计算机安全引论陈克非海交大.pdf

1 20032003- -2 2- -1717 上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验 1 1 研究生课程研究生课程研究生课程研究生课程 计算机安全学计算机安全学 Cryptography and Computer SecurityCryptography and Computer Security 陈克非陈克非陈克非陈克非 KfchenKfchenmail.mail.sjtusjtu. .eduedu. .cncn 20032003- -2 2- -1717 上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验 2 2 课程安排课程安排课程安排课程安排 ?本课计划学时数54，其中课堂时数36 ?本课程面向信息安全专业方向的研究生，但同时 兼顾其它方向的研究生 ?本课程将以专题的形式介绍计算机安全领域的若 干基本的、但比较重要的问题。计划分10个专题 介绍，各个专题相对独立（其中一些专题请外面 的专家讲） ?本课程的目标是通过学习和参与，对密码和计算 机安全有一个基本的了解，并为在相关重要研究 领域从事研究起引导作用 20032003- -2 2- -1717 上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验 3 3 课程的计划内容课程的计划内容课程的计划内容课程的计划内容 ?Introduction to Computer Security ?Block Cipher ?Information Authentication ?Public Key and Elliptic Curve Public-Key Cryptosystems ?Key Management Techniques and CA ?Computer and Networks Security ?Internet Security Protocols ?GSM, CDMA and 3G Security ?Wireless LAN and Security ?Smart Cards Requirements, Properties, and Applications ?E-Cash Payment System ?Watermarking Techniques ?Some Hot Research Topic20032003- -2 2- -1717 上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验 4 4 参考资料参考资料参考资料参考资料 ?（美）W. Stallings：密码编码学与网络安全，电 子工业出版社，2001； ?王育民等编著：通信网的安全-理论与技术，西 安电子科技大学出版社，1999年； ?（美）D. Atkins等著：Internet专业参考手册，机 械工业出版社，1998年； ?（美）无名氏著：网络安全最高安全技术指南， 机械工业出版社，1998年； ?（比）B.Preneel, V. Rijmen (Eds.): State of the Art in Applied Cryptography, LNCS 1528, Springer-Verlag， 1998 20032003- -2 2- -1717 上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验 5 5 第一讲：计算机安全引论第一讲：计算机安全引论第一讲：计算机安全引论第一讲：计算机安全引论 ?计算机、网络及信息安全概况 ?计算机、网络及信息安全面临的问题 ?计算机、网络及信息安全技术和标准 ?计算机、网络及信息安全的发展前景 20032003- -2 2- -1717 上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验 6 6 网络化与网络网络化与网络网络化与网络网络化与网络服务服务服务服务 ? 网络的全球化 ? Internet，TCP/IP ? 数以千万的主机 ? 网络服务和安全 ? 网络服务可用性（availability） ? 网络信息的完整性（integrity） ? 网络信息的机密性（confidentiality） 2 20032003- -2 2- -1717 上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验 7 7 对网络的依赖对网络的依赖对网络的依赖对网络的依赖 ?网络的特点决定它的广泛应用前景网络的特点决定它的广泛应用前景 ?开放的、分布式协同计算环境 ?结构松散，分散管理，便于互联 ?用户透明，资源共享 ?网络的应用导致对网络资源的依赖网络的应用导致对网络资源的依赖 ?从提供通讯向提供数据服务过渡 ?封闭的专网向开放的Internet延伸 ?电子商务及企业信息化的美好前景 20032003- -2 2- -1717 上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验 8 8 实例：沙漠盾牌及沙漠风暴实例：沙漠盾牌及沙漠风暴实例：沙漠盾牌及沙漠风暴实例：沙漠盾牌及沙漠风暴 ?90年8月1日伊拉克入侵科威特 ?地面、空间渠道第一时间了解战况 ?24小时内采取第一批军事行动，舰队开赴海湾 ?47小时完成军事行动计划 ?120小时内在全球采取了政治、外交、经济、 法律和军事行动 ?在沙特驻军20天后，建立起指挥、控制、通信 和情报系统 ?沙漠风暴前的信息打击：致瘫伊的信息系统 20032003- -2 2- -1717 上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验 9 9 网络网络网络网络安全令人担忧安全令人担忧安全令人担忧安全令人担忧 ?安全事件不断 ?病毒蔓延殃及用户 ?美国防部每年遭受25万次攻击 ?计算机犯罪增多 ?2KY问题的最终解决 ?IP欺骗、网络黑客. ?网络本身的安全性先天不足 20032003- -2 2- -1717 上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验1010 网络网络网络网络为何不安全为何不安全为何不安全为何不安全 ?用户缺少安全意识，如PGP安全，但使用不当会出 问题 ?Internet设计缺陷，如C/S模式，ftp、telnet、BBS服 务等 ?访问控制权限，如UNIX的进程权限、管理员权限 ?匿名通信，如使用重邮器remail的负面影响 ?一些专门软件，如用ActiveX可读写他人的硬盘 ?技术泄密，如滥用CERT的安全资料 ?人的惰性、事不关己无动于衷、家丑不外扬 20032003- -2 2- -1717 上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验1111 网络网络网络网络安全安全安全安全的的的的几个几个几个几个层面层面层面层面 Internet采用松散的结构，网络没有集中控制， 可使其安全问题分摊给网络的各个部分。网 络安全性涉及到： ?每台主机及操作系统的安全 ?UNIX系统的很多漏洞已为人知，相对安全些 ?专用系统（Windows NT）源码不公开，安全问 题堪忧 ?网络协议的安全 ?安全漏洞和系统软件的两面性 20032003- -2 2- -1717 上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验1212 著名著名著名著名的的的的安全缺陷安全缺陷安全缺陷安全缺陷和和和和事件事件事件事件 ?早期的UNIX系统，打印命令lpr后，允许用户删 除文件 ?TENEX系统，检测用户口令逐字符进行，使尝试 口令简单 ?逻辑炸弹（Logic Bomb），一旦爆炸会清空磁盘 、删除文件 ?历史上最大的计算机安全犯罪：网络“蠕虫” ?1988年11月3日“黑色星期四” 的“蠕虫”程序：引导程序主 程序 3 20032003- -2 2- -1717 上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验1313 实例：实例：实例：实例：20002000年著名网站被黑年著名网站被黑年著名网站被黑年著名网站被黑 ?2月7日，Yahoo的数据速度突然下降 ?受到50个不同主机的数据狂轰滥炸，10亿B/s ?宕机3小时，损失惨重 ?24小时后，A遭攻击，800MB/s ?再5小时后，eBay遭攻击 ?35小时内，各大站点均未幸免，损失12亿 ?黑客攻击手法：侵入主机，植入攻击程序，一 齐向目标主机发海量数据 20032003- -2 2- -1717 上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验1414 安全事件的统计数字安全事件的统计数字安全事件的统计数字安全事件的统计数字 ?5060%的安全事件出自使用不当 ?使用者缺乏经验、系统维护不到位 ?1520%的安全事件出自内部人员所为 ?如以前的雇员、系统管理员 ?1015%的安全事件出自灾害 ?水灾、雷击、火灾. ?35%的安全事件出自外部攻击 ?如业余爱好者、黑客、竞争对手、有组织的智能犯 罪. 20032003- -2 2- -1717 上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验1515 目前对网络安全的主要威胁目前对网络安全的主要威胁目前对网络安全的主要威胁目前对网络安全的主要威胁 ?密码技术是保证系统安全的核心，所以密码技术是保证系统安全的核心，所以密码技术是保证系统安全的核心，所以密码技术是保证系统安全的核心，所以 加密算法成为攻击者的首选目标加密算法成为攻击者的首选目标加密算法成为攻击者的首选目标加密算法成为攻击者的首选目标。 ?对DES这类迭代分组密码可选择差分分析、 线性分析以及能量分析等各类攻击方法，但 最为有效的却是以前并不为人们看好的穷举 密钥法。(1997年Internet上96天成功破译DES； 1998年美国EFF的专业解密机仅用56小时。) ?目前利用整数分解和离散对数算法已破译了 512位的RSA、97位的椭圆曲线公钥密码。 20032003- -2 2- -1717 上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验1616 对网络安全的主要威胁对网络安全的主要威胁对网络安全的主要威胁对网络安全的主要威胁（cont.cont.） ?对网络进行监听，非法截获数据包，从而对网络进行监听，非法截获数据包，从而对网络进行监听，非法截获数据包，从而对网络进行监听，非法截获数据包，从而 得到秘密消息或由流量分析获益，是网络得到秘密消息或由流量分析获益，是网络得到秘密消息或由流量分析获益，是网络得到秘密消息或由流量分析获益，是网络 面临的又一攻击手段。面临的又一攻击手段。面临的又一攻击手段。面临的又一攻击手段。 ?大部分的传输介质上都可实施网络监听，其中 尤以Ethernet与无线接入网最为容易，因为这两 者都是典型的广播型网络。反监听的有效手段 便是采用数据加密技术。 20032003- -2 2- -1717 上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验1717 对网络安全的主要威胁对网络安全的主要威胁对网络安全的主要威胁对网络安全的主要威胁（cont.cont.） ?InternetInternet的五层结构，从数据链路层到应的五层结构，从数据链路层到应的五层结构，从数据链路层到应的五层结构，从数据链路层到应 用层的协议都存在不同程度的安全弱点。用层的协议都存在不同程度的安全弱点。用层的协议都存在不同程度的安全弱点。用层的协议都存在不同程度的安全弱点。 ?TCP/IP层是Internet的核心层，最易被攻击，如 伪造IP地址的IP欺骗攻击；借助海量数据包，让 目标主机耗尽TCP连接资源的拒绝服务攻击。 ?在应用层，攻击者可利用SMTP不提供认证的弱 点，伪造邮件冒充系统管理员或某一授权人，或 者对用户或邮件服务器进行电子邮件轰炸；对 HTTP，改写某Web页上的所有URL后，可使浏 览者浏览时先经过攻击者的服务器，再到达真正 的Web服务器。 20032003- -2 2- -1717 上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验1818 对网络安全的主要威胁对网络安全的主要威胁对网络安全的主要威胁对网络安全的主要威胁（cont.cont.） ?利用软件设计的弱点进行攻击。利用软件设计的弱点进行攻击。利用软件设计的弱点进行攻击。利用软件设计的弱点进行攻击。 ?软件日益复杂，当软件运行效率、可用性和安全性发 生冲突时，大部分软件开发者选择牺牲安全性。 ? 如GSM加密算法，微软的PPTP都存在使用弱的加密算法或是采用强加 密算法但做了弱实现的问题。 ?缓冲区溢出会造成危害，攻击者可能用SUID攻击取 得root权限，而著名的TearDrop、Land、Ping of Death 攻击则是利用了TCP/IP协议栈中的错误。 ?由于Web的流行，Java applet、ActiveX，各类Script程 序亦成为攻击者的攻击利器。对此，需要我们设计软 件时贯穿软件工程思想，考虑可能的安全隐患，并形 成一套软件部署、升级、打安全补丁的策略。 4 20032003- -2 2- -1717 上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验1919 对网络安全的主要威胁对网络安全的主要威胁对网络安全的主要威胁对网络安全的主要威胁（cont.cont.） ?由于系统配置不合理也易遭到攻击，这由于系统配置不合理也易遭到攻击，这由于系统配置不合理也易遭到攻击，这由于系统配置不合理也易遭到攻击，这 种攻击往往是和前一种攻击相结合的。种攻击往往是和前一种攻击相结合的。种攻击往往是和前一种攻击相结合的。种攻击往往是和前一种攻击相结合的。 ?很多系统管理员只使用系统默认配置或对更改配 置后的安全后果不甚清楚。 ?攻击者利用系统的缺省帐户及已离开用户的帐号，使用一 般不开放的Telnet、finger等服务查询主机信息并试图登录， 然后利用口令破译技术，破译不安全的弱口令后再设法取 得管理员权限进而完全控制目标主机。 ?对异常事件的审计工作开展的不够，对日志文件 未能定时查看，攻击者容易隐蔽自己的攻击痕迹。 ?假如加强对系统管理员的培训，提高安全防范意识，使用 静态配置扫描工具，这种攻击是可以控制的。 20032003- -2 2- -1717 上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验2020 对网络安全的主要威胁对网络安全的主要威胁对网络安全的主要威胁对网络安全的主要威胁（cont.cont.） ?除了上述5种攻击外，其它还有恶意程序 （特洛伊木马、病毒）攻击，物理（加密 机失窃、盗取用户身份标识、抢劫数据中 心或公钥存储中心）攻击等，在此就不一 一叙述了。 20032003- -2 2- -1717 上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验2121 系统的系统的系统的系统的安全安全安全安全策略策略策略策略 ?信息系统的安全依赖于系统的合理设计信息系统的安全依赖于系统的合理设计 ?安全是精心设计出来的 ?安全技术需要理论的指导 ?保障安全需要科学的管理 ?安全的研究要站在系统的角度来考虑安全的研究要站在系统的角度来考虑 ?每个环节安全不等于系统安全 ?任何局部的不安全必然导致系统的不安全 ?保障安全必须靠我们自己保障安全必须靠我们自己 ?安全产品必须是自主研制，加大研究和投入 20032003- -2 2- -1717 上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验2222 安全安全安全安全的的的的解决解决解决解决方案方案方案方案 ?确立全方位完整的安全策略 ?操作系统的安全是一切安全的根本 ?网络体系结构的安全是系统安全的基础 ?数据库的安全是信息安全的重点 ?防火墙提供有效的网络安全焦点 ?入侵的审计、跟踪与检测技术不可缺少 ?密码技术是网络系统安全的核心 20032003- -2 2- -1717 上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验2323 主要的安全技术主要的安全技术主要的安全技术主要的安全技术 ?主机安全分级“可信任计算机标准评估准则” ?D1级：如DOS，Windows 98，无身份识别 ?C1级：UNIX，Windows NT，有身份识别，但不 能控制访问权限（用户可获得管理员权限） ?C2级：增强了访问控制和审计功能，UNIX， Windows NT ?B1级：符号安全保护，多安全级 ?B2级：结构保护，对象加标签，分配安全级 ?B3级：安全域，各部分之间加保护 ?A级：受核设计，各部分在监督和跟踪之下 20032003- -2 2- -1717 上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验2424 主要的安全技术（主要的安全技术（主要的安全技术（主要的安全技术（cont.cont.） ?访问控制技术的目标是防止对任何计算机资 源和通信资源进行非授权的访问 ?自由选择存取控制和强制性存取控制，最近又出 现了基于角色的存取控制。 ?最常见的Internet访问控制应用是防火墙 ?包过滤防火墙、应用级防火墙和线路级网关，是 设置在专用网和Internet之间的安全系统，干预两 网间的任何消息传递。 ?为TCP/IP能安全地应用到防火墙业务中，人们还 提出了SOCKS v4协议，它以客户化客户机的方式 使用户访问Internet的过程透明化、安全化。 5 20032003- -2 2- -1717 上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验2525 主要的安全技术（主要的安全技术（主要的安全技术（主要的安全技术（cont.cont.） ?用于Internet的安全通信协议 ?Internet层以下有PPTP协议，其可以完成数据安全封装，使数 据包安全通过不可信赖的Internet区域。 ?Internet 层 的 主 要 安 全 协 议 有 IPsec v2、Oakley、SKIP 及 ISAKMP等。其中IPsec包括AH、ESP两部分，Oakley和SKIP用 来完成Internet层密钥交换，ISAKMP则被用来协商加密算法， 生存期限等参数。 ?传输层主要有SSL v3和TLS协议。SSL协议由SSL记录协议与 SSL握手协议组成，握手协议在客户机和服务器之间交换并协 商强化安全的消息，记录协议规定了所有发送和接收数据的打 包形式。TLS协议和SSL相似的。 ?应用层安全协议数量最多，有Kerberos v5、PEM、S-HTTP、 DNSSEC等。 20032003- -2 2- -1717 上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验2626 主要的安全技术（主要的安全技术（主要的安全技术（主要的安全技术（cont.cont.） ?入侵检测对于及时发现攻击者具有重要意义， 用于监控资源的使用和在特定事件发生时通知 系统管理员，以检测时机分有实时检测和事后 追踪，以检测面向性分有基于主机和基于网络 的入侵检测。 ?入侵检测工具通常要和审计工具及日志工具配合使 用。由于网络入侵手段复杂，且在不断翻新、提高， 要求入侵检测需采取数据挖掘（data mining）方法， 并应用神经网络、专家系统技术达到模式匹配。 20032003- -2 2- -1717 上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验2727 主要的安全技术（主要的安全技术（主要的安全技术（主要的安全技术（cont.cont.） ?现代密码学无疑是Internet安全技术的核心， 它主要研究各类密码算法，认证理论，以及 密码协议等 ?对称密码有Triple-DES、IDEA等，新一代加密 标准AES（Advanced Encryption Standard）也即 将出台 ?公钥密码方面有RSA算法、ElGamal类算法、 Nyberg-Rueppel类算法等 ?密码协议也是重要的环节，协议的缺陷会直接影 响到密码的效能，甚至影响到整个系统的安全 20032003- -2 2- -1717 上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验2828 主要的安全技术（主要的安全技术（主要的安全技术（主要的安全技术（cont.cont.） ?公钥体制的唯一弱点在于公钥管理，尤 其是公钥的认证对整个公钥体制的安全性 意义重大。 ?目前做法是为用户发放公钥证书，建立PKI 管理公钥证书。 ?PKI现有两类：PKIX和是SPKI ?PKIX与SPKI的区别在于PKIX使用X.509v3证书表 示使用者的Internet身份，而SPKI证书是一种授权 证书。 20032003- -2 2- -1717 上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验2929 主要的安全技术（主要的安全技术（主要的安全技术（主要的安全技术（cont.cont.） ?Internet安全技术还包括其它许多内容， ?如为解决移动代码安全性问题，人们提出了沙 盒（sandbox）、代码签名（code signing）、 防火墙（firewalling）及携带证明代码（proof carrying code）技术，为保护个人隐私，mix、 Crowds与代理机制被相继提出。SSH（Secure Shell）产品可使用户安全地登录到远程主机执 行命令和传输文件，反病毒工具已可以检测 20000余种病毒，且具有发现部分新病毒，网 络实时侦探的功能。 20032003- -2 2- -1717 上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验3030 其它与安全技术相关的问题其它与安全技术相关的问题其它与安全技术相关的问题其它与安全技术相关的问题 ?除了技术工作外，人们也做了大量社会工作来 促进Internet安全工作 ?如建立一批事故反应中心事故反应中心，例如CERT（Computer Emergency Response Team）、CIAC（Computer Incident Advisory Capability）、FIRST（Forum of Incident Response and Security Teams）。 ?加强Internet安全立法安全立法工作，加大了对网络攻击的处 罚力度，例如美国缉拿了著名黑客多米尼克，中国 首次对网络入侵者判处徒刑。 6 20032003- -2 2- -1717 上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验3131 InternetInternet安全前景安全前景安全前景安全前景 ?可以肯定的是，Internet安全事件会继续迅 速增长，各种入侵将朝着更大规模、更有 组织、更加隐蔽的方向发展，更集中于攻 击象骨干路由器、拨入服务器这样重要的 网络设备，象Yahoo!、eBay、AOL这样知 名的网站和服务供应商，并带有更浓厚的 政治经济色彩，甚至成为一种恐怖手段或 制裁措施。 20032003- -2 2- -1717 上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验上海交通大学密码与信息安全实验3232 InternetInternet安全前景安全前景安全前景安全前景（cont.cont.） ?Internet安全保护技术在以下几个方面 ?建立一个关于Internet安全的全球性标准，就主 要在Internet的第几层提供安全服务达成共识； 提高灵巧卡（smart card）处理速度和存储容量， 并使之与数字证书相结合； ?发展新的防火墙及入侵检测技术，使之与网络管 理、内容分级、可下载内容监测、硬件流量控制 技术结合； ?加大对高速网络和无线网络安全性的研发力度； 广泛应用数字水印（digital watermark）实施 Internet上的版权保护。 20032003- -2 2- -1717 上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学计算机系上海交通大学密码与信息安全实验上海交通大学密码与信息安全