信息安全的重要性课件

1、信息安全的重要性,第一章 引言,信息安全的重要性 信息安全的目标 信息安全的研究内容 网络安全模型 安全体系结构,信息安全的重要性,关于信息化,信息革命是人类第三次生产力的革命 四个现代化，那一化也离不开信息化。 江泽民,信息安全的重要性,信息化与国家安全政治,由于信息网络化的发展，已经形成了一个新的思想文化阵地和思想政治斗争的战场。 以美国为首的西方国家，始终认为我们是他们的敌对国家。一直没有放弃对我们的西化、分化、弱化的政策。 美国国务卿奥尔布来特在国会讲：“中国为了发展经济，不得不连入互联网。互联网在中国的发展，使得中国的民主，真正的到来了。,信息安全的重要性,带有政治性的网上攻击有较大

2、增加,过去，过去的几年中，我国的一些政府网站，遭受了很多次大的黑客攻击事件。 99年1月左右，美国黑客组织“美国地下军团”，联合了波兰、英国的黑客组织，以及世界上其他国家的一些黑客组织，有组织地对我们国家的政府网站进行了攻击。 99年7月，台湾李登辉提出了两国论。 2000年5月8号，美国轰炸我国驻南联盟大使馆后。 2001年4月到5月，美机撞毁王伟战机侵入我海南机场。,信息安全的重要性,信息化与国家安全经济,一个国家信息化程度越高，整个国民经济和社会运行对信息资源和信息基础设施的依赖程度也越高。 我国计算机犯罪的增长速度超过了传统的犯罪 97年20几起，98年142起，99年908起，200

3、0年上半年1420起。 利用计算机实施金融犯罪已经渗透到了我国金融行业的各项业务。 近几年已经破获100多起，涉及的金额几个亿,信息安全的重要性,信息化与国家安全社会稳定,互连网上散布一些虚假信息、有害信息对社会管理秩序造成的危害，要比现实社会中一个造谣要大的多。 99年4月，河南商都热线一个BBS，一张说交通银行郑州支行行长协巨款外逃的帖子，造成了社会的动荡，三天十万人上街排队，挤提了十个亿。 网上治安问题，民事问题,信息安全的重要性,对社会的影响,针对社会公共信息基础设施的攻击严重扰乱了社会管理秩序 2001年2月8日正是春节，新浪网遭受攻击，电子邮件服务器瘫痪了18个小时。造成了几百万的

4、用户无法正常的联络。 网上不良信息腐蚀人们灵魂 色情资讯业日益猖獗 网上赌博盛行,信息安全的重要性,信息化与国家安全信息战,谁掌握了信息，控制了网络，谁将拥有整个世界。” （美国著名未来学家阿尔温 托尔勒） “今后的时代，控制世界的国家将不是靠军事，而是信息能力走在前面的国家。” （美国总统克林顿） “信息时代的出现，将从根本上改变战争的进行方式。” （美国前陆军参谋长沙利文上将,信息安全的重要性,自身缺陷 + 开放性 + 黑客攻击,网络不安全的原因,信息安全的重要性,协议本身会泄漏口令 连接可成为被盗用的目标 服务器本身需要读写特权 基于地址 密码保密措施不强 某些协议经常运行一些无关的程序

5、 业务内部可能隐藏着一些错误的信息 有些业务本身尚未完善,难于区分出错原因 有些业务设置复杂,很难完善地设立 使用CGI的业务,网络自身的安全缺陷,信息安全的重要性,业务基于公开的协议 远程访问使得各种攻击无需到现场就能得手 连接是基于主机上的社团彼此信任的原则,网络开放性,信息安全的重要性,定义：“非法入侵者” 起源： 60年代 目的： 基于兴趣非法入侵 基于利益非法入侵 信息战,黑客（HACKER,信息安全的重要性,Robert Morris,Internet 蠕虫的发明者 他的父亲是National Security Agency (NSA)的科学家 1988年11月2日， Cornel

6、l大学计算机系的研究生，编写了一段能自我复制和自我传播的蠕虫代码。 Morris从MIT把它释放进网络，不久发现蠕虫迅速复制和感染,信息安全的重要性,Robert Morris,大约有6,000台UNIX主机被它感染，其中有学校、军队等，占Internet总数的10%。 据GAO的统计，其造成的损失在$10100m。 Morris 被裁决触犯了1986 Computer Fraud and Abuse Act (Title 18)。 被判3年缓刑, 400小时公共服务和罚金 $10,000,信息安全的重要性,Robert Morris,As a Student As a Professor,信

7、息安全的重要性,Kevin Mitnick,网络世界迷失的男孩 第一个在FBI“Most Wanted”榜上有名的黑客。 1989年在缓刑期间失踪达两年之久，期间警察、FBI、司法执行官一直在追捕他。 1994年X-mas闯入位于San Diego, California 的Tsutomu Shimomura的计算机,信息安全的重要性,Kevin Mitnick,2003年1月20日， Mitnick从狱中释放。 条件是禁止接触计算机、从事计算机咨询或与计算机相关的工作,信息安全的重要性,Tsutomu Shimomura,在San Diego超级计算机中心从事计算物理和计算机安全的专家。 二

8、个月后， Tsutomu追踪到Mitnick的位置。 1995年2月15日在North Carolina的Raleigh, Mitnick被FBI逮捕,信息安全的重要性,Vladimir Levin,领导了第一次网络银行抢劫。 Levin是St. Petersburgs Tekhnologichesky University的生物化学的研究生。 Levin在英国伦敦使用笔记本电脑访问CITIBANK网络，得到了大量的客户代码和口令,信息安全的重要性,Vladimir Levin,在数周时间内通过18次登录，总共将$3.7 m的资金转移到the United States, Finland,th

9、e Netherlands, Germany, and Israel等由他控制的帐户中。 CITIBANK发现了这一情况并马上报警，1995年3月Levin在伦敦希思罗机场被捕。 CITIBANK只追回了$400,000,信息安全的重要性,Vladimir Levin,经过30个月的斗争，Levin最终被引渡到美国受审。 Levin被判3年监禁， 并支付给CITIBANK $240,015。其四个同伙也相应服刑,信息安全的重要性,安全攻击和安全机制,安全攻击指危及某个计算机系统的信息安全的任何行为。根据Steve Kent提出的方法，安全攻击可以分成被动攻击和主动攻击两类。 安全机制指用于检测

10、、防止或从安全攻击中恢复的一种机制,信息安全的重要性,安全攻击,信息安全的重要性,被动攻击：在传输中进行偷听或监视，目的是想获得信息或进行通信量分析。 被动攻击非常难以检测，因为它们不会导致信息的任何改变。 然而，防止这些攻击（如采用加密技术）还是可能的,被动攻击,截获（秘密,析出消息内容,通信量分析,被动攻击,信息安全的重要性,主动攻击：在攻击中对数据流进行篡改或产生一个虚假的数据流,主动攻击,伪装,重放,篡改,拒绝,主动攻击,信息安全的重要性,拒绝服务：禁止或扰乱网络设施的正常使用或管理 ; 篡改信息：一个合法消息的某些部分进行改变，或延迟消息或改变顺序； 伪装：指一个实体假装成一个不同的

11、实体，从而获得某些额外授权； 重放：通过被动获得一个数据单元后对它进行重传，以期得到一个未授权的效果,主动攻击,信息安全的重要性,在开放的网络体系结构中，要完全防止主动攻击是非常困难的，因为这需要对所有通信设施和路径进行物理保护。 而检测主动攻击则是可能的，并试图从任何破坏中予以恢复。 因此对于主动攻击，往往采用检测来达到防止的目的,主动攻击,信息安全的重要性,常见的攻击例子,口令猜测 地址欺骗(Spoofing) 连接盗用(Hijacking) 窃听（Sniffing) 业务否决(Denial of Service) 对域名系统和其他基础设施的破坏 利用Web破坏数据库,信息安全的重要性,安

12、全服务,安全服务指加强一个计算机信息系统和信息传输安全性的服务。该服务利用一种或多种安全机制来对抗安全攻击。 机密性（confidentiality) 鉴别（Authentication） 完整性(integrity) 不可抵赖(Nonrepudiation) 访问控制(Access Control) 可用性(availability,信息安全的重要性,信息安全的研究内容,基础理论研究 密码、安全理论 应用技术研究 安全实现技术、安全平台技术 安全管理研究 安全标准、安全策略、安全测评,信息安全的重要性,安全理论与技术,密码理论与技术 认证识别理论与技术 授权与访问控制 审计追踪 网间隔离与访

13、问代理技术 反病毒技术,信息安全的重要性,密码技术,信息加密算法 （对称、非对称） 数字签名算法,信息安全的重要性,系统安全技术,身份认证 口令、挑战/应答、Keberos 访问控制和授权 审计,信息安全的重要性,网络安全技术,防火墙技术 口令、挑战/应答、Keberos 安全保密网关技术 安全路由技术 VPN技术,信息安全的重要性,安全层次分析,信息安全的重要性,Internet网络安全技术,安全内核技术 安全等级制 身份鉴别技术 Kerberos Web安全技术 SSL SHTTP SOCKS协议 网络反病毒技术,防火墙技术 动态IP过滤技术 IP分片过滤技术 IP欺骗保护 地址转换 访问

14、控制 保密网关技术 面向信息与面向客户 综合安全与保密策略实现,信息安全的重要性,网络安全模型,信息安全的重要性,OSI安全体系结构,ISO7498-2：1989.2.15颁布，确立了基于OSI参考模型的七层协议之上的信息安全体系结构,信息安全的重要性,OSI安全体系结构,对等实体鉴别：在连接和传送数据时鉴别实体的身份。 数据源鉴别：在连接和传送数据时鉴别相应的协议实体。 访问控制服务：防止未得到授权的人访问不应该访问的网络资源。 连接保密、无连接保密、选择字段保密、分组流保密：防止将数据内容泄露给无权获得者。 可恢复连接完整性、不可恢复连接完整性、选择域连接完整性、无连接完整性、选择域无连接

15、完整性：防止他人利用网络修改传输数据，以保证发送/接收数据 的一致性。 数字签名：确认数据来源和接收,信息安全的重要性,ISO7498-2到TCP/IP的映射,信息安全的重要性,Internet安全协议,互连网层安全协议 IPSO（IP Security Option)RFC1108 美国国防部安全规范，仅适用军事封闭网 SwIPe 增强IP层安全的一个早期原型实例 1994年IETF/IPsec工作组： 制定IP安全协议(IPSP) 制定IP密钥管理协议(IPKMP) 1995年公布IPv6,增加了鉴别头(AH)和封装安全负载(ESP,信息安全的重要性,Internet安全协议,传输层安全协

16、议(Sockets & TLI) 安全套接层SSL(Secure Sockets Layer) 1995年12月公布v3, Netscape开发 1996年4月IETF/TLSG传输层安全工作组起草TLSP 微软提出SSL升级版本成为PCT(private communication technology) 主要问题 上层应用需要改变 使用X.509证书，由于X.500目录服务的领悟力极差，导致密钥分发和证书暴露许多问题。 需要一个全球密钥分发机制(CA），以DNS为基础，带来法律与政治问题,信息安全的重要性,Internet安全协议,应用层安全协议 PEM(Private Enhanced

17、Email) MIME对象安全服务(MOSS) S/MIME PGP S-HTTP SNMPv1和SNMPv2 E-Commerce SET 鉴别和密钥分发系统(Kerberos V5,Kryptoknight等) 其它问题(PKI,安全服务的层次,信息安全的重要性,Internet安全协议,基于TCP/IP协议的网络安全体系结构基础框架,IPv6 IPSEC ISAKMP,TCP SSL,UDP,PEM,MOSS,PGP,S/MIME,SHTTP,SSH,SNMPv2,Kerberos,网络层,传输层,应用层,信息安全的重要性,Internet安全协议,ISO7498-2映射而得的TCP/I

18、P各层安全服务与安全协议的对应关系,IP层,TCP层,IPSEC,鉴别,访问控制,保密性,完整性,抗否认,SSL,PEM,MOSS,S/MIME,PGP,SHTTP,SNMP,SSH,Kerberos,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,安全协议,层,应用层,信息安全的重要性,安全产品类型,根据我国目前信息网络系统安全的薄弱环节，近几年应重点发展安全保护、安全检测与监控类产品，相应发展应急反应和灾难恢复类产品。 信息保密产品 用户认证授权产品 安全平台/系统 网络安全检测监控设备,信息安全的重要性,安全产品类型,密 钥 管 理 产 品,高 性 能 加 密 芯 片 产 品,密 码 加 密

19、 产 品,数 字 签 名 产 品,安全授权认证产品,信息保密产品,数 字 证 书 管 理 系 统,用 户 安 全 认 证 卡,智 能 IC 卡,鉴 别 与 授 权 服 务 器,安全平台/系统,安 全 操 作 系 统,安 全 数 据 库 系 统,Web 安 全 平 台,安 全 路 由 器 与 虚 拟 专 用 网 络 产 品,网 络 病 毒 检 查 预 防 和 清 除 产 品,安全检测与监控产品,网 络 安 全 隐 患 扫 描 检 测 工 具,网 络 安 全 监 控 及 预 警 设 备,网 络 信 息 远 程 监 控 系 统,网 情 分 析 系 统,信息安全的重要性,从信息安全到信息保障,通信保密

20、（COMSEC）：60年代 计算机安全（COMPUSEC）：60-70年代 信息安全（INFOSEC）：80-90年代 信息保障（IA）：90年代,信息安全的重要性,什么是信息保障,Information Assurance 保护（Protect） 检测（Detect） 反应（React） 恢复（Restore,保护 Protect,检测 Detect,恢复 Restore,反应 React,IA,信息安全的重要性,PDRR,保护（Protect） 采用可能采取的手段保障信息的保密性、完整性、可用性、可控性和不可否认性。 检测（Detect） 利用高级术提供的工具检查系统存在的可能提供黑客攻击

21、、白领犯罪、病毒泛滥脆弱性。 反应（React） 对危及安全的事件、行为、过程及时作出响应处理，杜绝危害的进一步蔓延扩大，力求系统尚能提供正常服务。 恢复（Restore） 一旦系统遭到破坏，尽快恢复系统功能，尽早提供正常的服务,信息安全的重要性,信息安全法规,数字化生存需要什么样的法规 信息内容安全 网上交易安全 电子信息权利 如何规制信息内容 如何规制网上行为,信息安全的重要性,国际立法情况,美国 1) 信息自由法 2）个人隐私法 3）反腐败行径法 4）伪造访问设备和计算机欺骗滥用法 5）电子通信隐私法 6)计算机欺骗滥用法 7)计算机安全法 8)正当通信法（一度确立，后又推翻） 9)电讯

22、法,信息安全的重要性,美国关于密码的法规,加密 本土可以使用强密码（密钥托管、密钥恢复、TTP） 视为武器而禁止出口 可以出口密钥长度不超过40位的产品 后来表示可以放宽到128位 认证 出口限制相对加密宽松 2000年通过了数字签名法,信息安全的重要性,欧洲共同体,欧洲共同体是一个在欧洲范围内具有较强影响力的政府间组织。 为在共同体内正常地进行信息市场运做，该组织在诸多问题上建立了一系列法律，具体包括：竞争（反托拉斯）法；产品责任、商标和广告规定；知识产权保护；保护软件、数据和多媒体产品及在线版权；数据保护；跨境电子贸易；税收；司法问题等。这些法律若与其成员国原有国家法律相矛盾，则必须以共同

23、体的法律为准（1996年公布的国际市场商业绿皮书， 对上述问题有详细表述。）。 其成员国从七十年代末到八十年代初，先后制定并颁布了各自有关数据安全的法律,信息安全的重要性,新加坡,新加坡广播管理局（SBA）1996年7月11日宣布对互联网络实行管制，宣布实施分类许可证制度。该制度1996年7月15日生效。 它是一种自动取得许可证的制度，目的是鼓励正当使用互联网络，促进其在新加坡的健康发展。 它依据计算机空间的最基本标准谋求保护网络用户，尤其是年轻人，免受非法和不健康的信息传播之害。为减少许可证持有者的经营与管理负担，制度规定凡遵循分类许可证规定的服务均被认为自动取得了执照,信息安全的重要性,英

24、国,1996年以前，英国主要依据黄色出版物法、青少年保护法 、录像制品法 、禁止滥用电脑法和刑事司法与公共秩序修正条例惩处利用电脑和互联网络进行犯罪的行为。 1996年9月23日，英国政府颁布了第一个网络监管行业性法规三R安全规则。“三R”分别代表分级认定、举报告发、承担责任。法规旨在从网络上消除儿童色情内容和其他有害信息，对提供网络服务的机构、终端用户和编发信息的网络新闻组，尤其对网络提供者作了明确的职责分工,信息安全的重要性,俄罗斯,于1995年颁布了联邦信息、信息化和信息保护法。 法规强调了国家在建立信息资源和信息化中的责任是“旨在为完成俄联邦社会和经济发展的战略、战役任务，提供高效率、

25、高质量的信息保障创造条件”。 法规中明确界定了信息资源开放和保密的范畴，提出了保护信息的法律责任,信息安全的重要性,我国立法情况,为了加强对计算机犯罪的打击力度，在1997年对刑法进行重新修订时，加进了以下计算机犯罪的条款： 第二百八十五条 违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。 第二百八十六条 违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役,后果特别严重的，处五年以上有期徒刑。违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进

26、行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。 第二百八十七条 利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚,信息安全的重要性,国家条例和管理办法,计算机软件保护条例（1991年6月4日 ） 中华人民共和国计算机信息系统安全保护条例（1994年2月18日 ） 商用密码管理条例（1999年lO月7日 ） 互联网信息服务管理办法（2000年9月20日 ） 中华人民共和国电信条例（2000年9月25日 ） 全国人大常委会关于网络安全和信息安

27、全的决定 （2000年12月29日,信息安全的重要性,在保障互联网的运行安全方面,1侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统； 2故意制作、传播计算机病毒等破坏性程序，攻击计算机系统及通信网络，致使计算机系统及通信网络遭受损害； 3违反国家规定，擅自中断计算机网络或者通信服务，造成计算机网络或者通信系统不能正常运行,信息安全的重要性,计算机信息系统安全保护等级划分准则,1999年10月经过国家质量技术监督局批准发布 准则将计算机安全保护划分为以下五个级别： 第一级为用户自主保护级。 它的安全保护机制使用户具备自主安全保护的能力，保护用户的信息免受非法的读写破坏。 第二级为系统审

28、计保护级。 除具备第一级所有的安全保护功能外，要求创建和维护访问的审计跟踪记录，使所有的用户对自己的行为的合法性负责,信息安全的重要性,计算机安全保护等级(续,第三级为安全标记保护级。 除继承前一个级别的安全功能外，还要求以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制保护。 第四级为结构化保护级。 在继承前面安全级别安全功能的基础上，将安全保护机制划分为关键部分和非关键部分，对关键部分直接控制访问者对访问对象的存取，从而加强系统的抗渗透能力 第五级为访问验证保护级。 这一个级别特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动,信息安全的重要性,商用密码管理条例,目的：加强商用密码管理，保护信息安全，保护公民和