web security.ppt
《web security.ppt》由会员分享,可在线阅读,更多相关《web security.ppt(45页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、网络与信息安全技术及其进展网络与信息安全技术及其进展王剑波Email:信息安全与国家计算网格四 川 省 重 点 实 验 室信息信息通信通信网络网络安全安全技术技术研讨研讨会会内容提要信息安全理论信息安全的界定网络与信息安全涵盖范围网络与信息安全框架网络安全新技术带来的困惑 攻击技术挑战网络安全网络自身安全缺陷未来网络面临的威胁网络安全前沿技术 安全技术及其进展网络环境下的密码学研究 网络环境下的信息对抗 网络环境下的安全体系结构 信息伪装与其它新理论和新方法 进一步的讨论 信息安全理论Part 什么是信息安全 国内方面沈昌祥院士把信息安全分为实体安全运行安全数据安全管理安全教科书中定义的计算机
2、安全包括实体安全软件安全运行安全数据安全等级保护条例计算机信息人机系统安全的目标是着力于实体安全、运行安全、信息安全和人员安全维护。安全保护的直接对象是计算机信息系统,实现安全保护的关键因素是人 什么是信息安全cont 国外方面信息安全管理体系要求标准(BS7799)信息安全是使信息避免一系列威胁,保障商务的连续性,最大限度地减少商务的损失,最大限度地获取投资和商务的回报。涉及的是机密性、完整性、可用性。教科书信息安全就是对信息的机密性、完整性、可用性的保护。美国信息安全重点实验室信息安全涉及到信息的保密性、完整性、可用性、可控性。综合起来说,就是要保障电子信息的有效性。信息安全发展脉络 通信
3、保密阶段(4070s,COMSEC)以密码学研究为主,重在数据安全层面的研究 计算机系统安全阶段(7080s,INFOSEC)开始针对信息系统的安全进行研究,重在物理安全层与运行安全层,兼顾数据安全层 网络信息系统安全阶段(90s,NETSEC)开始针对信息安全体系进行研究,重在运行安全与数据安全层,兼顾内容安全层 信息安全两种主要观点信息安全分层结构面向应用信息安全框架内容安全内容安全数据安全数据安全实体安全实体安全运行安全运行安全完整性可用性机密性信息安全金三角结构 面向属性信息安全框架 网络与信息安全涵盖范围物理安全物理安全保证系统至少能保证系统至少能 提供基本的服务提供基本的服务运行安
4、全运行安全保保证证系系统统的的机机密密性性,使使得得系系统统任任何何时时候候不不被被非非 授授权权人人所所恶意利用。恶意利用。保保障障网网络络的的正正常常运运行行,确确保保系系统统时时刻刻能能为为授授权权人人提提供供基基本服务。本服务。数据安全数据安全保证数据的发送保证数据的发送源头不被伪造源头不被伪造保证数据在传输、存储保证数据在传输、存储 过程中不被获取并解析过程中不被获取并解析保证数据在传输、保证数据在传输、存储等过程中不存储等过程中不被非法修改被非法修改保证系统的可用性,使得发布 者无法否认所发布的信息内容保证系统不以电磁等保证系统不以电磁等 方式向外泄漏信息。方式向外泄漏信息。内容安
5、全内容安全数据安全数据安全运行安全运行安全物理安全物理安全网络与信息安全涵盖范围路由欺骗 域名欺骗 对传递信息进行对传递信息进行 捕获并解析捕获并解析删除局部内容删除局部内容 或附加特定内容或附加特定内容阻断信息传输系统,使得被 传播的内容不能送达目的地 网络与信息安全涵盖范围 这些层面具有相同的 性质,都可以归并为真实 性。其中,完整性是真实 性的子集,是表示内容因 未被修改而是真实的 网络与信息安全涵盖范围保证信息是真实可信的保证信息是真实可信的 其发布者不被冒充,来其发布者不被冒充,来源不被伪造,内容不被源不被伪造,内容不被篡改。主要防范技术是篡改。主要防范技术是校验与认证技术校验与认证
6、技术 网络与信息安全涵盖范围这些层面都反映出机密性特性这些层面都反映出机密性特性其中可控性是机密性的子集,其中可控性是机密性的子集,是表示为保护机密性而进行是表示为保护机密性而进行访问控制访问控制 网络与信息安全涵盖范围保证信息与信息系统不被 非授权者所获取和使用。主要防范技术是密码技术 网络与信息安全涵盖范围这些层面都反映出可用性属性。其中这些层面都反映出可用性属性。其中 抗否认性可看作是可用性的子集,是抗否认性可看作是可用性的子集,是 为了保证系统确实能够遵守游戏规则为了保证系统确实能够遵守游戏规则 不被恶意使用所反映的可用性的属性不被恶意使用所反映的可用性的属性 网络与信息安全涵盖范围保
7、证信息与信息系统可被授权人保证信息与信息系统可被授权人 员正常使用。员正常使用。主要防护措施是确保信息与信息主要防护措施是确保信息与信息 系统处于一个可信的环境之下系统处于一个可信的环境之下 网络与信息安全涵盖范围信息安全金三角信息安全金三角 机密性 真实性 可用性 (完整性)网络与信息安全框架属性属性层次层次 机密性真实性可用性物理安全防泄漏抗恶劣环境数据安全抗非授权访问正常提供服务运行安全防解析发布/路由 内容真实抗否认内容安全信息解析路由/内容欺骗信息阻断 信息安全的界定结论是指在信息系统的物理层、运行层,以及对信息自身的保护(数据层)及攻击(内容层)的层面上,所反映出的对信息自身与信息
8、系统在可用性、机密性与真实性方面的保护与攻击的技术随着信息技术的发展与应用,信息安全的内涵在不断的延伸,从最初的信息保密性发展到信息的完整性、可用性,进而又发展为 攻(击)、防(范)、(检)测、控(制)、管(理)、评(估)等多方面的基础理论和实施技术现代信息系统中的信息安全,核心问题是密码理论及其应用,其基础是可信信息系统的构作与评估 网 络 安 全Part 从务虚的角度看从务虚的角度看未来网络演变的假定从总体角度来看,近期安全技术不会有根本性改变 TCP/IP协议不会发生根本变化 遍布世界的巨型资产不会轻易退出历史舞台 带宽的提高仅是量的变化,并不会带来技术层面上质的变化无线网的出现则表明接
9、入方式的变化,等效于以太网时期的广播效应,也不会带来安全方面的本质问题防范对象仍为资源的恶意消耗与业务的盗用 新技术带来的困惑 在新技术出现后,期待着新的安全技术的突破IPv6为网络安全的保护带来了灾难性的影响 IPv6的倡导者将着重点放在了保护数据安全之上,将网络安全问题交付给终端用户 IPv6无法解决一些目前存在的网络安全问题 无法完全解决目前广泛存在的DoS攻击,更无法有效的防止DoS攻击无法有效防止针对协议本身的攻击,如SYN flood攻击无法解决口令攻击,也无法防止利用缓冲区溢出进行的攻击。新技术带来的困惑cont.在新技术出现后,期待着新安全技术的突破:续Peer-to-Peer
10、 对等网络并将成为主流,并与Grid共存Scale-free型结构带来危险,分散均衡将是潮流【注】Scale-free架构特性是:大多数的节点只与其它一两个节点相连结,但有少数节点却被大量的连结,即非同质性(inhomogenous).现行的网际网络,空中交通,WWW 即属于这类架构三网融合(NGN,指传统电信网、计算机网(即因特网)和有线电视网)势在必行能够建立不同于IP网的新的体系吗?(信令与数据独立)网络呼唤着保障体系,需要综合集成处理体系,从整体角度来相互印证是未来的主流全球化是当今世界主题,互联网的自主接入,构成一个复杂巨系统,孤立的技术发挥的作用有限 实际网络安全状况美国历年被攻击
11、的情况美国历年被攻击的情况引自引自ComputerEmergenceResponseTeam,CERT 1995 20022002世界出现漏洞情况 20032003上半年漏漏洞洞趋趋势势 SymantecSymantec公司发现了公司发现了14321432个新漏洞,比去年同期增加了个新漏洞,比去年同期增加了12%12%,其中:,其中:中、高级威胁度的漏洞是最常见的,且更易于被利用发动攻击中、高级威胁度的漏洞是最常见的,且更易于被利用发动攻击攻击者着重针对较新的漏洞发起攻击攻击者着重针对较新的漏洞发起攻击整型错误漏洞(由于无法正确处理数据类型为整型的变量而导致的整型错误漏洞(由于无法正确处理数据
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- web security
限制150内