信息和网络安全.ppt

信息与网络安全 中山大学信息与网络中心 李磊 博士 lilei@ 2007年8月 主要参考文献 李磊，网络工程师考前辅导，清华大学出版社，2007 祝晓光，网络安全设备与技术，清华大学出版社，2004 Andrews S. Tanenbaum，计算机网络（第4版），清华大学出版社，2004 阙喜戎、孙锐、龚向阳、王纯编著，信息安全原理及应用，清华大学出版社，2003 卢昱、林琪，网络安全技术，中国物资出版社，2001 齐丁，计算机信息系统安全等级保护基本知识介绍，广东省公安厅网监处，内部资料 目录 信息与网络安全概论 信息加密技术 消息摘要 实体认证 数字签名与数字水印 数字证书 密钥管理 网络安全的体系结构 网络接口层安全协议 网际层安全协议 传输层安全协议 应用层安全协议 虚拟专用网VPN 防火墙 入侵检测 网络安全标准 安全策略的制定与实施 计算机病毒 信息与网络安全概述 信息与网络安全的本质和内容 计算机网络的脆弱性 信息安全的六大目标 网络安全的主要威胁 网络安全的攻击手段 网络安全的八大机制 信息与网络安全的本质和内容 网络安全从其本质上来讲就是网络上的信息安全。 信息安全是对信息的保密性、完整性和可用性的保护，包括物理安全、网络系统安全、数据安全、信息内容安全和信息基础设施安全等。 网络安全主要涉及网络安全威胁的主要类型、网络攻击的手段、网络安全机制、网络安全技术以及信息安全等级标准等方面内容。 信息与网络安全的目标 信息安全概念与技术的发展 信息安全的概念与技术是随着人们的需求，随着计算机、通信与网络等信息技术的发展而不断发展的。 网络信息安全阶段 该阶段中，除了采用和研究各种加密技术外，还开发了许多针对网络环境的信息安全与防护技术（被动防御）： 安全漏洞扫描技术、安全路由器、防火墙技术、入侵检测技术、网络攻防技术、网络监控与审计技术等。 信息保障阶段 信息保障（IA）概念与思想是20世纪90年代由美国国防部长办公室提出。 定义：通过确保信息和信息系统的可用性、完整性、可控性、保密性和不可否认性来保护信息系统的信息作战行动，包括综合利用保护、探测和反应能力以恢复系统的功能。 美国国家安全局制定的信息保障技术框架IATF，提出“纵深防御策略”DiD（Defense-in-Depth Strategy）。 信息保障阶段不仅包含安全防护的概念，更重要的是增加了主动和积极的防御观念。 计算机网络的脆弱性 体系结构的脆弱性。网络体系结构要求上层调用下层的服务，上层是服务调用者，下层是服务提供者，当下层提供的服务出错时，会使上层的工作受到影响。 网络通信的脆弱性。网络安全通信是实现网络设备之间、网络设备与主机节点之间进行信息交换的保障，然而通信协议或通信系统的安全缺陷往往危及到网络系统的整体安全。 网络操作系统的脆弱性。目前的操作系统，无论是Windows、UNIX还是Netware都存在安全漏洞，这些漏洞一旦被发现和利用将对整个网络系统造成巨大的损失。 网络应用系统的脆弱性。随着网络的普及，网络应用系统越来越多，网络应用系统也可能存在安全漏洞，这些漏洞一旦被发现和利用将可能导致数据被窃取或破坏，应用系统瘫痪，甚至威胁到整个网络的安全。 网络管理的脆弱性。在网络管理中，常常会出现安全意识淡薄、安全制度不健全、岗位职责混乱、审计不力、设备选型不当和人事管理漏洞等，这种人为造成的安全漏洞也会威胁到整个网络的安全。 信息安全的六大目标 可靠性 可靠性是网络信息系统能够在规定条件下和规定的时间内完成规定的功能的特性。 可靠性包括： 硬件可靠性 软件可靠性 通讯可靠性 人员可靠性 环境可靠性 可用性 可用性即网络信息系统在需要时，允许授权用户或实体使用的特性；或者是网络信息系统部分受损或需要降级使用时，仍能为授权用户提供有效服务的特性。 真实性 确保网络信息系统的访问者与其声称的身份是一致的； 确保网络应用程序的身份和功能与其声称的身份和功能是一致的； 确保网络信息系统操作的数据是真实有效的数据。 保密性 保密性是防止信息泄漏给非授权个人或实体，只允许授权用户访问的特性。 保密性是一种面向信息的安全性，它建立在可靠性和可用性的基础之上，是保障网络信息系统安全的基本要求。 完整性 完整性是信息在未经合法授权时不能被改变的特性，也就是信息在生成、存储或传输过程中保证不被偶然或蓄意地删除、修改、伪造、乱序、插入等破坏和丢失的特性。 完整性是一种面向信息的安全性，它要求保持信息的原样，即信息的正确生成、正确存储和正确传输。 不可抵赖性 不可抵赖性也称作不可否认性，即在网络信息系统的信息交互过程中所有参与者都不可能否认或抵赖曾经完成的操作的特性。 网络安全的主要威胁 信息与网络安全的攻击手段 物理破坏 窃听 数据阻断攻