信息安全技术概述

主讲人：任凯联系方式：renkai_jlxy@163信息安全技术1.几个生活中经常遇到的情况使用U盘时，是否在“我的电脑〞中双击翻开U盘盘符？播放从网上下载的一个AVI格式电影，有可能中毒吗？访问网页会中毒吗？一般什么情况认为自己中毒了？

2024/1/282几个小问题上网平安吗？如果你的电脑被入侵，你觉得可能对你造成的最大危害是什么？如何进行平安防护，防止各类攻击？使用强口令

文件必须平安存储

临时离开请及时锁屏或注销

杀〔防〕毒软件不可少

个人防火墙不可替代

不翻开来历不明的邮件或附件不要随意浏览黑客、色情网站警惕“网络钓鱼〞

聊天软件的平安

移动设备的平安

2024/1/2832021年国内重大的信息平安支付宝找回密码功能存在系统漏洞携程网用户支付信息出现漏洞，漏洞泄露的信息包括用户的姓名、身份证号码、银行卡卡号、银行卡CVV码、支付密码UC浏览器存在可能导致用户敏感数据泄漏的漏洞小米论坛存在用户资料泄露黑客通过公共场所免费WIFI诱导用户链接而获取中银行卡、支付宝等账户信息从而盗取资金的消息苹果获取用户位置信息2024/1/2842021-2021年国际重大的信息平安事件“棱镜门〞事件：美国国家平安局监控用户隐私Google曝法国伪造CA证书全球首例国家级伪造CA证书劫持加密通讯事件诞生Apple、Facebook、Twitter等科技巨头相继被入侵，用户数据泄漏OpenSSL出现“Heartbleed〞有史以来最大的比特币失窃案，全球最大Bitcoin交易平台Mt.Gox申请破产2024/1/285一些常用名词红客：从事网络平安行业的爱国黑客白客：又称平安防护者，用寻常话说就是一些原本的黑客转正了，他们进入各大科技公司专门防护网络平安黑客：指某些热衷于计算机和网络技术、技能高超、非法入侵他人计算机系统的人，又称“骇客〞灰客：指某些对计算机和网络平安感兴趣，初步了解网络平安知识，能够利用黑客软件或初级手法从事一些黑客行为的人。由于他们受技术限制，既不够“黑〞，但也不“白〞蓝客：指某些标榜自己只热衷于纯粹的互联网技术而不关心其他事物、我行我素的“黑客〞2024/1/286信息战已经成为各国军事斗争的主要组成局部中国需要维护国家信息系统的平安，建立保护网络国家边界的网军势在必行：1.我国集成电路芯片的自给率缺乏10%。要做到网络平安，首先就是硬件平安，而芯片平安是硬件平安核心内容之一2.微软的各版本操作系统在中国市场的占有率到达98%。软件平安是网络平安的另一个核心内容，最根本的操作系统不是自己编写的，同样留有平安隐患2024/1/287理解平安与不平安概念“平安〞一词在字典中被定义为“远离危险的状态或特性〞和“为防范间谍活动或蓄意破坏、犯罪、攻击或逃跑而采取的措施〞。没有危险；不受威胁；不出事故2024/1/288先行案例黑色星期五源于西方的宗教信仰与迷信：耶稣基督死在星期五，而13是不吉利的数字。两者的结合令人相信当天会发生不幸的事情历史上有好几个事件都发生于星期五：1869年的黑色星期五：美国金融市场大泻1919年的黑色星期五：格拉斯哥工人罢工1939年的黑色星期五：澳大利亚发生山林大火1978年的黑色星期五：伊朗示威者大屠杀1982年的黑色星期五：福克兰群岛战争爆发〔英国和阿根廷〕2024/1/289先行案例2001年“红色代码〞蠕虫2001年“尼姆达Nimda〞蠕虫事件——多种手段攻击网络2003年SQLSLAMMER蠕虫——攻击SQL效劳器2003年口令蠕虫——口令方式攻击主机2003年冲击波“MSBLAST〞蠕虫和“Blast去除者〞蠕虫2004年震荡波蠕虫——针对微软windows操作系统的漏洞2005年“黛蛇〞蠕虫事件2006年“魔波〞蠕虫——引发“僵尸网络〞2007年“Nimaya〔熊猫烧香〕〞病毒事件2021年“机器狗〞病毒事件2021年“飞客〞蠕虫的泛滥2024/1/28102021年初，美国硅谷的迈克菲公司发布最新报告，约109.5万台中国计算机被病毒感染〔美国105.7万〕，排第一位。2021年1月2日，公安部物证鉴定中心被黑，登陆该网站，有些嘲弄语言，还贴一张“我们睡，你们讲〞的图片，图片是公安某单位一次会议上，台下参会人员大睡的场面。先行案例2024/1/2811先行案例2021今年“两会〞期间，3月3日，全国政协委员严琪所办陶然居餐饮集团网站〔www-taoranju〕被黑，引发热议。2024/1/2812先行案例英国税务局“光盘〞门2007年11月，英国税务及海关总署的一名公务员在将两张光碟寄给审计部门时，由于疏忽忘记依照标准以挂号寄出，导致光碟下落不明。光碟中有英国家庭申请十六岁以下儿童福利补助的资料，包括公民的姓名、地址、出生年月、社会保险号码和银行帐户资料，据称其中还包括了英国首相布朗一家的机密资料。英国财政大臣达林在国会下院成认数据丧失，布朗面色凝重。2024/1/2813卖家网上叫卖英国失踪税务光盘2024/1/2814先行案例网络成为重要的窃密渠道扫描网络发现漏洞控制系统窃取文件2024/1/2815先行案例违规操作泄密敌对势力窃密互联网

部队失密案：2003年初，军队某参谋违反规定，使用涉密计算机上因特网，被台湾情报机关跟踪锁定，一次窃走1000多份文档资料，影响和损失极为严重。2024/1/2816提高信息平安意识不通过email传输敏感信息，敏感信息加密以后再传输不借用帐号、不随意说出密码敏感信息不要随意地放置,打印或复印的敏感资料要及时取走离开电脑时记得锁屏与去除桌面不在公司外部讨论敏感信息发现平安问题及时报告......2024/1/2817加强计算机与网络平安设置复杂密码根据平安标准进行平安设置及时安装补丁安装防病毒软件并及时更新不随意下载安装软件，防止恶意程序、病毒及后门等黑客程序……2024/1/2818通俗地说，平安就是平安是稳定状态或确定状态2024/1/2819关于课程学习本课程的要求教学目标通过本课程的学习，要求对信息平安的概念与内涵有较全面的了解，较全面地掌握有关信息平安的根底理论和实用技术，掌握网络系统平安防护的根本方法，培养网络平安防护意识，增强网络系统平安保障能力，并能在实践中其指导作用。教材：王凤英，网络与信息平安技术，中国铁道出版社张同光，信息平安技术实用教程，电子工业出版社熊平，信息平安原理及应用，清华大学出版社赵泽茂，信息平安技术，西安电子科技大学出版社2024/1/2820关于课程课程内容信息平安综述对称密钥密码体系公钥密码体系身份认证、访问控制与系统审计操作系统平安单向散列函数PKI技术数据库系统平安因特网平安和VPNWEB电子商务平安防火墙技术入侵检测技术2024/1/2821关于课程本课程对学生的要求提高信息安全意识，具有信息安全的理论基础和基本实践能力了解和掌握信息安全的基本原理和相关技术

关注国内外最新的研究成果和发展动态2024/1/2822关于课程考核30%〔平时成绩：出勤、平时作业等〕+70%考试成绩听课课堂纪律欢送同学上讲台跟同学们分享信息平安相关知识2024/1/28231信息平安综述2024/1/2824本章提要网络与信息平安的根本概念网络平安威胁网络平安的层次结构平安评价标准研究网络与信息平安的意义网络信息平安管理2024/1/2825§1.1计算机网络平安的根本概念密码平安：通信平安的最核心局部计算机平安：一种确定的状态，使计算机化数据和程序不致被非授权人员、计算机或程序访问获取和修改网络平安：指利用网络管理控制技术措施，保证在一个网络环境里信息数据的保密性、完整性及可使用性受到保护信息平安：防止任何对数据进行未授权访问的措施，或防止造成信息有意无意泄漏、破坏、丧失等问题的发生，让数据处于远离危险、免于威胁的状态或特性2024/1/2826§1.1网络与信息平安的根本概念关系信息平安网络平安计算机平安密码平安·2024/1/2827§1.1网络与信息平安的根本概念网络信息平安的要求即消息的发送者在发送后不能否认他发送过该消息抗抵赖完整性机密性即消息只有合法的接收者才能读出，其他人即使收到也读不出即消息的确是由宣称的发送者发送的，如冒名顶替则会被发现即消息在传输过程中如果篡改则会被发现真实性2024/1/2828§1.1网络与信息平安的根本概念木桶原理网络平安遵循“木桶原理〞，即一个木桶的容积决定于组成它的最短的一块木板，一个系统的平安强度等于它最薄弱环节的平安强度。平安防护必须建立在一个完整的多层次的平安体系之上，任何的薄弱环节都将导致整个平安体系的崩溃2024/1/2829§1.2网络平安威胁网络平安问题日益突出网络与信息系统在变成〞金库〞,当然就会吸引大批合法或非法的〞掏金者〞,所以网络信息的平安与保密问题显得越来越重要。几乎每天都有各种各样的“黑客〞故事：1994年末俄罗斯黑客弗拉基米尔·利文与其伙伴从圣彼得堡的一家小软件公司的联网计算机上，向美国名为CITYBANK银行发动了一连串攻击，通过电子转帐方式，从CITYBANK银行在纽约的计算机主机里窃取美元1100万。2024/1/28301996年8月17日美国司法部的网络效劳器遭到“黑客〞入侵，并将“美国司法部〞的主页改为“美国不公正部〞，将司法部部长的照片换成了阿道夫·希特勒，将司法部徽章换成了纳粹党徽，并加上一幅色情女郎的图片作为所谓司法部部长的助手。1999年4月26日台湾人编制的CIH病毒的大爆发，有统计说我国大陆受其影响的PC机总量达36万台之多。有人估计在这次事件中，经济损失高达近12亿元§1.2网络平安威胁2024/1/28312000年5月4日一种名为“我爱你〞〔爱虫〕的电脑病毒开始在全球各地迅速传播。据美国加利福尼亚州的名为“电脑经济〞的研究机构发布的初步统计数据，“爱虫〞大爆发两天之后，全球约有4500万台电脑被感染，造成的损失已经到达26亿美元。在以后几天里，“爱虫〞病毒所造成的损失以每天10亿美元到15亿美元的幅度增加。§1.2网络平安威胁2024/1/2832数据大集中——风险也更集中了；系统复杂了——平安问题解决难度加大；云计算——平安已经不再是自己可以控制的3G、物联网、三网合一——IP网络中平安问题引入到了、、播送电视中web2.0、微博、人肉搜索——网络平安与日常生活越来越贴近新应用导致新的平安问题§1.2网络平安威胁2024/1/2833§1.2网络平安威胁2024/1/2834§1.2网络平安威胁2024/1/2835网络流量分析拒绝服务特洛伊木马资源非授权使用计算机病毒假冒、重放破坏完整性诽谤窃听主要威胁种类：§1.2网络平安威胁2024/1/2836商业间谍按照FBI的估计，由于商业间谍的危害，美国各大公司每年要损失100亿美元§1.2网络平安威胁动机2024/1/2837经济利益§1.2网络平安威胁动机2024/1/2838报复或者引入注意：为了炫耀能力的黑客少了，为了非法取得政治、经济利益的人越来越多§1.2网络平安威胁动机2024/1/2839§1.2网络平安威胁动机恶作剧2024/1/2840无知黑客“菜霸〞§1.2网络平安威胁动机2024/1/2841§1.3网络平安的层次结构物理安全1安全控制2安全服务32024/1/2842§1.3网络平安的层次结构___物理平安自然灾害、物理损坏、设备故障某一天下着大雨，突然“霹雳〞一声，电脑突然断线了，经查是上网用的adslmodem被击坏了。电磁辐射、乘机而入、痕迹泄露QQ被盗，黑客公开售卖200元，最后费尽周折，利用密码保护才要回了自己心爱的QQ号，但是里面的好友和群全部被删除操作失误、意外疏漏想通过优盘把连夜加班的资料拷贝到单位电脑上，可插入u盘后里面空空如也，一晚上的工作付之东流。2024/1/28431.3网络平安的层次结构___平安控制网络互联设备网络接口模块操作系统通过网管软件或路由器配置实现对其它机器的网络通信进程进行安全控制开机时要求键入口令2024/1/2844§1.3网络平安的层次结构——平安效劳平安效劳安全机制安全连接安全协议安全策略2024/1/2845§1.4.1网络平安的评价标准1985年，美国国防部发表了?可信计算机系统评估准那么?，它依据处理的信息等级采取相应的对策，划分了四类七个平安等级。依照各类、级的平安要求从低到高，依次是D、C1、C2、B1、B2、B3和A1级。2024/1/2846§1.4.1网络平安的评价标准类别级别名称主要特征DD最低安全保护没有安全保护CC1自主安全保护自主存储控制C2可控访问（受控存储）控制单独的可查性，安全标识BB1标识的安全保护强制存取控制，安全标识B2结构化保护面向安全的体系结构，较好的抗渗透能力B3安全区域存取监控、高抗渗透能力AA可验证设计形式化的最高级描述和验证C类称为酌情保护，B类称为强制保护，A类称为核实保护。这个标准过分强调了保密性，而对系统的可用性和完整性重视不够，因此实用性较低。2024/1/2847§1.4.2网络平安效劳OSI〔OpenSystemsInterconnection〕标准由ISO〔InternationalStandardOrganization〕与ITU〔InternationalTelecommunicationUnion〕联合制定，将开放互联网络用7层描述，并通过相应的7层协议实现系统间的相互连接OSI〔开放系统互联参考模型〕2024/1/2848OSI的平安体系结构成果标志是ISO发布了ISO7498-2标准，作为OSI根本参考模型的补充是基于OSI参考模型的七层协议之上的信息平安体系结构ISO7498-2标准定义了5类平安效劳、8种特定的平安机制、5种普遍性平安机制它确定了平安效劳与平安机制的关系以及在OSI七层模型中平安效劳的配置确定了OSI平安体系的平安管理§1.4.2网络平安效劳2024/1/2849ISO7498-2三维图链路层网络层传输层会话层表示层应用层加密数字签名访问控制数据完整性签别交换业务流填充路由控制公证访问控制不可否认数据完整性数据保密身份认证OSI参考模型安全机制安全服务§1.4.2网络平安效劳2024/1/2850五类平安效劳——身份认证〔鉴别〕A与B通信，A是发起方对等实体鉴别鉴别B的身份的真实性A使用这种效劳可以确信:一个实体此时没有试图冒充别的实体,或没有试图将先前的连接作非授权地重演。数据原发鉴别B鉴别A来源的身份的真实性。对数据单元的来源提供确认。这种效劳对数据单元的重复或篡改不提供保护。§1.4.2网络平安效劳2024/1/2851五类平安效劳——数据保密对数据提供保护使之不被非授权地泄露§1.4.2网络平安效劳2024/1/2852保护信息不被未授权者非法纂改信息，如修改、复制、插入和删除等五类平安效劳——数据完整性§1.4.2网络平安效劳2024/1/2853五类平安效劳——不可否认〔抗抵赖〕AB用于防止参与通信的实体在事后否认曾参与全部或局部通信。防止消息或行动源否认曾发送消息或采取过的行动；防止消息接收者否认曾收到该消息无连接完整性§1.4.2网络平安效劳2024/1/2854五类平安效劳——访问控制对系统的资源提供保护，防止未授权利用这种保护效劳可应用于对资源的各种不同类型的访问读、写或删除信息资源应用于对一种资源的所有访问……§1.4.2网络平安效劳2024/1/2855WindowsXP文件访问控制§1.4.2网络平安效劳2024/1/2856§1.4.2网络平安效劳2024/1/2857八大平安机制——加密使用加密算法对存放的数据进行加密加密算法可逆加密算法：对称加密；不对称加密不可逆加密算法可以使用密钥，也可以不使用§1.4.3特定平安机制2024/1/2858八大平安机制——数字签名机制采用非对称密钥体制，使用私钥进行数字签名，使用公钥对签名信息进行验证。两个过程：一：对数据签名使用签名者所私有的信息即使用签名者的私有信息作为私钥,或对数据单元进行加密,或产生出该数据单元的一个密码校验值。二：验证签过名的数据使用公开的规程与信息来决定该签名是不是用签名者的私有信息产生的。所用的规程与信息是公之于众的,但不能够从它们推断出该签名者的私有信息。本质特征：该签名只有使用签名者的私有信息才能产生出来。因而，当该签名得到验证后，它能在事后的任何时候向第三方〔例如法官或仲裁人〕证明只有那个私有信息的惟一拥有者才能产生这个签名。数字签名是解决网络通信中特有的平安问题的有效方法。特别是针对通信双方发生争执时可能产生的否认、冒充、伪造、篡改；具有可证实性、不可否认性、不可伪造性和不可重用性。§1.4.3特定平安机制2024/1/2859八大平安机制——访问控制机制根据访问者的身份和其它信息，来决定和实施实体的访问权限:已鉴别的身份有关该实体的信息使用该实体的权力访问控制的功能:拒绝实体试图使用非授权的资源,或者以不正当方式使用授权资源。可能产生一个报警信号或记录进行平安审计跟踪。§1.4.3特定平安机制2024/1/2860八大平安机制——数据完整性机制判断信息在传输过程中是否被篡改、增加、删除过，确保信息的完整。主要有两种形式：数据单元完整性：发送实体给数据单元附加上一个量,这个量为该数据的函数，例如校验码。接收实体产生一个相应的量,并把它与接收到的那个量进行比较以决定该数据是否在转送中被篡改正。单靠这种机制不能防止单个数据单元的重演数据单元序列的完整性：要求数据编号的连续性和时间标记的正确性，以防止假冒、丧失、重发、插入或修改数据§1.4.3特定平安机制2024/1/2861八大平安机制——鉴别交换机制以交换信息的方式来确认实体身份的机制，实现同级之间的身份认证。用于交换鉴别的技术有：口令：由发方实体提供，收方实体检测密码技术：将交换的数据加密，只有合法用户才能解密，得出有意义的明文。在许多情况下，这种技术与时间标记和同步时钟、双方或三方“握手〞、数字签名和公证机构一起使用。实体的特征或占有物