信息安全技術概論第一演示文稿

1、信息安全技術概論第一演示文稿第一頁，共三十九頁。優(yōu)選信息安全技術概論第一第二頁，共三十九頁。信息安全現(xiàn)狀Internet 用戶數(shù)1.1百萬第三頁，共三十九頁。信息安全現(xiàn)狀Internet商業(yè)應用1.1第四頁，共三十九頁。信息安全現(xiàn)狀安全問題日益突出 網(wǎng)絡與信息系統(tǒng)在變成”金庫”,當然就會吸引大批合法或非法的”掏金者”,所以網(wǎng)絡信息的安全與保密問題顯得越來越重要。 幾乎每天都有各種各樣的“黑客”故事： 1994年末 俄羅斯黑客弗拉基米爾利文與其伙伴從圣彼得堡的一家小軟件公司的聯(lián)網(wǎng)計算機上，向美國名為CITYBANK銀行發(fā)動了一連串攻擊，通過電子轉(zhuǎn)帳方式，從CITYBANK銀行在紐約的計算機主機里

2、竊取美1.1第五頁，共三十九頁。信息安全現(xiàn)狀安全問題日益突出 元1100萬。1996年8月17日 美國司法部的網(wǎng)絡服務器遭到“黑客”入侵，并將“美國司法部”的主頁改為“美國不公正部”，將司法部部長的照片換成了阿道夫希特勒，將司法部徽章?lián)Q成了納粹黨徽，并加上一幅色情女郎的圖片作為所謂司法部部長的助手。1999年4月26日 臺灣人編制的CIH病毒的大爆發(fā)，有統(tǒng)計說我國1.1第六頁，共三十九頁。信息安全現(xiàn)狀安全問題日益突出大陸受其影響的PC機總量達36萬臺之多。 有人估計在這次事件中，經(jīng)濟損失高達近12億元。2000年5月4日 一種名為“我愛你”（愛蟲）的電腦病毒開始在全球各地迅速傳播。據(jù)美國加利福

3、尼亞州的名為“電腦經(jīng)濟”的研究機構(gòu)發(fā)布的初步統(tǒng)計數(shù)據(jù)，“愛蟲”大爆發(fā)兩天之后，全球約有4500萬臺電腦被感染，造成的損失已經(jīng)達到26億美元。在以后幾天里，“愛蟲“1.1第七頁，共三十九頁。信息安全現(xiàn)狀安全問題日益突出病毒所造成的損失以每天10億美元到15億美元的幅度增加。2001年2月8日（春節(jié)） 新浪網(wǎng)遭受攻擊，電子郵件服務器癱瘓了18個小時，造成幾百萬用戶無法通過郵箱聯(lián)系。廣東的的免費郵箱遭受攻擊，域名被修改，同樣造成用戶無法正常使用。1.1第八頁，共三十九頁。信息安全現(xiàn)狀安全問題日益突出1.1混合型威脅 (Red Code, Nimda)拒絕服務攻擊(Yahoo!, eBay)發(fā)送大量郵

4、件的病毒(Love Letter/Melissa)多變形病毒(Tequila)特洛伊木馬病毒網(wǎng)絡入侵70,00060,00050,00040,00030,00020,00010,000已知威脅的數(shù)量第九頁，共三十九頁。信息安全現(xiàn)狀我國信息安全現(xiàn)狀a) 信息與網(wǎng)絡安全的防護能力較弱。 對我國金融系統(tǒng)計算機網(wǎng)絡現(xiàn)狀，專家們有一形象的比喻：用不加鎖的儲柜存放資金（網(wǎng)絡缺乏安全防護）；讓“公共汽車”運送鈔票（網(wǎng)絡缺乏安全保障）；使用“郵寄”傳送資金（轉(zhuǎn)賬支付缺乏安全渠道）；用“商店柜臺”存取資金（授權缺乏安全措施）；拿“平信”郵寄機密信息（敏感信息缺乏保密措施）等。 1.1第十頁，共三十九頁。信息安全

5、現(xiàn)狀我國信息安全現(xiàn)狀b)對引進的信息技術和設備缺乏保護信息安全所必 不可少的有效管理和技術改造。 我國從發(fā)達國家和跨國公司引進和購買了大量的信息技術和設備。在這些關鍵設備如電腦硬件、軟件中，有一部分可能隱藏著“特洛伊木馬”，對我國政治、經(jīng)濟、軍事等的安全存在著巨大的潛在威脅。但由于受技術水平等的限制，許多單位和部門對從國外，特別是美國等引進的關鍵信息設備可能預做手腳的情況卻無從檢測和排除。1.1第十一頁，共三十九頁。信息安全現(xiàn)狀我國信息安全現(xiàn)狀c) 基礎信息產(chǎn)業(yè)薄弱，核心技術嚴重依賴國外。 硬件：電腦制造業(yè)有很大的進步，但其中許多核心部件都是原始設備制造商的，我們對其的研發(fā)、生產(chǎn)能力很弱，關鍵

6、部位完全處于受制于人的地位。 軟件：面臨市場壟斷和價格歧視的威脅。美國微軟幾乎壟斷了我國電腦軟件的基礎和核心市場。離開了微軟的操作系統(tǒng)，國產(chǎn)的大多軟件都失去了操作平臺。1.1第十二頁，共三十九頁。信息安全現(xiàn)狀我國信息安全現(xiàn)狀d) 信息安全管理機構(gòu)缺乏權威。 信息安全特別是在經(jīng)濟等領域的安全管理條塊分割、相互隔離，缺乏溝通和協(xié)調(diào)。沒有國家級的信息安全最高權威機構(gòu)以及與國家信息化進程相一致的信息安全工程規(guī)劃。 目前國家信息安全的總體框架已經(jīng)搭就。已制定報批和發(fā)布了有關信息技術安全的一系列的國家標準、國家軍用標準。1.1第十三頁，共三十九頁。信息安全現(xiàn)狀我國信息安全現(xiàn)狀e) 信息犯罪在我國有快速發(fā)展

7、之趨勢。 隨著信息設備特別是互聯(lián)網(wǎng)的大幅普及，各類信息犯罪活動亦呈現(xiàn)出快速發(fā)展之勢。以金融業(yè)計算機犯罪為例，從 1986年發(fā)現(xiàn)第一起銀行計算機犯罪案起，發(fā)案率每年以30的速度遞增。各種電腦病毒及黑客對計算機網(wǎng)絡的侵害亦屢屢發(fā)生。據(jù)不完全統(tǒng)計，我國目前已發(fā)現(xiàn)的計算機病毒約有大概20003000多種，而且還在以更快的速度增加著。 1.1第十四頁，共三十九頁。信息安全現(xiàn)狀我國信息安全現(xiàn)狀f) 信息安全技術及設備的研發(fā)和應用有待提高。 近年來，我國在立法和依法管理方面加大力度，推進計算機信息網(wǎng)絡安全技術和產(chǎn)品的研究、開發(fā)和應用，建立了計算機病毒防治產(chǎn)品檢驗中心、計算機信息系統(tǒng)安全專用產(chǎn)品質(zhì)量檢驗中心，

8、加強了對計算機信息網(wǎng)絡安全產(chǎn)品的管理。目前，我國信息網(wǎng)絡安全技術及產(chǎn)品發(fā)展迅速，其中，計算機病毒防治、防火墻、安全網(wǎng)管、黑客入侵檢測及預警 、網(wǎng)絡安全漏洞掃描、主頁自動保護、有害信息1.1第十五頁，共三十九頁。信息安全現(xiàn)狀我國信息安全現(xiàn)狀f) 信息安全技術及設備的研發(fā)和應用有待提高。 檢測、訪問控制等一些關鍵性產(chǎn)品已實現(xiàn)國產(chǎn)化。但是，正如國家信息安全報告強調(diào)指出的：“這些產(chǎn)品安全技術的完善性、規(guī)范性、實用性還存在許多不足，特別是在多平臺的兼容性、多協(xié)議的適應性、多接口的滿足性方面存在很大距離，理論基礎和自主技術手段也需要發(fā)展和強化。” 1.1第十六頁，共三十九頁。安全隱患 a) 硬件的安全隱患

9、； b) 操作系統(tǒng)安全隱患； c) 網(wǎng)絡協(xié)議的安全隱患； d) 數(shù)據(jù)庫系統(tǒng)安全隱患； e) 計算機病毒； f) 管理疏漏，內(nèi)部作案。 安全威脅1.2第十七頁，共三十九頁。安全隱患 a) 硬件的安全隱患 CPU: Intel公司在奔騰III CPU中加入處理器序列號，因此Intel涉嫌干涉?zhèn)€人隱私，但要害問題則是政府機關、重要部門非常關心由這種CPU制造的計算機在處理信息或數(shù)據(jù)時所帶來的信息安全問題，即這種CPU內(nèi)含有一個全球唯一的序列號，計算機所產(chǎn)生的文件和數(shù)據(jù)都會附著此序列號，因而由此序列號可以追查到產(chǎn)生文件和數(shù)據(jù)的任何機器。 安全威脅1.2第十八頁，共三十九頁。安全隱患 a) 硬件的安全隱

10、患 網(wǎng)絡設備:我國計算機網(wǎng)絡使用的絕大部分網(wǎng)絡設備，如路由器、集線器、交換機、服務器、以及網(wǎng)絡軟件等都是進口的，其安全隱患不容忽視。一些交換機和路由器具有遠程診斷和服務功能，既然可以遠程進入系統(tǒng)服務、維修故障，也就可以遠程進入系統(tǒng)了解情報、越權控制。更有甚者，國外一著名網(wǎng)絡公司以跟蹤服務為由，在路由器中設下機關、可以將網(wǎng)絡中用戶的包信息同時送一份到其公司總部。 安全威脅1.2第十九頁，共三十九頁。安全隱患 b)操作系統(tǒng)安全隱患 計算機操作系統(tǒng)歷來被美國一些大公司所壟斷，但這些操作系統(tǒng)的源程序都是不公開的，在安全機制方面存在著諸多漏洞和隱患。計算機黑客能輕而易舉地從“后門”進入系統(tǒng)，取得系統(tǒng)控制

11、權，并危及計算機處理或存儲的重要數(shù)據(jù)。如Windows95存在兩千多處缺陷。 OS的體系結(jié)構(gòu)造成其本身不安全： I/O、系統(tǒng)服務程序等都可用打補丁方式進行動態(tài)連接。 安全威脅1.2第二十頁，共三十九頁。安全隱患 c)網(wǎng)絡協(xié)議的安全隱患 網(wǎng)絡協(xié)議也都由美國等國家開發(fā)或制定標準。其安全機制也存在先天不足，協(xié)議還具有許多安全漏洞，為攻擊者提供了方便，如地址欺騙等。Internet應用協(xié)議中缺乏認證、保密等措施，也使攻擊者比較容易得手。TCP/IP協(xié)議安全漏洞：包監(jiān)視、泄露、地址欺騙、序列號攻擊、路由攻擊、拒絕服務、鑒別攻擊。應用層安全隱患：Finger、FTP、Telnet、E-mail、SNMP、

12、RPC、NFS 。 安全威脅1.2第二十一頁，共三十九頁。安全隱患 d)數(shù)據(jù)庫系統(tǒng)安全隱患 由于數(shù)據(jù)庫平臺全系引進，盡管廠商聲稱具有安全機制，但對國內(nèi)用戶猶如一個黑匣子。 數(shù)據(jù)庫的攻擊分直接攻擊和間接攻擊兩大類。直接攻擊是通過查詢以得到幾個記錄來直接搜索并確定敏感字段的值，最成功的技術是形成一種特定的查詢它恰與一個數(shù)據(jù)項相匹配。間接攻擊是依據(jù)一種或多種統(tǒng)計值推斷出結(jié)果。統(tǒng)計攻擊通過使用某些明顯隱匿的統(tǒng)計量來推導出數(shù)據(jù)，例如使用求和等統(tǒng)計數(shù)據(jù)來得到某些數(shù)據(jù)。 安全威脅1.2第二十二頁，共三十九頁。安全隱患 e)計算機病毒威脅 計算機病毒是一種能夠進行自我復制的程序，可以通過多種方式植入計算機中，

13、通過Internet網(wǎng)植入病毒更容易。病毒運行后可能損壞文件、使系統(tǒng)癱瘓，造成各種難以預料的后果。由于在網(wǎng)絡環(huán)境下，計算機病毒具有不可估量的威脅性和破壞力，因此計算機病毒的防范是網(wǎng)絡安全性建設中重要的一環(huán)。新的病毒不僅刪除文件、使數(shù)據(jù)丟失，甚至破壞系統(tǒng)硬件，可以造成巨大損失。1998年美國“莫里斯”病毒發(fā)作，一天之內(nèi)使6000多臺計算機感染，損失達9000萬美元。 安全威脅1.2第二十三頁，共三十九頁。安全隱患 f) 管理疏漏，內(nèi)部作案 據(jù)權威資料片筑起網(wǎng)上長城介紹，互聯(lián)網(wǎng)上的計算機犯罪、黑客攻擊等非法行為來自于內(nèi)部網(wǎng)絡。金融、證券、郵電、科研院所、設計院、政府機關等單位幾乎是天生的受攻擊者，

14、內(nèi)部人員對本單位局域網(wǎng)的熟悉又加劇了其作案和被外部人勾結(jié)引誘的可能性。 安全威脅1.2第二十四頁，共三十九頁。網(wǎng)絡攻擊的分類 安全威脅1.2第二十五頁，共三十九頁。網(wǎng)絡攻擊的分類 安全威脅1.2第二十六頁，共三十九頁。常見的安全威脅 安全威脅1.2網(wǎng)絡內(nèi)部、外部洩密拒絕服務攻擊特洛伊木馬黑客攻擊病毒，蠕蟲系統(tǒng)漏洞潛信道第二十七頁，共三十九頁。 信息安全概念與技術1.3信息安全的概念 信息安全：指計算機信息系統(tǒng)的硬件、軟件、網(wǎng)絡及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，信息服務不中斷。 信息安全主要涉及到信息存儲的安全、信息傳輸?shù)陌踩约皩?/p>

15、網(wǎng)絡傳輸信息內(nèi)容的審計三方面。它研究計算機系統(tǒng)和通信網(wǎng)絡內(nèi)信息的保護方法。 信息安全的內(nèi)涵(要素)：計算機信息安全應該具備以下五方面的特征：第二十八頁，共三十九頁。 信息安全概念與技術1.3防止通信中的任一實體否認它過去執(zhí)行的某個操作或者行為不可否認性可控性可用性完整性機密性可以控制授權范圍內(nèi)的信息流向及行為方式確保信息不暴露給未授權的實體或進程只有得到允許的人才能修改數(shù)據(jù)，并且能夠辨別數(shù)據(jù)是否已被修改得到授權的實體在需要時可以訪問數(shù)據(jù)，即攻擊者不能占用所有資源而阻礙授權者的工作第二十九頁，共三十九頁。 信息安全概念與技術的1.3信息安全主要內(nèi)容計算機信息安全系統(tǒng)的構(gòu)成： a) 信道：數(shù)據(jù)流的

16、載體； b) 網(wǎng)絡：提供各實體間數(shù)據(jù)的交換； c) 傳輸協(xié)議：信息交換的特定“語言”； d) 主機系統(tǒng)：數(shù)據(jù)到信息的轉(zhuǎn)換、處理、存儲； e) 數(shù)據(jù)庫系統(tǒng)：信息的組織機構(gòu)； f) 應用系統(tǒng)：信息價值的最終體現(xiàn)； 由上可以知道，計算機信息系統(tǒng)安全涉及到計算機硬件、軟件、網(wǎng)絡、人等諸多因素，是一項很復雜的工程。對應于以上信息系統(tǒng)的構(gòu)成，可知，信第三十頁，共三十九頁。 信息安全概念與技術1.3信息安全主要內(nèi)容息安全的主要研究內(nèi)容應包含以下幾點： a) 數(shù)據(jù)保密通信數(shù)據(jù)編碼數(shù)據(jù)加密加密/解密算法加密/解密設備數(shù)據(jù)壓縮數(shù)據(jù)安全傳輸 b) 網(wǎng)絡安全第三十一頁，共三十九頁。 信息安全概念與技術1.3信息安全主

17、要內(nèi)容協(xié)議設施c) 主機安全d) 操作系統(tǒng)安全e) 應用安全f) 數(shù)據(jù)庫安全g) 信息安全管理h) 信息安全法律與標準第三十二頁，共三十九頁。 信息安全概念與技術1.3信息安全技術密碼技術（加密、標記）認證識別技術（I&A）c) 授權與訪問控制技術d) 審計追蹤技術e) 網(wǎng)間隔離與訪問代理技術f) 反病毒技術g) 容錯與災難恢復技術第三十三頁，共三十九頁。信息安全標準1.4國外信息安全標準 a) 20世紀70年代，美國國防部制定“可信計算機系統(tǒng)安全評價準則”（TCSEC)，為安全信息系統(tǒng)體系結(jié)構(gòu)最早準則（只考慮保密性）； b) 20世紀90年代，英、法、德、荷提出包括保密性、完整性、可用性概念

18、的“信息技術安全評價準則”（ITSEC)，但未給出綜合解決以上問題的理論模型和方案； c) 近年，六國（美、加、英、法、德、荷）共同提出“信息技術安全評價通用準則”（CC for ITSEC)。 第三十四頁，共三十九頁。信息安全標準1.4TCSEC安全級別 類別級別名稱主要特征DD低級保護沒有安全保護CC1自主安全保護自主存儲控制C2受控存儲控制單獨的可查性，安全標識BB1標識的安全保護強制存取控制，安全標識B2結(jié)構(gòu)化保護面向安全的體系結(jié)構(gòu)，較好的抗?jié)B透能力B3安全區(qū)域存取控制，高抗?jié)B透能力AA驗證設計形式化的最高級描述和驗證第三十五頁，共三十九頁。信息安全標準1.4國內(nèi)信息安全標準 計算機信息系統(tǒng)安全保護等級劃分準則已經(jīng)正式頒布，并于2001年1月1日起實施。該準則將信息系統(tǒng)安全分為5個等級: a)自主保護級：相當于C1級 b)系統(tǒng)審計保護級：相當于C2級 c)安全標記保護級：相當于B1級 屬于強制保護 d)結(jié)構(gòu)化保護級:相當于B2級 e)訪問驗證保護級：相當于B3A1級 第三十六頁，共三十九頁。 信息安全發(fā)展趨勢1.5從信息安全到信息保障單機系統(tǒng)的信息保密階段網(wǎng)絡信息安全階段信息保障階段信息保密技術，發(fā)展各種密碼算法