第一章 信息安全概述
有专门的漏洞查询网站。
1.2
信息系统的安全缺陷
软件系统的安全缺陷
系统软件: 数据库系统:数据库的安全性将直接对用户的数据造成 影响。系统设计漏洞、数据共享性、管理人员配置和操 作上的错误。缺少称职的数据库系统管理员。 各种应用开发平台:软件开发的效率越来越高,意味着 自动生成的代码越来越多,如何保证安全性? 应用软件:太多了。特别是即时通信软件:QQ、MSN, 用得越多,研究的人就越多,发现的问题就越多。
杨明 胥光辉 齐望东等译
电子工业出版社
课程介绍
考试:闭卷 学习方法:课堂讲授与网上实践。
用途:保护自己,帮助他人,作为职业(系统集 成、网络管理、软件编程)。
课程安排
第一章: 第二章: 第三章: 第四章: 第五章:
信息安全概述 对称密钥加密技术 公开密钥加密技术 互联网安全协议 系统安全防护技术
1.4
信息安全研究的内容
截获型攻击: 目的:在未察觉的情况下, 获得有价值信息。
③ 截获
手段:截获并复制网络中传输的数据包,监听。 如何保证网络传输信息的机密性:加密和通信量填充。
1.4
信息安全研究的内容
篡改型攻击: 目的:在未察觉的情况下, 改动信息的内容。
④ 篡改
手段:将信息流导向,篡改后再发出。 如何保证网络传输信息的完整性:报文鉴别能及时发现 所接收的信息是否被篡改。
1.3
信息安全威胁分类
外部威胁:
分为主动威胁与被动威胁 。
外部威胁的由来:
竞争者:竞争十分激烈的行业,不正当竞争手段。 对企业经营业务有看法的人:从事业务很有争议。
嫉妒者:企业的高知名度,攻击者想一举出名。
被企业解雇的员工:虽然只有极少数会对系统进行攻击, 但这种攻击的威胁却很大。了解内情。 怀有其他目的的人:以此为乐或从中牟利。
信息安全技术及应用
主讲:冯 元
Email: feng.yyy@
课程介绍
内容:与信息安全相关的技术。 教材:《计算机网络安全基础》
冯元、蓝少华、杨余旺编著 科学出版社
参考书:《信息安全概论》
段云所、魏仕民、唐礼勇、陈钟编著
高等教育出版社
课程介绍
参考书:《密码编码学与网络安全:原理与实践》 (美) William Stallings著
信息安全研究的内容
渗透型攻击: 目的:在未察觉的情况下 进入目标系统,获 得有价值信息。 手段:侦察目标系统是否有漏洞,然后进行攻击。
⑥ 渗透
如何保证网络主机和客户机的安全:访问控制、入侵检 测、安全审计、病毒防治。
1.4
信息安全研究的内容
为了保证网络的正常秩序,还需要另外一种安全服务: 不可抵赖。 用于防止发送方或接收方抵赖所传输的信息。 确保发送方在发送信息后无法否认曾发送过信息这一事 实及所发信息的内容; 接收方在收到信息后也无法否认曾收到过信息这一事实 及所收到信息的内容。 通过数字签名和第三方的仲裁来实现。
1.4
信息安全研究的内容
信息安全是一门交叉学科,涉及多方面的理论和 应用知识:
数学、通信、计算机等自然科学。 法律、心理学等社会科学。
信息安全研究内容及相互关系:
安全需求: 机密性、完整性、抗否认性、可用性… …。
平台安全: 物理安全、网络安全、系统安全、数据安全 边界安全、用户安全
1.2
信息系统的安全缺陷
缺少安全管理和相关法律法规
安全管理: 安全意识:安全意识最重要,不要等到出了问题才想起 安全。要养成习惯,天天检查自己的网络资源。 缺少专职或兼职安全管理员、没有定期的安全测试与检 查、缺少称职的网络服务器管理员。 安全管理工具: 网络法律法规:著作权、黑客攻击、制作并释放病毒等。
第一章 信息安全概述
信息安全面临的问题
信息系统的安全缺陷
信息安全威胁分类
信息安全研究的内容 信息安全标准 网络信息安全模型
1.1
信息安全面临的问题
信息安全形势
近一年信息安全大事: 斯诺登事件 国家互联网应急中心《2013年网络安全形势报告》 域名系统依然是影响安全的薄弱环节。 打击黑客地下产业链任重道远。
主机系统信息安全技术:
身份识别、访问控制、数据机密性、数据完整性、可 用性、入侵检测、防病毒、安全审计等。
数据交换信息安全技术:
身份识别、数据机密性、数据完整性、不可抵赖。
1.2
信息系统的安全缺陷
本节知识点: 网络系统的安全缺陷
软件系统的安全缺陷
缺少安全管理和相关法律法规
1.2
信息系统的安全缺陷
计算机网络的组成:主机、通信子网、协议。
互联网
应用层 传输层 网络层 链路层 物理层 应用层 传输层 网络层 链路层 物理层
操作 系统
1.2
信息系统的安全缺陷
网络协议的安全缺陷:
链路层协议:802.3(有线)、802.11(无线)、3G链路层。
局域网的设计目标:简单、快速、共享。共享信道为网 络窃听提供了方便,特别是无线局域网(WiFi)。
安 全 管 理
安 全 标 准 安 全 策 略 安 全 测 评
安全理论: 身份认证 访问控制 审计追踪 安全协议
安全技术: 防火墙技术、漏洞扫描技术 防病毒技术、入侵检测技术
密码理论: 数据加密、数字签名、消息摘要、密钥管理。
1.4
信息安全研究的内容
密码理论:研究重点是算法,包括数据加密算法、 数字签名算法、消息摘要算法及相应的密钥管理 协议等。 安全理论:重点研究单机或网络环境下信息防护 基本理论,有访问控制(授权)、身份认证、审计 追踪(Authorization、Authentication、 Audit)、 安全协议等。
约束网站的<规定>多,明确针对网络犯罪的法律条文少。
1.3
信息安全威胁分类
本节知识点: 信息安全威胁分类 内部威胁、外部威胁 主动威胁、被动威胁
主动威胁类型
黑客
1.3
信息安全威胁分类
为了确定如何有效地保护自己的网络资源,首先 要考虑谁会来破坏它们。这是网络保护的第一步。 多数攻击行为不是偶然的,而是因为攻击者相信 进入某些网络后会得到一些东西。
1.3
信息安全威胁分类
主动、被动威胁类型:
信息 目的地
信息源
① 正常
④ 篡改
② 中断
⑤ 伪造
③ 截获
⑥ 渗透
1.3
信息安全威胁分类
黑客(hacker) :
黑客源于50年代麻省理工学院的试验室,他们喜欢寻求 新的技术,新的思维,热衷解决问题。但到了90年代, 黑客渐渐变成“入侵者”的代名词。 黑客特点:对当今各种计算机及网络系统有较深入的了 解,乐于接受挑战,最喜爱攻击自称”百分之百安全” 的系统。他们发现系统漏洞,并将结果公布。
主要取决于应用类型: 接入互联网的单台计算机 防渗透:病毒渗透、黑客渗透。 涉及的信息安全技术:访问控制、防病毒、安全审计等。 如果存有敏感信息:数据泄露、篡改、丢失等。 涉及的信息安全技术:数据加密、数据完整性检查、 数据备份等。
1.1 信息安全面临的问题 互联网环境中的信息安全
普通B/S应用:门户网站 浏览器安全、服务器端数据库安全、篡改交换数据等。 敏感B/S应用:网银、支付宝 假冒欺骗、交换数据泄露、客户机环境等。 涉及的信息安全技术:数据加密、完整性检查、防钓鱼、 身份鉴别、浏览器安全、数据库安全、客户机安全环境等。 双机或多机对等交换数据: 移动互联网:手机或PAD端安全。
1.4
信息安全研究的内容
伪造型攻击: 目的:通过冒充,获得有 价值的信息。
⑤ 伪造
手段:通过各种手段使一方瘫痪,然后冒充。 如何保证网络信息来源的真实性:鉴别。
数据源鉴别:确认数据发送方的真实性。一般用于无连 接的服务。 对等实体鉴别:通信双方相互确认对方的真实性。一般 用于面向连接的服务。
1.4
1.1 信息安全面临的问题 信息安全问题产生的原因
非技术角度:
利益驱使:国家利益、商业利益、个人利益等。
网络地球村法律不健全,或标准不统一。 技术角度: 技术发展过程中无法避免的问题,各种安全漏洞。 网络系统、主机系统、应用系统等。 人为因素造就的安全漏洞 > 后门。
1.1 信息安全面临的问题 网络环境中的信息安全技术
1.3
信息安全威胁分类
被动威胁:
通常不改变系统中的数据,只是读取数据,从中获利。 由于没有篡改信息,所以留下可供审计的痕迹很少或根 本没有,很难被发现。
主动威胁:
通常要比被动威胁严重得多,因为主动威胁通常要有意 地改动数据或生成伪造数据。 主动威胁可能发生在端到端通信线路上的任何地方,如 通信链路、路由节点、服务器及客户机。
1.1
信息安全面临的问题
在信息生命周期中,哪些环节可能存在安全问题?
信息感知: 感知的信息是否真实、准确。 信息记录: 记录的是否可靠。 信息存储: 信息安全的重要环节。 信息处理: 误操作导致信息损坏、错误算法>错误信息。 信息交换: 信息安全的重要环节。 信息复制: 是否授权。 信息共享: 信息安全的重要环节。 信息展示: 信息安全的重要环节。
1.3
信息安全威胁分类
网络安全威胁分类:
非人为的 网络安全威胁
设备故障
自然灾害 不可避免的人为因素
操作失误 设计错误
主动威胁 被动威胁
人为的
蓄意攻击
内部威胁 外部威胁
1.3
信息安全威胁分类
内部威胁:
多数系统管理员都过分重视保护网络不受外部攻击,而 忽视了来自内部攻击的巨大威胁。 研究表明:很多攻击行为发自企业机构内部,或者由了 解机构内情的人发动。通常来自内部的破坏更难防范。 病毒虽然大多来自外部,但最终在内部设备上发作。
