第09讲-信息安全

藏头诗,芦花丛中一扁舟，俊杰俄从此地游，义士若能知此理，反躬逃难可无忧。,藏头诗又称藏头格，是将所言之事分藏于诗句之首。它不限字句，但也讲究韵律。人们最熟悉的当数水浒传第六十一回“吴用智赚玉麒麟”中，吴用化装成算命先生骗卢俊义在墙上写的“反诗”。那就是藏头诗：芦花从里一扁舟，俊杰俄从此地游。义士若能知此理，反躬逃难可无忧。每句诗的第一个字连起来就是：“芦（卢）俊义反”。,潜伏,他们在收音机里听到的数字密文在情报学上叫什么,有没有高手给解释什么10100312.本呼叫一小时后重复一次.用纸记下来再拿本书查的那种!梦蝴蝶,中共统战部西藏工作局局长毕华不慎把内含文件及工作日记的移动硬盘插在一部被远程控制的电脑上，结果被台湾方面掌握有关资料。毕华使用电脑不当造成泄密，因此被统战部撤职。随着全球经济融合程度不断加深，经济安全和信息安全的关系也越来越密切，黑客已经成为威胁国家安全的重要人群，搜索技术使信息保护难度增加，一些国家还在网络产品中嵌入间谍软件，通过“后门”，直接威胁重要信息的安全。计算机芯片、操作系统、手机、应用软件等被植入“间谍软件”的实例举不胜举，微软操作系统植入“间谍软件”已经不是秘密。据CNCERT/CC抽样监测发现，2006年中国大陆约有1000多万个IP地址的主机被植入“间谍软件”程序。,数据泄露防护站在国家的高度中国计算机安全,IC卡出现严重安全漏洞,卡的加密与解密永远都是一枚硬币的两面，每天在世界的各个地方，都有无数的科学家、学者和黑客们不停地在研究着各种加密和解密的技术与技巧，成功与失败也在永远上演着。2008年，德国研究员亨里克普洛茨和美国弗吉尼亚大学计算机科学在读博士卡尔斯滕诺尔就享受到了成功的喜悦：他们最先利用电脑成功破解了恩智浦半导体的Mifare经典芯片(简称MI芯片)的安全算法。但对于这项科研成果，亨里克普洛茨和卡尔斯滕诺尔却在第一时间宣布绝不公布其破解的成果。那么，他们为何对自己的科研成果讳莫如深呢？原来，他们所破解的MI芯片的安全算法，正是目前全世界应用最广泛的非接触IC卡的安全算法！可以想见，如果这一科研成果被人恶意利用，那么大多数门禁系统都将失去存在的意义，而其他应用此种技术的IC卡，如各高校学生使用的校园一卡通、高速公路缴费一卡通等也都将面临巨大的安全隐患。,信息安全技术基础,主要内容,信息安全问题概述信息安全技术网络道德及信息安全法规(自己阅读),主要内容,信息安全问题概述信息安全技术网络道德及信息安全法规(自己阅读),面临的安全威胁,现代信息系统及网络通信系统面临的安全威胁截获中断篡改伪造,面临的安全威胁,信息安全的特征,可用性机密性真实性完整性可控性抗可否认性可存活性,信息安全的内容,实体安全(硬件安全)环境安全设备安全媒体安全运行安全(软件安全)操作系统安全应用系统安全数据安全保证数据的真实、机密、完整、不可否认管理安全,信息安全的机制,身份确认机制访问控制机制数据加密机制病毒防范机制信息监控机制安全网关机制安全审计机制,主要内容,信息安全问题概述信息安全技术网络道德及信息安全法规(自己阅读),加密与认证技术,一般的数据加密模型,加密技术是保证数据秘密性、完整性、真实性、不可否认性、身份验证等的基础!,一个例子：恺撒密码,wuhdwblpsrvvleoh,密文：,Ci=E(Pi,k)=(Pi+k)mod(n),k=3,n=26,TREATYIMPOSSIBLE,算法：,明文：,字母表：(密码本）ABCDEFGHIJKLMNOPQRSTUVWXYZdefghijklmnopqrstuvwxyzabc,加密与认证技术,对称密钥密码体系对称算法（symmetricalgorithm）有时也称传统密码算法，就是加密密钥能够从解密密钥中推算出来，反过来也成立。系统的保密性依赖于密钥的安全性密钥的产生，传送比较复杂对称加密算法DES(DataEncryptionStandard,数据加密标准DES是一种世界标准的加密形式I.B.M公司开发，1976年11月23日，被美国国家安全局采用。64位密钥长度，用户可用56位,加密与认证技术,DES的安全性DES密码体制的安全性应该不依赖于算法的保密，其安全性仅以加密密钥的保密为基础；DES算法具有极高安全性，到目前为止，除了用穷举搜索法对DES算法进行攻击外，还没有发现更有效的办法。而56位长的密钥的穷举空间为256，意味着如果一台计算机的速度是每一秒种检测一百万个密钥，搜索完全部密钥就需要将近2285年的时间。在1993年的一年一度的世界密码大会上，加拿大北方电信公司贝尔实验室的MichaelWiener描述了如何构造一台专用的机器破译DES，该机器利用一种每秒能搜索5000万个密钥的专用芯片。而且此机器的扩展性很好，投入的经费越多则效率越高。用100万美元构造的机器平均3.5小时就可以破译密码。IDEA：密钥为128位,加密与认证技术,非对称密钥密电码体系公开密钥算法（public-keyalgorithm）也称非对称算法，加密密钥不同于解密密钥，而且解密密钥不能根据加密密钥计算出来。可用于加密、数字签名,加密与认证技术,公开密钥算法通信模型-加密,加密与认证技术,公开密钥算法通信模型-数字签名,加密与认证技术,非对称加密算法RSA1978,R.L.Rivest,A.Shamirt,M.Adleman保密性依赖于密钥长度(长度越长，加密解密时间越长)速度较慢，比DES慢上百倍,加密与认证技术,通常，用户的身份认证可以通过三种基本方式或其组合的方式来实现。所知。个人所掌握的密码、口令等。拥有。个人的身份证、护照、信用卡、钥匙等。特征。个人特征包括很多，如容貌、肤色、发质、身材、姿势、手印、指纹、脚印、唇印、颅相、口音、脚步声、体味、视网膜、血型、遗传因子、笔迹、习惯性签字、打字韵律，以及在外界刺激下的反应等。,身份认证,加密与认证技术,数字签名必须保证：接收者能够核实发送者对报文的签名发送者事后不能抵赖对报文的签名接收者不能伪造对报文的签名,数字签名技术,加密与认证技术,具有保密性的数字签名,实际应用的数字签名,举例,现在Alice向Bob传送数字信息，为了保证信息传送的保密性、真实性、完整性和不可否认性，需要对要传送的信息进行数字加密和数字签名，其传送过程如下：Alice准备好要传送的数字信息（明文）。Alice对数字信息进行哈希（hash）运算，得到一个信息摘要。Alice用自己的私钥（SK）对信息摘要进行加密得到Alice的数字签名，并将其附在数字信息上。Alice随机产生一个加密密钥（DES密钥），并用此密钥对要发送的信息进行加密，形成密文。Alice用Bob的公钥（PK）对刚才随机产生的加密密钥进行加密，将加密后的DES密钥连同密文一起传送给Bob。Bob收到Alice传送过来的密文和加过密的DES密钥，先用自己的私钥（SK）对加密的DES密钥进行解密，得到DES密钥。Bob然后用DES密钥对收到的密文进行解密，得到明文的数字信息，然后将DES密钥抛弃（即DES密钥作废）。Bob用Alice的公钥（PK）对Alice的数字签名进行解密，得到信息摘要。Bob用相同的hash算法对收到的明文再进行一次hash运算，得到一个新的信息摘要。Bob将收到的信息摘要和新产生的信息摘要进行比较，如果一致，说明收到的信息没有被修改过。,防火墙技术,防火墙的位置,防火墙技术,防火墙的主要功能,检查所有从外部网络进入内部网络的数据包。检查所有从内部网络流出到外部网络的数据包。执行安全策略，限制所有不符合安全策略要求的数据包通过。具有防攻击能力，保证自身的安全性。,防火墙技术,防火墙的基本准则,一切未被允许的就是禁止的,一切未被禁止的就是允许的,防火墙技术,包过滤路由器,包过滤工作流程,防火墙技术,包过滤路由器,包过滤方法的优点：结构简单，便于管理，造价低。由于包过滤在网络层、传输层进行操作，因此这种操作对于应用层来说是透明的，它不要求客户与服务器程序作任何修改。,包过滤方法的缺点：在路由器中配置包过滤规则比较困难。由于包过滤只能工作在“假定内部主机是可靠的，外部主机是不可靠的”这种简单的判断上，它只能控制到主机一级，不涉及包的内容与用户一级，因此它有很大的局限性。,防火墙技术,应用级网关,应用级网关也叫代理服务器，隔离风险网络与内部网络之间的直接联系，内外不能直接交换数据，数据交换由代理服务器“代理”完成。代理服务器像一堵真正的墙一样阻挡在内部用户和外界之间，从外面只能看到代理服务器而看不到内部资源，从而有效地保护内部网不受侵害。,防火墙技术,应用级网关,网络防攻击与入侵检测技术,入侵检测的功能,监控、分析用户和系统的行为。检查系统的配置和漏洞。评估重要的系统和数据文件的完整性。对异常行为的统计分析，识别攻击类型，并向网络管理人员报警。对操作系统进行审计、跟踪管理，识别违反授权的用户活动。,文件备份与恢复技术,东南大学火灾,13号东南大学动力楼在白天起火，大火持续了2个多小时，10间实验室被毁，学术资料损失无数！,计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。,计算机病毒及防治,计算机病毒的概念,可触发性,计算机病毒的特点（举例）,病毒名称：Win32.Troj.Lmir.pc病毒中文名：“传奇大盗”变种PC病毒类型：木马危险级别：影响系统：Win9X/ME/NT/2000/XP/2003WinXP专杀工具：金山专杀工具病毒描述：,该病毒通过网络传播，是会潜伏在用户的电脑系统里，伺机获取网游“魔兽世界”的登录窗口，记录帐号和密码等有效信息，并将窃取的信息通过电子邮箱发送给木马种植者，造成用户的虚拟财产的丢失。,非授权的可执行、破坏性,潜伏性隐蔽性,传染性,计算机病毒及防治,三、计算机病毒的命名,病毒名称：Dropper.BingHe.2c,前缀,名称,后缀,表明病毒的种类例如：Dropper.BingHe.2cDropper表明是后门病毒,病毒家簇的标识例如：Dropper.BingHe.2cBingHe名称为冰河播种者的病毒,病毒的变种，有26个字母或数字组成,前缀：,后缀：,名称：,1.4计算机安全知识,计算机病毒知识,计算机病毒分类,本章小结,计算机安全知识,四、计算机病毒的分类,引导型病毒文件型病毒复合型病毒,良性病毒恶性病毒,单机病毒网络病毒,1.按寄生方式分：,2.按破坏程度分：,3.按传播媒介分：,1.4计算机安全知识,计算机病毒知识,计算机病毒分类,本章小结,计算机安全知识,五、计算机病毒的结构,1.4计算机安全知识,计算机病毒知识,计算机病毒分类,本章小结,计算机安全知识,对计算机数据信息的直接破坏占用磁盘空间抢占系统资源影响计算机运行速度,六、计算机病毒的危害,1.4计算机安全知识,计算机病毒知识,计算机病毒分类,本章小结,计算机安全知识,计算机病毒的新特点种类、数量激增传播途径更多、传播速度更快电子邮件、网络成为主要传播媒介造成的破坏更严重,计算机病毒及防治,对计算机数据信息的直接破坏占用磁盘空间抢占系统资源影响计算机运行速度,计算机病毒的危害,计算机病毒及防治,关键是做好预防工作，在计算机日常管理上要有原则，培养“健康”的使用习惯。预防为主：管理上的防治、技术上的防治,计算机病毒的防治,计算机病毒及防治,选用品质优良的正版杀毒软件，安装实时防火墙；,计算机病毒的清除,使用专杀工具在线杀毒手工清除病毒,常用的杀毒软件有：瑞星杀毒软件江民杀毒软件金山毒霸诺顿防毒软件卡巴斯基,计算机病毒及防治,主要内容,信息安全问题概述信息安全技术网络道德及信息安全法规(自己阅读),计算机诈骗犯罪，已经给社会和公众带来严重的经济损失和危害，因此国家制定了一系列的计算机安全法律、法规，建立了计算机案全管理、监察和审查机构。,重要提示,如：计算机病毒防治管理办法计算机软件保护条例等,所有操作都会留下痕迹,4、知识产权2006年3月27日在华访问的美国商务部长古铁雷斯在重庆表示，盗版的猖獗不仅仅损害美国公司的利益，中国才是事实上的最大受害者，中国自己的产权产业和发明将成为最暴露的靶子，“这对中国的发展远景是一个极大的威胁”不可否认，古铁雷斯的这番陈辞有醉翁之意，其落脚点是维护美国的利益。但是，如果去除有色眼镜，以一种务实、理性的眼光审视之，就会发现古铁雷斯并未信口开河。自主创新是科技发展的灵魂，是一个民族发展的不竭动力，是支撑国家崛起的筋骨。,这个