《网络安全引言》PPT课件

计算机与网络安全,2020/5/20,西安电子科技大学计算机学院,2,本节课程内容,认识你们的老师！上课的要求！怎么考核？这门课程学什么？课程概要及相关概念,2020/5/20,西安电子科技大学计算机学院,3,认识你们的老师！,马卓，博士，讲师通信地址：西安电子科技大学161#信箱电子邮箱：mazhuo个人主页：,2020/5/20,西安电子科技大学计算机学院,4,上课的要求,关于笔记关于纪律关于点名关于加分关于考试重点,2020/5/20,西安电子科技大学计算机学院,5,怎么考核？,方式：课堂讲授课外阅读设计实践读书报告考试：平时作业+设计实践读书报告(20%)笔试(80%),2020/5/20,西安电子科技大学计算机学院,6,这门课程学什么？,视频1视频2,2020/5/20,西安电子科技大学计算机学院,7,这门课程学什么？,密码学计算机安全网络安全Internet安全,2020/5/20,西安电子科技大学计算机学院,8,三个关键概念,计算机安全（ComputerSecurity）对于一个自动化的信息系统，采取保护措施确保信息系统资源（包括硬件、软件、固件、信息/数据和通信）的保密性、完整性、可用性。NIST计算机安全手册网络安全（NetworkSecurity）保护数据在传输中安全的方法互联网安全（InternetSecurity）保护数据安全通过互联网络的方法,2020/5/20,西安电子科技大学计算机学院,9,网络安全的核心需求,网络安全核心地位的三个关键目标保密性（Confidentiality）数据保密性隐私性完整性（Integrity）（包括不可否认性、真实性）数据完整性系统完整性可用性（Availability）真实性（Authenticity）可追朔性（Accountability）,2020/5/20,西安电子科技大学计算机学院,10,2020/5/20,西安电子科技大学计算机学院,10,教材和参考书,教材：WilliamStallings,Cryptographyandnetworksecurity:principlesandpractice,4rdEdition(中译本：密码编码学与网络安全原理与实践（第四版），电子工业出版社，2006.11),2020/5/20,西安电子科技大学计算机学院,11,2020/5/20,西安电子科技大学计算机学院,11,教材和参考书,参考教材：马建峰.计算机系统安全，西安电子科技大学出版社，2007.卢开澄计算机密码学计算机网络中的数据保密与安全（第3版）清华大学出版社，2003.BruceSchneier.AppliedCryptography,Protocols,algorithms,andsourcecodeinC(2ndEdition)，1996(中译本：应用密码学协议、算法与C源程序，机械工业出版社，2000.1)闵嗣鹤，初等数论，高等教育出版社，2003.,2020/5/20,西安电子科技大学计算机学院,12,课程内容,第一部分对称密码对称密码，古典算法和现代算法，DES和AES第二部分公钥密码公钥密码，RSA和ECC，公钥密码的应用第三部分网络安全密码算法和安全协议的应用，用户认证、电子邮件、IP安全和Web安全第四部分系统安全系统安全措施，入侵、病毒、蠕虫和防火墙技术,2020/5/20,西安电子科技大学计算机学院,13,学习目标,理解信息安全的基本原理和技术;了解一些最新研究成果;掌握网络与信息安全的理论基础,具备研究与实践的基本能力。,2020/5/20,西安电子科技大学计算机学院,14,引言,2020/5/20,西安电子科技大学计算机学院,15,网络安全现状,Internet一方面成为人们离不开的信息工具，同时也成为公开的攻击对象目标。网络的全球性、开放性、无缝连通性、共享性、动态性，使任何人都可以自由地接入Internet，其中有善者，也有恶者。恶意者时刻在试图穿透别人的系统，捣毁别人的信箱、散布破坏性信息、倾泻信息拉圾。,2020/5/20,西安电子科技大学计算机学院,16,Email,Web,ISP门户网站,复杂程度,时间,Internet变得越来越重要,2020/5/20,西安电子科技大学计算机学院,17,网络安全问题日益突出,2020/5/20,西安电子科技大学计算机学院,18,CERT有关安全事件的统计计算机紧急响应组织（CERT）,2020/5/20,西安电子科技大学计算机学院,19,2020/5/20,西安电子科技大学计算机学院,20,2011年网络安全事件,2011年末，中国公众经历了一次大规模个人信息泄露事件的洗礼，几乎人人自危。CSDN、天涯等众多互联网公司的账户密码信息被公开下载；12月4日伊朗捕获了一架美国RQ-170“哨兵”无人机；4月，索尼迄今为止遭遇到的规模最大的黑客攻击；3月，RSA被网络钓鱼；美国花旗银行6月8日证实，该银行系统日前被黑客侵入，21万北美地区银行卡用户的姓名、账户、电子邮箱等信息或遭泄露；,2020/5/20,西安电子科技大学计算机学院,21,到底是谁在攻击网络？通过什么样的手段攻击网络？,2020/5/20,西安电子科技大学计算机学院,22,WhoisAttackingSystems?,2020/5/20,西安电子科技大学计算机学院,23,网络中存在的安全威胁,系统穿透(Systempenetration)违反授权原则(Autherizationviolation)植入(Planting)通信监视(Communicutionsmonitoring)通信窜扰(Communicationstampering)中断(Interruption)拒绝服务(Denialofservice)否认(Repudiation)病毒,2020/5/20,西安电子科技大学计算机学院,24,思考如何保证网络安全？,2020/5/20,西安电子科技大学计算机学院,25,OSI安全框架,ITU-TX.800“SecurityArchitectureforOSI”即OSI安全框架；提供了一个定义和提供安全需求的系统化方法；提供了一个有用的学习研究的概貌。,ITU:国际电信联盟OSI:开放式系统互联,2020/5/20,西安电子科技大学计算机学院,26,OSI安全框架,安全攻击，securityattack任何危及系统信息安全的活动。安全服务，securityservice加强数据处理系统和信息传输的安全性的一种服务。目的在于利用一种或多种安全机制阻止安全攻击。安全机制，securitymechanism用来保护系统免受侦听、阻止安全攻击及恢复系统的机制。,2020/5/20,西安电子科技大学计算机学院,27,安全攻击,攻击/威胁？攻击的类型被动攻击主动攻击,2020/5/20,西安电子科技大学计算机学院,28,被动攻击（1）,2020/5/20,西安电子科技大学计算机学院,29,被动攻击（2）,是在未经用户同意和认可的情况下将信息或数据文件泄露给系统攻击者，但不对数据信息做任何修改。常见手段：搭线监听；无线截获；其他截获。不易被发现。重点在于预防，如使用虚拟专用网（VPN）、采用加密技术保护网络以及使用加保护的分布式网络等。,2020/5/20,西安电子科技大学计算机学院,30,主动攻击（1）,2020/5/20,西安电子科技大学计算机学院,31,主动攻击（2）,涉及某些数据流的篡改或虚假流的产生。通常分为：假冒；重放；篡改消息；拒绝服务。能够检测出来。不易有效防止，具体措施包括自动审计、入侵检测和完整性恢复等。,2020/5/20,西安电子科技大学计算机学院,32,安全机制,要具备检测、防御或从安全攻击中恢复的能力没有单一的机制能够提供所有的安全服务一个机制往往构成其它安全机制的基础，如:加密技术,2020/5/20,西安电子科技大学计算机学院,33,安全机制(X.800),特定的安全机制（specificsecuritymechanisms）:加密，数字签名，访问控制，数据完整性，认证交换，流量填充，路由控制，公证等普遍的安全机制（pervasivesecuritymechanisms）:可信功能，安全标签，事件检测，安全审计跟踪，安全恢复等,2020/5/20,西安电子科技大学计算机学院,34,安全服务,强化一个组织的数据处理系统和信息传输中的安全性对安全攻击的反击采用一个或更多的安全机制对文档进行安全地分发例如签名，对信息进行保护以免披露、损害或毁坏,2020/5/20,西安电子科技大学计算机学院,35,安全服务,X.800:为系统协议层提供的服务，用来保证系统或数据的传输有足够的安全性。RFC2828:一种由系统提供的对系统资源进行特殊保护的处理或通信服务，安全服务通过安全机制来实现安全策略。,2020/5/20,西安电子科技大学计算机学院,36,安全服务(X.800),可认证性-assurancethatthecommunicatingentityistheoneclaimed访问控制-preventionoftheunauthorizeduseofaresource机密性Confidentiality-protectionofdatafromunauthorizeddisclosure完整性Integrity-assurancethatdatareceivedisassentbyanauthorizedentity不可否认性Non-repudiation-protectionagainstdenialbyoneofthepartiesinacommunication可用性-availability,2020/5/20,西安电子科技大学计算机学院,37,安全服务与机制间的关系,表1.6,2020/5/20,西安电子科技大学计算机学院,38,网络安全模型,2020/5/20,西安电子科技大学计算机学院,39,网络安全模型,设计安全服务应包含四个方面内容：设计执行安全相关传输的算法产生算法所使用的秘密信息设计分配和共享秘密信息的方法指明通信双方使用的协议，该协议利用安全算法和秘密信息实现安全服务,2020/5/20,西安电子科技大学计算机学院,40,网络访问安全模型,2020/5/20,西安电子科技大学计算机学院,41,网络访问安全模型,需要做到:选择合适的门卫功能以识别用户实现安全控制以确保只有授权用户才可以访问被指定的信息或资源可信计算机系统,2020/5/20,西安电子科技大学计算机学院,42,国外网络安全标准（1）,美国国防部TCSEC可信计算机系统标准评估准则(桔皮书)。该标准是美国国防部制定80年代的。它将安全分为4个方面:安全政策、可说明性、安全保障和文档。在美国国防部虹系列(RainbowSeries)标准中有详细的描述。该标准将以上4个方面分为7个安全级别,从低到高依次为D、C1、C2、B1、B2、B3和A1级：A1级：验证设计级；B3级：安全域级B2级：结构化保护级B1级：标记安全保护级完全可信网络安全（B1、B2、B3）；C2级：受控存取保护级；C1级：自主安全保护剂D级：不可信网络安全。问题：以保密和单点机为主。,2020/5/20,西安电子科技大学计算机学院,43,国外网络安全标准（2）,欧洲ITSEC与TCSEC不同,它并不把保密措施直接与计算机功能相联系,而是只叙述技术安全的要求,把保密作为安全增强功能。另外,TCSEC把保密作为安全的重点,而ITSEC则把完整性、可用性与保密性作为同等重要的因素。ITSEC定义了从E0级(不满足品质)到E6级(形式化验证)的7个安全等级,对于每个系统,安全功能可分别定义。ITSEC预定义了10种功能,其中前5种与桔皮书中的C1-B3级非常相似。,2020/5/20,西安电子科技大学计算机学院,44,国外网络安全标准（3）,加拿大CTCPEC该标准将安全需求分为4个层次:机密性、完整性、可靠性和可说明性。对产品和评估过程强调功能和保证。分为7个保证级，通常称为EAL-1到EAL-7。美国联邦准则(FC)该标准参照了CTCPEC及TCSEC,其目的是提供TCSEC的升级版本,同时保护已有投资,但FC有很多缺陷,是一个过渡标准,后来结合ITSEC发展为联合公共准则CC。,2020/5/20,西安电子科技大学计算机学院,45,国外网络安全标准（4）,信息技术安全评价通用准则(CC)CC的目的是想把已有的安全准则结合成一个统一的标准。该计划从1993年开始执行,1996年推出第一版。CC结合了FC及ITSEC的主要特征,它强调将安全的功能与保障（安全功能的可信度）分离,并将功能需求分为11类63族,将保障分为7类29族。99.7通过国际标准化组织认可,为ISO/IEC15408信息技术安全评估准则。,2020/5/20,西安电子科技大学计算机学院,46,国外网络安全标准（5）,ISO安全体系结构标准在安全体系结构方面,ISO制定了国际标准ISO7498-2-1989信息处理系统开放系统互连基本参考模型第2部分安全体系结构。该标准为开放系统互连(OSI)描述了基本参考模型,为协调开发现有的与未来的系统互连标准建立起了一个框架。其任务是提供安全服务与有关机制的一般描述,确定在参考模型内部可以提供这些服务与机制的位置。,2020/5/20,西安电子科技大学计算机学院,47,国外网络安全标准（6）,信息保障技术框架(IATF)。安全观点的演变：,2020/5/20,西安电子科技大学计算机学院,48,国外网络安全标准（7）,信息保障技术框架(IATF)企图解决什么问题怎样定义信息保