信息安全问题的思考与对策

信息系统安全第一讲信息系统安全的基本概念张焕国武汉大学计算机学院目录1、信息系统安全的基本概念2、密码学(1)3、密码学(2)4、操作系统安全(1)5、操作系统安全(2)6、数据库安全(1)7、数据库安全(2)8、可信计算(1)9、可信计算(2)一、信息与信息安全一、二十一世纪是信息时代信息成为社会发展的重要战略资源，信息技术改变着人们的生活和工作方式。信息产业成为世界第一大产业。社会的信息化已成为当今世界发展的潮流。信息的获取、处理和信息保障能力成为综合国力的重要组成部分。

信息安全事关国家安全，事关社会稳定。●世界领导人的论述

江泽民：大力推进信息化进程，高度重视信息网络安全。江泽民：积极发展，加强管理，趋利避害，为我所用，努力在全球信息网络化的发展中占据主动地位。

克林顿：谁掌握了信息，谁就掌握了主动。

普京：信息资源及其基础设施成为角逐世界领导地位的舞台。●世界领导人的论述

胡锦涛：信息安全是个大问题，必须把信息安全问题放到致关重要的位置上，认真加以考虑和解决。

温加宝：面对多变的国际环境和互联网的广泛应用，我国信息安全问题日益突出。加入世界贸易组织、发展电子政务等，对信息的安全保障提出了新的、更高的要求。必须从经济发展、社会稳定、国家安全、公共利益的高度，充分认识信息安全的极端重要性。●十六大的论述

要优先发展信息产业，在经济和社会领域广泛应用信息技术。

以信息化带动工业化，以工业化促进信息化。

国家安全：

国防安全，政治安全，经济安全， 信息安全

二、信息技术与产业正处于空前繁荣的阶段信息社会正按新摩尔定律飞速发展。芯片集成度、CPU处理能力、通信传输速率，每18个月翻一番。全球Internet网的发展每6个月翻一番。IT行业人才每18个月换一茬。全球IT产业成为全球第一大产业，超过金融、石油、汽车、钢铁。新一代计算机正孕育突破光计算机：光通信和光存储已经成功解决；光计算尚未解决：生物计算机：DNA计算机具有高速、节能等突出特点；DNA计算机已可以解数学难题，可玩游戏；利用DNA计算进行密码破译取得进展。DNA密码：基于生物信息中的困难问题

对于各种计算机的攻击都是免疫的新一代计算机正孕育突破量子计算机：量子通信：2007年中外科学家的量子通信实验都突破100公里。量子计算：2007年2月加拿大的D-WaveSystem公司宣布研制出世界上第一台商用16量子位(qubit)的量子计算机，并且宣布于2007年底将量子计算机的规模提高到32位量子位，于2008年底再提高到512甚至1024量子位。

如果量子计算机实用化将可攻破现有的密码；新一代计算机正孕育突破量子计算机：量子密码

①在唯密文攻击下绝对安全的密码。

②逐步走向实用。

③2007年我国宣布：

国际上首个量子密码通信网络由我国科学家在北京测试运行成功。这是迄今为止国际公开报道的唯一无中转、可同时、任意互通的量子密码通信网络，标志着量子保密通信技术从点对点方式向网络化迈出了关键一步。

Internet已已成为我们们生活和工工作中不可可分割的重重要组成部部分。我国INTERNET的用户量居居世界第1位。全球移动通通信用户超超过10亿亿，年增长长50％。。07年我国国手机拥有有量高达6亿部，居居世界第1位。我国普通电电话装机4亿多台，，居世界第1位。我国有线电电视用户数数，居世界第一一。我国居世界界第一的电电子产品：：电视机、收收录机、VCD视盘盘机、电话话机、电子子表、计算算器、电冰冰箱、空调调机等；我国已成为为信息产业业大国我国在高档档和基础性性IT技术术方面尚落落后：集成电路、、超级计算算机、高级级电子仪器器系统软件、、行业应用用软件我国已成为为信息产业业大国三、信息安安全问题严严重由于信息是是重要的战战略资源，，计算机系系统集中管管理着国家家和企业的的政治、军军事、金融融、商务等等重要信息息，因此计计算机系统统成为不法法分子的主主要攻击目目标。又由由于计算机机系统本身身的脆弱性性和网络的的开放性，，使得信息息安全成为为世人关注注的社会问问题。当前前，信息安全的的现状是严严重的。三、信息安安全问题严严重1、敌对势势力的破坏坏◆2002年在江泽民民主席的767专机上查出出27个窃听器。。◆2002年和2003年法轮功分分子三次攻攻击鑫诺卫卫星。把信信息对抗引引入到空间间领域。2、黑客入入侵◆2000年年2月7日日起的一周周内，黑客客对美国的的雅互等著著名网站发发动攻击，，致使这些些网战瘫痪痪，造成直直接经济损损失12亿亿美元。我我国的163网战也也陷入困境境。◆2001年年5月1日日前后，发发生了一场场网上“中美美黑客大战战”，双方互互相攻击对对方的网站站，双方都都有很大损损失。这场场网上大战战，给我们留下下深刻的思思考。◆2003年年1月25日13时时30分到到19时30分的6个小时内内，亚洲、、北美和欧欧洲的NTERNET网络全部陷陷入瘫痪和和半瘫痪状状态。可能的原因因：●反战黑客反反对美国对对伊动武，，对美国网网络发动攻击击；●美国为对伊伊实施网络络战在作准准备；●新计算机病病毒。3、利用计计算机进行行经济犯罪罪◆利用计算机机进行经济济犯罪超过过普通经济济犯罪。。◆我国利用计计算机进行行经济犯罪罪的发案率率每年高速速度递增。。4、计算机机病毒严重重危害信息息安全◆计算机病毒毒已超过2万多种种，而且还还在继续增增加。◆我国成为病病毒制造大大国◆病毒新趋势势：追求经经济和政治治目的，团团体作案◆信息技术的的发展促进进了军事革革命，信息息战、网络络战成为重重要作战形形式。◆两次海湾战战争中美国国都实施了了信息战。。美国、韩国国、以色列列都成立了了网络作战战部队。◆2003年年的伊拉克战争争中美军使使用电子炸弹，，发出微波波脉冲，可可损坏几百百米内的计计算机和通通信设备。。◆2007年年美国成立立网络作战战司令部5、信息战6、我国基础信信息技术受受控于国外外◆主要的集成成电路芯片片依赖进口口在集成电路路中植入病病毒、后门门、窃听器器是容易的的◆操作系统依依赖国外:所有操作系系统都有后后门；BIOS也有后门和和漏洞；◆微软开放WINDOWS源码：不是全面开开放；不支支持编译比比对；不支支持测试7、中办发[2003]27号文文件2003.9.7◆网络和信息息系统的防防护水平不不高，应急急处理能力力不强。◆信息安全管管理和技术术人才缺乏乏。◆关键技术整整体上还比比较落后。。◆产业缺乏核核心竞争力力。◆全社会的信信息安全意意识不强。。◆信息安全管管理薄弱。。8、教育部文件件2005.4.26《教育部关关于进一步步加强信息息安全学科科、专业建建设和人才才培养工作作的意见》》◆信息安全学学科建设。。◆信息安全人人才培养。。2007年年1月成立立了“教育育部信息安安全类专业业教学指导导委员会””，并已启启动2个教教学科研项项目。2007年年11月在在武汉大学学召开“第第一届中国国信息安全全学科建设设与人才培培养会议””。9、四部委文件件2006.1.17《信息安全全等级保护护管理办法法》◆加强信息安安全等级保保护。◆规范信息安安全登记保保护管理。。◆提高信息安安全保障能能力和水平平；◆维护国家安安全、社会会稳定和公公共利益。。10、国家家信息化领领导小组第第三次会议议2006.7《关于加强强信息安全全保障工作作的意见》》“坚持积极防防御、综合合防范的方方针，在全全面提高信信息安全防防护能力的的同时，重重点保障基基础网络和和重要系统统的安全。。完善信息息安全监控控体系，建建立信息安安全的有效效机制和应应急处理机机制。”11、我国国政府重视视信息安全全技术与产产业的发展展国家在成都都、上海、、武汉建立立信息安全全产业基地地；2001年年武汉大学学创建全国国第一个信信息安全本本科专业。目前全国国建立信息息安全专业业的大学超超过70所所。2003年年武汉大学学创建了信信息安全硕硕士点、博博士点、博博士后流动动站。目前前设立信息息安全博士士点的院校校已经增多多。我国信息安安全学科和和人才培养养进入热潮潮阶段。四、信息安全问问题的技术术根源1、微机的安全结结构过于简简单微机是个人人计算机（PersonalComputer）去掉了许多多成熟的安安全机制存储器的隔隔离保护程序校验程序的执行行不经过认认证病毒、蠕虫虫、木马执行程序可可被随意修修改病毒、蠕虫虫、木马系统区区域的的数据据随意意修改改病毒、、蠕虫虫四、信息安安全问问题的的技术术根源源2、信息技技术的的发展展使微微机变变成公公用计计算机机个人计计算机机家庭计计算机机办公计计算机机四、信息安安全问问题的的技术术根源源3、网络的的发展展使微微机变变成网网络中中的一一部分分网络连接突突破了了计算算机机机房的的地理理隔离离信息的的I/O扩大到到整个个网络络Internet网网络缺缺少安安全设设计Internet网网络无无政府府状态态网络协协议存存在安安全缺缺陷和和漏洞洞正确的的协议议也可可被利利用进进行攻攻击DOS四、信息安安全问问题的的技术术根源源4、操作系系统存存在安安全缺缺陷操作系系统太太庞大大操作系系统不不可能能做到到完全全正确确缺陷造造成的的功能能故障障，往往往可可忽略略缺陷被被攻击击者利利用所所造成成的安安全后后果，，却不不能忽忽略五、信息安安全的的基本本概念念计算机机系统统的安安全服服务功功能：：国际标标准化化组织织ISO在在其网网络安安全体体系设设计标标准（（ISO7498－2）中中定义义：身份认认证服服务，访问控控制服服务，，数据加加密服服务，，数据完完整性性服务务，不可否否认服服务,安全审审计。五、信息安安全的的基本本概念念1、信息系系统安安全的的概念念能源、、材料料、信信息是是支撑撑现代代社会会大厦厦的支支柱！！能源、、材料料是物物质的的、具具体的的信息是是逻辑辑的、、抽象象的信息不不能脱脱离信信息系系统而而独立立存在在！信息系系统的的安全全包括括四个个层面面的安安全：：信息系系统安安全＝＝设备安安全＋＋数据据安全全＋内内容安安全＋＋行为为安全全中文词词安全＝Security+SafetySecurity是指阻阻止人人为恶恶意地地对安安全的的危害害。Safety是指阻阻止非非人为为对安安全的的危害害。五、信息安安全的的基本本概念念1、信息系系统安安全的的概念念①信息设设备安安全的的概念念信息设设备的的安全全是信信息系系统安安全的的首要要问题题。三个侧侧面：：设备的的稳定定性(Stability)，设备备的可可靠性性(Reliability)，设备备的可可用性性(Availabity)。设备：：硬设备备，软软设备备②数据据安全全IBM公司司的定定义：：采取措措施确确保数数据免免受未未授权权的泄泄露、、篡改改和毁毁坏。。说明：：这个个定义义明确确了信信息安安全的的三个个侧面面：数数据的的秘密性性(Secrecy)，数数据的的真实性性(Authenticity)，，数据据的完整性性(Integrity)。这个定定义还还说明明了，，为了了信息息安全全必须须采取取措施施，必必须付出代代价，代价价就是是资源源（时时间和和空间间）。。五、信息安安全的的基本本概念念③内容容安全全内容安安全是是信息息安全全在法法律、、政治治、道道德层层次上上的要要求。。政治上上健康康符合国国家法法律法法规符合中中华民民族道道德规规范五、信息安安全的的基本本概念念④行为为安全全行为安安全是是信息息安全全的终终极目目的。。符合哲哲学上上，实实践是是检验验真理理的唯唯一标标准的的原理理。从过过去去的的仅仅看看身身份份，，发发展展为为既既看看身身份份更更看看行行为为。三个个侧侧面面：：行为为的的秘秘密密性性：：行行为为不不能能危危害害数数据据秘秘密密性性行为为的的完完整整性性：：行行为为不不能能危危害害数数据据完完整整性性，，行行为为的的过过程程和和目目标标是是预预期期的的行为为的的可可控控性性：：当当行行为为的的过过程程出出现现偏偏离离预预期期时时，，能能够够发发现现、、控控制制或或纠纠正正五、、信息息安安全全的的基基本本概概念念3、、信息息安安全全措措施施信息息安全全措措施施＝＝{法法律律措施施，教教育育措施施，管管理理措施施，技技术术措施施，······}注意意：：决不不能能低低估估法法律律、、教教育育、、管管理理的的作作用用，，许许多多时时候候它它们们的的作作用用大大于于技技术术。。确保保信信息息安安全全是是一一个个系系统统工工程程，，必必须须综综合合采采取取各各种种措措施施才才能能奏奏效效。信息息安安全全的的技技术术措措施施信息息安安全全技技术术措措施施＝＝{硬硬件件系系统统安安全全、、操操作作系系统统安安全全、、密密码码技技术术、、网网络络通通信信安安全全、、数数据据库库安安全全、、病病毒毒防防治治技技术术，，防防电电磁磁辐辐射射技技术术，，信信息息隐隐藏藏技技术术，，电电子子对对抗抗技技术术，，容容错错技技术术，，······}。。注意意：：硬件件系系统统和和操操作作系系统统安安全全是是基基础础，，密密码码、、网网络络安安全全等等是是关关键键技技术术。信息息安安全全的的管管理理措措施施信息息安安全全管管理理措措施施既既包包括括信信息息设设备备、、机机房房的的安安全全管管理理，，又又包包括括对对人人的的安安全全管管理理，，其其中中对人人的的管管理理是是最最主主要要的的。。“三三分分技技术术，，七七分分管管理理。。””目前前，，计计算算机机网网络络系系统统安安全全的的最最大大威威胁胁之之一一是是计计算算机机网网络络的的安安全全监监管管。。信息息安安全全的的法法律律措措施施信息息安安全全措措施施包包括括各各级级政政府府关关于于信息息安安全全的的各各种种法法律律、、法法规规。信息息安安全全的的教教育育措措施施◆对人人的的思思想想品品德德教教育育、、安安全全意意识识教教育育、、安安全全法法规规的的教教育育等等。。◆国内外外的计计算机机犯罪罪事件件都是是人的的思想想品德德出问问题造造成的的。信息安安全是是一个个系统统工程程必须须综合合采取取各种种措施施才能能奏效效。六、信信息安安全的的理论论与技技术1、理论上上信息息安全全问题题是一一个不不可判判定问问题。。①不不可判判定是是算法法学的的概念念；②Security研究的的本质质上是是人与与人的的斗争争；2、信息系系统安安全：：硬件结结构安安全和和操作作系统统安全全是基基础，，密码码、网网络安安全等等是关关键技技术。。3、密码学学的理理论基基础是是信息息论和和计算算复杂杂性理理论。。只能证证明一一个密密码是是不安安全的的，而而不能能证明明其是是安全全的的。理论上上安全全的密密码是是存在在的任何可可实用用的密密码都都是可可破译译的4、系统结结构安安全、、网络络安全全、操操作系系统安安全等等尚缺缺少完完备的的理论论基础础，因因而缺缺少完完善的的方法法和满满意效效果。。六、信信息安安全的的理论论与技技术5、信息论论呈现现出局局限性性①商农信信息论论的模模型：：点点点通信信模型型CAB②网络、、操作作系统统都不不能用用点点点通信信的模模型描描述；；③信息论论解决决了信信息传传输和和存储储中的的安全全问题题，没没有涉涉及信信息处处理中中的安安全问问题；；④密码不不能解解决信信息处处理的的安全全问题题：如如病毒毒；六、信信息安安全的的理论论与技技术信道AB人为攻攻击干扰信道人为攻攻击网络系系统人为攻攻击网络系系统人为攻攻击干扰BA5、信信息论论呈现现出局局限性性谢谢谢！！9、静夜四无无邻，荒居居旧业贫。。。12月-2212月-22Thursday,December29,202210、雨中黄叶叶树，灯下下白头人。。。03:48:5603:48:5603:4812/29/20223:48:56AM11、以我独独沈久，，愧君相相见频。。。12月-2203:48:5603:48Dec-2229-Dec-2212、故故人人江江海海别别，，几几度度隔隔山山川川。。。。03:48:5603:48:5603:48Thursday,December29,202213、乍见见翻疑疑梦，，相悲悲各问问年。。。12月月-2212月月-2203:48:5603:48:56December29,202214、他他乡乡生生白白发发，，旧旧国国见见青青山山。。。。29十十二二月月20223:48:56上上午午03:48:5612月月-2215、比不不了得得就不不比，，得不不到的的就不不要。。。。十二月月223:48上上午午12月月-2203:48December29,202216、行动出成成果，工作作出财富。。。2022/12/293:48:5603:48:5629December202217、做做前前，，能能够够环环视视四四周周；；做做时时，，你你只只能能或或者者最最好好沿沿着着以以脚脚为为起起点点的的射射线线向向前前。。。。3:48:56上上午午3:48上上午午03:48:5612月月-229、没有失败败，只有暂暂时停止成成功！。12月-2212月-22Thursday,December29,202210、很多多事情情努力力了未未必有有结果果，但但是不不努力力却什什么改改变也也没有有。。。03:48:5603:48:5603:4812/29/20223:48:56AM11、成功就就是日复复一日那那一点点点小小努努力的积积累。。。12月-2203:48:5603:48Dec-2229-Dec-2212、世间成事事，不求其其绝对圆满满，留一份份不足，可可得无限完完美。。03:48:5603:48:5603:48Thursday,December29,202213、不不知知香香积积寺寺，，数数里里入入云云峰峰。。。。12月月-2212月月-2203:48:5603:48:56December29,202214、意志志坚强强的人人能把把世界界放在在手中中像泥泥块一一样任任意揉揉捏。。29十十二二月20223:48:56上上午03:48:5612月月-2215、楚塞三三湘接，，荆门九九派通。。。。十二月223:48上午午12月-2203:48December29,2022