计算机信息网络安全基础知识.ppt

计算机信息网络安全基础知识 中国科学技术大学网络中心杨寿保2001 11 28 网络安全问题状况 据调查世界排名前1000的公司几乎都曾被黑客闯入美国每年因网络安全造成的损失高达175亿美元互连网上黑客站点数以万计 教唆破译口令发送E mail漏洞列表教唆成为黑客教唆隐藏网络痕迹 计算机信息系统及安全 计算机信息系统 计算机实体 信息和人计算机信息系统广播电视系统电信系统计算机信息系统安全实体安全 物理安全 运行安全信息安全 计算机信息系统及安全 计算机信息网络安全计算机信息系统和信息网络安全的演变静态安全和动态安全可用性完整性保密性真实性可靠性可控性 计算机系统面临的威胁及脆弱性 计算机信息系统受到的威胁外部威胁 自然灾害黒客攻击病毒垃圾邮件与黄毒商业经济间谍电子商务的安全威胁信息战与计算机犯罪 计算机系统面临的威胁及脆弱性 内部威胁软件的问题存储的问题电子数据的非物质性电磁辐射网络环境和协议个人 计算机系统面临的威胁及脆弱性 信息社会的脆弱性和安全问题技术的被动性与依赖性导致的问题国家安全问题不同民族文化的冲突 计算机信息系统的保护和监察 计算机信息系统的安全保护基本概念安全法规安全管理组织建设 制度建设和人员意识安全技术计算机信息系统安全保护 事前检查 事中保护 监测 控制 事后取证 计算机信息系统的保护和监察 计算机信息系统安全保护的基本策略 信息 人 职业道德 法律规范纪律 安全物理环境 安全硬件 安全软件 计算机信息系统的保护和监察 公共信息网络安全监察公共信息网络安全监察工作的性质公共信息网络安全监察工作的一般原则公共信息网络安全监察的任务 计算机信息网络安全模型 传统安全模型的局限性绝对安全的系统是不存在的 系统软件包括操作系统的复杂性不能完全隔离外部的服务请求计算机网络关键技术的安全问题 计算机信息网络安全模型 网络安全体系结构及安全模型体系结构 防御 调查 检测 事后分析 计算机信息网络安全模型 信息保障的基本内容 保护 反应 恢复 检测 信息保障 计算机信息网络安全模型 安全模型预警保护检测响应恢复反击 计算机信息网络安全模型 OSI层的安全模型OSI网络体系结构参考模型 应用层ApplicationLayer7 表示层PresentationLayer6 会话层SessionLayer5 传输层TransportationLayer4 网络层NetworkLayer3 物理层PhysicalLayer1 数据链路层DatalinkLayer2 计算机信息网络安全模型 网络安全技术的实施层次网络安全技术的实现主要在应用层和网络层 加 解密技术 SSH SSL SHTP https SNMPv2等 Proxy IP过滤防火墙 IPSec等 基于应用的安全技术 链路级的 计算机信息网络安全模型 计算机信息网络安全策略总的策略你需要保护哪些资源 保护这些资源你需要防备哪些人 可能存在什么样的威胁 资源的重要性如何 你能够采取哪些措施 你是否定期检查网络安全策略 你的网络目标和环境是否已经改变 你是否知道黑客们的最新动向 计算机信息网络安全模型 网络使用和责任允许谁使用这些资源 什么是对资源的正确使用 谁被授予有授权访问和同意使用的权力 谁可能拥有系统管理特权 用户的权利和责任是什么 系统管理员的权利和责任是什么 如何处理敏感信息 检测和监视系统运行检测和监视非授权活动反应策略 信息网络安全防御技术综述 Internet的特点多个网络的集合开放性 以TCP IP协议为核心和基础 不属于任何国家 组织或个人信息传输是跳跃式的 途径不确定用户不需了解网络底层结构可以通过PSTN拨号上网 应用日益普及丰富的 多样的网络资源网络文化与网络人 信息网络安全防御技术综述 Internet是不安全的网络是开放的共享信道 广播方式的信息传送各种协议的漏洞各种系统的漏洞因此 网络发展为我们带来历史机遇的同时 也带来巨大风险 Whataretheydoing 计算机和网络安全问题的防范 信息网络安全防御技术综述 信息网络安全的要求保密性 完整性 可用性 可控性 不可否认性信息网络安全的服务技术与机制加密与隐藏网络安全的目标Secrecy保密性Authenticity真实性Non repudiation不可否认性Integritycontrol完整性ControlPossibility可控性 信息网络安全防御技术综述 对信息传输安全的威胁被动攻击 窃听主动攻击 拦截 假冒 篡改 丢弃 对计算机中信息安全的威胁浏览 泄露 篡改 破坏 误删 计算机安全级别 1985 美国国防部 可信任计算机标准评估准则 TrustedComputerStandardsEvaluationCriteria 又称桔黄皮书 OrangeBook D1级 最低安全形式 没有保护 没有控制C1级 存在某种程度的保护 用户有注册名和口令C2级 除对用户权限进一步限制外 有身份验证与系统审计能力 信息网络安全防御技术综述 B1级 支持多级安全 如秘密和绝密 B2级 结构保护 所有对象都贴标签分配级别B3级 安全域级别 安装硬件来加强安全A级 最高安全级别 有严格的设计 控制和验证过程加密系统模型 加密密钥KE 加密算法E 解密算法D 解密密钥KB 明文信息M 明文信息M 密文信息C 被动窃听 主动攻击 不安全传输信道 信息网络安全防御技术综述 私有密钥加密系统 对称密钥系统 加密密钥和解密密钥一样 或可以互导DES DataEncryptionStandard 1977 美国用56位长的密钥加密64位长的数据块256 72 057 584 037 927 936约7 2亿亿IDEA InternationalDataEncryptionAlgorithm 用128位长的密钥加密64位长的数据块 1991 瑞士特点 运算速度快 不能做数字签名 信息网络安全防御技术综述 公开密钥加密系统 非对称密钥系统 加密密钥与解密密钥不同 不可互导 公开加密密钥不会危及解密密钥 可实现数字签名 RSA 典型的公钥加密系统 1978 美国公开 加密密钥e 模数n n pq p q为素数 秘密 解密密钥d p和q其中 edmod n 1加密 C Memodn C为密文 M为明文解密 M Cdmodn Medmodn M特点 安全性高 基于因数分解难度 可实现数字签名 运算速度低 信息网络安全防御技术综述 认证和身份鉴别机制认证机制 Authentication 认证通信双方 网络设备 网络用户消息接收者验证消息的合法性 真实性 完整性消息发送者不能否认所发消息任何人不能伪造合法消息数字签名 DigitalSignature 可使消息接收者能够验证消息的确来自合法用户的一种加密机制任何人不能伪造签字人的签名签字人无法否认自己的签名可用于身份认证和数据完整性控制 信息网络安全防御技术综述 身份鉴别验证用户知道什么 如口令 密钥等 验证用户拥有什么 如钥匙 徽标 IC卡等 验证用户的生理特征 如指纹 声纹等 验证用户的习惯动作 如笔迹等 审计完整性保护保证数据在存储或传输过程中不被非法修改 破坏或丢失主要手段是报文摘要技术 messagedigest MD 输入不定长数据 经过杂凑函数 Hash 通过各种变换 输出定长的摘要 标准有MD5 SHS等 信息网络安全防御技术综述 访问控制业务填充路由控制公证冗余和备份 信息网络安全防御技术综述 信息网络安全技术的产生与发展VPN虚拟专用网技术VirtualPrivateNetwork利用公共网络基础设施 构建安全 可靠 可控的属于自己的专用网络和安全通道 要求达到 安全性 流量控制 可操作性与可管理性PKI公开密钥基础设施认证中心 注册中心 证书持有者 用户 证书库 信息网络安全防御技术综述 有效的访问控制 防火墙什么是防火墙 防火墙是建立在两个网络的边界上的实现安全策略和网络通信监控的系统或系统组 强制执行对内部网和外部网的访问控制 通过建立一整套规则和策略来监测 限制 更改跨越防火墙的数据流 实现保护内部网络的目的 信息网络安全防御技术综述 防火墙的功能访问控制授权认证内容安全 病毒扫描 URL扫描 HTTP过滤加密路由器安全管理地址翻译均衡负载日志记帐 审计报警 信息网络安全防御技术综述 防火墙技术及实现基于IP包过滤的堡垒主机防火墙IP过滤路由器带双网络接口配置的堡垒主机 信息网络安全防御技术 代理服务器防火墙 ProxyServer 不允许外部网与内部网的直接通信 内外计算机应用层的连接由终止于ProxyServer上的连接来实现 信息网络安全防御技术 应用网关 ApplicationGateway 建立在网络传输层上基于主机的协议过滤 转发器 在用户和应用协议之间提供访问控制 代理服务与应用层网关的特点易于记录和控制所有进出通信对用户不透明 提供的服务有限 应用程序网关 信息网络安全防御技术 科大校园网络的做法包过滤防火墙代理服务器邮件收发权的审查用户权限限制IP地址与MAC地址的对应 绑定 和追踪系统补丁和端口控制系统备份和更新系统审计和日志严格的用户管理制度和网络管理条例 谢谢 Syang 3601540