《信息安全技术教程-第1章.ppt》由会员分享,可在线阅读,更多相关《信息安全技术教程-第1章.ppt(23页珍藏版)》请在三一文库上搜索。
1、主讲人:宋萌,信息安全技术教程,培训目的,通过信息安全技术教程课程的学习,使学员清晰了解信息安全技术的基本知识;掌握开放系统互连安全体系结构与框架、安全服务与安全机制、物理安全、容灾与数据备份技术、基础安全技术、系统安全技术、网络安全技术、应用安全技术等内容。从技术上确保本单位的信息系统的安全性、增强本单位对安全威胁的免疫能力和减少信息安全事件带来的各种损失。,第一章 概述,本章学习目的 了解信息安全技术体系结构、信息保障技术框架 了解安全服务与安全机制、信息安全技术发展趋势,本章概览,本章重点对信息安全技术体系进行一个概要阐述。 目前,被广泛使用的对于信息技术体系的划分方法包括: 开放系统互
2、连(Open System Interconnection,简称OSI)安全体系结构与框架 美国信息保障技术框架(Information Assurance Technical Framework,简称IATF) 前者针对OSI网络模型将安全服务与安全机制在每个层次上进行对应;后者则从系统扩展互联的角度,将安全技术分散在端系统、边界系统、网络系统以及支撑系统。 本章给出了本书中依据的信息安全技术体系,该结构保留了IATF的划分层次,即从单个系统到基于网络互联的系统,同时又对应了OSI的七层网络结构。 本章提出的信息安全技术体系将安全技术分成物理安全技术、基础安全技术、系统安全技术、网络安全技术
3、和应用安全技术五个层次。本章阐述的体系结构也是本书的主线,本书后续章节将按照它逐章展开,深入讨论每个层次技术的概念、功能和应用等。,第一节 信息安全技术体系发展,一、开放系统互连安全体系结构与框架 即:Open System Interconnection,简称OSI (一)OSI安全体系结构 OSI安全体系结构标准不是能够实现的标准,而是描述如何设计标准的标准。 OSI安全体系结构认为一个安全的信息系统结构应该包括: (1)五种安全服务; (2)八类安全技术和支持上述的安全服务的普遍安全技术; (3)三种安全管理方法,即系统安全管理、安全服务管理和安全机制管理。,将OSI安全体系结构要求的内
4、容与OSI网络层次模型的关系画在一个三维坐标图上,如下图所示:,(二)OSI安全框架 OSI安全框架与OSI安全体系结构的关系是:OSI安全框架是对OSI安全体系结构的扩展,它的目标是解决“开放系统”中的安全服务,此时“开放系统”已经从原来的OSI扩展为一个囊括了数据库、分布式应用、开放分布式处理和OSI的复杂系统。,OSI安全框架包括如下七个部分的内容: (1)安全框架综述:简述了各个组成部分和一些重要的术语和概念,如封装、单向函数、私钥、公钥等; (2)认证框架:定义了有关认证原理和认证体系结构的重要术语,同时提出了对认证交换机制的分类方法; (3)访问控制框架:定义了在网络环境下提供访问
5、控制功能的术语和体系结构模型; (4)非否认框架:描述了开放系统互连中非否认的相关概念; (5)机密性框架:描述了如何通过访问控制等方法来保护敏感数据,提出了机密性机制的分类方法,并阐述了与其他安全服务和机制的相互关系; (6)完整性框架:描述了开放系统互连中完整性的相关概念; (7)安全审计框架:该框架的目的在于测试系统控制是否充分,确保系统符合安全策略和操作规范,检测安全漏洞,并提出相应的修改建议。,OSI安全体系结构和框架标准作为“标准的标准”有两个实际用途:一是指导可实现的安全标准的设计;二是提供一个通用的术语平台。 实际上,随着后续安全标准的制定和颁布,OSI安全体系结构和框架的指导
6、作用正在减弱,但是其重大意义在于为后续标准提供了通用的、可理解的概念和术语。,第一节 信息安全技术体系发展,二、美国信息保障技术框架 即:InformationAssuranceTechnicalFramework,简称IATF IATF强调从边界的角度来划分信息系统,从而实现对信息系统的保护。边界被确定在信息资源的物理和(或)逻辑位置之间,通过确立边界,可以确定需要保护的信息系统的范围。,IATF将信息系统的信息保障技术层面分为四个部分: 1.本地计算环境 2.区域边界(本地计算机区域的外缘) 3.网络与基础设施 4.支持性基础设施 IATF实际上是将安全技术分成了四个层次,其分类的依据是按
7、照信息系统组织的特性确定的,从端系统、端系统边界、边界到互相连接的网络,同时还考虑了每个层次共同需要的支撑技术。,第二节 信息安全技术体系结构 体系发展,信息安全技术体系结构如下图所示:,我们提出的信息安全技术体系结构是一种普适的划分方法,依据了信息系统的自然组织方式: (1)物理基础:一个信息系统依存的主体是构成系统的设备以及系统存在的物理环境,这些是任何信息系统都具有的。 (2)系统基础:原始的硬件设备本身并不能运转起来,需要各种软件的配合,如操作系统和数据库,这些软件也是一个信息系统的基本要求。 (3)网络基础:具备了物理的和系统的条件,一个信息系统就可以运转起来,除此之外,系统还有相互
8、通信的需求,此时就需要各种网络技术的支持。 (4)上层应用:上述三个基础对于各种系统或者同类系统都是相似的,是属于共性的方面。信息系统的特性在于其实现的功能不同,即我们常说的上层应用或者服务。 (5)支撑基础:除了上述四个层次的技术之外,还有一些技术是在这四个层次中都会使用的技术,很难说这些技术是属于哪个层次的,如密钥服务、PKI技术等。,一、物理安全技术 物理安全技术按照需要保护的对象可以分为:环境安全技术和设备安全技术。 (1)环境安全技术,是指保障信息网络所处环境安全的技术。主要技术规范是对场地和机房的约束,强调对于地震、水灾、火灾等自然灾害的预防措施。 (2)设备安全技术,是指保障构成
9、信息网络的各种设备、网络线路、供电连接、各种媒体数据本身以及其存储介质等安全的技术。主要是对可用性的要求,如防盗、防电磁辐射。 物理安全技术的保护范围仅仅限于物理层面,即所有具有物理形态的对象,从外界环境到构成信息网络所需的物理条件,以及信息网络产生的各种数据对象。 物理安全是整个信息网络安全的前提,如果破坏了物理安全,系统将会变得不可用或者不可信,而且,其他上层安全保护技术也将会变得形同虚设。,二、基础安全技术 IATF将KMI和检测与响应基础设施称为支持性基础设施,前者重点包括了PKI技术。 本书中重点介绍加密技术和PKI技术。,三、系统安全技术 1.操作系统安全 操作系统安全技术有两方面
10、的含义:一是操作系统的自身安全,即遵循什么样的原则构建操作系统才是安全的,包括硬件安全机制和软件安全机制;二是操作系统提供给用户和上层应用的安全措施。 2.数据库系统安全 数据库系统的安全技术目的是保证数据库能够正确地操作数据,实现数据读写、存储的安全。,四、网络安全技术 信息网络必然需要网络环境的支持。网络安全技术,是指保护信息网络依存的网络环境的安全保障技术,通过这些技术的部署和实施,确保经过网络传输和交换的数据不会被增加、修改、丢失和泄露等。 最常用的网络安全技术包括防火墙、入侵检测、漏洞扫描、抗拒绝服务攻击等。,五、应用安全技术 任何信息网络存在的目的都是为某些对象提供服务,我们常常把
11、它们称为应用。如电子邮件、FTP、HTTP等。 应用安全技术,是指以保护特定应用为目的的安全技术,如反垃圾邮件技术、网页防篡改技术、内容过滤技术等。,第三节 安全服务与安全机制,一、安全服务 1.认证(Authentication):认证提供了关于某个实体(如人、机器、程序、进程等)身份的保证,为通信中的对等实体和数据来源提供证明 2.访问控制(AccessControl):访问控制的作用是防止任何实体以任何形式对任何资源(如计算机、网络、数据库、进程等)进行非授权的访问。 3.数据机密性(DataSecrecy):数据机密性就是保护信息不泄漏或者不暴露给那些未经授权的实体。 4.数据完整性(
12、DataIntegrity):数据完整性,是指保证数据在传输过程中没有被修改、插入或者删除。 5.非否认(Non-Reputation):非否认服务的目的是在一定程度上杜绝通信各方之间存在着相互欺骗行为,通过提供证据来防止这样的行为,二、安全机制 安全服务必须依赖安全机制来实现。OSI安全体系结构中提出了八种安全机制: (1)加密 (2)数字签名 (3)访问控制 (4)数据完整性 (5)认证交换 (6)业务流填充 (7)路由控制 (8)公证,三、安全服务与安全机制的关系 八种安全机制与五大安全服务之间的关系如下表所示:,四、安全服务与网络层次的关系 OSI安全体系结构的一个非常重要的贡献是,它将八种安全服务在OSI七层网络参考模型中进行了对号入座,实现了安全服务与网络层次之间的对应关系,如下表所示:,第四节 信息安全技术发展趋势,信息安全技术有着自身的发展轨迹和趋势: (一)新兴信息安全技术将称为主流 1.IPv6安全 2.无线安全 3.嵌入式系统安全 (二)安全技术开始与其他技术进行融合 (三)许多安全技术由独立走向融合 (四)监控技术成为互联网安全的主流 (五)信息安全技术体系逐步形成并成熟起来,