01网络与系统安全概论

2019/10/1电子科技大学计算机科学与工程学院计算机系统与网络安全ComputerSystemandNetworkSecurity2019/10/1总结威胁与攻击安全与信息安全信息与信息技术第1章概论引言2019/10/1总结威胁与攻击安全与信息安全信息与信息技术第1章概论引言2019/10/1计算机专业人员必须掌握的专业知识数学基础操作系统数据结构计算机网络程序设计及语言软件工程计算机体系结构通信网原理信号与系统电路设计控制理论与控制系统设计……2019/10/1问题什么是信息安全专业人才？2019/10/1信息安全专业与计算机专业人才的区别与联系首先，信息安全专业人才必须具备计算机专业人才的基本素质；其次，信息安全专业人才还应该具备以下特殊知识和技能：通信保密知识计算机网络安全防护知识和技能熟知安全各类安全设备和安全系统熟知国内外信息安全标准、法律、法规和发展动态2019/10/1信息安全主要研究领域（续）从不同的角度看，信息安全研究领域也不尽相同信息安全是一个新型学科，它本身也处于发展时期信息安全应该为视为一个交叉学科计算机科学通信科学数学科学电子工程2019/10/1信息安全主要研究领域（续）从信息安全学科领域来看，它包括通信网络的安全计算机网络的安全2019/10/1信息安全主要研究领域（续）通信网络的安全数据保密通信数据编码数据加密加密/解密算法加密/解密设备数据压缩数据安全传输2019/10/1信息安全主要研究领域（续）计算机网络的安全网络安全协议设施主机安全操作系统安全应用安全数据库安全2019/10/1信息安全主要研究领域（续）从信息安全理论和技术来看，它包括：密码理论与技术认证与识别理论与技术授权与访问控制理论与技术审计追踪技术网络隔离与访问代理技术安全管理与安全工程理论与技术反病毒技术2019/10/1信息安全主要研究领域（续）从信息对抗角度来看，它包括：安全保障安全保障体系结构安全保障技术预警保护检测防御响应恢复安全保障系统2019/10/1信息安全主要研究领域（续）从信息对抗角度来看，它包括安全攻击攻击机理技术攻击工具安全审计躲避技术2019/10/1信息安全主要研究领域（续）从产品角度来看，信息安全包括：信息保密产品用户认证授权产品安全平台/系统网络安全检测监控设备2019/10/1密钥管理产品高性能加密芯片产品密码加密产品数字签名产品信息保密产品引自北京大学网络与信息安全研究所信息安全主要研究领域（续）安全授权认证产品数字证书管理系统用户安全认证卡智能IC卡鉴别与授权服务器安全平台/系统安全操作系统安全数据库系统Web安全平台安全路由器与虚拟专用网络产品网络病毒检查预防和清除产品安全检测与监控产品网络安全隐患扫描检测工具网络安全监控及预警设备网络信息远程监控系统网情分析系统2019/10/1信息安全主要研究领域（续）最后，作为信息安全产品不要忘记网络入侵工具及系统。2019/10/1信息安全的“369”原则2019/10/1总结威胁与攻击安全与信息安全信息与信息技术第1章概论引言2019/10/1信息信息不同于一般的理解：信息与消息信息与信号信息与数据信息与情报信息与知识2019/10/1信息（续）信息的定义：信息是事物运动的状态和状态的变化方式信息的特征：信息与物质信息与精神信息与能量2019/10/1什么是信息化？信息革命--《第三次浪潮》三次伟大的生产力革命第一是农业革命第二是工业革命第三是信息革命(USA)A.Toffler指出：计算机网络的建立与普及将彻底地改变人类的生存及生活模式，而控制与把握网络的人就是人类未来命运的主宰.谁掌握了信息,控制了网络,谁就拥有整个世界。2019/10/1什么是信息化？（续）信息化是以通信和计算机为技术基础，以数字化和网络化为技术特点。它有别于传统的信息获取、存储、传输、交换、处理、使用，从而也给现代社会的正常发展带来了前所未有的风险和威胁。2019/10/1信息技术（IT：InformationTechnology）的内涵IT＝Computer＋Communication＋Control信息传递（通信）信息认知－信息再生（计算机）信息传递（通信）信息实效（控制）信息获取（感测）外部世界信息技术2019/10/1总结威胁与攻击安全与信息安全信息与信息技术第1章概论引言2019/10/1攻击与防范安全服务信息攻击者计算机系统安全需求与策略安全机制2019/10/1基本概念计算机系统（ComputerSystem）是由计算机及其相关配套的设备、设施等构成的，并按一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统安全（Security）远离危险的状态或特性2019/10/1基本概念（续）安全的主要属性完整性保密性可用性不可抵赖性可靠性安全的其他属性可控性可审查性认证访问控制2019/10/1基本概念（续）计算机安全（ComputerSecurity）是保护数据阻止黑客行为的一组工具的总称网络安全（NetworkSecurity）保护数据传输的方法或措施的总称Internet安全（InternetSecurity）保护互联网上数据传输的方法或措施的总称何为信息安全（InformationSecurity）？2019/10/1发方收方敌人信源编码信道编码信道传输通信协议密码通信的保密模型通信安全-60年代（COMSEC）信息安全的含义（60年代）2019/10/1信息安全的含义(80-90年代)信息安全的三个基本方面机密性Confidentiality保证信息为授权者享用而不泄漏给未经授权者。完整性Integrity数据完整性，未被未授权篡改或者损坏系统完整性，系统未被非授权操纵，按既定的功能运行可用性Availability保证信息和信息系统随时为授权者提供服务，而不要出现非授权者滥用却对授权者拒绝服务的情况。2019/10/1信息安全的其他方面信息的不可否认性（Non-repudiation）要求无论发送方还是接收方都不能抵赖所进行的传输鉴别（Authentication）鉴别就是确认实体是它所声明的。适用于用户、进程、系统、信息等审计（Accountability）确保实体的活动可被跟踪可靠性（Reliability）特定行为和结果的一致性信息安全的含义(80-90年代)2019/10/1安全需求的多样性•保密性•一致性•可用性•可靠性•可认证，真实性•责任定位，审计性•高性能•实用性•占有权•……信息安全的含义(80-90年代)2019/10/1保护Protect检测Detect反应React恢复Restore信息安全的含义(90年代以后)美国人提出的概念:信息保障（InformationAssurance）保护（Protect）检测（Detect）反应（React）恢复（Restore）2019/10/1信息安全的实现内容信息安全技术信息加密、数字签名、数据完整性、身份鉴别、访问控制、安全数据库、网络安全、病毒、安全审计、业务填充、路由控制、公证机制等信息安全管理信息安全法律与标准2019/10/1总结威胁与攻击安全与信息安全信息与信息技术第1章概论引言安全体系结构2019/10/1安全体系结构安全体系结构（SecurityArchitecture）安全体系结构是指对信息和信息系统安全功能的抽象描述，是从整体上定义信息及信息系统所提供的安全服务、安全机制以及各种安全组件之间的关系和交互。用于防御安全攻击的硬件或者软件方法、方案或系统2019/10/1安全体系结构（续）安全体系结构的内容风险分析安全策略设计安全服务与安全机制设计安全服务部署2019/10/1策略是基础安全体系结构（续）风险分析安全策略设计安全服务与安全机制设计安全服务与安全机制的关系安全服务部署2019/10/1安全体系结构（续）风险分析安全策略设计安全服务与安全机制设计安全服务与安全机制的关系安全服务部署2019/10/1安全策略安全域（SecurityZone）属于一个组织的资源集合安全策略（SecurityPolicy）属于安全域的一组规则2019/10/1安全策略（续）含义：什么是允许的，什么是不允许的。两种方法：凡是没有被具体规定的，就是允许的凡是被具体规定的，就是不允许的安全策略包括：制度技术管理三分技术，七分管理2019/10/1DeterminethePolicyScopeObtainExecutiveLevelSupportConductBusinessImpactAnalysisInterviewKeyEmployeesDraftStakeholderPolicyreviewDistributePolicyReviewandRevisePolicy如何定义安全策略2019/10/1资源威胁其他因素安全目标安全需求安全服务安全机制策略?如何定义安全策略（续）设计方法与过程2019/10/1设计安全策略的其他问题管理问题（OperationalIssues）人员问题（HumanIssues）2019/10/1管理问题成本效益分析（Cost-BenefitAnalysis）效益vs.总成本风险分析（RiskAnalysis）我们要保护什么？保护这些东西需要多大的代价？随着环境和时间的变化，代价会改变2019/10/1管理问题（续）法律与风俗(LawsandCustoms)所采用的安全防御措施合法吗？公司职员愿意接受吗？法律和风俗将影响技术的可用性2019/10/1人员问题公司的问题职权与责任经济利益人员问题外部用户与内部用户哪一类威胁更大?社交工程（Socialengineering）2019/10/1安全体系结构风险分析安全策略设计安全服务与安全机制设计安全服务与安全机制的关系安全服务部署2019/10/1风险管理风险管理：是用于分析信息系统的威胁和脆弱性，以及资源或系统功能失效所带来的影响的过程如何进行风险管理？列出威胁及脆弱性列出可能的控制方法和相应成本进行成本分析控制所需要的成本是否大于资源损失所带来的成本？2019/10/1风险管理（续）风险分析的结果是采取有效防御措施的主要依据之一依据风险分析的结果制定安全计划2019/10/1风险缓解（RiskMitigation）风险缓解：用于减少风险的步骤或方法残余风险(ResidualRisk：RR)在已经启用安全防御措施后依然存在的风险残余风险的保护（SafeguardsforRR）：完全排除残余风险是非常困难的最好的方法是将残余风险维持在一个可接受的水平2019/10/1安全体系结构风险分析安全策略设计安全服务与安全机制设计安全服务与安全机制的关系安全服务部署2019/10/1安全服务（SecurityService）安全服务（SecurityService）是指提供数据处理和数据传输安全性的方法。安全服务的目的是对抗安全攻击问题：安全服务如何实现呢？安全服务需借助于一定的安全机制（SecurityMechanism）2019/10/1安全机制（SecurityMechanism）安全机制（SecurityMechanism）安全机制是保护信息与信息系统安全措施的总称是检测、防止或恢复安全攻击的工具没有任何一种安全机制可解决所有的安全问题最常用的一种安全机制是：加密技术（cryptographictechniques）2019/10/1X.800规定的安全服务认证（Authentication）认证是为通信过程中的实体和数据来源提供鉴别服务访问控制（Acces