信息安全原理与应用课件

1

信息安全原理与应用第一章绪论本章由王昭主写2内容体系密码学基础：对称密码(古典密码、现代对称分组密码、流密码）、非对称分组密码、散列算法（Hash)、数字签名、密码技术密码学应用：电子邮件的安全、身份鉴别、SSL/TLS网络安全：防火墙技术、网络攻防与入侵检测系统安全：访问控制、操作系统的安全、病毒……3

绪论什么是信息安全?信息为什么不安全？安全服务与网络安全模型信息安全的标准化机构4什么是信息安全(Security)？广义地说，信息就是消息。信息可以被交流、存储和使用。Securityis“thequalityorstateofbeingsecure--tobefreefromdanger”采取保护，防止来自攻击者的有意或无意的破坏。5传统方式下的信息安全复制品与原件存在不同对原始文件的修改总是会留下痕迹模仿的签名与原始的签名有差异用铅封来防止文件在传送中被非法阅读或篡改用保险柜来防止文件在保管中被盗窃、毁坏、非法阅读或篡改用签名或者图章来表明文件的真实性和有效性信息安全依赖于物理手段与行政管理6数字世界中的信息安全复制后的文件跟原始文件没有差别对原始文件的修改可以不留下痕迹无法象传统方式一样在文件上直接签名或盖章不能用传统的铅封来防止文件在传送中被非法阅读或篡改难以用类似于传统的保险柜来防止文件在保管中被盗窃、毁坏、非法阅读或篡改信息社会更加依赖于信息，信息的泄密、毁坏所产生的后果更严重信息安全无法完全依靠物理手段和行政管理7信息安全含义的历史变化通信保密（COMSEC）：60-70年代

信息保密信息安全（INFOSEC）：80-90年代

机密性、完整性、可用性、不可否认性等信息保障（IA）：90年代-8

基本的通讯模型通信的保密模型

通信安全-60年代（COMSEC）发方收方信源编码信道编码信道传输通信协议发方收方敌人信源编码信道编码信道传输通信协议密码9信息安全的含义

(80-90年代)信息安全的三个基本方面保密性Confidentiality

即保证信息为授权者享用而不泄漏给未经授权者。完整性Integrity数据完整性，未被未授权篡改或者损坏系统完整性，系统未被非授权操纵，按既定的功能运行可用性Availability

即保证信息和信息系统随时为授权者提供服务，而不要出现非授权者滥用却对授权者拒绝服务的情况。10

信息安全的其他方面不可否认性Non-repudiation：要求无论发送方还是接收方都不能抵赖所进行的传输鉴别Authentication

鉴别就是确认实体是它所声明的。适用于用户、进程、系统、信息等审计Accountability确保实体的活动可被跟踪可靠性Reliability特定行为和结果的一致性11信息保障InformationAssurance保护（Protect）检测（Detect）反应（React）恢复（Restore）保护Protect检测Detect反应React恢复Restore12P2DR安全模型以安全策略略为核心ISS（InternetSecuritySystemsInC.)提出CC定义的的安全概念念模型13对抗模型14动态模型/风险模型15效益安全模模型1617动态模型的的需求动态的攻击击动态的系统统动态的组织织发展的技术术……18P2DR安全模型策略：是模模型的核心心，具体的的实施过程程中，策略略意味着网网络安全要要达到的目目标。防护：安全全规章、安安全配置、、安全措施施检测：异常常监视、模模式发现响应：报告告、记录、、反应、恢恢复19安全——及时的检测测和处理Pt，保护时间；；Dt，检测时间间；Rt，响应时间间动态模型基于时间的的模型可以量化可以计算PtDtRt>+20安全的层面面实际上，一一个组织要要实现安全全的目标，，还需要在在实体、运行、数据、管理等多个层面面实现安全全。国家标准GB/T22239-2008《信息系统安安全等级保保护基本要要求》指出信息系系统的安全全需要从技术安全和管理安全两方面来实实现，技术术安全的方方面包括：：物理安全、网络安全、主机安全、应用安全和数据安全及及备份恢复复。21绪论什么是是信息息安全全?信息为为什么么不安安全？？安全服服务与与网络络安全全模型型信息安安全的的标准准化机机构22信息为为什么么不安安全信息需需要存存储...信息需需要共共享...信息需需要使使用...信息需需要交交换...信息需需要传传输...23攻击分分类被动攻攻击，如窃听听或者者偷窥窥，非常难难以被被检测测到，但可以以防范范releaseofmessagecontent信息内内容泄泄露trafficanalysis流量分分析主动攻攻击，常常是是对数数据流流的修修改，可以被被检测测到，但难以以防范范Masquerade伪装Replay重放modificationofmessage消息篡篡改denialofservice拒绝服服务24通信系系统典典型攻攻击各种不不同的的攻击击破坏坏了信信息安安全的的不同同特性性：机密性性:窃听、、业务务流分分析完整性性:篡改、、重放放、旁旁路、、木马马鉴别：：冒充充不可否否认性性：抵抵赖可用性性：拒拒绝服服务、、蠕虫虫病毒毒、中中断安全的的信息息交换换应满满足的的要求求：机机密性性、完完整性性、鉴鉴别、、不可可否认认性和和可用用性25正常信信息流流动设信息息是从从源地地址流流向目目的地地址，，那么么正常常的信信息流流向是是：26中断威威胁这种攻攻击使使信息息系统统毁坏坏或不不能使使用，，破坏坏可用用性（（availability）。如硬盘盘等毁毁坏，，通信信线路路的切切断，，文件件管理理系统统的瘫瘫痪等等。27窃听威威胁这种攻攻击破破坏保保密性性(confidentiality).攻击者者可以以是一一个人人，一一个程程序，，一台台计算算机。。这种攻攻击包包括搭搭线窃窃听，，文件件或程程序非非法拷拷贝。。28篡改威威胁攻击者者不仅仅介入入系统统而且且在系系统中中“瞎瞎捣乱乱”，，这种种攻击击破坏坏完整整性（（integrity）.这些攻攻击包包括改改变数数据文文件，，改变变程序序使之之不能能正确确执行行，修修改信信件内内容等等。29伪造威威胁攻击者者将伪伪造的的客体体插入入系统统中，，这种种攻击击破坏坏真实实性（（authenticity）。包括网网络中中发布布虚假假信息息，或或者在在邮件件中添添加伪伪造的的附件件等。。30冒充攻攻击一个实实体假假装成成另外外一个个实体体。在鉴别别过程程中，，获取取有效效鉴别别序列列，以以冒名名的方方式获获得部部分特特权。。31重放攻攻击获取有有效数数据段段以重重播的的方式式获取取对方方信任任。在远程程登录录时如如果一一个人人的口口令不不改变变，则则容易易被第第三者者获取取，并并用于于冒名名重放放。32拒绝服服务攻攻击破坏信信息系系统的的正常常运行行和管管理。。这种攻攻击往往往有有针对对性或或特定定目标标。例如发发送大大量垃垃圾信信件使使网络络过载载，以以降低低系统统性能能。33绪论什么是是信息息安全全?信息为为什么么不安安全？？安全服服务与与网络络安全全模型型信息安安全的的标准准化机机构34ISO7498-2，信息息安全全体系系结构构1989.2.15颁布，，确立立了基基于OSI参考模模型的的七层层协议议之上上的信信息安安全体体系结结构五大类类安全全服务务(机密性性、完完整性性、抗抗否认认、鉴鉴别、、访问问控制制））八类安安全机机制(加密、、数字字签名名、访访问控控制、、数据据完整整性、、鉴别别交换换、业业务流流填充充、路路由控控制、、公证证）OSI安全管管理ITUX.800，1991年颁布布35机密性性机密性性服务务是用用加密密的机机制实实现的的。加加密的的目的的有三三种：：需保护护的文文件经经过加加密可可以公公开存存放和和发送送.实现多多级控控制需需要。。构建加加密通通道的的需要要，防防止搭搭线窃窃听和和冒名名入侵侵。保密性性可以以分为为以下下四类类：连接保保密无连接接保密密选择字字段保保密信息流流机密密性密码算算法是是用于于加密密和解解密的36密码算算法分分类对称密密码算算法:Symmetric古典密密码classical代替密密码:简单代代替、、多多名或或同音音代替替、多多表代代替多字母母或多多码代代替换位密密码:现代对对称分分组密密码:DES、AES非对称称（公公钥））算法法Public-keyRSA、椭圆圆曲线线密码码ECC新的领领域：：量子子密码码、混混沌密密码、、DNA密码、、分布布式密密码37完整性性数据完完整性性是数数据本本身的的真实实性的的证明明。数数据完完整性性有两两个方方面:单个数数据单单元或或字段段的完完整性性数据单单元流流或字字段流流的完完整性性。完整性性可以以分为为以下下几类类:带恢复复的连连接完完整性性不带恢恢复的的连接接完整整性选择字字段连连接完完整性性无连接接完整整性选择字字段无无连接接完整整性38消息鉴鉴别消息鉴鉴别（（MessageAuthentication)：是一个个证实实收到到的消消息来来自可可信的的源点点且未未被篡篡改的的过程程。可用来来做鉴鉴别的的函数数分为为三类类：(1)消息加加密函函数(Messageencryption)用完整整信息息的密密文作作为对对信息息的鉴鉴别。。(2)消息鉴鉴别码码MAC(MessageAuthenticationCode)公开函函数+密钥产产生一一个固固定长长度的的值作作为鉴鉴别标标识(3)散列函函数(HashFunction)是一个个公开开的函函数，，它将将任意意长的的信息息映射射成一一个固固定长长度的的信息息。39鉴别鉴别就是确确认实实体是是它所所声明明的。。实体鉴鉴别（（身份份鉴别别）：某一实实体确确信与与之打打交道道的实实体正正是所所需要要的实实体。。数据来源鉴鉴别：鉴定某个数数据是否来来源于某个个特定的实实体。40访问控制一般概念——是针对越权权使用资源源的防御措措施。基本目标：：防止对任何何资源（如如计算资源源、通信资资源或信息息资源）进进行未授权权的访问。。从而使计算算机系统在在合法范围围内使用；；决定用户户能做什么么。未授权的访访问包括：：未经授权权的使用、、泄露、修修改、销毁毁信息以及及颁发指令令等。非法用户进进入系统。。合法用户对对系统资源源的非法使使用。41抗否认数字签名（（DigitalSignature）是一种防止止源点或终终点抵赖的的鉴别技术术。42安全服务与与TCP/IP协议层的关关系经典的通信信安全模型型4344四个基本任任务设计一个算算法，执行行安全相关关的转换，，算法应具具有足够的的安全强度度；生成该算法法所使用的的秘密信息息，也就是是密钥；设计秘密信信息的分布布与共享的的方法，也也就是密钥钥的分配方方案；设定通信双双方使用的的安全协议议，该协议议利用密码码算法和密密钥实现安安全服务。。信息访问安安全模型45信息安全的的技术体系系4647绪论什么是信息息安全?信息为什么么不安全？？安全服务与与网络安全全模型信息安全的的标准化机机构48建立标准的的好处和坏坏处好处:批量生产，降低成本相互兼容，为用户带来来方便弊端可能会阻滞滞技术发展展同一事物多多套标准49著名国际标标准化组织织国际标准化化组织（ISO）和国际电电工委员会会（IEC）国际电报和和电话咨询询委员会(CCITT)国际信息处处理联合会会第十一技技术委员会会（IFIPTC11）电气和电子子工程师学学会（IEEE）欧洲计算机机制造商协协会（ECMA）Internet体系结构委委员会（IAB）50美国国内与与信息安全全事物有关关的管理机机构主要有有国家安全全局（NSA）、国家标标准技术研研究所（NIST）、联邦调调查局（FBI）、高级研研究计划署署（ARPA）和国防部部信息局（（DISA）。他们有有各自授权权管理的领领域和业务务，同时，，这些机构构。通过信信息安全管管理职责上上的理解备备忘录和协协议备忘录录进行合作作。美国国家标标准协会（（ANSI）美国电子工工业协会（（EIA）美国国防部部（DoD）及国家计计算机安全全中心（NCSC）美国的标准准机构51安全组织机机构我国信息安安全标准化化工作我国国务院院授权履行行行政管理理职能和统统一管理全全国标准化化工作的主主管机构是是中国国家家标准化管管理委员会会。国家标标准化管理理委员会下下设有255个专业技术术委员会。。1984年成立了全全国信息技技术安全标标准化技术术委员会（（CITS），在国家家标准化管管理委员会会和信息产产业部的共共同领导下下负责全国国信息技术术领域以及及与ISO/IECJTC1相对应的标标准化工作作，下设24个分技术委委员会和特特别工作组组。已颁布的信信息技术安安全标准涉涉及信息技技术设备的的安全、信信息处理系系统开放系系统互联安安全体系结结构、数据据加密、数数字签名、、实体鉴别别、抗抵赖赖和防火墙墙安全技术术等。5253参考文献王昭，袁春春编著.陈钟审校.信息安全原原理与应用用.北京:电子工业出出版社，2010.WilliamStallings，孟庆树等等译.密码编码学学与网络安安全——原理与实践践（第四版版）.北京：电子子工业出版版社，2007赵战生.信息安全保保障技术发发展.863培训讲义.2001年8月6日.沈昌祥．信息安全工工程技术．2001年全国第五五次高级计计算机人才才培训班讲讲义赵战生．信息安全保保障的政策策、法规和和标准．2001年全国第五五次高级计计算机人才才培训班讲讲义参考文献赵战生，冯冯登国等.信息安全技技术浅谈.北京：科学出版社社，1999方滨兴.网络与信息息安全及其其前言技术术讲座[TCSEC1985]DepartmentofDefenseofUSA.TrustedComputerSystemEvaluationCriteria.(Orangebook)，，1985……549、静夜四无无邻，荒居居旧业贫。。。12月-2212月-22Thursday,December29,202210、雨雨中中黄黄叶叶树树，，灯灯下下白白头头人人。。。。03:47:4203:47:4203:4712/29/20223:47:42AM11、以我独独沈久，，愧君相相见频。。。12月-2203:47:4203:47Dec-2229-Dec-2212、故人江江海别，，几度隔隔山川。。。03:47:4203:47:4203:47Thursday,December29,202213、乍见翻翻疑梦，，相悲各各问年。。。12月-2212月-2203:47:4203:47:42December29,202214、他乡生白白发，旧国国见青山。。。29十二二月20223:47:42上上午03:47:4212月-2215、比比不不了了得得就就不不比比，，得得不不到到的的就就不不要要。。。。。十二二月月223:47上上午午12月月-2203:47December29,202216、行动动出成成果，，工作作出财财富。。。2022/12/293:47:4203:47:4229December202217、做前，能能够环视四四周；做时时，你只能能或者最好好沿着以脚脚为起点的的射线向前前。。3:47:42上上午3:47上上午03:47:4212月-229、没有失失败，只只有暂时时停止成成功！。。12月-2212月-22Thursday,December29,202210、很很多多事事情情努努力力了了未未必必有有结结果果，，但但是是不不努努力力却却什什么么改改变变也也没没有有。。。。03:47:4203:47:4203:4712/29/20223:47:42AM11、成功就是是日复一日日那一点点点小小努力力的积累。。。12月-2203:47:4203:47Dec-2229-Dec-2212、世世间间成成事事，，不不求求其其绝绝对对圆圆满满，，留留一一份份不不足足，，可可得得无无限限完完美美。。。。03:47:4203:47:4203:47Thursday,December29,202213、不知香香积寺，，数里入入云峰。。。12月-2212月-2203:47:4203:47:42December29,202214、意志坚强强的人能把把世界放在在手中像泥泥块一样任任意揉捏。。29十二二月20223:47:42上上午03:47:4212月-2215、楚塞三三湘接，，荆门九九派通。。。。十二月223:47上午午12月-2203:47December29,202216、少少年年十十五五二二十十时时，，步步行行夺夺得得胡胡马马骑骑。。。。2022/12/293:47:4203:47:4229December202217、空山