信息安全技術(shù)教程-第1章

1、主講人：宋萌信息安全技術(shù)教程整理ppt培訓(xùn)目的通過信息安全技術(shù)教程課程的學(xué)習(xí)，使學(xué)員清晰了解信息安全技術(shù)的基本知識(shí)；掌握開放系統(tǒng)互連安全體系結(jié)構(gòu)與框架、安全服務(wù)與安全機(jī)制、物理安全、容災(zāi)與數(shù)據(jù)備份技術(shù)、基礎(chǔ)安全技術(shù)、系統(tǒng)安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)、應(yīng)用安全技術(shù)等內(nèi)容。從技術(shù)上確保本單位的信息系統(tǒng)的安全性、增強(qiáng)本單位對(duì)安全威脅的免疫能力和減少信息安全事件帶來(lái)的各種損失。整理ppt第一章概述本章學(xué)習(xí)目的了解信息安全技術(shù)體系結(jié)構(gòu)、信息保障技術(shù)框架了解安全服務(wù)與安全機(jī)制、信息安全技術(shù)發(fā)展趨勢(shì)整理ppt本章概覽本章重點(diǎn)對(duì)信息安全技術(shù)體系進(jìn)行一個(gè)概要闡述。目前，被廣泛使用的對(duì)于信息技術(shù)體系的劃分方法包括：開放

2、系統(tǒng)互連（Open System Interconnection，簡(jiǎn)稱OSI）安全體系結(jié)構(gòu)與框架美國(guó)信息保障技術(shù)框架（Information Assurance Technical Framework，簡(jiǎn)稱IATF）前者針對(duì)OSI網(wǎng)絡(luò)模型將安全服務(wù)與安全機(jī)制在每個(gè)層次上進(jìn)行對(duì)應(yīng)；后者則從系統(tǒng)擴(kuò)展互聯(lián)的角度，將安全技術(shù)分散在端系統(tǒng)、邊界系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)以及支撐系統(tǒng)。本章給出了本書中依據(jù)的信息安全技術(shù)體系，該結(jié)構(gòu)保留了IATF的劃分層次，即從單個(gè)系統(tǒng)到基于網(wǎng)絡(luò)互聯(lián)的系統(tǒng)，同時(shí)又對(duì)應(yīng)了OSI的七層網(wǎng)絡(luò)結(jié)構(gòu)。本章提出的信息安全技術(shù)體系將安全技術(shù)分成物理安全技術(shù)、基礎(chǔ)安全技術(shù)、系統(tǒng)安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)和

3、應(yīng)用安全技術(shù)五個(gè)層次。本章闡述的體系結(jié)構(gòu)也是本書的主線，本書后續(xù)章節(jié)將按照它逐章展開，深入討論每個(gè)層次技術(shù)的概念、功能和應(yīng)用等。整理ppt第一節(jié) 信息安全技術(shù)體系發(fā)展一、開放系統(tǒng)互連安全體系結(jié)構(gòu)與框架即：Open System Interconnection，簡(jiǎn)稱OSI（一）OSI安全體系結(jié)構(gòu) OSI安全體系結(jié)構(gòu)標(biāo)準(zhǔn)不是能夠?qū)崿F(xiàn)的標(biāo)準(zhǔn)，而是描述如何設(shè)計(jì)標(biāo)準(zhǔn)的標(biāo)準(zhǔn)。OSI安全體系結(jié)構(gòu)認(rèn)為一個(gè)安全的信息系統(tǒng)結(jié)構(gòu)應(yīng)該包括：（1）五種安全服務(wù)；（2）八類安全技術(shù)和支持上述的安全服務(wù)的普遍安全技術(shù)；（3）三種安全管理方法，即系統(tǒng)安全管理、安全服務(wù)管理和安全機(jī)制管理。整理ppt將OSI安全體系結(jié)構(gòu)要求的內(nèi)

4、容與OSI網(wǎng)絡(luò)層次模型的關(guān)系畫在一個(gè)三維坐標(biāo)圖上，如下圖所示：整理ppt（二）OSI安全框架 OSI安全框架與OSI安全體系結(jié)構(gòu)的關(guān)系是：OSI安全框架是對(duì)OSI安全體系結(jié)構(gòu)的擴(kuò)展，它的目標(biāo)是解決“開放系統(tǒng)”中的安全服務(wù)，此時(shí)“開放系統(tǒng)”已經(jīng)從原來(lái)的OSI擴(kuò)展為一個(gè)囊括了數(shù)據(jù)庫(kù)、分布式應(yīng)用、開放分布式處理和OSI的復(fù)雜系統(tǒng)。整理pptOSI安全框架包括如下七個(gè)部分的內(nèi)容：（1）安全框架綜述：簡(jiǎn)述了各個(gè)組成部分和一些重要的術(shù)語(yǔ)和概念，如封裝、單向函數(shù)、私鑰、公鑰等；（2）認(rèn)證框架：定義了有關(guān)認(rèn)證原理和認(rèn)證體系結(jié)構(gòu)的重要術(shù)語(yǔ)，同時(shí)提出了對(duì)認(rèn)證交換機(jī)制的分類方法；（3）訪問控制框架：定義了在網(wǎng)絡(luò)環(huán)境

5、下提供訪問控制功能的術(shù)語(yǔ)和體系結(jié)構(gòu)模型；（4）非否認(rèn)框架：描述了開放系統(tǒng)互連中非否認(rèn)的相關(guān)概念；（5）機(jī)密性框架：描述了如何通過訪問控制等方法來(lái)保護(hù)敏感數(shù)據(jù)，提出了機(jī)密性機(jī)制的分類方法，并闡述了與其他安全服務(wù)和機(jī)制的相互關(guān)系；（6）完整性框架：描述了開放系統(tǒng)互連中完整性的相關(guān)概念；（7）安全審計(jì)框架：該框架的目的在于測(cè)試系統(tǒng)控制是否充分，確保系統(tǒng)符合安全策略和操作規(guī)范，檢測(cè)安全漏洞，并提出相應(yīng)的修改建議。整理pptOSI安全體系結(jié)構(gòu)和框架標(biāo)準(zhǔn)作為“標(biāo)準(zhǔn)的標(biāo)準(zhǔn)”有兩個(gè)實(shí)際用途：一是指導(dǎo)可實(shí)現(xiàn)的安全標(biāo)準(zhǔn)的設(shè)計(jì)；二是提供一個(gè)通用的術(shù)語(yǔ)平臺(tái)。實(shí)際上，隨著后續(xù)安全標(biāo)準(zhǔn)的制定和頒布，OSI安全體系結(jié)構(gòu)和框

6、架的指導(dǎo)作用正在減弱，但是其重大意義在于為后續(xù)標(biāo)準(zhǔn)提供了通用的、可理解的概念和術(shù)語(yǔ)。整理ppt第一節(jié) 信息安全技術(shù)體系發(fā)展二、美國(guó)信息保障技術(shù)框架即：InformationAssuranceTechnicalFramework，簡(jiǎn)稱IATFIATF強(qiáng)調(diào)從邊界的角度來(lái)劃分信息系統(tǒng)，從而實(shí)現(xiàn)對(duì)信息系統(tǒng)的保護(hù)。邊界被確定在信息資源的物理和（或）邏輯位置之間，通過確立邊界，可以確定需要保護(hù)的信息系統(tǒng)的范圍。整理pptIATF將信息系統(tǒng)的信息保障技術(shù)層面分為四個(gè)部分：1.本地計(jì)算環(huán)境2.區(qū)域邊界（本地計(jì)算機(jī)區(qū)域的外緣）3.網(wǎng)絡(luò)與基礎(chǔ)設(shè)施4.支持性基礎(chǔ)設(shè)施IATF實(shí)際上是將安全技術(shù)分成了四個(gè)層次，其分類的

7、依據(jù)是按照信息系統(tǒng)組織的特性確定的，從端系統(tǒng)、端系統(tǒng)邊界、邊界到互相連接的網(wǎng)絡(luò)，同時(shí)還考慮了每個(gè)層次共同需要的支撐技術(shù)。整理ppt第二節(jié) 信息安全技術(shù)體系結(jié)構(gòu)體系發(fā)展信息安全技術(shù)體系結(jié)構(gòu)如下圖所示：整理ppt我們提出的信息安全技術(shù)體系結(jié)構(gòu)是一種普適的劃分方法，依據(jù)了信息系統(tǒng)的自然組織方式：（1）物理基礎(chǔ)：一個(gè)信息系統(tǒng)依存的主體是構(gòu)成系統(tǒng)的設(shè)備以及系統(tǒng)存在的物理環(huán)境，這些是任何信息系統(tǒng)都具有的。（2）系統(tǒng)基礎(chǔ)：原始的硬件設(shè)備本身并不能運(yùn)轉(zhuǎn)起來(lái)，需要各種軟件的配合，如操作系統(tǒng)和數(shù)據(jù)庫(kù)，這些軟件也是一個(gè)信息系統(tǒng)的基本要求。（3）網(wǎng)絡(luò)基礎(chǔ)：具備了物理的和系統(tǒng)的條件，一個(gè)信息系統(tǒng)就可以運(yùn)轉(zhuǎn)起來(lái)，除此之外

8、，系統(tǒng)還有相互通信的需求，此時(shí)就需要各種網(wǎng)絡(luò)技術(shù)的支持。（4）上層應(yīng)用：上述三個(gè)基礎(chǔ)對(duì)于各種系統(tǒng)或者同類系統(tǒng)都是相似的，是屬于共性的方面。信息系統(tǒng)的特性在于其實(shí)現(xiàn)的功能不同，即我們常說的上層應(yīng)用或者服務(wù)。（5）支撐基礎(chǔ)：除了上述四個(gè)層次的技術(shù)之外，還有一些技術(shù)是在這四個(gè)層次中都會(huì)使用的技術(shù)，很難說這些技術(shù)是屬于哪個(gè)層次的，如密鑰服務(wù)、PKI技術(shù)等。整理ppt一、物理安全技術(shù)物理安全技術(shù)按照需要保護(hù)的對(duì)象可以分為：環(huán)境安全技術(shù)和設(shè)備安全技術(shù)。（1）環(huán)境安全技術(shù)，是指保障信息網(wǎng)絡(luò)所處環(huán)境安全的技術(shù)。主要技術(shù)規(guī)范是對(duì)場(chǎng)地和機(jī)房的約束，強(qiáng)調(diào)對(duì)于地震、水災(zāi)、火災(zāi)等自然災(zāi)害的預(yù)防措施。（2）設(shè)備安全技術(shù)，

9、是指保障構(gòu)成信息網(wǎng)絡(luò)的各種設(shè)備、網(wǎng)絡(luò)線路、供電連接、各種媒體數(shù)據(jù)本身以及其存儲(chǔ)介質(zhì)等安全的技術(shù)。主要是對(duì)可用性的要求，如防盜、防電磁輻射。物理安全技術(shù)的保護(hù)范圍僅僅限于物理層面，即所有具有物理形態(tài)的對(duì)象，從外界環(huán)境到構(gòu)成信息網(wǎng)絡(luò)所需的物理?xiàng)l件，以及信息網(wǎng)絡(luò)產(chǎn)生的各種數(shù)據(jù)對(duì)象。物理安全是整個(gè)信息網(wǎng)絡(luò)安全的前提，如果破壞了物理安全，系統(tǒng)將會(huì)變得不可用或者不可信，而且，其他上層安全保護(hù)技術(shù)也將會(huì)變得形同虛設(shè)。整理ppt二、基礎(chǔ)安全技術(shù)IATF將KMI和檢測(cè)與響應(yīng)基礎(chǔ)設(shè)施稱為支持性基礎(chǔ)設(shè)施，前者重點(diǎn)包括了PKI技術(shù)。本書中重點(diǎn)介紹加密技術(shù)和PKI技術(shù)。整理ppt三、系統(tǒng)安全技術(shù)1.操作系統(tǒng)安全操作系統(tǒng)

10、安全技術(shù)有兩方面的含義：一是操作系統(tǒng)的自身安全，即遵循什么樣的原則構(gòu)建操作系統(tǒng)才是安全的，包括硬件安全機(jī)制和軟件安全機(jī)制；二是操作系統(tǒng)提供給用戶和上層應(yīng)用的安全措施。2.數(shù)據(jù)庫(kù)系統(tǒng)安全數(shù)據(jù)庫(kù)系統(tǒng)的安全技術(shù)目的是保證數(shù)據(jù)庫(kù)能夠正確地操作數(shù)據(jù)，實(shí)現(xiàn)數(shù)據(jù)讀寫、存儲(chǔ)的安全。整理ppt四、網(wǎng)絡(luò)安全技術(shù)信息網(wǎng)絡(luò)必然需要網(wǎng)絡(luò)環(huán)境的支持。網(wǎng)絡(luò)安全技術(shù)，是指保護(hù)信息網(wǎng)絡(luò)依存的網(wǎng)絡(luò)環(huán)境的安全保障技術(shù)，通過這些技術(shù)的部署和實(shí)施，確保經(jīng)過網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會(huì)被增加、修改、丟失和泄露等。最常用的網(wǎng)絡(luò)安全技術(shù)包括防火墻、入侵檢測(cè)、漏洞掃描、抗拒絕服務(wù)攻擊等。整理ppt五、應(yīng)用安全技術(shù)任何信息網(wǎng)絡(luò)存在的目的都是為某些對(duì)

11、象提供服務(wù)，我們常常把它們稱為應(yīng)用。如電子郵件、FTP、HTTP等。應(yīng)用安全技術(shù)，是指以保護(hù)特定應(yīng)用為目的的安全技術(shù)，如反垃圾郵件技術(shù)、網(wǎng)頁(yè)防篡改技術(shù)、內(nèi)容過濾技術(shù)等。整理ppt第三節(jié) 安全服務(wù)與安全機(jī)制一、安全服務(wù)1.認(rèn)證（Authentication）：認(rèn)證提供了關(guān)于某個(gè)實(shí)體（如人、機(jī)器、程序、進(jìn)程等）身份的保證，為通信中的對(duì)等實(shí)體和數(shù)據(jù)來(lái)源提供證明2.訪問控制（AccessControl）：訪問控制的作用是防止任何實(shí)體以任何形式對(duì)任何資源（如計(jì)算機(jī)、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)、進(jìn)程等）進(jìn)行非授權(quán)的訪問。3.數(shù)據(jù)機(jī)密性（DataSecrecy）：數(shù)據(jù)機(jī)密性就是保護(hù)信息不泄漏或者不暴露給那些未經(jīng)授權(quán)的實(shí)體

12、。4.數(shù)據(jù)完整性（DataIntegrity）：數(shù)據(jù)完整性，是指保證數(shù)據(jù)在傳輸過程中沒有被修改、插入或者刪除。5.非否認(rèn)（Non-Reputation）：非否認(rèn)服務(wù)的目的是在一定程度上杜絕通信各方之間存在著相互欺騙行為，通過提供證據(jù)來(lái)防止這樣的行為整理ppt二、安全機(jī)制安全服務(wù)必須依賴安全機(jī)制來(lái)實(shí)現(xiàn)。OSI安全體系結(jié)構(gòu)中提出了八種安全機(jī)制：（1）加密（2）數(shù)字簽名（3）訪問控制（4）數(shù)據(jù)完整性（5）認(rèn)證交換（6）業(yè)務(wù)流填充（7）路由控制（8）公證整理ppt三、安全服務(wù)與安全機(jī)制的關(guān)系八種安全機(jī)制與五大安全服務(wù)之間的關(guān)系如下表所示：安全機(jī)制安全服務(wù)加密數(shù)字簽名訪問控制數(shù)據(jù)完整性認(rèn)證交換業(yè)務(wù)流填充

13、路由控制公證認(rèn)證對(duì)等實(shí)體認(rèn)證YYY數(shù)據(jù)起源認(rèn)證YY訪問控制訪問控制Y數(shù)據(jù)機(jī)密性無(wú)/有連接機(jī)密性YY選擇字段機(jī)密性Y業(yè)務(wù)流機(jī)密性YYY數(shù)據(jù)完整性可/不可恢復(fù)的連接完整性YY選擇字段的連接完整性YY無(wú)連接完整性YYY選擇字段的無(wú)連接完整性YYY非否認(rèn)數(shù)據(jù)起源的非否認(rèn)YYY傳輸過程的非否認(rèn)YYY整理ppt四、安全服務(wù)與網(wǎng)絡(luò)層次的關(guān)系OSI安全體系結(jié)構(gòu)的一個(gè)非常重要的貢獻(xiàn)是，它將八種安全服務(wù)在OSI七層網(wǎng)絡(luò)參考模型中進(jìn)行了對(duì)號(hào)入座，實(shí)現(xiàn)了安全服務(wù)與網(wǎng)絡(luò)層次之間的對(duì)應(yīng)關(guān)系，如下表所示：網(wǎng)絡(luò)層次安全服務(wù)物理層鏈路層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層認(rèn)證對(duì)等實(shí)體認(rèn)證YYY數(shù)據(jù)起源認(rèn)證YYY訪問控制訪問控制服務(wù)YYY數(shù)據(jù)機(jī)密性有連接機(jī)密性YYYYYY無(wú)連接機(jī)密性YYYYY選擇字段機(jī)密性YY業(yè)務(wù)流機(jī)密性YYY數(shù)據(jù)完整性可恢復(fù)的連接完整性YY不可恢復(fù)的連接完整性