密码技术在信息安全中的应用PPT课件.ppt

密码技术 信息安全的坚强守护者 1 目录 2 目录 3 引言 近年来 网络安全事件 层出不穷 商业泄密案 触目惊心 个人信息 唾手可得 网络犯罪 蒸蒸日上 一系列信息泄密事件 已经引起一场轩然大波 人们刚迎来2013年不久 数据泄露事件又接连不断 香港八达通卡泄密 富士通ipad2后壳设计图泄密 RSA公司SecurID技术及客户资料被窃取和索尼公司的PlayStation用户数据外泄 大众都熟知的棱镜事件等等 这样触目惊心的消息我们再也伤不起 4 我们的网络世界充满不安 2012年10月百所大学近12万账户信息被窃2012年7月 云存储服务商Dropbox用户名和密码 2012年7月雅虎45 34万名用户的认证信息 超过2700个数据库表被盗2012年7月DNSChanger修改多达30万台电脑用户的DNS 2012年6月LinkedIn650万加密的密码被发送到了一家俄罗斯的黑客网站2012年1月 亚马逊旗下美国电子商务网站Zappos遭到黑客网络攻击 5 我们的网络世界充满不安 Gauss病毒窃取浏览器保存的密码 网银账户 Cookies和系统配置信息等敏感数据2012年5月新型蠕虫病毒火焰 Flame 肆虐中东 2012年8月维基解密网站遭受到每秒10G流量持续攻击2012年3月著名黑客组织Anonymous威胁干掉整个互联网 京东商城充值系统于2012年10月30日晚22点30分左右出现重大漏洞 用户可以用京东积分无限制充值Q币和话费2009年韩国国会 国防部 外交通商部等机构的网站一度无法打开 6 目录 7 信息安全法律法规 国内主要的信息安全相关法律法规如下 信息网络传播权保护条例2006 2020年国家信息化发展战略网络信息安全等级保护制度信息安全等级保护管理办法 试行 互联网信息服务管理办法中华人民共和国电信条例中华人民共和国计算机信息系统安全保护条例公用电信网间互联管理规定联网单位安全员管理办法 试行 文化部关于加强网络文化市场管理的通知证券期货业信息安全保障管理暂行办法 8 信息安全法律法规 中国互联网络域名管理办法科学技术保密规定计算机信息系统国际联网保密管理规定计算机软件保护条例国家信息化领导小组关于我国电子政务建设指导意见电子认证服务密码管理办法互联网IP地址备案管理办法计算机病毒防治管理办法中华人民共和国电子签名法认证咨询机构管理办法中华人民共和国认证认可条例 9 信息安全法律法规 认证培训机构管理办法中华人民共和国产品质量法中华人民共和国产品质量认证管理条例商用密码管理条例网上证券委托暂行管理办法信息安全产品测评认证管理办法产品质量认证收费管理办法信息安全升至国家战略层面 10 从等保看信息安全的演进 2003年9月中办国办颁发 关于加强信息安全保障工作的意见 中办发 2003 27号 2004年11月四部委会签 关于信息安全等级保护工作的实施意见 公通字 2004 66号 2005年9月国信办文件 关于转发 电子政务信息系统信息安全等级保护实施指南 的通知 国信办 2004 25号 2005年公安部标准 等级保护安全要求 等级保护定级指南 等级保护实施指南 等级保护测评准则 总结成一种安全工作的方法和原则 最先作为 适度安全 的工作思路提出 确认为国家信息安全的基本制度 安全工作的根本方法 形成等级保护的基本理论框架 制定了方法 过程和标准 1994年国务院颁布 中华人民共和国计算机信息系统安全保护条例 2006年四部委会签公通字 2006 7号文件 关于印发 信息安全等级保护管理办法 试行 的通知 明确做等级保护 等级保护工作的重点是基础信息网络和关系国家安全 经济命脉 社会稳定等方面的重要信息系统 定义了五个保护级别 监管方式 职责分工和时间计划 定义了电子政务等级保护的实施过程和方法 定义了等级保护的管理办法 后被43号文件取代 首次提出计算机信息系统必须实行安全等级保护 提出了等级保护的定级方法 实施办法 并对不同等级需要达到的安全能力要求进行了详细的定义 同时对系统保护能力等级评测指出了具体的指标 11 等级保护的政策标准的演进 2007年7月16日四部门会签公信安 2007 861号文件 四部门下发 关于开展全国重要信息系统安全等级保护定级工作的通知 提出了等级保护的推进和管理办法 为等级保护工作开展提供了参考 开始了等级保护的实质性工作的第一阶段 2007年四部委会签公通字 2007 43号文件 信息安全等级保护管理办法 替代公通字 2006 7号文件 明确了等级保护的具体操作办法和各部委的职责 以及推进等级保护的具体事宜 2006年公安部 国信办下发了 关于开展信息系统安全等级保护基础调查工作的通知 从2006年1月10日到4月10日 分三个阶段对国家重要的基础信息系统进行摸底 包括党政机关 财政 海关 能源 金融 社会保障等行业 2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作 其中包括公用通信网 广播电视传输网等基础信息网络以及铁路 银行 海关 税务 民航 电力 证券 保险 外交 人事劳动和社会保障 财政 等行业 12 等级保护的政策标准的演进 信息安全技术信息安全等级保护技术设计要求 报批稿 对等级保护的方案设计提出了参考 提出 一个中心下的三重防护 体系 等级保护的落地迈出了实质性的一步 等级保护有了国家标准作为参考依据 同步提出了等级保护基础技术的课题研究 2008年7月 公安部发布 公安机关信息安全等级保护检查工作 试行 文件 提出等级保护检查工作的细则 并发布到重点政府行业用户 2008年 国家标准化委员会正式批复并发布 信息安全技术信息安全等级保护基本要求 和 信息安全技术信息安全等级保护定级指南 编号分别为GB T22239 2008 GB T22240 2008 目前已正式颁布的有 GB T22239 2008信息安全技术信息系统安全等级保护基本要求 GB T22240 2008信息安全技术信息系统安全等级保护定级指南 公安机关信息安全等级保护检查工作规范 2008年定级备案工作基本结束2 2X用户已完成在公安机关的定级备案工作 备案的四级系统大约200多个 三级系统大约25000多个 二级系统大约32000多个 13 目录 14 信息安全的基本属性 15 针对信息的安全属性存在的攻击模式 16 信息安全需要哪些安全服务 实现这些服务的技术 数学 信息 通信 计算机网络等多学科技术领域的综合 其中密码学是网络安全的基础理论和关键技术 17 信息安全中常用的密码技术 对称 分组加密 DES 数据加密标准DataEncryptionStandard IDEAInternationalDataEncryptionAlgorithm 国际数据加密算法 是1990年由瑞士联邦技术学院来学嘉X J Lai和Massey提出的建议标准算法 AES 高级加密标准AdvancedEncryptionStandard X J Lai 18 常用的密码技术 公钥加密 RSARivestShamirAdlemanECCEllipticCurvecryptsystem 19 常用的密码技术 鉴别和散列函数 散列函数 Hash函数MD5Message DigestAlgorithm5消息 摘要算法 R SHASecureHashAlgorithm安全散列算法 NSA 20 信息安全机制 加密数字签名否认伪造冒充篡改访问控制数据完整性数据单元的完整性发送实体接收实体数据单元序列的完整性防止假冒 丢失 重发 插入或修改数据 交换鉴别口令密码技术时间标记和同步时钟双方或三方 握手 数字签名和公证机构业务流量填充路由控制公证机制 21 密码技术在信息安全中的价值 让攻击变得困难 数字猜测破解密码推知私钥越权访问截获安全信道 22 目录 23 什么是PKI 解决网上身份认证 信息的完整性和不可抵赖性等安全问题 为网络应用 如浏览器 电子邮件 电子交易 提供可靠的安全服务 密码技术 24 PKI如何实现信息安全 25 PKI 数字证书实现信息安全模型 鉴别和散列函数 使用公钥加密算法 分组加密等 26 PKI中信息安全交互实例 1 1你是谁 Rick Mary Internet Intranet 应用系统 1 2怎么确认你就是你 认证 1 1我是Rick 1 2口令是1234 授权 保密性 完整性 防抵赖 2 我能干什么 2 你能干这个 不能干那个 3 如何让别人无法偷听 3 我有密钥 5 我偷了机密文件 我不承认 5 我有你的罪证 4 如何保证不能被篡改 4 别怕 我有数字签名 27 28 PKI对各安全要素的解决方法 认证身份证明 证书中告诉别人 你是谁 身份验证 数字签名和证书的唯一性向别人证明 你确是此人 机密性加密技术对称加密共享密钥非对称加密公开密钥 PKI对各安全要素的解决方法 完整性数字签名如果数字签名验证失败 说明数据的完整性遭到了破坏 不可抵赖性数字签名证明信息已经被发送或接收 发送方不能抵赖曾经发送过数据使用发送者本人的私钥进行数字签名接收方不能抵赖曾经接收到数据接收方使用私钥对确认信息进行数字签名 DigitalSignature Date Time 29 PKI的优势 PKI作为一种安全技术 已经深入到网络的各个层面 PKI的灵魂来源于公钥密码技术 围绕着非对称密码技术 数字证书破壳而出 并成为PKI中最为核心的元素 5 PKI具有极强的互联能力 不论是上下级的领导关系 还是平等的第三方信任关系 PKI都能够按照人类世界的信任方式进行多种形式的互联互通 从而使PKI能够很好地服务于符合人类习惯的大型网络信息系统 1 采用公开密钥密码技术 能够支持可公开验证并无法仿冒的数字签名 从而在支持可追究的服务上具有不可替代的优势 2 由于密码技术的采用 保护机密性是PKI最得天独厚的优点 PKI不仅能够为相互认识的实体之间提供机密性服务 同时也可以为陌生的用户之间的通信提供保密支持 3 由于数字证书可以由用户独立验证 不需要在线查询 原理上能够保证服务范围的无限制地扩张 这使得PKI能够成为一种服务巨大用户群的基础设施 4 PKI提供了证书的撤销机制 从而使得其应用领域不受具体应用的限制 30 数字证书的应用领域 电子政务 网上税务申报 工商年检 企业组织