第一讲信息安全技术概论

第一讲安全问题概述安全威胁1.2信息安全概念与技术1.3安全标准1.5

1.1信息安全现状1

信息安全发展趋势1.6信息安全体系结构1.4信息安全现状1.1Internet的发展信息安全现状Internet用户数1.1百万信息安全现状Internet商业应用1.1信息安全现状安全问题日益突出网络与信息系统在变成”金库”,当然就会吸引大批合法或非法的”掏金者”,所以网络信息的安全与保密问题显得越来越重要。几乎每天都有各种各样的“黑客”故事：

1994年末

俄罗斯黑客弗拉基米尔·利文与其伙伴从圣彼得堡的一家小软件公司的联网计算机上，向美国名为CITYBANK银行发动了一连串攻击，通过电子转帐方式，从CITYBANK银行在纽约的计算机主机里窃取美1.1信息安全现状安全问题日益突出

元1100万。1996年8月17日

美国司法部的网络服务器遭到“黑客”入侵，并将“美国司法部”的主页改为“美国不公正部”，将司法部部长的照片换成了阿道夫·希特勒，将司法部徽章换成了纳粹党徽，并加上一幅色情女郎的图片作为所谓司法部部长的助手。1999年4月26日台湾人编制的CIH病毒的大爆发，有统计说我国1.1信息安全现状安全问题日益突出大陆受其影响的PC机总量达36万台之多。有人估计在这次事件中，经济损失高达近12亿元。2000年5月4日

一种名为“我爱你”（爱虫）的电脑病毒开始在全球各地迅速传播。据美国加利福尼亚州的名为“电脑经济”的研究机构发布的初步统计数据，“爱虫”大爆发两天之后，全球约有4500万台电脑被感染，造成的损失已经达到26亿美元。在以后几天里，“爱虫“1.1信息安全现状安全问题日益突出病毒所造成的损失以每天10亿美元到15亿美元的幅度增加。2001年2月8日（春节）新浪网遭受攻击，电子邮件服务器瘫痪了18个小时，造成几百万用户无法通过邮箱联系。广东的163..net的免费邮箱遭受攻击，域名被修改，同样造成用户无法正常使用。。。。。。。。。。。。。。。。。1.1信息安全现状安全问题日益突出1.1混合型威胁(RedCode,Nimda)拒绝服务攻击(Yahoo!,eBay)发送大量邮件的病毒(LoveLetter/Melissa)多变形病毒(Tequila)特洛伊木马病毒网络入侵70,00060,00050,00040,00030,00020,00010,000已知威胁的数量信息安全现状我国信息安全现状a)信息与网络安全的防护能力较弱。

对我国金融系统计算机网络现状，专家们有一形象的比喻：用不加锁的储柜存放资金（网络缺乏安全防护）；让“公共汽车”运送钞票（网络缺乏安全保障）；使用“邮寄”传送资金（转账支付缺乏安全渠道）；用“商店柜台”存取资金（授权缺乏安全措施）；拿“平信”邮寄机密信息（敏感信息缺乏保密措施）等。

1.1信息安全现状我国信息安全现状b)对引进的信息技术和设备缺乏保护信息安全所必不可少的有效管理和技术改造。

我国从发达国家和跨国公司引进和购买了大量的信息技术和设备。在这些关键设备如电脑硬件、软件中，有一部分可能隐藏着“特洛伊木马”，对我国政治、经济、军事等的安全存在着巨大的潜在威胁。但由于受技术水平等的限制，许多单位和部门对从国外，特别是美国等引进的关键信息设备可能预做手脚的情况却无从检测和排除。1.1信息安全现状我国信息安全现状c)基础信息产业薄弱，核心技术严重依赖国外。

硬件：电脑制造业有很大的进步，但其中许多核心部件都是原始设备制造商的，我们对其的研发、生产能力很弱，关键部位完全处于受制于人的地位。软件：面临市场垄断和价格歧视的威胁。美国微软几乎垄断了我国电脑软件的基础和核心市场。离开了微软的操作系统，国产的大多软件都失去了操作平台。1.1信息安全现状我国信息安全现状d)信息安全管理机构缺乏权威。信息安全特别是在经济等领域的安全管理条块分割、相互隔离，缺乏沟通和协调。没有国家级的信息安全最高权威机构以及与国家信息化进程相一致的信息安全工程规划。目前国家信息安全的总体框架已经搭就。已制定报批和发布了有关信息技术安全的一系列的国家标准、国家军用标准。1.1信息安全现状我国信息安全现状e)信息犯罪在我国有快速发展之趋势。随着信息设备特别是互联网的大幅普及，各类信息犯罪活动亦呈现出快速发展之势。以金融业计算机犯罪为例，从1986年发现第一起银行计算机犯罪案起，发案率每年以30％的速度递增。各种电脑病毒及黑客对计算机网络的侵害亦屡屡发生。据不完全统计，我国目前已发现的计算机病毒约有大概2000～3000多种，而且还在以更快的速度增加着。1.1信息安全现状我国信息安全现状f)信息安全技术及设备的研发和应用有待提高。近年来，我国在立法和依法管理方面加大力度，推进计算机信息网络安全技术和产品的研究、开发和应用，建立了计算机病毒防治产品检验中心、计算机信息系统安全专用产品质量检验中心，加强了对计算机信息网络安全产品的管理。目前，我国信息网络安全技术及产品发展迅速，其中，计算机病毒防治、防火墙、安全网管、黑客入侵检测及预警、网络安全漏洞扫描、主页自动保护、有害信息1.1信息狐安全扒现状我国造信息慕安全穗现状f)信息泰安全行技术袖及设开备的潜研发盈和应定用有氧待提侦高。检测越、访痒问控航制等待一些漆关键辅性产宅品已延实现挤国产吹化。但是寨，正渐如《国家揪信息燃安全重报告》强调深指出庆的：横“这些产轿品安俩全技设术的南完善烈性、峡规范析性、坝实用像性还猎存在许多饰不足某，特列别是著在多悲平台稀的兼页容性竹、多斗协议柳的适应性汤、多磨接口呀的满帖足性悟方面顺存在间很大粪距离序，理斜论基础和榴自主使技术签手段定也需培要发碎展和思强化量。”1.序1安全里隐患a)硬件蒜的安蚕全隐怀患；b)操作喊系统器安全恐隐患莲；c)网络踩协议营的安桃全隐尤患；d)数据允库系司统安相全隐迫患；e)计算样机病洽毒；f)管理暖疏漏骄，内事部作进案。安全扯威胁1.减2安全耍隐患a)硬件炎的安池全隐选患CP抱U:籍In平te悬l公司气在奔耻腾II代I缴CP额U中加逃入处楚理器钢序列哥号，惹因此In泊te炕l涉嫌尸干涉头个人乡丰隐私投，但江要害横问题彼则是笔政府拐机关颤、重辜要部色门非仔常关票心由浅这种CP陷U制造苍的计怀算机秆在处烟理信拢息或睁数据鹿时所热带来横的信副息安员全问悄题，显即这恐种CP慰U内含涛有一益个全支球唯壳一的亿序列筋号，拐计算壤机所每产生桥的文波件和林数据懒都会沉附着墓此序辞列号抄，因裙而由鞋此序女列号莲可以上追查缩慧到产悠生文偶件和切数据抚的任俊何机牧器。安全途威胁1.煎2安全梅隐患a)硬件宜的安孕全隐喘患网络确设备:我国干计算却机网跟络使轧用的晋绝大呈部分蚊网络蜡设备咏，如袋路由族器、摘集线慨器、食交换败机、鞭服务盼器、篇以及赚网络她软件程等都级是进闻口的样，其皆安全舒隐患排不容湾忽视皇。一螺些交斜换机匹和路忌由器念具有角远程鹿诊断疗和服双务功谈能，善既然题可以四远程线进入丙系统死服务内、维茫修故秧障，运也就瘦可以偿远程督进入削系统叫了解买情报喷、越雀权控究制。钳更有蛋甚者垒，国款外一弦著名侄网络蹲公司略以"跟踪征服务"为由库，在尤路由偷器中俯设下"机关"、可鹊以将仇网络万中用估户的堪包信城息同淋时送糖一份浴到其节公司予总部嫂。安全休威胁1.茅2安全黎隐患b)操作爹系统役安全忘隐患计算镜机操吐作系象统历缺来被父美国坛一些钱大公屿司所语垄断持，但川这些疼操作奸系统帽的源刑程序枕都是梅不公仙开的荡，在所安全症机制烈方面倍存在冷着诸惩多漏密洞和展隐患央。计寨算机贝黑客炎能轻啊而易累举地词从“床后门椅”进煤入系浪统，励取得提系统激控制偿权，笑并危就及计烤算机是处理确或存兼储的称重要摸数据罪。如Wi勉nd城ow君s9法5存在镰两千引多处奥缺陷狸。OS的体狸系结艰构造健成其笨本身法不安京全：I/泉O、系秤统服楼务程指序等仍都可阻用打仪补丁舰方式牛进行尖动态突连接咐。安全觉威胁1.遮2安全访隐患c)网络担协议汤的安敏全隐网患网络弊协议障也都壁由美扎国等培国家嘴开发筒或制土定标穗准。抹其安窗全机但制也匠存在泰先天小不足堵，协扒议还敏具有象许多在安全畜漏洞蒸，为员攻击茧者提搁供了象方便板，如鸡地址市欺骗坐等。In祖te后rn杠et应用遵协议流中缺蛙乏认意证、蝴保密里等措勇施，尝也使调攻击献者比鹊较容卧易得胀手。TC戚P/储IP协议槽安全细漏洞六：包京监视培、泄鲁露、裤地址湖欺骗让、序清列号双攻击蹲、路股由攻围击、轻拒绝量服务坦、鉴梅别攻米击。诞应用抽层安洗全隐棕患：Fi见ng肌er、FT恢P、Te谣ln怖et、E-帅ma白il、SN纷MP、RP剖C、NF粮S。安全抖威胁1.太2安全俊隐患d)数据爆库系轮统安纱全隐殊患由于扰数据办库平碰台全孙系引她进，宰尽管月厂商串声称社具有床安全喊机制六，但轧对国卸内用迁户犹万如一奇个"黑匣使子"。数据钢库的饺攻击呜分直匙接攻酬击和泰间接撕攻击谎两大鸽类。垮直接精攻击件是通鼻过查造询以但得到旷几个脉记录礼来直惑接搜践索并榆确定首敏感贩字段笑的值事，最井成功姻的技抖术是都形成宿一种御特定渐的查爽询它低恰与矮一个邮数据庆项相袄匹配要。间蹄接攻剖击是认依据队一种康或多角种统汪计值画推断系出结歌果。灿统计剂攻击胖通过夸使用永某些商明显靠隐匿回的统恋计量败来推谦导出久数据鸽，例妄如使薯用求值和等农统计要数据祥来得彩到某广些数去据。安全戴威胁1.星2安全黄隐患e)计算金机病卵毒威躬胁计算靠机病戒毒是假一种器能够迫进行涝自我建复制粘的程邮序，蓄可以毅通过勿多种驰方式纵植入佛计算赔机中剥，通已过In测te迫rn醋et网植属入病脸毒更知容易猪。病猜毒运怪行后叉可能坡损坏置文件侦、使息系统稻瘫痪响，造黄成各希种难田以预捎料的距后果财。由伪于在沿网络碰环境虹下，矮计算摸机病姜毒具虎有不泻可估辣量的饶威胁叨性和权破坏宽力，价因此织计算忆机病屠毒的川防范猴是网邪络安缸全性冶建设睬中重索要的缝一环宜。新盼的病希毒不序仅删少除文接件、告使数鹿据丢厚失，鹅甚至衡破坏吼系统哈硬件跳，可驰以造示成巨氧大损狗失。19缸88年美那国“虚莫里要斯”博病毒泻发作袜，一削天之拴内使60悔00多台揭计算趣机感动染，吩损失滥达90望00万美听元。安全坊威胁1.质2安全太隐患f)管理缓疏漏小，内睁部作伏案据权译威资戏料片《筑起芝网上驾长城》介绍述，互炊联网盟上的挽计算栏机犯胀罪、饥黑客梳攻击珍等非趟法行击为７俩０％局来自时于内妥部网迎络。涛金融座、证彩券、驻邮电施、科械研院漏所、王设计帆院、部政府粒机关美等单恭位几豆乎是莫天生忍的受休攻击颈者，耽内部肢人员跳对本抽单位停局域重网的哑熟悉组又加镰剧了歇其作造案和美被外弓部人岩勾结逃引诱轮的可播能性腊。安全喉威胁1.蝴2网络舌攻击描的分享类安全益威胁1.切2网络就攻击完的分毫类安全撞威胁1.奥2常见事的安次全威满胁安全爹威胁1.段2网络內部、外部洩密拒绝服务攻击特洛伊木马黑客攻击病毒，蠕虫系统漏洞潜信道信息克安全耳概念粗与技榴术1.恩3信息作安全盼的概锋念信息寸安全亿：指计搬算机杂信息筒系统本的硬售件、蛛软件熄、网络及晒其系均统中券的数鲜据受猎到保晕护，再不受偶偶然副的或径者恶意的猫原因丧而遭谷到破居坏、跳更改抓、泄骗露，拍系统雾连续进可靠正常众地运续行，学信息炒服务恐不中毅断。信息滔安全璃主要镰涉及询到信芳息存滨储的住安全歇、信贩息传秆输的安忽全以研及对摧网络晓传输愿信息妥内容骗的审隶计三壁方面叔。它研究载计算凳机系违统和浴通信镜网络醒内信障息的览保护丛方法码。信息俊安全剩的内彻涵(要素)：计算察机信茂息安罢全应唇该具备以毁下五役方面迁的特盟征：信息掉安全率概念居与技号术1.早3防止康通信激中的内任一币实体须否认尊它过鞭去执算行的侦某个英操作饰或者珍行为不可否认性可控性可用性完整性机密性可以控制授权范围内的信息流向及行为方式确保信息不暴露给未授权的实体或进程只有得到允许的人才能修改数据，并且能够辨别数据是否已被修改得到授权的实体在需要时可以访问数据，即攻击者不能占用所有资源而阻碍授权者的工作信息庸安全僻概念光与技舱术的1.脊3信息秀安全勺主要貌内容计算团机信皮息安思全系蹈统的毁构成膜：a)信道备：数茫据流挨的载湿体；b)网络地：提庸供各踢实体栽间数定据的纵交换农；c)传输创协议和：信微息交础换的感特定嘉“语羡言”沃；d)主机版系统遮：数奴据到溪信息兽的转原换、酿处理煌、存歌储；e)数据监库系千统：责信息喊的组壶织机胶构；f)应用灶系统桑：信圣息价恩值的茂最终驻体现侵；由上珠可以套知道晶，计贪算机垫信息现系统玻安全妻涉及扔到计袜算机硬利件、始软件加、网院络、佣人等屋诸多及因素测，是欠一项尺很复杂的劝工程裳。对腰应于恒以上貌信息程系统歼的构室成，迈可知逗，信信息门安全弯概念崇与技它术1.埋3信息原安全鞋主要颜内容息安舅全的激主要糟研究闸内容盯应包对含以结下几防点：a)数据窃保密泪通信数据赢编码数据击加密加密/解密浸算法加密/解密乞设备数据隔压缩数据救安全降传输b)网络盐安全信息堤安全抢概念某与技丽术1.涉3信息棉安全芦主要富内容协议设施c)主机涌安全d)操作射系统厨安全e)应用爬安全f)数据贿库安眼全g)信息览安全及管理h)信息故安全丸法律冻与标管准信息盏安全缺概念趣与技帽术1.那3信息恋安全凳技术密码逝技术势（加阵密、雹标记敞）认证墙识别蚊技术思（I&房诚A）c)授权爆与访罩问控泪制技害术d)审计结追踪步技术e)网间扣隔离喇与访拥问代域理技毙术f)反病捆毒技损术g)容错蔽与灾运难恢浮复技来术信息无安全去体系米结构OS具I安全励体系螺结构1.怕4物理层链路层网络层传输层会话层表示层应用层认证访问控制数据完整性数据保密性抗否认加密数字签名访问控制数据完整性认证交换业务流填充路由控制公证O安全服务安全机制OSI参考模型信息侍安全甲体系精结构OS充I安全溪体系湾结构朽（五大成安全征服务）认证勿服务：提供齿对通创信中慕对等柳实体顾和数锁据来纠源的认响证；访问旅控制含服务：对资甜源提疏供保哲护，掠以对锻抗其贝非授权阵使用核和操姜纵；数据第保密酷性服慕务：保护厉信息浊不被雕泄露庭或暴住露给未授彻权的键实体貌；数据穿完整甩性服据务：对数灵据提得供保港护，稍以对尼抗未授权上的改插变、搞删除享或替舞代；抗否校认性券服务：防止腐参与粉某次饿通信赴交换取的任辟何一方呀事后膏否认券本次河通信追或通娃信的岭内容脸。1.属4信息李安全贝体系猴结构OS解I安全揭体系浸结构尿（八大柄安全昌机制）为了甩实现彻安全伞体系忆结构洲中五雨大类捐安全况服务付，GB／T塔93粉87架.2盆—1具99湿5制定眉了八蜂种基农本安商全机协制。加密轧机制数字脊签名德机制访问至控制侮机制数据渴完整魔性机每制认证赏机制业务况填充绵机制路由轿控制陵机制公证龄机制1.嘴4信息漆安全声体系示结构TC甩P/头IP安全妥体系框结构1.标4网络层IP/IPSecS/MIMEPGPSETTCP

SMTPUDPKerberosHTTP

SSLorTLSFTP传输层应用层信息责安全阿标准1.被5国外得信息辨安全护标准a)市2掠0世纪70年代舞，美扭国国叹防部田制定粥“可借信计间算机湖系统井安全银评价脖准则病”（TC每SE陈C)，为斯安全缎信息吹系统盛体系压结构仁最早痛准则份（只梯考虑藏保密伯性）盟；b)扣2题0世纪90年代角，英涛、法坐、德垂、荷脂提出清包括饭保密嫌性、玻完整堤性、悉可用厦性概闻念的逗“信皂息技滑术安稠全评罚价准着则”战（IT者SE遮C)，但待未给淡出综胃合解昂决以崭上问通题的勿理论珍模型羡和方访案；c)近年跳，六语国（皆美、子加、熄英、孤法、屠德、形荷）响共同奏提出圆“信纵息技酱术安场全评碎价通文用准锹则”冒（CC滨f肆or格IT沃SE添C)。信息易安全访标准1.情5TC观SE压C安全案级别类别级别名称主要特征DD低级保护没有安全保护CC1自主安全保护自主存储控制C2受控存储控制单独的可查性，安全标识BB1标识的安全保护强制存取控制，安全标识B2结构化保护面向安全的体系结构，较好的抗渗透能力B3安全区域存取控制，高抗渗透能力AA验证设计形式化的最高级描述和验证信息隔安全结标准1.隶5国内分信息窗安全腿标准《计算驳机信员息系亏统安盛全保游护等愤级划尿分准寒则》已经正式岭颁布膊，并险于20醒01年1月1日起闪实施冈。该漫准则样将信谱息系统岩安全底分为5个等术级:a)自主撤保护吹级：相牢当于C1级b)系统践审计绘保护谎级：相划当于C2级c)安全平标记普保护饼级：相消当于B1级风属于毯强制识保护d)结构天化保设护级:相当迫于B2级e)访问瓜验证烤保护寄级：相魄当于B3尿~A鄙1级信息省安全凭发展道趋势1.始6从信牺息安营全到事信息惹保障单机系统的信息保密阶段网络信息安全阶段信息保障阶段信息温保密朱技术圈，发喜展各毙种密墙码算辣法信息夸安全尼与防鸣护技轨术（忧被动舞防御耐）综合之利用年保护夸、探雹测和亏反应抚能力穿以恢闹复系寄统的犯功能砍（主耻动防家御）保护检测恢复响应信息保障采用找一切所手段联（