信息安全原理與應(yīng)用課件

1

信息安全原理與應(yīng)用第一章緒論本章由王昭主寫2內(nèi)容體系密碼學基礎(chǔ)：對稱密碼(古典密碼、現(xiàn)代對稱分組密碼、流密碼）、非對稱分組密碼、散列算法（Hash)、數(shù)字簽名、密碼技術(shù)密碼學應(yīng)用：電子郵件的安全、身份鑒別、SSL/TLS網(wǎng)絡(luò)安全：防火墻技術(shù)、網(wǎng)絡(luò)攻防與入侵檢測系統(tǒng)安全：訪問控制、操作系統(tǒng)的安全、病毒……3

緒論什么是信息安全?信息為什么不安全？安全服務(wù)與網(wǎng)絡(luò)安全模型信息安全的標準化機構(gòu)4什么是信息安全(Security)？廣義地說，信息就是消息。信息可以被交流、存儲和使用。Securityis“thequalityorstateofbeingsecure--tobefreefromdanger”采取保護，防止來自攻擊者的有意或無意的破壞。5傳統(tǒng)方式下的信息安全復制品與原件存在不同對原始文件的修改總是會留下痕跡模仿的簽名與原始的簽名有差異用鉛封來防止文件在傳送中被非法閱讀或篡改用保險柜來防止文件在保管中被盜竊、毀壞、非法閱讀或篡改用簽名或者圖章來表明文件的真實性和有效性信息安全依賴于物理手段與行政管理6數(shù)字世界中的信息安全復制后的文件跟原始文件沒有差別對原始文件的修改可以不留下痕跡無法象傳統(tǒng)方式一樣在文件上直接簽名或蓋章不能用傳統(tǒng)的鉛封來防止文件在傳送中被非法閱讀或篡改難以用類似于傳統(tǒng)的保險柜來防止文件在保管中被盜竊、毀壞、非法閱讀或篡改信息社會更加依賴于信息，信息的泄密、毀壞所產(chǎn)生的后果更嚴重信息安全無法完全依靠物理手段和行政管理7信息安全含義的歷史變化通信保密（COMSEC）：60-70年代

信息保密信息安全（INFOSEC）：80-90年代

機密性、完整性、可用性、不可否認性等信息保障（IA）：90年代-8

基本的通訊模型通信的保密模型

通信安全-60年代（COMSEC）發(fā)方收方信源編碼信道編碼信道傳輸通信協(xié)議發(fā)方收方敵人信源編碼信道編碼信道傳輸通信協(xié)議密碼9信息安全的含義

(80-90年代)信息安全的三個基本方面保密性Confidentiality

即保證信息為授權(quán)者享用而不泄漏給未經(jīng)授權(quán)者。完整性Integrity數(shù)據(jù)完整性，未被未授權(quán)篡改或者損壞系統(tǒng)完整性，系統(tǒng)未被非授權(quán)操縱，按既定的功能運行可用性Availability

即保證信息和信息系統(tǒng)隨時為授權(quán)者提供服務(wù)，而不要出現(xiàn)非授權(quán)者濫用卻對授權(quán)者拒絕服務(wù)的情況。10

信息安全的其他方面不可否認性Non-repudiation：要求無論發(fā)送方還是接收方都不能抵賴所進行的傳輸鑒別Authentication

鑒別就是確認實體是它所聲明的。適用于用戶、進程、系統(tǒng)、信息等審計Accountability確保實體的活動可被跟蹤可靠性Reliability特定行為和結(jié)果的一致性11信息保障InformationAssurance保護（Protect）檢測（Detect）反應(yīng)（React）恢復（Restore）保護Protect檢測Detect反應(yīng)React恢復Restore12P2DR安全模型以安全策略略為核心ISS（InternetSecuritySystemsInC.)提出CC定義的的安全概念念模型13對抗模型14動態(tài)模型/風險模型15效益安全模模型1617動態(tài)模型的的需求動態(tài)的攻擊擊動態(tài)的系統(tǒng)統(tǒng)動態(tài)的組織織發(fā)展的技術(shù)術(shù)……18P2DR安全模型策略：是模模型的核心心，具體的的實施過程程中，策略略意味著網(wǎng)網(wǎng)絡(luò)安全要要達到的目目標。防護：安全全規(guī)章、安安全配置、、安全措施施檢測：異常常監(jiān)視、模模式發(fā)現(xiàn)響應(yīng)：報告告、記錄、、反應(yīng)、恢恢復19安全——及時的檢測測和處理Pt，保護時間；；Dt，檢測時間間；Rt，響應(yīng)時間間動態(tài)模型基于時間的的模型可以量化可以計算PtDtRt>+20安全的層面面實際上，一一個組織要要實現(xiàn)安全全的目標，，還需要在在實體、運行、數(shù)據(jù)、管理等多個層面面實現(xiàn)安全全。國家標準GB/T22239-2008《信息系統(tǒng)安安全等級保保護基本要要求》指出信息系系統(tǒng)的安全全需要從技術(shù)安全和管理安全兩方面來實實現(xiàn)，技術(shù)術(shù)安全的方方面包括：：物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全及及備份恢復復。21緒論什么是是信息息安全全?信息為為什么么不安安全？？安全服服務(wù)與與網(wǎng)絡(luò)絡(luò)安全全模型型信息安安全的的標準準化機機構(gòu)22信息為為什么么不安安全信息需需要存存儲...信息需需要共共享...信息需需要使使用...信息需需要交交換...信息需需要傳傳輸...23攻擊分分類被動攻攻擊，如竊聽聽或者者偷窺窺，非常難難以被被檢測測到，但可以以防范范releaseofmessagecontent信息內(nèi)內(nèi)容泄泄露trafficanalysis流量分分析主動攻攻擊，常常是是對數(shù)數(shù)據(jù)流流的修修改，可以被被檢測測到，但難以以防范范Masquerade偽裝Replay重放modificationofmessage消息篡篡改denialofservice拒絕服服務(wù)24通信系系統(tǒng)典典型攻攻擊各種不不同的的攻擊擊破壞壞了信信息安安全的的不同同特性性：機密性性:竊聽、、業(yè)務(wù)務(wù)流分分析完整性性:篡改、、重放放、旁旁路、、木馬馬鑒別：：冒充充不可否否認性性：抵抵賴可用性性：拒拒絕服服務(wù)、、蠕蟲蟲病毒毒、中中斷安全的的信息息交換換應(yīng)滿滿足的的要求求：機機密性性、完完整性性、鑒鑒別、、不可可否認認性和和可用用性25正常信信息流流動設(shè)信息息是從從源地地址流流向目目的地地址，，那么么正常常的信信息流流向是是：26中斷威威脅這種攻攻擊使使信息息系統(tǒng)統(tǒng)毀壞壞或不不能使使用，，破壞壞可用用性（（availability）。如硬盤盤等毀毀壞，，通信信線路路的切切斷，，文件件管理理系統(tǒng)統(tǒng)的癱癱瘓等等。27竊聽威威脅這種攻攻擊破破壞保保密性性(confidentiality).攻擊者者可以以是一一個人人，一一個程程序，，一臺臺計算算機。。這種攻攻擊包包括搭搭線竊竊聽，，文件件或程程序非非法拷拷貝。。28篡改威威脅攻擊者者不僅僅介入入系統(tǒng)統(tǒng)而且且在系系統(tǒng)中中“瞎瞎搗亂亂”，，這種種攻擊擊破壞壞完整整性（（integrity）.這些攻攻擊包包括改改變數(shù)數(shù)據(jù)文文件，，改變變程序序使之之不能能正確確執(zhí)行行，修修改信信件內(nèi)內(nèi)容等等。29偽造威威脅攻擊者者將偽偽造的的客體體插入入系統(tǒng)統(tǒng)中，，這種種攻擊擊破壞壞真實實性（（authenticity）。包括網(wǎng)網(wǎng)絡(luò)中中發(fā)布布虛假假信息息，或或者在在郵件件中添添加偽偽造的的附件件等。。30冒充攻攻擊一個實實體假假裝成成另外外一個個實體體。在鑒別別過程程中，，獲取取有效效鑒別別序列列，以以冒名名的方方式獲獲得部部分特特權(quán)。。31重放攻攻擊獲取有有效數(shù)數(shù)據(jù)段段以重重播的的方式式獲取取對方方信任任。在遠程程登錄錄時如如果一一個人人的口口令不不改變變，則則容易易被第第三者者獲取取，并并用于于冒名名重放放。32拒絕服服務(wù)攻攻擊破壞信信息系系統(tǒng)的的正常常運行行和管管理。。這種攻攻擊往往往有有針對對性或或特定定目標標。例如發(fā)發(fā)送大大量垃垃圾信信件使使網(wǎng)絡(luò)絡(luò)過載載，以以降低低系統(tǒng)統(tǒng)性能能。33緒論什么是是信息息安全全?信息為為什么么不安安全？？安全服服務(wù)與與網(wǎng)絡(luò)絡(luò)安全全模型型信息安安全的的標準準化機機構(gòu)34ISO7498-2，信息息安全全體系系結(jié)構(gòu)構(gòu)1989.2.15頒布，，確立立了基基于OSI參考模模型的的七層層協(xié)議議之上上的信信息安安全體體系結(jié)結(jié)構(gòu)五大類類安全全服務(wù)務(wù)(機密性性、完完整性性、抗抗否認認、鑒鑒別、、訪問問控制制））八類安安全機機制(加密、、數(shù)字字簽名名、訪訪問控控制、、數(shù)據(jù)據(jù)完整整性、、鑒別別交換換、業(yè)業(yè)務(wù)流流填充充、路路由控控制、、公證證）OSI安全管管理ITUX.800，1991年頒布布35機密性性機密性性服務(wù)務(wù)是用用加密密的機機制實實現(xiàn)的的。加加密的的目的的有三三種：：需保護護的文文件經(jīng)經(jīng)過加加密可可以公公開存存放和和發(fā)送送.實現(xiàn)多多級控控制需需要。。構(gòu)建加加密通通道的的需要要，防防止搭搭線竊竊聽和和冒名名入侵侵。保密性性可以以分為為以下下四類類：連接保保密無連接接保密密選擇字字段保保密信息流流機密密性密碼算算法是是用于于加密密和解解密的36密碼算算法分分類對稱密密碼算算法:Symmetric古典密密碼classical代替密密碼:簡單代代替、、多多名或或同音音代替替、多多表代代替多字母母或多多碼代代替換位密密碼:現(xiàn)代對對稱分分組密密碼:DES、AES非對稱稱（公公鑰））算法法Public-keyRSA、橢圓圓曲線線密碼碼ECC新的領(lǐng)領(lǐng)域：：量子子密碼碼、混混沌密密碼、、DNA密碼、、分布布式密密碼37完整性性數(shù)據(jù)完完整性性是數(shù)數(shù)據(jù)本本身的的真實實性的的證明明。數(shù)數(shù)據(jù)完完整性性有兩兩個方方面:單個數(shù)數(shù)據(jù)單單元或或字段段的完完整性性數(shù)據(jù)單單元流流或字字段流流的完完整性性。完整性性可以以分為為以下下幾類類:帶恢復復的連連接完完整性性不帶恢恢復的的連接接完整整性選擇字字段連連接完完整性性無連接接完整整性選擇字字段無無連接接完整整性38消息鑒鑒別消息鑒鑒別（（MessageAuthentication)：是一個個證實實收到到的消消息來來自可可信的的源點點且未未被篡篡改的的過程程?？捎脕韥碜鲨b鑒別的的函數(shù)數(shù)分為為三類類：(1)消息加加密函函數(shù)(Messageencryption)用完整整信息息的密密文作作為對對信息息的鑒鑒別。。(2)消息鑒鑒別碼碼MAC(MessageAuthenticationCode)公開函函數(shù)+密鑰產(chǎn)產(chǎn)生一一個固固定長長度的的值作作為鑒鑒別標標識(3)散列函函數(shù)(HashFunction)是一個個公開開的函函數(shù)，，它將將任意意長的的信息息映射射成一一個固固定長長度的的信息息。39鑒別鑒別就是確確認實實體是是它所所聲明明的。。實體鑒鑒別（（身份份鑒別別）：某一實實體確確信與與之打打交道道的實實體正正是所所需要要的實實體。。數(shù)據(jù)來源鑒鑒別：鑒定某個數(shù)數(shù)據(jù)是否來來源于某個個特定的實實體。40訪問控制一般概念——是針對越權(quán)權(quán)使用資源源的防御措措施。基本目標：：防止對任何何資源（如如計算資源源、通信資資源或信息息資源）進進行未授權(quán)權(quán)的訪問。。從而使計算算機系統(tǒng)在在合法范圍圍內(nèi)使用；；決定用戶戶能做什么么。未授權(quán)的訪訪問包括：：未經(jīng)授權(quán)權(quán)的使用、、泄露、修修改、銷毀毀信息以及及頒發(fā)指令令等。非法用戶進進入系統(tǒng)。。合法用戶對對系統(tǒng)資源源的非法使使用。41抗否認數(shù)字簽名（（DigitalSignature）是一種防止止源點或終終點抵賴的的鑒別技術(shù)術(shù)。42安全服務(wù)與與TCP/IP協(xié)議層的關(guān)關(guān)系經(jīng)典的通信信安全模型型4344四個基本任任務(wù)設(shè)計一個算算法，執(zhí)行行安全相關(guān)關(guān)的轉(zhuǎn)換，，算法應(yīng)具具有足夠的的安全強度度；生成該算法法所使用的的秘密信息息，也就是是密鑰；設(shè)計秘密信信息的分布布與共享的的方法，也也就是密鑰鑰的分配方方案；設(shè)定通信雙雙方使用的的安全協(xié)議議，該協(xié)議議利用密碼碼算法和密密鑰實現(xiàn)安安全服務(wù)。。信息訪問安安全模型45信息安全的的技術(shù)體系系4647緒論什么是信息息安全?信息為什么么不安全？？安全服務(wù)與與網(wǎng)絡(luò)安全全模型信息安全的的標準化機機構(gòu)48建立標準的的好處和壞壞處好處:批量生產(chǎn)，降低成本相互兼容，為用戶帶來來方便弊端可能會阻滯滯技術(shù)發(fā)展展同一事物多多套標準49著名國際標標準化組織織國際標準化化組織（ISO）和國際電電工委員會會（IEC）國際電報和和電話咨詢詢委員會(CCITT)國際信息處處理聯(lián)合會會第十一技技術(shù)委員會會（IFIPTC11）電氣和電子子工程師學學會（IEEE）歐洲計算機機制造商協(xié)協(xié)會（ECMA）Internet體系結(jié)構(gòu)委委員會（IAB）50美國國內(nèi)與與信息安全全事物有關(guān)關(guān)的管理機機構(gòu)主要有有國家安全全局（NSA）、國家標標準技術(shù)研研究所（NIST）、聯(lián)邦調(diào)調(diào)查局（FBI）、高級研研究計劃署署（ARPA）和國防部部信息局（（DISA）。他們有有各自授權(quán)權(quán)管理的領(lǐng)領(lǐng)域和業(yè)務(wù)務(wù)，同時，，這些機構(gòu)構(gòu)。通過信信息安全管管理職責上上的理解備備忘錄和協(xié)協(xié)議備忘錄錄進行合作作。美國國家標標準協(xié)會（（ANSI）美國電子工工業(yè)協(xié)會（（EIA）美國國防部部（DoD）及國家計計算機安全全中心（NCSC）美國的標準準機構(gòu)51安全組織機機構(gòu)我國信息安安全標準化化工作我國國務(wù)院院授權(quán)履行行行政管理理職能和統(tǒng)統(tǒng)一管理全全國標準化化工作的主主管機構(gòu)是是中國國家家標準化管管理委員會會。國家標標準化管理理委員會下下設(shè)有255個專業(yè)技術(shù)術(shù)委員會。。1984年成立了全全國信息技技術(shù)安全標標準化技術(shù)術(shù)委員會（（CITS），在國家家標準化管管理委員會會和信息產(chǎn)產(chǎn)業(yè)部的共共同領(lǐng)導下下負責全國國信息技術(shù)術(shù)領(lǐng)域以及及與ISO/IECJTC1相對應(yīng)的標標準化工作作，下設(shè)24個分技術(shù)委委員會和特特別工作組組。已頒布的信信息技術(shù)安安全標準涉涉及信息技技術(shù)設(shè)備的的安全、信信息處理系系統(tǒng)開放系系統(tǒng)互聯(lián)安安全體系結(jié)結(jié)構(gòu)、數(shù)據(jù)據(jù)加密、數(shù)數(shù)字簽名、、實體鑒別別、抗抵賴賴和防火墻墻安全技術(shù)術(shù)等。5253參考文獻王昭，袁春春編著.陳鐘審校.信息安全原原理與應(yīng)用用.北京:電子工業(yè)出出版社，2010.WilliamStallings，孟慶樹等等譯.密碼編碼學學與網(wǎng)絡(luò)安安全——原理與實踐踐（第四版版）.北京：電子子工業(yè)出版版社，2007趙戰(zhàn)生.信息安全保保障技術(shù)發(fā)發(fā)展.863培訓講義.2001年8月6日.沈昌祥．信息安全工工程技術(shù)．2001年全國第五五次高級計計算機人才才培訓班講講義趙戰(zhàn)生．信息安全保保障的政策策、法規(guī)和和標準．2001年全國第五五次高級計計算機人才才培訓班講講義參考文獻趙戰(zhàn)生，馮馮登國等.信息安全技技術(shù)淺談.北京：科學出版社社，1999方濱興.網(wǎng)絡(luò)與信息息安全及其其前言技術(shù)術(shù)講座[TCSEC1985]DepartmentofDefenseofUSA.TrustedComputerSystemEvaluationCriteria.(Orangebook)，，1985……549、靜夜四無無鄰，荒居居舊業(yè)貧。。。12月-2212月-22Thursday,December29,202210、雨雨中中黃黃葉葉樹樹，，燈燈下下白白頭頭人人。。。。03:47:4203:47:4203:4712/29/20223:47:42AM11、以我獨獨沈久，，愧君相相見頻。。。12月-2203:47:4203:47Dec-2229-Dec-2212、故人江江海別，，幾度隔隔山川。。。03:47:4203:47:4203:47Thursday,December29,202213、乍見翻翻疑夢，，相悲各各問年。。。12月-2212月-2203:47:4203:47:42December29,202214、他鄉(xiāng)生白白發(fā)，舊國國見青山。。。29十二二月20223:47:42上上午03:47:4212月-2215、比比不不了了得得就就不不比比，，得得不不到到的的就就不不要要。。。。。十二二月月223:47上上午午12月月-2203:47December29,202216、行動動出成成果，，工作作出財財富。。。2022/12/293:47:4203:47:4229December202217、做前，能能夠環(huán)視四四周；做時時，你只能能或者最好好沿著以腳腳為起點的的射線向前前。。3:47:42上上午3:47上上午03:47:4212月-229、沒有失失敗，只只有暫時時停止成成功！。。12月-2212月-22Thursday,December29,202210、很很多多事事情情努努力力了了未未必必有有結(jié)結(jié)果果，，但但是是不不努努力力卻卻什什么么改改變變也也沒沒有有。。。。03:47:4203:47:4203:4712/29/20223:47:42AM11、成功就是是日復一日日那一點點點小小努力力的積累。。。12月-2203:47:4203:47Dec-2229-Dec-2212、世世間間成成事事，，不不求求其其絕絕對對圓圓滿滿，，留留一一份份不不足足，，可可得得無無限限完完美美。。。。03:47:4203:47:4203:47Thursday,December29,202213、不知香香積寺，，數(shù)里入入云峰。。。12月-2212月-2203:47:4203:47:42December29,202214、意志堅強強的人能把把世界放在在手中像泥泥塊一樣任任意揉捏。。29十二二月20223:47:42上上午03:47:4212月-2215、楚塞三三湘接，，荊門九九派通。。。。十二月223:47上午午12月-2203:47December29,202216、少少年年十十五五二二十十時時，，步步行行奪奪得得胡胡馬馬騎騎。。。。2022/12/293:47:4203:47:4229December202217、空山