网络信息安全概述——网络信息安全的原则.ppt

“信息安全信息安全”专业有针对研究生和本科生的；专业有针对研究生和本科生的； 有部队院校（电子对抗）和地方院校；有部队院校（电子对抗）和地方院校； 有理学学士（应用数学）和工学学士。有理学学士（应用数学）和工学学士。 我校的专业特点和特长是我校的专业特点和特长是“通信和网络通信和网络”， 所以信息安全侧重研究所以信息安全侧重研究“网络信息安全网络信息安全”， 这里的这里的“网络网络”在通信学院指在通信学院指“通信网通信网”， 在计算机学院指在计算机学院指“局域网和互联网局域网和互联网”。 信息安全包括：信息安全包括： 信息安全管理、信息安全管理、 物理场所安全、物理场所安全、 设备的硬件安全、设备的硬件安全、 软件安全（操作系统软件安全（操作系统/其他系统软件应用软件）其他系统软件应用软件） 网络信息安全、网络信息安全、 密码学的应用、密码学的应用、 信息隐藏、信息隐藏、 其他不常见技术。其他不常见技术。 不同的研究方向：不同的研究方向：1）攻击技术：身份隐藏、踩点、扫描、查点、嗅）攻击技术：身份隐藏、踩点、扫描、查点、嗅探、拒绝服务攻击、口令猜测、欺骗、会话劫持、探、拒绝服务攻击、口令猜测、欺骗、会话劫持、缓冲区溢出、病毒、蠕虫、木马等缓冲区溢出、病毒、蠕虫、木马等2）防范技术：主机加固、密码学、防火墙、虚拟）防范技术：主机加固、密码学、防火墙、虚拟专用网、入侵检测系统、蜜罐等专用网、入侵检测系统、蜜罐等 两类人所做的工作：两类人所做的工作：网络破坏者网络破坏者找漏洞并悄悄利用找漏洞并悄悄利用安全专家安全专家发现漏洞并补上发现漏洞并补上（不要完全公开代码）（不要完全公开代码） 两者所使用技术是螺旋式发展的，攻击技术和两者所使用技术是螺旋式发展的，攻击技术和防范技术没有严格区别（如扫描工具防范技术没有严格区别（如扫描工具SATAN的使的使用），就看是谁如何用它用），就看是谁如何用它非常现实。非常现实。1. 安全即是平衡（要保护系统价值、网络通畅性和安安全即是平衡（要保护系统价值、网络通畅性和安全级别之间）。全级别之间）。2.安全并非某一个产品，它是一个安全并非某一个产品，它是一个完整的过程完整的过程（多种机（多种机制，维护和升级）。制，维护和升级）。3. 安全的最根本原则是：不要把所有鸡蛋都放在同一安全的最根本原则是：不要把所有鸡蛋都放在同一个篮子里，即需要有个篮子里，即需要有多种安全机制多种安全机制。安全强度等同。安全强度等同于安全链路中于安全链路中最薄弱的链接最薄弱的链接。4. 安全不等于加密安全不等于加密，网络信息安全实际上已不仅是一，网络信息安全实际上已不仅是一系列技术问题，它是一项系列技术问题，它是一项系统的社会工程系统的社会工程。 绝大多绝大多数攻击不是靠破译密码成功的。数攻击不是靠破译密码成功的。网络信息安全的原则网络信息安全的原则5. 安全也不等于防火墙安全也不等于防火墙，只有防火墙的系统的安全，只有防火墙的系统的安全性就相当于为帐篷安装了一扇防盗门，至少还需性就相当于为帐篷安装了一扇防盗门，至少还需要有入侵检测系统。防火墙还不能防止内部攻击。要有入侵检测系统。防火墙还不能防止内部攻击。6. 对网络攻击的对策措施：对网络攻击的对策措施： 保护保护加密、防火墙、口令加密、防火墙、口令 监测监测入侵检测系统入侵检测系统 反应反应自动改变口令、口令错误封锁机制自动改变口令、口令错误封锁机制 没有一项保护技术是完美的，监测和反应是最没有一项保护技术是完美的，监测和反应是最基本的。保护不是必须的，监测和反应是必须的。基本的。保护不是必须的，监测和反应是必须的。7. 首先要具有首先要具有安全意识安全意识，其次才能谈到安全技术。，其次才能谈到安全技术。8. 网络信息安全首先要从网络信息安全首先要从最底层最底层操作系统操作系统安安全抓起，其次才能谈到网络、应用程序的安全。全抓起，其次才能谈到网络、应用程序的安全。 但到目前为止还没有绝对安全的操作系统，实但到目前为止还没有绝对安全的操作系统，实验室内的安全操作系统功能过于简单、灵活性验室内的安全操作系统功能过于简单、灵活性和易用性不好。和易用性不好。更快、更安全、更快、更安全、更易于实施更易于实施9. 复杂性复杂性是安全的最大敌人，是安全的最大敌人，内部人员内部人员对网络危对网络危害最大。害最大。10. 在这一行，对知识的更多更新的掌握决定一在这一行，对知识的更多更新的掌握决定一切。切。要比入侵者更详细地了解你自己的系统要比入侵者更详细地了解你自己的系统。11. 最小权限原则最小权限原则：给予用户能够将工作完成的：给予用户能够将工作完成的最小权限，能够将攻击者对系统造成的危害降最小权限，能够将攻击者对系统造成的危害降低到最低程度。低到最低程度。内核膨胀内核膨胀驻驻留内存命令过多留内存命令过多