《信息安全課件.ppt》由會員分享，可在線閱讀，更多相關《信息安全課件.ppt（61頁珍藏版）》請在裝配圖網(wǎng)上搜索。

西北大學信息科學與技術學院肖云yxiao 計算機通信信息安全技術 基礎知識 計算機網(wǎng)絡教材 計算機通信信息安全技術清華大學出版社王景中著參考教材 網(wǎng)絡與信息安全清華大學出版社胡錚著學時 36 西北大學信息科學與技術學院肖云yxiao 西北大學信息科學與技術學院肖云yxiao 內(nèi)容 緒論計算機病毒密碼技術計算機系統(tǒng)安全信息安全服務防火墻技術 西北大學信息科學與技術學院肖云yxiao 第一章緒論 對計算機通信信息安全所涉及的基本概念 研究內(nèi)容 安全服務 安全標準 安全的作用等進行概括性的介紹 西北大學信息科學與技術學院肖云yxiao 1 1信息安全 Hartley 信息是選擇通信符號的方式Shannon 信息是隨機的Wiener 信息是交換的內(nèi)容的名稱Longo 差異就是信息 西北大學信息科學與技術學院肖云yxiao 1 1 2信息的定義 一 信息的定義信息是事物運動的狀態(tài)與方式 是事物的一種屬性 二 通信領域中的信息信息主要涉及到電路 信號 消息與系統(tǒng) 其實它們都是信息的載體 西北大學信息科學與技術學院肖云yxiao 信息有別于 消息只是信息的外殼 信息則是消息的內(nèi)核 信號是信息的載體 信息則是信號所載荷的內(nèi)容 數(shù)據(jù)是記錄信息的一種形式 同樣的信息也可以用文字或圖像來表述 情報通常是揭示秘密的 專門的 新穎的一類信息 可以說所有的情報都是信息 但不能說所有的信息都是情報 知識是認識主體所表達的信息 是邏輯化的信息 并非所有的信息都是知識 1 1 2信息的定義 西北大學信息科學與技術學院肖云yxiao 1 1 3信息的性質(zhì) 一 信息的性質(zhì)信息來源于物質(zhì) 但不是物質(zhì)本身 信息也來源于精神世界 但又不限于精神的領域 二 信息的屬性信息的物質(zhì)性決定了它的一般屬性 分別為 普遍性 客觀性 無限性 相對性 抽象性 依附性 動態(tài)性 異步性 共事性 可傳遞性 可變換性 可轉化性和可偽性等 西北大學信息科學與技術學院肖云yxiao 1 1 4信息的功能 信息具有一般物質(zhì)的屬性 它的功能就是信息屬性的體現(xiàn) 信息的功能可分為兩類 第一類功能是信息的基本功能 用于維持和強化世界的有序性 第二類功能是信息的社會功能 表現(xiàn)為維系社會的生存 促進人類文明的進步和人類自身的發(fā)展 西北大學信息科學與技術學院肖云yxiao 信息的功能主要表現(xiàn)在5個方面 信息是宇宙萬物有序運行的內(nèi)在依據(jù) 信息是人類認識世界和改造世界的媒介 它實現(xiàn)人類與自然界的溝通 信息是社會生存與發(fā)展的動力 信息是智慧之源 是人類的精神食糧 信息是管理的靈魂 1 1 4信息的功能 西北大學信息科學與技術學院肖云yxiao 在計算機通信領域 信息技術定義是 在計算機和通信技術支持下用以獲取 加工 存儲 變換 顯示和傳輸文字 數(shù)值 圖像 視頻 音頻以及語音信息 并且包括提供設備和信息服務兩大方面的方法與設備的總稱 信息技術 作為專門術語 其概念的本質(zhì)是 技術 而非 信息 1 1 5信息技術 西北大學信息科學與技術學院肖云yxiao 信息系統(tǒng)的定義分廣義的和狹義的兩種 一 信息系統(tǒng)的廣義定義 各種處理信息的系統(tǒng)都可以認為是信息系統(tǒng) 包括人體本身和各種人造系統(tǒng) 二 信息系統(tǒng)的狹義定義 指基于計算機的系統(tǒng) 是人 規(guī)程 數(shù)據(jù)庫 硬件和軟件等各種設施 工具和運行環(huán)境的有機集合 它突出的是計算機和網(wǎng)絡通信等技術的應用 1 1 6信息系統(tǒng) 西北大學信息科學與技術學院肖云yxiao 一 計算機安全的定義 計算機的硬件 軟件和數(shù)據(jù)受到保護 不因偶然和惡意的原因而遭到破壞 篡改和泄露 保證系統(tǒng)連續(xù)正常運行 二 從計算機組成上看 計算機安全的內(nèi)容分別對應物理安全和邏輯安全 物理安全 指系統(tǒng)設備及相關設施受到物理保護 免于破壞 丟失等 強調(diào)的是硬件安全 邏輯安全 包括信息完整性 機密性和可用性 1 1 7計算機安全 西北大學信息科學與技術學院肖云yxiao 三 計算機安全又可以分為靜態(tài)的和動態(tài)兩種靜態(tài)觀點 計算機安全主要是解決特定計算機設備的安全問題 動態(tài)觀點 計算機安全問題是一個動態(tài)的過程 計算機要為人所用 大多數(shù)情況下 它處于動態(tài)的使用 運行狀態(tài)因此 計算機安全更應該該從動態(tài)的觀點看待計算機安全 1 1 7計算機安全 西北大學信息科學與技術學院肖云yxiao 一 通信網(wǎng)絡安全的定義對計算機和計算機之間相連接的傳輸線路 設備和協(xié)議進行管理 特別是對通信網(wǎng)絡的組成方式 拓撲結構和網(wǎng)絡應用的管理 保障信息傳輸?shù)陌踩?二 通信網(wǎng)絡安全的主要內(nèi)容 保護網(wǎng)絡系統(tǒng)中的硬件 軟件及其數(shù)據(jù)和數(shù)據(jù)的傳輸不受偶然或者惡意原因而遭到破壞 更改 泄露 系統(tǒng)連續(xù)可靠地正常運行 網(wǎng)絡服務不中斷 1 1 8通信網(wǎng)絡安全 西北大學信息科學與技術學院肖云yxiao 一 信息系統(tǒng)安全的定義確保以電磁信號為主要形式的 在計算機網(wǎng)絡化系統(tǒng)中進行獲取 處理 存儲 傳輸和利用的信息內(nèi)容 在各個物理位置 邏輯區(qū)域 存儲和傳輸介質(zhì)中 處于動態(tài)和靜態(tài)過程中的機密性 完整性 可用性 可審查性和不可否認性 使這些信息內(nèi)容與人 通信網(wǎng)絡 環(huán)境有關的技術和管理規(guī)程形成有機集合 人指信息系統(tǒng)的主體 包括各類用戶 支持人員以及技術管理和行政管理人員 通信網(wǎng)絡則指計算機和網(wǎng)絡互聯(lián)設備 傳輸介質(zhì) 操作系統(tǒng) 通信協(xié)議和應用程序所構成的物理的和邏輯的完整體系 環(huán)境則指系統(tǒng)穩(wěn)定和可靠運行所需要的保障系統(tǒng) 包括建筑物 機房 動力保障與備份以及應急與恢復系統(tǒng) 1 1 9信息安全 西北大學信息科學與技術學院肖云yxiao 信息系統(tǒng)安全是一個多維 多層次 多因素 多目標的體系 就信息安全和信息系統(tǒng)安全的內(nèi)涵而言 保證信息 內(nèi)容 的機密性是系統(tǒng)安全的基本和首要目標之一 1 1 9信息安全 西北大學信息科學與技術學院肖云yxiao 在強調(diào)信息系統(tǒng)安全和保密時 是將保密作為管理策略和安全策略的一部分 而不僅僅是作為信息機密性指標來定義的 作為管理策略和安全策略 保密涉及對信息系統(tǒng)的信息密級進行劃分和管理 對涉密網(wǎng)絡和非涉密網(wǎng)絡進行界定和管理 對保密技術和產(chǎn)品進行保護 1 1 9信息安全 西北大學信息科學與技術學院肖云yxiao 二 信息安全所做工作將處理與信息依附性 動態(tài)性 異步性 共享性 可傳遞性 可變換性 可轉化性和可他性等有關的問題 三 信息安全的任務是確保信息功能的正確實現(xiàn) 本書涉及的信息安全概念是狹義的 用于計算機通信領域的信息系統(tǒng)安全 1 1 9信息安全 西北大學信息科學與技術學院肖云yxiao 信息網(wǎng)絡已經(jīng)成為社會發(fā)展的重要保證 信息網(wǎng)絡安全已涉及到國家的政府 軍事 科技 文教等各個領域 已經(jīng)形成計算機通信信息安全 簡稱網(wǎng)絡安全 的專門技術 它主要研究計算機網(wǎng)絡中在信息獲取 存儲 傳輸 信息處理 信息共享等各個方面的信息安全問題 對抗不斷出現(xiàn)的攻擊和威脅 1 1 10信息安全的重要性 西北大學信息科學與技術學院肖云yxiao 典型攻擊 紅色代碼尼姆達 Nimda Melissa 1999 和LoveLetter 2000 沖擊波病毒分布式拒絕服務攻擊遠程控制特洛伊木馬后門 西北大學信息科學與技術學院肖云yxiao CodeRed 西北大學信息科學與技術學院肖云yxiao CodeRed 西北大學信息科學與技術學院肖云yxiao CodeRed 西北大學信息科學與技術學院肖云yxiao ImpactodeBlaster 沖擊波 275 000臺 7小時1 000 000臺 48小時 西北大學信息科學與技術學院肖云yxiao 西北大學信息科學與技術學院肖云yxiao 西北大學信息科學與技術學院肖云yxiao 西北大學信息科學與技術學院肖云yxiao 西北大學信息科學與技術學院肖云yxiao 西北大學信息科學與技術學院肖云yxiao 1 2計算機通信信息安全研究的內(nèi)容 主機安全的研究 主要進行計算機 單機 安全技術的研究 通信網(wǎng)絡安全的研究 主要進行通信信息安全技術的研究 西北大學信息科學與技術學院肖云yxiao 信息安全技術包括了信息系統(tǒng)中從信息的產(chǎn)生直至信息的應用這一全部過程 信息安全技術實際上是一門涉及計算機科學 網(wǎng)絡技術 通信技術 密碼技術 管理科學 應用數(shù)學 數(shù)論 信息論等多種學科的綜合性內(nèi)容 1 2 1信息安全技術 西北大學信息科學與技術學院肖云yxiao 計算機安全研究的內(nèi)容可分為物理安全和邏輯安全 1 2 2計算機安全技術 物理安全 研究計算機系統(tǒng)設備及相關設施的物理保護問題 使得計算機系統(tǒng)免于遭到破壞或者丟失 邏輯安全 研究包括信息完整性 機密性和可用性問題 它確保信息不會被非授權修改 保持信息的一致性 確保在授權情況下高級別信息可以安全地流向低級別的客體與主體 確保合法用戶的正常請求能及時 正確 安全地得到服務 保證計算機系統(tǒng)的正常使用 西北大學信息科學與技術學院肖云yxiao 一 計算機通信信息安全 網(wǎng)絡安全 的定義網(wǎng)絡系統(tǒng)的硬件 軟件及其系統(tǒng)中的數(shù)據(jù)受到保護 不受意外的或者惡意的操作遭到破壞 更改 泄露 保證系統(tǒng)連續(xù)可靠正常地運行 保證網(wǎng)絡服務不中斷 計算機通信安全是一種動態(tài)的信息安全問題 二 計算機通信安全的研究領域涉及到網(wǎng)絡上信息的機密性 完整性 可用性 真實性和可控性的相關技術和理論 1 2 3計算機通信信息安全 西北大學信息科學與技術學院肖云yxiao 三 計算機通信信息安全涉及的主要內(nèi)容密碼學的研究基本的安全技術應用系統(tǒng)的安全四 從對安全的處理角度來看 計算機通信信息安全包含的主要內(nèi)容網(wǎng)絡攻擊安全防御攻擊檢測應急處理和災難恢復 1 2 3計算機通信信息安全 西北大學信息科學與技術學院肖云yxiao 計算機網(wǎng)絡的發(fā)展 使信息共享日益廣泛與深入 但是信息在公共通信網(wǎng)絡上存儲 共享和傳輸 會被非授權的入侵者非法竊聽 截取 篡改或毀壞 從而導致不可估量的損失 因此 研究網(wǎng)絡安全時 首先要了解通信網(wǎng)絡系統(tǒng)面臨的各種威脅 這樣 我們才能有的放矢 對抗這些威脅 1 3安全威脅 西北大學信息科學與技術學院肖云yxiao 安全威脅 某人 物 事件或者概念對某一資源的機密性 完整性 可用性或合法使用所造成的危害 攻擊 威脅的具體實現(xiàn) 1 3 1安全威脅 一 基本安全威脅主要包括的類型有 信息泄露 機密性 竊聽 探測完整性破壞 完整性 修改 復制拒絕服務 可用性 加大負載 中斷服務非法使用 合法性 侵入計算機系統(tǒng) 盜用 西北大學信息科學與技術學院肖云yxiao 二 潛在的安全威脅三 偶發(fā)威脅與故意威脅偶發(fā)性威脅 指那些不帶預謀企圖的威脅 發(fā)出的威脅不帶主觀故意 故意性威脅 指發(fā)出的威脅帶有主觀故意 它的范圍可以從使用易行的監(jiān)視工具進行隨意的監(jiān)聽和檢測 到使用特別的專用工具進行攻擊 四 主動威脅或被動威脅主動威脅 指對系統(tǒng)中所含信息的篡改 或?qū)ο到y(tǒng)的狀態(tài)或操作的改變 被動威脅 不對系統(tǒng)中所含信息進行直接的任何篡改 而且系統(tǒng)的操作與狀態(tài)也不受改變 1 3 1安全威脅 西北大學信息科學與技術學院肖云yxiao 攻擊 安全威脅的具體實現(xiàn)叫做安全攻擊 幾種常見的特定攻擊類型 冒充 一個實體假裝成另一個不同的實體實施非法攻擊重放 為了產(chǎn)生非授權效果 而讓一個消息 或部分消息重復消息篡改 當所傳送的內(nèi)容被改變而未被發(fā)覺 并導致一種非授權后果服務拒絕 當一個實體不能執(zhí)行它的正常功能 或它的動作妨礙了別的實體執(zhí)行它們的正常功能 1 3 2攻擊類型 西北大學信息科學與技術學院肖云yxiao 詐騙者利用谷歌日歷的邀請功能 企圖欺騙用戶泄露其Gmail口令和出生日期 據(jù)悉 冒充谷歌的是一封來自署名為 customervarification 拼寫有錯誤 的電子郵件 郵件內(nèi)容大致為 谷歌為了廣大用戶安全 將會對部分匿名注冊的電子郵件帳戶進行銷戶處理 因此 如果你想繼續(xù)使用谷歌提供的郵件功能的話 需要提供一些信息以進行確認 西北大學信息科學與技術學院肖云yxiao 阿里巴巴和40大盜的故事人物 黑客 阿里巴巴 用戶 40大盜 系統(tǒng) 寶庫身份認證 石門 故事情節(jié) 話說有一天 40大盜準備把一搶來得珠寶放進他們的寶庫里去 用戶打算登陸系統(tǒng)他們來到寶庫面前 準備打開石門 系統(tǒng)要求身份認證 彈出口令窗口40大盜的首領對著石門喊道 芝麻開門 用戶輸入口令 芝麻開門 這一幕不巧被阿里巴巴看到 有黑客截獲用戶的登陸過程40大盜將寶物放進寶庫后 就離開了 用戶退出系統(tǒng)等40大盜走遠后 阿里巴巴來到石門前也大喊 芝麻開門 黑客對系統(tǒng)進行了重放攻擊石門打開了 阿里巴巴把寶物都搬回家了 成功入侵系統(tǒng) 西北大學信息科學與技術學院肖云yxiao 西北大學信息科學與技術學院肖云yxiao 清華大學新聞網(wǎng)站遭黑客攻擊篡改 西北大學信息科學與技術學院肖云yxiao 西北大學信息科學與技術學院肖云yxiao 內(nèi)部攻擊 系統(tǒng)的合法用戶以非故意或非授權方式進行操作外部攻擊 從系統(tǒng)的外圍環(huán)境出發(fā) 對系統(tǒng)進行攻擊陷門 在某個系統(tǒng)或者某個文件中設置機關 使得當提供特定的輸入數(shù)據(jù)時 允許違反安全策略 特洛伊木馬 TorjanHorse 隱含在應用程序上的一段程序 當它被執(zhí)行時 會破壞用戶的安全性 1 3 2攻擊類型 西北大學信息科學與技術學院肖云yxiao 西北大學信息科學與技術學院肖云yxiao 安全措施 對抗安全威脅所采取的方法 1 4 1基本安全措施1 4 2安全技術 1 4安全措施 西北大學信息科學與技術學院肖云yxiao 1 4 1基本安全措施 基本安全措施主要包括以下幾種類型 密碼技術物理安全人員安全管理安全媒體安全輻射安全生命周期控制 西北大學信息科學與技術學院肖云yxiao 計算機通信信息安全常用的幾種信息安全技術 防火墻 防火墻按照系統(tǒng)管理員預先定義好的安全策略和規(guī)則控制兩個網(wǎng)絡之間數(shù)據(jù)包的進出 身份認證 阻止非法實體的不良訪問 數(shù)據(jù)加密 通過對信息的重新組合 使得只有通信雙方才能解碼還原信息的傳統(tǒng)方法 1 4 2安全技術 西北大學信息科學與技術學院肖云yxiao 數(shù)字簽名 防止非法偽造 假冒和篡改信息 安全監(jiān)控密碼機 加密技術的硬件實現(xiàn) 它是傳統(tǒng)的鏈路層加密設備 通常使用對稱密鑰算法 提供點對點式的加密通信 1 4 2安全技術 西北大學信息科學與技術學院肖云yxiao 在計算機通信網(wǎng)絡中 系統(tǒng)提供的主要的安全防護措施被稱作安全服務 1 5 1認證1 5 2訪問控制1 5 3機密性1 5 4完整性1 5 5不可否認性 1 5安全服務 西北大學信息科學與技術學院肖云yxiao 認證服務提供了關于某個實體身份的保證 如口令 PIN 身份證都是提供認證的熟知方法 認證是對付假冒攻擊的有效方法 認證又分為實體認證和數(shù)據(jù)起源認證兩種形式 實體認證 身份是由參與某次通信連接或會話的遠端的一方提交的 數(shù)據(jù)起源認證 身份是由聲稱它是某個數(shù)據(jù)項的發(fā)送者的那個實體所提交的 此身份連同數(shù)據(jù)項一起發(fā)送給接收者 1 5 1認證 西北大學信息科學與技術學院肖云yxiao 1 5 2訪問控制 定義 防止對資源進行未授權訪問的措施 模型 發(fā)起者 主動的實體目標 被動的資源訪問控制實施功能 實現(xiàn)訪問控制策略訪問控制決策功能 訪問控制策略的表現(xiàn)形式 訪問控制是實施授權的一種方法保護敏感信息不經(jīng)過有風險的環(huán)境傳送 西北大學信息科學與技術學院肖云yxiao 機密性服務就是保護信息不泄露或不暴露給那些未授權掌握這一信息的實體 在計算機通信安全中 提供兩種類型的機密性服務 數(shù)據(jù)機密性服務 這種服務使得攻擊者想要從某個數(shù)據(jù)項中推出敏感信息是十分困難的 該服務又可進一步分為 有連接的機密性服務 它是對某個連接上傳輸?shù)乃袛?shù)據(jù)進行加密 無連接機密性服務 它是對構成一個無連接數(shù)據(jù)單元的所有數(shù)據(jù)進行加密 選擇字段機密性服務 它僅對某個數(shù)據(jù)單元中所指定的字段進行加密業(yè)務流機密性服務 這種服務使得攻擊者想要通過觀察網(wǎng)絡的業(yè)務流來獲得敏感信息也是十分困難的 1 5 3機密性 西北大學信息科學與技術學院肖云yxiao 完整性服務 防止對數(shù)據(jù)進行非法修改 添加 重放 刪除等操作的措施 數(shù)據(jù)完整性服務的一個重要特征是它的具體分類 即對什么樣的數(shù)據(jù)采用完整性服務 有連接完整性服務 它是對某個連接上傳輸?shù)乃袛?shù)據(jù)進行完整性檢驗 無連接完整性服務 它是對構成一個無連接數(shù)據(jù)單元的所有數(shù)據(jù)進行完整性檢驗 選擇字段完整性服務 它僅對某個數(shù)據(jù)單元中所指定的字段進行完整性檢驗 1 5 4完整性 西北大學信息科學與技術學院肖云yxiao 不可否認性 保護用戶免遭來自系統(tǒng)中其他合法用戶的威脅 作用 提供證據(jù)方法 數(shù)字簽名 1 5 5不可否認性 否認又可以分為兩種類型 起源否認 特定的一方產(chǎn)生了特定的數(shù)據(jù)傳遞否認 某一特定的數(shù)據(jù)項是否傳遞給某特定的一方 西北大學信息科學與技術學院肖云yxiao 1 6安全審計與入侵檢測 安全審計和入侵檢測是對網(wǎng)絡系統(tǒng)可能存在的安全漏洞和攻擊的主動防御措施 安全審計 主要針對系統(tǒng)漏洞和安全弱點入侵檢測 主要針對外部潛在的攻擊進行檢測 西北大學信息科學與技術學院肖云yxiao 1 6 1安全審計 安全審計 對系統(tǒng)記錄和過程的檢查和審查 對象 安全策略 安全審計追蹤 用于入侵檢測或者安全審計的相關事件的一個日志 審計系統(tǒng)的功能 確定審計的事件確定記錄格式 西北大學信息科學與技術學院肖云yxiao 入侵檢測 基于實時事件序列或者積累的記錄進行分析 自動地向安全管理者警告可能的安全侵犯 對象 侵犯 入侵檢測方法類型 基于統(tǒng)計分析 收集數(shù)據(jù) 比較行為基于規(guī)則 定義規(guī)則 比較行為 1 6 2入侵檢測 西北大學信息科學與技術學院肖云yxiao 1 7安全標準化 因為信息安全是建立在信息系統(tǒng)互連 互通 互操作意義上的安全需求 因此需要技術標準來規(guī)范系統(tǒng)的建設和使用 通信信息安全方面 許多國際組織進行了一系列的標準化工作 例如國際標準化組織 ISO 根據(jù)ISO開放系統(tǒng)互聯(lián)參考模型 OSI RM 制定了一個安全體系結構 ISO7498 2 1989 西北大學信息科學與技術學院肖云yxiao 根據(jù)美國國防部開發(fā)的計算機安全標準 可信任計算機標準評價準則 即橙皮書 一些計算機安全級別被用來評價一個計算機系統(tǒng)的安全性 1 8 1D級1 8 2C級1 8 3B級1 8 4A級 1 8計算機安全等級