第一讲网络与信息安全一网络与信息安全第一讲

网络与信息安全

(一)内容信息安全概述信息安全现状关于本课程课程内容课程安排关于信息化信息革命是人类第三次生产力的革命四个现代化，那一化也离不开信息化。——江泽民我的信息感受电脑的不断普及露天电影——家庭影院银行业务电话的改变邮局业务——电子邮件——电子商务……信息化出现的新问题IT泡沫破裂失业，再就业的起点更高互联网经营模式是什么？网上信息可信度差垃圾电子邮件安全病毒攻击……信息安全形势严峻2000年问题总算平安过渡黑客攻击搅得全球不安计算机病毒两年来网上肆虐白领犯罪造成巨大商业损失数字化能力的差距造成世界上不平等竞争信息战阴影威胁数字化和平信息安全事件统计年份事件报道数目19886198913219902521991406199277319931334199423401995241219962573199721341998373419999859200021756总数47711CERT有关安全事件的统计

InformationandNetworkSecurityWewilldemonstratethat62%ofallsystemscanbepenetratedinlessthan30minutes.MorethanhalfofallattackswillcomefrominsideyourownorganizationfromTNN.com信息化与国家安全——政治

由于信息网络化的发展，已经形成了一个新的思想文化阵地和思想政治斗争的战场。以美国为首的西方国家，始终认为我们是他们的敌对国家。一直没有放弃对我们的西化、分化、弱化的政策。去年年初，美国国务卿奥尔布来特在国会讲：“中国为了发展经济，不得不连入互联网。互联网在中国的发展，使得中国的民主，真正的到来了。”香港《广角镜》月刊7月号文章：中情局对付中国的＜十条诫令＞带有政治性的网上攻击有较大增加过去两年，我们国家的一些政府网站，遭受了四次大的黑客攻击事件。第一次在99年1月份左右，但是美国黑客组织“美国地下军团”联合了波兰的、英国的黑客组织，世界上各个国家的一些黑客组织，有组织地对我们国家的政府网站进行了攻击。第二次，99年7月份，台湾李登辉提出了两国论。第三次是在2000年5月8号，美国轰炸我国驻南联盟大使馆后。第四次在2001年4月到5月，美机撞毁王伟战机侵入我海南机场信息化与国家家安全——经经济一个国家信息息化程度越高高，整个国民民经济和社会会运行对信息息资源和信息息基础设施的的依赖程度也也越高。我国计算机犯犯罪的增长速速度超过了传传统的犯罪97年20几起，98年142起，99年908起，2000年年上半年1420起起。利用计算机机实施金融融犯罪已经经渗透到了了我国金融融行业的各各项业务。。近几年已经经破获和掌掌握100多起。涉涉及的金额额几个亿。。黑客攻击事事件造成经经济损失2000年年2月份黑黑客攻击的的浪潮，是是互连网问问世以来最最为严重的的黑客事件件99年4月月26日，，台湾人编编制的CIH病毒的大爆爆发，有统统计说我国国大陆受其其影响的PC机总量达36万台之之多。有人人估计在这这次事件中中，经济损损失高达近近12亿元元。“爱虫”病病毒1996年年4月16日，美国国金融时报报报道，接接入Internet的计算机，，达到了平平均每20秒钟被黑黑客成功地地入侵一次次的新记录录信息化与国国家安全———社会稳稳定互连网上散散布一些虚虚假信息、、有害信息息对社会管管理秩序造造成的危害害，要比现现实社会中中一个造谣谣要大的多多。99年4月月，河南商商都热线一一个BBS，一张说交通通银行郑州州支行行长长协巨款外外逃的帖子子，造成了了社会的动动荡，三天天十万人上上街排队，，挤提了十十个亿。网上治安问问题，民事事问题，进进行人身侮侮辱。来自上海，，四川的举举报对社会的影影响针对社会公公共信息基基础设施的的攻击严重重扰乱了社社会管理秩秩序2001年年2月8日日正是春节节，新浪网网遭受攻击击，电子邮邮件服务器器瘫痪了18个小时时。造成了了几百万的的用户无法法正常的联联络。网上不良信信息腐蚀人人们灵魂色情资讯业业日益猖獗獗1997年年5月进入入色情网站站浏览的美美国人，占占了美国网网民的28.2%。。河南郑州刚刚刚大专毕毕业的杨科科、何素黄黄，在商丘丘信息港上上建立了一一个个人主主页，用五五十多天的的时间建立立的主页存存了一万多多幅淫秽照照片的网站站。100多部小说说，小电影影。不到54天的时时间，访问问他的人到到了30万万。网上赌博盛盛行信息化与国国家安全———信息战战“谁掌握了了信息，控控制了网络络，谁将拥拥有整个世世界。”（美国著名名未来学家家阿尔温托托尔勒））“今后的时时代，控制制世界的国国家将不是是靠军事，，而是信息息能力走在在前面的国国家。”（美国总统统克林顿））“信息时代代的出现，，将从根本本上改变战战争的进行行方式。””（美国前陆陆军参谋长长沙利文上上将）C4I:Command,Control,Communications,ComputersandIntelligence兰德公司的的对华建议议策略兰德公司于于1999年6月份份向美国政政府提出的的建议报告告：美国的的对华战略略应该分三三步走：第一步是西西化、分化化中国，使使中国的意意识形态西西方化，从从而失去与与美国对抗抗的可能性性；第二步是在在第一步失失效或成效效不大时，，对中国进进行全面的的遏制，并并形成对中中国战略上上的合围；；第三步就是是在前两招招都不能得得逞时，不不惜与中国国一战，当当然作战的的最好形式式不是美国国的直接参参战，而是是支持中国国内部谋求求独立的地地区或与中中国有重大大利益冲突突的周边国国家。信息时代的的国际形势势在信息时代代，世界的的格局是：：一个信息息霸权国家家，十几个个信息主权权国家，多多数信息殖殖民地国家家。在这样的一一个格局中中，只有一一个定位：：反对信息息霸权，保保卫信息主主权。安全威胁来来自哪里内因人们的认识识能力和实实践能力的的局限性系统规模Windows3.1———300万行代码Windows2000———5000万行代码外因攻击类型图图例：从信息安全全到信息保保障我们面临的的信息环境境的进展我们需要的的信息安全全概念的拓拓宽什么是信息息保障信息通讯环环境基本的通讯讯模型senderreceiver信源编码信道编码信道传输通信协议通信的保密密模型通通信安全-60年代代（COMSEC）信源编码信道编码信道传输通信协议密码senderreceiverenemy网络通讯的的信息安全全模型仲裁方公证方控制方发方收方敌方信息安全的的需求信息安全的的三个基本本方面保密性Confidentiality信息的机密密性，对于于未授权的的个体而言言，信息不不可用完整性Integrity信息的完整整性、一致致性，分为为数据完整性性，未被未未授权篡改改或者损坏坏系统完整性性，系统未未被非法操操纵，按既既定的目标标运行可用性Availability服务连续性性关于信息安安全的需求求信息安全的的其他方面面真实性authenticity个体身份的的认证，适适用于用户户、进程、、系统等Accountability确保个体的的活动可被被跟踪Reliability行为和结果果的可靠性性、一致性性从信息安全全到信息保保障通信保密（（COMSEC）：：60年代代计算机安全全（COMPUSEC）：60-70年代信息安全（（INFOSEC））：80-90年代代信息保障（（IA）：：90年代代-什么是信息息保障InformationAssurance保护（Protect）检测（Detect）反应（React）恢复（Restore）保护Protect检测Detect恢复Restore反应ReactIAPDRR保护（Protect）采用可能采采取的手段段保障信息息的保密性性、完整性性、可用性性、可控性性和不可否否认性。检测（Detect）利用高级术术提供的工工具检查系系统存在的的可能提供供黑客攻击击、白领犯犯罪、病毒毒泛滥脆弱弱性。反应（React）对危及安全全的事件、、行为、过过程及时作作出响应处处理，杜绝绝危害的进进一步蔓延延扩大，力力求系统尚尚能提供正正常服务。。恢复（Restore）一旦系统遭遭到破坏，，尽快恢复复系统功能能，尽早提提供正常的的服务。信息安全法法规数字化生存存需要什么么样的法规规信息内容安安全网上交易安安全电子信息权权利如何规制信信息内容如何规制网网上行为国际立法情情况美国1)信信息自由由法2）个人隐隐私法3）反腐败败行径法4）伪造访访问设备和和计算机欺欺骗滥用法法5）电子通通信隐私法法6)计计算机欺欺骗滥用法法7)计计算机安安全法8)正正当通信信法（一度度确立，后后又推翻））9)电电讯法美国关于密密码的法规规加密本土可以使使用强密码码（密钥托托管、密钥钥恢复、TTP）视为武器而而禁止出口口可以出口密密钥长度不不超过40位的产品品后来表示可可以放宽到到128位位认证出口限制相相对加密宽宽松2000年年通过了数数字签名法法。欧洲共同体体欧洲共同体体是一个在在欧洲范围围内具有较较强影响力力的政府间间组织。为在共同体体内正常地地进行信息息市场运做做，该组织织在诸多问问题上建立立了一系列列法律，具具体包括：：竞争（反反托拉斯））法；产品品责任、商商标和广告告规定；知知识产权保保护；保护护软件、数数据和多媒媒体产品及及在线版权权；数据保保护；跨境境电子贸易易；税收；；司法问题题等。这些些法律若与与其成员国国原有国家家法律相矛矛盾，则必必须以共同同体的法律律为准（1996年年公布的国国际市场商商业绿皮书书，对上上述问题有有详细表述述。）。其成员国从从七十年代代末到八十十年代初，，先后制定定并颁布了了各自有关关数据安全全的法律。。英国1996年年以前，英英国主要依依据《黄色色出版物法法》、《青青少年保护护法》、、《录像制制品法》》、《禁止止滥用电脑脑法》和《《刑事司法法与公共秩秩序修正条条例》惩处处利用电脑脑和互联网网络进行犯犯罪的行为为。1996年年9月23日，英国国政府颁布布了第一个个网络监管管行业性法法规《三R安全规则》》。“三R”分别代表分分级认定、、举报告发发、承担责责任。法规规旨在从网网络上消除除儿童色情情内容和其其他有害信信息，对提提供网络服服务的机构构、终端用用户和编发发信息的网网络新闻组组，尤其对对网络提供供者作了明明确的职责责分工。俄罗斯于1995年颁布了了《联邦信信息、信息息化和信息息保护法》》。法规强调了了国家在建建立信息资资源和信息息化中的责责任是“旨旨在为完成成俄联邦社社会和经济济发展的战战略、战役役任务，提提供高效率率、高质量量的信息保保障创造条条件”。法规中明确确界定了信信息资源开开放和保密密的范畴，，提出了保保护信息的的法律责任任。新加加坡坡新加加坡坡广广播播管管理理局局（（SBA））1996年7月月11日日宣宣布布对对互互联联网网络络实实行行管管制制，，宣宣布布实实施施分分类类许许可可证证制制度度。。该该制制度度1996年年7月月15日日生生效效。。它是是一一种种自自动动取取得得许许可可证证的的制制度度，，目目的的是是鼓鼓励励正正当当使使用用互互联联网网络络，，促促进进其其在在新新加加坡坡的的健健康康发发展展。。它依依据据计计算算机机空空间间的的最最基基本本标标准准谋谋求求保保护护网网络络用用户户，，尤尤其其是是年年轻轻人人，，免免受受非非法法和和不不健健康康的的信信息息传传播播之之害害。。为为减减少少许许可可证证持持有有者者的的经经营营与与管管理理负负担担，，制制度度规规定定凡凡遵遵循循分分类类许许可可证证规规定定的的服服务务均均被被认认为为自自动动取取得得了了执执照照。。我国国立立法法情情况况基本本精精神神适适用用于于数数字字空空间间的的国国家家大大法法中华华人人民民共共和和国国宪宪法法中华华人人民民共共和和国国商商标标法法（（1982年年8月月23日日））中中华华人人民民共共和和国国专专利利法法（（1984年年3月月12日日））中中华华人人民民共共和和国国保保守守国国家家秘秘密密法法（（1988年年9月月５５日日））中华华人人民民共共和和国国反反不不正正当当竞竞争争法法（（1993年年9月月2日日））初步步修修订订增增加加了了条条款款的的国国家家法法律律中华华人人民民共共和和国国刑刑法法为了了加加强强对对计计算算机机犯犯罪罪的的打打击击力力度度，，在在1997年年对对刑刑罚罚进进行行重重新新修修订订时时，，加加进进了了以以下下计计算算机机犯犯罪罪的的条条款款：：第二二百百八八十十五五条条违违反反国国家家规规定定，，侵侵入入国国家家事事务务、、国国防防建建设设、、尖尖端端科科学学技技术术领领域域的的计计算算机机信信息息系系统统的的，，处处三三年年以以下下有有期期徒徒刑刑或或者者拘拘役役。。第二百百八十十六条条违违反国国家规规定，，对计计算机机信息息系统统功能能进行行删除除、修修改、、增加加、干干扰，，造成成计算算机信信息系系统不不能正正常运运行，，后果果严重重的，，处五五年以以下有有期徒徒刑或或者拘拘役,后果果特别别严重重的，，处五五年以以上有有期徒徒刑。。违反反国家家规定定，对对计算算机信信息系系统中中存储储、处处理或或者传传输的的数据据和应应用程程序进进行删删除、、修改改、增增加的的操作作，后后果严严重的的，依依照前前款的的规定定处罚罚。故故意制制作、、传播播计算算机病病毒等等破坏坏性程程序，，影响响计算算机系系统正正常运运行，，后果果严重重的，，依照照第一一款的的规定定处罚罚。第二百百八十十七条条利利用计计算机机实施施金融融诈骗骗、盗盗窃、、贪污污、挪挪用公公款、、窃取取国家家秘密密或者者其他他犯罪罪的，，依照照本法法有关关规定定定罪罪处罚罚。国家条条例和和管理理办法法计算机机软件件保护护条例例（1991年年6月月4日日））中华人人民共共和国国计算算机信信息系系统安安全保保护条条例（（1994年2月18日日））商用密密码管管理条条例（（1999年lO月7日日））互联网网信息息服务务管理理办法法（2000年年9月月20日））中华人人民共共和国国电信信条例例（2000年年9月月25日））全国人人大常常委会会关于于网络络安全全和信信息安安全的的决定定（（2000年12月月29日））在保障障互联联网的的运行行安全全方面面有1．侵侵入国国家事事务、、国防防建设设、尖尖端科科学技技术领领域的的计算算机信信息系系统；；2．故故意制制作、、传播播计算算机病病毒等等破坏坏性程程序，，攻击击计算算机系系统及及通信信网络络，致致使计计算机机系统统及通通信网网络遭遭受损损害；；3．违违反国国家规规定，，擅自自中断断计算算机网网络或或者通通信服服务，，造成成计算算机网网络或或者通通信系系统不不能正正常运运行。。《计算算机信信息系系统安安全保保护等等级划划分准准则》》1999年年10月经经过国国家质质量技技术监监督局局批准准发布布准则将将计算算机安安全保保护划划分为为以下下五个个级别别：第一级级为用用户自自主保保护级级。它的安安全保保护机机制使使用户户具备备自主主安全全保护护的能能力，，保护护用户户的信信息免免受非非法的的读写写破坏坏。第二级级为系系统审审计保保护级级。除具备备第一一级所所有的的安全全保护护功能能外，，要求求创建建和维维护访访问的的审计计跟踪踪记录录，使使所有有的用用户对对自己己的行行为的的合法法性负负责。。计算机机安全全保护护等级级(续续)第三级级为安安全标标记保保护级级。除继承承前一一个级级别的的安全全功能能外，，还要要求以以访问问对象象标记记的安安全级级别限限制访访问者者的访访问权权限，，实现现对访访问对对象的的强制制保护护。第四级级为结结构化化保护护级。。在继承承前面面安全全级别别安全全功能能的基基础上上，将将安全全保护护机制制划分分为关关键部部分和和非关关键部部分，，对关关键部部分直直接控控制访访问者者对访访问对对象的的存取取，从从而加加强系系统的的抗渗渗透能能力第五级级为访访问验验证保保护级级。这一个个级别别特别别增设设了访访问验验证功功能，，负责责仲裁裁访问问者对对访问问对象象的所所有访访问活活动。。商用密密码管管理条条例目的：：加强强商用用密码码管理理，保保护信信息安安全，，保护护公民民和组组织的的合法法权益益，维维护国国家的的安全全和利利益。。管理机机构：：国家家密码码管理理委员员会及及其办办公室室(简简称密密码管管理机机构)主管管全国国的商商用密密码管管理工工作。。自治治区、、直辖辖市负负责密密码管管理的的机构构根据据国家家密码码管理理机构构的委委托，，承担担商用用密码码的有有关管管理工工作。。商用密密码技技术属属于国国家秘秘密，，国家家对商商用密密码产产品的的科研研、生生产、、销售售和使使用实实行专专控管管理。。部门规规定和和管理理办法法中国互互联网网络域域名注注册暂暂行管管理办办法计算机机信息息网络络国际际联网网出入入口信信道管管理办办法（（1996年））中国公公众多多媒体体通信信管理理办法法（1997年年12月1日））计算机机信息息系统统安全全专用用产品品检测测和销销售许许可证证管理理办法法（（1997年12月月12日））计算机机信息息网络络国际际联网网安全全保护护管理理办法法（1997年年12月30日日））部门规规定和和管理理办法法(续续)电子出出版物物管理理规定定（1998年年1月月1日日））计算机机信息息系统统国际际联网网保密密管理理规定定（2000年年1月月1日日））计算机机病毒毒防治治管理理办法法（2000年年4月月26日））互联网网信息息服务务管理理办法法（（2000年9月20日日））互联网网站从从事登登载新新闻业业务管管理暂暂行规规定（（2000年11月月6日日））从事放放开经经营电电信业业务审审批管管理暂暂行办办法（（2000年11月月6日日））我国的的信息息安全全法规规急需需完善善配套套许多规规范需需要完完善并并升级级为国国家法法律部门条条例存存在矛矛盾和和权威威性不不足许多信信息化化社会会应用用需要要法律律支持持电子商商务电子支支付数字签签名信息化化环境境的执执法需需要高高技术术的支支撑信息安安全标标准标准的的重要要性信息社社会的的信息息安全全是建建立在在信息息系统统互连连、互互通、、互操操作意意义上上的安安全需需求，，因此此需要要技术术标准准来规规范系系统的的建设设和使使用。。没有标标准就就没有有规范范，没没有规规范就就不能能形成成规模模化信信息安安全产产业，，生产产出足足够的的满足足社会会广泛泛需要要的产产品。。没有有标准准也不不能规规范人人们安安全防防范行行为。。国际上上的信信息安安全标标准涉涉及到到有关关密码码应用用和信信息系系统安安全两两大类类。制定标标准的的机构构有国国际标标准化化组织织，某某些国国家的的标准准化机机关和和一些些企业业集团团。他他们的的工作作推动动了信信息系系统的的规范范化发发展和和信息息安全全产业业的形形成。。标准是是科研研水平平、技技术能能力的的体现现，反反映了了一个个国家家的综综合实实力。。标准也也是进进入WTO的国家家保护护自己己利益益的重重要手手段。。国际标标准的的发展展国际上上著名名的标标准化化组织织及其其标准准化工工作ISO，NIST密码标标准DESAESNESSIE(NewEuropeanSchemesforSignature,Integrity,andEncryption)140-2（（NISTFIPSPUB密码模模块））可信计计算机机系统统评价价准则则TCSEC-ITSEC-CC管理标标准ISO17799权威的的传统统评估估标准准美国国国防部部在1985年年公布布可信计计算机机安全全评估估准则则TrustedComputerSecurityEvaluationCriteria(TCSEC)为安全全产品品的测测评提提供准准则和和方法法指导信信息安安全产产品的的制造造和应应用传统评评估标标准的的演变变美国DoDDoD85TESECTCSEC网络解解释（（TNI1987））TCSEC数据库库管理理系统统解释释（TDI1991））彩虹系系列Rainbowseries欧洲––ITSEC美国、加加拿大、、欧洲等等共同发发起CommonCriteria(CC)TCSEC准则中，，从用户户登录、、授权管管理、访访问控制制、审计计跟踪、、隐通道道分析、、可信通通道建立立、安全全检测、、生命周周期保障障、文本本写作、、用户指指南均提提出了规规范性要要求可信计算算基(TCB-TrustedComputingBase)计算机系系统中的的负责执执行一个个安全策策略的包包括硬件件、软件件、固件件组合的的保护技技巧的全全体。一一个TCB由一个或或多个在在产品或或系统上上一同执执行统一一的安全全策略的的部件组组成。一一个TCB的能力是是正确的的依靠系系统管理理人员的的输入有有关安全全策略的的参数，，正确独独立地执执行安全全策略。。访问控制制机制主要原则则：严禁禁上读、、下写（（noreadupnowritedown））就是主要要针对信信息的保保密要求求可信计算算机系统统安全等等级TCSEC的不不足TCSEC是针针对孤立立计算机机系统，，特别是是小型机机和主机机系统。。假设有有一定的的物理保保障，该该标准适适合政府府和军队队，不适适和企业业。这个个模型是是静态的的。NCSC的TNI是把把TCSEC的的思想用用到网络络上，缺缺少成功功实践的的支持。。Moore’sLaw:计计算机机的发展展周期18个月月，现在在还有可可能减少少到一年年。不允允许长时时间进行行计算机机安全建建设，计计算机安安全建设设要跟随随计算机机发展的的规律。。ITSEC（（又称欧欧洲白皮皮书）90年代代初西欧欧四国（（英、法法、荷、、德）联联合提出出了信息息技术安安全评价价标准（（ITSEC））除了吸收收TCSEC的的成功经经验外，，首次提提出了信信息安全全的保密密性、完完整性、、可用性性的概念念，把可可信计算算机的概概念提高高到可信信信息技技术的高高度上来来认识。。他们的的工作成成为欧共共体信息息安全计计划的基基础，并并对国际际信息安安全的研研究、实实施带来来深刻的的影响。。ITSEC定义了七七个安全全级别E6：形式化验验证；E5：形式化分分析；E4：半形式化化分析；；E3：数字化测测试分析析；E2：数字化测测试；E1：功能测试试；E0：不能充分分满足保保证。通用评价价准则（（CC））美国为了了保持他他们在制制定准则则方面的的优势，，不甘心心TCSEC的影响被被ITSEC取代，他他们采取取联合其其他国家家共同提提出新的的评估准准则的办办法体现现他们的的领导作作用。91年1月宣布布了制定定通用安安全评价价准则（（CC）的计划。。它的全全称是CommonCriteriaforITsecurityEvaluation。。制定的国国家涉及及到六国国七方，，他们是是美国的的国家标标准及技技术研究究所（NIST）和国家安安全局（（NSA）），欧州的荷荷、法、、德、英英，北美美的加拿拿大。通用评价价准则（（CC））它的基础础是欧州州的ITSEC，美国的包包括TCSEC在内的新新的联邦邦评价标标准，加加拿大的的CTCPEC，，以及国国际标准准化组织织ISO:SC27WG3的安全评价标标准1995年颁颁布0.9版版，1996年1月出版版了1．0版版。1997年8月颁颁布2.0Beata版，2.0版于1998年5月月颁布。1998-11-15成成为ISO/IEC15408信息技术-安安全技术-IT安全评价准则则CC标准评价的三三个方面CC标准评价的三三个方面保密性（confidentiality））完整性（integrity）可用性（availability）CC标准中未包含含的内容：行政管理安全全的评价准则则电磁泄露行政管理方法法学和合法授授权的结构产品和系统评评价结果的使使用授权密码算法质量量的评价CC标准的读读者对象用户：通过风风险和策略的的分析，比较较评价的不同同产品和系统统，选择适合合自己使用的的产品和系统统。开发者：支持持开发者认识识满足自己产产品和系统的的安全要求，，制定保护轮轮廓（PP），确定安全目标标（ST），支持开发者开开发自己的评评价目标（TOE），在评价方法学学帮助开发者者，以共识的的评价结果评评价自己开发发的产品和系系统。评价者：正式式审查评价目目标时为评价价者提供一个个评价准则，，用于评价评评价目标（TOE）和安全要求的的一致性其它：对于