信息安全原理与实践-第二版01引言.ppt

1
信息安全原理与实践
Information Security: Principles and Practice, 2nd Edition
[美]Mark Stamp 著
张戈 译
第1章引言
2
角色列表
根据老传统,Alice和Bob是本书中的两个好人,而Trudy通常是指一个搞破坏的坏家伙,他总是试图以某些方式对系统进行攻击。
3
Alice的网上银行
结合Alice网银,我们考察传统的信息安全三要素:
机密性
完整性
可用性
它们也可以简称为CIA。
4
机密性、完整性和可用性
机密性针对的是防止对信息进行未授权的“读”。
完整性要面对的是防止或者至少是检测出未授权的“写”(对数据的改变)。
拒绝服务攻击,简称DoS攻击,是一个相对来说比较新的问题。这类攻击力图降低信息的可获得性。
5
CIA并不是全部
软件层面的信息安全机制
在一***立的计算机上进行身份认证,典型的过程需要验证Bob的口令。为了确保安全,这会用到密码学领域的一些精巧技术。另一方面,通过网络的身份认证将打开门户,面对许多类型的攻击,而这些攻击往往与在一***立计算机上相对应的那些情形无关。
授权就是将约束施加在已认证用户的操作行为上。既然身份认证和授权都是针对资源访问的问题,那么我们把这两个议题放在“访问控制”这个标题下统一讨论。
授权就是将约束施加在已认证用户的操作行为上。既然身份认证和授权都是针对资源访问的问题,那么我们把这两个议题放在“访问控制”这个标题下统一讨论。这就涉及到授权和访问控制的问题。
6
与软件开发相关的问题
什么样的软件缺陷是安全问题,它们又是如何被攻击者利用的?Alice网银怎么能够确保软件正在正常运行?
虽然bug可能(而且也确实会)带来安全缺陷的增加,但这些问题却是善意的软件开发工程师们在无意之间造成的。另一方面,有些软件在编写的时候就存有不良企图。
操作系统
7
关于本书
兰普森认为,真实世界的安全可以归结为如下3点:
规范/策略——系统的目的是什么?
实现/机制——如何做到?
正确性/可靠性—系统真的可以正常运转吗?
本书作者在此谨慎地增加第4点:
人性化——系统能否应付那些“聪明的”用户?
本书内容分为4个主要部分:
第Ⅰ部分着重讨论密码学技术
第Ⅱ部分则涵盖访问控制相关内容
第Ⅲ部分的主题是协议
第IIII部分主要讨论那些庞杂并且相对界限不够清晰的软件类话题。
8
密码学技术
密码学技术(或者直白地说“密码”)是基本的信息安全工具之一。密码学技术的用途非常广泛,能够为机密性、完整性以及许多其他关键的信息安全功能提供有力的支撑。
主要内容:
几个经典的密码系统
学****现代密码技术:对称密钥密码学和公开密钥密码
哈希函数
与密码学有关的几个特定议题
密码分析,即破解密码系统的方法
9
访问控制
访问控制解决的是身份认证和授权的问题。在身份认证领域,我们将关注许多有关口令的议题,口令是今天最常用的身份认证形式,但这主要是因为口令的成本低廉,而绝不是因为在诸多选择中这种方式最为安全。
主要内容:
如何安全地存储口令
口令的替代方案,包括生物特征和智能卡
授权
多级安全性:隐藏通道和接口控制。
防火墙
10