网络与系统安全实验.ppt

网络与系统安全实验,2019/11/14,西安电子科技大学计算机学院,2,本节课程内容,上课的要求！ 怎么考核？,2019/11/14,西安电子科技大学计算机学院,3,上课的要求,关于纪律 关于点名,2019/11/14,西安电子科技大学计算机学院,4,怎么考核？,方式： 课堂讲授课外阅读 设计实验 实验报告 考核： 课堂考核(50%) 实验报告(50%),2019/11/14,西安电子科技大学计算机学院,5,三个关键概念,计算机安全（Computer Security） 对于一个自动化的信息系统，采取保护措施确保信息系统资源（包括硬件、软件、固件、信息/数据和通信）的保密性、完整性、可用性。NIST计算机安全手册 网络安全（ Network Security ） 保护数据在传输中安全的方法 系统安全（ System Security ） 操作系统安全,2019/11/14,西安电子科技大学计算机学院,6,网络安全的核心需求,网络安全核心地位的三个关键目标 保密性（Confidentiality） 数据保密性 隐私性 完整性（Integrity）（包括不可否认性、真实性） 数据完整性 系统完整性 可用性（Availability） 真实性（Authenticity） 可追朔性（Accountability）,2019/11/14,西安电子科技大学计算机学院,7,课程内容,第一部分 对称密码 第二部分 公钥密码 第三部分 网络安全 密码算法和安全协议的应用，用户认证、电子邮件、IP安全和Web安全 第四部分 系统安全 系统安全措施，入侵、病毒和防火墙技术,2019/11/14,西安电子科技大学计算机学院,8,学习目标,理解信息安全的基本原理和技术; 了解一些最新研究成果; 掌握网络与信息安全的理论基础,具备研究与实践的基本能力。,2019/11/14,西安电子科技大学计算机学院,9,引 言,2019/11/14,西安电子科技大学计算机学院,10,网络安全现状,Internet一方面成为人们离不开的信息工具，同时也成为公开的攻击对象目标。 网络的全球性、开放性、无缝连通性、共享性、动态性，使任何人都可以自由地接入Internet，其中有善者，也有恶者。 恶意者时刻在试图穿透别人的系统，捣毁别人的信箱、散布破坏性信息、倾泻信息拉圾。,2019/11/14,西安电子科技大学计算机学院,11,Email,Web,ISP门户网站,复杂程度,时间,Internet 变得越来越重要,2019/11/14,西安电子科技大学计算机学院,12,网络安全问题日益突出,2019/11/14,西安电子科技大学计算机学院,13,2019/11/14,西安电子科技大学计算机学院,14,到底是谁在攻击网络？ 通过什么样的手段攻击网络？,2019/11/14,西安电子科技大学计算机学院,15,Who is Attacking Systems?,2019/11/14,西安电子科技大学计算机学院,16,安全攻击,攻击/威胁？ 攻击的类型 被动攻击 主动攻击,2019/11/14,西安电子科技大学计算机学院,17,被动攻击（1）,2019/11/14,西安电子科技大学计算机学院,18,被动攻击（2）,是在未经用户同意和认可的情况下将信息或数据文件泄露给系统攻击者，但不对数据信息做任何修改。 常见手段： 搭线监听； 无线截获； 其他截获。 不易被发现。 重点在于预防 ，如使用虚拟专用网（VPN）、采用加密技术保护网络以及使用加保护的分布式网络等。,2019/11/14,西安电子科技大学计算机学院,19,主动攻击（1）,2019/11/14,西安电子科技大学计算机学院,20,主动攻击（2）,涉及某些数据流的篡改或虚假流的产生。 通常分为： 假冒； 重放； 篡改消息； 拒绝服务。 能够检测出来。 不易有效防止，具体措施包括自动审计、入侵检测和完整性恢复等。,2019/11/14,西安电子科技大学计算机学院,21,安全机制,要具备检测、防御或从安全攻击中恢复的能力 没有单一的机制能够提供所有的安全服务 一个机制往往构成其它安全机制的基础，如: 加密技术,2019/11/14,西安电子科技大学计算机学院,22,网络安全模型,2019/11/14,西安电子科技大学计算机学院,23,网络安全模型,设计安全服务应包含四个方面内容： 设计执行安全相关传输的算法 产生算法所使用的秘密信息 设计分配和共享秘密信息的方法 指明通信双方使用的协议，该协议利用安全算法和秘密信息实现安全服务,2019/11/14,西安电子科技大学计算机学院,24,网络访问安全模型,2019/11/14,西安电子科技大学计算机学院,25,网络访问安全模型,需要做到: 选择合适的门卫功能以识别用户 实现安全控制以确保只有授权用户才可以访问被指定的信息或资源 可信计算机系统,2019/11/14,西安电子科技大学计算机学院,26,国外网络安全标准（1）,美国国防部TCSEC可信计算机系统标准评估准则(桔皮书)。 该标准是美国国防部制定80年代的。它将安全分为4个方面:安全政策、可说明性、安全保障和文档。在美国国防部虹系列(Rainbow Series)标准中有详细的描述。该标准将以上4个方面分为7个安全级别,从低到高依次为D、C1、C2、B1、B2、B3和A1级： A1级：验证设计级； B3级：安全域级 B2级：结构化保护级 B1级：标记安全保护级 完全可信网络安全（B1、B2、B3）； C2级：受控存取保护级； C1级：自主安全保护剂 D级：不可信网络安全。 问题：以保密和单点机为主。,2019/11/14,西安电子科技大学计算机学院,27,国外网络安全标准（2）,欧洲ITSEC 与TCSEC不同,它并不把保密措施直接与计算机功能相联系,而是只叙述技术安全的要求,把保密作为安全增强功能。另外,TCSEC把保密作为安全的重点,而ITSEC则把完整性、可用性与保密性作为同等重要的因素。ITSEC定义了从E0级(不满足品质)到E6级(形式化验证)的7个安全等级,对于每个系统,安全功能可分别定义。ITSEC预定义了10种功能,其中前5种与桔皮书中的C1-B3级非常相似。,2019/11/14,西安电子科技大学计算机学院,28,国外网络安全标准（3）,加拿大CTCPEC 该标准将安全需求分为4个层次:机密性、完整性、可靠性和可说明性。对产品和评估过程强调功能和保证。分为7个保证级，通常称为EAL-1到EAL-7。 美国联邦准则(FC) 该标准参照了CTCPEC及TCSEC,其目的是提供TCSEC的升级版本,同时保护已有投资,但FC有很多缺陷,是一个过渡标准,后来结合ITSEC发展为联合公共准则CC。,2019/11/14,西安电子科技大学计算机学院,29,国外网络安全标准（4）,信息技术安全评价通用准则(CC) CC的目的是想把已有的安全准则结合成一个统一的标准。该计划从1993年开始执行,1996年推出第一版。CC结合了FC及ITSEC的主要特征,它强调将安全的功能与保障（安全功能的可信度）分离,并将功能需求分为11类 63族,将保障分为7类 29族。 99.7通过国际标准化组织认可,为ISO/IEC 15408信息技术安全评估准则。,2019/11/14,西安电子科技大学计算机学院,30,国外网络安全标准（5）,ISO安全体系结构标准 在安全体系结构方面,ISO制定了国际标准ISO7498-2-1989信息处理系统开放系统互连基本参考模型第2部分安全体系结构。该标准为开放系统互连(OSI)描述了基本参考模型,为协调开发现有的与未来的系统互连标准建立起了一个框架。其任务是提供安全服务与有关机制的一般描述,确定在参考模型内部可以提供这些服务与机制的位置。,2019/11/14,西安电子科技大学计算机学院,31,国外网络安全标准（6）,信息保障技术框架(IATF)。 安全观点的演变：,2019/11/14,西安电子科技大学计算机学院,32,国外网络安全标准（7）,信息保障技术框架 (IATF) 企图解决什么问题 怎样定义信息保护需求和解决方案？ 现有的何种技术能够满足我的保护需求？ 什么样的机构资