信息安全原理與應(yīng)用第一章_第1頁
信息安全原理與應(yīng)用第一章_第2頁
信息安全原理與應(yīng)用第一章_第3頁
信息安全原理與應(yīng)用第一章_第4頁
信息安全原理與應(yīng)用第一章_第5頁
已閱讀5頁,還剩50頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1

信息安全原理與應(yīng)用第一章緒論本章由王昭主寫2內(nèi)容體系密碼學(xué)基礎(chǔ):對稱密碼(古典密碼、現(xiàn)代對稱分組密碼、流密碼)、非對稱分組密碼、散列算法(Hash)、數(shù)字簽名、密碼技術(shù)密碼學(xué)應(yīng)用:電子郵件的安全、身份鑒別、SSL/TLS網(wǎng)絡(luò)安全:防火墻技術(shù)、網(wǎng)絡(luò)攻防與入侵檢測系統(tǒng)安全:訪問控制、操作系統(tǒng)的安全、病毒……3

緒論什么是信息安全?信息為什么不安全?安全服務(wù)與網(wǎng)絡(luò)安全模型信息安全的標(biāo)準(zhǔn)化機構(gòu)4什么是信息安全(Security)?廣義地說,信息就是消息。信息可以被交流、存儲和使用。Securityis“thequalityorstateofbeingsecure--tobefreefromdanger”采取保護(hù),防止來自攻擊者的有意或無意的破壞。5傳統(tǒng)方式下的信息安全復(fù)制品與原件存在不同對原始文件的修改總是會留下痕跡模仿的簽名與原始的簽名有差異用鉛封來防止文件在傳送中被非法閱讀或篡改用保險柜來防止文件在保管中被盜竊、毀壞、非法閱讀或篡改用簽名或者圖章來表明文件的真實性和有效性信息安全依賴于物理手段與行政管理6數(shù)字世界中的信息安全復(fù)制后的文件跟原始文件沒有差別對原始文件的修改可以不留下痕跡無法象傳統(tǒng)方式一樣在文件上直接簽名或蓋章不能用傳統(tǒng)的鉛封來防止文件在傳送中被非法閱讀或篡改難以用類似于傳統(tǒng)的保險柜來防止文件在保管中被盜竊、毀壞、非法閱讀或篡改信息社會更加依賴于信息,信息的泄密、毀壞所產(chǎn)生的后果更嚴(yán)重信息安全無法完全依靠物理手段和行政管理7信息安全含義的歷史變化通信保密(COMSEC):60-70年代

信息保密信息安全(INFOSEC):80-90年代

機密性、完整性、可用性、不可否認(rèn)性等信息保障(IA):90年代-8

基本的通訊模型通信的保密模型

通信安全-60年代(COMSEC)發(fā)方收方信源編碼信道編碼信道傳輸通信協(xié)議發(fā)方收方敵人信源編碼信道編碼信道傳輸通信協(xié)議密碼9信息安全的含義

(80-90年代)信息安全的三個基本方面保密性Confidentiality

即保證信息為授權(quán)者享用而不泄漏給未經(jīng)授權(quán)者。完整性Integrity數(shù)據(jù)完整性,未被未授權(quán)篡改或者損壞系統(tǒng)完整性,系統(tǒng)未被非授權(quán)操縱,按既定的功能運行可用性Availability

即保證信息和信息系統(tǒng)隨時為授權(quán)者提供服務(wù),而不要出現(xiàn)非授權(quán)者濫用卻對授權(quán)者拒絕服務(wù)的情況。10

信息安全的其他方面不可否認(rèn)性Non-repudiation:要求無論發(fā)送方還是接收方都不能抵賴所進(jìn)行的傳輸鑒別Authentication

鑒別就是確認(rèn)實體是它所聲明的。適用于用戶、進(jìn)程、系統(tǒng)、信息等審計Accountability確保實體的活動可被跟蹤可靠性Reliability特定行為和結(jié)果的一致性11信息息保保障障InformationAssurance保護(hù)護(hù)(Protect)檢測測(Detect)反應(yīng)應(yīng)(React)恢復(fù)復(fù)(Restore)保護(hù)護(hù)Protect檢測測Detect反應(yīng)應(yīng)React恢復(fù)復(fù)Restore12P2DR安全全模模型型以安安全全策策略略為為核核心心ISS(InternetSecuritySystemsInC.)提出出CC定定義義的的安安全全概概念念模模型型13對抗抗模模型型14動態(tài)態(tài)模模型型/風(fēng)險險模模型型15效益益安安全全模模型型1617動態(tài)態(tài)模模型型的的需需求求動態(tài)態(tài)的的攻攻擊擊動態(tài)態(tài)的的系系統(tǒng)統(tǒng)動態(tài)態(tài)的的組組織織發(fā)展展的的技技術(shù)術(shù)………18P2DR安全全模模型型策略略::是是模模型型的的核核心心,,具具體體的的實實施施過過程程中中,,策策略略意意味味著著網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全要要達(dá)達(dá)到到的的目目標(biāo)標(biāo)。。防護(hù)護(hù)::安安全全規(guī)規(guī)章章、、安安全全配配置置、、安安全全措措施施檢測測::異異常常監(jiān)監(jiān)視視、、模模式式發(fā)發(fā)現(xiàn)現(xiàn)響應(yīng)應(yīng)::報報告告、、記記錄錄、、反反應(yīng)應(yīng)、、恢恢復(fù)復(fù)19安全全———及時時的的檢檢測測和和處處理理Pt,,保護(hù)護(hù)時時間間;;Dt,檢檢測測時時間間;;Rt,響響應(yīng)應(yīng)時時間間動態(tài)態(tài)模模型型基于于時時間間的的模模型型可以量量化可以計計算PtDtRt>+20安全的的層面面實際上上,一一個組組織要要實現(xiàn)現(xiàn)安全全的目目標(biāo),,還需需要在在實體、運行、數(shù)據(jù)、管理等多個個層面面實現(xiàn)現(xiàn)安全全。國家標(biāo)標(biāo)準(zhǔn)GB/T22239-2008《《信息系系統(tǒng)安安全等等級保保護(hù)基基本要要求》指出信信息系系統(tǒng)的的安全全需要要從技術(shù)安安全和管理安安全兩方面面來實實現(xiàn),,技術(shù)術(shù)安全全的方方面包包括::物理安安全、網(wǎng)絡(luò)安安全、主機安安全、應(yīng)用安安全和數(shù)據(jù)安安全及及備份份恢復(fù)復(fù)。21緒論什么是是信息息安全全?信息為為什么么不安安全??安全服服務(wù)與與網(wǎng)絡(luò)絡(luò)安全全模型型信息安安全的的標(biāo)準(zhǔn)準(zhǔn)化機機構(gòu)22信息為為什么么不安安全信息需需要存存儲...信息需需要共共享...信息需需要使使用...信息需需要交交換...信息需需要傳傳輸...23攻擊分分類被動攻攻擊,如竊聽聽或者者偷窺窺,非常難難以被被檢測測到,但可以以防范范releaseofmessagecontent信息內(nèi)內(nèi)容泄泄露trafficanalysis流量分分析主動攻攻擊,常常是是對數(shù)數(shù)據(jù)流流的修修改,可以被被檢測測到,但難以以防范范Masquerade偽裝Replay重放modificationofmessage消息篡篡改denialofservice拒絕服服務(wù)24通信系系統(tǒng)典典型攻攻擊各種不不同的的攻擊擊破壞壞了信信息安安全的的不同同特性性:機密性性:竊聽、、業(yè)務(wù)務(wù)流分分析完整性性:篡改、、重放放、旁旁路、、木馬馬鑒別::冒充充不可否否認(rèn)性性:抵抵賴可用性性:拒拒絕服服務(wù)、、蠕蟲蟲病毒毒、中中斷安全的的信息息交換換應(yīng)滿滿足的的要求求:機機密性性、完完整性性、鑒鑒別、、不可可否認(rèn)認(rèn)性和和可用用性25正常信信息流流動設(shè)信息息是從從源地地址流流向目目的地地址,,那么么正常常的信信息流流向是是:26中斷威威脅這種攻攻擊使使信息息系統(tǒng)統(tǒng)毀壞壞或不不能使使用,,破壞壞可用用性((availability)。如硬盤盤等毀毀壞,,通信信線路路的切切斷,,文件件管理理系統(tǒng)統(tǒng)的癱癱瘓等等。27竊聽威威脅這種攻攻擊破破壞保保密性性(confidentiality).攻擊者者可以以是一一個人人,一一個程程序,,一臺臺計算算機。。這種攻攻擊包包括搭搭線竊竊聽,,文件件或程程序非非法拷拷貝。。28篡改威威脅攻擊者者不僅僅介入入系統(tǒng)統(tǒng)而且且在系系統(tǒng)中中“瞎瞎搗亂亂”,,這種種攻擊擊破壞壞完整整性((integrity).這些攻攻擊包包括改改變數(shù)數(shù)據(jù)文文件,,改變變程序序使之之不能能正確確執(zhí)行行,修修改信信件內(nèi)內(nèi)容等等。29偽造威威脅攻擊者者將偽偽造的的客體體插入入系統(tǒng)統(tǒng)中,,這種種攻擊擊破壞壞真實實性((authenticity)。包括網(wǎng)網(wǎng)絡(luò)中中發(fā)布布虛假假信息息,或或者在在郵件件中添添加偽偽造的的附件件等。。30冒充攻攻擊一個實實體假假裝成成另外外一個個實體體。在鑒別別過程程中,,獲取取有效效鑒別別序列列,以以冒名名的方方式獲獲得部部分特特權(quán)。。31重放攻攻擊獲取有有效數(shù)數(shù)據(jù)段段以重重播的的方式式獲取取對方方信任任。在遠(yuǎn)程程登錄錄時如如果一一個人人的口口令不不改變變,則則容易易被第第三者者獲取取,并并用于于冒名名重放放。32拒絕服服務(wù)攻攻擊破壞信信息系系統(tǒng)的的正常常運行行和管管理。。這種攻攻擊往往往有有針對對性或或特定定目標(biāo)標(biāo)。例如發(fā)發(fā)送大大量垃垃圾信信件使使網(wǎng)絡(luò)絡(luò)過載載,以以降低低系統(tǒng)統(tǒng)性能能。33緒論什么是是信息息安全全?信息為為什么么不安安全??安全服服務(wù)與與網(wǎng)絡(luò)絡(luò)安全全模型型信息安安全的的標(biāo)準(zhǔn)準(zhǔn)化機機構(gòu)34ISO7498-2,信息息安全全體系系結(jié)構(gòu)構(gòu)1989.2.15頒布,,確立立了基基于OSI參考模模型的的七層層協(xié)議議之上上的信信息安安全體體系結(jié)結(jié)構(gòu)五大類類安全全服務(wù)務(wù)(機密性性、完完整性性、抗抗否認(rèn)認(rèn)、鑒鑒別、、訪問問控制制))八類安全全機制(加密、數(shù)數(shù)字簽名名、訪問問控制、、數(shù)據(jù)完完整性、、鑒別交交換、業(yè)業(yè)務(wù)流填填充、路路由控制制、公證證)OSI安全管理理ITUX.800,,1991年頒布35機密性機密性服服務(wù)是用用加密的的機制實實現(xiàn)的。。加密的的目的有有三種::需保護(hù)的的文件經(jīng)經(jīng)過加密密可以公公開存放放和發(fā)送送.實現(xiàn)多級級控制需需要。構(gòu)建加密密通道的的需要,,防止搭搭線竊聽聽和冒名名入侵。。保密性可可以分為為以下四四類:連接保密密無連接保保密選擇字段段保密信息流機機密性密碼算法法是用于于加密和和解密的的數(shù)學(xué)函函數(shù)。36密碼算法法分類對稱密碼碼算法:Symmetric古典密碼碼classical代替密碼碼:簡單代替替、多多名或同同音代替替、多表表代替多字母或或多碼代代替換位密碼碼:現(xiàn)代對稱稱分組密密碼:DES、AES非對稱((公鑰))算法Public-keyRSA、橢圓曲曲線密碼碼ECC新的領(lǐng)域域:量子子密碼、、混沌密密碼、DNA密碼、分分布式密密碼37完整性數(shù)據(jù)完整整性是數(shù)數(shù)據(jù)本身身的真實實性的證證明。數(shù)數(shù)據(jù)完整整性有兩兩個方面面:單個數(shù)據(jù)據(jù)單元或或字段的的完整性性數(shù)據(jù)單元元流或字字段流的的完整性性。完整性可可以分為為以下幾幾類:帶恢復(fù)的的連接完完整性不帶恢復(fù)復(fù)的連接接完整性性選擇字段段連接完完整性無連接完完整性選擇字段段無連接接完整性性38消息鑒別別消息鑒別別(MessageAuthentication):是一個證證實收到到的消息息來自可可信的源源點且未未被篡改改的過程程。可用來做做鑒別的的函數(shù)分分為三類類:(1)消息加密密函數(shù)(Messageencryption)用完整信信息的密密文作為為對信息息的鑒別別。(2)消息鑒別別碼MAC(MessageAuthenticationCode)公開函數(shù)數(shù)+密鑰產(chǎn)生生一個固固定長度度的值作作為鑒別別標(biāo)識(3)散列函數(shù)數(shù)(HashFunction)是一個公公開的函函數(shù),它它將任意意長的信信息映射射成一個個固定長長度的信信息。39鑒別鑒別就是確認(rèn)認(rèn)實體是是它所聲聲明的。。實體鑒別別(身份份鑒別)):某一實體體確信與與之打交交道的實實體正是是所需要要的實體體。數(shù)據(jù)來源源鑒別::鑒定某個個數(shù)據(jù)是是否來源源于某個個特定的的實體。。40訪問控制制一般概念念——是針對越越權(quán)使用用資源的的防御措措施。基本目標(biāo)標(biāo):防止對任任何資源源(如計計算資源源、通信信資源或或信息資資源)進(jìn)進(jìn)行未授授權(quán)的訪訪問。從而使計計算機系系統(tǒng)在合合法范圍圍內(nèi)使用用;決定定用戶能能做什么么。未授權(quán)的的訪問包包括:未未經(jīng)授權(quán)權(quán)的使用用、泄露露、修改改、銷毀毀信息以以及頒發(fā)發(fā)指令等等。非法用戶戶進(jìn)入系系統(tǒng)。合法用戶戶對系統(tǒng)統(tǒng)資源的的非法使使用。41抗否認(rèn)數(shù)字簽名名(DigitalSignature)是一種防防止源點點或終點點抵賴的的鑒別技技術(shù)。42安全服務(wù)務(wù)與TCP/IP協(xié)議層的的關(guān)系經(jīng)典的通通信安全全模型4344四個基本本任務(wù)設(shè)計一個個算法,,執(zhí)行安安全相關(guān)關(guān)的轉(zhuǎn)換換,算法法應(yīng)具有有足夠的的安全強強度;生成該算算法所使使用的秘秘密信息息,也就就是密鑰鑰;設(shè)計秘密密信息的的分布與與共享的的方法,,也就是是密鑰的的分配方方案;設(shè)定通信信雙方使使用的安安全協(xié)議議,該協(xié)協(xié)議利用用密碼算算法和密密鑰實現(xiàn)現(xiàn)安全服服務(wù)。信息訪問問安全模模型45信息安全全的技術(shù)術(shù)體系4647緒論什么是信信息安全全?信息為什什么不安安全?安全服務(wù)務(wù)與網(wǎng)絡(luò)絡(luò)安全模模型信息安全全的標(biāo)準(zhǔn)準(zhǔn)化機構(gòu)構(gòu)48建立標(biāo)準(zhǔn)準(zhǔn)的好處處和壞處處好處:批量生產(chǎn)產(chǎn),降低成本本相互兼容容,為用戶帶帶來方便便弊端可能會阻阻滯技術(shù)術(shù)發(fā)展同一事物物多套標(biāo)標(biāo)準(zhǔn)49著名國際際標(biāo)準(zhǔn)化化組織國際標(biāo)準(zhǔn)準(zhǔn)化組織織(ISO)和國際際電工委委員會((IEC)國際電報報和電話話咨詢委委員會(CCITT)國際信息息處理聯(lián)聯(lián)合會第第十一技技術(shù)委員員會(IFIPTC11)電氣和電電子工程程師學(xué)會會(IEEE)歐洲計算算機制造造商協(xié)會會(ECMA)Internet體系結(jié)構(gòu)構(gòu)委員會會(IAB)50美國國內(nèi)內(nèi)與信息息安全事事物有關(guān)關(guān)的管理理機構(gòu)主主要有國國家安全全局(NSA)、國家家標(biāo)準(zhǔn)技技術(shù)研究究所(NIST)、聯(lián)邦邦調(diào)查局局(FBI)、高級級研究計計劃署((ARPA)和國防防部信息息局(DISA)。他們們有各自自授權(quán)管管理的領(lǐng)領(lǐng)域和業(yè)業(yè)務(wù),同同時,這這些機構(gòu)構(gòu)。通過過信息安安全管理理職責(zé)上上的理解解備忘錄錄和協(xié)議議備忘錄錄進(jìn)行合合作。美國國家家標(biāo)準(zhǔn)協(xié)協(xié)會(ANSI)美國電子子工業(yè)協(xié)協(xié)會(EIA)美國國防防部(DoD)及國家家計算機機安全中中心(NCSC)美國的標(biāo)標(biāo)準(zhǔn)機構(gòu)構(gòu)51安全組織織機構(gòu)我國信息息安全標(biāo)標(biāo)準(zhǔn)化工工作我國國務(wù)務(wù)院授權(quán)權(quán)履行行行政管理理職能和和統(tǒng)一管管理全國國標(biāo)準(zhǔn)化化工作的的主管機機構(gòu)是中中國國家家標(biāo)準(zhǔn)化化管理委委員會。。國家標(biāo)標(biāo)準(zhǔn)化管管理委員員會下設(shè)設(shè)有255個專業(yè)業(yè)技術(shù)術(shù)委員員會。。1984年成立立了全全國信信息技技術(shù)安安全標(biāo)標(biāo)準(zhǔn)化化技術(shù)術(shù)委員員會((CITS),在在國家家標(biāo)準(zhǔn)準(zhǔn)化管管理委委員會會和信信息產(chǎn)產(chǎn)業(yè)部部的共共同領(lǐng)領(lǐng)導(dǎo)下下負(fù)責(zé)責(zé)全國國信息息技術(shù)術(shù)領(lǐng)域域以及及與ISO/IECJTC1相對應(yīng)應(yīng)的標(biāo)標(biāo)準(zhǔn)化化工作作,下下設(shè)24個分技技術(shù)委委員會會和特特別工工作組組。已頒布布的信信息技技術(shù)安安全標(biāo)標(biāo)準(zhǔn)涉涉及信信息技技術(shù)設(shè)設(shè)備的的安全全、信信息處處理系系統(tǒng)開開放系系統(tǒng)互互聯(lián)安安全體體系結(jié)結(jié)構(gòu)、、數(shù)據(jù)據(jù)加密密、數(shù)數(shù)字簽簽名、、實體體鑒別別、抗抗抵賴賴和防防火墻墻安全全技術(shù)術(shù)等。。5253參考文文獻(xiàn)王昭,,袁春春編著著.陳鐘審審校.信息安安全原原理與與應(yīng)用用.北京:電子工工業(yè)出出版社社,2010.WilliamStallings,孟慶慶樹等等譯.密碼編編碼學(xué)學(xué)與網(wǎng)網(wǎng)絡(luò)安安全——原理與與實踐踐(第第四版版).北京::電子子工業(yè)業(yè)出版版社,,2007趙戰(zhàn)生生.信息安安全保保障技技術(shù)發(fā)發(fā)展.863培訓(xùn)講講義.2001年8月6日.沈昌祥祥.信息安安全工工程技技術(shù).2001年全國國第五五次高高級計計算機機人才才培訓(xùn)訓(xùn)班講講義趙戰(zhàn)生生.信息安安全保保障的的政策策、法法規(guī)和和標(biāo)準(zhǔn)準(zhǔn).2001年全國國第五五次高高級計計算機機人才才培訓(xùn)訓(xùn)班講講義參考文文獻(xiàn)趙戰(zhàn)生生,馮馮登國國等.信息安安全技技術(shù)淺淺談.北京:科學(xué)出出版社社,1999方濱興興.網(wǎng)絡(luò)與與信息息安全全及其其前言言技術(shù)術(shù)講座座[TCSEC1985]DepartmentofDefenseofUSA.TrustedComputerSystemEvaluationCriteria.(Orangebook),,1985……549、靜夜四四無鄰,,荒居舊舊業(yè)貧。。。12月-2212月-22Thursday,December29,202210、雨中中黃葉葉樹,,燈下下白頭頭人。。。03:47:3903:47:3903:4712/29/20223:47:39AM11、以我我獨沈沈久,,愧君君相見見頻。。。12月月-2203:47:3903:47Dec-2229-Dec-2212、故人人江海海別,,幾度度隔山山川。。。03:47:3903:47:3903:47Thursday,December29,202213、乍乍見見翻翻疑疑夢夢,,相相悲悲各各問問年年。。。。12月月-2212月月-2203:47:3903:47:39December29,202214、他他鄉(xiāng)鄉(xiāng)生生白白發(fā)發(fā),,舊舊國國見見青青山山。。。。29十十二二月月20223:47:39上上午午03:47:3912月月-2215、比不不了得得就不不比,,得不不到的的就不不要。。。。十二月月223:47上上午午12月月-2203:47December29,202216、行動出出成果,,工作出出財富。。。2022/12/293:47:3903:47:3929December202217、做前,能能夠環(huán)視四四周;做時時,你只能能或者最好好沿著以腳腳為起點的的射線向前前。。3:47:39上上午3:47上上午03:47:3912月-229、沒有失失敗,只只有暫時時停止成成功!。。12月-2212月-22Thursday,December29,202210、很多事情情努力了未未必有結(jié)果果,但是不不努力卻什什么改變也也沒有。。。03:47:3903:47:3903:4712/29/20223:47:39AM11、成成功功就就是是日日復(fù)復(fù)一一日日那那一一點點點點小小小小努努力力的的積積累累。。。。12月月-2203:47:3903:47Dec-2229-Dec-2212、世間間成事事,不不求其其絕對對圓滿滿,留留一份份不足足,可可得無無限完完美。。。03:47:3903:47:3903:47Thursday,December29,202213、不知香積積寺,數(shù)里里入云峰。。。12月-2212月-2203:47:3903:47:39December29,202214、意意志志堅堅強強的的人人能能把把世世界界放放在在手手中中像像泥泥塊塊一一樣樣任任意意揉揉捏捏。。29十十二二月月20223:47:39上上午午03:47:3912月月-2215、楚楚塞塞三三湘湘接接,,荊荊門門九九派派通通。。。。。十二二月月223:47上上午午12月月-2203:47Decemb

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論