信息安全技术与实施（第4版） 课件 项目1 信息安全技术基础

认识信息安全厚德强能、求实创新第一章任务1随着全球互联网的迅猛发展，越来越多的人亲身体会到了信息化给人们带来的实实在在的便利与实惠，然后任何事情都有两面性，信息化在给经济带来实惠的同时，也产生了新的威胁。目前“信息战”已经是现代战争克敌制胜的法宝，例如科索沃战争、海湾战争。尤其是美国“9.11事件”给世界各国的信息安全问题再次敲响了警钟，因为恐怖组织摧毁的不仅仅是世贸大厦，随之消失的还有众多公司的数据。自2003年元旦以来，蠕虫病毒“冲击波”对全球范围内的互联网发起了不同程度的攻击，制造了一场规模空前的互联网“网瘫”灾难事件。迄今为止，许多组织、单位、实体仍然没有完全走出“冲击波”和“震荡波”的阴影，而2007年的“熊猫烧香”又给互联网用户留下了深刻印象。计算机攻击事件正以每年64%的速度增加。另据统计，全球约20秒钟就有一次计算机入侵事件发生，Internet上的网络防火墙约1/4被突破，约有70%以上的网络信息主管人员报告因机密信息泄露而受到了损失。信息安全已经成为一个关系国家安全、社会稳定、民族文化继承和发扬的重要问题，引起了各国政府的高度重视，建立了专门的机构，并出台了相关标准与法规。没有网络安全就没有国家安全厚德强能、求实创新>>>>>2014年网络安全与信息化领导小组成立2016年中央网信办等六部委发布《关于加快网络安全学科建设和人才培养的意见》；第十二届全国人大常委会第二十四次会议通过《网络安全法》2019年第十三届全国人大常委会第十四次会议正式通过《密码法》2015年网络空间安全一级学课建设；中国人民解放军战略支援部队成立2020年第十三届全国人大常委会第二十次会议审议《数据安全法》（草案）2017年中央网信办、教育部实施一流网络安全学院建设示范项目信息安全基本概念1信息安全体系结构2信息安全模型框架3信息安全法规标准4信息的不同表述：英文、法文、德文、西班牙文：Information日文：情报台湾：资讯我国古代：消息“信息”的出现：作为科学术语最早出现在美国学者哈特莱于1928年撰写的《信息传输》一文中。信息的定义（经典定义）信息奠基人香农（Shannon）认为“信息是用来消除随机不确定性的东西”。控制论创始人维纳（NorbertWiener）认为“信息是人们在适应外部世界，并使这种适应反作用于外部世界的过程中，同外部世界进行互相交换的内容和名称”。信息的定义（本课程采用）信息是对客观世界中各种事物的运动状态和变化的反映，是客观事物之间相互联系和相互作用的表征，表现的是客观事物运动状态和变化的实质内容。1信息安全基本概念信息安全的定义什么是信息信息的理解信号是信息的载体。数据是记录信息的一种形式。知识是认识主体（人、猩猩等）加工、序化的信息。信息系统是由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。1信息安全基本概念信息安全的定义什么是信息ISO定义：为数据处理系统采取技术和管理的安全保护，使计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。美国NSTISSC定义：从技术和管理措施角度将信息安全定义为：对信息、系统及使用、存储和传输信息的硬件保护；从信息安全涉及的内容角度定义为：保护存储和传输中的数据不被他人有意或无意的窃取或破坏，包括信息设施及环境安全、数据安全、程序安全、系统安全。我国普遍采纳的定义：保护信息和信息系统不被未经授权的访问、使用、泄露、修改和破坏，为信息和信息系统提供保密性、完整性、可用性、可控性和不可否认性。信息安全的定义1信息安全基本概念0102微观层面，信息安全主要是指信息产生、制作、传播、收集、处理直到选取等信息传播与使用全过程中的信息资源安全，其主要的关注点集中在信息处理的安全、信息存储的安全以及网络传输信息内容的安全三个方面。宏观层面，信息安全是指一个国家的社会信息化状态和信息技术体系不受外来的威胁与侵害，强调的是社会信息化带来的信息安全问题，一方面是指具体的信息技术系统发展的安全，另一方面则是指某一特定信息体系（如国家的金融信息系统、作战指挥系统等）的安全。1信息安全基本概念信息安全的定义CIA三元组完整性（Integrity）：指信息未经授权不能进行更改的特性保密性（Confidentiality）：指信息不被泄露给非授权的实体（用户、进程等），或被其利用的特性可用性（Availability）：指信息可以被授权的实体访问并按需求使用的特性1信息安全基本概念信息安全的基本属性0102可控性（Controllability）：指对流通在信息系统中的信息传播和具体内容能够实现有效控制的特性，即对信息的内容、访问和传播具有控制能力不可否认性（Non-Repudiability）：也称不可抵赖性，是针对通信各方信息真实同一性的安全要求，即通信各方在通信过程中对于自己所生成、签发或接收的消息不可否认1信息安全基本概念【想一想】可控性、不可否认性分别涵盖了CIA三个基本属性的哪些属性？日常工作中，还有哪些信息安全属性?信息安全的基本属性关注的问题：远程通信中第三方的搭线窃听和密码学分析。主要技术手段：密码技术。机密性保证信息不泄露给未授权的人或设备。完整性保证信息未经授权不能被改变。1信息安全基本概念信息安全概念的演变20世纪40年代-70年代通信安全（COMSEC）CommunicationSecurity20世纪70年代-90年代计算机安全（COMPUSEC）ComputerSecurity20世纪90年代后信息系统安全（INFOSEC）InformationSecurity21世纪以后网络空间安全（CS/IA）CyberSecurityInformationAssurance20世纪40年代-70年代通信安全（COMSEC）CommunicationSecurity20世纪70年代-90年代计算机安全（COMPUSEC）ComputerSecurity20世纪90年代后信息系统安全（INFOSEC）InformationSecurity21世纪以后网络空间安全（CS/IA）CyberSecurityInformationAssurance关注的问题：预防、检测和减小计算机系统用户执行的未授权活动所造成的后果。主要技术手段：安全操作系统设计技术、访问控制技术等。机密性保证信息不泄露给未授权的人或设备。完整性保证信息未经授权不能被改变。可用性保证信息及信息系统能够为授权使用者正常使用。1信息安全基本概念信息安全概念的演变关注的问题：从计算机转向更具本质性的信息本身，继而关注信息系统的安全。主要技术手段：综合采用防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN等安全技术和产品。机密性保证信息不泄露给未授权的人或设备。完整性保证信息未经授权不能被改变。可用性保证信息及信息系统能够为授权使用者正常使用。不可否认性保证通信双方都不能否认发送和接受信息的行为。1信息安全基本概念信息安全概念的演变20世纪40年代-70年代通信安全（COMSEC）CommunicationSecurity20世纪70年代-90年代计算机安全（COMPUSEC）ComputerSecurity20世纪90年代后信息系统安全（INFOSEC）InformationSecurity21世纪以后网络空间安全（CS/IA）CyberSecurityInformationAssurance关注的问题：关注信息安全对国家政治、经济、文化、军事等全方位的影响。主要技术手段：建立防御、攻击和情报三位一体的信息安全保障体系。机密性保证信息不泄露给未授权的人或设备。完整性保证信息未经授权不能被改变。可用性保证信息及信息系统能够为授权使用者正常使用。不可否认性保证通信双方都不能否认发送和接受信息的行为。可控性/合规性保证功能行为的实际状态完全符合规定的安全状态。1信息安全基本概念信息安全概念的演变20世纪40年代-70年代通信安全（COMSEC）CommunicationSecurity20世纪70年代-90年代计算机安全（COMPUSEC）ComputerSecurity20世纪90年代后信息系统安全（INFOSEC）InformationSecurity21世纪以后网络空间安全（CS/IA）CyberSecurityInformationAssurance2信息安全体系结构【练一练】在网络空间安全背景下，要建立防御、攻击和情报三位一体信息安全保障体系，需要考虑哪些要素了？请学习动画内容进行总结。有能力系统性降低信息系统安全风险，并将潜在损失最小化。有助于通过信息安全/管理体系认证（如ISO27001），提升组织公信力与市场竞争力。有利于对信息资产进行全面系统性保护，保障业务连续性。有助于强化全员安全防范意识，规范组织及个人的安全行为。020301042信息安全体系结构（1）建立信息安全体系的意义X安全机制YOSI参考模型物理层链路层网络层传输层会话层表示层应用层加密数字签名访问控制数据完整性鉴别交换通信业务填充路由选择控制公证鉴别访问控制数据完整性数据保密性抗抵赖安全服务ZISO7498-2OSI安全体系结构2信息安全体系结构（2）信息安全体系结构模型0203安全攻击：任何危及信息和信息系统安全的行为，能够触发信息系统安全需求。01安全机制：用来检测、阻止攻击或从攻击状态恢复到正常状态的过程（或实现该过程的设备、系统、措施等），是安全技术的抽象表示，安全产品则是一种或多种安全机制的具体实现，能提供一种或多种安全服务。安全服务：加强数据处理系统或信息传输安全性的一种处理过程或通信服务，目的是利用一种或多种安全机制对攻击进行反制，可理解为安全需求的一种表示。（2）信息安全体系结构模型2信息安全体系结构在正常情况下，有一个信息流从一个信源(例如一个文件或主存储器的一个区域)流到一个目的地（例如另一个文件或一个用户）时，它的信息流动是这样的：信息源信宿A正常状态信息源信宿B中断信息源信宿C截获信息源信宿D篡改信息源信宿E伪造2信息安全体系结构（3）信息安全攻击类型攻击类型目标属性攻击行为典型场景中断可用性阻断服务或资源访问DDoS攻击、物理破坏截获机密性窃取未授权信息中间人攻击、网络嗅探篡改完整性非法修改数据或通信内容篡改邮件中的收款账户、中间人内容注入伪造真实性创建本不存在的虚假数据或实体伪造数字签名、仿冒合法网站2信息安全体系结构（3）信息安全攻击类型0102被动攻击：本质上是在传输中窃听或监视，其目的是试图从传输中截获信息，破坏的是信息的保密性。被动攻击涉及攻击者观察或监控系统、网络或设备活动，通常侧重于收集信息或情报，而不是造成损害或中断，因此不影响系统资源。被动攻击分为析出消息内容/窃听、流量分析两类。主动攻击：是指经过对数据流的某些篡改，或生成某些假的，甚至中断数据流等各种攻击方式破坏信息的完整性、可用性等，侧重于改变系统资源或影响其运行。主动攻击还能进一步划分为3类：篡改、中断和伪造。（3）信息安全攻击类型2信息安全体系结构鉴别服务：提供对通信中的对等实体和数据来源鉴别。对等实体鉴别用来确认通信过程中的对等实体是所需要的实体；数据原发鉴别服务是确认通信中所接收到的信息是具有它所声称的来源。访问控制服务：防止未授权的实体访问系统内的资源。包括对资源的不同类型的访问，如读、写、删除等。数据完整性服务：防止试图破坏、篡改信息资源的攻击，包括防止非法篡改信息，如修改、删除、插入、复制等。数据保密性服务：针对信息泄漏而采取的防御措施，包括对用户数据进行加密，或者使攻击者无法通过观察通信业务流量推断出其中的保密信息。抗抵赖服务：防止否认行为，分为原发抗抵赖和接收抗抵赖。原发抗抵赖是指数据发送者无法否认其发送数据的事实；接收抗抵赖是指数据接收者事后无法否认其收到过数据的事实。01030504022信息安全体系结构（4）安全服务（OSI五类）【想一想】ISO7498-2给出的5类安全服务并不全面，还有哪些常见的安全服务了0102030405060708加密机制:对应数据保密性服务，为其他安全机制起到补充作用。访问控制机制：既是一种服务，也是一种机制。鉴别交换机制：对应鉴别服务。路由选择控制机制：对应访问控制服务。数字签名机制：对应鉴别服务。数据完整性机制：对应数据完整性服务。通信业务填充机制：对应数据保密性服务。公证机制：对应抗抵赖服务。（5）安全机制（OSI八类）2信息安全体系结构安全服务安全机制加密数字签名访问控制数据完整性鉴别交换通信业务填充路由选择控制公证鉴别对等实体鉴别YY——Y———数据原发鉴别YY——————访问控制访问控制——Y—————保密性连接保密性Y—————Y—无连接保密性Y—————Y—选择字段保密性Y———————通信业务流保密性Y————YY—完整性待恢复的连接完整性Y——Y————不带恢复的连接完整性Y——Y————选择字段的连接完整性Y——Y————无连接完整性YY—Y————选择字段无连接完整性YY—Y————抗抵赖有数据原发证明的抗抵赖—Y—Y———Y有交付证明的抗抵赖—Y—Y———Y（6）安全服务与机制关系2信息安全体系结构安全服务、安全机制、OSI参考模型的对应关系是什么？X安全机制YOSI参考模型物理层链路层网络层传输层会话层表示层应用层加密数字签名访问控制数据完整性鉴别交换通信业务填充路由选择控制公证鉴别访问控制数据完整性数据保密性抗抵赖安全服务ZX+Y=?各层可以使用的安全技术、或方法Y+Z=?各层需要的安全服务X+Z=?支撑安全服务的技术、方法或产品2信息安全体系结构安全攻击、安全需求、安全服务、安全机制和安全产品之间存在什么样的逻辑关系?安全服务安全机制确定实现安全机制怎么实现安全产品载体安全服务怎么确定安全需求满足确定安全需求怎么确定安全攻击触发检测评估发现2信息安全体系结构课后拓展：信息安全事件调研请查询视频中所提到的相关网络安全事件的背景，分析涉及到的安全攻击类型，以及对信息安全属性的影响，应该采取哪些安全机制，部署哪些安全服务防范类似事件的发生。信息安全模型与法律法规厚德强能、求实创新第一章任务2信息安全模型框架1信息安全法规标准2基本操作训练3厚德强能、求实创新1信息安全模型框架PDR模型主要包括:保护（Protection）检测（Detection）响应（Response）（1）PDR模型厚德强能、求实创新1信息安全模型框架（1）PDR模型（1）Pt：在攻击发生时，有效防御攻击并保护信息系统的时间。（2）Dt：在攻击发生时，检测到攻击行为所需的时间。（3）Rt：在检测到攻击后，做出有效响应来阻止攻击所需的时间。PDR模型用下列时间关系表达式来说明信息系统是否安全。（1）Pt>Dt+Rt，说明信息系统处于安全状态，即在安全机制针对攻击、破坏行为做出了成功的检测和响应时，安全控制措施依然在发挥有效的保护作用，攻击行为未给信息系统造成损失。（2）Pt<Dt+Rt，说明信息系统处于非安全状态，即信息系统的安全控制措施的保护作用，在正确的检测和响应做出之前就已经失效了，破坏、攻击行为已经给信息系统造成了实质性破坏和影响。厚德强能、求实创新Pt城墙支撑攻击时间；Dt守军发现敌军的时间；Rt守军解决敌军进攻的时间。1信息安全模型框架（1）PDR模型厚德强能、求实创新安全状态：Pt>Dt+Rt暴露时间：Et=Dt+Rt-Pt木桶效应最早体现主动防御思想的一种网络安全模型1信息安全模型框架（1）PDR模型厚德强能、求实创新1信息安全模型框架（2）PPDR模型PPDR模型主要包括4个部分：策略（Policy）保护（Protection）检测（Detection）响应（Response）厚德强能、求实创新1信息安全模型框架(3）PDRR模型PDRR模型主要包括4个部分：防护（Prevent）检测（Detect）响应（Respond）恢复（Recover）厚德强能、求实创新1信息安全模型框架(4）WPDRRC模型WPDRRC模型主要包括6个部分：防护（Prevent）检测（Detect）响应（Respond）恢复（Recover）预警（Waring）反击（Counterattack）厚德强能、求实创新(5）WPDRRC模型1信息安全模型框架IATF:1个核心思想3个核心要素4个技术领域厚德强能、求实创新正确答案为：ABD测试1信息安全模型框架厚德强能、求实创新PDR模型中，要实现安全，防护时间（Pt)、检测时间（Dt）、响应时间（Rt）之间的关系应该是（）。A、Pt<Dt+RtB、Pt>Dt+RtC、Dt<Pt+RtD、Dt>Pt+Rt《2020年网络与信息安全管理大赛题库》测试1信息安全模型框架厚德强能、求实创新PPDR模型由以下哪几个主要部分组成().A、策略(Policy)B、防护(Protection)C、检测(Detection)D、响应(Response)E、重复(Repeat)测试1信息安全模型框架厚德强能、求实创新2信息安全法规标准>>>>>2014年网络安全与信息化领导小组成立2016年中央网信办等六部委发布《关于加快网络安全学科建设和人才培养的意见》；第十二届全国人大常委会第二十四次会议通过《网络安全法》2019年第十三届全国人大常委会第十四次会议正式通过《密码法》2015年网络空间安全一级学课建设；中国人民解放军战略支援部队成立2017年中央网信办、教育部实施一流网络安全学院建设示范项目2020年第十三届全国人大常委会第二十次会议审议《数据安全法》（草案）厚德强能、求实创新树立正确的网络安全观网络安全法2017年6月1日我国从1994年起，已针对信息系统安全保护、国际联网管理、商用密码管理、计算机病毒防治和安全产品检测与销售5方面制定并发布了《中华人民共和国计算机信息系统安全保护条例》。2017年6月1日正式实施的《中华人民共和国网络安全法》。第二十七条任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具；明知他人从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。2信息安全法规标准厚德强能、求实创新实验一：用DOS命令，在D盘建立文件夹“批处理”，在该文件夹下建立内容为“md123”、文件名为“新建文件夹123”的txt文件。实验二：在windows窗口，找到“新建文件夹123”的txt文件，将其另存为bat文件，双击运行bat文件，查看是否产生新文件夹“123”？3基本操作训练厚德强能、求实创新3基本操作训练盘符+“：”：直接进入相应盘符；cd+"文件名"：进入相应盘符下的文件夹(前提在盘符下有这个文件夹)；cd+“..”：返回目录的上一个目录；cd+“/”：返回盘符的根目录；dir：显示当前目录下的所有文件；md+“文件名“：建立文件夹；rd+“文件名“：删除文件夹；echo+“内容“>“文件名“.txt：在当前位置建立记事本文件；del+“文件名“.文件类型：删除文件：cls:清屏。网络数据捕获实验厚德强能、求实创新第一章任务3Wireshark捕获工具介绍1Wireshark捕获与过滤流量2查看网络连接的“三次握手”3网卡的工作模式4Wireshark使用进阶5厚德强能、求实创新wireshark是非常流行的网络封包分析软件，简称小鲨鱼，功能十分强大。可以截取各种网络封包，显示网络封包的详细信息。wireshark是开源软件，可以放心使用。可以运行在Windows和MacOS上。对应的，linux下的抓包工具是tcpdump。使用wireshark的人必须了解网络协议，否则就看不懂wireshark了。1Wireshark捕获工具介绍1.网络管理员会使用wireshark来检查网络问题2.软件测试工程师使用wireshark抓包，来分析自己测试的软件3.从事socket编程的工程师会用wireshark来调试4.运维人员用于日常工作，应急响应等等总之跟网络相关的东西，都可能会用到wireshark1、wireshark是什么？2、Wireshark常用应用场景厚德强能、求实创新Wireshark软件安装软件下载路径：/按照系统版本选择下载，下载完成后，按照软件提示一路Next安装。1Wireshark捕获工具介绍厚德强能、求实创新Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。Wireshark使用的环境大致分为两种，一种是电脑直连网络的单机环境，另外一种就是应用比较多的网络环境，即连接交换机的情况。「单机情况」下，Wireshark直接抓取本机网卡的网络流量；「交换机情况」下，Wireshark通过端口镜像、ARP欺骗等方式获取局域网中的网络流量。端口镜像：利用交换机的接口，将局域网的网络流量转发到指定电脑的网卡上。ARP欺骗：交换机根据MAC地址转发数据，伪装其他终端的MAC地址，从而获取局域网的网络流量。Wireshark的捕获机制是监听并复制数据包流经指定接口的数据供分析使用。●监听指定接口的数据流Wireshark会监控用户选择的网络接口(以太网、Wi-Fi等)上的数据流。●复制数据包到本地分析Wireshark不会对网络上的实际数据包产生影响，而是将通过接口捕获到的数据包复制到本地内存中，并将其按照时间顺序记录。捕获到的数据包会被存储在内存或临时文件中，并可保存为pcap文件供后续分析，若选不保存则是删除本地复制的数据包无法恢复。1Wireshark捕获工具介绍3、Wireshark工作原理厚德强能、求实创新2Wireshark捕获与过滤流量厚德强能、求实创新Wireshark的主界面包含6个部分：菜单栏：用于调试、配置工具栏：常用功能的快捷方式过滤栏：指定过滤条件，过滤数据包数据包列表：核心区域，每一行就是一个数据包数据包详情：数据包的详细数据数据包字节：数据包对应的字节流，二进制2Wireshark捕获与过滤流量厚德强能、求实创新2Wireshark捕获与过滤流量厚德强能、求实创新3查看网络连接的“三次握手”Step1：客户端发送一个SYN=1，ACK=0标志的数据包给服务端，请求进行连接，这是第一次握手；Step2：服务端收到请求并且允许连接的话，就会发送一个SYN=1，ACK=1标志的数据包给发送端，告诉它，可以通讯了，并且让客户端发送一个确认数据包，这是第二次握手；Step3：服务端发送一个SYN=0，ACK=1的数据包给客户端端，告诉它连接已被确认，这就是第三次握手。TCP连接建立，开始通讯。厚德强能、求实创新3查看网络连接的“三次握手”厚德强能、求实创新4网卡的工作模式网卡的工作模式有四种分别是直接模式、广播模式、混杂模式、多播模式。直接模式、广播模式、多播模式、混杂模式——是从数据包过滤

的角度来划分的网卡工作模式。这决定了网卡接收到一个数据帧后，哪些应该被接收并上传给操作系统，哪些应该被直接丢弃。厚德强能、求实创新4网卡的工作模式（1）混杂模式这是最不加过滤的模式。处于混杂模式的网卡会捕获所有流经其网络媒介（如网线）的数据帧，而不仅仅是发给它的数据帧。它会无视数据帧头中的目的MAC地址，将所有数据包一律接收并上传给操作系统。应用场景：网络协议分析：这是Wireshark、tcpdump

等抓包工具能够工作的基础。为了监控网络流量、诊断网络问题，必须将网卡设置为混杂模式。入侵检测系统/网络安全监控：安全设备需要分析网络中所有的流量，以检测恶意行为或攻击模式。网络桥接：在网络设备（如交换机、路由器）中，需要看到所有端口的数据才能进行转发决策。注意：在普通的交换网络环境中，由于交换机只会将单播流量发送到特定的端口，所以即使开启混杂模式，也未必能抓到所有主机的通信（需要交换机做端口镜像等配合）厚德强能、求实创新4网卡的工作模式（2）广播模式网卡会接收所有目的地址为广播地址的数据帧。广播地址是一个特殊的MAC地址（FF:FF:FF:FF:FF:FF），代表网络中的所有设备。这是网卡的默认基础能力，通常不需要单独“开启”，因为其他模式（如直接模式）也默认包含对广播包的接收。应用场景：ARP请求：当一台电脑需要知道另一个IP地址对应的MAC地址时，它会发送一个广播帧询问“谁的IP是XXX.XXX.XXX.XXX？”。DHCP：电脑在获取IP地址时，会向网络发送DHCPDiscover广播包。网络发现协议：许多网络服务通过广播来宣告自己的存在或发现其他服务。厚德强能、求实创新4网