網(wǎng)絡(luò)與信息安全簡介.ppt

1 網(wǎng)絡(luò)與信息安全 2 參考教材 1 計算機網(wǎng)絡(luò)安全 鄧亞平 人民郵電出版社 2004年 2 周廣學(xué)等信息安全學(xué) 機械工業(yè)出版社2008年 3 WilliamStallings CryptographyandNetworkSecurity PrinciplesandPractice SecondEdition TsinghuaUniversityPressandPrentice Hall 2002 3 信息安全技術(shù)介紹 一信息安全的內(nèi)涵二信息安全的主要研究方向及研究內(nèi)容三信息安全技術(shù)發(fā)展趨勢四國家信息安全教育現(xiàn)狀 4 國外信息安全學(xué)科現(xiàn)狀 1995年 美國國家安全局NationalSecurityAgency委任CMU CarnegieMellonUniversity 成立信息安全學(xué)術(shù)人才中心 提高高校信息安全人才培養(yǎng)能力至2003年9月 有50多所教育機構(gòu)被認(rèn)定為這種中心 包括44所高等院校和4所國防院校 2009年10月正式成立 網(wǎng)絡(luò)作戰(zhàn)司令部 計劃招聘4000名黑客 組建特種部隊 5 網(wǎng)絡(luò)安全與國家安全 2009年10月正式成立 網(wǎng)絡(luò)作戰(zhàn)司令部 計劃招聘4000名黑客 組建特種部隊 2011在5月25日舉行的中國國防部例行記者會上 國防部發(fā)言人耿雁生指出 解放軍根據(jù)訓(xùn)練的需要 為提高部隊的網(wǎng)絡(luò)安全防護水平而設(shè)立了 網(wǎng)絡(luò)藍軍 6 我國信息安全學(xué)科的發(fā)展歷史 在2000年以前 只有軍事院校有信息安全專業(yè) 2001年武漢大學(xué)建立了第一個本科信息安全專業(yè) 到2009年已經(jīng)有70多所大學(xué)有了信息安全專業(yè) 2007年1月 教育部信息安全類專業(yè)教學(xué)指導(dǎo)委員會 成立 7 一信息安全的內(nèi)涵 信息安全學(xué)科是研究信息獲取 信息存儲 信息傳輸及信息處理領(lǐng)域的信息安全保障問題的一門新興學(xué)科 8 傳統(tǒng)的信息安全思想 強調(diào)數(shù)據(jù)的本身的安全信息的保密性信息的完整性信息的可用性 9 信息系統(tǒng)安全 設(shè)備安全數(shù)據(jù)安全內(nèi)容安全行為安全 10 二信息安全的主要方向及研究內(nèi) 2 1密碼學(xué)2 2網(wǎng)絡(luò)安全2 3信息系統(tǒng)安全2 4其他安全主題 11 2 1密碼學(xué) 對稱密碼公鑰密碼Hash函數(shù)新型密碼 生物密碼 量子密碼等 12 密碼學(xué)的任務(wù) 數(shù)據(jù)加密數(shù)字簽名數(shù)據(jù)完整性 13 2 2網(wǎng)絡(luò)安全 網(wǎng)絡(luò)信息安全所面臨的威脅計算機網(wǎng)絡(luò)信息安全所存在的缺陷怎樣實現(xiàn)網(wǎng)絡(luò)信息安全與保密網(wǎng)絡(luò)安全研究熱點 14 網(wǎng)絡(luò)信息安全所面臨的威脅 人為的威脅 惡意的攻擊或稱為黑客攻擊 自然的威脅 惡劣的環(huán)境 電磁干擾 設(shè)備老化 各種自然災(zāi)害等 15 惡意攻擊特征 智能性 具有專業(yè)技術(shù)和操作技能 精心策劃 嚴(yán)重性 造成巨額的經(jīng)濟損失 或軍政的失密 隱蔽性 不留犯罪現(xiàn)場 不易引起懷疑 作案的技術(shù)難度大 也難以破案 多樣性 攻擊的領(lǐng)域多 在同一領(lǐng)域內(nèi)攻擊的手段多 例如在電子商務(wù)和電子金融領(lǐng)域 包括偷稅 漏稅 洗錢等 網(wǎng)絡(luò)犯罪集團化與國際化 16 主動攻擊和被動攻擊 主動攻擊是以各種方式有選擇地破壞信息 如 修改 刪除 偽造 添加 重放 亂序 冒充 制造病毒等 被動攻擊是指在不干擾網(wǎng)絡(luò)信息系統(tǒng)正常工作的情況下 進行偵收 截獲 竊取 破譯 業(yè)務(wù)流量統(tǒng)計分析及電磁泄露 非法瀏覽等 17 具有代表性的惡意攻擊 信息戰(zhàn) 這是一種以獲得控制信息權(quán)為目標(biāo)的戰(zhàn)爭 以美國為首的北約集團對南斯拉夫進行野蠻轟炸之前就先進行了一場信息戰(zhàn) 商業(yè)間諜 利有Internet收集別國或別公司的商業(yè)情報 竊聽 搭線竊聽易實現(xiàn) 但不易被發(fā)現(xiàn) 流量分析 對網(wǎng)上信息流的觀察與分析 獲得信息的傳輸數(shù)量 方向 頻率等信息 破壞完整性 對數(shù)據(jù)進行增 刪 改等攻擊 重發(fā) 重發(fā)報文或報文分組是取得授權(quán)的一種手段 18 具有代表性的惡意攻擊 假冒 當(dāng)一個實體假扮成另一個實體時 就發(fā)生了假冒 拒絕服務(wù) 當(dāng)一個被授權(quán)的合法實體不能獲得網(wǎng)絡(luò)資源的時候 或當(dāng)一個緊急操作被推遲時 就發(fā)生了拒絕服務(wù) 資源的非法授權(quán)使用 干擾 由一個站點產(chǎn)生干擾數(shù)據(jù)擾亂其他站點所提供的服務(wù) 頻繁的電子郵件信息就是一例 病毒 全世界已發(fā)現(xiàn)上萬種計算機病毒 構(gòu)成了對計算機網(wǎng)絡(luò)的嚴(yán)重威脅 誹謗 利用網(wǎng)絡(luò)信息系統(tǒng)的互連性和匿名性 發(fā)布誹謗信息 19 計算機網(wǎng)絡(luò)信息安全所存在的缺陷 數(shù)據(jù)通信中的缺陷計算機硬件資源中的缺陷計算機軟件資源中的缺陷數(shù)據(jù)資源中的缺陷 20 1 數(shù)據(jù)通信中的缺陷 非法用戶通過搭線竊聽 侵入網(wǎng)內(nèi)獲得信息 甚至插入 刪除信息 對于無線信道 所受到的被動攻擊幾乎是不可避免的 計算機及其外圍設(shè)備在進行數(shù)據(jù)的處理和傳輸時會產(chǎn)生電磁泄漏 即電磁輻射 從而導(dǎo)致了信息泄漏 在有線信道中 由于信道間寄生參數(shù)的交叉耦合 產(chǎn)生了串音 串音不但造成誤碼率增加 而且也會引起信息泄漏 采用光纖信道可避免這種情況 21 2 計算機硬件資源的缺陷 在我國集成電路芯片基本依賴進口 還引進了一些網(wǎng)絡(luò)設(shè)備 如交換機 路由器 服務(wù)器 甚至防火墻等 這些芯片或設(shè)備中可能隱藏一些信息安全隱患 有些是惡意的 22 3 軟件漏洞 陷門 所謂陷門是一個程序模塊的秘密未記入文檔的入口 常見的陷門實例有 邏輯炸彈遙控旁路遠程維護非法通信貪婪程序 23 軟件漏洞 操作系統(tǒng)的安全漏洞輸入 輸出非法訪問訪問控制的混亂不完全的中介操作系統(tǒng)陷門數(shù)據(jù)庫的安全漏洞 24 4 TCP IP協(xié)議的安全漏洞 脆弱的認(rèn)證機制容易被竊聽或監(jiān)視易受欺騙有缺陷的服務(wù)復(fù)雜的設(shè)置與控制無保密性的IP地址 25 5 網(wǎng)絡(luò)軟件與網(wǎng)絡(luò)服務(wù)的漏洞 Finger的漏洞匿名FTPTFTPTelnetE mail 26 6 口令設(shè)置的漏洞 口令是網(wǎng)絡(luò)信息系統(tǒng)中最常用的安全與保密措施之一 由于用戶謹(jǐn)慎設(shè)置與使用口令的不多 這就帶來了信息安全隱患 對口令的選擇有以下幾種不適當(dāng)之處 用 姓名 數(shù)字 作口令 或用生日作口令用單個單詞或操作系統(tǒng)的命令作口令多個主機用同一個口令只使用小寫英文字母作口令 27 網(wǎng)絡(luò)信息安全與保密的措施 重視安全檢測與評估安全檢測與評估可靠性檢測與評估操作系統(tǒng)評測保密性的檢測與評估建立完善的安全體系結(jié)構(gòu)OSI的安全服務(wù)OSI的安全機制確定網(wǎng)絡(luò)信息安全系統(tǒng)的設(shè)計原則網(wǎng)絡(luò)信息安全系統(tǒng)的設(shè)計與實現(xiàn)制定嚴(yán)格的安全管理措施強化安全標(biāo)準(zhǔn)與制定國家信息安全法 28 網(wǎng)絡(luò)安全研究熱點 通信安全協(xié)議安全網(wǎng)絡(luò)防護 防火墻入侵檢測攻擊相應(yīng)網(wǎng)絡(luò)可生存性可信網(wǎng)絡(luò) 29 2 3信息系統(tǒng)安全 安全威脅設(shè)備安全硬件系統(tǒng)安全軟件系統(tǒng)安全訪問控制可信計算信息安全等級保護應(yīng)用信息系統(tǒng)安全 30 2 4其他安全主題 計算機機取證學(xué)計算機系統(tǒng)安全數(shù)據(jù)庫安全病毒學(xué) 木馬 蠕蟲軟件安全測評網(wǎng)絡(luò)安全測評信息隱藏學(xué) 數(shù)字水印 版權(quán)保護 31 抽象化 可信化 網(wǎng)絡(luò)化 集成化 基于網(wǎng)絡(luò)的安全技術(shù)是未來信息安全技術(shù)的發(fā)展方向 三 信息安全技術(shù)發(fā)展趨勢 標(biāo)準(zhǔn)化 32 1 抽象化 公理化研究方法逐步成為信息安全的基本研究工具 密碼學(xué) 算法可證明安全性理論 分析方法 檢測評估方法安全協(xié)議 協(xié)議可證明安全性理論 形式化分析方法系統(tǒng)安全 安全模型 高安全等級系統(tǒng)理論 復(fù)雜系統(tǒng)安全理論網(wǎng)絡(luò)安全 安全體系結(jié)構(gòu) 大規(guī)模入侵檢測理論 網(wǎng)絡(luò)的可生存性理論應(yīng)用安全 安全基礎(chǔ)設(shè)施 如PKI等 的自身安全性理論 新技術(shù)應(yīng)用帶來的安全問題 33 2 可信化 從傳統(tǒng)計算機安全理念過渡到以可信計算理念為核心的計算機安全 近年來計算機安全問題愈演愈烈 傳統(tǒng)安全理念很難有所突破 人們試圖利用可信計算的理念來解決計算機安全問題 其主要思想是在硬件平臺上引入安全芯片 從而將部分或整個計算平臺變?yōu)?可信 的計算平臺 很多問題需要研究和探索 如 基于TCP的訪問控制基于TCP的安全操作系統(tǒng)基于TCP的安全中間件基于TCP的安全應(yīng)用 34 3 網(wǎng)絡(luò)化 網(wǎng)絡(luò)應(yīng)用和普及仍然會進一步引發(fā)安全技術(shù)的創(chuàng)新發(fā)展 由網(wǎng)絡(luò)應(yīng)用和普及引發(fā)的技術(shù)和應(yīng)用模式的變革推動著已成型的信息安全關(guān)鍵技術(shù)的進一步創(chuàng)新 并誘發(fā)新技術(shù)和應(yīng)用模式的出現(xiàn) 如 安全基礎(chǔ)設(shè)施 PKI PMI KMI 安全中間件安全管理與安全監(jiān)控應(yīng)急響應(yīng)與處理網(wǎng)絡(luò)病毒和垃圾郵件防范網(wǎng)絡(luò)可生存性網(wǎng)絡(luò)信任 35 4 標(biāo)準(zhǔn)化 從發(fā)達國家和地區(qū)高度重視過渡到世界各國高度重視 逐步體現(xiàn)專利標(biāo)準(zhǔn)化 標(biāo)準(zhǔn)專利化的觀點 由于信息安全技術(shù)與產(chǎn)品的廣泛應(yīng)用 政府 產(chǎn)業(yè)界 學(xué)術(shù)界等必將更加高度重視信息安全標(biāo)準(zhǔn)的研究與制定 也必將形成信息安全標(biāo)準(zhǔn)體系 技術(shù)標(biāo)準(zhǔn)的研究與制定工作將得到進一步的深化和細化 如 密碼算法類標(biāo)準(zhǔn) 如加密算法 簽名算法 密碼算法接口安全認(rèn)證與授權(quán)類標(biāo)準(zhǔn) 如PKI PMI 生物認(rèn)證安全評估類標(biāo)準(zhǔn) 如安全評估準(zhǔn)則 方法 規(guī)范系統(tǒng)與網(wǎng)絡(luò)類安全標(biāo)準(zhǔn) 如安全體系結(jié)構(gòu) 安全操作系統(tǒng) 安全數(shù)據(jù)庫 安全路由器 可信計算平臺安全管理類標(biāo)準(zhǔn) 如防信息泄漏 質(zhì)量保證 機房設(shè)計 36 5 集成化 從單一功能的信息安全技術(shù)與產(chǎn)品向多種功能的或融于某一信息產(chǎn)品的信息安全技術(shù)與產(chǎn)品的方向發(fā)展 隨著信息安全需求的日益增長 微軟 英特爾等信息產(chǎn)業(yè)巨頭 利用其信息基礎(chǔ)產(chǎn)業(yè)發(fā)達的優(yōu)勢 注重信息安全技術(shù)與產(chǎn)品的集成化 在其操作系統(tǒng) 應(yīng)用平臺 CPU中捆綁信息安全關(guān)鍵技術(shù)產(chǎn)品 以圖壟斷信息安全技術(shù)和產(chǎn)品市場 如基于TCP的PC VIST操作系統(tǒng) 安全產(chǎn)品呈硬件化 芯片化發(fā)展趨勢 更高的安全度與更高的運算速率 更靈活的安全芯片的實現(xiàn)技術(shù) 強調(diào)安全芯片特別是密碼芯片的物理防護機制 37 安全測試評估 可生存性 網(wǎng)絡(luò)監(jiān)控與安全管理病毒與垃圾信息防范應(yīng)急響應(yīng)與數(shù)據(jù)恢復(fù) 可信計算逆向分析與可控性密碼與認(rèn)證授權(quán)高安全等級系統(tǒng) 國家網(wǎng)絡(luò)基礎(chǔ)設(shè)施和重要信息系統(tǒng) 網(wǎng)絡(luò)和系統(tǒng)的生存能力 主動實時防護能力 安全產(chǎn)品和系統(tǒng)的測試評估能力 網(wǎng)絡(luò)和系統(tǒng)的自主可控能力 動態(tài)性 可控性 高效性 復(fù)雜性 信息安全技術(shù)重點發(fā)展方向 38 四國際信息安全教育現(xiàn)狀 辦學(xué)思路方面 信息安全科研活躍的高效設(shè)立相關(guān)課程 但體系性不強信息安全知識滲透到已有各個專業(yè)講解細致 事例豐富低年級涉及專業(yè)的目的意義 并通過動手實踐能力的培養(yǎng)激發(fā)學(xué)生興趣賓州大學(xué)的一年級的課程 UndergraduateResearch IndependentStudy InformationTechnologyandItsImpactonSociety 芝加哥大學(xué)的WebDesign Aesthetics lang高年級注重學(xué)生知識面的拓展 開辦講座 約2小時 研究方向研討會等 39 美國信息安全短訓(xùn)課程I 1 UnderstandingtheBusinessImpactofSecurity2 IntroductiontoEthics3 IntroductiontoFirewalls 4 HackerTechniques5 IntroductiontoINFOSEC6 IntrusionDetection 40 美國信息安全短訓(xùn)課程II 7 IntranetandExtranetSecurity8 BasicNTSecurity9 WritingtheFundamentalsofaSitePolicy10 DisasterRecoveryandBusinessContinuityRiskAnalysisUNIX NTIntegrationStudyWebServerAdministration 41 美國信息安全本科課程I 1 CMSC 201ComputerScienceIforMajors2 CMSC 202ComputerScienceIIforMajors3 CMSC 311IntroductiontoComputerOrganization4 CMSC 341DataStructures5 CMSC 345SoftwareDesignandDevelopment6 CMSC 411ComputerArchitecture7 CMSC 421PrinciplesofOperatingSystems 42 美國信息安全本科課程II 8 CMSC 442InformationandCodingTheory9 CMSC 443Cryptology10 CMSC 481ComputerNetworks11 CMSC 482ComputerSystemsSecurity12 CMSC 491 NSpecialTopicsinComputerScience NetworkSecurity13 CMSC 491 QSpecialTopicsinComputerScience QuantumComputation 43 美國信息安全碩士課程I 1 CMSC 652CryptographyandDataSecurity2 CMSC 653CodingTheoryandApplications3 SpecialTopicsinComputerScience SeminarinCryptology4 SpecialTopicsinComputerScience ElectronicCommerce5 SpecialTopicsinComputerScience InternetSecurity6 SpecialTopicsinComputerScience NetworkSecurity 44 美國信息安全碩士課程II 7 SpecialTopi