《网络安全综述》

物联网平安Aug.2021张猛编辑ppt课程简介课程性质物联网专业的必修课48学时讲授根本原理，结合实例。编辑ppt教材主要参考教材?密码编码学与网络平安?，电子工业出版社，WilliamStallings著。?现代密码学?，国防工业出版社，Katz著。?物联网平安?，清华大学出版社，任伟著。编辑ppt课程简介预备知识网络及TCP/IP协议Unix/windows操作系统原理编程其他相关课程计算机平安，平安程序设计,数据库平安，算法与数据结构、离散数学编辑ppt课程内容密码学网络平安访问控制与平安模型平安编程编辑ppt第1章网络平安综述编辑ppt网络平安综述平安概念和术语网络平安威胁网络攻击X.800平安体系结构X.805平安体系框架网络平安模型平安评估与风险管理编辑ppt平安平安的含义平安的…SECURECOMPUTER.Acomputerissecureifyoucandependonitanditssoftwaretobehaveasyouexpect.在一些假定下是平安的不平安的…计算机平安网络平安两者间没有明确的边界。例如，计算机病毒同样可以通过互联网进行传播。编辑ppt物联网平安感知层RFID传感器网网络层远距离接入2G、3G、4G近距离接入WLAN核心网IPSec/VPN、SSL/TLS、6LoWPAN云计算平安编辑ppt根本平安效劳(目标)CIAConfidentiality(保密性)Integrity(完整性)Availability(可用性)DenialofServiceAttacksVirusthatdeletesfiles身份验证Authentication(鉴别)Non-repudiation(不可否认)都可归结于访问控制编辑pptC保密性：对信息或资源的隐藏〔读〕内容密码学机制依赖于系统的机制存在性的保密资源隐藏，os指纹编辑pptI完整性：信息或资源的可信度〔写〕数据完整性来源完整性〔身份证明，认证〕数据流完整性效劳保证发出的消息与收到的消息一致，没有被修改，插入，更改顺序或重放。保护完整性的机制预防机制阻止未经授权的写的企图阻止用未经授权的方法写的企图检测机制编辑pptA可用性：对信息或资源的期望使用能力。拒绝效劳攻击：企图破坏可用性发现异常事件编辑ppt不可否认保证用户无法事后否认曾对信息进行生成、签发、接收等行为。源不可否认性宿不可否认性数字签名编辑ppt不同计算机系统的平安需求银行完整性国防相关机密性大学可用性，完整性确定系统的平安目标CIA重点在预防，但授权行为也可能不平安平安系统存在缺陷问责性、不可否认性(nonrepudiation)发送接收的。。。机制：身份认证，数字签名编辑ppt网络平安威胁Internet、TCP/IP的在设计时注重于功能、效率。平安不是重点。假设用户是老实的。随着网络在社会生活中的渗透，平安问题才显露出来。平安有代价，与可用性，效率相矛盾编辑ppt平安脆弱性是系统设计、实现或运行中的、可被利用来破坏系统平安性的瑕疵或弱点.内生外生，Windows7将对恶意代码的判断给用户。威胁，潜在的对平安的破坏。平安风险来源于平安脆弱性与平安威胁的结合。脆弱性，威胁和风险编辑ppt2021操作系统漏洞数量排名编辑ppt2021应用程序漏洞数量排名编辑ppt网络威胁的类型威胁分为：泄露、欺骗、破坏、篡夺窃听或者嗅探假冒重放流量分析破坏完整性拒绝效劳资源的非授权使用陷阱门/特洛伊木马病毒诽谤编辑ppt平安攻击平安攻击可被分为主动攻击〔activeattack〕、被动攻击〔passiveattack〕、物理攻击、内部人员攻击、软硬件配置攻击。〔IATF3.0〕被动攻击企图了解或利用系统信息但并不侵袭系统的资源。被动攻击在数据传输过程中的表现是，窃听(releaseofmessagecontent)、监视数据传输(流量分析-trafficanalysis)。在一个计算机系统中，往往是“读权限〞泄露给非授权用户。编辑ppt平安攻击嗅探、搭线监听、无线截获不易发现，主动攻击的前期阶段预防为主编辑ppt平安攻击主动攻击包含数据流的改写和错误数据流的添加，它可以划分为四类：假冒〔masquerade〕、重放〔replay〕、篡改〔modification〕和拒绝效劳〔denialofservice〕。编辑ppt平安攻击假冒、电子欺骗ARP、DNS欺骗编辑ppt平安攻击编辑ppt平安攻击Interruption〔中断〕:ThisisanattackonavailabilityInterception〔拦截〕:ThisisanattackonconfidentialityModification〔修改〕:ThisisanattackonintegrityFabrication〔伪造〕:Thisisanattackonauthenticity编辑ppt攻击的一般过程一般黑客的攻击大体有如下三个步骤1：信息收集2：对系统的平安弱点探测与分析3：实施攻击编辑ppt攻击的主要方式利用系统缺陷利用用户淡薄的平安意识内部用户的窃密、泄密和破坏恶意代码口令攻击和拒绝效劳利用Web效劳的缺陷编辑ppt平安策略与平安机制区别平安策略是对允许什么〔平安行为〕、禁止什么〔非平安行为〕的规定。如对password的策略。平安机制是实施平安策略的方法、工具或者规程。如果给定对“平安〞和“非平安〞行为进行描述的平安策略标准，平安机制就能够阻止攻击，检测攻击，或在遭受攻击后恢复系统工作。平安机制〔X.800〕:加密、数字签名、访问控制、完整性机制、鉴别、填充、路由控制、公证编辑pptX.800平安体系结构OSI各层提供的平安机制和效劳平安攻击平安机制平安效劳效劳和机制的关系编辑ppt平安攻击、平安机制和平安效劳平安攻击：是指损害机构信息系统平安的任何活动平安机制：是指设计用于检测、预防平安攻击或者从攻击状态恢复到系统正常状态所需的机制。平安效劳：是指采用一种或多种平安机制以抵御平安攻击、提高机构的数据处理系统平安和信息传输平安的效劳编辑ppt平安攻击、平安效劳与平安机制的关系编辑ppt平安效劳ITU-TX.800定义了五种和前述平安目标和攻击有关的效劳，这五种普通效劳的分类如图1-3所示。平安效劳一般都是根据前述平安攻击来设计的，实现不同的平安目标。编辑ppt平安机制平安机制是用来实施平安效劳的手段。平安机制既可以是具体的、特定的，也可以是通用的。主要有加密机制、数字签名机制、访问控制机制、数据完整性机制、认证交换机制、流量填充机制、路由控制机制和公证机制等编辑ppt平安机制分类编辑ppt效劳和机制之间的关系编辑pptX.805平安体系框架ITU-TX.805为解决端到端的网络平安问题确定了一种网络平安框架。该框架适用于关注端到端平安的各类网络，该框架独立于网络支撑技术。该平安架构定义了三个核心的平安组件：平安维度、平安层、平安平面编辑pptITU-TX.805所定义的平安维度访问控制；认证；不可否认性；数据机密性；通信平安；数据完整性；可用性；隐私保护。编辑pptITU-TX.805平安分层结构根底设施平安层；效劳平安层；应用平安层。平安各层通过顺序网络平安法，确定了哪些平安问题必须在产品和解决方案中得到解决编辑ppt平安维度用于各平安层编辑pptX.805管理平面；控制平面；最终用户平面。上述平安平面分别解决涉及网络管理活动、网络控制或信令活动以及最终用户活动的具体平安需求。编辑ppt平安架构平安分层

应用平安

编辑ppt网络平安模型信息系统的四方模型编辑ppt通信主体的平安机制对被传送的信息进行与平安相关的转换。两个通信主体共享不希望对手知道的秘密信息，如密钥等。可信第三方对手通信主体通信主体消息消息秘密消息秘密消息通信信道与安全相关的转换与安全相关的转换编辑ppt网络平安模型所需的四个根本要素同平安相关的转换算法的设计。生成算法所需的保密信息保密信息的平安分发和管理主体之间通信所必需的平安协议的设计，并且利用上述步骤中的平安算法和保密消息来共同实现特定的平安效劳。编辑ppt其侧重点在于如何有效保护客户端对效劳器的平安访问以及如何有效保护效劳器的平安性上面。万维网〔WWW〕的平安模型编辑ppt平安评估与风险管理评估方法评估标准评估的作用平安风险管理编辑ppt本钱-效益分析平安带来的两难选择，平安的本钱servicesofferedvssecurityprovidedeaseofusevssecuritycostofsecurityvsriskofloss资源配置问题风险评估识别资产识别威胁计算风险编辑ppt评估方法编辑ppt常用的评估方法通过网络枚举相关的IP网络和主机利用各类探测技术获取目标网络的详细资料〔内部/外部IP地址、效劳器结构信息、不同位置的IP网络之间的关系〕大规模网络扫描和探测识别容易受攻击的主机研究可能存在的漏洞并进一步探测网络对漏洞的渗透和平安防护机制的欺骗编辑ppt网络平安评估的循环方法编辑ppt评估标准信息技术平安评估标准信息技术平安评价的通用标准〔CC〕由六个国家〔美、加、英、法、德、荷〕于1996年联合提出BS7799是英国的工业、政府和商业共同需求而开展的一个标准国内主要是等同采用国际标准。公安部主持制定、国家质量技术监督局发布的中华人民共和国国家标准GB17895-1999?计算机信息系统平安保护等级划分准那么?已正式公布并实施编辑ppt评估的作用明确企业信息系统的平安现状确定企业信息系统的主要平安风险指导企业信息系统平安技术体系与管理体系的建设编辑ppt平安风险管理机构的风险级别识别出的薄弱点识别出的威胁现有防范措施编辑pptOCTAVE风险评估第一阶段：构建基于资源的威胁描述第二阶段：识别基础设施漏洞第三阶段：制定安全策略和计划准备系列研讨会编辑pptOCTAVE方法的三个阶段建立基于资产的配置威胁文件识别根底设施的薄弱点开发平安策略和方案编辑ppt建立基于资产的配置威胁文件标识高层管理部门的知识;标识业务区域管理部门的知识;标识员工的知识;建立威胁配置文件。编辑ppt识别根底设施的薄弱点在这一阶段中，是对当前信息根底设施的评价，包括数据收集和分析活动。通过检查信息技术根底结构的核心运行组件，可以发现能导致非授权行为的漏洞〔技术脆弱性〕本阶段主要由2个过程组成：1：标识关键组件；