信息安全概述2

网络与信息安全

主讲人：张宏莉余翔湛参考书信息安全原理与应用,CharlesP.Pfleeger计算机安全，DieterGollmann漏洞发掘的艺术编写安全的代码，Microsoft教学要求拓展知识面提高信息安全意识安全事件的分析能力安全的信息系统设计与实现能力培养好的习惯课程内容信息安全概述网络与信息系统面临的威胁信息安全体系架构及原理物理安全技术运行安全技术数据安全技术信息内容安全技术信息安全标准、法律法规信息安全概述信息安全内涵信息安全意义历史与现状信息安全内涵信息具有一定含义（价值）的数据例如：（110101）二进制53，十进制110,101，乐谱…

（women）女士，我们多指数字化信息信息资产互联网是人类社会的缩影，信息则体现了经济和政治利益个人秘密（照片、存折密码、账号口令、工资收入）商业秘密（竞标底价、药品配方、财务报表）国家秘密（军事情报、技术情报、政治情报）IS与IT如影随形信息安全内涵信息系统软件、硬件、数据、用户信息安全保护信息系统中的软件、硬件、数据不会遭受偶然或恶意的破坏、更改、泄露，系统能够连续可靠正常地运行信息系统或安全产品的安全策略、安全功能、管理、开发、维护、检测、恢复、安全测评等木桶原理，攻防不对称相对性,信息安全贯穿于信息系统生命周期的始终：设计、实现、测试、维护、使用、管理三分技术、七分管理信息安全内涵信息安全目的保密性、完整性、可用性、可控性、抗抵赖性（可鉴别性）保密性指对抗对手的被动攻击，保证信息不泄漏给未经授权的人。完整性指对抗对手主动攻击，防止信息被未经授权的篡改。可用性指保证信息及信息系统确实为授权使用者所用。可控性指对信息及信息系统实施安全监控。抗抵赖性指防止通信双方否认发生过的通信。安全与否，在于知之多少信息集合INFO,拥有者集合OWNER,拥有关系∝

i∈INFO，p,q∈OWNER设i∝p，i∝q

时，i处于安全状态则i∝p，i∝q时，i处于非安全状态则i∝p，i∝q时，i处于非安全状态则i∝p，i∝q时，i处于非安全状态可用性可控性保密性完整性不可抵赖性信息安全内涵信息安全的定义信息安全从技术角度来看是对信息与信息系统的固有状态（即“序”）的攻击与保护的过程。它以攻击与保护信息系统、信息自身及信息利用中的机密性、完整性、抗抵赖性、可控性、可用性等核心安全属性为目标，确保信息与信息系统不被非授权所掌握、其信息与操作是可验证的、信息与系统是可控的、能随时为授权者提供信息及系统服务；具体反映在物理安全、运行安全、数据安全、内容安全等四个层面上。其目标是力保信息与信息系统在传输、存储、处理、显示等各个环节中其机密性、完整性、可用性、抗抵赖性及可控性不受破坏。网络与信息安全的四个层次物理安全运行安全数据安全内容安全13信息安全技术框架物理安全围绕网络与信息系统的物理装备及其有关信息的安全。主要涉及信息及信息系统的电磁辐射、抗恶劣工作环境等方面的问题。面对的威胁主要有自然灾害、物理损坏、电磁泄露、通信干扰等；主要的保护方式有数据和系统备份、电磁屏蔽、抗干扰、容错、容灾等。运行安全围绕网络与信息系统的运行过程和运行状态的安全。主要涉及信息系统的正常运行与有效的访问控制等方面的问题；面对的威胁包括网络攻击、网络病毒、网络阻塞、系统安全漏洞利用等。主要的保护方式有访问控制、病毒防治、应急响应、风险分析、漏洞扫描、入侵检测、容侵、系统加固、安全审计等。运行安全（网络安全）的概念计算机网络的定义计算机网络是地理上分散的多台自主计算机互联的集合。自主计算机这一概念排除了网络系统中主从关系的可能性。互联必须遵循约定的通信协议，由通信设备、通信链路及网络软件实现。计算机网络可实现信息交互、资源共享、协同工作及在线处理等功能。网络安全的概念为了保证安全需要自主计算机的安全；互联的安全，即用以实现互联的通信链路、网络软件、网络协议的安全；各种网络应用和服务的安全。我们强调的是在开放网络环境下的安全

网络运行安全数据安全围绕着数据（信息）的生成、处理、传输、存储等环节中的安全。主要涉及数据（信息）的泄密、破坏、伪造、否认等方面的问题。面对的威胁主要包括对数据（信息）的窃取、篡改、冒充、抵赖、破译、越权访问等。主要的保护方式有加密、认证、访问控制、鉴别、签名等。数据安全信息内容赛安全围绕非授预权信息在饥网络上进博行传播的莫安全。主要涉及读对传播信固息的有效蜂控制。面对的倒威胁主奖要包括谁通过网俩络迅速魂传播有飞害信息绝、制造凉恶意舆迎论等。主要的栏保护方桐式有信授息内容喉的识别令（信息职发现、肤信息挖涂掘）、晌内容过猎滤、舆故情控制稿等。信息内容齿安全内容安全的现有技术内容安全涉及的前沿技术信息的截获与协议的还原信息的截获、旁路、分流与阻断非文本（明文）信息内容的识别、面向信息内容的深度挖掘图像识别与匹配技术（基于图像的数据隐藏与发现技术）协议的高速还原技术破坏性语句识别技术报文转换的精简协议（零拷贝技术）基于密文的信息特征解析舆情分析技术反垃圾会邮件技贡术信息安尸全基础应设施的仿建设需灿求在物理剖安全层羞面研究芹与建设蜂大型的气灾备中呜心；在运行香安全层伤面研究才与建设血面向大同规模网爷络的网尾络安全坑监控体业系；在数据安担全层面研仁究与建设库国家级密柄钥管理中呜心、认证随中心以及PKI基础设施嗽；在内容舟安全层晋面研究悬与建设恢针对有蝴害信息教的识别地过滤系碎统、舆铲情分析欠系统以厘及网络肌信息提航取系统使。信息安全逼意义-涉及军事雄安全、经虏济安全、示文化安全保障国家葵军事安全自1992年美国焦防部提器出“信分息战”什，科索装沃战争侨、伊拉液克战争与先后成欢为信息差战的典久型案例婚。保障公楚共基础避设施安瓦全运行随着计算语机网络信比息系统在固国防、交讨通、能源纯、公共卫发生以及大译型公共基溜础设施等屑领域的运酱用。保障经济流金融安全随着电子倒商务、电恰子政务和辨其它信息仰应用服务衣的开展，没在信息存产储和传输止过程中，鲁各种出于芦牟取不法晶利益的动智机的信息汤窃取、伪朋造、篡改曲、抵赖等康行为大量绢发生。一觉项调查显烈示，85%的受访者狮表示遭到壶入侵并有然财产损失构。保障文化五安全伴随着迁网络信舟息总量治的不断淋攀升，硬网上出宫现大量盛以声、克图、文欺形式传吉播的暴阅力、反叛动、迷喊信、毒耽品等不眯良内容债。信息安舅全历史地与现状发展历健史应用现状教育与方培训信息安盖全历史昨与现状经历了四咱个阶段：通信保怨密阶段列：以密牵码学研志究为主（40—70’s，COM膛SEC）计算机系陵统安全阶敞段；以单因机操作系匀统安全研南究为主（70—80’s，INF圈OSE恳C）网络信息絮系统安全肿阶段：开焦始进行网弱络安全体告系研究（90’s–0术0‘s，NET贤SEC）信息保障惧阶段：信奸息系统及翠基础设施（00’s–，IA）1、通信译保密阶段重点是杯通过密娘码技术比解决通劝信保密按问题，富保证数秩据的保怪密性与些完整性主要安斥全威胁申是搭线少窃听重要标志气是194触9年Sha止nno尘n发表的《革保密通信引的信息理甚论》2、计楼算机系族统安全浮阶段国际标准例化组织(ISO)将“计两算机安扣全”定朝义为：晚“为数胜据处理黑系统建毕立的安烟全保护笔，保护令计算机奸硬件、跨软件数序据不因粗偶然和间恶意的呈原因而赵遭到破唇坏、更繁改和泄靠露。”重点是臂确保计仅算机系蜻统中硬沉件、软烘件及正竖在处理培、存储钱、传输论信息的荐保密性藏、完整亏性和可梨控件。主要安男全威胁寒扩展到悉非法访影问、恶优意代码梁、脆弱办口令等幸。主要标坝志是1骆977笑年美国窑国家标拘准局公浮布的数害据加密港标准（DES）和198辜3年美国默国防部公头布的可信旷计算机系幕统评估准普则（TCS归EC）汇。可信计爱算机系固统评估窗准则（TCSE骑C）D最小保护，DOS系统C自主保裕护：用户定础义系统访下问权限，饺具有对主紫体责任和割动作的审羽计能力C1自主安全雹保护，用户与误数据分离回，大多uni垂x系统C2可控访编问保护，通过注逐册过程、静安全审计糟、资源隔产离等措施剖，Win废dow护sN耗TB强制保护，客体必咳须保留敏达感标号，锄作为强制辆保护的依捆据B1有标号俊的安全自保护，具有安脸全策略模摔型的非形叨式化说明谜、数据标惹号、以命尤名主体对愁客体的强溪制访问控糊制；输出耍的信息有酒正确标号授能力；排略出测试缺电陷B2结构化保唤护，形式孔化的安停全策略棉模型，别物理设济备的访霞问控制躬，消除盯隐蔽通观道B3安全域，防篡改查，按系统祝工程方法员进行设计乐，审计机惹制可报知尾安全事件故、系统具旦有恢复能秧力，强的纵抗渗透能税力A验证保劫护，形式支化的安牛全验证桌方法（洋设计、拿开发、许实现）3、网络剃信息系统共安全阶段重点需直要保护氧信息，曲确保信聋息在存各储、处鸟理、传送输过程迫中及信究息系统搏不被破禾坏，确教保合法待用户的迁服务和祖限制非斜授权用防户的服累务，以召及必要评的防御索攻击的道措施。愿强调信佩息的保吗密性、段完整性撇、可控屡性、可兆用性。主要安全渴威胁发展弯到网络入册侵、病毒剃破坏、计赤算机犯罪瞒、信息对诵抗的攻击众等。主要标志峡是提出了阳新的安全勺评估准则CC（趁ISO序15告048升）。国际通用纹准则CC（足Com牛mon排Cr些ite担ria生）安全保蜘证要求鞠部分提乌出了七圾个评估唇保证级机别（EALs售-Eva皱luat捎ion咱Assu绩ranc衫eLe仙vel）分别是狸：ELA1岗:功能测校试EAL稿2:结构测攀试EAL3娱:系统测况试和检技查EAL喷4:系统设计垮、测试和剂复查EAL谅5:半形式甜化设计单和测试EAL6钻:半形式棒化验证牢的设计豆和测试EAL7抄:形式化验挑证的设计田和测试计算机安烛全等级划套分标准GB1科785夫9-9耳91级：用喘户自主育保护级2级：系统肯审计保护韵级3级：安全蛋标记保护两级4级：结构宏化保护级蹄（形式化称安全策略葡）5级：访拾问验证摇保护级4、信息尚保障阶段美国军方摄提出了信练息保障(IA)的概念：辈“保护和句防御信息各及信息系府统，确保很其可用性还、完整性爸、保密性斤、鉴别、茫不可否认捆性等特性乳。这包括抱在信息系纳统中融入创保护、检苗测、反应侮功能，并黎提供信息趟系统的恢伙复功能。册”(美国筹国防部令S-3冤600赞．1)美国政刷府早在199陆8年便提出跑要制定综恶合性的国铜家信息安室全保障计状划，经过占了2000年1月颁布办的《信息系统骡保护国家渣计划》的初步俯实践之情后，2002年9月发布《保护网察络空间粉的国家急战略》(草案)，将信息栽安全保障漫的工作划樱分为如下5个级别队。第1级：家庭惯用户与小来型商业第2级：大赴型企业第3级：关键盟部门第4级：国家京的优先任鄙务第5级：全球信息安全好应用现状国际国内2002年FBI和CSI的调查报雀告从199夏7年度至200伙2年度，最练严重的金芹融损失是绕由于机密信咽息被盗而造成的佳。在200挠2年度，铺共有26个被调查喘机构的损裙失总计达喊到170拥827质000美元，撕平均损千失为65竿7l他000美元其次是金滋融欺诈。金融欺以诈的平均损树失也表现怨出了急剧晒增加的趋民势。在200侵2年度，渡平均损拨失约为46艘32胖000美元。而1997年，平暖均损失每不过为957其38支4美元。其他严慰重的问川题则包窃括病毒和绘网络滥耳用。2002年度分贞别造成响了49窝979样00欧0和500销990族00美元的损溜失。尽管咐病毒和蠕密虫爆发的图比例有所兽下降，但苏损失总额食和平均损府失却有所埋增加。美国美国拥观有全球氏最多的IP地址和核驱心的互联双网资源，遣美国所有哥的计算机四加在一起强，其计算矩能力总和启超过全球纸所有计算供机能力总愚和的2/3。美国安陆全局几杏年前已昼经成立巨了网络嫌中心机商构，建坛立了40多个网喇络机构维，其中折有20多个高宗层次的弦计算机泻战争机格构。美莲国国家炒安全委斑员会成素立了两庭个关键字机构———国家保惜密政策慌委员会睬和信息魔系统安乡丰全保密疗委员会秧，前者耻负责制魂定军事夜安全保籍密政策烟和数字呢化战场厚设计方棒案，后趣者专门庭负责军这事信息游高速公腹路和数执字化战血场上秘得密信息此和敏感佛信息的叼安全保拉密管理炼。美国以色列虽然以斩色列政桃府本身捎的网络芽系统安胶全并不煎如人意稠，但以警色列的饲信息安发全攻击据和防御练技术研兰究水平蛛在世界瓜上均处港于领先淹地位。以色列据黑客在杠全球黑望客界的刺技术影惩响力仅余次于美浮国，与圆俄罗斯倡黑客和迅德国黑椅客相当梳。20垦00年企3月2础8日，布面向全墙球的首鲁届国际伶黑客大畜会在以隔色列召勾开日本日本自9充9年底因高为在大阪韵事件否认系侵华事实欣而遭致大文规模中国许黑客攻击迅后，网络朴安全在日立本开始得洒到重视。在亚洲脏，日本田的计算舞机攻击因防御技巴术水平师尚不如璃我国台酬湾。近年，日挺本军方使令用的一个短计算机网姻络数据曾第发生泄密信事件。俄罗斯俄罗斯有睬一批技术掠水平高超鸟的专业黑亏客，受经帖济气候的霜影响，这倦些黑客经雀常受利益迁驱动从事满政治、商据业或技术预情报收集兴工作。主穗要目标是纠军政和科逐技系统。俄罗斯笼本身的轨计算机愈网络系催统安全写性并不绪高，但悟由于语树言和计炊算机体版系的差地异，俄叼罗斯的岸计算机厌系统所虫采用的足软硬件冷设施都悼有一定往的独立宇性，外炸国黑客导要攻破古俄罗斯知的网络搁安全防测线，并幅取得深碍入的成姑果相对也而言比扮较困难塔。微软、站惠普、半思科比尔·盖督茨在他的及((Trus丑twor坛thy宁Comp绍utin俱g》备忘录中银提到了这吨一点，他截说：“当我们面头对添加新絮特性和解侨决安全问稀题的选择倍时，我们梁需要选择伏安全。”中国2000年中国国听家信息安讽全课题组郑的《国家信息泛安全报告》指出，若眯以9分为满分欺计算，中太国的信息盛安全强度振只有5．5分。在世界范毕围内，中播国网络安受全水平被方排在等级悠最低的“第四类”，与某些赞非洲国家攻为伍近年来仆，中国营网络安爽全产品哪市场总授额几乎候每年翻挑一番，2003年总销售亲额达23.匠57亿元，其校增长率高廊于中国计唯算机总体催市场的增会长率200采6年加大力对度贯彻实权施《计算机忙等级保超护》和信息焰安全应牌急预案河。网络安全耐受到严重双威胁总数：6,149,600(2007年1~6月)总数：2,125,206(2007年1~6月)网络安尽全事件挑次数估还计受到的网竹络攻击类机型和数量Ｑ21、选出以下所有贵单位在最近12个月受到过的网络攻击类型数量比例（%）1偷窃或破坏信息所有权或机密信息265.82未受权访问378.43利用网络的金融诈骗71.64盗用账号255.65破坏数据或网络357.96修改网页5111.67拒绝服务攻击398.88大量网络扫描导致网络性能降低5713.09非法线路搭线或侦听102.310病毒、蠕虫或特洛伊木马33175.311从外部进行的系统穿透368.112内部未受权信息访问357.913内部滥用互联网访问，EMAIL或内部计算机资源4610.5带来损失赚的网络安忍全事件与竭所发生赤的安全事章件的对比病毒、竖蠕虫或恢特洛伊汪木马，展分别为75.3萍%和48.锡8%发生网派络安全圾事件的辛主要原麦因不正确使舌用单位网半络，37.5涨%未知原因兆的扫描，29.怖5%攻击其他名网络，17.4%行业交叉惩分析引发网盟络安全辟事件的席主要原闲因分析漏洞缺乏培训安全意识网络安全比技术使用绩情况防火墙反病毒软侦件访问控衰制52攻击者驴的优势堆和安全收防护者镰的劣势软件安手装后，船就处于洒防御状葛态中，彩就面临悄潜在的颠全天候给的攻击代码必须育经受住攻范击，确保冰本系统保朱护的资源侧不会泄露铸、损害、对被删除或半被恶意察忙看即使开忧发人员哑采用安伴全设计眼方法，列也总是透处于落愉后地位律，总跟零在后面即处理已卸发现的病安全问饰题因为攻疼击者总央处于有传利条件简，防御继者必须民构建更饥高质量凝的系统钢，是被转动防御皮还是主揪动防御53因素1：防御者欺必须对所复有环节都貌进行防御贵，而攻击秆者可以选冶择最薄弱妇的环节如，城堡俭防御：城杰墙、护城爸河、弓箭托手、吊桥颈、弓箭手科装备充足版，防止火导灾，保证嘱储备充足委对付长时因间围攻等什而攻击者欺只要找到摔一个防御爪不完备点勉就可以软件攻侄击，只众要找到壁一个薄壤弱环节叹就可以软件防盛御者，涛必须确怪保每一唯个进入寒代码的瓦入口点塑都得到高保护5455因素3：防御洗者必须校永远保晓持警惕兵，攻击筹者随时熔可以罢容工管理员酿必须始以终监视科系统，迈查看安醋全日志禽，并查生找和抵缘瑞御攻击软件开发草人员必须艰提供能持续抵御攻击宗的软件，长以及监视拼工具进行料判断因素4：防御者况活动必须扬遵循相应击的规则，于攻击者可独以采用卑突鄙的手段防御者取可以使钢用白帽索子工具狸，如防吃火墙、登入侵检返测系统桥，审计轿日志和滋蜜罐信息安狸全教育划与培训国外国内信息安全吉教育与培凡训信息安全爆是一个综末合性交叉寄学科领域扑，它广泛胆涉及数学烦、计算机弯、通信、唯控制、管只理、法律垄等诸多学北科。信息安全株是一个直白接面向工妈程、面向捡应用的专赢业领域。蔽因此信息洋安全教育晃强调实践透。信息安全限知识更新掩快信息安全样领域知识航覆盖面宽信息安纯全教育刷注重应掉用和实填践能力纺。信息安示全教育握需要面解向多样新化、层泰次化的繁人才需蜡求。信息安缘瑞全教育拥是一种奋持续教埋育。国外的信松息安全专乏业199绢9年5锁月，美质国国家蛮安全局圆委任CMU大学成立露信息安全糟学术人才帅中心（Cent尽ero宪fAc谁adem着icE雕xcel蛙lenc怀ein丹Inf饺orma卡tion煤Ass洪uran单ce），提高高慰等院校鉴的信息妄安全专山业人才澡的培养飘规模和霉能力。截至2察003涂年9月由，已经暴有50锅多所教险育机构皱被认定演为这种墙中心,包括44汗所地方高穗等院校和辆4所国防录院校,包打括西点军情校，CMU软,Ge广oia仅In怨sti距tut赤eo描fT名ech寨,F匀lor加ida模St顿ate移Un今ive叶rsi载ty,数Pur毅due写Un压ive捞rsi军ty,搏Geo泛rge斧Ma跳son坏Un帝ive乳rsi什ty。国外的信嚷息安全专该业我国信息碎安全人才鞠培养成立信息旺安全本科探专业2001年经教姥育部批州准，武槽汉大学盐建立全宿国第一闭个信息挎安全专析业2002年批准洽了包括怀我校在蛾内的18所大学昂成立信齿息安全误专业到200草3年，共田有40多所大验学设立朝信息安教全专业我校信宁息安全热专业发掩展200蒙1年7月成立国柱家计算机扶网络与信坟息内容安龄全重点实赤验室我校200忍2年成立信偶息安全专扁业的本科辛点，200瓶5年成立穿博士点念，硕士蛙挂靠在绑计算机您科学与责技术专鬼业研究方炉向：信蜜息安全径系统设秧计方法盒学、网戚络与信并息安全购、信息岛内容安没全、网眨络建模摆与模拟惯等Any怨Qu龟est略ion互?中国的碑安全等号级划分公安部畅主持制幻玉定、国瓣家质量糟技术监申督局发笼布的中稍华人民挡共和国序国家标酬准gb1织789答5-1救999宋《计算机由信息系斗统安全近保护等衫级划分每准则》央。该准则节将信息分系统安筑全分为毫5个等烘级：自源主保护边级、系肉统审计熟保护级哪、安全爸标记保君护级、绩结构化谅保护级郊和访问温验证保喊护级。主要的安竹全考核指刚标有身份返认证、自完主访问控鸭制、数据悔完整性、揭审计等，吊这些指标馋涵盖了不搂同级别的伯安全要求顽。9、静夜四逮无邻，荒誓居旧业贫促。。4月-2鼠34月-2玻3Frid集ay,伙Apri栋l28清,20喉2310、雨中黄回叶树，灯细下白头人薯。。05:盟17:仆0105:早17:叫0105:1赚74/2吗8/2夸023燥5:税17:腰01邮AM11、以我碧独沈久散，愧君倚相见频身。。4月-尝2305:拐17:者0105:1歼7Apr-弱2328-歼Apr帖-2312、故人讯江海别煤，几度踢隔山川聋。。05:1地7:0105:畜17:睛0105:旨17Frid赏ay,恢Apri孝l28爷,20肃2313、乍见翻愤疑梦，相衬悲各问年需。。4月-掉234月-选2305:1爹7:0105:贼17:纪01Apri残l28倾,20德2314、他乡探生白发港，旧国堆见青山搬。。28镜四月荣202叫35:17股:01慌上午05:弦17:羊014月-2布315、比不傍了得就皆不比，唤得不到曲的就不订要。。。四月2令35:1耗7上缩慧午4月-2良305:泉17Apr抖il掉28,磨20捡2316、行动出朱成果，工恩作出财富井。。2023陕/4/2颂85:疫17:0毕205:锈17:监0228A结pril剃202依317、做前毯，能够葡环视四骗周；做胶时，你轿只能或桑者最好象沿着以拾脚为起域点的射辨线向前伶。。5:17缴:02扎上午5:1检7上贸午05:1棋7:024月-雷239、没有失稻败，只有爽暂时停止琴成功！。4月-2符34月-既23Fri魂day素,A冤pri则l2谈8,获202榜310、很多值事情努景力了未诞必有结吴果，但奇是不努迹力却什毒么改变崖也没有旦。。05:1膜7:0205:1沟7:0205:庭174/2剖8/2赌023译5:丝式17:策02央AM11、成功就静是日复一匹日那一点桨点小小努只力的积累绑。。4月-2生305:1喘7:0205:绍17Apr珠-2328-警Apr灾-2312、世间惜成事，年不求其摩绝对圆老满，留淡一份不测足，可询得无限撤完美。谁。05:朋17:僵0205:1检7:0205:1辞7Frid渡ay,流Apri唤l28怕,20歇2313、不知香陷积寺，数帅里入云峰伤。。4月-馒234月-2枯305:听17:巡寿0205:1泼7:02Apri高l28套,20欺2314、意志坚呈强的人能哨把世界放赌在手中像洒泥块一样悔任意揉捏责。28匪四月硬202虾35:1雨7:0