密码理论与技术研究现状及发展趋势(1),密码理论与技术主要包括两部分：基于数学的密码理论与技术包括公钥密码、分组密码、序列密码、认证码、数字签名、Hash函数、身份识别、密钥管理、PKI技术等。非数学的密码理论与技术包括信息隐形，量子密码，基于生物特征的识别理论与技术。目前最为人们所关注的实用密码技术是PKI技术。国外的PKI应用已经开始，但总的说来PKI技术仍在发展中。IDC公司认为：PKI技术将成为所有应用的计算基础结构的核心部件，包括那些越出传统网络界限的应用。B2B电子商务活动需要的认证、不可否认等只有PKI产品才有能力提供这些功能。,67,密码理论与技术研究现状及发展趋势(2),目前，国际上对非数学的密码理论与技术包括信息隐形，量子密码，基于生物特征的识别理论与技术等非常关注。信息隐藏将在未来网络中保护信息免于破坏起到重要作用。特别是图象叠加、数字水印、潜信道、隐匿协议等的理论与技术的研究已经引起人们的重视。基于生物特征比如手形、指纹、语音、视网膜、虹膜、脸形、DNA等的识别理论与技术已有所发展，形成了一些理论和技术，也形成了一些产品，这类产品往往由于成本高而未被广泛采用。,68,安全协议理论与技术研究现状及发展趋势,安全协议的研究主要包括安全协议的安全性分析方法研究和实用安全协议的设计与分析研究。安全协议的安全性分析方法主要有两类：一类是攻击检验方法；一类是形式化分析方法。实用安全协议有：电子商务协议，IPSec协议，TLS协议，简单网络管理协议（SNMP），PGP协议，PEM协议，S-HTTP协议，S/MIME协议等。,69,安全体系结构理论与技术研究现状及发展趋势,安全体系结构理论与技术主要包括：安全体系模型的建立及其形式化描述与分析，安全策略和机制的研究，检验和评估系统安全性的科学方法和准则的建立，符合这些模型、策略和准则的系统的研制（比如安全操作系统，安全数据库系统等）。80年代中期，美国国防部制订了“可信计算机系统安全评价准则”（TCSEC）。90年代初，英、法、德、荷四国联合提出了“信息技术安全评价准则”（ITSEC）。,70,信息对抗理论与技术研究现状及发展趋势,信息对抗理论与技术