《信息安全概述---2010.ppt》由会员分享,可在线阅读,更多相关《信息安全概述---2010.ppt(65页珍藏版)》请在三一文库上搜索。
1、1,信息安全概述,主讲人:翟健宏 Email: 办公室:新技术楼509 Tel:0451-86402573,2,信息安全概述,Internet现状 Internet发展的技术要素 Internet网络安全脆弱性 网络威胁 信息安全的含义 网络安全的意义 Internet网络安全技术 网络应用实体结构分类 计算机系统安全等级保护制度 网络安全建设工作内容 我国有关标准的制定,3,1 Internet现状,国际 1969年开始,起源于军事应用 1993年以后,开始商业应用 2000年 状况 已覆盖175个国家和地区 上网机器达数千万台 用户数量超过1亿,4,国内 1987年开始, 四大互连网与国
2、际直连 。 1999年统计,上网机器达146万台,上网人数超过400万人 ,公共电子媒体已超过9000个,CN注册域名总数达29000个 ,国际出口总带宽达143M256K 2004-1,上网用户人数约7950万人,国际出入口总带宽27,216M。 2007-12 ,网民总人数为2.1亿人(略低于美国的2.15亿),国际出口带宽总量为368,927 M。,5,Internet现状 Internet发展的技术要素 Internet网络安全脆弱性 网络威胁 信息安全的含义 网络安全的意义 Internet网络安全技术 网络应用实体结构分类 计算机系统安全等级保护制度 网络安全建设工作内容 我国有关
3、标准的制定,6,2 Internet发展的技术要素,使用了一个统一有效的网络互联协议集TCP/IP 在TCP/IP之上开发了许多出色的服务软件 采用主干-地区-园区的分层网络结构 较早利用光缆,保持了信息传输通畅 NSF net作为主干网络,连接大学和科研机构 计算机技术的高速发展,7,Internet现状 Internet发展的技术要素 Internet网络安全脆弱性 网络威胁 信息安全的含义 网络安全的意义 Internet网络安全技术 网络应用实体结构分类 计算机系统安全等级保护制度 网络安全建设工作内容 我国有关标准的制定,8,3 Internet网络安全脆弱性,安全问题 2007年
4、网民中网络安全问题发生的比率,9,用户关注的问题 : 对信息被他人利用缺乏控制能力; 担心自己的计算机系统遭到外界的破坏(包括怀有敌意的破坏和收到大批电子邮件广告) 承担计算机系统故障的风险; 对个人财产、网络购物等行为的安全忧虑 对政府以处理案件为由,而截收信息的动机存在不信任感;,10,Internet当前主要威胁类型 : 计算机病毒 黑客入侵 蓄意破坏 美国信用卡公司损失1.41 来自内部的攻击(90%相关) 其它犯罪 知识产权、隐私权、媒体传播、欺骗敲诈等,11,安全专家的观点 Internet从建立开始就缺乏安全的总体构想和设计 。 TCP/IP协议是在可信环境下,为网络互联专门设计
5、的,缺乏安全措施的考虑 。,12,TCP/IP协议的安全脆弱性理论分析 : IP层: 缺乏安全认证和保密机制(IP地址问题) TCP/UDP层: TCP连接建立时的“三次握手”,TCP连接能被欺骗、截取、操纵; UDP易受IP源路由和拒绝服务的攻击 应用层:认证、访问控制、完整性、保密性等所有安全问题: Finger, FTP, Telnet, E-mail, DNS, SNMP,. Web, Notes, Exchange, MIS, OA, DSS.,13,Internet现状 Internet发展的技术要素 Internet网络安全脆弱性 网络威胁 信息安全的含义 网络安全的意义 Int
6、ernet网络安全技术 网络应用实体结构分类 计算机系统安全等级保护制度 网络安全建设工作内容 我国有关标准的制定,14,4 网络威胁,网络威胁分类: 黑客 黑客“Hacker” (原意) :一个给予喜欢发现和解决技术挑战、攻击计算机网络系统的精通计算机技能的人的称号。 恶意代码 具有攻击破坏行为的程序或片断,病毒、worm、木马、流氓软件等、 网络基础设施破坏 网络设备、通讯线路 信息战 信息战指双方为争夺对于信息的获取权、控制权和使用权而展开的斗争。是以计算机网络为战场,计算机技术为核心、为武器,是一场智力的较量。,15,恶意代码典型案例 1983年,弗雷德科恩(Fred Cohen)博士
7、研制出一种运行过程中可以复制自身的破坏性程序,伦艾德勒曼将它命名为Computer Virus。 1999年,台湾人编制的CIH病毒的大爆发,有统计说我国大陆受其影响的PC机总量达36万台之多。有人估计在这次事件中,经济损失高达近12亿元。 2000年,“爱虫”大爆发两天之后,全球约有4500万台电脑被感染,造成的损失已经达到26亿美元。今后几天里,“爱虫”病毒所造成的损失还将以每天10亿美元到15亿美元的速度增加。,16,黑客典型案例 2000年2月,黑客攻击潮汹涌而来。 垃圾邮件堵死了雅虎;世界最著名的网络拍卖行电子湾(eBay)也因神秘客袭击而瘫痪;美国有线新闻网CNN的网站,瘫痪近两个
8、小时;顶级购物网站亚马逊也被迫关闭一个多小时。在此之后又有一些著名网站被袭击:ZDnet,Etrade,Excite,Datek到2月17日为止,黑客攻击个案已增至17宗,而且可能有更多网站受袭而未被察觉。 2001年春节,新浪网邮件服务器瘫痪了18个小时。 造成了几百万的用户无法正常的联络。广东免费邮箱,黑客进去以后进行域名修改,打开邮箱就向美国去了,造成400多万用户不能使用。,17,黑客典型案例(续) 黑客战争 我们国家的一些政府网站,遭受了四次大的黑客攻击事件。 第一次,99年1月份左右,但是美国黑客组织“美国地下军团”联合了波兰的、英国的黑客组织,世界上各个国家的一些黑客组织,有组织
9、地对我们国家的政府网站进行了攻击。 第二次,99年7月份,台湾李登辉提出了两国论。 第三次,2000年5月8号,美国轰炸我国驻南联盟大使馆后。 第四次,2001年4月到5月,美机撞毁王伟战机侵入我海南机场,18,网络基础设施破坏 2006年12月26日,地震袭导致中 美高速海底光缆、亚太1号等6组国际海底通信光缆发生中断,造成我国互联网大面积瘫痪,无法与国外连通。 954%的网友称断网影响生活; 地震震瘫1亿国人网络; 1500万MSN用户无法互联;MSN震瘫,原QQ用户回流日涨数十万; 光缆中断导致近万COM域名丢失。 2008-2-1中国电信公布: 由於暴风雪对公司的基站、地下电缆等基础设
10、施造成破坏,估计总损失达5,690万元人民币。,19,信息战 张召中教授如是说 战争形态产生4次较大的变革,从冷兵器、热兵器、机械化,发展到现在的信息化战争,新军事变革的核心是信息化,新军事化变革的思维概念是系统集成和技术融合,要通过较少的投入获得最大的效益。 信息战的特点 信息攻击花费低 传统边界模糊,管理观念的困难 战略情报的不可靠性 战术警报/攻击估计极端困难 建立和维持合作关系变得更为复杂 无安全的战略后方,20,信息战 战例一、1990年海湾战争, 被称为“世界上首次全面信息战”,充分显示了现代高技术条件下制信息权”的关键作用。 美军通过向带病毒芯片的打印机设备发送指令,致使伊拉克军
11、队系统瘫痪,轻易地摧毁了伊军的防空系统。 战例二、科索沃战争 美国的电子专家成功侵入了南联盟防空体系的计算机系统。 当南联盟军官在计算机屏幕上看到敌机目标的时候,天空上其实什么也没有。 美军雇佣黑客闯入瑞士银行系统,调查南联盟首领米洛舍维奇米氏的存款情况并加以删除。,21,Internet现状 Internet发展的技术要素 Internet网络安全脆弱性 网络威胁 信息安全的含义 网络安全的意义 Internet网络安全技术 网络应用实体结构分类 计算机系统安全等级保护制度 网络安全建设工作内容 我国有关标准的制定,22,5.1 信息安全内涵,信息 具有一定含义(价值)的数据 例如:( 11
12、0101 ) 53B,110,101D,乐谱 ( women )女士,我们 网络信息多指数字化信息 信息系统 软件、硬件、数据、用户,23,信息安全 任务:保护信息系统中的软件、硬件和数据不遭受偶然或恶意的破坏、更改、泄露,系统能够连续可靠正常地运行 绝对性:木桶原理 相对性:没有绝对的安全 如何做好安全:三分技术、七分管理,24,信息安全目的 保密性、完整性、可用性、可控性、抗抵赖性 保密性 指保证信息不泄漏给未经授权的人。 完整性 指防止信息被未经授权的篡改。 可用性 指保证信息及信息系统为授权使用者所用。 可控性 指对信息及信息系统实施安全监控。 抗抵赖性 指防止通信双方否认发生过的通信
13、。,25,5.2 信息安全的发展,60-70年代:通信保密(COMSEC):信息保密 主要解决的问题:发方与收方之间的信源编码、信道编码、信道传输、通信协议和密码。,26,80-90年代:信息安全(INFOSEC): 主要解决的问题: 信息的机密性、完整性、可用性、可控性、不可否认性。,27,90年代后:美国人提出信息保障的概念IA(Information Assurance) : 保护(Protect) 检测(Detect) 反应(React) 恢复(Restore),28,5.3 信息安全内容范畴,安全监管,信 息,系 统,安全保障,信息语义范畴: 内容,网络虚拟世界: 行为,信息语法范畴
14、: 数据,网络物理世界: 软硬件,29,数据安全 数据完整性 数据保密性 数据可用性 系统、网络(软硬件)安全 系统完整性 系统可用性,内容安全 内容可信性 内容完整性 内容保密性 内容危害性 行为安全 行为可信性 行为有效性 行为保密性 行为完整性 性为连续性,30,5.4 安全执行体系,安全保障体系:运营部门 安全监管体系:监管当局 安全应急体系:专业与运营部门 安全威慑体系:政法与军队,31,Internet现状 Internet发展的技术要素 Internet网络安全脆弱性 网络威胁 信息安全的含义 网络安全的意义 Internet网络安全技术 网络应用实体结构分类 计算机系统安全等级
15、保护制度 网络安全建设工作内容 我国有关标准的制定,32,6 网络信息安全的意义,6.1 关于信息,信息革命是人类第三次最伟大的生产力革命。 四个现代化,哪一化也离不开信息化。,江泽民,谁掌握信息,谁就掌握了主动权。 克林顿,信息资源及其基础设施成为了角逐世界领导地位的舞台。 普 京,33,胡锦涛:高度重视互联网对舆论影响 胡锦涛重要指示参观计算机安全产品展览 要高度重视我国计算机信息系统的安全问题,进一步提高自我保护和防范意识; 要大力加强计算机安全技术的自我研究和开发,并注意吸收和借鉴国外的先进技术; 要采取有力措施,健全法制,加强管理,切实保障国家计算机信息系统的安全。 温家宝:大力推进
16、社会信息化 黄 菊 :发展信息产业 构建和谐社会 李长春:掌握网上舆论引导的主动权,34,6.2 信息安全的严峻形势,2007年上半年CNCERT/CC 非扫描类网络安全事件报告,35,2007 年上半年中国大陆地区被木马控制IP分布图,抽样监测: 木马控制端 IP 地址总数为 209,949个, 被控制端 IP 地址总数为1863,753 个。,36,6.3 可持续发展的保障 信息是社会发展的重要战略资源。 网络信息安全已成为急待解决、影响国家大局和长远利益的 重大关键问题,信息安全保障能力是21世纪综合国力、经济竞争实力和生存能力的重要组成部分,是世纪之交世界各国在奋力攀登的制高点。 网络
17、信息安全问题如果解决不好将全方位地危及我国的政治、军事、经济、文化、社会生活的各个方面,使国家处于信息战和高度经济金融风险的威胁之中。 -沈昌祥,37,6.4 政治安全 以美国为首的西方国家,始终认为我们是他们的敌对国家。一直没有放弃对我们的西化、分化、弱化的政策。 2001年初,美国国务卿奥尔布来特在国会讲:“中国为了发展经济,不得不连入互联网。互联网在中国的发展,使得中国的民主真正的到来了。” 香港广角镜月刊7月号文章:中情局对付中国的十条诫令,38,6.5 经济安全 一个国家信息化程度越高,整个国民经济和社会运行对信息资源和信息基础设施的依赖程度也越高。 我国计算机犯罪的增长速度超过了传
18、统的犯罪 97年20几起, 98年142起, 99年908起, 2000年上半年1420起。 利用计算机实施金融犯罪已经渗透到了我国金融行业的各项业务。近几年已经破获和掌握100多起。涉及的金额几个亿。,39,6.6 美国网络攻击的来源,40,Internet现状 Internet发展的技术要素 Internet网络安全脆弱性 网络威胁 信息安全的含义 网络安全的意义 Internet网络安全技术 网络应用实体结构分类 计算机系统安全等级保护制度 网络安全建设工作内容 我国有关标准的制定,41,7 Internet网络安全技术,7.1 信息安全体系架构 7.2 网络安全技术简介,42,7.1
19、信息安全体系架构,信息安全体系架构 国外,面向属性的信息安全框架:信息安全金三角,43,信息安全体系架构 国内,面向应用的信息安全框架:信息安全分层结构,44,ISO7498-2,信息安全体系结构 基于OSI七层网络协议之上的信息安全体系结构 五大类安全服务 八类安全机制 OSI安全管理,45,ISO7498-2,五大类安全服务 鉴别 这种安全服务提供对通信中的对等实体和数据来源的鉴别。 访问控制 这种服务提供保护以对付OSI可访问资源的非授权使用。这些资源可以是经OSI协议访问到的OSI资源或非OSI资源。 数据机密性 这种服务对数据提供保护使之不被非授权地泄露。,46,ISO7498-2,
20、五大类安全服务 完整性 这种服务对付主动威胁; 在一次连接上, 连接开始时使用对等实体鉴别服务, 在连接的存活期,使用数据完整性服务就能联合起来为在此连接上传送的所有数据单元的来源提供确证, 为这些数据单元的完整性提供确证。 另外,还能为数据单元的重复提供检测,例如使用顺序号。 抗否认性 有数据原发证明的抗抵赖 有交付证明的抗抵赖,47,ISO7498-2,八类安全机制 加密 数字签名机制 访问控制机制 数据完整性机制 鉴别交换机制 通信业务填充机制 通信业务填充机制能用来提供各种不同级别的保护, 抵抗通信业务分析。这种机制只有在通信业务填充受到机密服务保护时才是有效的。,48,ISO7498
21、-2,八类安全机制 路由选择控制机制 路由能动态地或预定地选取, 以便只使用物理上安全的子网络、中继站或链路。在检测到持续的操作攻击时, 端系统可希望指示网络服务的提供者经不同的路由建立连接。带有某些安全标记的数据可能被安全策略禁止通过某些子网络、中继或链路。连接的发起者(或无连接数据单元的发送者)可以指定路由选择说明,由它请求回避某些特定的子网络、链路或中继。 公证机制 有关在两个或多个实体之间通信的数据的性质, 如它的完整性、原发、时间和目的地等能够借助公证机制而得到确保。这种保证是由第三方公证人提供的。,49,ISO7498-2,OSI安全管理 系统安全管理 安全服务管理 安全机制管理
22、OSI管理的安全 所有OSI管理功能的安全以及OSI管理信息的通信安全是OSI安全的重要部分。,50,7.2 网络安全技术简介,51,网络信息安全技术应用简介,52,Internet现状 Internet发展的技术要素 Internet网络安全脆弱性 网络威胁 信息安全的含义 网络安全的意义 Internet网络安全技术 网络应用实体结构分类 计算机系统安全等级保护制度 网络安全建设工作内容 我国有关标准的制定,53,8 网络应用实体结构分类,Internet网络系统; 开放、面向大众、共享信息资源 。 Intranet网络系统; 企业内部、基于Internet基本协议、完成企业内部各种管理需
23、要(MIS、OA、TPS、专用事物处理),企业内跨平台操作。 Extranet网络系统; 企业完成对合作伙伴的信息服务支持,提供专用的企业应用 。 专用网络系统; 特定的网络协议、特殊的应用目的。,54,Internet现状 Internet发展的技术要素 Internet网络安全脆弱性 网络威胁 信息安全的含义 网络安全的意义 Internet网络安全技术 网络应用实体结构分类 计算机系统安全等级保护制度 网络安全建设工作内容 我国有关标准的制定,55,9 计算机系统安全等级,1)安全等级 A级:绝对可信网络安全 B级:完全可信网络安全(B1、B2、B3) C级:可信网络安全(C1、C2)
24、D级:不可信网络安全,56,2)TCP/IP安全层次 端口级 地址级 用户级 数据级,57,Internet现状 Internet发展的技术要素 Internet网络安全脆弱性 网络威胁 信息安全的含义 网络安全的意义 Internet网络安全技术 网络应用实体结构分类 计算机系统安全等级保护制度 网络安全建设工作内容 我国有关标准的制定,58,10 网络安全建设工作内容,1)网络安全设计与实现: 安全体系 安全需求分析 安全模型 安全产品 安全工程实施 安全评估,59,2)安全管理制度: 制定与评价 执行与监督 改进与完善,60,Internet现状 Internet发展的技术要素 Inte
25、rnet网络安全脆弱性 网络威胁 信息安全的含义 网络安全的意义 Internet网络安全技术 网络应用实体结构分类 计算机系统安全等级保护制度 网络安全建设工作内容 我国有关标准的制定,61,11 我国有关标准的制定,1)国家法律 中华人民共和国主席令第6号 中华人民共和国保守国家秘密法 2)行政法规 关于密码管理 中华人民共和国国务院令第273号 商用密码管理条例,62,关于计算机安全保护条例 中华人民共和国国务院第147号令 中华人民共和国计算机信息系统安全保护条例 关于互联网安全管理办法 中华人民共和国国务院第195号令 中华人民共和国计算机信息网络国际联网管理暂行规定 中华人民共和国计算机信息网络国际联网管理暂行规定实施办法,63,关于计算机系统等级划分与保护制度 计算机信息系统安全保护等级划分准则 (1999-9-13发布) 关于计算机病毒产品的标准 计算机病毒防治产品评级准则(2000-5-17发布),64,教学内容,信息安全概述 攻击分析预览 物理安全 密码学基础 身份认证 访问控制 入侵检测 防火墙,计算机病毒 操作系统安全 数据安全 电子商务安全 电子邮件安全 软件安全 内容安全 法律法规,65,参考书,参考书: 密码编码学与网络安全:原理与实践(第三版)电子工业出版社 刘玉珍等译 Any question?,
链接地址:https://www.31doc.com/p-2881023.html