信息安全概论 信息安全标准.ppt

信息安全概论-信息安全标准内容提要本章介绍信息安全标准的基础知识,包括:标准的形成过程标准的发展标准的分类标准的安全评估准则主要标准化组织信息安全标准标准公认或认定的工业产品规范。共同认定的游戏规则。标准利于产品的工业化生产。标准通常由某些方面的主导团体制定。信息安全标准的产生和发展安全产品间互操作性的需要对安全等级认定的需要对服务商能力衡量的需要信息安全标准的分类互操作标准IP安全协议标准IPSec传输层加密标准SSL/TLS安全电子交易标准SET技术与工程标准信息产品通用评测标准安全系统工程能力成熟度模型(SSE-CMM)网络与信息安全管理标准信息安全管理体系标准(BS7799)信息安全管理标准(ISO13335)互操作标准应用层SET、S-HTTP、S/MINE、PGP传输层IPSec网络层SSL/TLS/SOCK5数据链路层PPTP,L2FIP安全概述大型网络系统内运行多种网络协议(TCP/IP、IPX/BEUA等),这些网络协议并非为安全通信设计。而其IP协议维系着整个TCP/IP协议的体系结构,除了数据链路层外,TCP/IP的所有协议的数据都是以IP数据报的形式传输的,TCP/IP协议簇有两种IP版本:版本4(IPv4)和版本6(IPv6)。IPv6是IPv4的后续版本,IPv6简化了IP头,其数据报更加灵活,同时IPv6还增加了对安全性的考虑。IP安全的必要性目前占统治地位的是IPv4,IPv4在设计之初没有考虑安全性,IP包本身并不具备任何安全特性,导致在网络上传输的数据很容易受到各式各样的攻击:比如伪造IP包地址、修改其内容、重播以前的包以及在传输途中拦截并查看包的内容等。因此,通信双方不能保证收到IP数据报的真实性。为了加强因特网的安全性,从1995年开始,IETF着手制定了一套用于保护IP通信的IP安全协议(IPSecurity,IPSec)。IPSec是IPv6的一个组成部分,是IPv4的一个可选扩展协议。IPSec弥补了IPv4在协议设计时缺乏安全性考虑的不足。IPSec协议簇IPSec定义了一种标准的、健壮的以及包容广泛的机制,可用它为IP以及上层协议(比如TCP或者UDP)提供安全保证。IPSec的目标是为IPv4和IPv6提供具有较强的互操作能力、高质量和基于密码的安全功能,在IP层实现多种安全服务,包括访问控制、数据完整性、机密性等。IPSec通过支持一系列加密算法如DES、三重DES、IDEA和AES等确保通信双方的机密性。IPSec协议簇包括两个安全协议:AH协议和ESP协议。AH协议(AuthenticationHeader,验证头):可以证明数据的起源地、保障数据的完整性以及防止相同数据包在因特网重播。ESP协议(EncapsulatingSecurityPayload,封装安全载荷):具有所有AH的功能,还可以利用加密技术保障数据机密性。虽然AH和ESP都可以提供身份认证,但它们有2点区别:ESP要求使用高强度的加密算法,会受到许多限制。多数情况下,使用AH的认证服务已能满足要求,相对来说,ESP开销较大。有两套不同的安全协议意味着可以对IPSec网络进行更细粒度的控制,选择安全方案可以有更大的灵活度。IPSec的实现方式IPSec的实现方式有两种:传输模式和隧道模式,都可用于保护通信。其中传输模型的作用方式传输模式用于两台主机之间,保护传输层协议头,实现端到端的安全性。当数据包从传输层传送给网络层时,AH和ESP会进行拦截,在IP头与上层协议之间需插入一个IPSec头。当同时应用AH和ESP到传输模式时,应该先应用ESP,再应用AH。