信息安全技术导论cha(2)

1、信息安全技术导论本课所需前序课程 本书是计算机、通信及信息管理等专业高年级本科生和研究生教材，需要学习的前序课程是高等数学、近世代数、计算机网络和操作系统。这些课程与本课的关系如下图所示。教学参考书 张焕国等译密码编码学与网络安全：原理与实践（第三版）,电子工业出版社，2001，4冯登国，网络安全原理与技术，科学出版社，2003，9王立斌、黄征等译,计算机安全学安全的艺术与科学,电子工业出版社，2006，1第一章 网络安全绪论 1信息安全现状安全威胁安全策略安全技术安全标准网络信息安全发展趋势展望计算机与网络技术的发展历程用户规模主要应用成熟期大型机小科学计算1960年代10年小型机/WAN1

2、970年代小7年部门内部PC / LAN1980年代中5年企业之间Client / Server1990年代大4年商家之间IntranetInternet2000年代商家与消费者之间服务为本 全球无所不在3年ExtranetInternetInternet 用户数百万Internet商业应用快速增长亿美元网络安全问题日益突出混合型威胁 (Red Code, Nimda)拒绝服务攻击(Yahoo!, eBay)发送大量邮件的病毒(Love Letter/Melissa)多变形病毒(Tequila)特洛伊木马病毒网络入侵70,00060,00050,00040,00030,00020,00010,

3、000已知威胁的数量典型应用环境的完全威胁与安全需求应用环境安全威胁安全需求所有网络假冒攻击阻止外部入侵银行完整性破坏假冒攻击，服务否认窃听攻击避免欺诈或交易的意外修改识别零售的交易顾客保护个人识别号确保顾客秘密电子交易假冒攻击，完整性破坏窃听攻击服务否认确保交易的起源和完整性保护共同秘密为交易提供合法的电子签名政府假冒攻击，侵权攻击，窃听，完整性破坏服务否认避免敏感信息未授权泄漏或修改政府文件提供电子签名公共电信载体假冒攻击，授权侵犯拒绝服务窃听攻击对授权的个人限制访问管理功能避免服务中断保护用户秘密互联/专用网络窃听攻击假冒攻击，完整性破坏保护团体/个人的秘密确保消息的真实性第一章 网络安

4、全绪论 2信息安全现状安全威胁安全策略安全技术安全标准网络信息安全发展趋势展望常见的安全威胁网络內部、外部洩密拒绝服务攻击特洛伊木马黑客攻击病毒，蠕虫系统漏洞潜信道第一章 网络安全绪论 3信息安全现状安全威胁安全策略安全技术安全标准网络信息安全发展趋势展望安全策略安全策略是针对网络和信息系统的安全需要，所做出允许什么、禁止什么的规定，通常可以使用数学方式来表达策略，将其表示为允许（安全）或不允许（不安全）的状态列表。安全策略分类物理安全策略 访问控制策略 信息加密策略 安全管理策略 第一章 网络安全绪论 4信息安全现状安全威胁安全策略安全技术安全标准网络信息安全发展趋势展望访问控制技术包括入网

5、访问控制、网络权限控制、目录级安全控制和属性安全控制等多种手段。访问控制技术防火墙技术网络入侵检测技术漏洞扫描技术 安全审计技术 现代密码技术安全协议 公钥基础设施（PKI） 其他安全技术 ，如容灾、备份第一章 网络安全绪论 5信息安全现状安全威胁安全策略安全技术安全标准网络信息安全发展趋势展望国际标准组织国际标准化组织（ISOInternational Organization Standardization）国际电报和电话咨询委员会(CCITT) 国际信息处理联合会第十一技术委员会（IFIP TC11） 电气与电子工程师学会（IEEE） Internet体系结构委员会（IAB） 美国国家标

6、准局(NBS)与美国商业部国家技术标准研究所(NIST)美国国家标准协会(ANSI) 美国国防部(DoD)及国家计算机安全中心(NCSC)国际可信任计算机评估标准20世纪70年代，美国国防部制定“可信计算机系统安全评价准则”（TCSEC)，为安全信息系统体系结构最早准则（只考虑保密性）；20世纪90年代，英、法、德、荷提出包括保密性、完整性、可用性概念的“信息技术安全评价准则”（ITSEC)，但未给出综合解决以上问题的理论模型和方案；近年，六国（美、加、英、法、德、荷）共同提出“信息技术安全评价通用准则”（CC for ITSEC)。TCSEC安全级别类别级别名称主要特征DD低级保护没有安全保

7、护CC1自主安全保护自主存储控制C2受控存储控制单独的可查性，安全标识BB1标识的安全保护强制存取控制，安全标识B2结构化保护面向安全的体系结构，较好的抗渗透能力B3安全区域存取控制，高抗渗透能力AA验证设计形式化的最高级描述和验证我国可信任计算机评估标准第一级 用户自主保护级：使用户具备自主安全保护的能力，保护用户信息免受非法的读写破坏；第二级 系统审计保护级：除前一个级别的安全功能外，要求创建维护访问的审计跟踪记录，使所有用户对自己的行为合法性负责；第三级 安全标记保护级：除前一个级别的安全功能外，要求以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象强制保护；第四级 结构化保护

8、级：除前一个级别的安全功能外，将安全保护机制划分为关键部分和非关键部分，对关键部分直接控制访问者对访问对象的存取，从而加强系统的抗渗透能力；第五级 访问验证保护级：特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动；OSI模型定义的安全服务第一章 网络安全绪论 6信息安全现状安全威胁安全策略安全技术安全标准网络信息安全发展趋势展望我国网络安全研究现状我国信息化建设基础设备依靠国外引进，信息安全防护能力只是处于相对安全阶段，无法做到自主性安全防护和有效监控（核心芯片、系统内核程序源码、大型应用系统）；信息安全学科的基础性研究工作信息安全评估方法学的研究尚处于跟踪学习研究阶段；国内开发

9、研制的一些防火墙、安全路由器、安全网关、“黑客”入侵检测、系统弱点扫描软件等在完善性、规范性、实用性方面还存许多不足，特别是在多平台的兼容性、多协议的适应性、多接口的满足性方面存在很大差距；我国网络安全研究现状制定了国家、行业信息安全管理的政策、法律、法规；按照国家通用准则建立了代表国家对信息安全产品、信息技术和信息系统安全性以及信息安全服务实施公正性评测的技术职能机构中国国家信息安全测评认证中心和行业中心；建立了支撑网络信息安全研究的国家重点实验室和部门实验室，各种学术会议相继召开，已出版许多专著、论文，在有关高等院校已建立了向关系所、开设了相关课程，并开始培养自己的硕士、博士研究生；附、常

10、见的网络安全协议PKCS(Public-key Cryptography Standards)由美国RSA数据安全公司RSA实验室在apple，Microsoft，DEC，Lotus，Sun，和MIT等机构非正式的咨询合作下开发的有关公开密钥密码的标准。SSL(Secure Socket Layer Handshake Protocol)SSL协议是Netscape公司开发的用于WWW上的会话层安全协议，它保护传递于用户浏览器和Web服务器之间的敏感数据，通过超文本传输协议(HTTP)或安全的超文本协议(S-HTTP)把密码应用于超文本环境中，从而提供多种安全服务。附、常见的网络安全协议S-H

11、TTP(Secure Hypertext Transfer Protocol)S-HTTP是Enterprise Integration Technologies最初开发,进一步开发于Terisa系统的安全协议。它基于WWW，提供保密、鉴别或认证、完整性和不可否认等服务，保证在Web上交换的媒体文本的安全。PTC(Private Communication Technology Protocol) PTC是Microsoft和Visa开发的在Internet上保密通信的协议，与SSL类似。其不同点是在客户和服务器之间包含了几个短的报文数据，鉴别和加密使用不同的密钥，并且提供了某种防火墙的功能。

12、附、常见的网络安全协议SWAN(Secure Wide Area Network)S/WAN设计基于IP层的安全协议，可以在IP层提供加密，保证防火墙和TCPIP产品的互操作，以便构作虚拟专网(VPN)。 SET(secure Electronic Transaction)SET是Visa，MasterCard合作开发的用于开放网络进行电子支付的安全协议，用于保护商店和银行之间的支付信息。SMIME(SecureMultipurpose Internet Mail Extension)S/MIME是用于多目的的电子邮件安全的报文安全协议，和报文安全协议(MSP)、邮件隐私增强协议(PEM)、MIME对象安全服务协议(MOSS)及PGP协议的目的一样