第1章信息安全概述教案.doc

第1章 信息安全概述教学目标：让学生了解和掌握信息安全的基本原理、技术、及最新研究成果教学重点与难点：信息安全概况信息安全保障体系信息安全主要内容教学课时：2课时教学内容：1.1 信息安全概念一、什么是信息安全？ 随着计算机网络的迅速发展，使得信息的交换和传播变得非常容易由于信息在存储、共享和传输中，会被非法窃听、截取、篡改和破坏，从而导致不可估量的损失特别是一些重要的部门，如银行系统、证券系统、商业系统、政府部门和军事系统对在公共通信网络中进行信息的存储和传输中的安全问题就更为重视信息安全之所以引起人们的普遍关注，是由于信息安全问题目前已经涉及到人们日常生活的各个方面以网上交易为例，传统的商务运作模式经历了漫长的社会实践，在社会的意识、道德、素质、政策、法规和技术等各个方面，都已经完善，然而对于电子商务来说，这一切却处于刚刚起步阶段，其发展和完善将是一个漫长的过程假设你作为交易人，无论你从事何种形式的电子商务都必须清楚以下事实：你的交易方是谁？信息在传输过程中是否会被篡改（即信息的完整性）？信息在传送途中是否会被外人看到（即信息的保密性）？网上支付后，对方是否会不认帐（即不可抵赖性）？如此等等。

因此，无论是商家、银行还是个人对电子交易安全的担忧是必然的，电子商务的安全问题已经成为阻碍电子商务发展的“瓶颈”，如何改进电子商务的现状，让用户不必为安全担心，是推动安全技术不断发展的动力 信息安全是一个广泛和抽象的概念所谓信息安全就是关注信息本身的安全，而不管是否应用了计算机作为信息处理的手段信息安全的任务是保护信息财产，以防止偶然的或未授权者对信息的恶意泄露、修改和破坏，从而导致信息的不可靠或无法处理等所谓信息安全，就是指通过各种计算机、网络和密钥技术，保证在各种系统和网络中传输、交换和存储的信息的保密性、完整性、可用性、不可否认性和可控性 信息安全研究所涉及的领域相当广泛随着计算机网络的迅速发展，人们越来越依赖网络，人们对信息财产的使用更多的是通过计算机网络来实现的，在计算机和网络上信息的处理是以数据的形式进行，在这种情况下，信息就是数据因而从这个角度来说，信息安全可以分为数据安全和系统安全，即信息安全可以从两个层次来看：从消息的层次来看，包括信息的完整性（Integrity），即保证消息的来源、去向、内容真实无误；保密性（Confidentiality），即保证消息不会被非法泄露扩散；不可否认性（Non－repudiation），也称为不可抵赖性,即保证消息的发送和接受者无法否认自己所做过的操作行为等。

从网络层次来看，包括可用性（Availability），即保证网络和信息系统随时可用，运行过程中不出现故障，若遇意外打击能够尽量减少损失并尽早恢复正常；可控性（Controllability）,即对网络信息的传播及内容具有控制能力的特性二、信息安全属性 信息安全的基本属性主要表现在以下5个方面： （1）完整性 （2）保密性 （3）可用性 （4）不可否认性 （5）可控性 信息安全的任务就是要实现信息的上述5种安全属性对于攻击者来说，就是要通过一切可能的方法和手段破坏信息的安全属性 信息安全可以说是一门既古老又年轻的学科，内涵及其丰富信息安全不仅涉及计算机和网络本身的技术问题、管理问题而且还涉及法律学、犯罪学、心理学、经济学、应用数学、计算机基础科学、计算机病毒学、密码学、审计学等学科 从信息安全的发展过程来看，在计算机出现以前，通信安全以保密为主，密码学是信息安全的核心和基础，随着计算机的出现，计算机系统安全保密成为现代信息安全的重要内容，网络的出现使得大范围的信息系统的安全保密成为信息安全的主要内容信息安全的宗旨是向合法的服务对象提供准确、正确、及时、可靠的信息服务；而对其他任何人员和组织，包括内部、外部乃至于敌对方，保持最大限度的信息的不透明性、不可获取性、不可接触性、不可干扰性、不可破坏性，而且不论信息所处的状态是静态的、动态的、还是传输过程中的。

三、信息安全和网络安全的区别在对象范围方面，“信息安全”涵盖了“网络安全”广义上来说，信息网络系统包括了“线”和“点”两类实体，也就是通常所说的网络资源和信息资源可以含蓄地认为“线”代表为网络本身，包括网络线路和网络设备，信息经过“线”（网络）传输；而“点”则指由“线”联接在一起的各类应用设备，包括：服务器、客户机、操作系统和应用软件等，信息在“点”（计算机）中进行存储和处理网络安全考虑的角度主要是“线”问题，即如何通过合理的网络构架、配置和管理，解决信息在传输过程中的安全问题，提高安全等级，来保障和配合应用服务的整体性安全运作；而信息安全的范畴则不光是指“线”的安全问题，同时也包括 “点”的安全问题信息安全工作的对象不仅涵盖了网络安全的所有问题，即信息在网络传输中的安全问题，而且还包括计算机本身的固有安全问题，如系统硬件、操作系统、应用软件、操作流程等等1.2 信息安全威胁 下面给出一些常见的安全威胁： （1）信息泄露：信息被泄露或透露给某个非授权的实体 （2）破坏信息的完整性：数据被3ffi权地进行增删、修改或破坏而受到损失 （3）拒绝服务：对信息或其他资源的合法访问被无条件地阻止。

（4）非法使用（非授权访问）：某一资源被某个非授权的人，或以非授权的方式使用 （5）窃听：用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息例如对通信线路中传输的信号搭线监听，或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等 （6）业务流分析：通过对系统进行长期监听，利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究，从中发现有价值的信息和规律 （7）假冒：通过欺骗通信系统（或用户）达到非法用户冒充成为合法用户，或者特权小的用户冒充成为特权大的用户的目的黑客大多是采用假冒攻击 （8）旁路控制：攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权例如，攻击者通过各种攻击手段发现原本应保密，但是却又暴露出来的一些系统“特性”，利用这些“特性”，攻击者可以绕过防线守卫者侵人系统的内部 （9）授权侵犯：被授权以某一目的使用某一系统或资源的某个人，却将此权限用于其他非授权的目的，也称作“内部攻击” （10）特洛伊木马：软件中含有一个察觉不出的或者无害的程序段，当它被执行时，会破坏用户的安全这种应用程序称为特洛伊木马（Trojan Horse）（11）陷阶门：在某个系统或某个部件中设置的“机关”，使得在特定的数据输人时，允许违反安全策略。

12）抵赖：这是一种来自用户的攻击，比如：否认自己曾经发布过的某条消息、伪造一份对方来信等13）重放：出于非法目的，将所截获的某次合法的通信数据进行拷贝，而重新发送14）计算机病毒：所谓计算机病毒，是一种在计算机系统运行过程中能够实现传染和侵害的功能程序一种病毒通常含有两种功能：一种功能是对其他程序产生“感染”；另外一种或者是引发损坏功能，或者是一种植人攻击的能力 （15）人员不慎：一个授权的人为了钱或某种利益，或由于粗心，将信息泄露给一个非授权的人 （l6）媒体废弃：信息被从废弃的磁的或打印过的存储介质中获得 （17）物理侵人：侵人者绕过物理控制而获得对系统的访问 （18）窃取：重要的安全物品，如令牌或身份卡被盗 （19）业务欺骗：某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息等等上面给出的是一些常见的安个威胁，各种威胁之间是相互联系的，如窃听、业务流分析、人员不慎、媒体废弃物等可造成信息泄露，而信息泄露、窃取、重放等可造成假冒，而假冒等又可造成信息泄露………对于信息系统来说威胁可以是针对物理环境、通信链路、网络系统、操作系统、应用系统以及管理系统等方面第2章 防火墙教学目标：了解系统安全结构掌握防火墙的概念、体系结构、安全策略以及主要的防火墙技术教学重点与难点：1. 防火墙概念2. 防火墙体系结构3. 防火墙安全策略4. 主要防火墙技术教学课时：4课时教学内容：2.1 防火墙技术常用的防火墙技术包括包过滤技术、应用网关技术、电路级网关技术和状态检测技术等等。

一、包过滤技术 包过滤（Packet Filtering）技术是防火墙在网络层中根据数据包中包头信息有选择地实施允许通过或阻断依据防火墙内事先设定的过滤规则，检查数据流中每个数据包头部，根据数据包的源地址、目的地址、TCP／UDP源端口号、TCP／UDP目的端口号及数据包头中的各种标志位等因素来确定是否允许数据包通过，其核心是安全策略即过滤规则的设计一般来说，不保留前后连接信息，利用包过滤技术很容易实现允许或禁止访问包过滤技术作为防火墙的应用有两类：一是路由设备在完成路由选择和数据转发之外，同时进行包过滤，这是目前较常用的方式；二是在一种称为屏蔽路由器的路由设备上启动包过滤功能１、数据包过滤的特点 数据包过滤的安全策略基于以下几种方式： （1）数据包的源地址 （2）数据包的目的地址 （3）数据包的 TCP／UDP源端口 （4）数据包的 TCP／UDP目的端口 （5）数据包的标志位 （6）用来传送数据包的协议 但是数据包过滤也是有局限的，其局限性表现如下：（1）不能进行内容级控制，如针对用户身份进行限制，不能做到对于一个Telnet服务器，禁止user1登录，而允许user2登录润为用户名是数据包内容部分的信息，过滤系统不能辨认从而无法控制。

另如，不能针对于一个 FTP服务器，允许用户下载某些文件，而禁止用户下载某些文件涸为文件名也属于数据包内容，所以不能辨认2）数据包的过滤规则制定比较复杂，需要针对不同的正或者服务制定很多的安全规则，而且过滤规则会存在冲突或者漏洞，检查起来相对困难3）有些协议不适合包过滤2、 数据包过滤的应用 （1）IP源地址，32位 （2）IP目的地址，32位 （3） IP协议类型，辨别TCP数据包类型和ICMP数据包类型 （4）IP选项字段TCP协议 针对数据包过滤，TCP层有几个重要的信息：（1）TCP源端口 （2）TCP目标端口 （3）TCP标志字段UDP协议 针对数据包过滤，UDP协议有几个重要的信息： （1）UDP源端口 （2）UDP目标端口ICMP协议3、过滤规则制定的策略按地址过滤按服务过滤对数据包做日志记录4、数据包过滤规则 建立数据包过滤规则需按如下步骤去做： ①建立安全策略（写出所允许的和禁止的任务） ②将安全策略转化为数据包分组字段的逻辑表达式 ③用防火墙提供的过滤规则句法重写逻辑表达式并设置。

二、应用网关技术 应用网关（Application Gateway）也称代理服务器，与包过滤防火墙不同，它不使用通用目标机制来允许各种不同种类的通信，而是针对每个应用使用专用目的的处理方法虽然这样做看起来有些浪费，但却比任何其他方法安全得多，因为不必担心不同过滤规则集之间的交互影响及对外部提供安全服务的主机中的漏洞，而只需仔细检查选择。