计算机网络安全课件

1、计算机网络安全课程内容 信息安全 计算机网络安全 网络安全攻击分析 安全模型及风险管理 安全体系 重要安全标准课程内容 信息安全 计算机网络安全 网络安全攻击分析 安全模型及风险管理 安全体系 重要安全标准 ISO的定义：为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和显露。信息安全概念 确保以电磁信号为主要形式的，在计算机网络化系统中进行获取、处理、存储、传输和利用的信息内容，在各个物理位置、逻辑区域、存储和传输介质中，处于动态和静态过程中的机密性、完整性、可用性、可审查性和抗抵赖性的，与人、网络、环境有关的技术和管理规程的有机

2、集合。 戴宗坤 罗万伯 信息系统安全信息系统安全概念信息安全的发展历史信息安全的发展经历了三个历史时期： 通信安全（COMSEC）保密性。 信息安全（INFOSEC）保密性、完整性、可用性。 信息保障（IA）保密性、完整性、可用性、可控性、不可否认性Confidentiality integrity availability方滨兴院士方滨兴院士方滨兴院士信息安全内容 不统一： ISO/IEC17799 ISO/IEC 15408 ISO/IEC TR13335 ISO7498-2 。ISO/IEC 17799 信息安全内容:保密性（Confidentiality)完整性（Integrity)可

3、用性（Availability) ISO/IEC TR 13335-1 安全内容:Confidentiality (保密性)Integrity(完整性)Availability (可用性)Non-repudiation(不可抵赖性)Accountability(可追踪性)Authentity & Reliability (真实性和可靠性)ISO 7498-2 信息安全服务:认证访问控制保密性完整性不可否认性方滨兴院士方滨兴院士 保证机密信息不会泄露给非授权的人或实体，或供其使用的特性 案例保密性 防止信息被未经授权的篡改，保证真实的信息从真实的信源无失真地到达真实的信宿 案例完整性 保

4、证信息及信息系统确实为授权使用者所用，防止由于计算机病毒或其它人为因素造成的系统拒绝服务，或为敌手可用，信息系统能够在规定的条件下和规定的时间内完成规定的功能 案例可用性 能对通信实体身份的真实性进行鉴别 案例身份真实性 能够控制使用资源的人或实体的使用方式 案例系统可控性 建立有效的责任机制，防止实体否认其行为 案例不可抵赖性 对出现的网络安全问题提供调查的依据和手段 案例可审查性 安全要素： 资产 弱点 威胁 风险 安全控制信息安全认识信息安全风险管理:以资产为核心信息安全管理：以风险管理为基础ISO/IEC 15408：安全概念信息安全风险评估指南：安全概念NIST SP800-33 安

5、全目标可用性完整性保密性可追踪性保证性安全目标的依赖关系安全服务模型课程内容 信息安全 计算机网络安全 网络安全攻击分析 安全模型及风险管理 安全体系 重要安全标准什么是计算机网络安全？ 计算机安全 or 网络安全？计算机网络有哪些安全问题？ 保密 篡改 假冒 破坏可用性Security Attacks案例一 运用流量分析软件窃听口令 利用网络审计日志类系统获取访问历史华为中兴案例FBI-IPSec案例案例二 网站、游戏不能访问了 没有破坏主机游戏网站案例案例三 完整性？鑫诺卫星被攻击案例案例四 假冒 ARP欺骗 IP欺骗百度事件案例五 可用性 DoS/DDoS潍坊案例网络安全攻击演示 演示（

6、获取用户名口令） 如何获取黑客工具包？Introduction41为什么? Originally for a group of mutually trusting users attached to a transparent network. By definition, no need for security Mutual trust By default, can send a packet to any other user IP source address taken by default to be true Today, communication between trust

7、ed users is the exception rather than the rule网络协议存在设计安全问题 举例：ARP及ARP欺骗ARPARP欺骗课程内容 信息安全 计算机网络安全 网络安全攻击分析 安全模型及风险管理 安全体系 重要安全标准网络攻击分析 攻击者 动机 能力和机会 攻击种类攻击者 恶意 国家 黑客 恐怖分子/计算机恐怖分子 有组织犯罪 其它犯罪成员 国际新闻社 工业竞争 不满雇员 非恶意 粗心或未受到良好培训的雇员动机 获取机密或敏感数据的访问权 跟踪或监视目标系统的运行（跟踪分析） 破坏目标系统的运行 窃取钱物、产品或服务 获取对资源的免费使用 使目标陷入窘境 攻

8、克可击溃安全机制的技术挑战攻击风险 暴露其进行其它类型攻击的能力 打草惊蛇，尤其是当可获取的攻击利益巨大时引起目标系统的防范 遭受惩罚（如罚款、坐牢等） 危及生命安全攻击者愿意接受的风险级别取决于其攻击动机能力和机会 能力因素 施展攻击的知识和技能 能否得到所需资源 机会 系统的漏洞、错误配置、未受保护环境 安全意识薄弱我们不可能削弱攻击者的能力，但可以减少其攻击机会攻击种类 被动攻击 主动攻击 临近攻击 内部人员攻击 分发攻击攻击对策攻击种类攻击种类典型对策典型对策被动攻击VPN，网络加密、使用受到保护的分布式网络主动攻击边界保护（如防火墙）、基于身份认证的访问控制、受保护的远程访问、质量安

9、全管理、病毒检测、审计、入侵检测临近攻击内部人员攻击安全意识培训、审计、入侵检测、安全策略及强制实施、基于计算机和网络组件中信任技术对关键数据/服务器/局域网实施专业的访问控制、强的身份标识和鉴别技术分发攻击加强对过程其间的配置控制、使用受控分发、签名软件、访问控制课程内容 信息安全 计算机网络安全 网络安全攻击分析 安全模型及风险管理 安全体系 重要安全标准基于时间的PDR安全模型 PProtection、DDetection、RReact PtDtRt时间时间Pt Dt+ Rt，则该系统是安全的Pt Dt+ Rt，则该系统是不安全的,且Et=(Dt+Rt)-Pt为安全暴露时间 所谓P2DR

10、保护保护Protect检测检测Detect反应反应React恢复恢复RestoreIA所谓PDRRWPDRRC模型检测检测D恢复恢复R保护保护P响应响应R预警预警W反击反击C模型的价值 用户： 提高安全认识 厂商: 围绕利益风险管理 信息安全某种程度上就是风险管理过程。 风险管理过程包含哪些？风险管理过程 风险评估 风险减缓 评价与评估风险评估 风险评估是风险管理方法学中的第一个过程。机构应使用风险评估来确定潜在威胁的程度以及贯穿整个SDLC中的IT相关风险。 该过程的输出可以帮助我们确定适当的安全控制，从而在风险减缓过程中减缓或消除风险。风险风险是可能性和影响的函数，前者指给定的威胁源利用一

11、个特定的潜在脆弱性的可能性，后者指不利事件对机构产生的影响。 为了确定未来的不利事件发生的可能性，必须要对IT系统面临的威胁、可能的脆弱性以及IT系统中部署的安全控制一起进行分析。影响是指因为一个威胁攻击脆弱性而造成的危害程度。风险评估步骤风险减缓是 威胁源 & 系统设计 脆弱性 是 能被利用吗？ 存在可发起攻击的脆弱性 否 否 无风险 无风险 存在 威胁 攻 击 的成 本 小于获利 否 是 否 预期损失大于门限 无风险 无风险 是 不可接受的风险 小结 弱点是固有的 攻击是利益驱动的 攻击和防守都要考虑成本 安全不是绝对的课程内容 信息安全 计算机网络安全 网络安全攻击分析 安全模型

12、及风险管理 安全体系 重要安全标准ISO7498-2：信息安全体系结构 信息处理系统开放系统互连基本参考模型 第二部分：安全体系结构 1989.2.15颁布，确立了基于OSI参考模型的七层协议之上的信息安全体系结构 五类服务 认证、访问控制、保密性、完整性、不可否认性 八种机制 加密、数字签名、访问控制、数据完整性、认证交换、业务流填充、路由控制、公证 OSI安全管理五大类安全服务 认证 对等实体认证 数据起源认证 访问控制 机密性 连接机密性 无连接机密性 选择字段机密性 业务流机密性 完整性 可恢复的连接完整性 不可恢复的连接完整性 选择字段的连接完整性 无连接完整性 选择字段的无连接完整

13、性 抗否认 数据起源的抗否认 传递过程的抗否认八类安全机制 加密 数字签名 访问控制 数据完整性 认证交换 业务流填充 路由控制 公证 另有 可信功能模块 安全标记 事件检测 安全审计追踪 安全恢复机制与实现的安全服务 机制服务 加密数字签名访问控制数据完整性认证交换业务流填充路由控制公证对等实体认证 数据起源认证 访问控制服务连接机密性无连接机密性选择字段机密性业务流机密性 机制与实现的安全服务（续） 机制服务 加密数字签名访问控制数据完整性认证交换业务流填充路由控制公证可恢复的连接完整性不可恢复的连接完整性选择字段的连接完整性无连接完整性 选择字段的无连接完整性 数据起源的抗否认传递过程的

14、抗否认“”表示机制适合提供该种服务，空格表示机制不适合提供该种服务。安全服务与层之间的关系 分层服务 物理层链路层网络层传输层会话层表示层应用层对等实体认证 数据起源认证 访问控制服务 连接机密性 无连接机密性 选择字段机密性 业务流机密性安全服务与层之间的关系（续） 分层服务 物理层链路层网络层传输层会话层表示层应用层可恢复的连接完整性不可恢复的连接完整性选择字段的连接完整性无连接完整性 选择字段的无连接完整性数据起源的抗否认传递过程的抗否认IATF Information Assurance Technical Framework 美国国家安全局深层防御战略（Defense-In-Dept

15、h）深层防御的技术层面网络传输设施网络传输设施主机主机互联网边界路由边界路由拨入服务器拨入服务器网络边界网络边界深层防御战略的含义 层次化、多样性 人、操作、技术 网络边界、网络、主机 预警、保护、检测、反应、恢复 在攻击者成功地破坏了某个保护机制的情况下，其它保护机制能够提供附加的保护。 采用层次化的保护策略并不意味着需要在网络体系结构的各个可能位置实现信息保障机制，通过在主要位置实现适当的保护级别，便能够依据各机构的特殊需要实现有效保护。课程内容 信息安全 计算机网络安全 网络安全攻击分析 安全模型及风险管理 安全体系 重要安全标准标准的重要性 知识性：了解安全背景 指南性：指导实践 沟通

16、性： 。彩虹系列The rainbow series is a library of about 37 documents that address specific areas of computer security. Each of the documents is a different color, which is how they became to be refereed to as the Rainbow Series. The primary document of the set is the Trusted Computer System Evaluation Crit

17、eria (5200.28-STD, Orange Book), dated December 26, 1985. This document defines the seven different levels of trust that a product can achieve under the Trusted Product Evaluation Program (TPEP) within NSA. Some of the titles include, Password Management, Audit, Discretionary Access Control, Trusted

18、 Network Interpretation, Configuration Management, Identification and Authentication, Object Reuse and Covert Channels. A new International criteria for system and product evaluation called the International Common Criteria (ICCC) has been developed for product evaluations. The TCSEC has been largel

19、y superceded by the International Common Criteria, but is still used for products that require a higher level of assurance in specific operational environments. Most of the rainbow series documents are available on-line.TCSEC 在TCSEC中，美国国防部按处理信息的等级和应采用的响应措施，将计算机安全从高到低分为：A、B、C、D四类八个级别，共27条评估准则 随着安全等级的

20、提高，系统的可信度随之增加，风险逐渐减少。 TCSEC 四个安全等级：无保护级 自主保护级 强制保护级验证保护级TCSEC D类是最低保护等级，即无保护级 是为那些经过评估，但不满足较高评估等级要求的系统设计的，只具有一个级别 该类是指不符合要求的那些系统，因此，这种系统不能在多用户环境下处理敏感信息 TCSEC C类为自主保护级 具有一定的保护能力，采用的措施是自主访问控制和审计跟踪 一般只适用于具有一定等级的多用户环境 具有对主体责任及其动作审计的能力TCSEC C类分为C1和C2两个级别: 自主安全保护级（C1级) 控制访问保护级（C2级） TCSEC B类为强制保护级 主要要求是TCB

21、应维护完整的安全标记，并在此基础上执行一系列强制访问控制规则 B类系统中的主要数据结构必须携带敏感标记 系统的开发者还应为TCB提供安全策略模型以及TCB规约 应提供证据证明访问监控器得到了正确的实施 TCSEC B类分为三个类别：标记安全保护级（B1级） 结构化保护级（B2级） 安全区域保护级（B3级） TCSEC A类为验证保护级 A类的特点是使用形式化的安全验证方法，保证系统的自主和强制安全控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息 为证明TCB满足设计、开发及实现等各个方面的安全要求，系统应提供丰富的文档信息TCSEC A类分为两个类别：验证设计级（A1级） 超A1

22、级 ISO/IEC 15408 IT安全评估通用准则(Common Criteria for Information Technology Security Evaluation)ISO/IEC JTC 1SC27 WG3ISO/IEC 15408的历史1985年美国国防部可信计算机评价准则（TCSEC）1991年美国联邦政府评价准则（FC）1990年欧洲信息技术安全性评价准则（ITSEC）1995年国际通用准则（CC）1990年加拿大可信计算机产品评价准则（CTCPEC）1999年CC成为国际标准（ISO15408）中国国家标准GB/T 18336-2001ISO/IEC 15408的背景

23、ISO/IEC JTC1 SC27 WG3（国际标准化组织和国际电工委员会的联合技术委员会） WG1：信息安全有关的需求、服务和指南 WG2：信息安全技术和机制 WG3：信息安全评估标准 六国七方共同提出： Canada: Communications Security Establishment France: Service Central de la Scurit des Systmes dInformation Germany: Bundesamt fr Sicherheit in der Informationstechnik Netherlands: Netherlands Nat

24、ional Communications Security Agency United Kingdom: Communications-Electronics Security Group United States: National Institute of Standards and Technology United States: National Security AgencyISO/IEC 15408的相关组织 CCEB: CC Editorial Board ,V1.0 CCIB: CC Implememtation Board,V2.0 CCIMB: CC Interpret

25、ations Management Board , responsible for interpretations of Version 2.0 在ISO中的正式名称是“信息技术安全评价标准”ISO/IEC 15408标准的组成 包括三个部分：简介和一般模型安全功能要求安全保障要求ISO/IEC 15408的作用客户开发人员评估人员第一部分用于了解背景信息和参考。PP的指导性结构。用于了解背景信息，开发安全要求和形成TOE的安全规范的参考。用于了解背景信息和参考目的。PP和ST的指导性结构。第二部分在阐明安全功能要求的描述时用作指导和参考。用于解释功能要求和生成TOE功能规范的参考。当确定TO

26、E是否有效地符合已声明的安全功能时，用作评估准则的强制性描述。第三部分用于指导保证需求级别的确定当解释保证要求描述和确定TOE的保证措施时，用作参考。当确定TOE的保证和评估PP和ST时，用于评估准则的强制描述。要求和规范的导出ISO/IEC 17799 信息安全管理准则 (Information Technology Code of Practice for Information Security Management)ISO/IEC JTC 1SC27,WG 1ISO/IEC 17799的背景ISO/IEC JTC1 SC27 （国际标准化组织和国际电工委员会的联合技术委员会） WG1：

27、信息安全有关的需求、服务和指南 WG2：信息安全技术和机制 WG3：信息安全评估标准源于BSI（英国标准学会）的BS7799 ：7799-1（第一部分）：信息安全管理准则7799-2（第二部分）：信息安全管理系统规范。ISO/IEC17799的当前版本（不久它就会出新版本）是完全基于BS7799-1的。 ISO/IEC 17799 目的为信息安全管理提供建议，供那些在其机构中负有安全责任的人使用。它旨在为一个机构提供用来制定安全标准、实施有效的安全管理时的通用要素，并得以使跨机构的交易得到互信ISO/IEC 17799版本对比 ISO/IEC 17799:2005较早期版本做了一定的修订，对原

28、有的11个控制进行了修改，保留了116个原有控制，增加了17个新的控制（共计133个控制），增加了8个新的控制目标（共计39个控制目标），5个控制目标进行了重新的调整。ISO/IEC 2700X系列标准2005年10月，BS 7799-2信息安全管理体系规范成功升级为国际标准，编号为ISO/IEC 27001。ISO/IEC 27001是信息安全管理体系（ISMS）的规范说明，它解释了如何应用ISO/IEC 17799。其重要性在于它提供了认证执行的标准，且包括必要文档的列表。ISO/IEC 17799则同时被国际标准化组织重新编号为ISO/IEC 27002。它提供了计划和实现流程的指导，该

29、标准也提出了一系列的控制（安全措施）。GBT 22080-2008信息技术 安全技术 信息安全管理体系 要求（等同采用ISO/IEC 27001:2005）GBT 22081-2008信息技术 安全技术 信息安全管理实用规则（代替GB/T 19716-2005，等同采用ISO/IEC 27002:2005）ISO/IEC 2700X系列标准过程方法 ISO 27001 采用过程方法，组织需要对很多行为加以确定和管理，以使其有效作用。ISMS的PDCA模型 P Plan, D Do, C Check, A Act 适用于所有ISMS过程的结构中ISO/IEC 2700X要求 组织应该在整体业务活

30、动中且在所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的ISMS，并采用PDCA模型。ISO/IEC 2700X安全控制目标ISO/IEC TR 13335IT安全管理指南(Information Technology - Guidelines for Manangement of IT Security)ISO/IEC JTC 1SC27,WG 1ISO/IEC TR 13335的背景ISO/IEC JTC1 SC27 （国际标准化组织和国际电工委员会的联合技术委员会） WG1：信息安全有关的需求、服务和指南 WG2：信息安全技术和机制 WG3：信息安全评估标准Guidel

31、ines for the Management of IT Security (GMITS)：信息技术安全管理方针TR:Technical Report (技术报告)ISO/IEC TR 13335为IT安全管理方面提供指南而非解决方案定义和描述IT安全管理关联的概念标识IT安全管理和一般IT管理的关系提供能用于解释IT安全的一些模型为IT安全管理提供一般性指南SSE-CMM 系统安全工程-能力成熟模型(Systems Security Engineering - Capability Maturity Model)SSE-CMM的背景 SSE-CMM起源于1993年4月美国国家安全局(NSA

32、)对当时各类能力成熟模型(CMM)工作状况的研究以判断是否需要一个专门应用于安全工程的CMM。在这个构思阶段，确定了一个初步的安全工程CMM(strawman Security Engineering CMM)作为这个判断过程的基础。 1995年1月，各界信息安全人士被邀请参加第一届公开安全工程CMM工作讨论会。来自60多个组织的代表肯定了这种模型的需求。由于信息安全业界的兴趣，在会议中成立了项目工作组，这标志着安全工程CMM开发阶段的开始。项目工作组的首次会议在1995年3月举行。通过SSE-CMM指导组织、创作组织和应用工作组织的工作，完成了模型和认定方法的工作。1996年10月出版了SS

33、E-CMM模型的第一个版本，1997年4月出版了评定方法的第一个版本。 为了验证这个模型和评估方法，从1996年6月到1997年6月进行许多实验项目。这些实验项为出版的模型和评估方法1.1版提供了宝贵的数据。在实验项目中，模型的第一个版本用于评估了两个大型系统集成商，两个服务供应商和一个产品厂商。实验项目涉及到为验证这个模型的各种组织机构，其中包括：不同规模的组织；合同驱动系统开发的组织和市场驱动产品开发的组织；高开发保证要求的组织和低开发保证要求的组织；提供开发、实施和服务的组织。 1997年7月，召开了第二届公开系统安全工程CMM工作会议。这次会议主要涉及到模型的应用，特别在采购，过程改进

34、，产品和系统质量保证等方面的应用。这次会议文集可通过SSE-CMM的WEB站点上获得。在这次会议上，确定了需解决得问题并成立了新得项目组织来直接解决这些问题。 SSE-CMM的相关组织 SSE-CMM项目进展来自于安全工程业界、美国国防部办公室和加拿大通讯安全机构积极参与和共同的投入，并得到NSA的部分赞助和配合。 SSE-CMM项目结构包括：指导组评定方法组模型维护组生命期支持组轮廓，保证和度量组赞助，规划和采用组关键人员评审和业界评审 能力成熟模型NIST SP800FISMA LegislationOverview “Each Federal agency shall develop,

35、document, and implement an agency-wide information security program to provide information security for the information and information systems that support the operations and assets of the agency, including those provided or managed by another agency, contractor, or other source”- Federal Informati

36、on Security Management Act of 2002National PolicyOffice of Management and Budget Circular A-130,Management of Federal Information Resourcesrequires Federal agencies to: Plan for security Ensure that appropriate officials are assigned security responsibility Authorize system processing prior to operations and periodically, the