《网络安全（第一章）》.ppt

河北工程大学 网络安全技术 通信与信息工程系 刘光远 gyuanliu@163.com 2010年3月 教 学 内 容 教 学 内 容（续） 本 课 程 对 学 生 的 要 求 了解和掌握网络与信息安全的基本原理和相关技术 关注国内外最新研究成果和发展动态 具有网络与信息安全的理论基础和基本实践能力 第一章 网络安全概论 学习目标 理解网络安全及信息安全的概念 重点记忆网络安全的体系结构 初步了解网络攻击的类型及防护模型 熟悉安全产品类型 第一章 网络安全概论 引 言 信息安全：防止任何对数据进行未授权访问的措施，或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生，让数据处于远离危险、免于威胁的状态或特性。 网络安全：计算机网络环境下的信息安全。 信息的安全需求 保密性：对信息资源开放范围的控制。 （数据加密、访问控制、防计算机电磁泄漏等安全措施） 完整性：保证计算机系统中的信息处于“保持完整或一种未受损的状态”。 （任何对系统信息应有特性或状态的中断、窃取、篡改、伪造都是破坏系统信息完整性的行为。） 可用性：合法用户在需要的时候，可以正确使用所需的信息而不遭服务拒绝。 （系统的可用性与保密性之间存在一定的矛盾。） 网络安全特点 相对性 配角特性 动态性 必然性 网络不安全的原因 自身缺陷＋开放性＋黑客攻击 信息安全概念与技术的发展 信息安全的概念与技术是随着人们的需求，随着计算机、通信与网络等信息技术的发展而不断发展的。 单机系统的信息保密阶段 信息保密技术的研究成果： 发展各种密码算法及其应用： DES（数据加密标准）、RSA（公开密钥体制）、ECC（椭圆曲线离散对数密码体制）等。 计算机信息系统安全模型和安全评价准则： 访问监视器模型、多级安全模型等；TCSEC（可信计算机系统评价准则）、ITSEC（信息技术安全评价准则）等。 网络信息安全阶段 该阶段中，除了采用和研究各种加密技术外，还开发了许多针对网络环境的信息安全与防护技术：（被动防御） 安全漏洞扫描技术、安全路由器、防火墙技术、入侵检测技术、网络攻防技术、网络监控与审计技术等。 当然在这个阶段中还开发了许多网络加密、认证、数字签名的算法和信息系统安全评估准则（如CC通用评估准则）。 信息保障阶段 信息保障（IA）概念与思想的提出：20世纪90年代由美国国防部长办公室提出。 定义：通过确保信息和信息系统的可用性、完整性、可控性、保密性和不可否认性来保护信息系统的信息作战行动，包括综合利用保护、探测和反应能力以恢复系统的功能。 信息保障阶段 信息保障技术框架IATF：由美国国家安全局制定，提出“纵深防御策略”DiD（Defense-in-Depth Strategy）。 在信息保障的概念下，信息安全保障的PDRR模型的内涵已经超出了传统的信息安全保密，而是保护（Protection）、检测（Detection）、响应（Reaction）和恢复（Restore）的有机结合。 信息保障阶段不仅包含安全防护的概念，更重要的是增加了主动和积极的防御观念。 PDRR安全模型 PDRR安全模型 注意： 保护、检测、恢复、响应这几个阶段并不是孤立的，构建信息安全保障体系必须从安全的各个方面进行综合考虑，只有将技术、管理、策略、工程过程等方面紧密结合，安全保障体系才能真正成为指导安全方案设计和建设的有力依据。 信息保障体系的组成 法律与政策体系 标准与规范体系 人才培养体系 产业支撑体系 技术保障体系 组织管理体系 信息安全管理的地位（1/8） 信息安全管理的地位（2/8） 我国863信息安全专家组博采众长推出了WPDRRC安全体系模型。 该模型全面涵盖了各个安全因素，突出了人、策略、管理的重要性，反映了各个安全组件之间的内在联系。 人——核心 政策（包括法律、法规、制度、管理）——桥梁 技术——落实在WPDRRC六个环节的各个方面，在各个环节中起作用 信息安全管理的地位（3/8） 预警：根据以前掌握系统的脆弱性和了解当前的犯罪趋势，预测未来可能受到的攻击和危害。 虽然目前Internet是以光速传播的，但攻击过程还是有时间差和空间差。 如果只以个人的能力实施保护，结果永远是保障能力小于或等于攻击能力，只有变成举国体制、协作机制，才可能做到保障能力大于等于攻击能力。 信息安全管理的地位（4/8） 保护：采用一切手段保护信息系统的保密性、完整性、可用性、可控性和不可否认性。 我国已提出实行计算机信息系统的等级保护问题，应该依据不同等级的系统安全要求完善自己系统的安全功能和安全机制。 现有技术