1、第一讲 课程概述中南大学信息科学与工程学院计算机系 王伟平Network security Essentials 信息安全概述 要求掌握信息安全的目标、信息安全的相关术语和概念。 密码学 (略讲自学)要求了解和掌握一般的加解密机制和常见的国际加密标准,掌握加密和散列函数在数字签名、数据完整性中的应用,掌握密钥分配中的基本原理和方法。 基础安全策略密钥分配 :对称密钥分配 ; 非对称密钥分配;公钥基础设施 PKI 认证方法 (口令认证;令牌认证;生物特征认证);远程认证(同步令牌、挑战应答非同步认证方式) 网络协议的安全TCP/IP网络协议的弱点以及加强传输层安全 ( SSL,HTTPS,SSH
2、) 电子邮件安全 ( PGP S/MIME )IP 安全 ( IPSec )无线网络安全 ( WiFi WAP) 访问控制技术要求掌握访问控制的一般策略,典型商用操作系统中访问控制策略的实现自主访问控制;基于角色的访问控制;强制访问控制的模型 典型网络攻击与防御手段 网络攻击手段 要求掌握典型网络攻击的步骤攻击准备阶段(战争拨号、扫描、网络测绘);数据传输过程中的窃听; IP地址欺骗;会话劫持;拒绝服务攻击;维护访问权(后门和木马) DoS攻击;垃圾邮件攻击 网络安全控制 防火墙与入侵检测系统的工作原理,系统架构以及技术难点 Web应用安全针对 Web系统的典型攻击手段与防御策略课程内容的范围
3、参考书 网络安全基础 应用与标准(第 4版)白国强等译 清华大学出版社( William stallings , Network security essentials applications and standards) 网络安全:现状与展望 范九伦等译 科学出版社 ( Christos Douligeris,Network Security current status and future directions) 计算机安全原理与实践 贾福春等译 机械工业出版社(William stallings computer security principles and practice) 信
4、息安全原理与应用 李毅超等译 电子工业出版社(Charles P.Pfleeger Security in computing . third edition) 网络安全体系结构 田果,刘丹宁 人民邮电出版社 2013年( Sean Convery network security architectures (cisco) 0day安全:软件漏洞分析技术(第 2版)王清 主编电子工业出版社 2011年 Web渗透技术及实战案例解析 陈小兵,范渊,孙立伟 电子工业出版社 2012年 课程特点与学习方法技术性很强的课程新的攻击和防御手段不断出现需要大量课外阅读 ,关注新技术 课程考核的方法 平时
5、 作业 +实验 (课堂实验 +课程项目 (project)) 期末考试 课程概述 2013年重要信息安全事件 信息安全面临的挑战 计算机安全的含义 计算机入侵的特点 防御方法 网络攻击事件 黑客 新的攻击手段与趋势 信息安全研究的内容 信息安全标准2013年重要信息安全事件 7000多万 QQ群数据公开泄露 12306新版上线就曝漏洞 伪基站致各地垃圾短信肆虐 360卸载手机预装软件遭围攻 “蓝屏门 ”重创金山 酒店开房记录大规模泄露 超级网银曝授权漏洞 搜狗浏览器 “泄密 ”疑云 安卓应用大面积挂马漏洞 微软确认将停止对 XP提供安全更新 http:/ 1)保护信息和保护钱财的差异信息 钱财
6、规模和可移动性设备小 ,可移动性强庞大、笨重、不可移动避免物理接触的能力简单 困难资源价值 高低不同 高信息安全面临的挑战( 2) -安全是什么?与保护有价物品的系统进行对比 预防 :警卫、警报系统 ; 事后 : 犯罪侦查技术 DNA指纹 视网膜 声音 弹道学证据 , 警力的迅速反映 ; 存储 :大量现金和货币依靠系统本身多层保护 复杂的锁 访问的多方系统 安全的相对性信息窃取更加难以防范安全防范意识淡漠、措施简陋相当一部分组织缺乏安全认识对盗版软件危害毫无意识事后处理消极调查取证障碍;担心事件的揭露会损害自身的形象。信息安全面临的挑战( 3)信息不安全的原因信息安全面临的挑战( 4)安全问题
7、与安全机制可能非常 复杂 ,甚至是相当深奥的论证推理在设计与开发一种特定安全机制或算法时,必须考虑对这些安全特性的潜在的攻击。成功的攻击往往是利用了机制中 不可预见的弱点 。只有考虑过各种威胁后,所设计的安全机制才有意义安全机制通常不止一种特定算法或协议,要求参与者拥有 机密信息 ,如何产生、分配和保护这些机密信息。安全本质 企图发现漏洞的作恶者和设计者或管理者之间的一场智力较量。攻击者只要发现一个弱点,设计者需发现和堵塞所有的弱点使其安全。用户和管理者自然倾向 直到灾难发生前总觉得在安全方面的投入是没什么利益可图的。安全仍然很普遍地是一种事后的考虑,在设计结束之后被引入很多用户甚至是管理员认为,强的安全对于一个信息系统或者信息的使用而言在有效性和易操作方面是一种障碍。
