1、主講人：宋萌信息安全技術教程整理ppt培訓目的通過信息安全技術教程課程的學習，使學員清晰了解信息安全技術的基本知識；掌握開放系統(tǒng)互連安全體系結構與框架、安全服務與安全機制、物理安全、容災與數(shù)據(jù)備份技術、基礎安全技術、系統(tǒng)安全技術、網(wǎng)絡安全技術、應用安全技術等內容。從技術上確保本單位的信息系統(tǒng)的安全性、增強本單位對安全威脅的免疫能力和減少信息安全事件帶來的各種損失。整理ppt第一章概述本章學習目的了解信息安全技術體系結構、信息保障技術框架了解安全服務與安全機制、信息安全技術發(fā)展趨勢整理ppt本章概覽本章重點對信息安全技術體系進行一個概要闡述。目前，被廣泛使用的對于信息技術體系的劃分方法包括：開放

2、系統(tǒng)互連（Open System Interconnection，簡稱OSI）安全體系結構與框架美國信息保障技術框架（Information Assurance Technical Framework，簡稱IATF）前者針對OSI網(wǎng)絡模型將安全服務與安全機制在每個層次上進行對應；后者則從系統(tǒng)擴展互聯(lián)的角度，將安全技術分散在端系統(tǒng)、邊界系統(tǒng)、網(wǎng)絡系統(tǒng)以及支撐系統(tǒng)。本章給出了本書中依據(jù)的信息安全技術體系，該結構保留了IATF的劃分層次，即從單個系統(tǒng)到基于網(wǎng)絡互聯(lián)的系統(tǒng)，同時又對應了OSI的七層網(wǎng)絡結構。本章提出的信息安全技術體系將安全技術分成物理安全技術、基礎安全技術、系統(tǒng)安全技術、網(wǎng)絡安全技術和

3、應用安全技術五個層次。本章闡述的體系結構也是本書的主線，本書后續(xù)章節(jié)將按照它逐章展開，深入討論每個層次技術的概念、功能和應用等。整理ppt第一節(jié) 信息安全技術體系發(fā)展一、開放系統(tǒng)互連安全體系結構與框架即：Open System Interconnection，簡稱OSI（一）OSI安全體系結構 OSI安全體系結構標準不是能夠實現(xiàn)的標準，而是描述如何設計標準的標準。OSI安全體系結構認為一個安全的信息系統(tǒng)結構應該包括：（1）五種安全服務；（2）八類安全技術和支持上述的安全服務的普遍安全技術；（3）三種安全管理方法，即系統(tǒng)安全管理、安全服務管理和安全機制管理。整理ppt將OSI安全體系結構要求的內

4、容與OSI網(wǎng)絡層次模型的關系畫在一個三維坐標圖上，如下圖所示：整理ppt（二）OSI安全框架 OSI安全框架與OSI安全體系結構的關系是：OSI安全框架是對OSI安全體系結構的擴展，它的目標是解決“開放系統(tǒng)”中的安全服務，此時“開放系統(tǒng)”已經(jīng)從原來的OSI擴展為一個囊括了數(shù)據(jù)庫、分布式應用、開放分布式處理和OSI的復雜系統(tǒng)。整理pptOSI安全框架包括如下七個部分的內容：（1）安全框架綜述：簡述了各個組成部分和一些重要的術語和概念，如封裝、單向函數(shù)、私鑰、公鑰等；（2）認證框架：定義了有關認證原理和認證體系結構的重要術語，同時提出了對認證交換機制的分類方法；（3）訪問控制框架：定義了在網(wǎng)絡環(huán)境

5、下提供訪問控制功能的術語和體系結構模型；（4）非否認框架：描述了開放系統(tǒng)互連中非否認的相關概念；（5）機密性框架：描述了如何通過訪問控制等方法來保護敏感數(shù)據(jù)，提出了機密性機制的分類方法，并闡述了與其他安全服務和機制的相互關系；（6）完整性框架：描述了開放系統(tǒng)互連中完整性的相關概念；（7）安全審計框架：該框架的目的在于測試系統(tǒng)控制是否充分，確保系統(tǒng)符合安全策略和操作規(guī)范，檢測安全漏洞，并提出相應的修改建議。整理pptOSI安全體系結構和框架標準作為“標準的標準”有兩個實際用途：一是指導可實現(xiàn)的安全標準的設計；二是提供一個通用的術語平臺。實際上，隨著后續(xù)安全標準的制定和頒布，OSI安全體系結構和框

6、架的指導作用正在減弱，但是其重大意義在于為后續(xù)標準提供了通用的、可理解的概念和術語。整理ppt第一節(jié) 信息安全技術體系發(fā)展二、美國信息保障技術框架即：InformationAssuranceTechnicalFramework，簡稱IATFIATF強調從邊界的角度來劃分信息系統(tǒng)，從而實現(xiàn)對信息系統(tǒng)的保護。邊界被確定在信息資源的物理和（或）邏輯位置之間，通過確立邊界，可以確定需要保護的信息系統(tǒng)的范圍。整理pptIATF將信息系統(tǒng)的信息保障技術層面分為四個部分：1.本地計算環(huán)境2.區(qū)域邊界（本地計算機區(qū)域的外緣）3.網(wǎng)絡與基礎設施4.支持性基礎設施IATF實際上是將安全技術分成了四個層次，其分類的

7、依據(jù)是按照信息系統(tǒng)組織的特性確定的，從端系統(tǒng)、端系統(tǒng)邊界、邊界到互相連接的網(wǎng)絡，同時還考慮了每個層次共同需要的支撐技術。整理ppt第二節(jié) 信息安全技術體系結構體系發(fā)展信息安全技術體系結構如下圖所示：整理ppt我們提出的信息安全技術體系結構是一種普適的劃分方法，依據(jù)了信息系統(tǒng)的自然組織方式：（1）物理基礎：一個信息系統(tǒng)依存的主體是構成系統(tǒng)的設備以及系統(tǒng)存在的物理環(huán)境，這些是任何信息系統(tǒng)都具有的。（2）系統(tǒng)基礎：原始的硬件設備本身并不能運轉起來，需要各種軟件的配合，如操作系統(tǒng)和數(shù)據(jù)庫，這些軟件也是一個信息系統(tǒng)的基本要求。（3）網(wǎng)絡基礎：具備了物理的和系統(tǒng)的條件，一個信息系統(tǒng)就可以運轉起來，除此之外

8、，系統(tǒng)還有相互通信的需求，此時就需要各種網(wǎng)絡技術的支持。（4）上層應用：上述三個基礎對于各種系統(tǒng)或者同類系統(tǒng)都是相似的，是屬于共性的方面。信息系統(tǒng)的特性在于其實現(xiàn)的功能不同，即我們常說的上層應用或者服務。（5）支撐基礎：除了上述四個層次的技術之外，還有一些技術是在這四個層次中都會使用的技術，很難說這些技術是屬于哪個層次的，如密鑰服務、PKI技術等。整理ppt一、物理安全技術物理安全技術按照需要保護的對象可以分為：環(huán)境安全技術和設備安全技術。（1）環(huán)境安全技術，是指保障信息網(wǎng)絡所處環(huán)境安全的技術。主要技術規(guī)范是對場地和機房的約束，強調對于地震、水災、火災等自然災害的預防措施。（2）設備安全技術，

9、是指保障構成信息網(wǎng)絡的各種設備、網(wǎng)絡線路、供電連接、各種媒體數(shù)據(jù)本身以及其存儲介質等安全的技術。主要是對可用性的要求，如防盜、防電磁輻射。物理安全技術的保護范圍僅僅限于物理層面，即所有具有物理形態(tài)的對象，從外界環(huán)境到構成信息網(wǎng)絡所需的物理條件，以及信息網(wǎng)絡產(chǎn)生的各種數(shù)據(jù)對象。物理安全是整個信息網(wǎng)絡安全的前提，如果破壞了物理安全，系統(tǒng)將會變得不可用或者不可信，而且，其他上層安全保護技術也將會變得形同虛設。整理ppt二、基礎安全技術IATF將KMI和檢測與響應基礎設施稱為支持性基礎設施，前者重點包括了PKI技術。本書中重點介紹加密技術和PKI技術。整理ppt三、系統(tǒng)安全技術1.操作系統(tǒng)安全操作系統(tǒng)

10、安全技術有兩方面的含義：一是操作系統(tǒng)的自身安全，即遵循什么樣的原則構建操作系統(tǒng)才是安全的，包括硬件安全機制和軟件安全機制；二是操作系統(tǒng)提供給用戶和上層應用的安全措施。2.數(shù)據(jù)庫系統(tǒng)安全數(shù)據(jù)庫系統(tǒng)的安全技術目的是保證數(shù)據(jù)庫能夠正確地操作數(shù)據(jù)，實現(xiàn)數(shù)據(jù)讀寫、存儲的安全。整理ppt四、網(wǎng)絡安全技術信息網(wǎng)絡必然需要網(wǎng)絡環(huán)境的支持。網(wǎng)絡安全技術，是指保護信息網(wǎng)絡依存的網(wǎng)絡環(huán)境的安全保障技術，通過這些技術的部署和實施，確保經(jīng)過網(wǎng)絡傳輸和交換的數(shù)據(jù)不會被增加、修改、丟失和泄露等。最常用的網(wǎng)絡安全技術包括防火墻、入侵檢測、漏洞掃描、抗拒絕服務攻擊等。整理ppt五、應用安全技術任何信息網(wǎng)絡存在的目的都是為某些對

11、象提供服務，我們常常把它們稱為應用。如電子郵件、FTP、HTTP等。應用安全技術，是指以保護特定應用為目的的安全技術，如反垃圾郵件技術、網(wǎng)頁防篡改技術、內容過濾技術等。整理ppt第三節(jié) 安全服務與安全機制一、安全服務1.認證（Authentication）：認證提供了關于某個實體（如人、機器、程序、進程等）身份的保證，為通信中的對等實體和數(shù)據(jù)來源提供證明2.訪問控制（AccessControl）：訪問控制的作用是防止任何實體以任何形式對任何資源（如計算機、網(wǎng)絡、數(shù)據(jù)庫、進程等）進行非授權的訪問。3.數(shù)據(jù)機密性（DataSecrecy）：數(shù)據(jù)機密性就是保護信息不泄漏或者不暴露給那些未經(jīng)授權的實體

12、。4.數(shù)據(jù)完整性（DataIntegrity）：數(shù)據(jù)完整性，是指保證數(shù)據(jù)在傳輸過程中沒有被修改、插入或者刪除。5.非否認（Non-Reputation）：非否認服務的目的是在一定程度上杜絕通信各方之間存在著相互欺騙行為，通過提供證據(jù)來防止這樣的行為整理ppt二、安全機制安全服務必須依賴安全機制來實現(xiàn)。OSI安全體系結構中提出了八種安全機制：（1）加密（2）數(shù)字簽名（3）訪問控制（4）數(shù)據(jù)完整性（5）認證交換（6）業(yè)務流填充（7）路由控制（8）公證整理ppt三、安全服務與安全機制的關系八種安全機制與五大安全服務之間的關系如下表所示：安全機制安全服務加密數(shù)字簽名訪問控制數(shù)據(jù)完整性認證交換業(yè)務流填充

13、路由控制公證認證對等實體認證YYY數(shù)據(jù)起源認證YY訪問控制訪問控制Y數(shù)據(jù)機密性無/有連接機密性YY選擇字段機密性Y業(yè)務流機密性YYY數(shù)據(jù)完整性可/不可恢復的連接完整性YY選擇字段的連接完整性YY無連接完整性YYY選擇字段的無連接完整性YYY非否認數(shù)據(jù)起源的非否認YYY傳輸過程的非否認YYY整理ppt四、安全服務與網(wǎng)絡層次的關系OSI安全體系結構的一個非常重要的貢獻是，它將八種安全服務在OSI七層網(wǎng)絡參考模型中進行了對號入座，實現(xiàn)了安全服務與網(wǎng)絡層次之間的對應關系，如下表所示：網(wǎng)絡層次安全服務物理層鏈路層網(wǎng)絡層傳輸層會話層表示層應用層認證對等實體認證YYY數(shù)據(jù)起源認證YYY訪問控制訪問控制服務YYY數(shù)據(jù)機密性有連接機密性YYYYYY無連接機密性YYYYY選擇字段機密性YY業(yè)務流機密性YYY數(shù)據(jù)完整性可恢復的連接完整性YY不可恢復的連接完整性