計(jì)算機(jī)信息安全講座

廣東理工2025/2/61內(nèi)容講座內(nèi)容2025/2/62一、網(wǎng)絡(luò)信息面臨的威脅2025/2/63信息與網(wǎng)絡(luò)空間2021中國互聯(lián)網(wǎng)絡(luò)開展?fàn)顩r統(tǒng)計(jì)報(bào)告截至2021年12月30日，中國網(wǎng)民規(guī)模到達(dá)3.84億人，年增長率為28.9%。中國寬帶網(wǎng)民規(guī)模到達(dá)3.46億人。中國上網(wǎng)網(wǎng)民規(guī)模年增長1.2億，到達(dá)2.33億人，占整體網(wǎng)民的60.8%。商務(wù)交易類應(yīng)用的用戶規(guī)模增長最快，平均年增幅68%。其中網(wǎng)上支付用戶年增幅80.9%，在所有應(yīng)用中排名第一。2021年全球網(wǎng)民大約15億〔美國統(tǒng)計(jì)〕。信息平安問題日益嚴(yán)重計(jì)算機(jī)系統(tǒng)集中管理著國家和企業(yè)的政治、軍事、金融、商務(wù)等重要信息。計(jì)算機(jī)系統(tǒng)成為不法分子的主要攻擊目標(biāo)。計(jì)算機(jī)系統(tǒng)本身的脆弱性和網(wǎng)絡(luò)的開放性，使得信息平安成為世人關(guān)注的社會問題。當(dāng)前，信息平安的形勢是日益嚴(yán)重。典型案例－病毒與網(wǎng)絡(luò)蠕蟲紅色代碼2001年7月，直接經(jīng)濟(jì)損失超過26億美元2001年9月，尼姆達(dá)蠕蟲，約5.9億美元的損失熊貓病毒〞是2006年中國十大病毒之首。它通過多種方式進(jìn)行傳播，并將感染的所有程序文件改成熊貓舉著三根香的模樣，同時(shí)該病毒還具有盜取用戶游戲賬號、QQ賬號等功能。典型案例－黑客入侵信息平安威脅的分類信息平安威脅人為因素非人為因素?zé)o意失誤惡意攻擊中斷、篡改病毒黑客DoS攻擊內(nèi)部攻擊：蓄意破壞、竊取資料外部攻擊主動攻擊被動攻擊：竊取、流量分析產(chǎn)生信息平安威脅的根源微機(jī)的平安結(jié)構(gòu)過于簡單操作系統(tǒng)存在平安缺陷網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)本身存在缺陷核心硬件和根底軟件沒有自主知識產(chǎn)權(quán)網(wǎng)絡(luò)信息共享與信息交換需求使信息平安威脅加劇信息擁有者、使用者與信息的管理者不匹配我們的形勢極其嚴(yán)峻！計(jì)算機(jī)系統(tǒng)組成芯片操作系統(tǒng)應(yīng)用系統(tǒng)我們信息系統(tǒng)的現(xiàn)狀2025/2/613二、信息平安的內(nèi)涵及其開展2025/2/614信息平安：指保護(hù)信息和信息系統(tǒng)不被未經(jīng)授權(quán)的訪問、使用、泄露、中斷、修改和破壞，為信息和信息系統(tǒng)提供保密性、完整性、可用性、可控性和不可否認(rèn)性。152025/2/62.1信息平安內(nèi)涵162025/2/62.1信息平安內(nèi)涵172025/2/61718

目的通信類型資源共享：機(jī)器—機(jī)器信息共享：人—機(jī)器知識共享：人—人信息平安需求與屬性隨著信息系統(tǒng)開展而變化2.1信息平安內(nèi)涵2025/2/61819

目的通信類型資源共享：機(jī)器—機(jī)器信息共享：人—機(jī)器知識共享：人—人通信保密信息平安信息平安保障2.1信息平安內(nèi)涵2025/2/619信息平安的概念隨著信息系統(tǒng)開展而變化2.2信息平安效勞202025/2/620212.2信息平安效勞2025/2/62122②完整性效勞保護(hù)數(shù)據(jù)以防止未經(jīng)授權(quán)的篡改：增刪、修改或替代。如不能除掉的墨水、信用卡上的全息照相防止如下平安威脅：以某種違反平安策略的方式，改變數(shù)據(jù)的價(jià)值和存在。改變數(shù)據(jù)的價(jià)值：指對數(shù)據(jù)進(jìn)行修改和重新排序；改變數(shù)據(jù)的存在：意味著新增和刪除它。2.2信息平安效勞2025/2/622③不可否認(rèn)效勞防止參與某次通信交換的一方事后否認(rèn)本次交換曾經(jīng)發(fā)生過。一是原發(fā)證明，提供給信息接收者以證據(jù)；〔發(fā)方不可否認(rèn)〕二是交付證明，提供給信息發(fā)送者以證明?！彩辗讲豢煞裾J(rèn)〕不可否認(rèn)效勞不能消除業(yè)務(wù)否認(rèn)。不可否認(rèn)效勞在電子商務(wù)、電子政務(wù)、電子銀行中尤為重要。232.2信息平安效勞2025/2/62324④認(rèn)證效勞〔驗(yàn)證效勞、鑒別效勞〕提供某個(gè)實(shí)體〔人或系統(tǒng)〕的身份的保證。換句話說，這種效勞保證信息使用者和信息效勞者都是真實(shí)聲稱者，防止假冒和重放攻擊。如帶照片的身份卡、身份證等。2.2信息平安效勞2025/2/62425認(rèn)證用于一個(gè)特殊的通信過程，在此過程中需要提交人或物的身份：對等實(shí)體認(rèn)證：身份是由參與某次通信連接或會話的遠(yuǎn)端的一方提交的；數(shù)據(jù)源認(rèn)證：身份是由聲稱它是某個(gè)數(shù)據(jù)項(xiàng)的發(fā)送者的那個(gè)人或物所提交的。2.2信息平安效勞2025/2/625262.2信息平安效勞2025/2/626平安機(jī)制是信息平安效勞的根底。一種平安效勞的實(shí)施可以使用不同的機(jī)制，或單獨(dú)使用，或組合使用，取決于該效勞的目的以及使用的機(jī)制。根據(jù)ISO7498-2標(biāo)準(zhǔn)，適合于數(shù)據(jù)通信環(huán)境的平安機(jī)制有加密機(jī)制、數(shù)據(jù)簽名機(jī)制、訪問控制機(jī)制、數(shù)據(jù)完整性機(jī)制、鑒別交換機(jī)制、業(yè)務(wù)流填充機(jī)制、公證機(jī)制等。2.3信息平安機(jī)制2025/2/6272.3信息平安機(jī)制2025/2/628②數(shù)字簽名機(jī)制數(shù)字簽名是附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對數(shù)據(jù)單元所做的密碼變換，這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者確認(rèn)數(shù)據(jù)單元來源和數(shù)據(jù)單元的完整性，并保護(hù)數(shù)據(jù)，防止被他人偽造。數(shù)字簽名機(jī)制涉及兩個(gè)過程：對數(shù)據(jù)單元簽名和驗(yàn)證簽名過的數(shù)據(jù)單元。2.3信息平安機(jī)制2025/2/629③訪問控制機(jī)制訪問控制機(jī)制是實(shí)施對資源訪問或操作加以限制的策略。這種策略把對資源的訪問只限于那些被授權(quán)的用戶。如果這個(gè)實(shí)體試圖使用非授權(quán)資源，或以不正當(dāng)方式使用授權(quán)資源，那么訪問控制機(jī)制將拒絕這一企圖，另外，還可能產(chǎn)生一個(gè)報(bào)警信號或記錄作為平安審計(jì)的一局部來報(bào)告這一事件。2.3信息平安機(jī)制2025/2/630④數(shù)據(jù)完整性機(jī)制數(shù)據(jù)完整性有兩個(gè)方面，一是數(shù)據(jù)單元的完整性，一是數(shù)據(jù)單元序列的完整性。決定數(shù)據(jù)單元完整性包括兩個(gè)過程，一個(gè)在發(fā)送實(shí)體上，另一個(gè)在接收實(shí)體上。發(fā)送實(shí)體給數(shù)據(jù)單元附加一個(gè)鑒別信息，這個(gè)信息是該數(shù)據(jù)單元本身的函數(shù)。接收實(shí)體產(chǎn)生相應(yīng)的鑒別信息，并與接收到的鑒別信息比較以決定該數(shù)據(jù)單元的數(shù)據(jù)是否在傳輸過程中被篡改正。2.3信息平安機(jī)制2025/2/6312.3信息平安機(jī)制2025/2/632⑥業(yè)務(wù)流填充機(jī)制是一種對抗通信業(yè)務(wù)分析的機(jī)制。通過偽造通信業(yè)務(wù)和將協(xié)議數(shù)據(jù)單元填充到一個(gè)固定的長度等方法能夠?yàn)榉乐雇ㄐ艠I(yè)務(wù)分析提供有限的保護(hù)。2.3信息平安機(jī)制2025/2/633⑦公證機(jī)制在兩個(gè)或多個(gè)實(shí)體之間通信的數(shù)據(jù)的性質(zhì)〔如它的完整性、數(shù)據(jù)源、時(shí)間和目的地等〕能夠借助公證人利用公證機(jī)制來提供保證。公證人為通信實(shí)體所信任，并掌握必要信息以一種可證實(shí)方式提供所需保證。2.3信息平安機(jī)制2025/2/634安全服務(wù)機(jī)制加密數(shù)字簽名訪問控制數(shù)據(jù)完整性鑒別交換業(yè)務(wù)流填充公證鑒別服務(wù)YY--Y--訪問控制服務(wù)--Y----機(jī)密性服務(wù)Y----Y-完整性服務(wù)YY-Y---抗抵賴服務(wù)-Y-Y--Y平安機(jī)制與平安效勞關(guān)系2.3信息平安機(jī)制2025/2/6352025/2/636平安五性需求身份認(rèn)證：建立信任關(guān)系口令數(shù)字證書〔采用公鑰〕PKI〔PublicKeyInfrastructure〕主體生理特征〔指紋、視網(wǎng)膜〕信息加密：信息由可懂形式變?yōu)椴豢啥问絺鬏敾虼鎯π畔⒚魑囊鸭用苊芪拿孛苊荑€密碼算法密碼分析者進(jìn)行破譯分析信息加密：對稱密鑰體制加密密碼算法解密密碼算法信息明文解密信息明文秘密密鑰秘密密鑰公開信道秘密信道密文密文數(shù)據(jù)完整性：兩種密鑰體制均可用正確解密的信息保持的信息在傳輸過程的完整性。消息認(rèn)證碼MAC(MessageAuthenticationCode)：使用HASH函數(shù)計(jì)算信息的“摘要〞，將它連同信息發(fā)送給接收方。接收方重新計(jì)算“摘要〞，并與收到的“摘要〞比較，以驗(yàn)證信息在傳輸過程中的完整性。HASH函數(shù)的特點(diǎn)——任何兩個(gè)不同的輸入不會產(chǎn)生相同的輸出。因此一個(gè)被修改了的文件不可能有同樣的“摘要〞。數(shù)據(jù)完整性〔采用公鑰〕摘要？摘要MAC摘要MAC摘要摘要摘要數(shù)字簽名：采用公鑰一般采用非對稱加密算法〔RSA等〕，發(fā)送方對整個(gè)明文進(jìn)行加密變換，得到一個(gè)值，將其作為簽名。接收者使用發(fā)送者的公開密鑰對簽名進(jìn)行解密運(yùn)算，如其結(jié)果為明文，那么簽名有效，證明對方的身份是真實(shí)的。簽名隨文本而變化，并且與文本不可分。適合于身份認(rèn)證、密鑰分發(fā)、完整性檢驗(yàn)、防止抵賴等。訪問控制：保證系統(tǒng)資源不被非法訪問和使用對主體訪問客體的權(quán)限或能力的限制，以及限制進(jìn)入物理區(qū)域〔出入控制〕限制使用計(jì)算機(jī)系統(tǒng)資源〔存取控制〕平安管理：審計(jì)記錄用戶在系統(tǒng)中所有活動的過程，也記錄攻擊者試圖攻擊系統(tǒng)的有關(guān)活動，這是防止內(nèi)外攻擊者的攻擊、提高系統(tǒng)平安性的重要工具。它不僅能識別誰訪問了系統(tǒng)，還能指示系統(tǒng)正被怎樣的使用〔或受到攻擊〕。密鑰管理：記錄密鑰生成、分發(fā)、使用、更換、銷毀等全過程密鑰設(shè)備狀態(tài)管理涉密人員資料管理47PDR

防護(hù)、檢測、響應(yīng)

防護(hù)、檢測、響應(yīng)、管理

防護(hù)、管理、根底設(shè)施2025/2/62025/2/6482025/2/6493.2.3信息平安根底設(shè)施①社會公共效勞類基于PKI/PMI數(shù)字證書的信任和授權(quán)體系；基于CC/TCSEC的信息平安產(chǎn)品和系統(tǒng)的測評與評估體系；計(jì)算機(jī)病毒防治與效勞體系；網(wǎng)絡(luò)應(yīng)急響應(yīng)與支援體系；災(zāi)難恢復(fù)根底設(shè)施；基于KMI的密鑰管理根底設(shè)施。2025/2/650513.2.3信息平安根底設(shè)施2025/2/652公鑰根底設(shè)施PKI：解決網(wǎng)絡(luò)中數(shù)字證書的頒發(fā)管理，是網(wǎng)絡(luò)信任體系的根底。解決“你是誰？〞的問題授權(quán)管理根底設(shè)施PMI：解決對信息系統(tǒng)訪問使用的權(quán)限管理問題，是訪問控制的前提。解決“你能干什么？〞的問題3.2.3信息平安根底設(shè)施2025/2/653密鑰管理根底設(shè)施KMI：主要解決在網(wǎng)絡(luò)平安中存儲加密、傳輸加密、平安認(rèn)證等密碼應(yīng)用的密鑰管理問題，是確保密碼平安的關(guān)鍵要素。解決密鑰產(chǎn)生、存儲、分發(fā)、銷毀等全生命周期的管理問題。2025/2/63.2.3信息平安根底設(shè)施2025/2/6542025/2/655四、信息平安保障體系2025/2/6564.1信息平安保障體系開展604.2信息平安保障的內(nèi)涵2025/2/661②深入理解信息平安保障的內(nèi)涵-14.2信息平安保障的內(nèi)涵2025/2/662信息安全管理因素技術(shù)因素人的因素管理因素技術(shù)因素人的因素4.2信息平安保障的內(nèi)涵2025/2/663②深入理解信息平安保障的內(nèi)涵-24.2信息平安保障的內(nèi)涵2025/2/664③與傳統(tǒng)信息平安概念的主要變化4.2信息平安保障的內(nèi)涵2025/2/6654.2信息平安保障的內(nèi)涵縱深防御體系2025/2/66566信息平安根底設(shè)施信息平安效勞體系信息平安人才保障體系信息平安組織管理體系國家信息根底設(shè)施根底關(guān)鍵保證核心準(zhǔn)繩保障4.3信息平安保障體系的根本框架2025/2/667①第一位的因素信息系統(tǒng)是人建立的；信息系統(tǒng)是為人效勞的；信息系統(tǒng)受人的行為影響。②應(yīng)依靠專業(yè)人才保障平安涉及意識(what)、培訓(xùn)(how)、教育(why)③平安意識、平安觀念是核心成認(rèn)系統(tǒng)漏洞客觀存在正視平安威脅和攻擊面對平安風(fēng)險(xiǎn)實(shí)施適度防護(hù) 人是信息平安的第一位因素4.3信息平安保障體系的根本框架2025/