网络与信息安全技术及其进展.ppt_第1页
网络与信息安全技术及其进展.ppt_第2页
网络与信息安全技术及其进展.ppt_第3页
网络与信息安全技术及其进展.ppt_第4页
网络与信息安全技术及其进展.ppt_第5页
已阅读5页,还剩40页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

网络与信息安全技术及其进展,信息通信网络安全技术研讨会,2,2019年11月17日,内 容 提 要,信息安全理论 信息安全的界定 网络与信息安全涵盖范围 网络与信息安全框架 网络安全 新技术带来的困惑 攻击技术挑战网络安全 网络自身安全缺陷 未来网络面临的威胁 网络安全前沿技术 安全技术及其进展 网络环境下的密码学研究 网络环境下的信息对抗 网络环境下的安全体系结构 信息伪装与其它新理论和新方法 进一步的讨论,信息安全理论,Part ,4,2019年11月17日,什么是信息安全,国内方面 沈昌祥院士把信息安全分为 实体安全 运行安全 数据安全 管理安全 教科书中定义的计算机安全包括 实体安全 软件安全 运行安全 数据安全 等级保护条例 计算机信息人机系统安全的目标是着力于实体安全、运行安全、信息安全和人员安全维护。安全保护的直接对象是计算机信息系统,实现安全保护的关键因素是人,5,2019年11月17日,什么是信息安全 cont,国外方面 信息安全管理体系要求标准(BS7799) 信息安全是使信息避免一系列威胁,保障商务的连续性,最大限度地减少商务的损失,最大限度地获取投资和商务的回报。涉及的是机密性、完整性、可用性。 教科书 信息安全就是对信息的机密性、完整性、可用性的保护。 美国信息安全重点实验室 信息安全涉及到信息的保密性、完整性、可用性、可控性。综合起来说,就是要保障电子信息的有效性。,6,2019年11月17日,信息安全发展脉络,通信保密阶段(4070s,COMSEC) 以密码学研究为主,重在数据安全层面的研究 计算机系统安全阶段(7080s,INFOSEC) 开始针对信息系统的安全进行研究 ,重在物理安全层与运行安全层,兼顾数据安全层 网络信息系统安全阶段(90s,NETSEC) 开始针对信息安全体系进行研究 ,重在运行安全与数据安全层,兼顾内容安全层,7,2019年11月17日,信息安全两种主要观点,信息安全分层结构 面向应用信息安全框架,信息安全金三角结构 面向属性信息安全框架,8,2019年11月17日,网络与信息安全涵盖范围,物理安全,保证系统至少能 提供基本的服务,运行安全,可 控 性,保证系统的机密性, 使得系统任何时候不被非 授权人所恶意利用。,可 用 性,保障网络的正常运行,确保系统时刻能为授权人提供基本服务。,真 实 性,数据安全,保证数据的发送 源头不被伪造,机 密 性,保证数据在传输、存储 过程中不被获取并解析,完 整 性,保证数据在传输、 存储等过程中不 被非法修改,抗 否 认 性,保证系统的可用性,使得发 布 者无法否认所发布的信息 内容,保证系统不以电磁等 方式向外泄漏信息。,9,2019年11月17日,内容安全,数据安全,运行安全,物理安全,网络与信息安全涵盖范围,真 实 性 ( 来 源 伪 造 ),路由欺骗 域名欺骗,机 密 性 ( 内 容 解 析 ),对传递信息进行 捕获并解析,完 整 性 ( 进 行 修 改 ),删除局部内容 或附加特定内容,可 用 性 ( 阻 断 传 输 ),阻断信息传输系统,使得被 传播的内容不能送达目的地,10,2019年11月17日,网络与信息安全涵盖范围,这些层面具有相同的 性质,都可以归并为真实 性。其中,完整性是真实 性的子集,是表示内容因 未被修改而是真实的,11,2019年11月17日,网络与信息安全涵盖范围,真 实 性 ( 完 整 性 ),保证信息是真实可信的 其发布者不被冒充,来 源不被伪造,内容不被 篡改。主要防范技术是 校验与认证技术,12,2019年11月17日,网络与信息安全涵盖范围,真 实 性 ( 完 整 性 ),这些层面都反映出机密性特性 其中可控性是机密性的子集, 是表示为保护机密性而进行 访问控制,13,2019年11月17日,网络与信息安全涵盖范围,真 实 性 ( 完 整 性 ),机 密 性,保证信息与信息系统不被 非授权者所获取和使用。 主要防范技术是密码技术,14,2019年11月17日,网络与信息安全涵盖范围,这些层面都反映出可用性属性。其中 抗否认性可看作是可用性的子集,是 为了保证系统确实能够遵守游戏规则 不被恶意使用所反映的可用性的属性,15,2019年11月17日,网络与信息安全涵盖范围,真 实 性 ( 完 整 性 ),机 密 性,可 用 性,保证信息与信息系统可被授权人 员正常使用。 主要防护措施是确保信息与信息 系统处于一个可信的环境之下,16,2019年11月17日,网络与信息安全涵盖范围,17,2019年11月17日,网络与信息安全框架,18,2019年11月17日,信息安全的界定,结论 是指在信息系统的物理层、运行层,以及对信息自身的保护(数据层)及攻击(内容层)的层面上,所反映出的对信息自身与信息系统在可用性、机密性与真实性方面的保护与攻击的技术 随着信息技术的发展与应用,信息安全的内涵在不断的延伸,从最初的信息保密性发展到信息的完整性、可用性,进而又发展为 攻(击)、防(范)、 (检)测、控(制)、管(理)、评(估)等多方面的基础理论和实施技术 现代信息系统中的信息安全,核心问题是密码理论及其应用,其基础是可信信息系统的构作与评估,网 络 安 全,Part 从务虚的角度看,20,2019年11月17日,未来网络演变的假定,从总体角度来看,近期安全技术不会有根本性改变 TCP/IP协议不会发生根本变化 遍布世界的巨型资产不会轻易退出历史舞台 带宽的提高仅是量的变化,并不会带来技术层面上质的变化 无线网的出现则表明接入方式的变化,等效于以太网时期的广播效应,也不会带来安全方面的本质问题 防范对象仍为资源的恶意消耗与业务的盗用,21,2019年11月17日,新技术带来的困惑,在新技术出现后,期待着新的安全技术的突破 IPv6为网络安全的保护带来了灾难性的影响 IPv6的倡导者将着重点放在了保护数据安全之上,将网络安全问题交付给终端用户 IPv6无法解决一些目前存在的网络安全问题 无法完全解决目前广泛存在的DoS攻击,更无法有效的防止DoS攻击 无法有效防止针对协议本身的攻击,如SYN flood攻击 无法解决口令攻击,也无法防止利用缓冲区溢出进行的攻击。,22,2019年11月17日,新技术带来的困惑 cont.,在新技术出现后,期待着新安全技术的突破:续 Peer-to-Peer 对等网络并将成为主流,并与Grid共存 Scale-free型结构带来危险,分散均衡将是潮流 【注】 Scale-free架构特性是: 大多数的节点只与其它一两个节点相连结, 但有少数节点却被大量的连结, 即非同质性 (inhomogenous). 现行的网际网络, 空中交通, WWW 即属于这类架构 三网融合(NGN,指传统电信网、计算机网(即因特网)和有线电视网 )势在必行 能够建立不同于IP网的新的体系吗? (信令与数据独立) 网络呼唤着保障体系,需要综合集成处理体系,从整体角度来相互印证是未来的主流 全球化是当今世界主题,互联网的自主接入,构成一个复杂巨系统,孤立的技术发挥的作用有限,23,2019年11月17日,实际网络安全状况,美国历年被攻击的情况 引自ComputerEmergenceResponseTeam,CERT,24,2019年11月17日,1995 2002世界出现漏洞情况,25,2019年11月17日,2003上半年漏洞趋势,Symantec公司发现了1432个新漏洞,比去年同期增加了12%,其中: 中、高级威胁度的漏洞是最常见的,且更易于被利用发动攻击 攻击者着重针对较新的漏洞发起攻击 整型错误漏洞(由于无法正确处理数据类型为整型的变量而导致的一种程序缺陷)和定时分析和旁道漏洞数目突然增加 微软Internet Explorer、IIS 发现了几个新漏洞,26,2019年11月17日,2003 上半年互联网安全威胁,整体攻击趋势 全球80%的攻击事件是来自排前10位的攻击来源地 平均每个企业每周大概遭到38次恶意攻击 对非公共服务的威胁增加 利用家庭和企业内部网络的常用网络服务,使得潜在受害者的数量大大增加 恶意代码趋势(补丁程序) 将病毒、蠕虫、特洛伊木马和恶意代码的特征与服务器和互联网漏洞结合起来,以便发起、传播和扩散攻击的混合威胁数量上升了20 Windows 32恶意代码的复杂程度增加 ;Linux系统可能成为未来攻击的目标 (zoo的几种复杂变种值得关注) 窃取机密数据的行为有所增加 新的感染媒介中出现了即时消息和P2P 病毒 Win32.Blaster等蠕虫正在世界各地迅速蔓延,27,2019年11月17日,攻击技巧对 入侵技术知识,28,2019年11月17日,攻击技术挑战网络安全,黑客工具的自动化程度及速度在不断提高 攻击工具的攻击能力与复杂程度在不断提高 安全漏洞的暴露速度在不断加快 防火墙被渗透的机会不断增加 不对称的威胁程度在不断增加 针对基础设施的攻击带来的威胁不断增加 拒绝服务攻击 蠕虫 域名攻击 路由攻击,29,2019年11月17日,网络自身安全缺陷,协议本身会泄漏口令 连接可成为被盗用的目标 服务器本身需要读写特权 基于地址 密码保密措施不强 某些协议经常运行一些无关的程序 业务内部可能隐藏着一些错误的信息 有些业务本身尚未完善,难于区分出错原因 有些业务设置复杂,很难完善地设立 使用CGI(Common Gateway Interface )的业务,30,2019年11月17日,未来网络面临的威胁,超级蠕虫病毒的大规模扩散 理论上在数分钟之内可感染近千万台机器。 多态性、混合型、独立性、学习能力、针对P2P 应用系统面临威胁 电力、工厂、交通、医院 利用程序自动更新存在的缺陷 网络程序(如杀毒软件)的共性,带来极度危险 针对路由或DNS的攻击 同时发生计算机网络攻击和恐怖袭击,31,2019年11月17日,网络安全防护模型PPDRR,网络 安全,32,2019年11月17日,安全策略前沿技术,风险分析与安全评估 如何评估系统处于用户自主、系统审计、安全标记、结构化、访问验证等五个保护级的哪一级? 漏洞扫描技术 基于关联的弱点分析技术 基于用户权限提升的风险等级量化技术 网络拓扑结构的发现,尤其是Peer to Peer 网络拓扑结构的发现 拓扑结构综合探测技术(发现黑洞的存在) 基于P2P的拓扑结构发现技术(解决局域网一类的问题),33,2019年11月17日,系统防护前沿技术,病毒防护,侧重于网络制导、移动终端防护 病毒将始终伴随着信息系统而存在。随着移动终端的能力增强,病毒必将伴随而生 隔离技术 基于协议的安全岛技术 协议的变换与解析 单向路径技术 确保没有直通路径 拒绝服务攻击的防护 DoS是个致命的问题,需要有解决办法 访问控制技术 家庭网络终端(电器)、移动终端的绝对安全 多态访问控制技术,34,2019年11月17日,入侵检测前沿技术,基于IPv6的入侵检测系统 侧重于行为检测 向操作系统、应用系统中进行封装 分布式入侵检测 入侵检测信息交换协议 IDS的自适应信息交换与防攻击技术 特洛伊木马检测技术 守护进程存在状态的审计 守护进程激活条件的审计 预警技术 基于数据流的大规模异常入侵检测,35,2019年11月17日,应急响应前沿技术,快速判定、事件隔离、证据保全 紧急传感器的布放,传感器高存活,网络定位 企业网内部的应急处理 企业网比外部网更脆弱,强化内部审计 蜜罐技术(honeypot ) 蜜罐是指目的在于吸引攻击者、然后记录下一举一动的计算机系统,优点是大大减少了要分析的数据 漏洞再现及状态模拟应答技术 沙盒技术,诱捕攻击行为 僚机技术 动态身份替换,攻击的截击技术 被攻系统躲避技术,异常负载的转配,36,2019年11月17日,灾难恢复前沿技术,基于structure-free的备份技术 构建综合备份中心IBC(Internet Backup Center) 远程存储技术 数据库体外循环备份技术 容侵(intrusion-tolerant)技术 受到入侵时甩掉被攻击部分 防故障污染 生存(容忍)技术 可降级运行,可维持最小运行体系,安全技术及其进展,Part ,网络环境下的密码学研究 网络环境下的信息对抗 网络环境下的安全体系结构 信息伪装与其它新理论和新方法,38,2019年11月17日,网络环境下的密码学研究,密码是保证网络信息安全的重要手段,是信息安全技术的核心。网络环境向信息安全提出了许多新的挑战 首先,网络计算为密码分析提供了强有力工具,因此需要重点研究 高强度的密码理论 高速的加解密算法 并行密码攻击算法等基础理论的研究 其次,网络环境下的多用户特征也需要对 群体签名 多方加密算法 多方协议等问题进行研究 最后,还要对我国民用密码算法标准所涉及的基础理论重点进行研究,39,2019年11月17日,网络环境下的信息对抗,信息对抗是当代全球开放网络中的普遍现象,是未来信息战的主要内容 网络中的信息截获与反截获、破译与反破译、入侵与反入侵等都是信息对抗的研究问题 大量的安全事件和研究成果揭示:系统中存在许多设计缺陷,存在情报机构有意埋伏安全陷阱的可能 主动攻击(包括各种侦听、病毒制造与释放等)和被动防御(包括审计、追踪、防病毒等)是网络环境下信息对抗有效手段。最引人瞩目的是网络攻击 ,另一个比较热门的问题是入侵检测与防范 系统的可靠性、健壮性、抗攻击性和网络安全的智能化是信息对抗中取胜的保证 由于信息系统安全的独特性,人们已将其用于军事对抗领域。计算机病毒和网络黑客攻击技术必将成为新一代的军事武器。信息对抗技术的发展将会改变以往的竞争形式,包括战争。,40,2019年11月17日,网络环境下安全体系结构,网络环境下的安全体系结构研究是保证信息安全的关键,包括 安全体系模型的建立及其形式化描述与分析(美国封锁) 计算机安全操作系统 各种安全协议 安全机制(数字签名,信息认证,数据加密等) 符合这些模型、策略和准则的安全系统(如安全数据库系统) 其中任何一个安全漏洞便可以威胁全局安全 网络安全服务至少应该包括 支持信息网络安全服务的基本理论 基于新一代信息网络体系结构的网络安全服务体系结构,41,2019年11月17日,信息伪装与其它新理论,信息隐藏 是网络环境下把机密信息隐藏在大量信息中不让对方发觉的一种方法,如图象叠加、数字水印、潜信道、隐匿协议等的研究已经引起人们的重视 它将在未来网络中,用于保护信息免于破坏 量子密码理论与技术(源于共轭编码) 取得了令人惊异的进步,已先后在自由空间和商用光纤中完成了单光子密钥交换协议, 量子密码实现方案(有许多问题还有待于研究 ) 基于单光子量子信道中测不准原理的 基于量子相关信道中Bell原理的 基于两个非正交量子态性质的,42,2019年11月17日,信息伪装与其它新理论,基于生物特征认证理论与技术

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论