信息安全技术与应用课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式信息安全定义,信息安全技术与应用,1,信息安全技术与应用,信息安全技术与应用,教学目的,全面了解信息安全基本概念及国家信息安全保护相关政策、法津、法规和标准；,初步掌握信息安全基础理论、工作原理与工程技术应用；,根据信息安全保护等级需求，综合利用信息安全知识和技术构建安全解决方案，具备选择、集成、配置、评估、维护、管理和开发信息安全保障系统的工程技能,信息安全技术与应用,信息安全技术与应用,教学要求,在成本、环境、风险及技术等约束条件下；,依据国家信息安全保护相关政策、法津、法规和标准；,综合应用信息安全知识和技术；,分析、构造、设计、实施和运行信息安全保障系统的工程技能。,信息安全技术与应用,第,1,章,信息安全概述,信息安全技术与应用,1.1,信息安全基本概念,信息安全定义,信息安全是为防范计算机网络硬件、软件、数据偶然或蓄意破环、篡改、窃听、假冒、泄露、非法访问和保护网络系统持续有效工作的措施总和；,信息安全保护范围,信息安全、网络安全、计算机系统安全和密码安全涉及的保护范围不同；,信息安全技术与应用,信息安全保护范围,密码安全,系统安全,网络安全,信息安全,信息安全技术与应用,信息安全侧重点,研究,关注从理论上采用数学方法精确描述安全属性；,工程技术,成熟的信息安全解决方案和新型信息安全产品；,评估与测评,关注信息安全测评标准、安全等级划分、安全产品测评方法与工具、网络信息采集以及网络渗透技术；,网络或信息安全管理,关心信息安全管理策略、身份认证、访问控制、入侵检测、网络与系统安全审计、信息安全应急响应、计算机病毒防治等安全技术；,信息安全技术与应用,信息安全侧重点,公共安全,熟悉,熟悉国家和行业部门颁布的常用信息安全监察法律法规、信息安全取证、信息安全审计、知识产权保护、社会文化安全等技术,军事,关心信息对抗、信息加密、安全通信协议、无线网络安全、入侵攻击、网络病毒传播等信息安全综合技术；,信息安全技术与应用,信息安全目标,最终目标,通过各种技术与管理手段实现网络信息系统的可靠性、保密性、完整性、有效性、可控性和拒绝否认性；,可靠性指信息系统能够在规定的条件与时间内完成规定功能的特性；,可控性指信息系统对信息内容和传输具有控制能力的特性；,拒绝否认性指通信双方不能抵赖或否认已完成的操作和承诺；,信息安全技术与应用,保密性,保密性,指信息系统防止信息非法泄露的特性，信息只限于授权用户使用；,保密性主要通过信息加密、身份认证、访问控制、安全通信协议等技术实现；,信息加密是防止信息非法泄露的最基本手段。,信息安全技术与应用,完整性和有效性,完整性,指信息未经授权不能改变的特性；,完整性强调信息在存储和传输过程中不能被偶然或蓄意修改、删除、伪造、添加、破坏或丢失；,信息在存储和传输过程中必须保持原样；,只有完整的信息才是可信任的信息。,有效性,指信息资源容许授权用户按需访问的特性,信息安全,技,技术与应,用,用,信息安全,模,安全解决,方,方案,一个涉及,法,法律、法,规,规、管理,、,、技术和,教,教育等多,个,个因素的,复,复杂系统,工,工程；,安全只具,有,有相对意,义,义；,绝对的安,全,全只是一,个,个理念；,任何安全,模,模型都不,可,可能将所,有,有可能的,安,安全隐患,都,都考虑周,全,全；,理想的信,息,息安全模,型,型不存在,。,。,信息安全,技,技术与应,用,用,PPDR,信息安全,模,模型,安全策略,保护,检测,响应,信息安全,技,技术与应,用,用,信息安全,策,策略,信息安全,策,策略是保,障,障机构信,息,息安全的,指,指导文件,；,；,信息安全,策,策略包括总体安全,策,策略和安,全,全管理实,施,施细则；,总体安全,策,策略包括分析,安,安全需求,、,、分析安,全,全威胁、,定,定义安全,目,目标、确,定,定安全保,护,护范围、,分,分配部门,责,责任、配,备,备人力物,力,力、确认,违,违反策略,的,的行为和,相,相应的制,裁,裁措施；,安全管理,细,细则规定,了,了具体的,实,实施方法,和,和内容；,信息安全,技,技术与应,用,用,信息安全,策,策略总则,均衡性原,则,则,在安全需,求,求、易用,性,性、效能,和,和安全成,本,本之间保,持,持相对平,衡,衡；,时效性原,则,则,影响信息,安,安全的因,素,素随时间,变,变化，信,息,息安全问,题,题具有显,著,著的时效,性,性；,最小化原,则,则,系统提供,的,的服务越,多,多，安全,漏,漏洞和威,胁,胁也就越,多,多；,关闭安全,策,策略中没,有,有规定的,网,网络服务,；,；,以最小限,度,度原则配,置,置满足安,全,全策略定,义,义的用户,权,权限；,信息安全,技,技术与应,用,用,安全策略,内,内容,硬件物理,安,安全,网络连接,安,安全,操作系统,安,安全,网络服务,安,安全,数据安全,安全管理,责,责任,网络用户,安,安全责任,信息安全,技,技术与应,用,用,1.2,信息安全,漏,漏洞与威,胁,胁,软件漏洞,指在设计,与,与编制软,件,件时没有,考,考虑对非,正,正常输入,进,进行处理,或,或错误代,码,码而造成,的,的安全隐,患,患,;,软件漏洞,是,是任何软,件,件存在的,客,客观事实,;,软件产品,通,通常在正,式,式发布之,前,前，一般,都,都要相继,发,发布,版本、,版本和,版本供反,复,复测试使,用,用，目的,就,就是为了,尽,尽可能减,少,少软件漏,洞,洞,信息安全,技,技术与应,用,用,软件漏洞,与,与,攻击事件,趋,趋势,攻击事件趋势,软件漏洞趋势,信息安全,技,技术与应,用,用,网络协议,漏,漏洞,指网络通,信,信协议不,完,完善而导,致,致的安全隐患,；,；,Internet,使用的,TCP/IP,协议族所,有,有协议都,发,发现存在,安,安全隐患,；,；,截止到,2012,年,6,月，专门,从,从事安全,漏,漏洞名称,标,标准化的,公,公共漏洞,披,披露机构,CVE,（,common vulnerabilityandexposures,）,已发布了,53623,个不同的,安,安全漏洞,；,；,新的安全,漏,漏洞仍在,不,不断披露,信息安全,技,技术与应,用,用,安全管理,漏,漏洞,安全技术,只,只是保证,信,信息安全,的,的基础；,信息安全,管,管理才是,发,发挥信息,安,安全技术,的,的根本保,证,证；,信息安全,问,问题不是,一,一个纯技,术,术问题；,从安全管,理,理角度看,，,，信息安全,首,首先是管,理,理问题；,如常见的,系,系统缺省,配,配置、脆,弱,弱性口令,和,和信任关,系,系转移等,；,；,信息,安,安全,是,是相,对,对的,，,，是,建,建立,在,在信,任,任基,础,础之,上,上的,，,，绝,对,对的,信,信息,安,安全,不,不存,在,在。,信息,安,安全,技,技术,与,与应,用,用,指事,件,件对,信,信息,资,资源,的,的可,靠,靠性,、,、保,密,密性,、,、完,整,整性,、,、有,效,效性,、,、可,控,控性,和,和拒,绝,绝否,认,认性,可,可能,产,产生,的,的危,害,害；,自然,因,因素,：,：硬,件,件故,障,障、,软,软件,故,故障,、,、电,源,源故,障,障、,电,电磁,干,干扰,、,、电,磁,磁辐,射,射和,自,自然,灾,灾害,人为,因,因素,意外,损,损坏,：,：删,除,除文,件,件、,格,格式,化,化硬,盘,盘、,带,带电,拔,拔插,、,、系,统,统断,电,电等,各,各种,操,操作,失,失误,；,；,蓄意,攻,攻击,：,：网,络,络攻,击,击、,计,计算,机,机病,毒,毒、,特,特洛,伊,伊木,马,马、,网,网络,窃,窃听,、,、邮,件,件截,获,获、,滥,滥用,特,特权,等,等,信息,安,安全,技,技术,与,与应,用,用,信息,安,安全,威,威胁,来,来源,网络安全威胁,自然因素,人为因素,硬件故障；软件故障；电源故障；电磁干扰,电磁辐射,意外损坏,蓄意攻击,删除文件；格式化硬盘,自然灾害,网络攻击；计算机病毒；滥用特权,特洛伊木马；网络窃听；邮件截获,带电拔插；系统断电,破坏保密性,破坏完整性和有效性,破坏保密性、完整性和有效性,安全威胁分类及破坏目标,信息,安,安全,技,技术,与,与应,用,用,信息,安,安全,威,威胁,来,来源,主动,攻,攻击主要,来,来自,网,网络黑客,（,（,hacker,）、敌,对,对势,力,力、,网,网络,金,金融,犯,犯罪,分,分子,和,和商,业,业竞,争,争对,手,手；,黑客,指,指独,立,立思,考,考、,智,智力,超,超群,、,、精,力,力充,沛,沛、,热,热衷,于,于探,索,索软,件,件奥,秘,秘和,显,显示,个,个人,才,才干,的,的计,算,算机,迷,迷；,白帽,黑,黑客,协,协助,厂,厂商,解,解决,安,安全,问,问题,；,；,灰帽,黑,黑客,发,发现,安,安全,漏,漏洞,后,后，,在,在群,体,体内,发,发布,的,的同,时,时也,通,通知,厂,厂商,；,；,黑帽,黑,黑客,无,无视,国,国家,法,法律,和,和法,规,规，,针,针对,安,安全,漏,漏洞,研,研究,漏,漏洞,利,利用,攻,攻击,机,机制,，,，并,遵,遵守,漏,漏洞,利,利用,共,共享,规,规范,信息,安,安全,技,技术,与,与应,用,用,1.3,信息,安,安全,评,评价,标,标准,中国,国,国家,质,质量,技,技术,监,监督,局,局颁,布,布的,计算,机,机信,息,息系,统,统安,全,全保,护,护等,级,级划,分,分准,则,则,美国,国,国防,部,部颁,布,布的,可信,计,计算,机,机系,统,统评,价,价标,准,准,；,欧洲,德,德国,、,、法,国,国、,英,英国,、,、荷,兰,兰四,国,国联,合,合颁,布,布的,信息,技,技术,安,安全,评,评价,标,标准,；,加拿,大,大颁,布,布的,可信,计,计算,机,机产,品,品评,价,价标,准,准,；,美国,、,、加,拿,拿大,、,、德,国,国、,法,法国,、,、英,国,国、,荷,荷兰,六,六国,联,联合,颁,颁布,的,的,信息,技,技术,安,安全,评,评价,通,通用,标,标准,；,信息,安,安全,技,技术,与,与应,用,用,美国,可,可信,计,计算,机,机系,统,统评,价,价标,准,准,TCSEC,根据,计,计算,机,机系,统,统采,用,用的,安,安全,策,策略,、,、提,供,供的,安,安全,功,功能,和,和安,全,全功,能,能保,障,障的,可,可信,度,度将,安,安全,级,级别,划,划分,为,为,D,、,C,、,B,、,A,四大,类,类七,个,个等,级,级；,其中,D,类安,全,全级,别,别最,低,低，,A,类安,全,全级,别,别最,高,高；,无安,全,全保,护,护,D,类,自主,安,安全,保,保护,C,类,强制,安,安全,保,保护,B,类,验证,安,安全,保,保护,A,信息,安,安全,技,技术,与,与应,用,用,美国,可,可信,计,计算,机,机系,统,统评,价,价标,准,准,安全,功,功能,无保,护,护,D,级,自主,保,保护,C1,级,TCSEC,标准,各,各安,全,全等,级,级关,系,系,安全,功,功能,保,保障,控制,保,保护,C2,级,标记,保,保护,B1,级,结构,保,保护,B2,级,区域,保,保护,B3,级,验证,保,保护,A,级,信息安,全,全技术,与,与应用,国际通,用,用信息,安,安全评,价,价标准,评价的,信,信息系,统,统或技,术,术产品,及,及其相,关,关文档,在,在,CC,中称为,评,评价目,标,标,TOE,（,targetofevaluation,）；,CC,标准采,用,用类（,class,）、族,（,（,family,）、组,件,件（,component,）层次,结,结构化,方,方式定,义,义,TOE,的安全,功,功能；,CC,标准定,义,义安全,保,保证（,securityassurance,）同样