【正文】 和 清 除 產(chǎn) 品 安全檢測(cè)與監(jiān)控產(chǎn)品 網(wǎng) 絡(luò) 安 全 隱 患 掃 描 檢 測(cè) 工 具 網(wǎng) 絡(luò) 安 全 監(jiān) 控 及 預(yù) 警 設(shè) 備 網(wǎng) 絡(luò) 信 息 遠(yuǎn) 程 監(jiān) 控 系 統(tǒng) 網(wǎng) 情 分 析 系 統(tǒng) 2023/3/4 信息安全主要研究領(lǐng)域（續(xù)） ? 最后，作為信息安全產(chǎn)品不要忘記網(wǎng)絡(luò)入侵工具及系統(tǒng)。它有別于傳統(tǒng)的信息獲取、存儲(chǔ)、傳輸、交換、處理、使用，從而也給現(xiàn)代社會(huì)的正常發(fā)展帶來(lái)了前所未有的風(fēng)險(xiǎn)和威脅。 適用于用戶(hù) 、 進(jìn)程 、系統(tǒng) 、 信息等 ? 審計(jì)（ Accountability） ? 確保實(shí)體的活動(dòng)可被跟蹤 ? 可靠性（ Reliability） ? 特定行為和結(jié)果的一致性 信息安全的含義 (8090年代 ) 2023/3/4 安全需求的多樣性 ? 保密性 ? 一致性 ? 可用性 ? 可靠性 ? 可認(rèn)證，真實(shí)性 ? 責(zé)任定位，審計(jì)性 ? 高性能 ? 實(shí)用性 ? 占有權(quán) ? …… 信息安全的含義 (8090年代 ) 2023/3/4 保護(hù) Protect 檢測(cè) Detect 反應(yīng) React 恢復(fù) Restore 信息安全的含義 (90年代以后 ) ? 美國(guó)人提出的概念 :信息保障（ Information Assurance） ? 保護(hù) （ Protect） ? 檢測(cè) （ Detect） ? 反應(yīng) （ React） ? 恢復(fù) （ Restore） 2023/3/4 信息安全的實(shí)現(xiàn) ? 內(nèi)容 ? 信息安全技術(shù) ? 信息加密、數(shù)字簽名、數(shù)據(jù)完整性、身份鑒別、訪(fǎng)問(wèn)控制、安全數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)安全、病毒、安全審計(jì)、業(yè)務(wù)填充、路由控制、公證機(jī)制等 ? 信息安全管理 ? 信息安全法律與標(biāo)準(zhǔn) 2023/3/4 總結(jié) 威脅與攻擊 安全與信息安全 信息與信息技術(shù) 第 1章 概論 引言 安全體系結(jié)構(gòu) 2023/3/4 安全體系結(jié)構(gòu) ? 安全體系結(jié)構(gòu)（ Security Architecture） ? 安全體系結(jié)構(gòu)是指對(duì)信息和信息系統(tǒng)安全功能的抽象描述，是從整體上定義信息及信息系統(tǒng)所提供的安全服務(wù)、安全機(jī)制以及各種安全組件之間的關(guān)系和交互。 ? 業(yè)務(wù)填充機(jī)制（ traffic padding） ? 業(yè)務(wù)流填充是通過(guò)發(fā)送額外的數(shù)據(jù)來(lái)掩蓋正常通信流量特征，從而達(dá)到保護(hù)業(yè)務(wù)流機(jī)密性的目的。 ? 優(yōu)點(diǎn)： ? 安全策略和措施通常是基于用戶(hù)制定的 ? 對(duì)用戶(hù)想要保護(hù)的數(shù)據(jù)具有完整的訪(fǎng)問(wèn)權(quán)，因而能很方便地提供一些服務(wù) ? 不必依賴(lài)操作系統(tǒng)來(lái)提供這些服務(wù) ? 對(duì)數(shù)據(jù)的實(shí)際含義有著充分的理解 2023/3/4 應(yīng)用層提供安全服務(wù)的特點(diǎn)（續(xù)） ? 缺點(diǎn)： ? 效率太低 ? 對(duì)現(xiàn)有系統(tǒng)的兼容性太差 ? 改動(dòng)的程序太多，出現(xiàn)錯(cuò)誤的概率大增，為系統(tǒng)帶來(lái)更多的安全漏洞 2023/3/4 傳輸層提供安全服務(wù)的特點(diǎn) ? 只能在通信兩端的主機(jī)系統(tǒng)上實(shí)施 ? 優(yōu)點(diǎn)： ? 能為其上的各種應(yīng)用提供安全服務(wù) ? 提供了更加細(xì)化的基于進(jìn)程對(duì)進(jìn)程的安全服務(wù) ? 現(xiàn)有的和未來(lái)的應(yīng)用可以很方便地得到安全服務(wù) ? 在傳輸層的安全服務(wù)內(nèi)容有變化時(shí)，只要接口不變，應(yīng)用程序就不必改動(dòng) 2023/3/4 傳輸層提供安全服務(wù)的特點(diǎn) ? 缺點(diǎn)： ? 由于傳輸層很難獲取關(guān)于每個(gè)用戶(hù)的背景數(shù)據(jù)，實(shí)施時(shí)通常假定只有一個(gè)用戶(hù)使用系統(tǒng)，所以很難滿(mǎn)足針對(duì)每個(gè)用戶(hù)的安全需求 2023/3/4 網(wǎng)絡(luò)層提供安全服務(wù)的特點(diǎn) ? 在端系統(tǒng)和路由器上都可以實(shí)現(xiàn) ? 優(yōu)點(diǎn)： ? 主要優(yōu)點(diǎn)是透明性 ? 能提供主機(jī)對(duì)主機(jī)的安全服務(wù)，不要求傳輸層和應(yīng)用層做改動(dòng)，也不必為每個(gè)應(yīng)用設(shè)計(jì)自己的安全機(jī)制； ? 網(wǎng)絡(luò)層支持以子網(wǎng)為基礎(chǔ)的安全 ? 子網(wǎng)可采用物理分段或邏輯分段，因而可很容易實(shí)現(xiàn) VPN和內(nèi)聯(lián)網(wǎng)，防止對(duì)網(wǎng)絡(luò)資源的非法訪(fǎng)問(wèn) ? 密鑰協(xié)商的開(kāi)銷(xiāo)小 ? 由于多種傳送協(xié)議和應(yīng)用程序可共享由網(wǎng)絡(luò)層提供的密鑰管理架構(gòu)，密鑰協(xié)商的開(kāi)銷(xiāo)大大降低 2023/3/4 網(wǎng)絡(luò)層提供安全服務(wù)的特點(diǎn) ? 缺點(diǎn)： ? 無(wú)法實(shí)現(xiàn)針對(duì)用戶(hù)和用戶(hù)數(shù)據(jù)語(yǔ)義上的安全控制 2023/3/4 數(shù)據(jù)鏈路層提供安全服務(wù)的特點(diǎn) ? 在鏈路的兩端實(shí)現(xiàn) ? 優(yōu)點(diǎn)： ? 整個(gè)分組（包括分組頭信息）都被加密 ，保密性強(qiáng) ? 缺點(diǎn)： ? 使用范圍有限 ? 只有在專(zhuān)用鏈路上才能很好地工作 ，中間不能有轉(zhuǎn)接點(diǎn) 2023/3/4 加密功能的實(shí)施方式 ? 兩種基本方式： ? 鏈到鏈加密 ? 端到端加密 2023/3/4 鏈到鏈加密方式 ? 在物理層或數(shù)據(jù)鏈路層實(shí)施加密機(jī)制 優(yōu)點(diǎn)： 主機(jī)維護(hù)加密設(shè)施，易于實(shí)現(xiàn)，對(duì)用戶(hù)透明 能提供流量保密性 密鑰管理簡(jiǎn)單 可提供主機(jī)鑒別 加 /解密是在線(xiàn) 缺點(diǎn)： 數(shù)據(jù)僅在傳輸線(xiàn)路上是加密 開(kāi)銷(xiāo)大 每段鏈路需要使用不同的密鑰 2023/3/4 端到端加密方式 ? 在網(wǎng)絡(luò)層或者應(yīng)用層實(shí)施加密機(jī)制 優(yōu)點(diǎn)： 在發(fā)送端和中間節(jié)點(diǎn)上數(shù)據(jù)都是加密的，安全性好 能提供用戶(hù)鑒別 提供了更靈活的保護(hù)手段 缺點(diǎn)： 不能提供流量保密性 密鑰管理系統(tǒng)復(fù)雜 加密是離線(xiàn)的 2023/3/4 鏈到鏈加密與端到端加密的結(jié)合 2023/3/4 小波分析信息安全傳輸系統(tǒng) 科研案例（部分功能）分析之一： 2023/3/4 Point Point 2023/3/4 簽名上傳 認(rèn)證回傳 認(rèn)證回傳 用戶(hù) A 指紋認(rèn)證中心（中心數(shù)據(jù)庫(kù)） 用戶(hù) B 2023/3/4 Ａ＋ （Ａ＋）Ａ—Ｂ＋＝Ｂ＋ 消息 指紋Ａ 電子文本 用戶(hù)Ａ 中心數(shù)據(jù) 庫(kù) 指紋Ｂ 電子文本 用戶(hù)Ｂ 中心數(shù)據(jù) 庫(kù) 指紋 B 指紋 A 電子文本 用戶(hù) A 用戶(hù) B 2023/3/4 指紋登記 ( 參數(shù)：指紋數(shù) n, 返回指紋數(shù)據(jù)和狀態(tài) ) ： 打開(kāi)電源 F p D e v i c e I n i t F p D e v i c e T e s t F p C L e a r D a t a ( A L L ) F p E n r o l l S t a r t F p I n p u t I m a g e ( 自循環(huán) ) F p E n r o l l P r o [ 失敗后 , 次數(shù)不變 , 再執(zhí)行 F p I n p u t I m a g e ] F p E n r o l l E n d [ 失敗后允許再登記 1 次 , N =1 時(shí) , 關(guān)電源 ] F p P u t V e r i f y D a t a 1 F p M a t c h A l l [ 成功即重復(fù)后 , 允許再登記 1 次 ] F p S e a r c h I D F p W r i t e D a t a 關(guān)電源 成功 ? 失敗 成功 ? 成功 ? 成功 ? 3 次 ? N 不超時(shí)、成功 ? 成功 ? 成功 ? 成功 ? 成功 ? N 成功 ? N 枚 ? Y Y 2023/3/4 指紋比對(duì) ( 參數(shù)：指紋總數(shù) n 、比對(duì)模式 m 、指紋數(shù)據(jù)，返回狀態(tài) ) ： 打開(kāi)電源 F p D e v i c e I n i t F p D e v i c e T e s t F p C L e a r D a t a ( A L L ) F p I n p u t I m a g e ( 自循環(huán) ) F p V e r i f y P r o [ 失敗后允許再按 1 次指紋 ] F p M a t c h A l l [ 失敗后 , 允許再按 1 次指紋 ] 關(guān)電源 成功 ? 失敗 成功 ? 成功 ? 成功 ? N 不超時(shí)、成功 ? 成功 ? Y 比對(duì) M 枚指紋 ? Y F p S e a r c h I D F p W r i t e D a t a 成功 ? 成功 ? N 枚 ? N F p S e a r c h I D 成功 ? Fp C l e a r D a t a ( I D ) 成功 ? 2023/3/4 基于“三大特征”的端到端信息安全傳輸系統(tǒng)