《信息安全技术》课件第15章.ppt
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息安全技术 信息 安全技术 课件 15
- 资源描述:
-
1、15.1 信息安全体系结构现状15.2 网络安全需求15.3 网络安全产品15.4 某大型企业网络安全解决方案案例15.5 电子政务安全平台实施方案小结习题20世纪80年代中期,美国国防部为适应军事计算机的保密需要,在20世纪70年代的基础理论研究成果计算机保密模型(BellLapadula模型)的基础上,制定了“可信计算机系统安全评价准则”(TCSEC),其后又对网络系统、数据库等方面作出了一系列安全解释,形成了安全信息系统体系结构的最早原则。至今,美国已研制出符合TCSEC要求的安全系统(包括安全操作系统、安全数据库、安全网络部件)达100多种,但这些系统仍有局限性,还没有真正达到形式化描
2、述和证明的最高级安全系统。15.1 信息安全体系结构现状信息安全体系结构现状1989年,确立了基于OSI参考模型的信息安全体系结构,1995年在此基础上进行修正,颁布了信息安全体系结构的标准,具体包括五大类安全服务、八大种安全机制和相应的安全管理标准(详见1.4.1节)。20世纪90年代初,英、法、德、荷四国针对TCSEC准则只考虑保密性的局限,联合提出了包括保密性、完整性、可用性概念的“信息技术安全评价准则”(ITSEC),但是该准则中并没有给出综合解决以上问题的理论模型和方案。近年来六国七方(美国国家安全局和国家技术标准研究所、加、英、法、德、荷)共同提出了“信息技术安全评价通用准则”(C
3、C for ITSEC)。CC综合了国际上已有的评测准则和技术标准的精华,给出了框架和原则要求,但它仍然缺少综合解决信息的多种安全属性的理论模型依据。标准于1999年7月通过国际标准化组织的认可,被确立为国际标准,编号为ISO/IEC 15408。ISO/IEC 15408标准对安全的内容和级别给予了更完整的规范,为用户对安全需求的选取提供了充分的灵活性。然而,国外研制的高安全级别的产品对我国是封锁禁售的,即使出售给我们,其安全性也难以令人放心。安全体系结构理论与技术主要包括安全体系模型的建立及其形式化描述与分析,安全策略和机制的研究,检验和评估系统安全性的科学方法和准则的建立,符合这些模型、
4、策略和准则的系统的研制(比如安全操作系统、安全数据库系统等)。我国在系统安全的研究及应用方面与先进国家和地区存在着很大的差距。近几年来,我国进行了安全操作系统、安全数据库、多级安全机制的研究,但由于自主安全内核受控于人,难以保证没有漏洞,而且大部分有关的工作都以美国1985年的TCSEC标准为主要参照系。开发的防火墙、安全路由器、安全网关、黑客入侵检测系统等产品和技术,主要集中在系统应用环境的较高层次上,在完善性、规范性、实用性上还存在许多不足,特别是在多平台的兼容性、多协议的适应性、多接口的满足性方面存在很大的差距,其理论基础和自主的技术手段也有待于发展和强化。然而,我国的系统安全的研究与应
5、用毕竟已经起步,具备了一定的基础和条件。1999年10月,我国发布了“计算机信息系统安全保护等级划分准则”,该准则为安全产品的研制提供了技术支持,也为安全系统的建设和管理提供了技术指导。Linux开放源代码为我们自主研制安全操作系统提供了前所未有的机遇。作为信息系统赖以支持的基础系统软件操作系统,其安全性是关键。长期以来,我国广泛使用的主流操作系统都是从国外引进的。从国外引进的操作系统,其安全性难以令人放心。具有我国自主版权的安全操作系统产品在我国各行各业都迫切需要。我国的政府、国防、金融等机构对操作系统的安全都有各自的要求,都迫切需要找到一个既满足功能、性能要求,又具备足够的安全可信度的操作
6、系统。Linux的发展及其在国际上的广泛应用,在我国也产生了广泛的影响,只要其安全问题得到妥善解决,就会得到我国各行各业的普遍接受。网络安全需求主要包括下述几种需求。1.物理安全需求物理安全需求由于重要信息可能会通过电磁辐射或线路干扰而被泄漏,因此需要对存放机密信息的机房进行必要的设计,如构建屏蔽室、采用辐射干扰机等,以防止电磁辐射泄漏机密信息。此外,还可对重要的设备和系统进行备份。15.2 网络安全需求网络安全需求2.访问控制需求访问控制需求网络需要防范非法用户的非法访问和合法用户的非授权访问。非法用户的非法访问也就是黑客或间谍的攻击行为。在没有任何防范措施的情况下,网络的安全主要是靠主机系
7、统自身的安全设置(如用户名及口令)简单控制的。但对于用户名及口令的保护方式,对有攻击目的的人而言,根本就不是一种障碍。他们可以通过对网络上信息的监听或者通过猜测得到用户名及口令,这对他们而言都不是难事,而且只需花费很少的时间。因此,要采取一定的访问控制手段,防范来自非法用户的攻击,保证只有合法用户才能访问合法资源。合法用户的非授权访问是指合法用户在没有得到许可的情况下访问了他本不该访问的资源。一般来说,每个成员的主机系统中,有一部分信息是可以对外开放的,而有些信息是要求保密或具有一定的隐私性的。外部用户被允许访问一定的信息,但他们同时有可能通过一些手段越权访问别人不允许他访问的信息,从而会造成
8、他人的信息泄密,因此必须加密访问控制的机制,对服务及访问权限进行严格控制。3.加密需求与加密需求与CA系统构建系统构建加密传输是网络安全的重要手段之一。信息的泄漏很多都是在链路上被搭线窃取的,数据也可能因为在链路上被截获、被篡改后传输给对方,造成数据的真实性、完整性得不到保证。如果利用加密设备对传输数据进行加密,使得在网上的数据以密文传输(因为数据是密文),那么即使在传输过程中被截获,入侵者也读不懂,而且加密还能通过先进的技术手段对数据传输过程中的完整性、真实性进行鉴别,从而保证数据的保密性、完整性及可靠性。因此,必须配备加密设备对数据进行传输加密。网络系统采用加密措施,而加密系统通常都通过加
展开阅读全文