信息安全技术与应用课件

信息安全技术与应用《信息安全技术与应用》教学目的全面了解信息安全基本概念及国家信息安全保护相关政策、法津、法规和标准；初步掌握信息安全基础理论、工作原理与工程技术应用；根据信息安全保护等级需求，综合利用信息安全知识和技术构建安全解决方案，具备选择、集成、配置、评估、维护、管理和开发信息安全保障系统的工程技能信息安全技术与应用《信息安全技术与应用》教学要求在成本、环境、风险及技术等约束条件下；依据国家信息安全保护相关政策、法津、法规和标准；综合应用信息安全知识和技术；分析、构造、设计、实施和运行信息安全保障系统的工程技能。信息安全技术与应用第1章信息安全概述信息安全技术与应用1.1信息安全基本概念信息安全定义信息安全是为防范计算机网络硬件、软件、数据偶然或蓄意破环、篡改、窃听、假冒、泄露、非法访问和保护网络系统持续有效工作的措施总和；信息安全保护范围信息安全、网络安全、计算机系统安全和密码安全涉及的保护范围不同；信息安全技术与应用信息安全保护范围密码安全系统安全网络安全信息安全信息安全技术与应用信息安全侧重点研究关注从理论上采用数学方法精确描述安全属性；工程技术成熟的信息安全解决方案和新型信息安全产品；评估与测评关注信息安全测评标准、安全等级划分、安全产品测评方法与工具、网络信息采集以及网络渗透技术；网络或信息安全管理关心信息安全管理策略、身份认证、访问控制、入侵检测、网络与系统安全审计、信息安全应急响应、计算机病毒防治等安全技术；信息安全技术与应用信息安全侧重点公共安全熟悉熟悉国家和行业部门颁布的常用信息安全监察法律法规、信息安全取证、信息安全审计、知识产权保护、社会文化安全等技术军事关心信息对抗、信息加密、安全通信协议、无线网络安全、入侵攻击、网络病毒传播等信息安全综合技术；信息安全技术与应用信息安全目标最终目标通过各种技术与管理手段实现网络信息系统的可靠性、保密性、完整性、有效性、可控性和拒绝否认性；可靠性指信息系统能够在规定的条件与时间内完成规定功能的特性；可控性指信息系统对信息内容和传输具有控制能力的特性；拒绝否认性指通信双方不能抵赖或否认已完成的操作和承诺；信息安全技术与应用保密性保密性指信息系统防止信息非法泄露的特性，信息只限于授权用户使用；保密性主要通过信息加密、身份认证、访问控制、安全通信协议等技术实现；信息加密是防止信息非法泄露的最基本手段。信息安全技术与应用完整性和有效性完整性指信息未经授权不能改变的特性；完整性强调信息在存储和传输过程中不能被偶然或蓄意修改、删除、伪造、添加、破坏或丢失；信息在存储和传输过程中必须保持原样；只有完整的信息才是可信任的信息。有效性指信息资源容许授权用户按需访问的特性信息安全技技术与应用用信息安全模安全解决方方案一个涉及法法律、法规规、管理、、技术和教教育等多个个因素的复复杂系统工工程；安全只具有有相对意义义；绝对的安全全只是一个个理念；任何安全模模型都不可可能将所有有可能的安安全隐患都都考虑周全全；理想的信息息安全模型型不存在。。信息安全技技术与应用用PPDR信息安全模模型安全策略保护检测响应信息安全技技术与应用用信息安全策策略信息安全策策略是保障障机构信息息安全的指指导文件；；信息安全策策略包括总体安全策策略和安全全管理实施施细则；总体安全策策略包括分析安安全需求、、分析安全全威胁、定定义安全目目标、确定定安全保护护范围、分分配部门责责任、配备备人力物力力、确认违违反策略的的行为和相相应的制裁裁措施；安全管理细细则规定了了具体的实实施方法和和内容；信息安全技技术与应用用信息安全策策略总则均衡性原则则在安全需求求、易用性性、效能和和安全成本本之间保持持相对平衡衡；时效性原则则影响信息安安全的因素素随时间变变化，信息息安全问题题具有显著著的时效性性；最小化原则则系统提供的的服务越多多，安全漏漏洞和威胁胁也就越多多；关闭安全策策略中没有有规定的网网络服务；；以最小限度度原则配置置满足安全全策略定义义的用户权权限；信息安全技技术与应用用安全策略内内容硬件物理安安全网络连接安安全操作系统安安全网络服务安安全数据安全安全管理责责任网络用户安安全责任信息安全技技术与应用用1.2信息安全漏漏洞与威胁胁软件漏洞指在设计与与编制软件件时没有考考虑对非正正常输入进进行处理或或错误代码码而造成的的安全隐患患;软件漏洞是是任何软件件存在的客客观事实;软件产品通通常在正式式发布之前前，一般都都要相继发发布α版本、β版本和γ版本供反复复测试使用用，目的就就是为了尽尽可能减少少软件漏洞洞信息安全技技术与应用用软件漏洞与与攻击事件趋趋势攻击事件趋势软件漏洞趋势信息安全技技术与应用用网络协议漏漏洞指网络通信信协议不完完善而导致致的安全隐患；；Internet使用的TCP/IP协议族所有有协议都发发现存在安安全隐患；；截止到2012年6月，专门从从事安全漏漏洞名称标标准化的公公共漏洞披披露机构CVE（commonvulnerabilityandexposures）已发布了53623个不同的安安全漏洞；；新的安全漏漏洞仍在不不断披露信息安全技技术与应用用安全管理漏漏洞安全技术只只是保证信信息安全的的基础；信息安全管管理才是发发挥信息安安全技术的的根本保证证；信息安全问问题不是一一个纯技术术问题；从安全管理理角度看，，信息安全首首先是管理理问题；如常见的系系统缺省配配置、脆弱弱性口令和和信任关系系转移等；；信息安安全是是相对对的，，是建建立在在信任任基础础之上上的，，绝对对的信信息安安全不不存在在。信息安安全技技术与与应用用指事件件对信信息资资源的的可靠靠性、、保密密性、、完整整性、、有效效性、、可控控性和和拒绝绝否认认性可可能产产生的的危害害；自然因因素：：硬件件故障障、软软件故故障、、电源源故障障、电电磁干干扰、、电磁磁辐射射和自自然灾灾害人为因因素意外损损坏：：删除除文件件、格格式化化硬盘盘、带带电拔拔插、、系统统断电电等各各种操操作失失误；；蓄意攻攻击：：网络络攻击击、计计算机机病毒毒、特特洛伊伊木马马、网网络窃窃听、、邮件件截获获、滥滥用特特权等等信息安安全技技术与与应用用信息安安全威威胁来来源网络安全威胁自然因素人为因素硬件故障；软件故障；电源故障；电磁干扰电磁辐射意外损坏蓄意攻击删除文件；格式化硬盘自然灾害网络攻击；计算机病毒；滥用特权特洛伊木马；网络窃听；邮件截获带电拔插；系统断电破坏保密性破坏完整性和有效性破坏保密性、完整性和有效性安全威胁分类及破坏目标信息安安全技技术与与应用用信息安安全威威胁来来源主动攻攻击主要来来自网网络黑客（（hacker）、敌对对势力力、网网络金金融犯犯罪分分子和和商业业竞争争对手手；黑客指指独立立思考考、智智力超超群、、精力力充沛沛、热热衷于于探索索软件件奥秘秘和显显示个个人才才干的的计算算机迷迷；白帽黑黑客协协助厂厂商解解决安安全问问题；；灰帽黑黑客发发现安安全漏漏洞后后，在在群体体内发发布的的同时时也通通知厂厂商；；黑帽黑黑客无无视国国家法法律和和法规规，针针对安安全漏漏洞研研究漏漏洞利利用攻攻击机机制，，并遵遵守漏漏洞利利用共共享规规范信息安安全技技术与与应用用1.3信息安安全评评价标标准中国国国家质质量技技术监监督局局颁布布的《计算机机信息息系统统安全全保护护等级级划分分准则则》美国国国防部部颁布布的《可信计计算机机系统统评价价标准准》；欧洲德德国、、法国国、英英国、、荷兰兰四国国联合合颁布布的《信息技技术安安全评评价标标准》；加拿大大颁布布的《可信计计算机机产品品评价价标准准》；美国、、加拿拿大、、德国国、法法国、、英国国、荷荷兰六六国联联合颁颁布的的《信息技技术安安全评评价通通用标标准》；信息安安全技技术与与应用用美国可可信计计算机机系统统评价价标准准TCSEC根据计计算机机系统统采用用的安安全策策略、、提供供的安安全功功能和和安全全功能能保障障的可可信度度将安安全级级别划划分为为D、C、B、A四大类类七个个等级级；其中D类安全全级别别最低低，A类安全全级别别最高高；无安全全保护护D类自主安安全保保护C类强制安安全保保护B类验证安安全保保护A信息安安全技技术与与应用用美国可可信计计算机机系统统评价价标准准安全功功能无保护护D级自主保保护C1级TCSEC标准各各安全全等级级关系系安全功功能保保障控制保保护C2级标记保保护B1级结构保保护B2级区域保保护B3级验证保保护A级信息安全全技术与与应用国际通用用信息安安全评价价标准评价的信信息系统统或技术术产品及及其相关关文档在在CC中称为评评价目标标TOE（targetofevaluation）；CC标准采用用类（class）、族（（family）、组件件（component）层次结结构化方方式定义义TOE的安全功功能；CC标准定义义安全保保证（securityassurance）同样采采用了类类、族和和组件层层次结构构信息安全全技术与与应用CC标准定义义的安全全功能类类序号类名类功能1FAU安全审计（securityaudit）2FCO通信（communication）3FCS密码支持（cryptographicsupport）4FDP用户数据保护（userdataprotection）5FIA身份认证（identificationandauthentication）6FMT安全管理（securitymanagement）7FPR隐私（privacy）8FPTTOE安全功能保护（protectionofTOEsecurityfunction9FRU资源利用（resourceutilization）10FTATOE访问（TOEaccess）11FTP可信通路（trustedpath）信息安全全技术与与应用CC标准定义义的安全全保证类类序号类名类功能1ACM配置管理（configurationmanagement）2ADO提交与操作（deliveryandoperation）3ADV开发（development）4AGD指导文挡（guidancedocuments）5ALC生命周期支持（lifecyclesupport）6ATE测试（tests）7AVA脆弱性评估（vulnerabilityassessment）8AMA保证维护（maintenanceofassurance）9APE资源利用（protectionprofileevaluation）10ASE安全对象评价（securitytargetevaluation）信息安全全技术与与应用国家信息息安全评评价标准准CC标准国家GB17859-1999国家GB/T18336-2001美国TCSECDEAL1EAL1EAL2用户自主保护EAL2C1EAL3系统审计保护EAL3C2EAL4安全标记保护EAL4B1EAL5结构化保护EAL5B2EAL6访问验证保护EAL6B3EAL7EAL7ACC及国家标标准与TCSEC标准的对对应关系系信息安全全技术与与应用1.4国家信息息安全保保护制度度信息安全全技术标标准的实实施必须须通过信信息安全全法规来来保障;1994年2月18日，中华华人民共共和国国国务院发发布了第第147号令《中华人民民共和国国计算机机信息系系统安全全保护条条例》;信息系统统建设和和应用制制度应当遵守守法律、、行政法法规和国国家其他他有关规规定;无论是扩扩建、改改建或新新建信息息系统，，还是设设计、施施工和验验收，都都应当符符合国家家、行业业部门或或地方政政府制定定的相关关法律、、法规和和技术标标准信息安全全技术与与应用信息安全全等级保保护制度度计算机信信息系统统实行安安全等级级保护;《信息系统统安全保保护等级级定级指指南》;《信息系统统安全等等级保护护实施指指南》《信息系统统安全等等级保护护基本要要求》;《信息系统统安全等等级保护护测评要要求》;《信息系统统安全等等级保护护测评过过程指南南》;《信息系统统等级保保护安全全设计技技术要求求》信息安全全技术与与应用国际联网网备案与与媒体进进出境制制度信息安全全技术与与应用安全管理理与计算算机犯罪罪报告制制度计算机信信息系统统的使用用单位应应当建立立健全安安全管理理制度，，负责本本单位计计算机信信息系统统的安全全保护工工作;《中华人民民共和国国刑法》非法侵入入计算机机信息系系统罪;破坏计算算机信息息系统罪罪;打击计算算机犯罪罪的关键键是获取取真实、、可靠、、完整和和符合法法律规定定的电子子证据;计算机取取证目前前已成为为网络安安全领域域中的研研究热点点。信息安全全技术与与应用计算机病病毒与有有害数据据防治制制度计算机病病毒是指指编制或或者在计计算机程程序中插插入的破破坏计算算机功能能或者毁毁坏数据据，影响响计算机机使用，，并能自自我复制制的一组组计算机机指令或或者程序序代码；；《2011年全国信信息网络络安全状状况与计计算机及及移动终终端病毒毒疫情调调查分析析报告》；计算机病病毒感染染率为48.87%；计算机病病毒主要要通过电电子邮件件、网络络下载或或浏览、、局域网网及移动动存储介介质等途途径传播播；有67.43%的移动终终端感染染过病毒毒。信息安全全技术与与应用安全专用用产品销销售许可可证制度度信息安全全技术与与应用1.5信息安全等级级保护法规和和标准信息安全等级级保护工作是是我国为保障障国家安全、、社会秩序、、公共利益以以及公民、法法人和其他组组织合法权益益强制实施的的一项基本制制度；信息系统安全全等级保护法法规《关于信息安全全等级保护工工作的实施意意见》；《信息安全等级级保护管理办办法》；《关于开展全国国重要信息系系统安全等级级保护定级工工作的通知》；《信息安全等级级保护备案实实施细则》；《公安机关信息息安全等级保保护检查工作作规范》；《关于开展信息息安全等级保保护安全建设设整改工作的的指导意见》信息安全技术术与应用信息安全等级级保护的实施施信息安全等级级保护意义；；信息安全等级级保护原则；；对信息安全分分等级、按标标准进行建设设、管理和监监督；信息安全等级级保护内容第一级至第五五级分别称为为自主保护、、指导保护、、监督保护、、强制保护和和专控保护等等级信息安全等级级保护职责分分工信息安全技术术与应用信息安全等级级保护划分第一级：信息息系统受到破破坏后，会对对公民、法人人和其他组织织的合法权益益造成损害，，但不损害国国家安全、社社会秩序和公公共利益；第二级：…，会对公民、、法人和其他他组织的合法法权益产生严严重损害，或或者对社会秩秩序和公共利利益造成损害害，但不损害害国家安全；；第三级：…，会对社会秩秩序和公共