網(wǎng)絡(luò)信息安全概述課件

第一章網(wǎng)絡(luò)信息安全概述一、信息安全基本概念二、網(wǎng)絡(luò)信息安全及其體系結(jié)構(gòu)三、網(wǎng)絡(luò)信息安全威脅四、網(wǎng)絡(luò)信息的基本要素五、網(wǎng)絡(luò)信息技術(shù)六、網(wǎng)絡(luò)信息的工作目的七、網(wǎng)絡(luò)信息模型及其主要評(píng)價(jià)準(zhǔn)則11/27/20221h第一章網(wǎng)絡(luò)信息安全概述一、信息安全基本概念11/27/本章主要介紹了信息安全、網(wǎng)絡(luò)信息安全的概念，內(nèi)容涉及網(wǎng)絡(luò)信息安全威脅、安全的要素以及安全技術(shù)、安全工作目的等。

信息安全（Informationsecurity）網(wǎng)絡(luò)信息安全（Networkandinformationsecurity）實(shí)體安全（Entitysecurity）運(yùn)行安全（Operationsecurity）Keyword11/27/20222h本章主要介紹了信息安全、網(wǎng)絡(luò)信息安全的概念，內(nèi)容涉及網(wǎng)絡(luò)信息網(wǎng)絡(luò)信息安全不僅涉及到國家的經(jīng)濟(jì)、金融和社會(huì)的安全，也涉及到國防、政治和文化的安全，可以說，信息安全就是國家安全。企業(yè)的信息化促進(jìn)了電子商務(wù)的蓬勃發(fā)展，同時(shí)也電子商務(wù)的發(fā)展也推動(dòng)了企業(yè)的創(chuàng)新與結(jié)構(gòu)調(diào)整，進(jìn)而大大提高了企業(yè)的效率。但是，在發(fā)展的過程中存在著嚴(yán)峻的安全問題，其中比較大的問題依然是信息安全問題。11/27/20223h網(wǎng)絡(luò)信息安全不僅涉及到國家的經(jīng)濟(jì)、金融和社會(huì)的安全，也涉及到信息安全是電子商務(wù)發(fā)展的基礎(chǔ)和動(dòng)力。開放的、自由和國際化和Internet的發(fā)展給政府機(jī)構(gòu)、企事業(yè)單位帶來了革命性的改革和開放，使得他們能夠利用因特網(wǎng)提高辦事效率和市場反應(yīng)能力，以便更具競爭力。如何保護(hù)企業(yè)和機(jī)密信息不受黑客和工業(yè)間諜的入侵，已成為政府機(jī)構(gòu)、企事業(yè)單位信息化健康發(fā)展所要考慮的重要事情之一．11/27/20224h信息安全是電子商務(wù)發(fā)展的基礎(chǔ)和動(dòng)力。開放的、自由和國際化和I第節(jié)信息安全基本概念1.1.1信息安全“安全”概念就是指“遠(yuǎn)離危險(xiǎn)的狀態(tài)和特征”和“為防范間諜活動(dòng)和蓄意破壞、犯罪、攻擊或逃跑而采取的措施”安全不是技術(shù)，而是一個(gè)過程。對于信息安全(國內(nèi))，中國工程院權(quán)威人士認(rèn)為：可以把信息安全保密內(nèi)容分為實(shí)體安全、運(yùn)行安全、數(shù)據(jù)安全和管理安全等四個(gè)方面。１11/27/20225h第節(jié)信息安全基本概念1.1.1信息安全１11/27許多教科書上認(rèn)為計(jì)算機(jī)安全包括:實(shí)體安全、運(yùn)行安全、數(shù)據(jù)安全和軟件安全.而國家信息安全等級(jí)保護(hù)條例中心認(rèn)為,計(jì)算機(jī)信息人機(jī)系統(tǒng)安全和目標(biāo)是著為實(shí)體安全、運(yùn)行安全、信息安全和人員安全維護(hù)。對于信息安全(國外)，有人認(rèn)為，信息安全是使信息避免一系列威脅，保障商務(wù)的連續(xù)性，最大限度的減少商務(wù)的損失，最大限度的獲取投資和商務(wù)的回報(bào)，涉及的是機(jī)密性、完整性和可用性。11/27/20226h許多教科書上認(rèn)為計(jì)算機(jī)安全包括:實(shí)體安全、運(yùn)行安全、數(shù)據(jù)安全我們認(rèn)為信息安全是指防止信息資源被故意的或偶然的非授權(quán)泄露、更改和破壞、或者信息被非法系統(tǒng)辨認(rèn)、控制和否認(rèn)。即確保信息的完整性、秘密性、可用性、可控性和不可否認(rèn)性。實(shí)體安全（物理安全）就是保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及其它媒體免遭地震、水災(zāi)和火災(zāi)和其它環(huán)境事故破壞的措施和過程。運(yùn)行安全：就是為保障系統(tǒng)功能和安全實(shí)現(xiàn)，提供一套安全措施（如風(fēng)險(xiǎn)分析）來保護(hù)來保護(hù)信息處理過程的安全。11/27/20227h我們認(rèn)為信息安全是指防止信息資源被故意的或偶然的非授權(quán)泄露、數(shù)據(jù)安全和內(nèi)容安全（見書本）

信息安全分層結(jié)構(gòu)與信息安全和屬性之間的關(guān)系屬性機(jī)密性真實(shí)性可用性層次物理安全衛(wèi)生防泄漏抗惡劣環(huán)境運(yùn)行安全抗非授權(quán)訪問正常提供服務(wù)數(shù)據(jù)安全防解析發(fā)布／路由／內(nèi)容真實(shí)抗否認(rèn)內(nèi)容安全信息解析路由內(nèi)容欺騙信息阻斷11/27/20228h數(shù)據(jù)安全和內(nèi)容安全（見書本）11/27/20228h1.1.2信息安全技術(shù)含義：就是指在信息系統(tǒng)的物理層、運(yùn)行層以及對信息自身的保護(hù)及攻擊的層面上，所反應(yīng)出的對信息自身與信息系統(tǒng)在可用性、機(jī)密性與真實(shí)性方面的保護(hù)與攻擊和的技術(shù)。信息安全的技術(shù)安全措施可分為訪問控制技術(shù)和密碼技術(shù)兩大類。11/27/20229h1.1.2信息安全技術(shù)11/27/20229h第節(jié)網(wǎng)絡(luò)信息安全及其體系結(jié)構(gòu)1.2.1網(wǎng)絡(luò)信息安全概況網(wǎng)絡(luò)信息系統(tǒng)依靠計(jì)算機(jī)網(wǎng)絡(luò)接收和處理信息，實(shí)現(xiàn)其相互間的聯(lián)系和對目標(biāo)的管理和控制．以網(wǎng)絡(luò)方式獲取信息和交流信息已成為現(xiàn)代信息社會(huì)的一個(gè)重要特征．因特網(wǎng)所具有的特性對網(wǎng)絡(luò)信息安全提出了更高的要求，主要表現(xiàn)在以下幾點(diǎn)：２11/27/202210h第節(jié)網(wǎng)絡(luò)信息安全及其體系結(jié)構(gòu)1.2.1網(wǎng)絡(luò)信息安全概況一、開放性網(wǎng)絡(luò)的技術(shù)是全開放的，任何一個(gè)人或團(tuán)體都可能獲得，因而網(wǎng)絡(luò)所面臨的破壞和攻擊是多方面的。二、國際性網(wǎng)絡(luò)的攻擊不僅來自于本地網(wǎng)絡(luò)的用戶，還可以來自于因特網(wǎng)上的任何一臺(tái)機(jī)器。三、自由性網(wǎng)絡(luò)最初對用戶的使用并沒有提供任何的技術(shù)制約，用戶可以自由的訪問網(wǎng)絡(luò)，自由的使用和發(fā)布各種類型的信息。用戶只對自己的行為負(fù)責(zé)，而沒有的任何法制約束。

11/27/202211h一、開放性11/27/202211h近年來,國家有關(guān)部門逐步重視網(wǎng)絡(luò)信息安全問題,建立了相應(yīng)的機(jī)構(gòu),發(fā)布了有關(guān)的法規(guī),以加強(qiáng)對網(wǎng)絡(luò)信息的管理.2001年1月,國家保密局發(fā)布的<<計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定>>已開始實(shí)施.2000年4月,公安部發(fā)布了<<計(jì)算機(jī)病毒防治管理辦法>>.2000年10月,信息產(chǎn)業(yè)部成立了網(wǎng)絡(luò)安全應(yīng)急協(xié)調(diào)小組.11/27/202212h近年來,國家有關(guān)部門逐步重視網(wǎng)絡(luò)信息安全問題,建立了相應(yīng)的機(jī)目前,在網(wǎng)絡(luò)安全產(chǎn)品研制和開發(fā)方面,我國每三天就有一家安全公司成立.我國一些比較很有知名的IT公司也紛紛開始開發(fā)安全產(chǎn)品,例如:紫光、天網(wǎng)、實(shí)達(dá)朗科和海信等都有了自己的防火墻。國外網(wǎng)絡(luò)安全廠商也紛紛涌入我國，并采取各種手段，以擴(kuò)大國內(nèi)市場份額。11/27/202213h目前,在網(wǎng)絡(luò)安全產(chǎn)品研制和開發(fā)方面,我國每三天就有一家安全公1.1.2網(wǎng)絡(luò)信息安全概念從本質(zhì)上講，網(wǎng)絡(luò)信息安全就是網(wǎng)絡(luò)上的信息安全，是指網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或惡意的原因而遭到破壞、更改或泄漏，系統(tǒng)連續(xù)可靠正常的運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性和真實(shí)性和相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)信息安全所要研究的領(lǐng)域。11/27/202214h1.1.2網(wǎng)絡(luò)信息安全概念11/27/202214h如何更有效的保護(hù)重要的信息數(shù)據(jù)、提高計(jì)算機(jī)系統(tǒng)的網(wǎng)絡(luò)安全性已成為所有計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用必須考慮和解決的一個(gè)重要問題。網(wǎng)絡(luò)信息可分為靜態(tài)信息和動(dòng)態(tài)信息。11/27/202215h如何更有效的保護(hù)重要的信息數(shù)據(jù)、提高計(jì)算機(jī)系統(tǒng)的網(wǎng)絡(luò)安全性已1.2.3網(wǎng)絡(luò)安全的體系結(jié)構(gòu)網(wǎng)絡(luò)安全的體系結(jié)構(gòu)由以下幾個(gè)方面組成:物理安全、網(wǎng)絡(luò)安全和信息安全一、物理安全：是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)和火災(zāi)等環(huán)境事故以及人為操作失誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞行為過程。主要包括三個(gè)方面：

環(huán)境安全設(shè)備安全媒體安全１２311/27/202216h1.2.3網(wǎng)絡(luò)安全的體系結(jié)構(gòu)１２311/27/202216h正常的防范措施：一、對主機(jī)房及重要信息存儲(chǔ)、收發(fā)部門進(jìn)行屏蔽處理。二、對本地網(wǎng)和局域網(wǎng)傳輸線路傳導(dǎo)力輻射的抑制。三、對終端設(shè)備輻射的防范11/27/202217h正常的防范措施：11/27/202217h二、網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全包括：系統(tǒng)（主機(jī)、服務(wù)器）安全、反病毒、系統(tǒng)安全檢測、入侵檢測、審計(jì)分析、子網(wǎng)安全以及網(wǎng)絡(luò)安全檢測等。1.內(nèi)外網(wǎng)隔離及訪問控制系統(tǒng)防火墻分組過濾應(yīng)用代理11/27/202218h二、網(wǎng)絡(luò)安全分組過濾應(yīng)用代理11/27/202218h2.內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離及訪問控制.在這里，防火墻被用來隔離內(nèi)部網(wǎng)絡(luò)的一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段。3網(wǎng)絡(luò)安全檢測信息網(wǎng)絡(luò)系統(tǒng)的安全性取決于網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié)。網(wǎng)絡(luò)安全檢測工具通常是一個(gè)網(wǎng)絡(luò)安全性評(píng)估分析軟件，其功能是用實(shí)踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng)，檢查報(bào)告系統(tǒng)存在的弱點(diǎn)的漏洞。11/27/202219h2.內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離及訪問控制.11/27/204審計(jì)與監(jiān)控它不僅級(jí)識(shí)別誰訪問了系統(tǒng)，還能指出系統(tǒng)正被怎樣的使用5反病毒網(wǎng)絡(luò)反病毒技術(shù)包括預(yù)防病毒、檢測病毒和消毒。反病毒技術(shù)的具體實(shí)現(xiàn)方法包括對網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁的掃描和監(jiān)測。6網(wǎng)絡(luò)備份一、全盤備份二、增量備份三、差分備份

11/27/202220h4審計(jì)與監(jiān)控11/27/202220h三、信息安全1.鑒別一、口令機(jī)制二、智能卡三、主體特征鑒別11/27/202221h三、信息安全11/27/202221h2.數(shù)據(jù)傳輸安全系統(tǒng)為保障數(shù)據(jù)傳輸?shù)陌踩?，需采用?shù)據(jù)傳輸加密技術(shù)、數(shù)據(jù)完整性鑒別技術(shù)及防抵賴技術(shù)。３.數(shù)據(jù)存儲(chǔ)安全系統(tǒng)

數(shù)據(jù)庫安全及終端安全4.信息內(nèi)容審計(jì)系統(tǒng)11/27/202222h2.數(shù)據(jù)傳輸安全系統(tǒng)11/27/202222h５.安全管理一、安全管理有規(guī)則多人負(fù)責(zé)任期有限有規(guī)則職責(zé)分離原則二、安全管理的實(shí)現(xiàn)根據(jù)工作的重要程度，確定該系統(tǒng)的安全等級(jí)；根據(jù)確定的安全等級(jí)，確定安全管理的范圍。11/27/202223h５.安全管理11/27/202223h針對網(wǎng)絡(luò)信息系統(tǒng)實(shí)際運(yùn)行的TCP/IP協(xié)議，我們、把網(wǎng)絡(luò)安全體系分為五個(gè)層次：應(yīng)用層應(yīng)用平臺(tái)和系統(tǒng)的安全會(huì)話層會(huì)話安全網(wǎng)絡(luò)層安全路由／訪問機(jī)制鏈路層鏈路安全物理層網(wǎng)絡(luò)層信息安全11/27/202224h針對網(wǎng)絡(luò)信息系統(tǒng)實(shí)際運(yùn)行的TCP/IP協(xié)議，我們、把網(wǎng)絡(luò)安全第節(jié)網(wǎng)絡(luò)信息安全威脅1.3.1網(wǎng)絡(luò)信息安全威脅種類一、網(wǎng)絡(luò)信息安全存在的威脅１非授權(quán)訪問沒有預(yù)先經(jīng)過同意，就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源被看作是非授權(quán)訪問。如有意避開系統(tǒng)訪問控制，尋網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用，越權(quán)訪問信息。311/27/202225h第節(jié)網(wǎng)絡(luò)信息安全威脅1.3.1網(wǎng)絡(luò)２信息泄漏或丟失指敏感數(shù)據(jù)在有意或無意中被泄漏出去。３破壞數(shù)據(jù)完整性以非法手段竊取對數(shù)據(jù)的使用權(quán)，或惡意添加、修改、刪除數(shù)據(jù)，以干擾用戶的正常使用。４拒絕服務(wù)攻擊這種攻擊不對對網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，改變其正常的作業(yè)流程，執(zhí)行無關(guān)程序使系統(tǒng)響應(yīng)速度減慢甚至癱瘓。５利用網(wǎng)絡(luò)傳播病毒11/27/202226h２信息泄漏或丟失11/27/202226h二、互聯(lián)網(wǎng)絡(luò)信息安全存在的安全１信息的截取如果沒有釆取加密措施或密度強(qiáng)度不夠，攻擊者可能通過互聯(lián)網(wǎng)或公用電話網(wǎng)等裝置內(nèi)按裝截收裝置或在數(shù)據(jù)包通過的網(wǎng)關(guān)和路由器上截取數(shù)據(jù)等。２信息的篡改當(dāng)攻擊者熟悉了網(wǎng)絡(luò)信息格式后，通過各種技術(shù)方法和手段對網(wǎng)絡(luò)傳輸?shù)男畔⑦M(jìn)行中途修改，并發(fā)往目的地，從而破壞信息的完整性。11/27/202227h二、互聯(lián)網(wǎng)絡(luò)信息安全存在的安全11/27/202227h３信息假冒當(dāng)攻擊者掌握了網(wǎng)絡(luò)信息數(shù)據(jù)規(guī)律或了解商務(wù)信息以后，可以假冒用戶或發(fā)送假冒信息欺騙其它用戶。兩種方式：偽造電子郵件和假冒家他人身份11/27/202228h３信息假冒11/27/202228h１.3.2網(wǎng)絡(luò)信息安全威脅的表現(xiàn)形式內(nèi)部威脅、外部威脅、主動(dòng)威脅、被動(dòng)威脅、偶發(fā)性威脅和故意性威脅、Ａ、Ｂ、Ｃ等級(jí)威脅。針對網(wǎng)絡(luò)安全的威脅有三個(gè)方面：１.人為的無意失誤２.人為的故意失誤３.網(wǎng)絡(luò)軟件的漏洞和“后門”11/27/202229h１.3.2網(wǎng)絡(luò)信息安全威脅的第節(jié)網(wǎng)絡(luò)信息安全的基本要素網(wǎng)絡(luò)信息安全的核心：通過計(jì)算機(jī)、網(wǎng)絡(luò)、密碼技術(shù)和安全技術(shù)，保護(hù)在公用網(wǎng)絡(luò)信息系統(tǒng)中傳輸、交換和存儲(chǔ)的消息的保密性、完整性和真實(shí)性等。網(wǎng)絡(luò)信息的基本要素1.保密性要保證數(shù)據(jù)在傳輸或存儲(chǔ)過程中不被他人竊?。?1/27/202230h第節(jié)網(wǎng)絡(luò)信息安全的基本要素網(wǎng)絡(luò)信息安全的核心：通過計(jì)算機(jī)2.完整性是指網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變的特性。要求信息不被泄露給未授權(quán)的人，而完整性則要求信息不受到各種原因的破壞。3.可用性是網(wǎng)絡(luò)信息系統(tǒng)面向用戶的安全性能，是網(wǎng)絡(luò)信息可被授權(quán)實(shí)體訪問并按需求使用的特性。11/27/202231h2.完整性11/27/202231h4.可控性是指對信息及信息系統(tǒng)實(shí)施安全監(jiān)控以及對網(wǎng)絡(luò)信息的傳播及內(nèi)容具的控制能力的特性5.可審查性能夠?qū)W(wǎng)絡(luò)出現(xiàn)的安全問題提供調(diào)查依據(jù)和手段。6.不可抵懶性也稱不可否認(rèn)性，在網(wǎng)絡(luò)信息系統(tǒng)交互過程中，確信參與者的真實(shí)同一性。11/27/202232h4.可控性11/27/202232h7.認(rèn)證性保證信息資源不被非授權(quán)的使用。一般通過CA和證書來實(shí)現(xiàn)。8.可靠性網(wǎng)絡(luò)信息系統(tǒng)能夠在規(guī)定條件下和規(guī)定時(shí)間內(nèi)完成規(guī)定的功能的特征，是系統(tǒng)安全最基本要求之一。11/27/202233h7.認(rèn)證性11/27/202233h第5節(jié)網(wǎng)絡(luò)信息安全技術(shù)網(wǎng)絡(luò)信息安全技術(shù)主要包括:網(wǎng)絡(luò)加密技術(shù)、防火墻技術(shù)、網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)、身份驗(yàn)證技術(shù)和網(wǎng)絡(luò)防病毒技術(shù)。１.數(shù)據(jù)傳輸加密技術(shù)鏈路加密、節(jié)點(diǎn)加密、端到端的加密常規(guī)密碼算法公鑰密碼算法11/27/202234h第5節(jié)網(wǎng)絡(luò)信息安全技術(shù)網(wǎng)絡(luò)信息安全技術(shù)主要包括:網(wǎng)絡(luò)加密技２.防火墻技術(shù).防火墻是用一個(gè)或一組網(wǎng)絡(luò)設(shè)備（計(jì)算機(jī)系統(tǒng)或路由器等），在兩個(gè)或多個(gè)網(wǎng)絡(luò)間加強(qiáng)訪問控制，以保護(hù)一個(gè)網(wǎng)絡(luò)不受來自另一個(gè)網(wǎng)絡(luò)攻擊的安全技術(shù)。３.網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（ＮＡＴ）網(wǎng)絡(luò)地址轉(zhuǎn)換器也稱為地址共享器或地址映射器。內(nèi)部主機(jī)向外部主機(jī)連接時(shí)，使用同一個(gè)IP地址；相反，外部主機(jī)向內(nèi)部主機(jī)連接時(shí)，必須通過網(wǎng)關(guān)映射到內(nèi)部主機(jī)上。11/27/202235h２.防火墻技術(shù)11/27/202235h４.ＯＳ安全內(nèi)核技術(shù)美國國防部（DOD）技術(shù)標(biāo)準(zhǔn)把OS的安全等級(jí)分成D、C1、C2、B1、B2、B3和A級(jí)。目前，主要的OS的安全等級(jí)都是C2級(jí)。５.身份驗(yàn)證技術(shù)身份驗(yàn)證是用戶向系統(tǒng)出示自己身份證明的過程。身份認(rèn)證是系統(tǒng)查核用戶身份證明的過程。一、數(shù)字簽名二、Kerberos系統(tǒng)基于DCE/Kerberos的身份驗(yàn)證11/27/202236h４.ＯＳ安全內(nèi)核技術(shù)11/27/202236h６.網(wǎng)絡(luò)防病毒技術(shù)一、預(yù)防病毒技術(shù)二、檢測病毒技術(shù)三、消除病毒技術(shù)７.數(shù)據(jù)完整性鑒別技術(shù)

一、報(bào)文鑒別二、校驗(yàn)和三、加密校驗(yàn)和四、消息完整性編碼MIC８.防抵懶技術(shù)常用方法是數(shù)字簽名。數(shù)字簽名采用一定的數(shù)據(jù)交換協(xié)議，使得通信雙方能夠滿足兩個(gè)條件：接收方能夠鑒別發(fā)送方所宣稱的身份；發(fā)送方以后不能否認(rèn)他發(fā)送過數(shù)據(jù)這一事實(shí)。11/27/202237h６.網(wǎng)絡(luò)防病毒技術(shù)11/27/202237h９.網(wǎng)絡(luò)信息安全研究方向1.安全技術(shù)基礎(chǔ)2.入侵與防范技術(shù)研究3.系統(tǒng)安全體系及策略研究4.內(nèi)容安全分析及保障技術(shù)研究11/27/202238h９.網(wǎng)絡(luò)信息安全研究方向11/27/202238h第６節(jié)網(wǎng)絡(luò)信息安全的工作目的目標(biāo)：對網(wǎng)絡(luò)安全現(xiàn)狀作出判斷較為準(zhǔn)確地估計(jì)特定網(wǎng)絡(luò)用戶的風(fēng)險(xiǎn)建立相應(yīng)的控制風(fēng)險(xiǎn)體制最大限度的提高系統(tǒng)的可用性，并把網(wǎng)絡(luò)帶來的風(fēng)險(xiǎn)減低到可接受程度11/27/202239h第６節(jié)網(wǎng)絡(luò)信息安全的工作目的目標(biāo)：11/27/202239第７節(jié)信息安全模型及其主要評(píng)價(jià)準(zhǔn)則１.7.１攸攸信息安全模型１.Ｐ２ＤＲ安全模式安全=風(fēng)險(xiǎn)分析＋執(zhí)行策略＋漏洞檢測＋實(shí)時(shí)響應(yīng)２.ＰＰＤＲＲ安全模式公式１：Ｐt＞Ｄt＋Ｒt公式２：Ｅt＝Ｄt＋Ｒt（Ｐ１＝０）11/27/202240h第７節(jié)信息安全模型及其主要評(píng)價(jià)準(zhǔn)則１.7.１攸攸信息安全模1.7.2信息安全的主要評(píng)介標(biāo)準(zhǔn)１．美國ＴＣＳＥＣ（桔皮書）它將安全分為四個(gè)方面（安全政策、可說明性、安全保障和文檔）和七個(gè)安全級(jí)別（從高到低依次是D、C1、C2、B1、B2、B3和A）２．歐洲ＩＴＳＥＣ它定義了從EO級(jí)到E6級(jí)的七個(gè)安全等級(jí)和十種安全功能。11/27/202241h1.7.2信息安全的主要評(píng)介標(biāo)準(zhǔn)11/27/202241h３．美國聯(lián)邦準(zhǔn)則ＦＣ該標(biāo)準(zhǔn)的目的是提供ＴＣＳＥＣ的升級(jí)版本，同時(shí)保護(hù)已有資源４．聯(lián)合公共準(zhǔn)則ＣＣCC的目的是建立一個(gè)各國都能接受的通用的信息安全產(chǎn)品和系統(tǒng)的安全性評(píng)價(jià)準(zhǔn)則５．系統(tǒng)安全工程能力成熟模型（ＳＳＥ－ＣＭＭ）該模型定義了一個(gè)安全工程過程應(yīng)有的特征，這些特征是完善的安全工程的根本保證。６．ＩＳＯ安全體系結(jié)構(gòu)標(biāo)準(zhǔn)該標(biāo)準(zhǔn)提供了安全服務(wù)與有關(guān)機(jī)制的一般描述，確定地參考模型內(nèi)部可以提供這些服務(wù)機(jī)制的位置11/27/202242h３．美國聯(lián)邦準(zhǔn)則ＦＣ11/27/202242h第一章網(wǎng)絡(luò)信息安全概述一、信息安全基本概念二、網(wǎng)絡(luò)信息安全及其體系結(jié)構(gòu)三、網(wǎng)絡(luò)信息安全威脅四、網(wǎng)絡(luò)信息的基本要素五、網(wǎng)絡(luò)信息技術(shù)六、網(wǎng)絡(luò)信息的工作目的七、網(wǎng)絡(luò)信息模型及其主要評(píng)價(jià)準(zhǔn)則11/27/202243h第一章網(wǎng)絡(luò)信息安全概述一、信息安全基本概念11/27/本章主要介紹了信息安全、網(wǎng)絡(luò)信息安全的概念，內(nèi)容涉及網(wǎng)絡(luò)信息安全威脅、安全的要素以及安全技術(shù)、安全工作目的等。

信息安全（Informationsecurity）網(wǎng)絡(luò)信息安全（Networkandinformationsecurity）實(shí)體安全（Entitysecurity）運(yùn)行安全（Operationsecurity）Keyword11/27/202244h本章主要介紹了信息安全、網(wǎng)絡(luò)信息安全的概念，內(nèi)容涉及網(wǎng)絡(luò)信息網(wǎng)絡(luò)信息安全不僅涉及到國家的經(jīng)濟(jì)、金融和社會(huì)的安全，也涉及到國防、政治和文化的安全，可以說，信息安全就是國家安全。企業(yè)的信息化促進(jìn)了電子商務(wù)的蓬勃發(fā)展，同時(shí)也電子商務(wù)的發(fā)展也推動(dòng)了企業(yè)的創(chuàng)新與結(jié)構(gòu)調(diào)整，進(jìn)而大大提高了企業(yè)的效率。但是，在發(fā)展的過程中存在著嚴(yán)峻的安全問題，其中比較大的問題依然是信息安全問題。11/27/202245h網(wǎng)絡(luò)信息安全不僅涉及到國家的經(jīng)濟(jì)、金融和社會(huì)的安全，也涉及到信息安全是電子商務(wù)發(fā)展的基礎(chǔ)和動(dòng)力。開放的、自由和國際化和Internet的發(fā)展給政府機(jī)構(gòu)、企事業(yè)單位帶來了革命性的改革和開放，使得他們能夠利用因特網(wǎng)提高辦事效率和市場反應(yīng)能力，以便更具競爭力。如何保護(hù)企業(yè)和機(jī)密信息不受黑客和工業(yè)間諜的入侵，已成為政府機(jī)構(gòu)、企事業(yè)單位信息化健康發(fā)展所要考慮的重要事情之一．11/27/202246h信息安全是電子商務(wù)發(fā)展的基礎(chǔ)和動(dòng)力。開放的、自由和國際化和I第節(jié)信息安全基本概念1.1.1信息安全“安全”概念就是指“遠(yuǎn)離危險(xiǎn)的狀態(tài)和特征”和“為防范間諜活動(dòng)和蓄意破壞、犯罪、攻擊或逃跑而采取的措施”安全不是技術(shù)，而是一個(gè)過程。對于信息安全(國內(nèi))，中國工程院權(quán)威人士認(rèn)為：可以把信息安全保密內(nèi)容分為實(shí)體安全、運(yùn)行安全、數(shù)據(jù)安全和管理安全等四個(gè)方面。１11/27/202247h第節(jié)信息安全基本概念1.1.1信息安全１11/27許多教科書上認(rèn)為計(jì)算機(jī)安全包括:實(shí)體安全、運(yùn)行安全、數(shù)據(jù)安全和軟件安全.而國家信息安全等級(jí)保護(hù)條例中心認(rèn)為,計(jì)算機(jī)信息人機(jī)系統(tǒng)安全和目標(biāo)是著為實(shí)體安全、運(yùn)行安全、信息安全和人員安全維護(hù)。對于信息安全(國外)，有人認(rèn)為，信息安全是使信息避免一系列威脅，保障商務(wù)的連續(xù)性，最大限度的減少商務(wù)的損失，最大限度的獲取投資和商務(wù)的回報(bào)，涉及的是機(jī)密性、完整性和可用性。11/27/202248h許多教科書上認(rèn)為計(jì)算機(jī)安全包括:實(shí)體安全、運(yùn)行安全、數(shù)據(jù)安全我們認(rèn)為信息安全是指防止信息資源被故意的或偶然的非授權(quán)泄露、更改和破壞、或者信息被非法系統(tǒng)辨認(rèn)、控制和否認(rèn)。即確保信息的完整性、秘密性、可用性、可控性和不可否認(rèn)性。實(shí)體安全（物理安全）就是保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及其它媒體免遭地震、水災(zāi)和火災(zāi)和其它環(huán)境事故破壞的措施和過程。運(yùn)行安全：就是為保障系統(tǒng)功能和安全實(shí)現(xiàn)，提供一套安全措施（如風(fēng)險(xiǎn)分析）來保護(hù)來保護(hù)信息處理過程的安全。11/27/202249h我們認(rèn)為信息安全是指防止信息資源被故意的或偶然的非授權(quán)泄露、數(shù)據(jù)安全和內(nèi)容安全（見書本）

信息安全分層結(jié)構(gòu)與信息安全和屬性之間的關(guān)系屬性機(jī)密性真實(shí)性可用性層次物理安全衛(wèi)生防泄漏抗惡劣環(huán)境運(yùn)行安全抗非授權(quán)訪問正常提供服務(wù)數(shù)據(jù)安全防解析發(fā)布／路由／內(nèi)容真實(shí)抗否認(rèn)內(nèi)容安全信息解析路由內(nèi)容欺騙信息阻斷11/27/202250h數(shù)據(jù)安全和內(nèi)容安全（見書本）11/27/20228h1.1.2信息安全技術(shù)含義：就是指在信息系統(tǒng)的物理層、運(yùn)行層以及對信息自身的保護(hù)及攻擊的層面上，所反應(yīng)出的對信息自身與信息系統(tǒng)在可用性、機(jī)密性與真實(shí)性方面的保護(hù)與攻擊和的技術(shù)。信息安全的技術(shù)安全措施可分為訪問控制技術(shù)和密碼技術(shù)兩大類。11/27/202251h1.1.2信息安全技術(shù)11/27/20229h第節(jié)網(wǎng)絡(luò)信息安全及其體系結(jié)構(gòu)1.2.1網(wǎng)絡(luò)信息安全概況網(wǎng)絡(luò)信息系統(tǒng)依靠計(jì)算機(jī)網(wǎng)絡(luò)接收和處理信息，實(shí)現(xiàn)其相互間的聯(lián)系和對目標(biāo)的管理和控制．以網(wǎng)絡(luò)方式獲取信息和交流信息已成為現(xiàn)代信息社會(huì)的一個(gè)重要特征．因特網(wǎng)所具有的特性對網(wǎng)絡(luò)信息安全提出了更高的要求，主要表現(xiàn)在以下幾點(diǎn)：２11/27/202252h第節(jié)網(wǎng)絡(luò)信息安全及其體系結(jié)構(gòu)1.2.1網(wǎng)絡(luò)信息安全概況一、開放性網(wǎng)絡(luò)的技術(shù)是全開放的，任何一個(gè)人或團(tuán)體都可能獲得，因而網(wǎng)絡(luò)所面臨的破壞和攻擊是多方面的。二、國際性網(wǎng)絡(luò)的攻擊不僅來自于本地網(wǎng)絡(luò)的用戶，還可以來自于因特網(wǎng)上的任何一臺(tái)機(jī)器。三、自由性網(wǎng)絡(luò)最初對用戶的使用并沒有提供任何的技術(shù)制約，用戶可以自由的訪問網(wǎng)絡(luò)，自由的使用和發(fā)布各種類型的信息。用戶只對自己的行為負(fù)責(zé)，而沒有的任何法制約束。

11/27/202253h一、開放性11/27/202211h近年來,國家有關(guān)部門逐步重視網(wǎng)絡(luò)信息安全問題,建立了相應(yīng)的機(jī)構(gòu),發(fā)布了有關(guān)的法規(guī),以加強(qiáng)對網(wǎng)絡(luò)信息的管理.2001年1月,國家保密局發(fā)布的<<計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定>>已開始實(shí)施.2000年4月,公安部發(fā)布了<<計(jì)算機(jī)病毒防治管理辦法>>.2000年10月,信息產(chǎn)業(yè)部成立了網(wǎng)絡(luò)安全應(yīng)急協(xié)調(diào)小組.11/27/202254h近年來,國家有關(guān)部門逐步重視網(wǎng)絡(luò)信息安全問題,建立了相應(yīng)的機(jī)目前,在網(wǎng)絡(luò)安全產(chǎn)品研制和開發(fā)方面,我國每三天就有一家安全公司成立.我國一些比較很有知名的IT公司也紛紛開始開發(fā)安全產(chǎn)品,例如:紫光、天網(wǎng)、實(shí)達(dá)朗科和海信等都有了自己的防火墻。國外網(wǎng)絡(luò)安全廠商也紛紛涌入我國，并采取各種手段，以擴(kuò)大國內(nèi)市場份額。11/27/202255h目前,在網(wǎng)絡(luò)安全產(chǎn)品研制和開發(fā)方面,我國每三天就有一家安全公1.1.2網(wǎng)絡(luò)信息安全概念從本質(zhì)上講，網(wǎng)絡(luò)信息安全就是網(wǎng)絡(luò)上的信息安全，是指網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或惡意的原因而遭到破壞、更改或泄漏，系統(tǒng)連續(xù)可靠正常的運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性和真實(shí)性和相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)信息安全所要研究的領(lǐng)域。11/27/202256h1.1.2網(wǎng)絡(luò)信息安全概念11/27/202214h如何更有效的保護(hù)重要的信息數(shù)據(jù)、提高計(jì)算機(jī)系統(tǒng)的網(wǎng)絡(luò)安全性已成為所有計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用必須考慮和解決的一個(gè)重要問題。網(wǎng)絡(luò)信息可分為靜態(tài)信息和動(dòng)態(tài)信息。11/27/202257h如何更有效的保護(hù)重要的信息數(shù)據(jù)、提高計(jì)算機(jī)系統(tǒng)的網(wǎng)絡(luò)安全性已1.2.3網(wǎng)絡(luò)安全的體系結(jié)構(gòu)網(wǎng)絡(luò)安全的體系結(jié)構(gòu)由以下幾個(gè)方面組成:物理安全、網(wǎng)絡(luò)安全和信息安全一、物理安全：是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)和火災(zāi)等環(huán)境事故以及人為操作失誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞行為過程。主要包括三個(gè)方面：

環(huán)境安全設(shè)備安全媒體安全１２311/27/202258h1.2.3網(wǎng)絡(luò)安全的體系結(jié)構(gòu)１２311/27/202216h正常的防范措施：一、對主機(jī)房及重要信息存儲(chǔ)、收發(fā)部門進(jìn)行屏蔽處理。二、對本地網(wǎng)和局域網(wǎng)傳輸線路傳導(dǎo)力輻射的抑制。三、對終端設(shè)備輻射的防范11/27/202259h正常的防范措施：11/27/202217h二、網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全包括：系統(tǒng)（主機(jī)、服務(wù)器）安全、反病毒、系統(tǒng)安全檢測、入侵檢測、審計(jì)分析、子網(wǎng)安全以及網(wǎng)絡(luò)安全檢測等。1.內(nèi)外網(wǎng)隔離及訪問控制系統(tǒng)防火墻分組過濾應(yīng)用代理11/27/202260h二、網(wǎng)絡(luò)安全分組過濾應(yīng)用代理11/27/202218h2.內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離及訪問控制.在這里，防火墻被用來隔離內(nèi)部網(wǎng)絡(luò)的一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段。3網(wǎng)絡(luò)安全檢測信息網(wǎng)絡(luò)系統(tǒng)的安全性取決于網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié)。網(wǎng)絡(luò)安全檢測工具通常是一個(gè)網(wǎng)絡(luò)安全性評(píng)估分析軟件，其功能是用實(shí)踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng)，檢查報(bào)告系統(tǒng)存在的弱點(diǎn)的漏洞。11/27/202261h2.內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離及訪問控制.11/27/204審計(jì)與監(jiān)控它不僅級(jí)識(shí)別誰訪問了系統(tǒng)，還能指出系統(tǒng)正被怎樣的使用5反病毒網(wǎng)絡(luò)反病毒技術(shù)包括預(yù)防病毒、檢測病毒和消毒。反病毒技術(shù)的具體實(shí)現(xiàn)方法包括對網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁的掃描和監(jiān)測。6網(wǎng)絡(luò)備份一、全盤備份二、增量備份三、差分備份

11/27/202262h4審計(jì)與監(jiān)控11/27/202220h三、信息安全1.鑒別一、口令機(jī)制二、智能卡三、主體特征鑒別11/27/202263h三、信息安全11/27/202221h2.數(shù)據(jù)傳輸安全系統(tǒng)為保障數(shù)據(jù)傳輸?shù)陌踩?，需采用?shù)據(jù)傳輸加密技術(shù)、數(shù)據(jù)完整性鑒別技術(shù)及防抵賴技術(shù)。３.數(shù)據(jù)存儲(chǔ)安全系統(tǒng)

數(shù)據(jù)庫安全及終端安全4.信息內(nèi)容審計(jì)系統(tǒng)11/27/202264h2.數(shù)據(jù)傳輸安全系統(tǒng)11/27/202222h５.安全管理一、安全管理有規(guī)則多人負(fù)責(zé)任期有限有規(guī)則職責(zé)分離原則二、安全管理的實(shí)現(xiàn)根據(jù)工作的重要程度，確定該系統(tǒng)的安全等級(jí)；根據(jù)確定的安全等級(jí)，確定安全管理的范圍。11/27/202265h５.安全管理11/27/202223h針對網(wǎng)絡(luò)信息系統(tǒng)實(shí)際運(yùn)行的TCP/IP協(xié)議，我們、把網(wǎng)絡(luò)安全體系分為五個(gè)層次：應(yīng)用層應(yīng)用平臺(tái)和系統(tǒng)的安全會(huì)話層會(huì)話安全網(wǎng)絡(luò)層安全路由／訪問機(jī)制鏈路層鏈路安全物理層網(wǎng)絡(luò)層信息安全11/27/202266h針對網(wǎng)絡(luò)信息系統(tǒng)實(shí)際運(yùn)行的TCP/IP協(xié)議，我們、把網(wǎng)絡(luò)安全第節(jié)網(wǎng)絡(luò)信息安全威脅1.3.1網(wǎng)絡(luò)信息安全威脅種類一、網(wǎng)絡(luò)信息安全存在的威脅１非授權(quán)訪問沒有預(yù)先經(jīng)過同意，就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源被看作是非授權(quán)訪問。如有意避開系統(tǒng)訪問控制，尋網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用，越權(quán)訪問信息。311/27/202267h第節(jié)網(wǎng)絡(luò)信息安全威脅1.3.1網(wǎng)絡(luò)２信息泄漏或丟失指敏感數(shù)據(jù)在有意或無意中被泄漏出去。３破壞數(shù)據(jù)完整性以非法手段竊取對數(shù)據(jù)的使用權(quán)，或惡意添加、修改、刪除數(shù)據(jù)，以干擾用戶的正常使用。４拒絕服務(wù)攻擊這種攻擊不對對網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，改變其正常的作業(yè)流程，執(zhí)行無關(guān)程序使系統(tǒng)響應(yīng)速度減慢甚至癱瘓。５利用網(wǎng)絡(luò)傳播病毒11/27/202268h２信息泄漏或丟失11/27/202226h二、互聯(lián)網(wǎng)絡(luò)信息安全存在的安全１信息的截取如果沒有釆取加密措施或密度強(qiáng)度不夠，攻擊者可能通過互聯(lián)網(wǎng)或公用電話網(wǎng)等裝置內(nèi)按裝截收裝置或在數(shù)據(jù)包通過的網(wǎng)關(guān)和路由器上截取數(shù)據(jù)等。２信息的篡改當(dāng)攻擊者熟悉了網(wǎng)絡(luò)信息格式后，通過各種技術(shù)方法和手段對網(wǎng)絡(luò)傳輸?shù)男畔⑦M(jìn)行中途修改，并發(fā)往目的地，從而破壞信息的完整性。11/27/202269h二、互聯(lián)網(wǎng)絡(luò)信息安全存在的安全11/27/202227h３信息假冒當(dāng)攻擊者掌握了網(wǎng)絡(luò)信息數(shù)據(jù)規(guī)律或了解商務(wù)信息以后，可以假冒用戶或發(fā)送假冒信息欺騙其它用戶。兩種方式：偽造電子郵件和假冒家他人身份11/27/202270h３信息假冒11/27/202228h１.3.2網(wǎng)絡(luò)信息安全威脅的表現(xiàn)形式內(nèi)部威脅、外部威脅、主動(dòng)威脅、被動(dòng)威脅、偶發(fā)性威脅和故意性威脅、Ａ、Ｂ、Ｃ等級(jí)威脅。針對網(wǎng)絡(luò)安全的威脅有三個(gè)方面：１.人為的無意失誤２.人為的故意失誤３.網(wǎng)絡(luò)軟件的漏洞和“后門”11/27/202271h１.3.2網(wǎng)絡(luò)信息安全威脅的第節(jié)網(wǎng)絡(luò)信息安全的基本要素網(wǎng)絡(luò)信息安全的核心：通過計(jì)算機(jī)、網(wǎng)絡(luò)、密碼技術(shù)和安全技術(shù)，保護(hù)在公用網(wǎng)絡(luò)信息系統(tǒng)中傳輸、交換和存儲(chǔ)的消息的保密性、完整性和真實(shí)性等。網(wǎng)絡(luò)信息的基本要素1.保密性要保證數(shù)據(jù)在傳輸或存儲(chǔ)過程中不被他人竊取４11/27/202272h第節(jié)網(wǎng)絡(luò)信息安全的基本要素網(wǎng)絡(luò)信息安全的核心：通過計(jì)算機(jī)2.完整性是指網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變的特性。要求信息不被泄露給未授權(quán)的人，而完整性則要求信息不受到各種原因的破壞。3.可用性是網(wǎng)絡(luò)信息系統(tǒng)面向用戶的安全性能，是網(wǎng)絡(luò)信息可被授權(quán)實(shí)體訪問并按需求使用的特性。11/27/202273h2.完整性11/27/202231h4.可控性是指對信息及信息系統(tǒng)實(shí)施安全監(jiān)控以及對網(wǎng)絡(luò)信息的傳播及內(nèi)容具的控制能力的特性5.可審查性能夠?qū)W(wǎng)絡(luò)出現(xiàn)的安全問題提供調(diào)查依據(jù)和手段。6.不可抵懶性也稱不可否認(rèn)性，在網(wǎng)絡(luò)信息系統(tǒng)交互過程中，確信參與者的真實(shí)同一性。11/27/202274h4.可控性11/27/202232h7.認(rèn)證性保證信息資源不被非授權(quán)的使用。一般通過CA和證書來實(shí)現(xiàn)。8.可靠性網(wǎng)絡(luò)信息系統(tǒng)能夠在規(guī)定條件下和規(guī)定時(shí)間內(nèi)完成規(guī)定的功能的特征，是系統(tǒng)安全最基本要求之一。11/27/202275h7.認(rèn)證性11/27/202233h第5節(jié)網(wǎng)絡(luò)信息安全技術(shù)網(wǎng)絡(luò)信息安全技術(shù)主要包括:網(wǎng)絡(luò)加密技術(shù)、防火墻技術(shù)、網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)、身份驗(yàn)證技術(shù)和網(wǎng)絡(luò)防病毒技術(shù)。１.數(shù)據(jù)傳輸加密技術(shù)鏈路加密、節(jié)點(diǎn)加密、端到端的加密常規(guī)密碼算法公鑰密碼算法11/27/202276h第5節(jié)網(wǎng)絡(luò)信息安全技術(shù)網(wǎng)絡(luò)信息安全技術(shù)主要包括:網(wǎng)絡(luò)加密技２.防火墻技術(shù).防火墻是用一個(gè)或一組網(wǎng)絡(luò)設(shè)備（計(jì)算機(jī)系統(tǒng)或路由器等），在兩個(gè)或多個(gè)網(wǎng)絡(luò)間加強(qiáng)訪問控制