5-信息安全技术概述5-信安全技术概述5-信息安全技术概述5-信息安全技术概述.ppt

Chapter 1: 信息安全技术概述 刘大林 * 提纲 引言 信息、信息安全与信息安全技术 信息安全的发展历史 《信息安全技术教程》的定位 信息安全技术概述 技术体系框架 技术体系构成 安全服务与安全机制 发展趋势 什么是信息? 用通俗的语言来描述，所谓信息，就是有意义的资料，人们可以通过它获得一些知识 信息已日渐成为一种资源、资产 现代战争中的“信息战” 信息化社会中：信息就是财富，财富就是信息 什么是信息安全? 随着时代的发展，信息安全涉及的内容在不断扩展 导致不同的人在不同场合下对信息安全的多方面理解 孤立的讨论信息安全没有实际意义,需要结合信息技术的发展 信息安全不是最终目的，只是服务于信息化的一种手段 为信息提供安全保护 Information Security and Assurance 什么是信息安全技术 信息安全不是信息产品的简单堆积，而是环境、人员、技术、操作四种要素紧密结合的系统工程，是不断演进、循环发展的动态过程。 信息安全技术是信息安全的一个组成部分。 技术解决信息安全——“见招拆招” 早期——密码学，加密了就安全； 后来——防火墙决定信息安全，IDS、PKI、VPN…… 现在——“多功能网关”、UTM，能想到的安全技术全加上，就安全了 信息安全的需求 真实性(Identification and Authentication) 保密性(Confidentiality and Privacy) 完整性(Data Integrity) 不可否认性(Non Repudiation) 可用性(Availability) 真实性－Identification 人的标识 用户名，QQ号码，用户图象 机器标识 IP地址，MAC地址，CPU序列号 网络标识 网络地址，域名 应用标识 进程名字，应用名，占用端口，标准的应答方式 真实性－鉴别／认证 What do you know你知道什么 密码，口令，妈妈的生日，机密问题 What do you have你有什么 钥匙，IC卡，令牌，身份证 What you are你是什么 手型，指纹，眼纹，声纹，说话方式，行走方式 网络交易中认证的要求 网络不可信，不能明文传送认证信息 加密可以解决 认证者可能不可信，所以要求认证者不能假冒被认证者（零知识） 只有非对称算法才能提供这样的机制 要针对大规模的人群进行认证，每个应用系统又不能存放所有人的认证信息． 专用的认证系统，提供认证服务 保密性问题 通信保密 信息隐藏 信息加密 系统存储(文件系统)／处理保密 存取控制 自主存取控制 强制存取控制（安全操作系统） 加密和隐藏 加密技术 对称密码 知道加密的人原则上就知道如何解密，知道解密的人也知道如何加密（对称） 一个对称的密钥k,双方都知道 非对称算法 知道加密的人不可能知道如何解密，知道解密的人知道如何加密 一个加密密钥e，一个解密密钥d，由d可以算出e，但由e不能算出d 完整性问题 校验编码，解决硬件出错 攻击者知道了编码方法 利用带有密钥的MAC进行校验 第三方攻击没有办法，但对方可以抵赖 数字签名，对方不可抵赖 利用数字签名，任何一个第三方可以验证 不可否认性 绝对可信第三方保留备份 绝对可信第三方作MAC或数字签名 时间戳服务器 通信双方签名 可信第三方签发证书 任意第三方可以验证 可用性 系统自身的坚固，鲁棒性 “年故障时间2小时” 故障仍旧有可能发生 利用冗余加强 双机备份（冷备份，热备份，冗余备份） 仍旧无法抵抗攻击 入侵容忍技术 Byzantine错误防御技术 门槛密码应用系统 用时间的眼光看历史 通信安全 计算机安全 信息安全 信息保障 信息安全与保障 信息安全发展的四个阶段 信息安全发展的四个阶段 信息安全发展的四个阶段 信息安全发展的四个阶段 信息安全发展的四个阶段 信息安全发展的四个阶段 信息安全发展的四个阶段 信息安全发展的四个阶段 信息安全发展的四个阶段 信息安全发展的四个阶段 信息安全发展的四个阶段 信息安全发展的四个阶段 用技术的眼光看历史 保护 保障 生存 自生成 第一代信息安全技术: 保护(Protect) 修筑城墙的技术 通信保密：加密技术 安全系统：存取控制技术 特好的城墙：安全操作系统 边界继续扩大：防火墙技术 秦始皇修筑了世界最长的城墙 结果呢? 简单保护技术的失败 修得太小，好多东西没保住 修得太大，内部问题一大堆 修得再好，敌人就会有更好的手段 大气层保护，不让人进入太空，还是进了 水保护水下动物，人也下去了 城墙修了，飞机可以飞过 房子修了，X射线可以穿过 是否有完美的保护系统? 是否存在在任何条件下都完全正确的复杂逻辑设计（如CPU）? 几百万门的复杂电路没有任何漏洞? 是否存在没有错误的编码（如OS）? TCB的编码