信息安全-1.pptVIP

第一章 信息安全 信息工业在一个国家的国民经济中所占的比例反映了这个国家的经济和工业发展水平。对信息安全的认识和掌控程度不仅影响一个国家的根本利益，影响企业和个人的利益，同时也反映了一个国家的现代化程度。 本章内容 第1节 信息安全的概念 第2节 主机面临的安全性挑战 第3节 信息安全的标准 第4节 安全风险 第5节 信息与网络安全组件 第6节 安全策略的制定与实施 信息安全的概念（一） 信息安全包括五个基本要素 信息安全的概念（二） 机密性 确保信息不暴露给未授权的实体或进程 完整性 只有得到允许的人才能修改数据，并且能够判别出数据是否已被篡改 可用性 得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作 信息安全的概念（三） 可控性 可以控制授权范围内的信息流向及行为方式 可审查性 对出现的网络安全问题提供调查的依据和手段 信息和网络安全现状 在全球普遍存在信息安全意识欠缺的状况 国际上存在着信息安全管理不规范和标准不统一的问题 网络中存在的威胁（一） 非授权访问 没有预先经过同意，就使用网络或计算机资源被看作非授权访问。 信息泄漏或丢失 敏感数据在有意或无意中被泄漏出去或丢失。 网络中存在的威胁（二） 破坏数据完整性 以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应 恶意添加，修改数据，以干扰用户的正常使用 网络中存在的威胁（三） 拒绝服务攻击 不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。 网络中存在的威胁（四） 利用网络传播病毒 通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。 主机面临的安全性挑战 计算机的安全主要有以下两方面 主机安全：主要考虑保护合法用户对于授权资源的使用，防止非法入侵者对于系统资源的侵占与破坏 网络安全：主要考虑网络上主机之间的访问控制，防止来自外部网络的入侵，保护数据在网上传输时不被泄密和修改 主机网络安全 主机网络安全技术是一种主动防御的安全技术 结合网络访问的网络特性和操作系统特性来设置安全策略 可以根据网络访问的访问者及访问发生的时间、地点和行为来决定是否允许访问继续进行，实现对于同一用户在不同的场所拥有不同的权限 主机网络安全技术考虑的元素有IP地址、端口号、协议、甚至MAC地址等网络特性和用户、资源权限以及访问时间等操作系统特性 主机网络安全系统体系结构（一） 应用层 是网络访问的网络特性和操作系统特性的最佳结合点。通过对主机所提供服务的应用协议的分析，可以知道网络访问的行为，并根据用户设置的策略判断该行为在当前环境下是否允许；另外，可附加更严格的身份认证 主机网络安全系统体系结构（二） 传输层 是实现加密传输的首选层。对于使用了相同安全系统的主机之间的通信，可以实现透明的加密传输 主机网络安全系统体系结构（三） 网络层 是实现访问控制的首选层。通过对IP地址、协议、端口号的识别，能方便地实现包过滤功能 主机网络安全系统体系结构（四） 主机网络安全系统体系结构（五） 安全检查模块：承担了防火墙的任务，它对进出的包进行过滤，另外，还可以实现加密／解密 用户认证模块：对于必要的应用可以提供比操作系统提供的口令认证更高安全性的认证 主机网络安全系统体系结构（六） 内部资源访问控制：主要是对网络用户的权限进行控制、进行细致的分类控制，跟踪并及时阻止非法行为，防止用户利用系统的安全漏洞所进行的攻击 外部资源访问控制：是控制用户对系统之外网络资源的使用 主机网络安全技术难点分析（一） 如何将防火墙模块与操作系统配合起来协同工作，是主机网络安全技术的难点 主机网络安全技术难点分析（二） 解决问题的途径 将主机网络安全系统内置在操作系统中 修改网络协议栈（插入防火墙模块）和网络服务器软件（引入细粒度控制） 修改主机系统函数库中的相关系统调用，引入安全控制机制 信息安全的标准 国外网络安全标准与政策现状 美国TCSEC（桔皮书） 欧洲ITSEC 加拿大CTCPEC 美国联邦准则（FC） 联合公共准则（CC） ISO安全体系结构标准 ISO7498-2安全标准（一） ISO7498-2提供了以下五种可选择的安全服务 认证 访问控制 数据必威体育官网网址 数据完整性 防止否认 ISO7498-2安全标准（二） 身份认证：身份认证是授权控制的基础 授权控制：控制不同用户对信息资源访问权限，对授权控制的要求主要有 一致性，也就是对信息