1.15k likes | 1.37k Views
计算机系统与网络安全 Computer System and Network Security. 电子科技大学 计算机科学与工程学院. 第 1 章 概论. 引言. 信息与信息技术. 安全与信息安全. 威胁与攻击. 总结. 第 1 章 概论. 引言. 信息与信息技术. 安全与信息安全. 威胁与攻击. 总结. 计算机专业人员必须掌握的专业知识. 数学基础 操作系统 数据结构 计算机网络 程序设计及语言 软件工程. 计算机体系结构 通信网原理 信号与系统 电路设计 控制理论与控制系统设计 ……. 问题. 什么是信息安全专业人才?.
E N D
计算机系统与网络安全Computer System and Network Security 电子科技大学 计算机科学与工程学院
第1章 概论 引言 信息与信息技术 安全与信息安全 威胁与攻击 总结
第1章 概论 引言 信息与信息技术 安全与信息安全 威胁与攻击 总结
计算机专业人员必须掌握的专业知识 • 数学基础 • 操作系统 • 数据结构 • 计算机网络 • 程序设计及语言 • 软件工程 • 计算机体系结构 • 通信网原理 • 信号与系统 • 电路设计 • 控制理论与控制系统设计 • ……
问题 • 什么是信息安全专业人才?
信息安全专业与计算机专业人才的区别与联系 • 首先,信息安全专业人才必须具备计算机专业人才的基本素质; • 其次,信息安全专业人才还应该具备以下特殊知识和技能: • 通信保密知识 • 计算机网络安全防护知识和技能 • 熟知安全各类安全设备和安全系统 • 熟知国内外信息安全标准、法律、法规和发展动态
信息安全主要研究领域(续) • 从不同的角度看,信息安全研究领域也不尽相同 • 信息安全是一个新型学科,它本身也处于发展时期 • 信息安全应该为视为一个交叉学科 • 计算机科学 • 通信科学 • 数学科学 • 电子工程
信息安全主要研究领域(续) • 从信息安全学科领域来看,它包括 • 通信网络的安全 • 计算机网络的安全
信息安全主要研究领域(续) • 通信网络的安全 • 数据保密通信 • 数据编码 • 数据加密 • 加密/解密算法 • 加密/解密设备 • 数据压缩 • 数据安全传输
信息安全主要研究领域(续) • 计算机网络的安全 • 网络安全 • 协议 • 设施 • 主机安全 • 操作系统安全 • 应用安全 • 数据库安全
信息安全主要研究领域(续) • 从信息安全理论和技术来看,它包括: • 密码理论与技术 • 认证与识别理论与技术 • 授权与访问控制理论与技术 • 审计追踪技术 • 网络隔离与访问代理技术 • 安全管理与安全工程理论与技术 • 反病毒技术
信息安全主要研究领域(续) • 从信息对抗角度来看,它包括: • 安全保障 • 安全保障体系结构 • 安全保障技术 • 预警 • 保护 • 检测 • 防御 • 响应 • 恢复 • 安全保障系统
信息安全主要研究领域(续) • 从信息对抗角度来看,它包括 • 安全攻击 • 攻击机理技术 • 攻击工具 • 安全审计躲避技术
信息安全主要研究领域(续) • 从产品角度来看,信息安全包括: • 信息保密产品 • 用户认证授权产品 • 安全平台/系统 • 网络安全检测监控设备
信息保密产品 安全授权认证产品 安全平台/系统 安全检测与监控产品 网 情 分 析 系 统 密 码 加 密 产 品 密 钥 管 理 产 品 高 性 能 加 密 芯 片 产 品 数 字 签 名 产 品 数 字 证 书 管 理 系 统 用 户 安 全 认 证 卡 智 能 IC 卡 鉴 别 与 授 权 服 务 器 安 全 操 作 系 统 安 全 数 据 库 系 统 Web 安 全 平 台 安 全 路 由 器 与 虚 拟 专 用 网 络 产 品 网 络 病 毒 检 查 预 防 和 清 除 产 品 网 络 安 全 隐 患 扫 描 检 测 工 具 网 络 安 全 监 控 及 预 警 设 备 网 络 信 息 远 程 监 控 系 统 信息安全主要研究领域(续) 引自北京大学网络与信息安全研究所
信息安全主要研究领域(续) • 最后,作为信息安全产品不要忘记网络入侵工具及系统。
第1章 概论 引言 信息与信息技术 安全与信息安全 威胁与攻击 总结
信息 • 信息不同于一般的理解: • 信息与消息 • 信息与信号 • 信息与数据 • 信息与情报 • 信息与知识
信息(续) • 信息的定义: • 信息是事物运动的状态和状态的变化方式 • 信息的特征: • 信息与物质 • 信息与精神 • 信息与能量
什么是信息化? • 信息革命--《第三次浪潮》 三次伟大的生产力革命 第一是农业革命 第二是工业革命 第三是信息革命 • (USA) A. Toffler 指出:计算机网络的建立与普及将彻底地改变人类的生存及生活模式,而控制与把握网络的人就是人类未来命运的主宰.谁掌握了信息,控制了网络,谁就拥有整个世界。
什么是信息化?(续) • 信息化是以通信和计算机为技术基础,以数字化和网络化为技术特点。它有别于传统的信息获取、存储、传输、交换、处理、使用,从而也给现代社会的正常发展带来了前所未有的风险和威胁。
信息传递 (通信) 信息认知->信息再生 (计算机) 信息传递 (通信) 信息获取 (感测) 外部世界 信息实效 (控制) 信息技术 • 信息技术(IT:Information Technology)的内涵 • IT=Computer+Communication+Control
第1章 概论 引言 信息与信息技术 安全与信息安全 威胁与攻击 总结
安全需求与策略 信息 安全服务 计算机系统 攻击者 安全机制 攻击与防范
基本概念 • 计算机系统(Computer System) • 是由计算机及其相关配套的设备、设施等构成的,并按一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统 • 安全(Security) • 远离危险的状态或特性
基本概念(续) • 安全的主要属性 • 完整性 • 保密性 • 可用性 • 不可抵赖性 • 可靠性 • 安全的其他属性 • 可控性 • 可审查性 • 认证 • 访问控制
基本概念(续) • 计算机安全( Computer Security ) • 是保护数据阻止黑客行为的一组工具的总称 • 网络安全(Network Security) • 保护数据传输的方法或措施的总称 • Internet安全(Internet Security) • 保护互联网上数据传输的方法或措施的总称 • 何为信息安全(Information Security)?
信息安全的含义(60年代) • 通信的保密模型通信安全-60年代(COMSEC) 敌人 信源编码 信道编码 信道传输 通信协议 密码 收方 发方
信息安全的含义(80-90年代) • 信息安全的三个基本方面 • 机密性 Confidentiality • 保证信息为授权者享用而不泄漏给未经授权者。 • 完整性 Integrity • 数据完整性,未被未授权篡改或者损坏 • 系统完整性,系统未被非授权操纵,按既定的功能运行 • 可用性 Availability • 保证信息和信息系统随时为授权者提供服务,而不要出现非授权者滥用却对授权者拒绝服务的情况。
信息安全的含义(80-90年代) • 信息安全的其他方面 • 信息的不可否认性(Non-repudiation) 要求无论发送方还是接收方都不能抵赖所进行的传输 • 鉴别(Authentication) 鉴别就是确认实体是它所声明的。适用于用户、进程、系统、信息等 • 审计(Accountability) • 确保实体的活动可被跟踪 • 可靠性(Reliability) • 特定行为和结果的一致性
信息安全的含义(80-90年代) 安全需求的多样性 • 保密性 • 一致性 • 可用性 • 可靠性 • 可认证,真实性 • 责任定位,审计性 • 高性能 • 实用性 • 占有权 • ……
保护 Protect 检测 Detect 反应 React 恢复 Restore 信息安全的含义(90年代以后) • 美国人提出的概念:信息保障(Information Assurance) • 保护(Protect) • 检测(Detect) • 反应(React) • 恢复(Restore)
信息安全的实现 • 内容 • 信息安全技术 • 信息加密、数字签名、数据完整性、身份鉴别、访问控制、安全数据库、网络安全、病毒、安全审计、业务填充、路由控制、公证机制等 • 信息安全管理 • 信息安全法律与标准
第1章 概论 引言 信息与信息技术 安全与信息安全 安全体系结构 威胁与攻击 总结
安全体系结构 • 安全体系结构(Security Architecture) • 安全体系结构是指对信息和信息系统安全功能的抽象描述,是从整体上定义信息及信息系统所提供的安全服务、安全机制以及各种安全组件之间的关系和交互。 • 用于防御安全攻击的硬件或者软件方法、方案或系统
安全体系结构(续) • 安全体系结构的内容 • 风险分析 • 安全策略设计 • 安全服务与安全机制设计 • 安全服务部署
风险分析 安全策略设计 安全服务与安全机制设计 安全服务与安全机制的关系 安全服务部署 安全体系结构(续) 策略是基础
风险分析 安全策略设计 安全服务与安全机制设计 安全服务与安全机制的关系 安全服务部署 安全体系结构(续)
安全策略 • 安全域(Security Zone ) • 属于一个组织的资源集合 • 安全策略(Security Policy) • 属于安全域的一组规则
安全策略(续) • 含义:什么是允许的,什么是不允许的。 • 两种方法: • 凡是没有被具体规定的,就是允许的 • 凡是被具体规定的,就是不允许的 • 安全策略包括: • 制度 • 技术 • 管理 • 三分技术,七分管理
Determine the Policy Scope Review and Revise Policy Obtain Executive Level Support Distribute Policy Conduct Business Impact Analysis Stakeholder Policy review Interview Key Employees Draft 如何定义安全策略
如何定义安全策略(续) • 设计方法与过程 资源 威胁 其他因素 安全服务 安全目标 安全机制 安全需求 策略 ?
设计安全策略的其他问题 • 管理问题(Operational Issues) • 人员问题(Human Issues)
管理问题 • 成本效益分析(Cost-Benefit Analysis) • 效益 vs.总成本 • 风险分析(Risk Analysis) • 我们要保护什么? • 保护这些东西需要多大的代价? • 随着环境和时间的变化,代价会改变
管理问题(续) • 法律与风俗(Laws and Customs) • 所采用的安全防御措施合法吗? • 公司职员愿意接受吗? • 法律和风俗将影响技术的可用性
人员问题 • 公司的问题 • 职权与责任 • 经济利益 • 人员问题 • 外部用户与内部用户 • 哪一类威胁更大? • 社交工程(Social engineering)
风险分析 安全策略设计 安全服务与安全机制设计 安全服务与安全机制的关系 安全服务部署 安全体系结构
风险管理 • 风险管理: • 是用于分析信息系统的威胁和脆弱性,以及资源或系统功能失效所带来的影响的过程 • 如何进行风险管理? • 列出威胁及脆弱性 • 列出可能的控制方法和相应成本 • 进行成本分析 • 控制所需要的成本是否大于资源损失所带来的成本 ?
风险管理(续) • 风险分析的结果是采取有效防御措施的主要依据之一 • 依据风险分析的结果制定安全计划