信息安全技術(shù)——

網(wǎng)絡(luò)安全技術(shù)概論提綱網(wǎng)絡(luò)在當(dāng)今社會中的重要作用網(wǎng)絡(luò)世界中的安全威脅信息安全的內(nèi)涵信息安全體系結(jié)構(gòu)與模型網(wǎng)絡(luò)信息安全管理體系網(wǎng)絡(luò)信息安全評測認(rèn)證體系網(wǎng)絡(luò)信息安全與法律網(wǎng)絡(luò)信息安全的內(nèi)涵信息安全的內(nèi)涵網(wǎng)絡(luò)出現(xiàn)前主要指面向數(shù)據(jù)的安全，即對信息的機(jī)密性（Confidentiality）、完整性（Integrity）和可用性（Availability）的保護(hù)（即通常所說的CIA

三元組）網(wǎng)絡(luò)出現(xiàn)后除上述概念外，還涵蓋了面向用戶的安全，即鑒別、授權(quán)、訪問控制、抗否認(rèn)性和可服務(wù)性，以及對于內(nèi)容的個人隱私、知識產(chǎn)權(quán)等的保護(hù)。——以上兩者結(jié)合就是現(xiàn)代的信息安全體系結(jié)構(gòu)網(wǎng)絡(luò)信息安全網(wǎng)絡(luò)信息安全網(wǎng)絡(luò)上信息的安全，即網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)安全。網(wǎng)絡(luò)信息的傳輸、存儲、處理和使用都要求處于安全的狀態(tài)。網(wǎng)絡(luò)的安全將成為傳統(tǒng)的國界、領(lǐng)海、領(lǐng)空的三大國防和基于太空的第四國防之外的第五國防，稱為cyber-space信息安全即將進(jìn)入綜合研究時期。從最初的信息保密性發(fā)展到信息的完整性、可用性、可控性和不可否認(rèn)性，進(jìn)而又發(fā)展為攻（攻擊）、防（防范）、測（檢測）、控（控制）、管（管理）、評（評估）”等多方面的理論和實(shí)施技術(shù)的研究。對網(wǎng)絡(luò)信息安全的幾點(diǎn)認(rèn)識信息安全是體系的概念全面考慮信息靜態(tài)和動態(tài)安全充分重視技術(shù)與人的結(jié)合信息安全是一個長期、動態(tài)的過程，其中維護(hù)和管理是關(guān)鍵安全是相對的，不存在絕對安全投入安全的成本應(yīng)遠(yuǎn)小于被保護(hù)資源的價值信息系統(tǒng)不是越安全越好信息安全體系的建立必須有相應(yīng)的保護(hù)對象安全和服務(wù)質(zhì)量往往是相互矛盾的網(wǎng)絡(luò)信息安全的基本特征保密性信息不泄露給非授權(quán)的個人、實(shí)體和過程，或供其使用；完整性信息未經(jīng)授權(quán)不能被修改、破壞、插入、延遲、亂序和丟失；可用性保證合法用戶在需要時可以訪問到信息及相關(guān)資產(chǎn)；可控性授權(quán)機(jī)構(gòu)對信息的內(nèi)容及傳播具有控制能力，可以控制授權(quán)范圍內(nèi)的信息流向及其方式；可審查性在信息交流過程結(jié)束后，通信雙方不能抵賴曾經(jīng)做出的行為，也不能否認(rèn)曾經(jīng)接收到對方的信息；信息安全研究的內(nèi)容安全目標(biāo)：機(jī)密性、完整性、抗否認(rèn)性、可用性平臺安全：物理安全網(wǎng)絡(luò)安全系統(tǒng)安全數(shù)據(jù)安全邊界安全用戶安全安全理論：身份認(rèn)證訪問控制審計追蹤安全協(xié)議安全技術(shù)：防火墻技術(shù)漏洞掃描技術(shù)入侵檢測技術(shù)防病毒技術(shù)密碼理論：數(shù)據(jù)加密、數(shù)字簽名、消息摘要、密鑰管理安全管理:安全標(biāo)準(zhǔn)安全策略

安全評測網(wǎng)絡(luò)信息安全的關(guān)鍵技術(shù)網(wǎng)絡(luò)信息安全的關(guān)鍵技術(shù)主機(jī)安全技術(shù)身份認(rèn)證技術(shù)訪問控制技術(shù)加密技術(shù)防火墻技術(shù)安全審計/入侵檢測技術(shù)安全管理技術(shù)信息安全分類(1/5)監(jiān)察安全監(jiān)控查驗(yàn)發(fā)現(xiàn)違規(guī)，確定入侵，定位損害、監(jiān)控威脅犯罪起訴起訴，量刑糾偏建議信息安全分類(2/5)管理安全技術(shù)管理安全多級安全用戶鑒別技術(shù)的管理多級安全加密技術(shù)的管理密鑰管理技術(shù)的管理行政管理安全人員管理系統(tǒng)管理應(yīng)急管理安全應(yīng)急的措施組織入侵的自衛(wèi)與反擊信息安全分類(3/5)技術(shù)安全實(shí)體安全環(huán)境安全（溫度、濕度、氣壓等）建筑安全（防雷、防水、防鼠等）網(wǎng)絡(luò)與設(shè)備安全軟件安全軟件的安全開發(fā)與安裝軟件的安全復(fù)制與升級軟件加密軟件安全性能測試數(shù)據(jù)安全（數(shù)據(jù)加密，數(shù)據(jù)存儲安全，數(shù)據(jù)備份）運(yùn)行安全（訪問控制，審計跟蹤，入侵告警與系統(tǒng)恢復(fù)等）信息安全分類(4-5/5)立法安全有關(guān)信息安全的政策、法令、法規(guī)認(rèn)知安全辦學(xué)，獎懲與揚(yáng)抑，信息安全宣傳與普及教育網(wǎng)絡(luò)信息安全策略安全策略在特定環(huán)境里，為保證提供一定級別的安全保護(hù)所必須遵守的規(guī)則。是網(wǎng)絡(luò)安全技術(shù)集成的基礎(chǔ)主要手段法律手段：通過建立與信息安全有關(guān)的法律、法規(guī)技術(shù)手段：諸如入侵檢測、防火墻、訪問控制、密碼體系等；管理手段：管理方法、管理體制，整體的信息安全意識網(wǎng)絡(luò)信息安全策略的5個方面網(wǎng)絡(luò)信息安全策略的5個方面物理安全策略訪問控制策略防火墻控制信息加密策略網(wǎng)絡(luò)安全管理策略提綱網(wǎng)絡(luò)在當(dāng)今社會中的重要作用網(wǎng)絡(luò)世界中的安全威脅信息安全的內(nèi)涵信息安全體系結(jié)構(gòu)與模型網(wǎng)絡(luò)信息安全管理體系網(wǎng)絡(luò)信息安全評測認(rèn)證體系網(wǎng)絡(luò)信息安全與法律知識點(diǎn)網(wǎng)絡(luò)參考模型和安全體系結(jié)構(gòu)網(wǎng)絡(luò)信息安全解決方案網(wǎng)絡(luò)信息安全等級與標(biāo)準(zhǔn)網(wǎng)絡(luò)參考模型與安全體系結(jié)構(gòu)網(wǎng)絡(luò)的體系結(jié)構(gòu)采用分層原則層與協(xié)議的集合網(wǎng)絡(luò)參考模型ISO-OSI（國際標(biāo)準(zhǔn)化組織-開放系統(tǒng)互連）模型TCP/IP模型（IETF）安全體系結(jié)構(gòu)：ITU-T的X.800和IETF的RFC2808安全攻擊：損害信息或信息系統(tǒng)安全的任何行為安全機(jī)制：用于檢測、預(yù)防安全攻擊或者恢復(fù)系統(tǒng)的機(jī)制安全服務(wù)：用于提供信息處理、存儲系統(tǒng)和信息傳輸安全的服務(wù)，這些服務(wù)致力于抵御安全攻擊安全模型網(wǎng)絡(luò)安全模型：涉及信息在網(wǎng)絡(luò)傳輸中的安全網(wǎng)絡(luò)訪問安全模型：涉及網(wǎng)絡(luò)本身的安全I(xiàn)SO安全體系結(jié)構(gòu)ISO安全體系結(jié)構(gòu)安全服務(wù)安全機(jī)制安全管理ISO安全體系結(jié)構(gòu)ISO安全體系結(jié)構(gòu)安全服務(wù)安全機(jī)制安全管理安全服務(wù)安全服務(wù)由參與通信的開放系統(tǒng)的某一層所提供的服務(wù)，確保該系統(tǒng)或數(shù)據(jù)傳輸具有足夠的安全性。ISO安全體系結(jié)構(gòu)所確定的5大類安全服務(wù)認(rèn)證訪問控制數(shù)據(jù)保密性數(shù)據(jù)完整性不可否認(rèn)ISO安全體系結(jié)構(gòu)ISO安全體系結(jié)構(gòu)安全服務(wù)安全機(jī)制 ——為安全服務(wù)提供支持安全管理安全機(jī)制安全機(jī)制ISO安全體系結(jié)構(gòu)定義的8大類安全機(jī)制加密機(jī)制數(shù)字簽名機(jī)制訪問控制機(jī)制數(shù)據(jù)完整性機(jī)制鑒別交換機(jī)制業(yè)務(wù)填充機(jī)制路由控制機(jī)制公證機(jī)制ISO安全體系結(jié)構(gòu)ISO安全體系結(jié)構(gòu)安全服務(wù)安全機(jī)制安全管理安全管理安全管理實(shí)施一系列安全政策，對系統(tǒng)和網(wǎng)絡(luò)上的操作進(jìn)行管理。系統(tǒng)安全管理安全服務(wù)管理安全機(jī)制管理安全服務(wù)與攻擊的關(guān)系攻擊服務(wù)報文分析流量分析偽裝重放篡改拒絕服務(wù)對等實(shí)體認(rèn)證Y數(shù)據(jù)源認(rèn)證Y訪問控制Y機(jī)密性Y流量機(jī)密性Y數(shù)據(jù)完整性YY非否認(rèn)服務(wù)可用性Y安全服務(wù)與機(jī)制的關(guān)系機(jī)制服務(wù)加密數(shù)字簽名訪問控制完整性認(rèn)證流量填充路由控制公證對等實(shí)體認(rèn)證YYY數(shù)據(jù)源認(rèn)證YY訪問控制Y機(jī)密性YY流量機(jī)密性YYY數(shù)據(jù)完整性YYY非否認(rèn)服務(wù)YYY可用性YY知識點(diǎn)網(wǎng)絡(luò)參考模型和安全體系結(jié)構(gòu)網(wǎng)絡(luò)信息安全解決方案網(wǎng)絡(luò)信息安全等級與標(biāo)準(zhǔn)知識點(diǎn)動態(tài)的自適應(yīng)網(wǎng)絡(luò)模型背景模型的提出P2DR安全模型5層網(wǎng)絡(luò)安全模型動態(tài)的自適應(yīng)網(wǎng)絡(luò)模型（1/4）提出的背景基于靜態(tài)密碼體系的安全理論無法完整地描述動態(tài)的安全模型現(xiàn)有的安全標(biāo)準(zhǔn)未能涵蓋可能的風(fēng)險；基于經(jīng)典的、傳統(tǒng)的計算機(jī)安全防護(hù)手段已經(jīng)不能有效保障網(wǎng)絡(luò)安全，信息安全防衛(wèi)體系發(fā)生動搖動態(tài)的自適應(yīng)網(wǎng)絡(luò)模型（2/4）模型的提出20世紀(jì)90年代末，美國國際互聯(lián)網(wǎng)公司（ISS）提出了自適應(yīng)網(wǎng)絡(luò)安全模型ANSM（AdaptiveNetworkSecurityModel)該模型可以量化，可由數(shù)學(xué)家證明動態(tài)的自適應(yīng)網(wǎng)絡(luò)模型（3/4）基于時間的安全模型P2DRPolicyProtectionDetectionResponse模型描述安全=風(fēng)險分析+執(zhí)行策略+系統(tǒng)實(shí)施+漏洞檢測+實(shí)時響應(yīng)防護(hù)檢測反應(yīng)策略P2DR安全模型動態(tài)的自適應(yīng)網(wǎng)絡(luò)模型（4/4）P2DR安全模型的特點(diǎn)強(qiáng)調(diào)系統(tǒng)安全的動態(tài)性，以安全檢測、漏洞監(jiān)測和自適應(yīng)填充“安全間隙”為循環(huán)來提高網(wǎng)絡(luò)安全，特別考慮到人為管理的因素特點(diǎn)安全管理的持續(xù)性、安全策略的動態(tài)性可測性（可控性）新技術(shù)的引入：利用專家系統(tǒng)、統(tǒng)計分析、神經(jīng)網(wǎng)絡(luò)等方法對現(xiàn)有網(wǎng)絡(luò)行為進(jìn)行實(shí)時監(jiān)控報告和分析——該模型已經(jīng)成為目前國際上比較實(shí)際并可以指導(dǎo)信息系統(tǒng)安全建設(shè)和安全運(yùn)營的安全模型框架，表明當(dāng)前的信息安全是面向網(wǎng)管、面向規(guī)約的。知識點(diǎn)動態(tài)的自適應(yīng)網(wǎng)絡(luò)模型5層網(wǎng)絡(luò)安全模型網(wǎng)絡(luò)層的安全性系統(tǒng)的安全性用戶的安全性應(yīng)用程序的安全性數(shù)據(jù)的安全性5層網(wǎng)絡(luò)安全模型5層網(wǎng)絡(luò)安全模型在考慮網(wǎng)絡(luò)安全時，應(yīng)充分考慮哪些問題網(wǎng)絡(luò)是否安全？操作系統(tǒng)是否安全？用戶是否安全？應(yīng)用程序是否安全？數(shù)據(jù)是否安全？——網(wǎng)絡(luò)層的安全性——系統(tǒng)的安全性——用戶的安全性——應(yīng)用程序的安全性——數(shù)據(jù)的安全性5層安全體系，各層之間并非孤立分散，而是相互作用。在實(shí)際操作中，需要從整體角度來考慮。5層網(wǎng)絡(luò)安全模型(1/5)網(wǎng)絡(luò)層的安全性問題的核心：網(wǎng)絡(luò)是否得到控制是否任何一個IP地址的用戶都可以進(jìn)入網(wǎng)絡(luò)目的：阻止非信任IP的訪問方法專用網(wǎng)（如軍網(wǎng)）防火墻虛擬專用網(wǎng)（VPN）5層網(wǎng)絡(luò)安全模型(2/5)系統(tǒng)的安全性兩個需要考慮的問題病毒對網(wǎng)絡(luò)的威脅黑客對網(wǎng)絡(luò)的破壞和入侵對策防病毒軟件安全的系統(tǒng)配置，科學(xué)的風(fēng)險評估和補(bǔ)漏機(jī)制，審計分析系統(tǒng)5層網(wǎng)絡(luò)安全模型(3/5)用戶的安全性需要考慮的問題是否只有那些真正被授權(quán)的用戶才能使用系統(tǒng)中的資源和數(shù)據(jù)方法分組分級管理身份認(rèn)證存在的問題用戶個人的安全警惕性技術(shù)漏洞5層網(wǎng)絡(luò)安全模型(4/5)應(yīng)用程序的安全性需要考慮的問題是否只有合法的用戶才能對特定的數(shù)據(jù)進(jìn)行合法的操作應(yīng)用程序?qū)?shù)據(jù)的合法權(quán)限應(yīng)用程序?qū)τ脩舻暮戏?quán)限5層網(wǎng)絡(luò)安全模型(5/5)數(shù)據(jù)的安全性需要考慮的問題機(jī)密數(shù)據(jù)是否還處于機(jī)密狀態(tài)傳輸、保存過程和使用過程知識點(diǎn)網(wǎng)絡(luò)參考模型和安全體系結(jié)構(gòu)網(wǎng)絡(luò)信息安全解決方案網(wǎng)絡(luò)信息安全等級與標(biāo)準(zhǔn)網(wǎng)絡(luò)信息安全等級和標(biāo)準(zhǔn)網(wǎng)絡(luò)信息安全等級和標(biāo)準(zhǔn)國外TCSEC標(biāo)準(zhǔn)、歐洲ITSEC標(biāo)準(zhǔn)、加拿大CTCPEC評價標(biāo)準(zhǔn)、美國聯(lián)邦準(zhǔn)則FC、聯(lián)合公共準(zhǔn)則CC標(biāo)準(zhǔn)、BS7799標(biāo)準(zhǔn)（BS7799-1目前已正式成為ISO國際標(biāo)準(zhǔn)，BS7799-2正在轉(zhuǎn)換成ISO國際標(biāo)準(zhǔn)的過程中）我國GB17895-1999《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》其他——具體請參看教材page:12-14提綱網(wǎng)絡(luò)在當(dāng)今社會中的重要作用網(wǎng)絡(luò)世界中的安全威脅信息安全的內(nèi)涵信息安全體系結(jié)構(gòu)與模型網(wǎng)絡(luò)信息安全管理體系網(wǎng)絡(luò)信息安全評測認(rèn)證體系網(wǎng)絡(luò)信息安全與法律知識點(diǎn)信息安全管理體系的定義信息安全管理體系的構(gòu)建信息安全管理體系的定義信息安全管理體系的定義《信息安全管理體系（ISMS）標(biāo)準(zhǔn)》英國標(biāo)準(zhǔn)協(xié)會1995年制定1999年提交ISO2000年12月，經(jīng)ISO成員國投票通過，部分已施行提供127種安全控制指南，對計算機(jī)網(wǎng)絡(luò)與信息安全的控制措施進(jìn)行了闡述主要內(nèi)容信息安全對策、信息安全組織、信息資產(chǎn)分類與管理、個人信息安全、物理和環(huán)境安全、通信和操作安全管理、存取控制、信息系統(tǒng)的開發(fā)和維護(hù)、持續(xù)運(yùn)營管理等信息安全體系的建立信息安全體系的建立網(wǎng)絡(luò)與信息安全=信息安全技術(shù)

+信息安全管理體系技術(shù)層面管理層面信息安全