信息安全技術(shù) - ok.ppt

1、1,信 息 安 全 技 術(shù),教材：信息安全概論 段云所 出版社：高教出版社 主講教師：張 松 平 電話E-mail：,2,第一章 概 述,信息安全概況 計(jì)算機(jī)和網(wǎng)絡(luò)的發(fā)展 信息安全現(xiàn)狀 信息安全面臨問(wèn)題 信息安全管理保障體系,3,隨著現(xiàn)代通信技術(shù)迅速的發(fā)展和普及，特別是隨著通信技術(shù)與計(jì)算機(jī)相結(jié)合而誕生的計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò)全面進(jìn)入千家萬(wàn)戶，信息的應(yīng)用與共享日益廣泛，且更為深入。人類(lèi)開(kāi)始從主要依賴(lài)物質(zhì)和能源的社會(huì)步入物質(zhì)、能源和信息三位一體的社會(huì)。各種信息系統(tǒng)已成為國(guó)家基礎(chǔ)設(shè)施， 支撐電子政務(wù)、電子商務(wù)、電子金融、科學(xué)研究、網(wǎng)絡(luò)教育、能源、通信、交通和社會(huì)保障等方方面面，信息

2、成為人類(lèi)社會(huì)必須的重要資源。 與此同時(shí)信息的安全問(wèn)題也日益突出。從大的方面來(lái)說(shuō)，信息安全問(wèn)題已威脅到國(guó)家的政治、經(jīng)濟(jì)、軍事、文化、意識(shí)形態(tài)等領(lǐng)域，因此很早有人提出信息戰(zhàn)的概念并將信息武器列為繼原子武器、生化武器之后的第四大武器；從小的方面說(shuō)，信息安全問(wèn)題也涉及到人們能否保護(hù)個(gè)人隱私。因此信息安全已成為社會(huì)穩(wěn)定安全的必要前提條件。,4,計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展歷程,5,2009年我國(guó)上網(wǎng)人數(shù)已突破3億，而且手機(jī)上網(wǎng)人數(shù)猛增。,6,根據(jù)聯(lián)合國(guó)的資料，全球收入最高國(guó)家中的五分之一人口擁有全球國(guó)內(nèi)生產(chǎn)總值的86%，其互聯(lián)網(wǎng)用戶總數(shù)占世界互聯(lián)網(wǎng)用戶總數(shù)的93%，而收入最低國(guó)家的五分之一人口則只擁有全球國(guó)內(nèi)

3、生產(chǎn)總值的1%，其互聯(lián)網(wǎng)用戶總數(shù)只占全球互聯(lián)網(wǎng)用戶總數(shù)的0.2%。,7,ISP:Internet Service Provider 169,163就是中國(guó)電信旗下的ISP,8,信息安全概況 計(jì)算機(jī)和網(wǎng)絡(luò)的發(fā)展 信息安全現(xiàn)狀 信息安全面臨問(wèn)題 信息安全管理保障體系,9,信息化建設(shè)帶來(lái)的問(wèn)題,F信息化建設(shè)成為國(guó)家重要基礎(chǔ)設(shè)施 目前，所謂“三網(wǎng)融合”，就是指電信網(wǎng)、廣播電視網(wǎng)和計(jì)算機(jī)通信網(wǎng)的相互滲透、互相兼容、并逐步整合成為全世界統(tǒng)一的信息通信網(wǎng)絡(luò)?！叭W(wǎng)融合”是為了實(shí)現(xiàn)網(wǎng)絡(luò)資源的共享，避免低水平的重復(fù)建設(shè)，形成適應(yīng)性廣、容易維護(hù)、費(fèi)用低的高速寬帶的多媒體基礎(chǔ)平臺(tái)。“三網(wǎng)融合”后，民眾可用電視遙控器

4、打電話，在手機(jī)上看電視劇，隨需選擇網(wǎng)絡(luò)和終端，只要拉一條線、或無(wú)線接入即完成通信、電視、上網(wǎng)等。 還有物聯(lián)網(wǎng)的構(gòu)建，物聯(lián)網(wǎng)的概念是在1999年提出的。物聯(lián)網(wǎng)就是“物物相連的互聯(lián)網(wǎng)”。物聯(lián)網(wǎng)的核心和基礎(chǔ)仍然是互聯(lián)網(wǎng)，是在互聯(lián)網(wǎng)基礎(chǔ)上的延伸和擴(kuò)展的網(wǎng)絡(luò)； F 信息安全威脅給社會(huì)帶來(lái)巨大沖擊 F 信息安全問(wèn)題正在進(jìn)入國(guó)家戰(zhàn)略層,10,11,12,2007年我國(guó)網(wǎng)絡(luò)安全事件發(fā)生量的增長(zhǎng)幅度較大,中央政府門(mén)戶網(wǎng)站 2008年04月29日 來(lái)源：新華社 新華社北京月日電(馮曉芳、李華穎)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心日發(fā)布的數(shù)據(jù)顯示：年我國(guó)網(wǎng)絡(luò)安全事件發(fā)生量的增長(zhǎng)幅度較大，網(wǎng)絡(luò)仿冒、網(wǎng)頁(yè)惡意代碼、網(wǎng)站

5、篡改等增長(zhǎng)速度接近200%，木馬主機(jī)的增長(zhǎng)率為2125%。 “我國(guó)網(wǎng)絡(luò)安全面臨的形勢(shì)非常嚴(yán)峻?！眹?guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心運(yùn)行管理部主任孫蔚敏說(shuō)，“木馬、僵尸網(wǎng)絡(luò)和與域名相關(guān)的安全問(wèn)題等構(gòu)成了主要威脅?！?面臨嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，如何尋求網(wǎng)絡(luò)安全問(wèn)題的解決之道，成為重中之重。針對(duì)此問(wèn)題，孫蔚敏表示，當(dāng)務(wù)之急是建立并擁有一套完善的網(wǎng)絡(luò)安全預(yù)警和應(yīng)急保障體系。為達(dá)到這一目標(biāo)，各方面都要貫徹執(zhí)行“積極預(yù)防、及時(shí)發(fā)現(xiàn)、快速響應(yīng)、力?；謴?fù)”的十六字方針。,13,提高網(wǎng)民網(wǎng)絡(luò)安全意識(shí)，是積極預(yù)防的首要環(huán)節(jié)。同時(shí)，對(duì)于最常用的殺毒軟件和防火墻，“如果能采取政府和市場(chǎng)結(jié)合的機(jī)制，作為一種公共服務(wù)來(lái)提供

6、，我認(rèn)為也能降低整個(gè)國(guó)家網(wǎng)絡(luò)安全的管理成本?！睂O蔚敏說(shuō)。 除了積極預(yù)防，及時(shí)發(fā)現(xiàn)也能幫助減少網(wǎng)絡(luò)安全事件。據(jù)2008年病毒疫情調(diào)查報(bào)告的數(shù)據(jù)顯示，調(diào)查的網(wǎng)絡(luò)安全事件中，由信息網(wǎng)絡(luò)管理員通過(guò)技術(shù)監(jiān)測(cè)發(fā)現(xiàn)的占53.5%，通過(guò)部署購(gòu)買(mǎi)安全產(chǎn)品報(bào)警發(fā)現(xiàn)的占46.4%，事后分析發(fā)現(xiàn)的占35.4%。 孫蔚敏表示，及時(shí)發(fā)現(xiàn)可以用兩種方式采取措施，一是建立必要的網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)。二是建立信息共享機(jī)制。比如，對(duì)于國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心來(lái)講，監(jiān)測(cè)到有90萬(wàn)個(gè)IP植入了木馬，但其中的IP是網(wǎng)通還是電信用戶，是銀行還是證券部門(mén)，卻需要相關(guān)部門(mén)具體研究和信息共享。 “當(dāng)然，不管積極預(yù)防還是及時(shí)發(fā)現(xiàn)，不可避免

7、還是會(huì)有問(wèn)題發(fā)生。這就要求一旦事件發(fā)生，就要在最關(guān)鍵的時(shí)間點(diǎn)響應(yīng)，并在最短時(shí)間內(nèi)把損失降低到最小，做到快速響應(yīng)，力?；謴?fù)?！睂O蔚敏說(shuō)。 （即入侵檢測(cè)系統(tǒng)）,14,中國(guó)計(jì)算機(jī)犯罪案件逐年上升,1986年發(fā)生第一起計(jì)算機(jī)犯罪案件。(深圳市某銀行蛇口支行陳某伙同他人利用計(jì)算機(jī)詐騙巨款一案 ) 據(jù)公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局不完全統(tǒng)計(jì)， 1998年立案?jìng)刹橛?jì)算機(jī)違法犯罪案件僅為142起； 1999年增至908起； 2000年劇增為2700余起，比上年增加了2倍； 2001年又漲到4500余起，比上年上升70； 2002年開(kāi)始突破一萬(wàn)起。,15,上海警方破獲全球最大規(guī)模制販盜版軟件案 文章來(lái)源: 中國(guó)計(jì)

8、算機(jī)安全 2008-04-25 烏魯木齊在線訊 歷經(jīng)連續(xù)17個(gè)月的漫長(zhǎng)守候，一個(gè)特大跨國(guó)制販盜版軟件犯罪集團(tuán)連根拔起。記者昨日從(上海)市公安局獲悉，以馬靖易為首的11名犯罪嫌疑人被一網(wǎng)打盡。這是迄今為止全球最大規(guī)模的跨國(guó)制販盜版軟件案，僅上海部分，涉案金額就高達(dá)數(shù)千萬(wàn)元。,16,“拼音猜字”鎖定頭目2006年2月28日，上海警方接到來(lái)自公安部的線索：一個(gè)以名為“MAKEPEI”為首的犯罪團(tuán)伙在上海以電腦網(wǎng)絡(luò)公司名義從事跨國(guó)制販盜版軟件犯罪活動(dòng)。根據(jù)這一細(xì)微線索，改名為馬靖易的犯罪嫌疑人進(jìn)入警方視線。早在2003年2月，美國(guó)紐約警方摧毀一個(gè)當(dāng)?shù)劁N(xiāo)售盜版軟件的犯罪集團(tuán)時(shí)，該團(tuán)伙頭目馬靖易因在國(guó)內(nèi)

9、過(guò)年，無(wú)意中躲過(guò)抓捕。 “瞞天過(guò)?！本W(wǎng)上交易也許是有了在美國(guó)的教訓(xùn)，馬靖易變得極為狡猾和謹(jǐn)慎，他不通過(guò)正規(guī)途徑招聘銷(xiāo)售人員，而是直接拉人入伙；所有與國(guó)外的交易都通過(guò)電子郵件商談；在國(guó)內(nèi)，馬靖易團(tuán)伙基本不接觸盜版軟件，只是在確認(rèn)資金到賬后，通知美國(guó)的手下通過(guò)快遞公司送貨。,17,警方調(diào)查發(fā)現(xiàn)，從2003年7月起，馬靖易在上海設(shè)立了多個(gè)窩點(diǎn)，通過(guò)網(wǎng)站發(fā)布盜版軟件銷(xiāo)售信息，以正版軟件1/10的價(jià)格向境外客戶銷(xiāo)售盜版軟件。馬靖易集團(tuán)經(jīng)營(yíng)的盜版軟件主要集中在殺毒軟件和工程軟件領(lǐng)域，涉及賽門(mén)鐵克等21家境外知名公司100多個(gè)品種的軟件。11名嫌疑人被警方抓獲2006年10月，美國(guó)聯(lián)邦調(diào)查局向中國(guó)公安部反映

10、，他們?cè)谡{(diào)查美國(guó)國(guó)內(nèi)盜版犯罪集團(tuán)時(shí)發(fā)現(xiàn)深圳的王某、車(chē)某等人涉嫌大量生產(chǎn)、銷(xiāo)售盜版軟件，請(qǐng)求中方協(xié)助。 2007年7月6日，上海、深圳警方同時(shí)展開(kāi)“夏至行動(dòng)”。上海警方抓獲馬靖易等11名犯罪嫌疑人，同時(shí)凍結(jié)了犯罪團(tuán)伙涉案金額400多萬(wàn)元、房產(chǎn)5處，繳獲了159個(gè)品種的軟件樣碟、14張光盤(pán)外觀印制膠片、20臺(tái)計(jì)算機(jī)和銷(xiāo)售臺(tái)賬。另悉，僅去年一年全市公安刑偵部門(mén)共破獲各類(lèi)侵犯知識(shí)產(chǎn)權(quán)犯罪案件215起，抓獲犯罪嫌疑人495人，收繳贓款、贓物總值4.86億余元。 來(lái) 源：中國(guó)計(jì)算機(jī)安全,18,網(wǎng)絡(luò)經(jīng)濟(jì)犯罪的犯罪特點(diǎn),（1）冒充合法用戶身份侵入型：犯罪行為人常利用從事網(wǎng)絡(luò)相關(guān)工作之便或接近計(jì)算機(jī)系統(tǒng)工作人員

11、之便非法竊取口令與密碼，冒充合法用戶進(jìn)入系統(tǒng)，實(shí)施經(jīng)濟(jì)犯罪。如山東濟(jì)寧農(nóng)行鄒城支行2000年12月10日發(fā)生的利用銀行計(jì)算機(jī)網(wǎng)絡(luò)竊取資金案件就是一起典型的冒充合法用戶身份侵入型網(wǎng)絡(luò)經(jīng)濟(jì)犯罪案件。犯罪行為人馬某（濟(jì)寧市某農(nóng)行營(yíng)業(yè)所主管會(huì)計(jì)）與劉某（濟(jì)寧市某廠工人）違規(guī)異地登錄鄒城農(nóng)壇儲(chǔ)蓄所，并破解該所某臨柜員用戶口令，通過(guò)轉(zhuǎn)帳竊取資金18萬(wàn)余元。 （2）特洛伊木馬型：犯罪行為人往往利用某種方式侵入網(wǎng)絡(luò)中的計(jì)算機(jī)系統(tǒng)，設(shè)置特洛伊木馬程序并通過(guò)程序收集相關(guān)資料如客戶商業(yè)秘密、合法用戶口令、特權(quán)用戶口令等等，然后利用收集到的信息實(shí)施經(jīng)濟(jì)犯罪。例如俄羅斯圣彼得堡的弗拉基末爾萊文利用網(wǎng)絡(luò)技術(shù)竊取銀行客戶的

12、口令與密碼，并進(jìn)行非法轉(zhuǎn)帳，數(shù)額高達(dá)370多萬(wàn)美元。,19,（3）技術(shù)攻擊型：犯罪行為人利用網(wǎng)絡(luò)的某種缺點(diǎn)實(shí)施攻擊，典型方式是利用編寫(xiě)軟件之機(jī)或接近編程人員之機(jī)，設(shè)置“后門(mén)”或“陷阱”，并進(jìn)而入侵計(jì)算機(jī)系統(tǒng)。一般要求行為人掌握較高的計(jì)算機(jī)專(zhuān)業(yè)知識(shí)。例如1999年，年僅28歲的趙哲非法進(jìn)入證券交易系統(tǒng)修改程序，造成股市波動(dòng)并損失295萬(wàn)余元。 （4）制作、傳播病毒型：犯罪行為人通過(guò)非法入侵系統(tǒng)后放置計(jì)算機(jī)病毒或利用電子郵件等其他形式在網(wǎng)絡(luò)中傳播病毒，造成較大損失。這種方式犯罪目標(biāo)不明確，侵害范圍廣，后果嚴(yán)重。1999年臺(tái)灣電腦奇才陳贏毫為了檢驗(yàn)自己的計(jì)算機(jī)技術(shù)水平而開(kāi)發(fā)“CIH”病毒，造成全球至

13、少6000萬(wàn)臺(tái)電腦中毒。 （5）設(shè)置特定程序型：典型的是浮報(bào)虛頭程序，一是利用計(jì)算機(jī)重復(fù)計(jì)息；二是采用“意大利香腸術(shù)”對(duì)利息尾數(shù)進(jìn)行修改進(jìn)而非法占有。如美國(guó)一名程序員通過(guò)計(jì)算機(jī)浮報(bào)費(fèi)用，每次只虛報(bào)一兩美元，然后轉(zhuǎn)移到另外的帳戶上，六年時(shí)間共占有一百多萬(wàn)美元而一直未被發(fā)現(xiàn)。,20,（6）網(wǎng)絡(luò)洗錢(qián)型：以上幾種是將合法的財(cái)物通過(guò)網(wǎng)絡(luò)非法占為己有，而“網(wǎng)絡(luò)洗錢(qián)”則是通過(guò)世界性的網(wǎng)絡(luò)貿(mào)易，將走私、販毒等非法所得進(jìn)行跨越國(guó)境的房地產(chǎn)、股票、債券等投資，倒來(lái)倒去成為合法所得。 （7）邏輯炸彈型：輸入犯罪指令或一段隱蔽的邏輯程序，在系統(tǒng)運(yùn)行過(guò)程中，該指令或程序能夠按照犯罪行為人的意圖在指定的時(shí)間或條件下觸發(fā)運(yùn)

14、行，從而抹除數(shù)據(jù)文件或破壞系統(tǒng)的功能，進(jìn)行計(jì)算機(jī)詐騙或破壞等犯罪活動(dòng)。然后在預(yù)定時(shí)間或事件發(fā)生時(shí)，指令該“炸彈”自行銷(xiāo)毀。這種方法被廣泛應(yīng)用于毀滅罪證、實(shí)施破壞。 （8）偽造證件型：盜取客戶信息，利用專(zhuān)門(mén)制作工具，偽造信用卡、存折等，并冒用、冒領(lǐng)他人存款的行為。1999年青島工商銀行曾以菲偽造信用卡一案即是一典型案例。該類(lèi)犯罪行為人往往有比較明確的范圍。,21,22,國(guó)外信息安全技術(shù)研究現(xiàn)狀,美國(guó)有一定規(guī)模的信息安全產(chǎn)品廠家約有800家， 生產(chǎn)十大類(lèi)2000余種安全產(chǎn)品，達(dá)到B1級(jí)至A1級(jí)（計(jì)算機(jī)安全產(chǎn)品按從低到高的順序分為四等八級(jí)：D，C1，C2，B1，B2，B3，A1，超A1。 ）的信息安

15、全產(chǎn)品已有126種，美國(guó)信息安全產(chǎn)品年產(chǎn)值已達(dá)500億美元。 其它國(guó)家和地區(qū)，如歐洲、日本、加拿大、澳大利亞等在近五年內(nèi)也大幅度增加信息安全技術(shù)的投入，資助和推動(dòng)國(guó)家級(jí)的研究和標(biāo)準(zhǔn)化部門(mén)成為信息安全技術(shù)研究開(kāi)發(fā)的主力軍。,23,24,我國(guó)信息安全現(xiàn)狀,F 硬件設(shè)備上嚴(yán)重依賴(lài)國(guó)外：打印機(jī)和芯片等 F 網(wǎng)絡(luò)信息安全管理存在漏洞 F 安全技術(shù)和標(biāo)準(zhǔn)體系有待研究 F 美國(guó)和西方國(guó)家對(duì)我國(guó)進(jìn)行破壞、滲透 F 啟動(dòng)了一些信息安全研究項(xiàng)目 F 建立一批國(guó)家信息安全基礎(chǔ)設(shè)施 F 出現(xiàn)一批專(zhuān)門(mén)從事信息安全研究的科研單位和公司,25,26,我國(guó)信息安全發(fā)展趨勢(shì),F從國(guó)家戰(zhàn)略高度規(guī)劃信息安全建設(shè)，特別是信息安全基礎(chǔ)

16、設(shè)施的建設(shè) F繼續(xù)跟蹤研究國(guó)際信息安全前沿技術(shù)和產(chǎn)品 F重視信息安全基礎(chǔ)系統(tǒng)平臺(tái)的安全加固，特別重視功能比較單一的信息安全關(guān)鍵芯片的研制 F針對(duì)現(xiàn)有網(wǎng)絡(luò)和信息系統(tǒng)，建設(shè)網(wǎng)絡(luò)安全保障體系 F注重信息安全技術(shù)標(biāo)準(zhǔn)化和安全產(chǎn)品評(píng)估體系的建設(shè)，積極推動(dòng)信息安全產(chǎn)業(yè)。,27,信息安全概況 計(jì)算機(jī)和網(wǎng)絡(luò)的發(fā)展 信息安全現(xiàn)狀 信息安全面臨問(wèn)題 信息安全管理保障體系,28,安全問(wèn)題根源 安全威脅究其存在根源，大體有以下幾種： 物理安全問(wèn)題：包括物理設(shè)備本身的安全、環(huán)境安全和物理設(shè)備所在的地域等因素； 方案設(shè)計(jì)缺陷：方案設(shè)計(jì)者的安全理論與實(shí)踐水平不夠，設(shè)計(jì)出來(lái)的方案就必然存在安全隱患； 系統(tǒng)安全漏洞：系統(tǒng)的安全

17、漏洞：隨著軟件系統(tǒng)規(guī)模的不斷增大，信息系統(tǒng)中的安全漏洞和“后門(mén)”也不可避免的存在。包括操作系統(tǒng)安全漏洞、網(wǎng)絡(luò)安全漏洞、應(yīng)用系統(tǒng)安全漏洞等。 人為因素：人的因素是網(wǎng)絡(luò)安全問(wèn)題的重要因素，包括人為的無(wú)意義的失誤，人為的惡意攻擊，管理上的漏洞等。 總之，信息安全的實(shí)質(zhì)，就是要保障信息系統(tǒng)中的人、設(shè)備、軟件、數(shù)據(jù)等要素免受各種偶然和人為的破壞和攻擊，使它們發(fā)揮正常，保障信息系統(tǒng)能安全可靠地工作。,29,信息安全領(lǐng)域面臨嚴(yán)峻挑戰(zhàn),1、系統(tǒng)太脆弱，太容易受攻擊； 2、被攻擊時(shí)很難及時(shí)發(fā)現(xiàn)和制止； 3、信息安全意識(shí)薄弱； 4、網(wǎng)上犯罪形勢(shì)不容樂(lè)觀； 5、有害信息污染嚴(yán)重； 6、網(wǎng)絡(luò)病毒的蔓延和破壞； 7、網(wǎng)

18、上黑客無(wú)孔不入； 8、機(jī)要信息流失與信息間諜潛入； 9、網(wǎng)絡(luò)安全產(chǎn)品的自控權(quán)； 10、信息戰(zhàn)的陰影不可忽視；,30,信息安全概況 計(jì)算機(jī)和網(wǎng)絡(luò)的發(fā)展 信息安全現(xiàn)狀 信息安全面臨問(wèn)題 信息安全管理保障體系,31,國(guó)家重視信息化建設(shè),F 黨的十五屆五中全會(huì)提出了大力推進(jìn)國(guó)民 經(jīng)濟(jì)和社會(huì)信息化的戰(zhàn)略舉措。 F 在黨的十六大報(bào)告中再一次強(qiáng)調(diào)了要繼續(xù) 深化國(guó)家信息化建設(shè)。,32,國(guó)家重視信息安全體系建設(shè),2001年7月，前總書(shū)記江澤民曾在中央舉辦的法制講座中指示：要“大力推進(jìn)信息化進(jìn)程，高度重視信息網(wǎng)絡(luò)安全”。 2002年7月，前總理朱镕基主持召開(kāi)國(guó)家信息化領(lǐng)導(dǎo)小組第二次會(huì)議，提出“以電子政務(wù)帶動(dòng)國(guó)家信

19、息化建設(shè)”，強(qiáng)調(diào)要高度重視信息安全體系的建設(shè)，堅(jiān)持一手抓信息化，一手抓網(wǎng)絡(luò)信息的安全,要改進(jìn)技術(shù)手段，全面強(qiáng)化管理，建立健全信息安全保障體系和防范機(jī)制，維護(hù)信息網(wǎng)絡(luò)的安全。,33,34,信息安全保證體系六大要素 我國(guó)信息安全保障應(yīng)具備信息安全防護(hù)能力、安全隱患發(fā)現(xiàn)能力、安全事故發(fā)生后的應(yīng)急反應(yīng)能力、安全攻擊發(fā)生時(shí)的對(duì)抗能力。 具備這四種能力，是我國(guó)信息安全保證體系建設(shè)所要達(dá)到的目標(biāo)。要達(dá)到這一目標(biāo)，我們要從以下六個(gè)方面加以努力： 組織建設(shè)：組織管理體系的建設(shè)，是信息化安全保障體系的建設(shè)的重點(diǎn)，有一套從領(lǐng)導(dǎo)管理、技術(shù)實(shí)現(xiàn)的個(gè)各層次人員，猶如信息化安全保障的基礎(chǔ)建設(shè)。 標(biāo)準(zhǔn)規(guī)范和法律建設(shè)：這也是信

20、息安全保障體系建設(shè)的一個(gè)重要方面。我國(guó)第一部信息化法律電子簽名法于2005年出臺(tái)。目前保密法正在修改之中，國(guó)家信息安全法、個(gè)人數(shù)據(jù)保護(hù)法、網(wǎng)上知識(shí)產(chǎn)權(quán)保護(hù)法等一系列法律法規(guī)正在制定之中。,35,技術(shù)保障：技術(shù)保障是信息安全保障體系的重要環(huán)節(jié)。重點(diǎn)應(yīng)做到以下幾點(diǎn)： 在重點(diǎn)、核心技術(shù)上通過(guò)技術(shù)創(chuàng)新，擁有自主知識(shí)產(chǎn)權(quán)的產(chǎn)品； 做到信息關(guān)鍵技術(shù)可控； 強(qiáng)調(diào)建立基礎(chǔ)性技術(shù)體系； 重視系統(tǒng)的物理安全技術(shù)的研究； 關(guān)注具有前瞻性的高新技術(shù)的發(fā)展。 產(chǎn)業(yè)支撐環(huán)境的發(fā)展：我國(guó)的信息安全保障體系，必須搭建在我國(guó)自主知識(shí)產(chǎn)權(quán)產(chǎn)品的基礎(chǔ)之上。強(qiáng)大的產(chǎn)業(yè)支撐是安全的根本保障。,36,重視信息安全的基礎(chǔ)設(shè)施建設(shè)： 數(shù)字證

21、書(shū)的認(rèn)證體系架設(shè)； 信息安全產(chǎn)品和信息評(píng)測(cè)產(chǎn)品的開(kāi)發(fā)； 信息安全的應(yīng)急支援體系； 信息系統(tǒng)的災(zāi)難恢復(fù)的建設(shè)； 病毒及網(wǎng)絡(luò)攻擊的防范體系建設(shè)； 網(wǎng)絡(luò)監(jiān)控和預(yù)警機(jī)制的建設(shè)。 人才教育和培養(yǎng)：信息安全保障體系的建設(shè)，人才是關(guān)鍵因素。我們需要大量的高技術(shù)復(fù)合型人才。,37,有關(guān)信息的定義沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)。 信息是客觀世界中各種事物的變化和特征的反映，是客觀事物之間聯(lián)系的特征，也是客觀事物狀態(tài)經(jīng)過(guò)傳遞后的再現(xiàn)。 信息是主觀直接聯(lián)系客觀世界的橋梁。 本課程的信息是指存在計(jì)算機(jī)和網(wǎng)絡(luò)中的數(shù)據(jù)資源。,1.1 信息安全的目標(biāo),38,信息安全：即關(guān)注信息本身的安全，而不管是否應(yīng)用了計(jì)算機(jī)作為信息處理的手段。信息安全

22、的任務(wù)是保護(hù)信息財(cái)產(chǎn)，以防止偶然的或未被授權(quán)者對(duì)信息的惡意泄漏、修改和破壞，從而導(dǎo)致信息的不可靠或無(wú)法處理等。 信息安全技術(shù)：信息安全技術(shù)是一門(mén)綜合的學(xué)科，它涉及信息論、計(jì)算機(jī)科學(xué)和密碼學(xué)等多方面的知識(shí)， 它研究計(jì)算機(jī)系統(tǒng)和通信網(wǎng)絡(luò)內(nèi)信息的保護(hù)方法，以實(shí)現(xiàn)系統(tǒng)內(nèi)信息的安全、保密、真實(shí)、完整。 信息安全的目標(biāo)：保護(hù)信息的機(jī)密性、完整性、抗否認(rèn)性和可用性；也有的認(rèn)為是機(jī)密性、完整性和可用性，即CIA（Confidentiality，Integrity，Availability）。,1.1 信息安全的目標(biāo),39,1.機(jī)密性（ Confidentiality ） 機(jī)密性是保證信息不被非授權(quán)訪問(wèn)；即使非

23、授權(quán)用戶得到信息也無(wú)法知曉信息的內(nèi)容，因而不能使用。 措施：訪問(wèn)控制， 加密變換 2. 完整性（Integrity） 完整性是指維護(hù)信息的一致性，即信息在生成、傳輸、存儲(chǔ)和使用過(guò)程中不應(yīng)發(fā)生人為的非授權(quán)篡改。 措施：通過(guò)訪問(wèn)控制阻止篡改行為，通過(guò)消息摘要算法來(lái)檢驗(yàn)信息是否被篡改。 3.抗否認(rèn)性（Non-repudiation） 抗否認(rèn)性是指能保障用戶無(wú)法在事后否認(rèn)曾經(jīng)對(duì)信息進(jìn)行的生成、簽發(fā)、接收等行為，是針對(duì)通信各方信息真實(shí)同一性的安全要求。 措施：數(shù)字簽名,40,4.可用性（Availability） 可用性是指保障信息資源隨時(shí)可提供服務(wù)的特性，即授權(quán)用戶根據(jù)需要可以隨時(shí)訪問(wèn)所需信息。 5.

24、可控性（Controllability） 可控性是指對(duì)信息的傳播及內(nèi)容具有控制能力的特性。即授權(quán)機(jī)構(gòu)可以隨時(shí)控制信息的機(jī)密性，能夠?qū)π畔?shí)施安全監(jiān)控。 信息安全的任務(wù)就是要實(shí)現(xiàn)信息的上述5種安全屬性。對(duì)攻擊者來(lái)說(shuō)，就是要通過(guò)一切可能的方法和手段破壞信息的安全屬性。,41,42,1.2 信息安全的研究?jī)?nèi)容,信息安全是一門(mén)既古老又年輕的學(xué)科。涉及多方面的理論和知識(shí)。除了數(shù)學(xué)、通訊、計(jì)算機(jī)等自然科學(xué)外，還涉及法律、犯罪學(xué)、心理學(xué)、經(jīng)濟(jì)學(xué)、應(yīng)用數(shù)學(xué)、計(jì)算機(jī)病毒學(xué)和審計(jì)學(xué)等學(xué)科。該教材從自然科學(xué)的角度介紹信息安全的研究?jī)?nèi)容。,43,密碼理論研究 基礎(chǔ)理論研究 安全理論研究 安全實(shí)現(xiàn)技術(shù) 信息安全研究 應(yīng)

25、用技術(shù)研究 安全平臺(tái)技術(shù) 安全標(biāo)準(zhǔn) 安全管理研究 安全策略 安全測(cè)評(píng),44,45,1.密碼理論：研究重點(diǎn)是算法，包括數(shù)據(jù)加密算法、數(shù)字簽名算法、消息摘要算法及相應(yīng)的密鑰管理協(xié)議等； 算法提供的服務(wù)有： （1）直接對(duì)信息進(jìn)行運(yùn)算，保護(hù)信息的安全特性，即通過(guò)加密變換保護(hù)信息的機(jī)密性，通過(guò)消息摘要變換檢測(cè)信息的完整性，通過(guò)數(shù)字簽名保護(hù)信息的抗否認(rèn)性； （2）提供對(duì)身份認(rèn)證和安全協(xié)議等理論的支持； 2.安全理論：研究重點(diǎn)是單機(jī)或網(wǎng)絡(luò)環(huán)境下信息防護(hù)的基本理論，主要有訪問(wèn)控制（授權(quán)）、身份認(rèn)證、審計(jì)追蹤（這三者稱(chēng)為AAA，即Authorization,Authenticatiion,Audit）、安全協(xié)議

26、等。其研究成果為安全平臺(tái)提供理論依據(jù)。,46,3. 安全技術(shù)：研究重點(diǎn)是單機(jī)或網(wǎng)絡(luò)環(huán)境下信息防護(hù)的應(yīng)用技術(shù)，主要有防火墻技術(shù)、入侵檢測(cè)技術(shù)、漏洞掃描技術(shù)和防病毒技術(shù)等。研究成果直接為平臺(tái)安全防護(hù)和檢測(cè)提供技術(shù)依據(jù)。 4.平臺(tái)安全：重點(diǎn)是保障承載信息產(chǎn)生、存儲(chǔ)、傳輸和處理的平臺(tái)的安全和可控。涉及到物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全和邊界安全，同時(shí)還包括用戶行為的安全。 5.安全管理：安全管理應(yīng)有統(tǒng)一的標(biāo)準(zhǔn)、可行的策略和必要的測(cè)評(píng)。其作用于安全理論和技術(shù)各個(gè)方面。,47,1.2.1 信息安全基礎(chǔ)研究,信息安全基礎(chǔ)研究包括密碼理論和安全理論研究 1.密碼理論 密碼理論是信息安全的基礎(chǔ)，信息安全的

27、機(jī)密性、完整性和抗否認(rèn)性都依賴(lài)于密碼算法。 密碼學(xué)的主要研究?jī)?nèi)容是加密算法、消息摘要算法和數(shù)字簽名算法以及密鑰管理。 （1）數(shù)據(jù)加密（Data Encryption） 數(shù)據(jù)加密算法是一種數(shù)學(xué)變換，在選定密鑰的參與下，將信息從易于理解的明文加密為不易理解的密文，同時(shí)也可以將密文解密為明文。 加解密的算法可以相同，也可以不同；相同的叫對(duì)稱(chēng)算法，典型的有DES 和AES 等；不同的叫非對(duì)稱(chēng)算法，又叫公鑰算法，典型的有RSA 和ECC。,48,（2）消息摘要（Message Digest） 消息摘要也是一種數(shù)學(xué)變換，通常是單向（不可逆）的變換，它將不定長(zhǎng)的信息變換為固定長(zhǎng)度的摘要，信息的任何改變（即是

28、使1bit）也能引起摘要面目全非，因而可以通過(guò)摘要檢測(cè)消息是否被篡改。典型的算法有MD5、SHA等。 （3）數(shù)字簽名（ Digest Signature） 數(shù)字簽名主要是消息摘要和非對(duì)稱(chēng)加密算法的組合應(yīng)用。即通過(guò)私鑰用非對(duì)稱(chēng)算法對(duì)信息本身進(jìn)行加密，可實(shí)現(xiàn)數(shù)字簽名功能。,49,（4）密鑰管理（Key Management） 密鑰算法是公開(kāi)的，但密鑰是嚴(yán)格保護(hù)的。如果非授權(quán)用戶獲得加密算法和密鑰，則很容易破解和偽造密文，加密也就失去了意義。 密鑰管理研究密鑰的產(chǎn)生、發(fā)放、存儲(chǔ)、更換和銷(xiāo)毀的算法和協(xié)議等。 2.安全理論 （1）身份認(rèn)證（Authentication） 身份認(rèn)證是指驗(yàn)證用戶身份與其所聲

29、稱(chēng)的身份是否一致的過(guò)程。最常見(jiàn)的身份認(rèn)證是口令認(rèn)證。復(fù)雜的身份認(rèn)證是則需要基于可信第三方權(quán)威機(jī)構(gòu)的認(rèn)證和復(fù)雜的密碼協(xié)議來(lái)支持，如基于證書(shū)認(rèn)證中心（CA）和公鑰算法的認(rèn)證等。 身份認(rèn)證研究的內(nèi)容有：認(rèn)證的特征（知識(shí)、推理、生物特征等）和認(rèn)證的可信協(xié)議及模型。,50,（2）授權(quán)和訪問(wèn)控制（Authorization and Access Control） 授權(quán)和訪問(wèn)控制的細(xì)微區(qū)別在于，授權(quán)側(cè)重于強(qiáng)調(diào)用戶擁有什么樣訪問(wèn)權(quán)限，這種權(quán)限是系統(tǒng)預(yù)先設(shè)定的，并不關(guān)心用戶是否發(fā)起訪問(wèn)請(qǐng)求；而訪問(wèn)控制是對(duì)用戶行為進(jìn)行控制，它將用戶的訪問(wèn)性為控制在授權(quán)允許的范圍之內(nèi)。 授權(quán)和訪問(wèn)控制的研究?jī)?nèi)容是授權(quán)策略、訪問(wèn)控制

30、模型等。 （3）審計(jì)追蹤（Auditing and Tracing） 審計(jì)是對(duì)用戶的行為進(jìn)行記錄、分析和審查，以確認(rèn)操作的歷史行為。追蹤是通過(guò)審計(jì)結(jié)果對(duì)用戶的全程行蹤進(jìn)行追查。審計(jì)通常只在某個(gè)系統(tǒng)內(nèi)進(jìn)行。而追蹤則需要對(duì)多個(gè)系統(tǒng)的審計(jì)結(jié)果綜合分析。,51,（4）安全協(xié)議（Security Protocol） 安全協(xié)議是指構(gòu)建安全平臺(tái)時(shí)所使用的與安全防護(hù)有關(guān)的協(xié)議，是各種安全技術(shù)和策略具體實(shí)現(xiàn)時(shí)共同遵循的規(guī)定，如安全傳輸協(xié)議、安全認(rèn)證協(xié)議、安全保密協(xié)議等。典型的安全協(xié)議有網(wǎng)絡(luò)層安全協(xié)議IPsec、傳輸層安全協(xié)議SSL、應(yīng)用層安全電子商務(wù)協(xié)議SET等。 安全協(xié)議的內(nèi)容是協(xié)議的內(nèi)容和實(shí)現(xiàn)層次、協(xié)議自身

31、的安全性、協(xié)議的互操作性等。,52,1.2.2 信息安全應(yīng)用研究,信息安全的應(yīng)用研究是針對(duì)信息在應(yīng)用環(huán)境下的安全保護(hù)而提出的，是信息安全基礎(chǔ)理論的具體應(yīng)用，包括安全技術(shù)研究和平臺(tái)安全研究。 1. 安全技術(shù) 信息安全技術(shù)包括防火墻技術(shù)、漏洞掃描技術(shù)、入侵檢測(cè)技術(shù)和防病毒技術(shù)等。 （1）防火墻技術(shù)（Firewall） 防火墻技術(shù)是一種安全隔離技術(shù)，通過(guò)在兩個(gè)安全策略不同的域之間設(shè)置防火墻來(lái)控制兩個(gè)域之間的互訪行為。目前應(yīng)用較多的是網(wǎng)絡(luò)層的包過(guò)濾技術(shù)和應(yīng)用層安全代理技術(shù)。,53,（2）漏洞掃描技術(shù)（Venearbility Scanning） 漏洞掃描技術(shù)是針對(duì)特定信息網(wǎng)絡(luò)中存在的漏洞而進(jìn)行的。信息

32、網(wǎng)絡(luò)中無(wú)論主機(jī)還是網(wǎng)絡(luò)設(shè)備都可能存在安全隱患，有些是系統(tǒng)設(shè)計(jì)時(shí)考慮不周留下的，有些是系統(tǒng)建設(shè)時(shí)出現(xiàn)的。如操作系統(tǒng)經(jīng)常出現(xiàn)的補(bǔ)丁模塊就是為加固發(fā)現(xiàn)的漏洞而開(kāi)發(fā)的。但很難發(fā)現(xiàn)未知漏洞。目前的漏洞掃描更多的是對(duì)已知漏洞檢查定位。 漏洞掃描技術(shù)研究的內(nèi)容主要包括漏洞的發(fā)現(xiàn)， 特征分析以及定位、掃描方式和協(xié)議等。 （3）入侵檢測(cè)技術(shù)（Intrusion Detection） 入侵檢測(cè)是指通過(guò)對(duì)網(wǎng)絡(luò)信息流提取和分析發(fā)現(xiàn)非正常訪問(wèn)模式的技術(shù)。目前主要有基于用戶行為模式、系統(tǒng)行為模式和入侵特征的檢測(cè)。 重點(diǎn)介紹基于主機(jī)的入侵檢測(cè)和基于網(wǎng)絡(luò)的入侵檢測(cè)。,54,（4）防病毒技術(shù)（Anti-Virus） 病毒是一種

33、具有傳染性和破壞性的計(jì)算機(jī)程序。研究和防范計(jì)算機(jī)病毒也是信息安全的一個(gè)重要方面。 2. 平臺(tái)安全 （1）物理安全 物理安全是指保障信息網(wǎng)絡(luò)物理設(shè)備不受物理?yè)p壞，或是損壞時(shí)能及時(shí)修復(fù)或替換。通常是針對(duì)設(shè)備的自然損壞、人為破壞或?yàn)?zāi)害損壞而提出的。 目前物理安全技術(shù)有：備份技術(shù)、安全加固技術(shù)、安全設(shè)計(jì)技術(shù)等。 （2）網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全的目標(biāo)是防止針對(duì)網(wǎng)絡(luò)平臺(tái)的實(shí)現(xiàn)和訪問(wèn)模式的安全威脅。,55,（3）系統(tǒng)安全 系統(tǒng)安全是各種應(yīng)用程序的基礎(chǔ)。系統(tǒng)安全關(guān)心的主要問(wèn)題是操作系統(tǒng)自身的安全性問(wèn)題。如果操作系統(tǒng)本身存在漏洞，就有可能使用戶的訪問(wèn)繞過(guò)安全機(jī)制，使安全措施形同虛設(shè)。因此操作系統(tǒng)的安全是非常重要的。 （4）數(shù)據(jù)安全 數(shù)據(jù)是信息的直接表現(xiàn)形式，數(shù)據(jù)的安全性是不言而喻的。數(shù)據(jù)安全關(guān)心數(shù)據(jù)在存儲(chǔ)和應(yīng)用過(guò)程中是否會(huì)被非授權(quán)用戶有意破壞，或被授權(quán)用戶無(wú)意破壞。數(shù)據(jù)安全主要是數(shù)據(jù)庫(kù)或數(shù)據(jù)文件的安全問(wèn)題。,56,（5）用戶安全 用戶安全包括：合法用戶的權(quán)限是否被正確授權(quán)，是否有越權(quán)訪問(wèn)；授權(quán)用戶是否獲得了必要的訪問(wèn)權(quán)限，是否存在多業(yè)