第一章-安全基础资料课件

网络通信安全管理员主讲：董振兴主讲：董振兴第一章安全基础提纲n安全定义nTCP/IP安全性分析n通用攻击技术简介n信息安全管理简述冒名顶替冒名顶替废物搜寻废物搜寻身份识别错误身份识别错误不安全服务不安全服务配置配置初始化初始化乘虚而入乘虚而入代码炸弹代码炸弹病毒病毒更新或下载更新或下载特洛伊木马特洛伊木马间谍行为间谍行为拨号进入拨号进入算法考虑不周算法考虑不周随意口令随意口令口令破解口令破解口令圈套口令圈套窃听窃听偷窃偷窃安全威胁安全威胁线缆连接线缆连接身份鉴别身份鉴别编程编程系统漏洞系统漏洞物理威胁物理威胁安全威胁安全威胁中国黑客攻击美国网站(1)中国黑客攻击美国网站(2)中国黑客攻击美国网站(3)伊朗突然宣布卸载首座核电站燃料 疑遭病毒攻击什么是信息?n用通俗的语言来描述，所谓信息，就是有意义的资料，人们可以通过它获得一些知识n信息已日渐成为一种资源、资产现代战争中的“信息战”n信息化社会中：信息就是财富，财富就是信息什么是信息安全?n随着时代的发展，信息安全涉及的内容在不断扩展导致不同的人在不同场合下对信息安全的多方面理解 n孤立的讨论信息安全没有实际意义,需要结合信息技术的发展n信息安全不是最终目的，只是服务于信息化的一种手段为信息提供安全保护nInformation Security and Assurance什么是信息安全技术n信息安全不是信息产品的简单堆积，而是环境、人员、技术、操作四种要素紧密结合的系统工程，是不断演进、循环发展的动态过程。n信息安全技术是信息安全的一个组成部分。n技术解决信息安全“见招拆招”早期密码学，加密了就安全；后来防火墙决定信息安全，IDS、PKI、VPN现在“多功能网关”、UTM，能想到的安全技术全加上，就安全了信息安全的需求n真实性(Identification and Authentication)n保密性(Confidentiality and Privacy)n完整性(Data Integrity)n不可否认性(Non Repudiation)n可用性(Availability)真实性Identificationn人的标识用户名，QQ号码，用户图象n机器标识IP地址，MAC地址，CPU序列号n网络标识网络地址，域名n应用标识进程名字，应用名，占用端口，标准的应答方式真实性鉴别认证nWhat do you know你知道什么密码，口令，妈妈的生日，机密问题nWhat do you have你有什么钥匙，IC卡，令牌，身份证nWhat you are你是什么手型，指纹，眼纹，声纹，说话方式，行走方式网络交易中认证的要求n网络不可信，不能明文传送认证信息加密可以解决n认证者可能不可信，所以要求认证者不能假冒被认证者（零知识）只有非对称算法才能提供这样的机制n要针对大规模的人群进行认证，每个应用系统又不能存放所有人的认证信息专用的认证系统，提供认证服务保密性问题n通信保密信息隐藏信息加密n系统存储(文件系统)处理保密存取控制n自主存取控制n强制存取控制（安全操作系统）加密和隐藏加密技术n对称密码知道加密的人原则上就知道如何解密，知道解密的人也知道如何加密（对称）一个对称的密钥k,双方都知道n非对称算法知道加密的人不可能知道如何解密，知道解密的人知道如何加密一个加密密钥e，一个解密密钥d，由d可以算出e，但由e不能算出d完整性问题n校验编码，解决硬件出错攻击者知道了编码方法n利用带有密钥的MAC进行校验第三方攻击没有办法，但对方可以抵赖n数字签名，对方不可抵赖利用数字签名，任何一个第三方可以验证不可否认性n绝对可信第三方保留备份n绝对可信第三方作MAC或数字签名时间戳服务器n通信双方签名可信第三方签发证书任意第三方可以验证可用性n系统自身的坚固，鲁棒性“年故障时间2小时”故障仍旧有可能发生n利用冗余加强双机备份（冷备份，热备份，冗余备份）仍旧无法抵抗攻击n入侵容忍技术Byzantine错误防御技术门槛密码应用系统用时间的眼光看历史n通信安全n计算机安全n信息安全n信息保障n信息安全与保障信息安全发展的四个阶段信息安全发展的四个阶段年代年代年代年代通信安全发展通信安全发展通信安全发展通信安全发展时期时期时期时期 从有从有从有从有人类人类人类人类以来以来以来以来6060年年年年代中代中代中代中期期期期计算机安全发计算机安全发计算机安全发计算机安全发展时期展时期展时期展时期 8080年年年年代中代中代中代中期期期期信息安全发展信息安全发展信息安全发展信息安全发展时期时期时期时期 9090年年年年代中代中代中代中期期期期信息安全保障信息安全保障信息安全保障信息安全保障发展时期发展时期发展时期发展时期 安安安安全全全全保保保保障障障障能能能能力力力力信息安全发展的四个阶段信息安全发展的四个阶段年代年代年代年代通信安全发展通信安全发展通信安全发展通信安全发展时期时期时期时期 从有从有从有从有人类人类人类人类以来以来以来以来6060年年年年代中代中代中代中期期期期计算机安全发计算机安全发计算机安全发计算机安全发展时期展时期展时期展时期 8080年年年年代中代中代中代中期期期期信息安全发展信息安全发展信息安全发展信息安全发展时期时期时期时期 9090年年年年代中代中代中代中期期期期信息安全保障信息安全保障信息安全保障信息安全保障发展时期发展时期发展时期发展时期 安安安安全全全全保保保保障障障障能能能能力力力力这一时期主要关注这一时期主要关注“机密性机密性”4040年代以前年代以前“通信安全（通信安全（COMSECCOMSEC）”也称也称“通信保密通信保密”4040年代增加了年代增加了“电子安全电子安全”5050年代欧美国家将年代欧美国家将“通信安全通信安全”和和 “电子安全电子安全”合称为合称为“信号安全（信号安全（SIGSECSIGSEC）”密码学是解决密码学是解决“通信安全通信安全”的重要技术的重要技术信息安全发展的四个阶段信息安全发展的四个阶段年代年代年代年代通信安全发展通信安全发展通信安全发展通信安全发展时期时期时期时期 从有从有从有从有人类人类人类人类以来以来以来以来6060年年年年代中代中代中代中期期期期计算机安全发计算机安全发计算机安全发计算机安全发展时期展时期展时期展时期 8080年年年年代中代中代中代中期期期期信息安全发展信息安全发展信息安全发展信息安全发展时期时期时期时期 9090年年年年代中代中代中代中期期期期信息安全保障信息安全保障信息安全保障信息安全保障发展时期发展时期发展时期发展时期 安安安安全全全全保保保保障障障障能能能能力力力力密码学是解决密码学是解决密码学是解决密码学是解决“机密性机密性机密性机密性”的核心技术，的核心技术，的核心技术，的核心技术，这一时期密码学得到了很好的发展。这一时期密码学得到了很好的发展。这一时期密码学得到了很好的发展。这一时期密码学得到了很好的发展。ShannonShannon于于于于19491949年发表的论文年发表的论文年发表的论文年发表的论文保密保密保密保密 系统的信息理论系统的信息理论系统的信息理论系统的信息理论为对称密码学建立为对称密码学建立为对称密码学建立为对称密码学建立 了理论基础，从此密码学从非科学发了理论基础，从此密码学从非科学发了理论基础，从此密码学从非科学发了理论基础，从此密码学从非科学发 展成为一门科学。展成为一门科学。展成为一门科学。展成为一门科学。信息安全发展的四个阶段信息安全发展的四个阶段年代年代年代年代通信安全发展通信安全发展通信安全发展通信安全发展时期时期时期时期 从有从有从有从有人类人类人类人类以来以来以来以来6060年年年年代中代中代中代中期期期期计算机安全发计算机安全发计算机安全发计算机安全发展时期展时期展时期展时期 8080年年年年代中代中代中代中期期期期信息安全发展信息安全发展信息安全发展信息安全发展时期时期时期时期 9090年年年年代中代中代中代中期期期期信息安全保障信息安全保障信息安全保障信息安全保障发展时期发展时期发展时期发展时期 安安安安全全全全保保保保障障障障能能能能力力力力1965196519651965年美国率先提出了年美国率先提出了年美国率先提出了年美国率先提出了计算机安全（计算机安全（计算机安全（计算机安全（COMPUSECCOMPUSECCOMPUSECCOMPUSEC）这一时期主要关注这一时期主要关注这一时期主要关注这一时期主要关注“机密性、访问控制、认证机密性、访问控制、认证机密性、访问控制、认证机密性、访问控制、认证”60606060年代出现了多用户系统，从而引入了受控共享的问年代出现了多用户系统，从而引入了受控共享的问年代出现了多用户系统，从而引入了受控共享的问年代出现了多用户系统，从而引入了受控共享的问题。此时计算机主要用于军方，题。此时计算机主要用于军方，题。此时计算机主要用于军方，题。此时计算机主要用于军方，1969196919691969年的年的年的年的WareWareWareWare报告初报告初报告初报告初步的提出了计算机安全及其评估问题。研究方面，出步的提出了计算机安全及其评估问题。研究方面，出步的提出了计算机安全及其评估问题。研究方面，出步的提出了计算机安全及其评估问题。研究方面，出现了现了现了现了Adept50Adept50Adept50Adept50和和和和multicsmulticsmulticsmultics操作系统上的安全研究工作。操作系统上的安全研究工作。操作系统上的安全研究工作。操作系统上的安全研究工作。信息安全发展的四个阶段信息安全发展的四个阶段年代年代年代年代通信安全发展通信安全发展通信安全发展通信安全发展时期时期时期时期 从有从有从有从有人类人类人类人类以来以来以来以来6060年年年年代中代中代中代中期期期期计算机安全发计算机安全发计算机安全发计算机安全发展时期展时期展时期展时期 8080年年年年代中代中代中代中期期期期信息安全发展信息安全发展信息安全发展信息安全发展时期时期时期时期 9090年年年年代中代中代中代中期期期期信息安全保障信息安全保障信息安全保障信息安全保障发展时期发展时期发展时期发展时期 安安安安全全全全保保保保障障障障能能能能力力力力70707070年代是计算机安全的奠基时代。年代是计算机安全的奠基时代。年代是计算机安全的奠基时代。年代是计算机安全的奠基时代。1972197219721972年年年年AndersonAndersonAndersonAnderson带领的小组完成带领的小组完成带领的小组完成带领的小组完成了著名的了著名的了著名的了著名的AndersonAndersonAndersonAnderson报告，这个报告可以看作是计算机安全发展的里报告，这个报告可以看作是计算机安全发展的里报告，这个报告可以看作是计算机安全发展的里报告，这个报告可以看作是计算机安全发展的里程碑。其中提出了计算机安全的主要问题以及相关的范型（如访问程碑。其中提出了计算机安全的主要问题以及相关的范型（如访问程碑。其中提出了计算机安全的主要问题以及相关的范型（如访问程碑。其中提出了计算机安全的主要问题以及相关的范型（如访问监控机）。在这一阶段计算机主要用于军方与科研，而访问控制方监控机）。在这一阶段计算机主要用于军方与科研，而访问控制方监控机）。在这一阶段计算机主要用于军方与科研，而访问控制方监控机）。在这一阶段计算机主要用于军方与科研，而访问控制方面关注信息的机密性，这时提出了强制访问控制策略和自主访问控面关注信息的机密性，这时提出了强制访问控制策略和自主访问控面关注信息的机密性，这时提出了强制访问控制策略和自主访问控面关注信息的机密性，这时提出了强制访问控制策略和自主访问控制策略。其间进行的重要工作包括访问控制矩阵的提出、制策略。其间进行的重要工作包括访问控制矩阵的提出、制策略。其间进行的重要工作包括访问控制矩阵的提出、制策略。其间进行的重要工作包括访问控制矩阵的提出、BLPBLPBLPBLP模型、模型、模型、模型、BIBABIBABIBABIBA模型、模型、模型、模型、HRUHRUHRUHRU模型。其中，模型。其中，模型。其中，模型。其中，BLPBLPBLPBLP模型是影响深远的强制访问控制模模型是影响深远的强制访问控制模模型是影响深远的强制访问控制模模型是影响深远的强制访问控制模型，型，型，型，BIBABIBABIBABIBA模型是提出较早的完整性模型，而模型是提出较早的完整性模型，而模型是提出较早的完整性模型，而模型是提出较早的完整性模型，而HRUHRUHRUHRU模型给出了形式化的模型给出了形式化的模型给出了形式化的模型给出了形式化的访问控制矩阵的描述，并提出了安全模型领域中著名的访问控制矩阵的描述，并提出了安全模型领域中著名的访问控制矩阵的描述，并提出了安全模型领域中著名的访问控制矩阵的描述，并提出了安全模型领域中著名的SAFTYSAFTYSAFTYSAFTY问题问题问题问题（授权传播的可判定性问题）（授权传播的可判定性问题）（授权传播的可判定性问题）（授权传播的可判定性问题）。信息安全发展的四个阶段信息安全发展的四个阶段年代年代年代年代通信安全发展通信安全发展通信安全发展通信安全发展时期时期时期时期 从有从有从有从有人类人类人类人类以来以来以来以来6060年年年年代中代中代中代中期期期期计算机安全发计算机安全发计算机安全发计算机安全发展时期展时期展时期展时期 8080年年年年代中代中代中代中期期期期信息安全发展信息安全发展信息安全发展信息安全发展时期时期时期时期 9090年年年年代中代中代中代中期期期期信息安全保障信息安全保障信息安全保障信息安全保障发展时期发展时期发展时期发展时期 安安安安全全全全保保保保障障障障能能能能力力力力这一时期现代密码学得到了快速发展，最有影响的两个大事件是：这一时期现代密码学得到了快速发展，最有影响的两个大事件是：这一时期现代密码学得到了快速发展，最有影响的两个大事件是：这一时期现代密码学得到了快速发展，最有影响的两个大事件是：一件是一件是一件是一件是DiffieeDiffieeDiffieeDiffiee和和和和HellmanHellmanHellmanHellman于于于于1976197619761976年发表的论文年发表的论文年发表的论文年发表的论文密码编码学新方向密码编码学新方向密码编码学新方向密码编码学新方向，该文导致了密码学上的一场革命，他们首次证明了在发送者和，该文导致了密码学上的一场革命，他们首次证明了在发送者和，该文导致了密码学上的一场革命，他们首次证明了在发送者和，该文导致了密码学上的一场革命，他们首次证明了在发送者和接收者之间无密钥传输的保密通信是可能的，从而开创了公钥密码接收者之间无密钥传输的保密通信是可能的，从而开创了公钥密码接收者之间无密钥传输的保密通信是可能的，从而开创了公钥密码接收者之间无密钥传输的保密通信是可能的，从而开创了公钥密码学的新纪元；另一件是学的新纪元；另一件是学的新纪元；另一件是学的新纪元；另一件是美国于美国于美国于美国于1977197719771977年制定的数据加密年制定的数据加密年制定的数据加密年制定的数据加密标标准准准准DESDESDESDES。这这两两两两个事件个事件个事件个事件标标志着志着志着志着现现代密代密代密代密码码学的学的学的学的诞诞生。生。生。生。信息安全发展的四个阶段信息安全发展的四个阶段年代年代年代年代通信安全发展通信安全发展通信安全发展通信安全发展时期时期时期时期 从有从有从有从有人类人类人类人类以来以来以来以来6060年年年年代中代中代中代中期期期期计算机安全发计算机安全发计算机安全发计算机安全发展时期展时期展时期展时期 8080年年年年代中代中代中代中期期期期信息安全发展信息安全发展信息安全发展信息安全发展时期时期时期时期 9090年年年年代中代中代中代中期期期期信息安全保障信息安全保障信息安全保障信息安全保障发展时期发展时期发展时期发展时期 安安安安全全全全保保保保障障障障能能能能力力力力80808080年代的一个标志性特征就是计算机安全的标准化工作。美国军年代的一个标志性特征就是计算机安全的标准化工作。美国军年代的一个标志性特征就是计算机安全的标准化工作。美国军年代的一个标志性特征就是计算机安全的标准化工作。美国军方提出了著名的方提出了著名的方提出了著名的方提出了著名的TCSECTCSECTCSECTCSEC标准，为计算机安全评估奠定了基础。在这标准，为计算机安全评估奠定了基础。在这标准，为计算机安全评估奠定了基础。在这标准，为计算机安全评估奠定了基础。在这之后又陆续发表了之后又陆续发表了之后又陆续发表了之后又陆续发表了TNITNITNITNI、TDITDITDITDI等等等等TCSECTCSECTCSECTCSEC解释性评估标准。标准化的工解释性评估标准。标准化的工解释性评估标准。标准化的工解释性评估标准。标准化的工作带动了安全产品的大量出现。作带动了安全产品的大量出现。作带动了安全产品的大量出现。作带动了安全产品的大量出现。80808080年代的另一个标志性特征就是计算机在商业环境中得到了应用，年代的另一个标志性特征就是计算机在商业环境中得到了应用，年代的另一个标志性特征就是计算机在商业环境中得到了应用，年代的另一个标志性特征就是计算机在商业环境中得到了应用，所以访问控制的研究也不可避免的要涉及到商业安全策略。而所以访问控制的研究也不可避免的要涉及到商业安全策略。而所以访问控制的研究也不可避免的要涉及到商业安全策略。而所以访问控制的研究也不可避免的要涉及到商业安全策略。而Clark-wilsonClark-wilsonClark-wilsonClark-wilson和和和和Chinese wallChinese wallChinese wallChinese wall策略模型是典型的代表。策略模型是典型的代表。策略模型是典型的代表。策略模型是典型的代表。信息安全发展的四个阶段信息安全发展的四个阶段年代年代年代年代通信安全发展通信安全发展通信安全发展通信安全发展时期时期时期时期 从有从有从有从有人类人类人类人类以来以来以来以来6060年年年年代中代中代中代中期期期期计算机安全发计算机安全发计算机安全发计算机安全发展时期展时期展时期展时期 8080年年年年代中代中代中代中期期期期信息安全发展信息安全发展信息安全发展信息安全发展时期时期时期时期 9090年年年年代中代中代中代中期期期期信息安全保障信息安全保障信息安全保障信息安全保障发展时期发展时期发展时期发展时期 安安安安全全全全保保保保障障障障能能能能力力力力入侵检测系统（入侵检测系统（入侵检测系统（入侵检测系统（IDSIDSIDSIDS）概念最早出自于）概念最早出自于）概念最早出自于）概念最早出自于AndersonAndersonAndersonAnderson在在在在1972197219721972年的一项报年的一项报年的一项报年的一项报告。告。告。告。1980198019801980年，年，年，年，AndersonAndersonAndersonAnderson为美国空军做的题为为美国空军做的题为为美国空军做的题为为美国空军做的题为计算机安全威胁监计算机安全威胁监计算机安全威胁监计算机安全威胁监控与监视控与监视控与监视控与监视的技术报告，第一次详细地阐述了入侵检测的概念，的技术报告，第一次详细地阐述了入侵检测的概念，的技术报告，第一次详细地阐述了入侵检测的概念，的技术报告，第一次详细地阐述了入侵检测的概念，并首次为入侵和入侵检测提出了一个统一的架构。并首次为入侵和入侵检测提出了一个统一的架构。并首次为入侵和入侵检测提出了一个统一的架构。并首次为入侵和入侵检测提出了一个统一的架构。80808080年代初，安全协议理论如安全多方计算、形式化分析和可证明年代初，安全协议理论如安全多方计算、形式化分析和可证明年代初，安全协议理论如安全多方计算、形式化分析和可证明年代初，安全协议理论如安全多方计算、形式化分析和可证明安全性等相继问世安全性等相继问世安全性等相继问世安全性等相继问世 信息安全发展的四个阶段信息安全发展的四个阶段年代年代年代年代通信安全发展通信安全发展通信安全发展通信安全发展时期时期时期时期 从有从有从有从有人类人类人类人类以来以来以来以来6060年年年年代中代中代中代中期期期期计算机安全发计算机安全发计算机安全发计算机安全发展时期展时期展时期展时期 8080年年年年代中代中代中代中期期期期信息安全发展信息安全发展信息安全发展信息安全发展时期时期时期时期 9090年年年年代中代中代中代中期期期期信息安全保障信息安全保障信息安全保障信息安全保障发展时期发展时期发展时期发展时期 安安安安全全全全保保保保障障障障能能能能力力力力这一时期主要关注这一时期主要关注这一时期主要关注这一时期主要关注“机密性、完机密性、完机密性、完机密性、完整性、可用性、非否认性整性、可用性、非否认性整性、可用性、非否认性整性、可用性、非否认性”8080年代中期，美国和欧洲先后在年代中期，美国和欧洲先后在年代中期，美国和欧洲先后在年代中期，美国和欧洲先后在学术界和军事领域开始使用学术界和军事领域开始使用学术界和军事领域开始使用学术界和军事领域开始使用“信信信信息安全（息安全（息安全（息安全（INFOSECINFOSECINFOSECINFOSEC）”和和和和“信息信息信息信息系统安全（系统安全（系统安全（系统安全（INFO SYS SECINFO SYS SECINFO SYS SECINFO SYS SEC或或或或ISSECISSECISSECISSEC）”。主要内容包括：主要内容包括：主要内容包括：主要内容包括：通信安全通信安全通信安全通信安全计算机安全计算机安全计算机安全计算机安全发射安全（发射安全（发射安全（发射安全（EMSECEMSECEMSECEMSEC）传输安全（传输安全（传输安全（传输安全（TRANSECTRANSECTRANSECTRANSEC）物理安全（物理安全（物理安全（物理安全（PHYSICALSECPHYSICALSECPHYSICALSECPHYSICALSEC）人事安全（人事安全（人事安全（人事安全（PERSONNEL SECPERSONNEL SECPERSONNEL SECPERSONNEL SEC）信息安全发展的四个阶段信息安全发展的四个阶段年代年代年代年代通信安全发展通信安全发展通信安全发展通信安全发展时期时期时期时期 从有从有从有从有人类人类人类人类以来以来以来以来6060年年年年代中代中代中代中期期期期计算机安全发计算机安全发计算机安全发计算机安全发展时期展时期展时期展时期 8080年年年年代中代中代中代中期期期期信息安全发展信息安全发展信息安全发展信息安全发展时期时期时期时期 9090年年年年代中代中代中代中期期期期信息安全保障信息安全保障信息安全保障信息安全保障发展时期发展时期发展时期发展时期 安安安安全全全全保保保保障障障障能能能能力力力力密码技术得到了空前的发展，密码技术得到了空前的发展，密码技术得到了空前的发展，密码技术得到了空前的发展，提出了很多新观点和新方法提出了很多新观点和新方法如如ECCECC、密钥托管、盲签名、密钥托管、盲签名、零知识证明协议零知识证明协议涌现了大量的实用安全协议，涌现了大量的实用安全协议，涌现了大量的实用安全协议，涌现了大量的实用安全协议，如互联网密钥交换（如互联网密钥交换（如互联网密钥交换（如互联网密钥交换（IKEIKE）协议、分布式认证安全服务协议、分布式认证安全服务协议、分布式认证安全服务协议、分布式认证安全服务（DASSDASS）协议、）协议、）协议、）协议、KerberosKerberos认证协议、认证协议、认证协议、认证协议、X.509X.509协议、协议、协议、协议、SETSET协议、协议、协议、协议、iKPiKP协议协议协议协议 安全协议的三大理论（安全协议的三大理论（安全协议的三大理论（安全协议的三大理论（安全安全安全安全多方计算、形式化分析和可多方计算、形式化分析和可多方计算、形式化分析和可多方计算、形式化分析和可证明安全性证明安全性证明安全性证明安全性）取得了突破性）取得了突破性）取得了突破性）取得了突破性进展进展进展进展信息安全发展的四个阶段信息安全发展的四个阶段年代年代年代年代通信安全发展通信安全发展通信安全发展通信安全发展时期时期时期时期 从有从有从有从有人类人类人类人类以来以来以来以来6060年年年年代中代中代中代中期期期期计算机安全发计算机安全发计算机安全发计算机安全发展时期展时期展时期展时期 8080年年年年代中代中代中代中期期期期信息安全发展信息安全发展信息安全发展信息安全发展时期时期时期时期 9090年年年年代中代中代中代中期期期期信息安全保障信息安全保障信息安全保障信息安全保障发展时期发展时期发展时期发展时期 安安安安全全全全保保保保障障障障能能能能力力力力IDSIDSIDSIDS的研究进入了多样化发的研究进入了多样化发的研究进入了多样化发的研究进入了多样化发展时期展时期展时期展时期1989198919891989年提出了异常检测概念年提出了异常检测概念年提出了异常检测概念年提出了异常检测概念1990199019901990年形成了基于网络的年形成了基于网络的年形成了基于网络的年形成了基于网络的IDSIDSIDSIDS和基于主机的和基于主机的和基于主机的和基于主机的IDSIDSIDSIDS两大检两大检两大检两大检测概念测概念测概念测概念1992199219921992年形成了分布式入侵检年形成了分布式入侵检年形成了分布式入侵检年形成了分布式入侵检测系统（测系统（测系统（测系统（DIDSDIDSDIDSDIDS）1994199419941994年，将自治代理年，将自治代理年，将自治代理年，将自治代理（Autonomous AgentsAutonomous AgentsAutonomous AgentsAutonomous Agents）技）技）技）技术用于术用于术用于术用于IDSIDSIDSIDS的设计的设计的设计的设计1996199619961996年为了解决入侵检测系年为了解决入侵检测系年为了解决入侵检测系年为了解决入侵检测系统的可扩展性提出了统的可扩展性提出了统的可扩展性提出了统的可扩展性提出了GRIDS(Graph-based GRIDS(Graph-based GRIDS(Graph-based GRIDS(Graph-based Intrusion Detection Intrusion Detection Intrusion Detection Intrusion Detection System)System)System)System)信息安全发展的四个阶段信息安全发展的四个阶段年代年代年代年代通信安全发展通信安全发展通信安全发展通信安全发展时期时期时期时期 从有从有从有从有人类人类人类人类以来以来以来以来6060年年年年代中代中代中代中期期期期计算机安全发计算机安全发计算机安全发计算机安全发展时期展时期展时期展时期 8080年年年年代中代中代中代中期期期期信息安全发展信息安全发展信息安全发展信息安全发展时期时期时期时期 9090年年年年代中代中代中代中期期期期信息安全保障信息安全保障信息安全保障信息安全保障发展时期发展时期发展时期发展时期 安安安安全全全全保保保保障障障障能能能能力力力力安全评估标准得到高度重视。安全评估标准得到高度重视。安全评估标准得到高度重视。安全评估标准得到高度重视。从美国国防部从美国国防部从美国国防部从美国国防部19851985年发布著名年发布著名年发布著名年发布著名的可信计算机系统评估准则的可信计算机系统评估准则的可信计算机系统评估准则的可信计算机系统评估准则（TCSECTCSEC）起，世界各国根据）起，世界各国根据）起，世界各国根据）起，世界各国根据自己的研究进展和实际情况，自己的研究进展和实际情况，自己的研究进展和实际情况，自己的研究进展和实际情况，相继发布了一系列有关安全评相继发布了一系列有关安全评相继发布了一系列有关安全评相继发布了一系列有关安全评估的准则和标准，如美国的估的准则和标准，如美国的估的准则和标准，如美国的估的准则和标准，如美国的TCSECTCSEC；英、法、德、荷等四；英、法、德、荷等四；英、法、德、荷等四；英、法、德、荷等四国国国国9090年代初发布的信息技术安年代初发布的信息技术安年代初发布的信息技术安年代初发布的信息技术安全评估准则全评估准则全评估准则全评估准则(ITSEC)(ITSEC)；加拿大；加拿大；加拿大；加拿大19931993年发布的可信计算机产品年发布的可信计算机产品年发布的可信计算机产品年发布的可信计算机产品评价准则（评价准则（评价准则（评价准则（CTCPECCTCPEC）；美国）；美国）；美国）；美国19931993年制定的信息技术安全联年制定的信息技术安全联年制定的信息技术安全联年制定的信息技术安全联邦标准（邦标准（邦标准（邦标准（FCFC）；）；）；）；6 6国国国国7 7方（加拿方（加拿方（加拿方（加拿大、法国、德国、荷兰、英国、大、法国、德国、荷兰、英国、大、法国、德国、荷兰、英国、大、法国、德国、荷兰、英国、美国美国美国美国NISTNIST及美国及美国及美国及美国NSANSA）于）于）于）于9090年年年年代中期提出的信息技术安全性代中期提出的信息技术安全性代中期提出的信息技术安全性代中期提出的信息技术安全性评估通用准则（评估通用准则（评估通用准则（评估通用准则（CCCC）信息安全发展的四个阶段信息安全发展的四个阶段年代年代年代年代通信安全发展通信安全发展通信安全发展通信安全发展时期时期时期时期 从有从有从有从有人类人类人类人类以来以来以来以来6060年年年年代中代中代中代中期期期期计算机安全发计算机安全发计算机安全发计算机安全发展时期展时期展时期展时期 8080年年年年代中代中代中代中期期期期信息安全发展信息安全发展信息安全发展信息安全发展时期时期时期时期 9090年年年年代中代中代中代中期期期期信息安全保障信息安全保障信息安全保障信息安全保障发展时期发展时期发展时期发展时期 安安安安全全全全保保保保障障障障能能能能力力力力计算机应急响应受到重视。计算机应急响应受到重视。计算机应急响应受到重视。计算机应急响应受到重视。1988198819881988年，美国康乃尔大学研究生莫里斯，首次利年，美国康乃尔大学研究生莫里斯，首次利年，美国康乃尔大学研究生莫里斯，首次利年，美国康乃尔大学研究生莫里斯，首次利用计算机病毒（蠕虫）程序成功攻击了美国国防用计算机病毒（蠕虫）程序成功攻击了美国国防用计算机病毒（蠕虫）程序成功攻击了美国国防用计算机病毒（蠕虫）程序成功攻击了美国国防军事科研单位与有关大专院校联入因特网的军事科研单位与有关大专院校联入因特网的军事科研单位与有关大专院校联入因特网的军事科研单位与有关大专院校联入因特网的6000600060006000台计算机（占当时因特网联机的台计算机（占当时因特网联机的台计算机（占当时因特网联机的台计算机（占当时因特网联机的1/101/101/101/10），使其瘫），使其瘫），使其瘫），使其瘫痪数日，造成亿元损失痪数日，造成亿元损失痪数日，造成亿元损失痪数日，造成亿元损失1989198919891989年，美国、西德联手破获了前苏联收买西德年，美国、西德联手破获了前苏联收买西德年，美国、西德联手破获了前苏联收买西德年，美国、西德联手破获了前苏联收买西德大学生中的黑客，渗入欧美十余个国家的计算机，大学生中的黑客，渗入欧美十余个国家的计算机，大学生中的黑客，渗入欧美十余个国家的计算机，大学生中的黑客，渗入欧美十余个国家的计算机，获取大量敏感信息的计算机间谍案。获取大量敏感信息的计算机间谍案。获取大量敏感信息的计算机间谍案。获取大量敏感信息的计算机间谍案。这两起案件，极大地震动了西方世界。许多有识这两起案件，极大地震动了西方世界。许多有识这两起案件，极大地震动了西方世界。许多有识这两起案件，极大地震动了西方世界。许多有识之士认为：随着网络技术及有关技术的发展之士认为：随着网络技术及有关技术的发展之士认为：随着网络技术及有关技术的发展之士认为：随着网络技术及有关技术的发展,传传传传统的、静态的安全保密措施已不足以抵御计算机统的、静态的安全保密措施已不足以抵御计算机统的、静态的安全保密措施已不足以抵御计算机统的、静态的安全保密措施已不足以抵御计算机黑客入侵及有组织的信息手段的攻击（信息战、黑客入侵及有组织的信息手段的攻击（信息战、黑客入侵及有组织的信息手段的攻击（信息战、黑客入侵及有组织的信息手段的攻击（信息战、网络战），必须建立新的安全机制网络战），必须建立新的安全机制网络战），必须建立新的安全机制网络战），必须建立新的安全机制于是在于是在于是在于是在1989198919891989年美国国防部资助卡内基年美国国防部资助卡内基年美国国防部资助卡内基年美国国防部资助卡内基梅隆大学梅隆大学梅隆大学梅隆大学为其建立了世界上第一个为其建立了世界上第一个为其建立了世界上第一个为其建立了世界上第一个“计算机应急小组计算机应急小组计算机应急小组计算机应急小组（CERTCERTCERTCERT）”及其协调中心（及其协调中心（及其协调中心（及其协调中心（CERT/CCCERT/CCCERT/CCCERT/CC）。）。）。）。CERTCERTCERTCERT的成立标志着信息安全由静态保护向动态防护的的成立标志着信息安全由静态保护向动态防护的的成立标志着信息安全由静态保护向动态防护的的成立标志着信息安全由静态保护向动态防护的转变。转变。转变。转变。信息安全发展的四个阶段信息安全发展的四个阶段年代年代年代年代通信安全发展通信安全发展通信安全发展通信安全发展时期时期时期时期 从有从有从有从有人类人类人类人类以来以来以来以来6060年年年年代中代中代中代中期期期期计算机安全发计算机安全发计算机安全发计算机安全发展时期展时期展时期展时期 8080年年年年代中代中代中代中期期期期信息安全发展信息安全发展信息安全发展信息安全发展时期时期时期时期 9090年年年年代中代中代中代中期期期期信息安全保障信息安全保障信息安全保障信息安全保障发展时期发展时期发展时期发展时期 安安安安全全全全保保保保障障障障能能能能力力力力这一时期主要关注这一时期主要关注这一时期主要关注这一时期主要关注“预警、保护、检测、响预警、保护、检测、响预警、保护、检测、响预警、保护、检测、响应、恢复、反击应、恢复、反击应、恢复、反击应、恢复、反击”整个过程整个过程整个过程整个过程信息安全保障强调保护、检测、反应和恢复信息安全保障强调保护、检测、反应和恢复信息安全保障强调保护、检测、反应和恢复信息安全保障强调保护、检测、反应和恢复这四种能力，围绕人、技术和管理这三个层这四种能力，围绕人、技术和管理这三个层这四种能力，围绕人、技术和管理这三个层这四种能力，围绕人、技术和管理这三个层面，以支持机构的任务和职能为目标，注重面，以支持机构的任务和职能为目标，注重面，以支持机构的任务和职能为目标，注重面，以支持机构的任务和职能为目标，注重体系建设，强化组织与协调功能。体系建设，强化组织与协调功能。体系建设，强化组织与协调功能。体系建设，强化组织与协调功能。信息安全发展的四个阶段信息安全发展的四个阶段年代年代年代年代通信安全发展通信安全发展通信安全发展通信安全发展时期时期时期时期 从有从有从有从有人类人类人类人类以来以来以来以来6060年年年年代中代中代中代中期期期期计算机安全发计算机安全发计算机安全发计算机安全发展时期展时期展时期展时期 8080年年年年代中代中代中代中期期期期信息安全发展信息安全发展信息安全发展信息安全发展时期时期时期时期 9090年年年年代中代中代中代中期期期期信息安全保障信息安全保障信息安全保障信息安全保障发展时期发展时期发展时期发展时期 安安安安全全全全保保保保障障障障能能能能力力力力19951995年，在研究信息安全及网络战防御理论年，在研究信息安全及网络战防御理论年，在研究信息安全及网络战防御理论年，在研究信息安全及网络战防御理论过程中，美国国防部提出了过程中，美国国防部提出了过程中，美国国防部提出了过程中，美国国防部提出了“信息安全保障信息安全保障信息安全保障信息安全保障体系体系体系体系”（IAIA）概念，并给出了）概念，并给出了）概念，并给出了）概念，并给出了“保护保护保护保护（ProtectionProtection）监测（监测（监测（监测（detectiondetection）响响响响应（应（应（应（ResponseResponse）”三环节动态模型，即三环节动态模型，即三环节动态模型，即三环节动态模型，即“PDR”PDR”模型。后来增加了恢复模型。后来增加了恢复模型。后来增加了恢复模型。后来增加了恢复（RestoreRestore）,变为变为变为变为“PDRR”PDRR”模型。其中模型。其中模型。其中模型。其中“响应响应响应响应”包括平时事件响应和应急响应，而重包括平时事件响应和应急响应，而重包括平时事件响应和应急响应，而重包括平时事件响应和应急响应，而重点在应急处理。点在应急处理。点在应急处理。点在应急处理。我国专家在我国专家在我国专家在我国专家在19991999年提出了更为完善的年提出了更为完善的年提出了更为完善的年提出了更为完善的“预警预警预警预警保护保护保护保护监测监测监测监测应急应急应急应急恢复恢复恢复恢复反击反击反击反击”即即即即“WPDRRC”WPDRRC”模型，使信息安全保障技术体系模型，使信息安全保障技术体系模型，使信息安全保障技术体系模型，使信息安全保障技术体系立于更坚实的基础上。立于更坚实的基础上。立于更坚实的基础上。立于更坚实的基础上。信息安全发展的四个阶段信息安全发展的四个阶段年代年代年代年代通信安全发展通信安全发展通信安全发展通信安全发展时期时期时期时期 从有从有从有从有人类人类人类人类以来以来以来以来6060年年年年代中代中代中代中期期期期计算机安全发计算机安全发计算机安全发计算机安全发展时期展时期展时期展时期 8080年年年年代中代中代中代中期期期期信息安全发展信息安全发展信息安全发展信息安全发展时期时期时期时期 9090年年年年代中代中代中代中期期期期信息安全保障信息安全保障信息安全保障信息安全保障发展时期发展时期发展时期发展时期 安安安安全全全全保保保保障障障障能能能能力力力力信息安全保障体系的建设是一项长信息安全保障体系的建设是一项长信息安全保障体系的建设是一项长信息安全保障体系的建设是一项长期而艰巨的任务期而艰巨的任务期而艰巨的任务期而艰巨的任务当前，人们从以下几个方面致力于当前，人们从以下几个方面致力于当前，人们从以下几个方面致力于当前，人们从以下几个方面致力于建立信息安全保障体系建立信息安全保障体系建立信息安全保障体系建立信息安全保障体系组织管理体系：做顶层设计组织管理体系：做顶层设计组织管理体系：做顶层设计组织管理体系：做顶层设计技术与产品体系：密码、安全监控、安全技术与产品体系：密码、安全监控、安全技术与产品体系：密码、安全监控、安全技术与产品体系：密码、安全监控、安全审计、内容安全、授权认证、检测、可信审计、内容安全、授权认证、检测、可信审计、内容安全、授权认证、检测、可信审计、内容安全、授权认证、检测、可信计算、病毒防范、网络攻击、安全评估、计算、病毒防范、网络攻击、安全评估、计算、病毒防范、网络攻击、安全评估、计算、病毒防范、网络攻击、安全评估、应急处理应急处理应急处理应急处理标准体系标准体系标准体系标准体系法规体系法规体系法规体系法规体系人才培养、培训与服务咨询体系人才培养、培训与服务咨询体系人才培养、培训与服务咨询体系人才培养、培训与服务咨询体系应急处理体系应急处理体系应急处理体系应急处理体系网络系统结构开放系统互连参考模型（1）ISO/OSI 模型网络层数据链路层物理层传输层应用层表示层会话层网络层数据链路层物理层传输层应用层表示层会话层对等协议物理介质系统 A系统 B第N+1层第N层PDUSDUHPDU第N-1层SDUN+1层协议实体N+1层协议实体N 层协议实体SAPSAPn应用层(application layer)n运输层(transport layer)n网络层(network layer)n数据链路层(data link layer)n物理层(physical layer)数据链路层5 应用层4 运输层3 网络层2 数据链路层1 物理层1.2 TCP/IP安全性分析TCP/IP模型TCP/IP 的网络互连n网际互连是通过 IP 网关（gateway）实现的n网关提供网络与网络之间物理和逻辑上的连通功能n网关是一种特殊的计算机，同时属于多个网络G1网络 1网络 3G1网络 2首部04816192431版 本标志生 存 时 间协 议标 识总 长 度片 偏 移填 充首 部 检 验 和源 地 址目 的 地 址可 选 字 段 （长 度 可 变）位首部长度数 据 部 分数 据 部 分首 部IP 数据报固定部分可变部分区 分 服 务发送在前首部04816192431版 本标志生 存 时 间协 议标 识总 长 度片 偏 移填 充首 部 检 验 和源 地 址目 的 地 址可 选 字 段 （长 度 可 变）位首部长度数 据 部 分固定部分可变部分版本占 4 位，指 IP 协议的版本目前的 IP 协议版本号为 4(即 IPv4)区 分 服 务1.IP 数据报首部的固定部分中的各字段 首部04816192431版 本标志生 存 时 间协 议标 识总 长 度片 偏 移填 充首 部 检 验 和源 地 址目 的 地 址可 选 字 段 （长 度 可 变）位首部长度数 据 部 分固定部分可变部分首部长度占 4 位，可表示的最大数值是 15 个单位(一个单位为 4 字节)因此 IP 的首部长度的最大值是 60 字节。区 分 服 务首部04816192431版 本标志生 存 时 间协 议标 识总 长 度片 偏 移填 充首 部 检 验 和源 地 址目 的 地 址可 选 字 段 （长 度 可 变）位首部长度数 据 部 分固定部分可变部分区分服务占 8 位，用来获得更好的服务在旧标准中叫做服务类型，但实际上一直未被使用过。1998 年这个字段改名为区分服务。只有在使用区分服务（DiffServ）时，这个字段才起作用。在一般的情况下都不使用这个字段 区 分 服 务首部04816192431版 本标志生 存 时 间协 议标 识总 长 度片 偏 移填 充首 部 检 验 和源 地 址目 的 地 址可 选 字 段 （长 度 可 变）位首部长度数 据 部 分固定部分可变部分总长度占 16 位，指首部和数据之和的长度，单位为字节，因此数据报的最大长度为 65535 字节。总长度必须不超过最大传送单元 MTU。区 分 服 务首部04816192431版 本标志生 存 时 间协 议标 识总 长 度片 偏 移填 充首 部 检 验 和源 地 址目 的 地 址可 选 字 段 （长 度 可 变）位首部长度数 据 部 分固定部分可变部分标识(identification)占 16 位，它是一个计数器，用来产生数据报的标识。区 分 服 务首部04816192431版 本标志生 存 时 间协 议标 识区 分 服 务总 长 度片 偏 移填 充首 部 检 验 和源 地 址目 的 地 址可 选 字 段 （长 度 可 变）位首部长度数 据 部 分固定部分可变部分标志(flag)占 3 位，目前只有前两位有意义。标志字段的最低位是 MF(More Fragment)。MF 1 表示后面“还有分片”。MF 0 表示最后一个分片。标志字段中间的一位是 DF(Dont Fragment)。只有当 DF 0 时才允许分片。首部04816192431版 本标志生 存 时 间协 议标 识总 长 度片 偏 移填 充首 部 检 验 和源 地 址目 的 地 址可 选 字 段 （长 度 可 变）位首部长度数 据 部 分固定部分可变部分片偏移(12 位)指出：较长的分组在分片后某片在原分组中的相对位置。片偏移以 8 个字节为偏移单位。区 分 服 务首部04816192431版 本标志生 存 时 间协 议标 识总 长 度片 偏 移填 充首 部 检 验 和源 地 址目 的 地 址可 选 字 段 （长 度 可 变）位首部长度数 据 部 分固定部分可变部分生存时间(8 位)记为 TTL(Time To Live)数据报在网络中可通过的路由器数的最大值。区 分 服 务首部04816192431版 本标志生 存 时 间协 议标 识总 长 度片 偏 移填 充首 部 检 验 和源 地 址目 的 地 址可 选 字 段 （长 度 可 变）位首部长度数 据 部 分固定部分可变部分协议(8 位)字段指出此数据报携带的数据使用何种协议以便目的主机的 IP 层将数据部分上交给哪个处理过程区 分 服 务运输层网络层首部TCPUDPICMPIGMPOSPF数 据 部 分IP 数据报协议字段指出应将数据部分交给哪一个进程首部04816192431版 本标志生 存 时 间协 议标 识总 长 度片 偏 移填 充首 部 检 验 和源 地 址目 的 地 址可 选 字 段 （长 度 可 变）位首部长度数 据 部 分固定部分可变部分首部检验和(16 位)字段只检验数据报的首部不检验数据部分。这里不采用 CRC 检验码而采用简单的计算方法。区 分 服 务发送端接收端16 位字 116 位字 2置为全 0检验和16 位字 n16 位反码算术运算求和取反码数据报首部IP 数据报16 位检验和16 位字 116 位字 216 位检验和16 位字 n16 位反码算术运算求和16 位结果取反码数据部分若结果为 0,则保留；否则，丢弃该数据报数据部分不参与检验和的计算首部04816192431版 本标志生 存 时 间协 议标 识总 长 度片 偏 移填 充首 部 检 验 和源 地 址目 的 地 址可 选 字 段 （长 度 可 变）位首部长度数 据 部 分固定部分可变部分源地址和目的地址都各占 4 字节区 分 服 务运输层为相互通信的应用进程提供了逻辑通信 54321运输层提供应用进程间的逻辑通信主机 A主机 B应用进程应用进程路由器 1路由器 2AP1LAN2WANAP2AP3AP4IP 层LAN1AP1AP2AP4端口端口54321IP 协议的作用范围运输层协议 TCP 和 UDP 的作用范围AP3应用进程之间的通信n两个主机进行通信实际上就是两个主机中的应用进程互相通信。n应用进程之间的通信又称为端到端的通信。n运输层的一个很重要的功能就是复用和分用。应用层不同进程的报文通过不同的端口向下交到运输层，再往下就共用网络层提供的服务。n“运输层提供应用进程间的逻辑通信”。“逻辑通信”的意思是：运输层之间的通信好像是沿水平方向传送数据。但事实上这两个运输层之间并没有一条水平方向的物理连接。运输层协议和网络层协议的主要区别 应用进程应用进程IP 协议的作用范围（提供主机之间的逻辑通信）TCP 和 UDP 协议的作用范围（提供进程之间的逻辑通信）因 特 网运输层的主要功能 n运输层为应用进程之间提供端到端的逻辑通信（但网络层是为主机之间提供逻辑通信）。n运输层还要对收到的报文进行差错检测。n运输层需要有两种不同的运输协议，即面向连接的 TCP 和无连接的 UDP。TCP首部20 字节的固定首部目 的 端 口数据偏移检 验 和选 项 （长 度 可 变）源 端 口序 号紧 急 指 针窗 口确 认 号保 留FIN32 位SYNRSTPSHACKURG位 0 8 16 24 31填 充TCP 数据部分TCP 首部TCP 报文段IP 数据部分IP 首部发送在前 TCP 报文段的首部格式 TCP首部20字