第一讲网络安全概论.ppt

与网络安全相关的问题 网络安全的重要性 网络攻防技术 信息隐藏与数字水印 无线网络安全 生物认证技术 信息安全新技术 单机系统的信息必威体育官网网址阶段 各种密码算法及其应用（DES、RSA、ECC） 安全评价准则（TCSEC、ITSEC） 影响因素有：设备故障、误码、人为攻击、病毒等 主要方法有：协议、纠错编码方法、密码校验和方法、数字签名、公证 信息加密也是现代密码学主要组成部分。 按密钥类型划分，加密算法可分为对称密钥加密算法和非对称密钥两种； 按密码体制分，可分为序列密码和分组密码算法两种。 用加密的方法与其他技术相结合，可以提供数据的必威体育官网网址性和完整性。 与加密机制伴随而来的是密钥管理机制。 作业1 请比较可信计算机系统评价准则和中国计算机安全等级划分标准之间的区别和联系。 * 在软件的开发阶段，程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。但是，如果这些后门被其他人知道，或是在发布软件之前没有删除后门程序，那么它就成了安全风险，容易被黑客当成漏洞进行攻击。 * * 保证数据完整性的一般方法是：发送实体在一个数据单元上加一个标记，这个标记是数据本身的函数，如一个分组校验，或密码校验函数，它本身是经过加密的。接收实体是一个对应的标记，并将所产生的标记与接收的标记相比较，以确定在传输过程中数据是否被修改过。 * cc是国际标准化组织统一现有多种准则的结果，是目前最全面的评价准则。1996年6月，cc第一版发布；1998年5月，cc第二版发布；1999年10月cc v2.1版发布，并且成为iso标准。cc的主要思想和框架都取自itsec和fc，并充分突出了“保护轮廓”概念。cc将评估过程划分为功能和保证两部分，评估等级分为eal1、eal2、eal3、eal4、eal5、eal6和eal7共七个等级。每一级均需评估7个功能类，分别是配置管理、分发和操作、开发过程、指导文献、生命期的技术支持、测试和脆弱性评估。  BS7799由英国标准协会提出。2000年由ISO审核通过成为国际标准（代号ISO17799），现已成为信息安全领域中应用最普遍、最典型的标准之一。 BS7799是一个非常详细的安全标准，有10个组成部分，每部分覆盖一个不同的主题或领域。 （1）商务可持续计划 （2）系统访问权限控制 （3）系统开发和维护 （4）物理与环境安全 （5）遵守法律和规定 （6）人事安全 （7）安全组织 （8）计算机和网络管理 （9）资产分类和控制 （10）安全方针 * 第一个有关信息技术安全评价的标准诞生于八十年代的美国，就是著名的“可信计算机系统评价准则”（tcsec，又称桔皮书）。该准则对计算机操作系统的安全性规定了不同的等级。从九十年代开始，一些国家和国际组织相继提出了新的安全评价准则。1991年，欧共体发布了“信息技术安全评价准则”（itsec）。1993年，加拿大发布了“加拿大可信计算机产品评价准则”（ctcpec），ctcpec综合了tcsec和itsec两个准则的优点。同年，美国在对tcsec进行修改补充并吸收itsec优点的基础上，发布了“信息技术安全评价联邦准则”（fc）。1993年6月，上述国家共同起草了一份通用准则（cc），并将cc推广为国际标准。 * d类安全等级只包括d1一个级别。d1的安全等级最低。 * 信息安全的重要性 左的认识往往过分强调信息安全的重要性，夸大危害和后果，不讲利弊的辩证关系，动不动提到国家安全的高度 右的认识则对信息安全过分不重视，看不到网络入侵所造成的严重后果，因而没有投入必要的人、财、物力来加强网络的安全性，未能采取正确的安全策略和安全机制。 需求的准确性 用户首先对自身系统所面临的威胁进行风险评估，决定所需要的安全服务，选择相应的安全机制，然后集成先进的安全技术，提供可靠的安全功能，形成一个良好的信息安全方案，并能正确实现，就能在享受网络信息化优势的同时，把风险减到最小。 风险意识 风险意识的建立是以利弊分析为基础的 利弊分析 利弊分析是具体的，需要将抽象事物要具体量化，笼统的分析是得不出准确得结果的。 应当把安全所投入的经费和所带来的效益作一详细的分析。建设投入和运行投入很容易量化，经济效益和损失也较容易量化，但社会效益和损失不好量化。 特定的安全系统是一个实在的运行系统，应当以量化的指标来衡量其效益或损失。在这些方面保险公司的做法是可以借鉴的 * 非法访问(以未经授权的方式使用网络资源) 破坏信息的完整性(通过篡改、删除和插入等方式破坏信息的完整性) 冒充(攻击者利用冒充手段窃取信息、入侵系统、破坏网络正常通讯或欺骗合法主机和合法用户。) 流量分析攻击(分析通信双方通信流量的大小，以期获得相关信息。) 其他威胁(病毒、电磁泄漏、各种