【正文】 2022/2/5 97 網(wǎng)絡(luò)安全工作的目的 進(jìn)不來(lái) 拿不走 看不懂 改不了 跑不了 2022/2/5 98 習(xí)題 網(wǎng)絡(luò)安全的屬性是什么？ 網(wǎng)絡(luò)安全服務(wù)主要包括哪些？ 網(wǎng)絡(luò)安全機(jī)制包括哪些？ 可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則將信息安全分為幾級(jí)？各級(jí)的主要特征是什么？ 簡(jiǎn)述 CC準(zhǔn)則的主要內(nèi)容。 2022/2/5 96 小結(jié) ? 本章從網(wǎng)絡(luò)信息安全的基本內(nèi)涵入手，討論了網(wǎng)絡(luò)信息安全的內(nèi)涵和屬性、網(wǎng)絡(luò)安全威脅、網(wǎng)絡(luò)安全策略、服務(wù)及機(jī)制等基本概念，在此基礎(chǔ)上介紹了網(wǎng)絡(luò)安全體系結(jié)構(gòu)及幾個(gè)主要的安全評(píng)價(jià)標(biāo)準(zhǔn)，最后介紹了國(guó)內(nèi)網(wǎng)絡(luò)安全相關(guān)法律。我國(guó)在網(wǎng)絡(luò)信息安全方面的立法起步較晚，但是，近年來(lái)越來(lái)越受到國(guó)家的重視，目前網(wǎng)絡(luò)信息安全方面的法規(guī)已經(jīng)被寫(xiě)入中華人民共和國(guó)憲法。 2022/2/5 94 我國(guó)網(wǎng)絡(luò)信息安全的相關(guān)法規(guī) ? 隨著網(wǎng)絡(luò)應(yīng)用的普及，網(wǎng)絡(luò)犯罪已經(jīng)成為一個(gè)日益嚴(yán)峻的社會(huì)現(xiàn)象。 2022/2/5 93 我國(guó)評(píng)價(jià)標(biāo)準(zhǔn) ? 第三級(jí)為安全標(biāo)記保護(hù)級(jí)：除繼承前一個(gè)級(jí)別的安全功能外，還要求以訪問(wèn)對(duì)象標(biāo)記的安全級(jí)別限制訪問(wèn)者的訪問(wèn)權(quán)限，實(shí)現(xiàn)對(duì)訪問(wèn)對(duì)象的強(qiáng)制保護(hù)。 2022/2/5 92 我國(guó)評(píng)價(jià)標(biāo)準(zhǔn) ? 在我國(guó)根據(jù) 《 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 》 ， 1999年10月經(jīng)過(guò)國(guó)家質(zhì)量技術(shù)監(jiān)督局批準(zhǔn)發(fā)布準(zhǔn)則將計(jì)算機(jī)安全保護(hù)劃分為以下五個(gè)級(jí)別 ? 第一級(jí)為用戶自主保護(hù)級(jí)：它的安全保護(hù)機(jī)制使用戶具備自主安全保護(hù)的能力，保護(hù)用戶的信息免受非法的讀寫(xiě)破壞。 2022/2/5 91 我國(guó)國(guó)家標(biāo)準(zhǔn) 《 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 》 ? 由我國(guó)公安部提出并組織制定的國(guó)家標(biāo)準(zhǔn) 《 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 》 ，已于 1999年 9月 13日經(jīng)國(guó)家質(zhì)量技術(shù)監(jiān)督局發(fā)布，并于 2022年 1月 1日起開(kāi)始實(shí)施。 CC準(zhǔn)則是從 TCSEC、 ITSEC、美國(guó)聯(lián)邦準(zhǔn)側(cè) FC 發(fā)展而來(lái)的。 2022/2/5 90 信息技術(shù)安全性評(píng)估通用準(zhǔn)則 信息技術(shù)安全性評(píng)估通用準(zhǔn)則，簡(jiǎn)稱通用準(zhǔn)則（ Common Criteria ， CC），是評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全特性的基礎(chǔ)準(zhǔn)則。 F6至 F10級(jí)分別對(duì)應(yīng)數(shù)據(jù)和程序的完整性、系統(tǒng)的可用性、數(shù)據(jù)通信的完整性、數(shù)據(jù)通信的保密性以及機(jī)密性和完整性的網(wǎng)絡(luò)安全。 2022/2/5 89 信息技術(shù)安全性評(píng)估準(zhǔn)則（續(xù)） 其功能準(zhǔn)則從 F1～ F10共分 10級(jí)。它以超越 TCSEC為目的，將安全概念分為“功能”與“評(píng)估”兩部分。 1990年，法國(guó)、德國(guó)、荷蘭和英國(guó)提出了歐共體的信息技術(shù)安全性評(píng)估準(zhǔn)則 (Information Technology Security Evaluation Criteria)， 1991年提出成型的 。假設(shè)有一定的物理保障，該標(biāo)準(zhǔn)適合政府和軍隊(duì)，不適合企業(yè)，這個(gè)模型是靜態(tài)的。 ? 橙皮書(shū)也存在不足。該級(jí)別包含了較低級(jí)別的所有的安全特性 ? 設(shè)計(jì)必須從數(shù)學(xué)角度上進(jìn)行驗(yàn)證，而且必須進(jìn)行秘密通道和可信任分布分析。該級(jí)別也要求用戶通過(guò)一條可信任途徑連接到系統(tǒng)上。 2022/2/5 86 安全級(jí)別（續(xù)） ? B2級(jí)，又叫結(jié)構(gòu)保護(hù)級(jí)別（ Structured Protection），它要求計(jì)算機(jī)系統(tǒng)中所有的對(duì)象都要加上標(biāo)簽，而且給設(shè)備（磁盤(pán)、磁帶和終端）分配單個(gè)或者多個(gè)安全級(jí)別。 ? 能夠達(dá)到 C2級(jí)別的常見(jiàn)操作系統(tǒng)有： （ 1）、 Unix系統(tǒng) （ 2）、 Novell （ 3）、 Windows NT、 Windows 2022和 Windows 2022 2022/2/5 85 安全級(jí)別（續(xù)） ? B級(jí)中有三個(gè)級(jí)別， B1級(jí)即標(biāo)志安全保護(hù)（ Labeled Security Protection），是支持多級(jí)安全（例如：秘密和絕密）的第一個(gè)級(jí)別，這個(gè)級(jí)別說(shuō)明處于強(qiáng)制性訪問(wèn)控制之下的對(duì)象，系統(tǒng)不允許文件的擁有者改變其許可權(quán)限。 2022/2/5 84 安全級(jí)別（續(xù)） ? 使用附加身份驗(yàn)證就可以讓一個(gè) C2級(jí)系統(tǒng)用戶在不是超級(jí)用戶的情況下有權(quán)執(zhí)行系統(tǒng)管理任務(wù)。 ? 用戶擁有的訪問(wèn)權(quán)是指對(duì)文件和目標(biāo)的訪問(wèn)權(quán)。 2022/2/5 83 安全級(jí)別（續(xù)） ? C1是 C類的一個(gè)安全子級(jí)。 ? 對(duì)于硬件來(lái)說(shuō)，是沒(méi)有任何保護(hù)措施的，操作系統(tǒng)容易受到損害，沒(méi)有系統(tǒng)訪問(wèn)限制和數(shù)據(jù)訪問(wèn)限制，任何人不需任何賬戶都可以進(jìn)入系統(tǒng)，不受任何限制可以訪問(wèn)他人的數(shù)據(jù)文件。 ? 其他子系統(tǒng)（如數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)）也一直用橙皮書(shū)來(lái)解釋評(píng)估。 2022/2/5 80 國(guó)際評(píng)價(jià)標(biāo)準(zhǔn) ? 根據(jù)美國(guó)國(guó)防部開(kāi)發(fā)的計(jì)算機(jī)安全標(biāo)準(zhǔn) ——可信任計(jì)算機(jī)標(biāo)準(zhǔn)評(píng)價(jià)準(zhǔn)則（ Trusted Computer Standards Evaluation Criteria：TCSEC），也就是網(wǎng)絡(luò)安全橙皮書(shū)，一些計(jì)算機(jī)安全級(jí)別被用來(lái)評(píng)價(jià)一個(gè)計(jì)算機(jī)系統(tǒng)的安全性。 2022/2/5 79 網(wǎng)絡(luò)信息安全的評(píng)價(jià)標(biāo)準(zhǔn) 在信息安全測(cè)評(píng)方面，美國(guó)一直處于領(lǐng)先地位。 應(yīng)用級(jí)安全 端系統(tǒng)級(jí)安全 子網(wǎng)絡(luò)級(jí)安全 直接鏈路級(jí)安全 人機(jī)交互 ? 教材表 11給出了 OSI安全服務(wù)與 OSI各層之間的關(guān)系。 2022/2/5 75 OSI安全體系結(jié)構(gòu) （續(xù)） OSI標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全體系結(jié)構(gòu)提供 8種安全機(jī)制： (1) 密碼機(jī)制 (2) 數(shù)據(jù)簽名機(jī)制 (3) 訪問(wèn)控制機(jī)制 (4) 數(shù)據(jù)完整性機(jī)制 (5) 業(yè)務(wù)流填充機(jī)制 (6) 驗(yàn)證交換機(jī)制 (7) 路由控制機(jī)制 (8) 仲裁機(jī)制 2022/2/5 76 OSI安全服務(wù)的分層配置 ? 根據(jù)不同安全協(xié)議要求，在 OSI七層參考模型上配置的安全服務(wù)主要表現(xiàn)在四層上。 ? 數(shù)據(jù)完整性服務(wù) : 防止數(shù)據(jù)交換過(guò)程中數(shù)據(jù)的丟失以及數(shù)據(jù)被非法修改以保證接收端和發(fā)送端信息的安全一致性 。 ? 訪問(wèn)控制 : 防止非授權(quán)人使用網(wǎng)絡(luò)系統(tǒng)資源 。上述的五層安全體系并非孤守分散，而是一個(gè)有機(jī)的整體，對(duì)其中任何一個(gè)方面的疏忽，都會(huì)導(dǎo)致整個(gè)安全體系的崩潰，造成大量投資的浪費(fèi)。目前，這個(gè)五層次的網(wǎng)絡(luò)系統(tǒng)安全體系已得到了網(wǎng)絡(luò)安全界的基本認(rèn)同。作為開(kāi)放系統(tǒng)互連（ OSI）標(biāo)準(zhǔn)的一部分， ISO74982把安全性體系結(jié)構(gòu)的內(nèi)容映射到了 OSI的七層模型中，該體系結(jié)構(gòu)是國(guó)際上一個(gè)非常重要的網(wǎng)絡(luò)安全技術(shù)架構(gòu)基礎(chǔ)，為網(wǎng)絡(luò)系統(tǒng)的安全提供重要的指導(dǎo)作用。安全機(jī)制分為特定安全機(jī)制的和普通安全機(jī)制兩大類。 2022/2/5 70 網(wǎng)絡(luò)安全機(jī)制 ? 網(wǎng)絡(luò)安全策略和安全服務(wù)要由不同的安全機(jī)制來(lái)實(shí)施的。 2022/2/5 68 （續(xù)） 數(shù)據(jù)完整性 1）帶恢復(fù)的連接完整性 2）不帶恢復(fù)的連接完整性 3）選擇字段連接完整性 4）無(wú)連接完整性 5）選擇字段無(wú)連接完整性 2022/2/5 69 （續(xù)） 不可否認(rèn) 1）帶數(shù)據(jù)源證明的不可否認(rèn) 向數(shù)據(jù)接收者提供數(shù)據(jù)來(lái)源的證明，防止發(fā)送者否認(rèn)發(fā)送曾經(jīng)發(fā)送過(guò)該數(shù)據(jù)。 3）選擇字段保密性 為連接上的用戶數(shù)據(jù)內(nèi)或單個(gè)無(wú)連接 (N)SDU中的被選擇的一些字段提供保密性。 2022/2/5 67 （續(xù)） 數(shù)據(jù)保密性 1）連接保密性 為某個(gè)連接的所有用戶數(shù)據(jù)提供保密性。 訪問(wèn)控制 防止非授權(quán)使用資源。 2）數(shù)據(jù)源鑒別 確認(rèn)數(shù)據(jù)單元的來(lái)源，確保信息來(lái)源的真實(shí)性。 2022/2/5 66 （續(xù)） 鑒別 該服務(wù)主要用于確認(rèn)所聲明身份的有效性，它包括對(duì)等實(shí)體鑒別和數(shù)據(jù)源鑒別兩類。 2022/2/5 65 ? 安全服務(wù)是由參與通信的開(kāi)放系統(tǒng)中的某一層所提供的，能夠確保該系統(tǒng)或數(shù)據(jù)傳輸具有足夠的安全性的服務(wù)。 加密及認(rèn)證策略 根據(jù)網(wǎng)絡(luò)信息安全的不同要求，系統(tǒng)可以制定不同的加密策略及認(rèn)證策略。 攻擊防范策略 對(duì)抗來(lái)自外部網(wǎng)絡(luò)的攻擊而進(jìn)行積極防御的策略。 2022/2/5 64 網(wǎng)絡(luò)安全策略、安全服務(wù)與安全機(jī)制（續(xù)） 物理安全策略 保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊等。通俗地說(shuō)，安全策略提出了網(wǎng)絡(luò)安全系統(tǒng)要達(dá)到什么樣的安全目標(biāo)，根據(jù)該目標(biāo)，在該系統(tǒng)的安全范圍中，什么操作是允許的，什么是不允許的。 2022/2/5 63 網(wǎng)絡(luò)安全策略、安全服務(wù)與安全機(jī)制 網(wǎng)絡(luò)安全策略 ? 網(wǎng)絡(luò)安全策略通常