网络与信息安全概述课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,网络与信息安全概述,北京科技大学,信息学院,陈红松 副教授,网络与信息安全概述北京科技大学,1,1 课程内容及使用的教材,2 网络与信息安全的严峻形势,3 网络与信息系统的安全体系,4 开放系统互连(OSI)安全体系结构,5 Internet安全体系,6 网络与信息,安全产品介绍,网络与信息安全概述课件,2,课程内容,网络与信息安全概述,黑客攻击与风险分析,身份认证及Kerberos协议,Ipsec安全协议,SSL安全协议,防火墙技术,VPN技术,入侵检测技术,SNMP网络安全管理,网络安全评估与管理,可信计算,信息安全法律法规,课程内容网络与信息安全概述,3,参考教材,网络安全,作者:,胡道元,出 版 社:,清华大学出版社,出版时间:2004.7,网络安全完全手册,出 版 社:,电子工业出版社,出版时间:2005.10,参考教材网络安全,4,网络信息安全前沿专题讨论 (15%),开卷考试 占85%,网络信息安全前沿专题讨论 (15%),5,2 信息安全的严峻形势,2006年6月13日，据微软公布的安全报告显示，在2005年1月至2006年3月期间，60左右的Windows PC机都感染过恶意代码。,据称，美国正在进行的CPU“陷阱”设计，可使美国通过互联网发布指令让敌方电脑的CPU停止工作 。,2 信息安全的严峻形势2006年6月13日，据微软公布的安全,6,1998年，为了获得在洛杉矶地区kiss-fm电台第102个呼入者的奖励保时捷跑车，Kevin Poulsen控制了整个地区的电话系统，以确保他是第102个呼入者。,最终，他如愿以偿获得跑车并为此入狱三年。,1998年，为了获得在洛杉矶地区kiss-fm电台第102个,7,2000年1月，日本政府11个省、厅受到黑客攻击。总务厅的统计信息全部被删除；外务省主页3分钟受攻击1000余次；日本最高法院主页2天内受攻击3000余次。日本政府成立反黑特别委员会，拨款24亿日元研究入侵检测技术、追踪技术、病毒技术和密码技术。,2000年2月，美国近十家著名的互联网站遭受黑客攻击，在短短的几天内，使互联网的效率降低20，据估算，攻击造成的损失达到12亿美元以上，引起股市动荡。,2000年1月，日本政府11个省、厅受到黑客攻击。总务厅的统,8,2001年2月8日，新浪网遭受大规模网络攻击，电子邮件服务器瘫痪了18个小时。造成了几百万的用户无法正常使用新浪网。,2006年9月13日，,百度承认遭受“大规模的不明身份黑客攻击”，导致百度搜索服务在全国各地出现了近30分钟的故障，并认为这是有人精心组织策划的行动，并已经向公安机关报案。,2001年2月8日，新浪网遭受大规模网络攻击，电子邮件服务,9,熊猫病毒”是2006年中国十大病毒之首。它通过多种方式进行传播，并将感染的所有程序文件改成熊猫举着三根香的模样，同时该病毒还具有盗取用户游戏账号、QQ账号等功能 .,熊猫烧香”是一种蠕虫病毒的变种，而且是经过多次变种而来的,原名为,尼姆亚,变种W(Worm.Nimaya.w)。,熊猫病毒”是2006年中国十大病毒之首。它通过多种方式进行传,10,外交部驳斥我军方攻击美国防部网络传言,外交部发言人姜瑜在北京表示，最近有关中国军方对美国国防部实施网络攻击的指责是毫无根据的。,“中国政府一贯坚决反对和依法严厉打击包括黑客行为在内的任何破坏网络的犯罪行为。在中美致力于发展建设性合作关系，中美两军关系呈现出良好发展势头的大背景下，有人对中国进行无端指责，妄称中国军方对美国国防部实施网络攻击，这是毫无根据的，也是冷战思维的体现。”姜瑜在例行记者会上答记者问。,“我们认为黑客是一个国际性的问题，中方也经常遭到黑客的袭击。中方愿与其他国家一道，采取措施共同打击网络犯罪。在这方面，我们愿意加强国际合作。”,外交部驳斥我军方攻击美国防部网络传言 外交部发言人姜瑜在北京,11,网络与信息安全概述课件,12,IBM研究称黑客攻击速度加快,据IBM最新发表的一份报告称，越来越多的攻击在缺陷披露24小时内就出现在了互联网上，这意味着，许多用户还没有来得及了解相关问题前就可能已经受到了攻击。,IBM在报告中谈到了互联网威胁方面两个日益明显的趋势。其一，互联网犯罪分子依赖软件工具，帮助他们利用公开披露的缺陷自动发动攻击。过去，犯罪分子自己发现安全缺陷需要更长的时间。IBM一名高管克里斯兰姆（Kris Lamb）在接受采访时说，积极地寻找软件中缺陷的并非是犯罪分子本人，犯罪分子充分利用了安全研究社区的成果，他们所需要做的就是利用所获得的信息发动攻击。,其二，安全研究人员就应当在多大程度上公开披露安全缺陷资料的争论愈演愈烈了。大多数情况下安全研究人员会等待相关厂商发布补丁软件后才会公开披露安全缺陷的详细资料。但有时安全研究人员在公开安全缺陷详细资料的同时也会发布所谓的“概念验证”代码，以证明安全缺陷确实是存在的。这就可能向犯罪分子提供他们所需要的帮助，缩短他们发动攻击所需要的时间。,IBM研究称黑客攻击速度加快据IBM最新发表的一份报告称，越,13,根据国外一安全软件厂商公布的一项调查结果显示，计算机犯罪分子开始倾向于通过合法的网站来传播病毒和恶意软件，这些网站既包括社交网站，也包括人们通常使用的搜索引擎网站。 根据Websense公司的一项调查显示，在2008年上半年大约有75%的网站包含有恶意内容，这些网站一般都拥有良好的信誉度，而在此之前的6个月中，感染恶意代码的网站只有50%. 在全球100强网站中大约有60%或者页面含有病毒，或者将用户引导向,恶意网站,。 Websense表示，计算机犯罪分子正在将目标瞄向一些流行的大众网站，而不是自己建立一个网站，因为前者具有大量的访问用户作为其攻击对象。 一旦用户访问了被感染的网页，,黑客,们就有机会访问他们的个人信息或者利用他们的计算机作为“僵尸”来进行更广范围的攻击。,黑客们还可以在被攻击者的计算机上安装间谍软件，从而跟踪用户的每一个操作。,Websense的安全研究还发现，在过去6个月以来，76.5%以上的邮件都包含恶意网站的链接或垃圾邮件发送网站等，该数据上升了18%.,Websense 安全实验室通过ThreatSeeker技术来发现、分类并监测全球范围内的互联网威胁状况和发展动态。安全研究人员利用该系统的互联网安全智能技术来发布安全形势，同时保障用户的安全，该技术包含5000万个实时数据收集系统，每天可对10亿条内容进行深入分析。,根据国外一安全软件厂商公布的一项调查结果显示，计算机犯罪分子,14,黑客袭击一市商务局网站 局长变成三点女郎,从荆州市荆州区法院获悉：荆州市商务局网站“被黑”案一审判决：袭击荆州市商务局网站，将局长照片换成“三点式”女郎、将“局长致辞”改为“庆贺女友生日”的张志东被判处有期徒刑1年半。 法院审理查明，2008年12月4日，张志东下载了黑客软件，在扫描到荆州市商务局网站存在漏洞后，获取了该网站的管理员账号和密码。 他登入管理员后台，将“局长致辞”修改为“为女友祝贺生日”，将“局长照片”换成一张 “三点式”女郎图片。 截至案发时，这两条信息的点击量分别达4036次和5617次，该网站一时间流量大增，服务器被迫关闭。此事影响了荆州市商务局的形象，并造成了一定的损失。 法院审理认为，张志东的行为已构成,破坏计算机信息系统,罪，但是他能够投案自首，认罪态度较好，且系初犯，可酌情从轻处罚，遂一审作出上述判决。,黑客袭击一市商务局网站 局长变成三点女郎从荆州市荆州区,15,网络与信息安全概述课件,16,网络与信息安全概述课件,17,威胁计算机系统安全的几种形式,威胁计算机系统安全的几种形式,18,攻击复杂程度与入侵技术进步示意图,攻击复杂程度与入侵技术进步示意图,19,弱点传播及其利用变化图,弱点传播及其利用变化图,20,多维角度网络攻击分类,多维角度网络攻击分类,21,美国国防部授权美国航天司令部负责美军计算机网络攻防计划，成立网络防护“联合特遣部队”，规划“,国防部信息对抗环境,(InfoCon)，监视有组织和无组织的网络安全威胁，创建整个国防部实施网络攻防战的标准模型，训练计算机操作人员。,2002年1月15日，Bill.Gates在致微软全体员工的一封信中称，公司未来的工作重点将从致力于产品的功能和特性转移为侧重解决安全问题，并进而提出了微软公司的新“可信计算”(Trustworthy computing)战略 .,美国国防部授权美国航天司令部负责美军计算机网络攻防计划，成立,22,据美国华盛顿观察周刊报道，曾经被政府追捕的,黑客,们，一时间在美国成了就业场上炙手可热的,人才,。美军战略司令部司令凯文希尔顿将军(Gen. Kevin P. Chilton)近日公开承认，战略司令部正在征召2000-4000名“士兵”，组建一支“特种部队”。这支特种部队不仅要承担网络防御的任务，还将对它国的电脑网络和电子系统进行秘密攻击。,目前，两个不同的网络战中心在美军战略司令部管辖下运行。一个是全球网络联合部队(Joint Task Force-Global Network Operations)，主要负责保护五角大楼在美国本土和全球范围内的网络系统，应对每天数十万起试图攻入美军网络的攻击。另一个名为“网络战联合功能构成司令部”( Joint Functional Component Command Network Warfare)，主要职责是对敌人发动网络攻击。例如，在战时快速侵入敌方电脑网络系统，瘫痪敌军的指挥网络和依靠电脑运行的武器系统。,虽然美军从未公布过网站部队人数，但根据对美军黑客项目跟踪了13年的防务专家乔尔哈丁(Joel Harding)的评估，目前美军共有3000-5000名信息战专家，5-7万名士兵涉足网络战。如果加上原有的电子战人员，美军的网战部队人数应该在88700人左右。这意味着美军网战部队人数已经相当于七个101空降师。,据美国华盛顿观察周刊报道，曾经被政府追捕的黑客们，一时间,23,俄罗斯2000年6月批准实施的国家信息安全学说把“信息战”问题放在突出地位。俄罗斯为此专门成立了新的国家信息安全与信息对抗领导机构，建立了,信息战特种部队,，将重点开发高性能计算技术、智能化技术、信息攻击与防护技术等关键技术。,俄罗斯2000年6月批准实施的国家信息安全学说把“信息战,24,日本防卫厅计划在2001至2005年实施的中期防卫力量配备计划中进行电脑作战研究，通过电脑作战破坏敌方的指挥通讯系统，加强自卫队的信息防御和反击能力。据美国防部官员称，日本的东芝公司已有能力制造“固化病毒”这种新式的计算机武器。,日本防卫厅计划在2001至2005年实施的中期防卫力量配备,25,我国在国民经济和社会发展第十一个五年规划纲要中明确提出要强化,信息安全,保障工作，要积极防御、综合防范，提高信息安全保障能力。强化安全监控、应急响应、密钥管理、网络信任等信息安全基础设施建设，发展咨询、测评、灾备等专业化信息安全服务。,我国在国民经济和社会发展第十一个五年规划纲要中明确提出要,26,信息安全是信息化可持续发展的保障,网络信息安全已成为急待解决、影响国家大局和长远利益的重大关键问题，信息安全保障能力是,21,世纪综合国力、经济竞争实力和生存能力的重要组成部分。,网络信息安全问题如果解决不好将全方位地危及我国的政治、军事、经济、文化、社会生活的各个方面,使国家处于信息战和高度经济金融风险的威胁之中。,-沈昌祥院士 信息安全专家,信息安全是信息化可持续发展的保障网络信息安全已成为急待解决、,27,3 信息系统的安全体系,信息安全的原始意义是指计算机通信中的数据、图像、语音等信息的,保密性,、,完整性,、,可用性,不受损害。,信息安全的概念不断拓宽。从,广度上,，信息安全外延到,计算机通信基础设施的安全运行和信息内容的健康合法,。从,深度上,，信息安全又向,信息保护与防御,的方向发展。,3 信息系统的安全体系信息安全的原始意义是指计算机通信中的数,28,信息安全的基本需求,保密性,(confidentiality)：信息不被泄露给非授权的用户、实体或过程，或供其利用的特性,完整性,(integrity)：信息未经授权不能进行改变的特性,可用性,(availability)：信息可被授权实体访问并按需求使用的特性,可控性,(controllability)：可以控制授权范围内的信息流向及行为方式,不可否认性,(non-repudiation)：信息的行为人要对自己的信息行为负责，不能抵赖曾有过的信息行为,信息安全的基本需求 保密性(confidentiality),29,信息保护及防御,IA（Information Assurance）,保证信息与信息系统的可用性、完整性、真实性、机密性和不可抵赖性的保护与防御手段。它通过,保护,、,检测,、,恢复,、,反应,技术的采用使信息系统具有,恢复,能力。,保护,Protect,检测,Detect,恢复,Restore,反应,React,IA,信息防护的,PDRR模型,信息保护及防御IA（Information Assuranc,30,P,2,DR,安全模型,以安全策略为核心(,ISS,（,Internet Security Systems InC.),提出),策略,：是模型的核心，具体的实施过程中，策略意味着网络安全要达到的目标。,防护,：安全规章、安全配置、安全措施,检测,：异常监视、模式发现,响应,：报告、记录、反应、恢复,P2DR安全模型以安全策略为核心(ISS（Internet,31,信息安全的互动模型,信息安全的互动模型,32,网络安全运行管理平台 SOC(security operation center),网络安全运行管理平台,33,安全策略管理模块作为SOC的中心,它根据组织的安全目标制定和维护组织的各种安全策略以及配置信息.,资产是整个SOC体系的保护对象,SOC是以安全数据库的建立为基础,安全数据库包括资产库,漏洞库威胁库,病毒信息库,风险库等.,资产风险管理模块应基于上述安全数据库对资产,的脆弱性,漏洞以及资产面临的威胁进行收集和管理.,安全策略管理模块作为SOC的中心,它根据组织的安全目标制定和,34,网络安全,就像一个无计划扩张的城区一样，因为各种不同的系统和设备以不同的方式相互沟通：如固定的局域网、无线和移动蜂窝网络、专用广域网、固定电话网络和互联网等不同的通讯方式。在这个星云状的网络领域考虑安全的唯一有效的方法是“分层次”的保护。,趋势科技欧洲、中东和非洲地区安全总经理Simon Young称，安全专业人员，已经基本上接受了采取多层次的防御措施防御各种攻击和威胁的观点。一种产品或者技术不能防御一切可能的威胁。一种分层次的方法能够让企业建立多条防线，让一种产品抓住从外层防御溜进来的东西。,网络安全就像一个无计划扩张的城区一样，因为各种不同的系统和设,35,在最基本的层面上，网络安全包括：使用熟悉的用户名/口令相结合的方法识别用户身份;使用卡、USB密钥或者生物计量(如指纹和视网膜扫描等)等物理形式进行身份识别;或者使用某些方法结合在一起的方式进行身份识别(这对于访问网络中更敏感的部分是必要的)。,下一层是,防火墙,。防火墙管理识别用户身份的服务和允许访问的应用程序。防火墙可以防止网络边缘的PC或者服务器上，或者安装在,路由器,和,交换机,等物理网络硬件上。,除了防火墙之外，,入侵防御和检测系统,接下来监视网络的状况、恶意软件或者可疑的行为，阻止违反网络管理员定义的规则和政策的活动。,但是，必须强调的是，没有任何一种方法是绝对安全的。区别合法的和不合法的行为的难度还需要人类某种程度的干预。,在最基本的层面上，网络安全包括：使用熟悉的用户名/口令相,36,防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.,防火墙的优点：（1）防火墙能强化安全策略。（2）防火墙能有效地记录Internet上的活动。（3）防火墙限制暴露用户点,对网络存取和访问进行监控审计 。防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。（4）防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。,(5)还支持具有Internet服务特性的VPN。,防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之,37,VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。,它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设物理线路。,VPN技术原是路由器具有的重要技术之一，目前在交换机，防火墙设备或Windows 2k xp等软件里也都支持VPN功能。,虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于实现安全连接；实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。,VPN的英文全称是“Virtual Private Netw,38,常用的虚拟专用网络协议有：,IPSec : IPsec(缩写IP Security)是保护IP协议安全通信的标准，它主要对IP协议分组进行加密和认证。,IPsec作为一个协议族（即一系列相互关联的协议）由以下部分组成：(1)保护分组流的协议；(2)用来建立这些安全分组流的密钥交换协议。前者又分成两个部分：加密分组流的封装安全载荷（ESP）及较少使用的认证头（AH），认证头提供了对分组流的认证并保证其消息完整性，但不提供保密性。目前为止，IKE协议是唯一已经制定的密钥交换协议。,PPTP: Point to Point Tunneling Protocol - 点到点隧道协议,在因特网上建立IP虚拟专用网（,VPN,）隧道的协议，主要内容是在因特网上建立多协议安全虚拟专用网的通信方式。,L2F: Layer 2 Forwarding - 第二层转发协议,L2TP: Layer 2 Tunneling Protocol -第二层隧道协议,GRE：VPN的第三层隧道协议 -通用路由封装,SSL VPN,MPLS VPN,Socks5 VPN,常用的虚拟专用网络协议有：,39,网络与信息安全概述课件,40,Denning入侵检测模型,Denning入侵检测模型,41,网络与信息安全概述课件,42,信息安全的技术层次视点,System security,物理安全,System security,运行安,全,Information,security,数据安全,Information security,内容安全,系统自身的安全,“系统安全”,Information Security,信息利用的安全,“信息对抗”,信息自身的安全,“信息安全”,层次结构,结构层次,三级信息安全框架,信息内容对抗,国家计算机与网络安全管理中心 主任,方滨兴 院士,提出,信息安全的技术层次视点System security物理安全,43,网络与信息安全概述课件,44,信息系统的安全体系,管,理,体,系,培训,制度,法律,组织体系,技术体系,技术管理,技术机制,机构,岗位,人事,安全,策略,与,服务,密,钥,管,理,审计,状态,检测,入侵,监控,OSI安全技术,运行环境及,系统安全技术,物理,安全,系统,安全,安全服务,安全机制,OSI,安全,管理,信息系统的安全体系管培训制度法律组织体系技术体系技术管理技术,45,美国国家安全局制定的信息保障技术框架（IATF）,美国国家安全局制定的信息保障技术框架（IATF）,46,信息安全的层次分析,信息安全的层次分析,47,4 开放系统互连(OSI)安全体系结构,网络体系结构是计算机之间相互通信的层次，以及各层中的协议和层次之间接口的集合。,国际标准化组织ISO在提出了开放系统互连（Open System Interconnection，OSI）模型，这是一个定义连接异种计算机的标准主体结构。 OSI采用了分层的结构化技术，每层的目的都是为上层提供某种服务。,4 开放系统互连(OSI)安全体系结构网络体系结构是计算机之,48,OSI参考模型,OSI参考模型,49,OSI安全体系结构的研究始于1982年，于1988年完成，其成果标志是ISO发布了ISO7498-2标准，作为OSI基本参考模型的补充。这是基于OSI参考模型的七层协议之上的信息安全体系结构。它定义了,5类安全服务、8种特定的安全机制、5种普遍性安全机制,。它确定了安全服务与安全机制的关系以及在OSI七层模型中安全服务的配置。,OSI安全体系结构的研究始于1982年，于1988年完成，其,50,OSI安全体系结构的5类安全服务,1.鉴别,鉴别服务提供通信中的对等实体和数据来源的鉴别,2.访问控制,防止对资源的未授权使用，防止以未授权方式使用某一资源,3.数据机密性,这种服务对数据提供保护，使之不被非授权地泄露,OSI安全体系结构的5类安全服务1.鉴别,51,4.数据完整性,例如使用顺序号，检测数据重放攻击,5.抗否认,这种服务可取如下两种形式，或两者之一：,（1） 有数据原发证明的抗否认,（2） 有交付证明的抗否认,4.数据完整性,52,OSI安全体系结构的8种安全机制,（1） 加密,对数据进行密码变换以产生密文。加密既能为数据提供机密性，也能为通信业务流信息提供机密性，并且是其他安全机制中的一部分或对安全机制起补充作用。,一般情况，在一个层次上进行加密，但也有可能需要在多个层上提供加密。,OSI安全体系结构的8种安全机制（1） 加密,53,（2） 数字签名机制,数字签名是附加在数据单元上的一些数据，或是对数据单元所作的密码变换，这种数据或变换允许数据单元的接收者确认数据单元来源和数据单元的完整性，并保护数据，防止被他人伪造。,（2） 数字签名机制,54,（3） 访问控制机制,为了决定和实施一个实体的访问权，访问控制机制可以使用该实体已鉴别的身份，或使用有关该实体的信息。,例如：访问控制信息库、鉴别信息（如口令）、安全标记,（3） 访问控制机制,55,（4） 数据完整性机制,数据完整性有两个方面：单个数据单元的完整性和数据单元序列的完整性。,发送实体给数据单元附加一个量，这个量为该数据的函数。,保护数据单元序列的完整性（即防止乱序、数据的丢失、重放、插入或篡改）还需要某种明显的排序形式，如顺序号、时间标记或密码链。,（4） 数据完整性机制,56,（5） 鉴别交换机制,如果在鉴别实体时，这一机制得到否定的结果，就会导致连接的拒绝或终止,（6） 通信业务填充机制,能用来提供各种不同级别的保护，对抗通信业务分析,（5） 鉴别交换机制,57,（7） 路由选择控制机制,在检测到持续的操作攻击时，端系统可以提示网络的提供者经不同的路由建立连接,（8） 公证机制,在两个或多个实体之间通信的数据，如它的完整性、时间和目的地等能借助可信第三方的公证机制得到确保,（7） 路由选择控制机制,58,OSI的,安全服务,与,安全机制,的关系,保密性,完整性,鉴别,访问控制,不可否认性,加密,Y,Y,Y,-,-,数字签名,-,Y,Y,-,Y,访问控制,-,-,-,Y,-,数据完整性,-,Y,-,-,Y,鉴别,-,-,Y,-,-,业务填充,Y,-,-,-,-,路由控制,Y,-,-,-,-,公证,-,-,-,-,Y,OSI的安全服务与安全机制的关系保密性完整性鉴别访问控制不可,59,OSI安全管理,OSI安全管理包括系统安全管理（OSI环境安全）、OSI安全服务的管理与安全机制的管理。,安全管理信息库（SMIB）是一个概念上的集合，存储开放系统所需的与安全有关的全部信息。每个端系统必须包含必需的本地信息，使它能执行某个适当的安全策略。,SMIB是一个分布式信息库，在实际中，SMIB的某些部分可以与MIB（管理信息库）结合成一体，也可以分开。SMIB有多种实现办法，例如，数据表、嵌入开放系统软件或硬件中的数据或规则。,OSI安全管理OSI安全管理包括系统安全管理（OSI环境安全,60,信息安全管理内容,内容：信息安全政策制定、风险评估、控制目,标与方式的选择、制定规范的操作流程、信息,安全培训等.,涉及领域：安全方针策略、组织安全、资产分,类与控制、人员安全、物理与环境安全、通信,与运营安全、访问控制、系统开发与维护、业,务连续性、法律符合性等.,信息安全管理内容内容：信息安全政策制定、风险评估、控制目,61,5 Internet安全体系结构,Internet,不同层的网络安全技术,5.1 网络层安全,5.2 传输层安全,5.3 应用层安全,5 Internet安全体系结构Internet不同层的网络,62,基于TCP/IP协议的网络安全体系基础框架,基于TCP/IP协议的网络安全体系基础框架,63,5.1 网络层安全-IPSec,5.2 传输层安全-SSL,5.3 应用层安全S-HTTP,SET,5.1 网络层安全-IPSec,64,5.1 网络层安全,IPSec-,一组协议,在IP加密传输信道技术方面，IETF已经指定IPSec来制定IP安全协议（IP Security Protocol,IPSP,）和对应的Internet密钥管理协议（Internet Key Management Protocol,IKMP,）的标准。,5.1 网络层安全IPSec-一组协议,65,IPSec是随着IPv6的制定而产生的，鉴于IPv4的应用仍然很广泛，所以后来在IPSec的制定中也增加了对IPv4的支持。IPSec在IPv6中是必须支持的，而在IPv4中是可选的。,IPSec是随着IPv6的制定而产生的，鉴于IPv4的应用仍,66,IPSP的主要目的是使需要安全服务的用户能够使用相应的加密安全体制。该体制应该与算法独立，可以自己选择和替换加密算法而不会对应用和上层协议产生任何影响。此外，该体制必须能支持多种安全政策，并且对其他不使用该体制的用户完全透明,。,IPSP的主要目的是使需要安全服务的用户能够使用相应的加密安,67,按照这些要求，IPSec工作组使用认证头部（AH）和安全内容封装（ESP）两种机制，前者提供认证和数据完整性，后者实现通信保密。,AH（Authentication Header，验证头部协议）,ESP（Encapsulating Security Payload，封装安全载荷）协议,按照这些要求，IPSec工作组使用认证头部（AH）和安全内容,68,IPSec体系结构,IPSec体系结构,69,AH为IP数据包提供如下3种服务：无连接的数据完整性验证、数据源身份认证和防重放攻击。,ESP除了为IP数据包提供AH已有的3种服务外，还提供另外两种服务：数据包加密、数据流加密。,IKE协议负责密钥管理，定义了通信实体间进行身份认证、协商加密算法以及生成共享的会话密钥的方法。,AH为IP数据包提供如下3种服务：无连接的数据完整性验,70,对IP包进行的IPSec处理有两种：AH和ESP。AH提供无连接的数据完整性、数据来源验证和抗重放攻击服务；而ESP除了提供AH的这些功能外，还可以提供对数据包加密和数据流量加密。,对IP包进行的IPSec处理有两种：AH和ESP。AH提供无,71,AH和ESP可以单独使用，也可以嵌套使用。通过这些组合方式，可以在两台主机、两台安全网关（防火墙和路由器），或者主机与安全网关之间使用。,AH和ESP可以单独使用，也可以嵌套使用。通过这些组合,72,5.2 传输层安全,常见的传输层安全技术有,SSL-Secure socket layer,SSL分为两层，上面是SSL协商层，双方通过协商约定有关加密的算法，进行身份认证等；,下面是SSL记录层，它把上层的数据经分段、压缩后加密，由传输层传送出去。SSL采用,公钥方式进行身份认证,，大量数据传输仍使用,对称密钥,方式进行,数据加密,。通过双方协商，SSL可以支持多种身份认证、加密和检验算法。,5.2 传输层安全常见的传输层安全技术有SSL-Secure,73,SSL结构图,高层协议,SSL协商层,SSL记录层,传输层,低层协议,SSL结构图高层协议SSL协商层SSL记录层传输层低层协议,74,SSL协议协商层工作过程示意图,通过,X.509证书,传输其拥有者的,公开密钥,SSL协议协商层工作过程示意图通过X.509证书传输其拥有者,75,为了保持Internet上的通用性，目前一般的SSL协议只要求,服务器,方向客户方出示证书以证明自己的身份，而不要求用户方同样出示证书，在建立起SSL信道后再加密传输用户的口令实现客户方的身份认证。,为了保持Internet上的通用性，目前一般的SSL协议只要,76,5.3 应用层安全,IP层的安全协议能够为网络连接建立安全的通信信道，传输层安全协议允许为进程之间的数据通道增加安全属性，但它们都无法根据所传送的不同内容的安全要求予以区别对待。,如果确实想要区分具体文件的不同的安全性要求，就必须在应用层采用安全机制。,5.3 应用层安全IP层的安全协议能够为网络连接建立安全的,77,安全HTTP协议（S-HTTP）是Web上使用的超文本传输协议（HTTP）的安全增强版本，由企业集成技术公司设计。,它建立在HTTP1.1的基础上，提供了数据加密、身份认证、数据完整、防止否认等功能。S-HTTP通过协商可以选择不同的密钥管理方法、安全策略，以及加密算法等。 它在对称密钥方式下工作时，它不要求客户方用公钥Certificate进行身份认证，相对于SSL而言，降低了对公钥体系的要求。,安全HTTP协议（S-HTTP）是Web上使用的超文本传输协,78,S-HTTP提供了文件级的安全机制，因此每个文件都可以设置成保密/签字状态。用作加密及签名的算法可以由参与通信的收发双方协商。S-HTTP提供了对多种单向散列（Hash）函数的支持，如MD2、MD5及SHA；对多种私钥体制的支持，如DES、三元DES、RC2、RC4；对数字签名体制的支持，如RSA和DSS。,S-HTTP提供了文件级的安全机制，因此每个文件都可以,79,HTTPS stands for Hypertext Transfer Protocol over Secure Socket Layer.HTTPS is not a separate protocol, but is a combination of a normal HTTP connection over an encrypted Secure Sockets Layer (SSL) or Transport Layer Security (TLS) connection.When you use https:, the URL will use the HTTP Protocol but over a different default TCP port (443 - unsecured HTTP port is usually 80) and with an additional encryption/authentication layer between the HTTP and TCP.This mechanism was designed by Netscape in the mid-90s to support authentication and encrypted communication over the Internet, and is very commonly used for security-sensitive communication like on-line payment transactions and some logon to company websites.S-HTTP stands for Secure Hypertext Transfer Protocol; refer to RFC 2660 for detailed definition.S-HTTP was developed by Enterprise Integration Technologies also in the mid-90s.However, at that time, the major players supported the HTTPS protocol, and over time made HTTPS the standard for secure communications.The main difference is that HTTPS involves the use of SSL to establish a secure connection between two computers.S-HTTP however is designed to send individual messages securely.Same objective; different approach.Not many servers and web browsers support the S-HTTP protocol.,HTTPS stands for Hypertext Tr,80,MasterCard、Visa国际公司和微软公司已经同意联手推出Internet上的安全信用卡交易服务。他们发布了相应的,安全电子交易（SET）,协议，其中规定了信用卡持有人用其信用卡通过Internet进行付费的方法。这套机制的后台有一个证书颁发的基础设施，提供对X.509证书的支持。,MasterCard、Visa国际公司和微软公司已经同意联手,81,TCP/IP各层安全服务与安全协议的对应,TCP/IP各层安全服务与安全协议的对应,82,OSI安全体系到TCP/IP安全体系的映射,ISO7498-2给出的是开放系统互连安全的一种参考模型，它是从现实应用的各种网络中提取出较为抽象的共性而形成的国际标准。对于网络环境下的具体应用，有着普遍的指导意义。,OSI安全体系到TCP/IP安全体系的映射ISO7498-2,83,TCP/IP协议是一个4层概念模型，即应用层、传输层、网络层和网络接口层。TCP/IP模型中的每一层对应于OSI参考模型中的一层或多层。因而可以根据ISO7498-2的安全体系结构，将各种安全服务与安全机制映射到TCP/IP协议中。,TCP/IP协议是一个4层概念模型，即应用层、传输层、网络层,84,OSI安全体系到TCP/IP安全体系的映射,OSI安全体系到TCP/IP安全体系的映射,85,6 信息安全产品类型,6 信息安全产品类型,86,