信息安全概论PPT1.ppt

1、信息安全概论,主讲人： 陈亮 ,课程介绍,信息安全学是一门新兴的学科，2004年成为一门正式的本科专业，目前已经成为很多科研机构和大专院校的一个重要研究领域。信息安全概论需要全面的阐述该学科目前的发展层次，研究内容以及最新的发展方向。 信息安全学是一门实践性很强的学科，因此除了对相关理论进行全面的讲解，还通过具体的实验、例子等更加具体形象的化解理论的枯燥和繁杂。,教材,信息安全概论 徐茂智 人民邮电出版社 2007 信息安全概论 石志国 清华大学出版社 2007 计算机密码学 卢开澄 清华大学出版社 2004,讲授内容,第1章 信息安全简介：介绍信息安全的发展历史，信息安全的概念和目标；安全威

2、胁与技术防护体系以及非技术因素。 第2章 信息安全体系结构： 介绍信息安全的技术体系结构概念，分层描述信息安全体系结构的组成。 第3章 密码基础：介绍密码学的基本概念，对称加密算法，公钥加密算法，哈希函数，数字签名算法以及当前密码学的新方向。 第4章 身份识别与消息鉴别：介绍身份识别的常用方法，包括基于口令的身份认证、传统密码的身份认证、基于公钥密码的身份认证以及基于生物特征的身份认证技术；介绍常见的消息鉴别方法，包括：基于对称加密的鉴别、消息鉴别码MAC、数字签名机制以及无条件安全鉴别码等。,第5章 访问控制理论：介绍常见的几种访问控制模型，包括：访问控制矩阵模型、Bell-Lapadula

3、模型、RBAC模型，介绍授权与访问控制实现框架，如KDC、PMI等。 第6章 网络安全：介绍网络安全的基本概念，介绍网络层的安全协议IPSec的体系结构、工作模式以及密钥管理机制；介绍防火墙的基本概念、分类、实现模型以及如何利用软件实现防火墙的规则集。介绍VPN的技术原理与应用；介绍入侵检测系统的概念、原理以及如何利用程序实现简单的入侵系统。 第7章 计算机系统安全：介绍操作系统的安全、数据库安全、计算机病毒与防护、计算机系统的备份与恢复等计算机系统安全相关问题，介绍可信任基和可信计算平台等理论框架。,第8章 应用安全：介绍应用层次上的安全问题，包括应用安全基础设施PKI，Web应用安全协议，

4、邮件安全等。 第9章 安全审计：介绍Linux/Unix/Windows操作系统中的日志存储及分析工具；介绍安全审计的相关定义和作用，以及基于主机/网络的安全审计系统；介绍计算机取证的基本概念、原则、步骤以及相应的工具软件。 第10章 信息安全评估与工程实现：介绍计算机信息系统安全保护等级划分准则；介绍可信计算机系统评估准则（TCSEC）和通用安全准则（CC）的层次结构；介绍信息安全工程的基本概念和SSE-CMM体系结构。,第1章 信息安全简介,信息技术的概念 信息安全的发展历史 信息安全的概念和目标 安全威胁与技术防护知识体系 信息安全中的非技术因素,信息技术的概念,信息是一种以特殊的物质形

5、态存在的实体，是一切生物进化的导向资源，信息是知识的来源、是决策的依据、是控制的灵魂、是思维的材料、是管理的基础。,信息的定义,1928年哈特莱（L. V. R. Hartley）认为信息是选择通信符号的方式，且用选择自由度来计量信息的大小。 1948年，美国数学家仙农（C. E. Shannon）认为信息是用来减少随机不定性的东西。1948年，维纳（N. Wiener）认为信息是人们在适应外部世界和这种适应反作用于外部世界的过程中，同外部世界进行互相交换的内容名称。 1988年，我国信息论专家钟义信教授在信息科学原理一书中把信息定义为事物的运动状态和状态变化的方式。并通过引入约束条件推导了信

6、息的概念体系，对信息进行了完整和准确的描述。,信息技术的概念,从信息的观点来看，人类认识世界和改造世界的过程，就是一个不断从外部世界的客体中获取信息，并对这些信息进行变换、传递、存储、处理、比较、分析、识别、判断、提取和输出，最终把大脑中产生的决策信息反作用于外部世界的过程。现代人类所利用的表征性资源是信息资源，表征性的科学技术是信息科学技术，表征性的工具是智能工具。,信息技术是指在计算机和通信技术支持下用以获取、加工、存储、变换、显示和传输文字、数值、图像、视频、音频以及语音信息，并且包括提供设备和信息服务两大方面的方法与设备的总称。也有人认为信息技术(Information Technol

7、ogy)简单地说就是3C，Computer（计算机）、Communication （通信）和Control（控制），即IT = Computer + Communication + Control。,通信保密科学的诞生,古罗马帝国时期的Caesar密码 1568年L.Battista发明了多表代替密码，并在美国南北战争期间由联军使用。 Vigenere密码和Beaufort密码（多表代替密码的典型例子）。 1854年Playfair发明了多字母代替密码，英国在第一次世界大战中采用了这种密码。 Hill密码是多字母代替密码的典型例子。,古典密码学诞生,1918年W.Friedman关于使用重合指

8、数破译多表代替密码。 1949年C.Shannon的文章保密系统的通信理论发表在贝尔系统技术杂志上。 1974年IBM提出商用算法DES（NIST标准 ）。,密码技术从艺术变为科学。通信保密诞生,信息安全的发展历史,公钥密码学革命,1976年Diffie、Hellman提出公开密钥密码思想 1977年Rivest、Shamir、Adleman 设计了一种公开密钥密码系统,公钥密码学诞生,理论价值 一、突破Shannon理论，从计算复杂性上刻画密码算法的强度 二、它把传统密码算法中两个密钥管理中的保密性要求，转换为保护其中一个的保密性及保护另一个的完整性的要求。 三、它把传统密码算法中密钥归属从

9、通信两方变为一个单独的用户，从而使密钥的管理复杂度有了较大下降。,对信息安全应用的意义 一是密码学的研究已经逐步超越了数据的通信保密性范围，同时开展了对数据的完整性、数字签名技术的研究。 随着计算机及其网络的发展，密码学已逐步成为计算机安全、网络安全的重要支柱，使得数据安全成为信息安全的核心内容，超越了以往物理安全占据计算机安全主导地位的状态,访问控制技术与可信计算机评估准则,1969年B. Lampson提出了访问控制的矩阵模型。 模型中提出了主体与客体的概念 客体：是指信息的载体，主要指文件、数据库等 主体：是指引起信息在客体之间流动的人、进程或设备 访问：是指主体对客体的操作，如读、写、

10、删除等，所有可允许访问属性：是指操作的集合。 计算机系统中全体主体作为行指标、全体客体作为列指标、取值为访问属性的矩阵就可以描述一种访问策略。,评价： 可以设想随着计算机所处理问题的复杂性的增加，不可能显式地表示一个计算机的访问控制矩阵。所以用访问控制矩阵来实施访问控制是不现实的。,1973年D.Bell和L.Lapadula创立了一种模拟军事安全策略的计算机操作模型。 把计算机系统看成是一个有限状态机，为主体和客体定义了密级和范畴。 定义了满足一些特性（如简单安全特性SS）的安全状态概念。 证明了系统从安全状态出发，经过限制性的状态转移总能保持状态的安全性。,评价： 模型使得人们不需要直接管

11、理访问控制矩阵，而且可以获得可证明的安全特征。 Bell-Lapadula模型主要是面向多密级数据的机密性保护的，它对数据的完整性或系统的其他安全需求刻画不够。,1985年美国国防部DoD提出了可信计算机评估准则（TCSEC）通常称为橘皮书 在Bell-Lapadula模型的基础上按照计算机系统的安全防护能力，分成8个等级。,评价： 对军用计算机系统的安全等级认证起到了重要作用。而且对后来的信息安全评估标准的建立起到了重要参考作用。,其他访问控制模型 1977年提出的针对完整性保护的Biba模型、1987年提出的侧重完整性和商业应用的Clark-Wilson模型 2000年提出基于角色的访问控

12、制模型（RBAC） 权限管理基础设施（PMI）概念则使得访问控制技术在网络环境下能方便地实施,网络环境下的信息安全,互联网出现 攻击手段增多 应用范围扩大 安全技术多样化,信息保障,1998年10月，美国国家安全局（NSA）颁布了信息保障技术框架（IATF）1.1版，2002年9月，又颁布了3.1版本。另一方面，美国国防部（DoD）于2003年2月6日颁布了信息保障的实施的命令8500.2，从而使信息保障成为美国军方组织实施信息化作战的既定指导思想。 美国国防部对信息保障（Information Assurance，IA）的定义是“通过确保信息的可用性、完整性、可识别性、保密性和抗抵赖性来保护

13、信息和信息系统，同时引入保护、检测及响应能力，为信息系统提供恢复功能。” 这就是信息保障的PDRR模型。PDRR是指保护（Protect）、检测（Detect）、响应（React）和恢复（Restore）。 美国信息保障技术框架的推进，使人们对信息安全的认识不仅仅停留在保护的框架之下，同时还需要注意信息系统的检测、响应能力。该框架还对实施提出了相当细致的要求。从而对信息安全的概念和相关技术的形成将会产生重大影响。,信息安全的概念和目标,信息安全的概念随着网络与信息技术的发展不断地发展，其含义也在动态的变化。 1970年前：计算机系统中的数据泄漏控制和通信系统中数据的保密 199x年：保密性、完

14、整性和可用性来衡量信息安全的。,信息安全的定义,局限性： 这种安全概念仍然停留在“数据”的层面上,例：在用户之间进行身份识别的过程中，虽然形式上是通过数据的交换实现，但等身份识别的目的达到以后，交换的中间数据就变得毫无用处了。我们如果仅仅通过逐包保护这些交换数据的安全是不充分的，原因是这里传递的是身份“信息”而不是身份“数据”。还可以举出很多其他例子来说明仅仅考虑数据安全是不够的。这使我们注意到信息安全与数据安全相比有了实质性的扩展。,信息数据,信息安全是研究在特定的应用环境下，依据特定的安全策略，对信息及其系统实施防护、检测和恢复的科学。 这里安全策略表示人们在特定应用环境下对信息安全的要求

15、。 该定义明确了信息安全的保护对象、保护目标和方法。,信息安全的目标与方法,信息安全的保护对象：信息及其系统 安全目标：由安全策略定义。 信息系统的安全策略是由一些具体的安全目标组成的。不同的安全策略表现为不同的安全目标的集合。安全目标通常被描述为“允许谁怎样使用系统中的哪种资源”、“不允许谁怎样使用系统中的哪种资源”或事务实现中各“参与者的行为规则是什么”等。 安全目标有时候称为安全服务或安全功能,安全目标分类： 数据安全、事务安全、系统安全（包括网络系统与计算机系统安全）三类。,信息安全的目标与方法,数据安全主要涉及数据的机密性与完整性； 事务安全主要涉及身份识别、抗抵赖性等多方计算安全；

16、 系统安全主要涉及身份识别、访问控制、可用性。,安全策略中的安全目标通过一些方法、工具和过程来实现，这些方法称为安全机制。 安全机制分类： 防护、检测、恢复 防护机制包括密码技术（指加密、身份识别、消息鉴别、数字签名）、访问控制技术、通信量填充、路由控制、信息隐藏技术等； 检测机制则包括审计、验证技术、入侵检测、漏洞扫描等； 恢复机制包括状态恢复、数据恢复等。,信息安全的目标和方法,总结,信息安全的定义 信息安全是研究在特定的应用环境下，依据特定的安全策略，对信息及其系统实施防护、检测和恢复的科学。 安全目标的内涵： 数据安全主要涉及数据的机密性与完整性； 事务安全主要涉及身份识别、抗抵赖等多

17、方计算安全； 系统安全主要涉及身份识别、访问控制、可用性。 安全机制内涵： 防护机制包括密码技术（指加密、身份识别、消息鉴别、数字签名）、访问控制技术、通信量填充、路由控制、信息隐藏技术等； 检测机制则包括审计、验证技术、入侵检测、漏洞扫描等； 恢复机制包括状态恢复、数据恢复等。,安全威胁与技术防护知识体系,三类安全目标之间的层次关系 下层的安全为上层的安全提供一定的保障（assurance），但不提供安全服务。 在实现上层的安全性中经常需要下层的安全做基础，但上层的安全不能指望对下层的功能调用来实现，需要用专门的安全机制实现。,计算机系统中的安全威胁,内部网网络计算机,计算机系统指用于信息存

18、储、信息加工的设施。计算机系统一般是指具体的计算机系统，但是我们有时也用计算机系统来表示一个协作处理信息的内部网络。后者有时被称为网络计算机。,单台计算机,假冒是指某个实体通过出示伪造的凭证来冒充别人或别的主体，从而攫取了授权用户的权利。 身份识别机制本身的漏洞，以及身份识别参数在传输、存储过程中的泄漏通常是导致假冒攻击的根源。例如假冒者窃取了用户身份识别中使用的用户名口令后，非常容易欺骗身份识别机构，达到假冒的目的。 假冒成功后，典型的情形是先改写授权数据，然后利用这些信息来进行非授权访问。一旦获得非授权访问，造成的损坏程度就要由入侵者的动机来决定了。如果幸运的话，入侵者可能只是电脑空间中一

19、名好奇的漫游者。但大多数人不会那么幸运，他们的机密信息通常都会被窃取或破坏。,分为: 重放 伪造 代替,1. 假冒攻击,2旁路攻击,旁路攻击是指攻击者利用计算机系统设计和实现中的缺陷或安全上的脆弱之处，获得对系统的局部或全部控制权，进行非授权访问。 例如缓冲区溢出攻击，就是因为系统软件缺乏边界检查，使得攻击者能够激活自己预定的进程，从而获得对计算机的超级访问权限。 旁路攻击一旦获得对系统的全部控制权，所带来的损失将是不可低估的。,3非授权访问,非授权访问是指未经授权的实体获得了访问网络资源的机会，并有可能篡改信息资源。 假冒攻击和旁路攻击通过欺骗或旁路获得访问权限，而非授权访问则是假冒和旁路攻

20、击的最终目的。另一方面，如果非法用户通过某种手段获得了对用户注册信息表、计算机注册表信息的非授权访问，则它又成为进一步假冒或旁路攻击的基础。,4拒绝服务,拒绝服务攻击目的是摧毁计算机系统的部分乃至全部进程，或者非法抢占系统的计算资源，导致程序或服务不能运行，从而使系统不能为合法用户提供正常的服务。目前最有杀伤力的拒绝服务攻击是网络上的分布式拒绝服务（DDOS）攻击。,5恶意程序,计算机系统受到上述类型的攻击可能是非法用户直接操作实现的，也可能是在通过恶意程序如木马、病毒和后门实现的。,分为: 木马 病毒 后门,5恶意程序,（1）特洛伊木马 特洛伊木马（Trojan horse）是指伪装成有用的

21、软件，当它被执行时，往往会启动一些隐藏的恶意进程，实现预定的攻击。 例如木马文本编辑软件，在使用中用户不易觉察它与一般的文本编辑软件有何不同。但它会启动一个进程将用户的数据拷贝到一个隐藏的秘密文件中，植入木马的攻击者可以阅读到那个秘密文件。 同样，我们可以设想随意从网上或他处得来的一个非常好玩的游戏软件，里面植入了木马进程，当管理员启动这个游戏，则该进程将具有管理员的特权，木马将有可能窃取或修改用户的口令，修改系统的配置，为进一步的攻击铺平道路。,（2）病毒 病毒和木马都是恶意代码，但它本身不是一个独立程序，它需要寄生在其他文件中，通过自我复制实现对其它文件的感染。 病毒的危害有两个方面，一个

22、是病毒可以包含一些直接破坏性的代码，另一方面病毒传播过程本身可能会占用计算机的计算和存储资源，造成系统瘫痪。,（3）后门 后门是指在某个文件或系统中设置一种机关，使得当提供一组特定的输入数据时，可以不受安全访问控制的约束。 例如，一个口令登录系统中，如果对于一个特殊的用户名不进行口令检查，则这个特殊的用户名就是一个后门。后门的设置可能是软件开发中为了调试方便，但后来忘记撤除所致，也可能是软件开发者有意留下的。,对计算机攻击的原因分析,1.系统在身份识别协议、访问控制安全措施方面存在弱点，不能抵抗恶意使用者的攻击； 2.系统设计和实现中有未发现的脆弱性，恶意使用者利用了这些脆弱性。,网络系统中的

23、安全威胁,计算机网络系统是实现计算机之间信息传递或通信的系统，它通过网络通信协议（如TCP/IP协议）为计算机提供了新的访问渠道。网络环境同时还增加了对路由器、交换机等网络设备和通信线路的保护要求。 处于网络中的计算机系统除了可能受到上小节提到的各种威胁外，还可能会受到来自网络中的威胁。此外，网络交换或网络管理设备、通信线路可能还会受到一些仅属于网络安全范畴的威胁。,1截获/修改,攻击者通过对网络传输中的数据进行截获或修改，使得接收方不能收到数据或收到代替了的数据，从而影响通信双方的数据交换。 这种攻击通常是为了达到假冒或破坏的目的。,2插入/重放,攻击者通过把网络传输中的数据截获后存储起来并

24、在以后重新传送，或把伪造的数据插入到信道中，使得接收方收到一些不应当收到的数据。 这种攻击通常也是为了达到假冒或破坏的目的。但是通常比截获/修改的难度大，一旦攻击成功，危害性也大。,3服务欺骗,服务欺骗是指攻击者伪装成合法系统或系统的合法组成部件，引诱并欺骗用户使用。 这种攻击常常通过相似的网址、相似的界面欺骗合法用户。例如，攻击者伪装为网络银行的网站，用各种输入提示，轻易骗取用户的如用户名、口令等重要数据，从而直接盗取用户账户的存款。,4窃听和数据分析,窃听和数据分析是指攻击者通过对通信线路或通信设备的监听，或通过对通信量（通信数据流）的大小、方向频率的观察，经过适当分析，直接推断出秘密信息

25、, 达到信息窃取的目的。,5网络拒绝服务,网络拒绝服务是指攻击者通过对数据或资源的干扰、非法占用、超负荷使用、对网络或服务基础设施的摧毁，造成系统永久或暂时不可用，合法用户被拒绝或需要额外等待，从而实现破坏的目的。 许多常见的拒绝服务攻击都是由网络协议(如IP协议)本身存在的安全漏洞和软件实现中考虑不周共同引起的。例如TCP SYN攻击，利用了TCP连接需要分配内存，多次同步将使其他连接不能分配到足够的内存，从而导致了系统的暂时不可用。 计算机系统受到上述类型的攻击可能是黑客或敌手操作实现的，也可能是网络蠕虫或其他恶意程序造成的。,对网络攻击的原因分析,1.网络通信线路经过不安全区域，并且使用

26、了公开的标准通信协议，使得非法窃听和干扰比传统的通信场合更容易实施； 2.在网络环境下身份识别协议更加重要，但比单机环境下更难实现； 3.网络通信系统设计和实现中未发现的脆弱性更多，攻击者更容易利用这些脆弱性。,数据的安全威胁,数据是网络信息系统的核心。计算机系统及其网络如果离开了数据，就像失去了灵魂的躯壳，是没有价值的。 无论是上面提到的敌手对计算机系统的攻击或是对网络系统的攻击，其目标无非是针对上面承载的信息而来的。 这些攻击对数据而言，目标实际上有三个：截获秘密数据、伪造数据或在上述攻击不能奏效的情况下，破坏数据的可用性。 数据安全的攻击与防御是信息安全的主要课题，也是本书的重点。,事务安全威胁,事务（transaction）的概念首先出现在数据库管理系统中，表示作为一个整体的一组操作，它们应当顺序地执行，仅仅完成一个操作是无意义的。而且在一个事务全部完成后，甚至遇到系统崩溃的情形，操作结果不能丢失。系统还必须允许多个事务的并行执行。 实际上，在几乎所有的信息系统中事务都是最基本的概念。例如，在网上转账协议中，从一个账