信息安全技術(shù)概論第一演示文稿

信息安全技術(shù)概論第一演示文稿當(dāng)前第1頁\共有39頁\編于星期六\21點(diǎn)優(yōu)選信息安全技術(shù)概論第一當(dāng)前第2頁\共有39頁\編于星期六\21點(diǎn)信息安全現(xiàn)狀I(lǐng)nternet用戶數(shù)1.1百萬當(dāng)前第3頁\共有39頁\編于星期六\21點(diǎn)信息安全現(xiàn)狀I(lǐng)nternet商業(yè)應(yīng)用1.1當(dāng)前第4頁\共有39頁\編于星期六\21點(diǎn)信息安全現(xiàn)狀安全問題日益突出網(wǎng)絡(luò)與信息系統(tǒng)在變成”金庫”,當(dāng)然就會(huì)吸引大批合法或非法的”掏金者”,所以網(wǎng)絡(luò)信息的安全與保密問題顯得越來越重要。幾乎每天都有各種各樣的“黑客”故事：

1994年末

俄羅斯黑客弗拉基米爾·利文與其伙伴從圣彼得堡的一家小軟件公司的聯(lián)網(wǎng)計(jì)算機(jī)上，向美國名為CITYBANK銀行發(fā)動(dòng)了一連串攻擊，通過電子轉(zhuǎn)帳方式，從CITYBANK銀行在紐約的計(jì)算機(jī)主機(jī)里竊取美1.1當(dāng)前第5頁\共有39頁\編于星期六\21點(diǎn)信息安全現(xiàn)狀安全問題日益突出

元1100萬。1996年8月17日

美國司法部的網(wǎng)絡(luò)服務(wù)器遭到“黑客”入侵，并將“美國司法部”的主頁改為“美國不公正部”，將司法部部長的照片換成了阿道夫·希特勒，將司法部徽章?lián)Q成了納粹黨徽，并加上一幅色情女郎的圖片作為所謂司法部部長的助手。1999年4月26日臺(tái)灣人編制的CIH病毒的大爆發(fā)，有統(tǒng)計(jì)說我國1.1當(dāng)前第6頁\共有39頁\編于星期六\21點(diǎn)信息安全現(xiàn)狀安全問題日益突出大陸受其影響的PC機(jī)總量達(dá)36萬臺(tái)之多。有人估計(jì)在這次事件中，經(jīng)濟(jì)損失高達(dá)近12億元。2000年5月4日

一種名為“我愛你”（愛蟲）的電腦病毒開始在全球各地迅速傳播。據(jù)美國加利福尼亞州的名為“電腦經(jīng)濟(jì)”的研究機(jī)構(gòu)發(fā)布的初步統(tǒng)計(jì)數(shù)據(jù)，“愛蟲”大爆發(fā)兩天之后，全球約有4500萬臺(tái)電腦被感染，造成的損失已經(jīng)達(dá)到26億美元。在以后幾天里，“愛蟲“1.1當(dāng)前第7頁\共有39頁\編于星期六\21點(diǎn)信息安全現(xiàn)狀安全問題日益突出病毒所造成的損失以每天10億美元到15億美元的幅度增加。2001年2月8日（春節(jié)）新浪網(wǎng)遭受攻擊，電子郵件服務(wù)器癱瘓了18個(gè)小時(shí)，造成幾百萬用戶無法通過郵箱聯(lián)系。廣東的163..net的免費(fèi)郵箱遭受攻擊，域名被修改，同樣造成用戶無法正常使用。。。。。。。。。。。。。。。。。1.1當(dāng)前第8頁\共有39頁\編于星期六\21點(diǎn)信息安全現(xiàn)狀安全問題日益突出1.1混合型威脅(RedCode,Nimda)拒絕服務(wù)攻擊(Yahoo!,eBay)發(fā)送大量郵件的病毒(LoveLetter/Melissa)多變形病毒(Tequila)特洛伊木馬病毒網(wǎng)絡(luò)入侵70,00060,00050,00040,00030,00020,00010,000已知威脅的數(shù)量當(dāng)前第9頁\共有39頁\編于星期六\21點(diǎn)信息安全現(xiàn)狀我國信息安全現(xiàn)狀a)信息與網(wǎng)絡(luò)安全的防護(hù)能力較弱。

對我國金融系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)現(xiàn)狀，專家們有一形象的比喻：用不加鎖的儲(chǔ)柜存放資金（網(wǎng)絡(luò)缺乏安全防護(hù)）；讓“公共汽車”運(yùn)送鈔票（網(wǎng)絡(luò)缺乏安全保障）；使用“郵寄”傳送資金（轉(zhuǎn)賬支付缺乏安全渠道）；用“商店柜臺(tái)”存取資金（授權(quán)缺乏安全措施）；拿“平信”郵寄機(jī)密信息（敏感信息缺乏保密措施）等。

1.1當(dāng)前第10頁\共有39頁\編于星期六\21點(diǎn)信息安全現(xiàn)狀我國信息安全現(xiàn)狀b)對引進(jìn)的信息技術(shù)和設(shè)備缺乏保護(hù)信息安全所必不可少的有效管理和技術(shù)改造。

我國從發(fā)達(dá)國家和跨國公司引進(jìn)和購買了大量的信息技術(shù)和設(shè)備。在這些關(guān)鍵設(shè)備如電腦硬件、軟件中，有一部分可能隱藏著“特洛伊木馬”，對我國政治、經(jīng)濟(jì)、軍事等的安全存在著巨大的潛在威脅。但由于受技術(shù)水平等的限制，許多單位和部門對從國外，特別是美國等引進(jìn)的關(guān)鍵信息設(shè)備可能預(yù)做手腳的情況卻無從檢測和排除。1.1當(dāng)前第11頁\共有39頁\編于星期六\21點(diǎn)信息安全現(xiàn)狀我國信息安全現(xiàn)狀c)基礎(chǔ)信息產(chǎn)業(yè)薄弱，核心技術(shù)嚴(yán)重依賴國外。

硬件：電腦制造業(yè)有很大的進(jìn)步，但其中許多核心部件都是原始設(shè)備制造商的，我們對其的研發(fā)、生產(chǎn)能力很弱，關(guān)鍵部位完全處于受制于人的地位。軟件：面臨市場壟斷和價(jià)格歧視的威脅。美國微軟幾乎壟斷了我國電腦軟件的基礎(chǔ)和核心市場。離開了微軟的操作系統(tǒng)，國產(chǎn)的大多軟件都失去了操作平臺(tái)。1.1當(dāng)前第12頁\共有39頁\編于星期六\21點(diǎn)信息安全現(xiàn)狀我國信息安全現(xiàn)狀d)信息安全管理機(jī)構(gòu)缺乏權(quán)威。信息安全特別是在經(jīng)濟(jì)等領(lǐng)域的安全管理?xiàng)l塊分割、相互隔離，缺乏溝通和協(xié)調(diào)。沒有國家級(jí)的信息安全最高權(quán)威機(jī)構(gòu)以及與國家信息化進(jìn)程相一致的信息安全工程規(guī)劃。目前國家信息安全的總體框架已經(jīng)搭就。已制定報(bào)批和發(fā)布了有關(guān)信息技術(shù)安全的一系列的國家標(biāo)準(zhǔn)、國家軍用標(biāo)準(zhǔn)。1.1當(dāng)前第13頁\共有39頁\編于星期六\21點(diǎn)信息安全現(xiàn)狀我國信息安全現(xiàn)狀e)信息犯罪在我國有快速發(fā)展之趨勢。隨著信息設(shè)備特別是互聯(lián)網(wǎng)的大幅普及，各類信息犯罪活動(dòng)亦呈現(xiàn)出快速發(fā)展之勢。以金融業(yè)計(jì)算機(jī)犯罪為例，從1986年發(fā)現(xiàn)第一起銀行計(jì)算機(jī)犯罪案起，發(fā)案率每年以30％的速度遞增。各種電腦病毒及黑客對計(jì)算機(jī)網(wǎng)絡(luò)的侵害亦屢屢發(fā)生。據(jù)不完全統(tǒng)計(jì)，我國目前已發(fā)現(xiàn)的計(jì)算機(jī)病毒約有大概2000～3000多種，而且還在以更快的速度增加著。1.1當(dāng)前第14頁\共有39頁\編于星期六\21點(diǎn)信息安全現(xiàn)狀我國信息安全現(xiàn)狀f)信息安全技術(shù)及設(shè)備的研發(fā)和應(yīng)用有待提高。近年來，我國在立法和依法管理方面加大力度，推進(jìn)計(jì)算機(jī)信息網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品的研究、開發(fā)和應(yīng)用，建立了計(jì)算機(jī)病毒防治產(chǎn)品檢驗(yàn)中心、計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品質(zhì)量檢驗(yàn)中心，加強(qiáng)了對計(jì)算機(jī)信息網(wǎng)絡(luò)安全產(chǎn)品的管理。目前，我國信息網(wǎng)絡(luò)安全技術(shù)及產(chǎn)品發(fā)展迅速，其中，計(jì)算機(jī)病毒防治、防火墻、安全網(wǎng)管、黑客入侵檢測及預(yù)警、網(wǎng)絡(luò)安全漏洞掃描、主頁自動(dòng)保護(hù)、有害信息1.1當(dāng)前第15頁\共有39頁\編于星期六\21點(diǎn)信息安全現(xiàn)狀我國信息安全現(xiàn)狀f)信息安全技術(shù)及設(shè)備的研發(fā)和應(yīng)用有待提高。檢測、訪問控制等一些關(guān)鍵性產(chǎn)品已實(shí)現(xiàn)國產(chǎn)化。但是，正如《國家信息安全報(bào)告》強(qiáng)調(diào)指出的：“這些產(chǎn)品安全技術(shù)的完善性、規(guī)范性、實(shí)用性還存在許多不足，特別是在多平臺(tái)的兼容性、多協(xié)議的適應(yīng)性、多接口的滿足性方面存在很大距離，理論基礎(chǔ)和自主技術(shù)手段也需要發(fā)展和強(qiáng)化。”

1.1當(dāng)前第16頁\共有39頁\編于星期六\21點(diǎn)安全隱患

a)硬件的安全隱患；

b)操作系統(tǒng)安全隱患；

c)網(wǎng)絡(luò)協(xié)議的安全隱患；

d)數(shù)據(jù)庫系統(tǒng)安全隱患；

e)計(jì)算機(jī)病毒；

f)管理疏漏，內(nèi)部作案。

安全威脅1.2當(dāng)前第17頁\共有39頁\編于星期六\21點(diǎn)安全隱患

a)硬件的安全隱患

CPU:Intel公司在奔騰IIICPU中加入處理器序列號(hào)，因此Intel涉嫌干涉?zhèn)€人隱私，但要害問題則是政府機(jī)關(guān)、重要部門非常關(guān)心由這種CPU制造的計(jì)算機(jī)在處理信息或數(shù)據(jù)時(shí)所帶來的信息安全問題，即這種CPU內(nèi)含有一個(gè)全球唯一的序列號(hào)，計(jì)算機(jī)所產(chǎn)生的文件和數(shù)據(jù)都會(huì)附著此序列號(hào)，因而由此序列號(hào)可以追查到產(chǎn)生文件和數(shù)據(jù)的任何機(jī)器。安全威脅1.2當(dāng)前第18頁\共有39頁\編于星期六\21點(diǎn)安全隱患

a)硬件的安全隱患

網(wǎng)絡(luò)設(shè)備:我國計(jì)算機(jī)網(wǎng)絡(luò)使用的絕大部分網(wǎng)絡(luò)設(shè)備，如路由器、集線器、交換機(jī)、服務(wù)器、以及網(wǎng)絡(luò)軟件等都是進(jìn)口的，其安全隱患不容忽視。一些交換機(jī)和路由器具有遠(yuǎn)程診斷和服務(wù)功能，既然可以遠(yuǎn)程進(jìn)入系統(tǒng)服務(wù)、維修故障，也就可以遠(yuǎn)程進(jìn)入系統(tǒng)了解情報(bào)、越權(quán)控制。更有甚者，國外一著名網(wǎng)絡(luò)公司以"跟蹤服務(wù)"為由，在路由器中設(shè)下"機(jī)關(guān)"、可以將網(wǎng)絡(luò)中用戶的包信息同時(shí)送一份到其公司總部。

安全威脅1.2當(dāng)前第19頁\共有39頁\編于星期六\21點(diǎn)安全隱患

b)操作系統(tǒng)安全隱患

計(jì)算機(jī)操作系統(tǒng)歷來被美國一些大公司所壟斷，但這些操作系統(tǒng)的源程序都是不公開的，在安全機(jī)制方面存在著諸多漏洞和隱患。計(jì)算機(jī)黑客能輕而易舉地從“后門”進(jìn)入系統(tǒng)，取得系統(tǒng)控制權(quán)，并危及計(jì)算機(jī)處理或存儲(chǔ)的重要數(shù)據(jù)。如Windows95存在兩千多處缺陷。

OS的體系結(jié)構(gòu)造成其本身不安全：I/O、系統(tǒng)服務(wù)程序等都可用打補(bǔ)丁方式進(jìn)行動(dòng)態(tài)連接。

安全威脅1.2當(dāng)前第20頁\共有39頁\編于星期六\21點(diǎn)安全隱患

c)網(wǎng)絡(luò)協(xié)議的安全隱患

網(wǎng)絡(luò)協(xié)議也都由美國等國家開發(fā)或制定標(biāo)準(zhǔn)。其安全機(jī)制也存在先天不足，協(xié)議還具有許多安全漏洞，為攻擊者提供了方便，如地址欺騙等。Internet應(yīng)用協(xié)議中缺乏認(rèn)證、保密等措施，也使攻擊者比較容易得手。TCP/IP協(xié)議安全漏洞：包監(jiān)視、泄露、地址欺騙、序列號(hào)攻擊、路由攻擊、拒絕服務(wù)、鑒別攻擊。應(yīng)用層安全隱患：Finger、FTP、Telnet、E-mail、SNMP、RPC、NFS。

安全威脅1.2當(dāng)前第21頁\共有39頁\編于星期六\21點(diǎn)安全隱患

d)數(shù)據(jù)庫系統(tǒng)安全隱患

由于數(shù)據(jù)庫平臺(tái)全系引進(jìn)，盡管廠商聲稱具有安全機(jī)制，但對國內(nèi)用戶猶如一個(gè)"黑匣子"。數(shù)據(jù)庫的攻擊分直接攻擊和間接攻擊兩大類。直接攻擊是通過查詢以得到幾個(gè)記錄來直接搜索并確定敏感字段的值，最成功的技術(shù)是形成一種特定的查詢它恰與一個(gè)數(shù)據(jù)項(xiàng)相匹配。間接攻擊是依據(jù)一種或多種統(tǒng)計(jì)值推斷出結(jié)果。統(tǒng)計(jì)攻擊通過使用某些明顯隱匿的統(tǒng)計(jì)量來推導(dǎo)出數(shù)據(jù)，例如使用求和等統(tǒng)計(jì)數(shù)據(jù)來得到某些數(shù)據(jù)。安全威脅1.2當(dāng)前第22頁\共有39頁\編于星期六\21點(diǎn)安全隱患

e)計(jì)算機(jī)病毒威脅計(jì)算機(jī)病毒是一種能夠進(jìn)行自我復(fù)制的程序，可以通過多種方式植入計(jì)算機(jī)中，通過Internet網(wǎng)植入病毒更容易。病毒運(yùn)行后可能損壞文件、使系統(tǒng)癱瘓，造成各種難以預(yù)料的后果。由于在網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒具有不可估量的威脅性和破壞力，因此計(jì)算機(jī)病毒的防范是網(wǎng)絡(luò)安全性建設(shè)中重要的一環(huán)。新的病毒不僅刪除文件、使數(shù)據(jù)丟失，甚至破壞系統(tǒng)硬件，可以造成巨大損失。1998年美國“莫里斯”病毒發(fā)作，一天之內(nèi)使6000多臺(tái)計(jì)算機(jī)感染，損失達(dá)9000萬美元。

安全威脅1.2當(dāng)前第23頁\共有39頁\編于星期六\21點(diǎn)安全隱患

f)管理疏漏，內(nèi)部作案據(jù)權(quán)威資料片《筑起網(wǎng)上長城》介紹，互聯(lián)網(wǎng)上的計(jì)算機(jī)犯罪、黑客攻擊等非法行為７０％來自于內(nèi)部網(wǎng)絡(luò)。金融、證券、郵電、科研院所、設(shè)計(jì)院、政府機(jī)關(guān)等單位幾乎是天生的受攻擊者，內(nèi)部人員對本單位局域網(wǎng)的熟悉又加劇了其作案和被外部人勾結(jié)引誘的可能性。安全威脅1.2當(dāng)前第24頁\共有39頁\編于星期六\21點(diǎn)網(wǎng)絡(luò)攻擊的分類

安全威脅1.2當(dāng)前第25頁\共有39頁\編于星期六\21點(diǎn)網(wǎng)絡(luò)攻擊的分類

安全威脅1.2當(dāng)前第26頁\共有39頁\編于星期六\21點(diǎn)常見的安全威脅

安全威脅1.2網(wǎng)絡(luò)內(nèi)部、外部洩密拒絕服務(wù)攻擊特洛伊木馬黑客攻擊病毒，蠕蟲系統(tǒng)漏洞潛信道當(dāng)前第27頁\共有39頁\編于星期六\21點(diǎn)信息安全概念與技術(shù)1.3信息安全的概念信息安全：指計(jì)算機(jī)信息系統(tǒng)的硬件、軟件、網(wǎng)絡(luò)及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷。信息安全主要涉及到信息存儲(chǔ)的安全、信息傳輸?shù)陌踩约皩W(wǎng)絡(luò)傳輸信息內(nèi)容的審計(jì)三方面。它研究計(jì)算機(jī)系統(tǒng)和通信網(wǎng)絡(luò)內(nèi)信息的保護(hù)方法。信息安全的內(nèi)涵(要素)：計(jì)算機(jī)信息安全應(yīng)該具備以下五方面的特征：當(dāng)前第28頁\共有39頁\編于星期六\21點(diǎn)信息安全概念與技術(shù)1.3防止通信中的任一實(shí)體否認(rèn)它過去執(zhí)行的某個(gè)操作或者行為不可否認(rèn)性可控性可用性完整性機(jī)密性可以控制授權(quán)范圍內(nèi)的信息流向及行為方式確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程只有得到允許的人才能修改數(shù)據(jù)，并且能夠辨別數(shù)據(jù)是否已被修改得到授權(quán)的實(shí)體在需要時(shí)可以訪問數(shù)據(jù)，即攻擊者不能占用所有資源而阻礙授權(quán)者的工作當(dāng)前第29頁\共有39頁\編于星期六\21點(diǎn)信息安全概念與技術(shù)的1.3信息安全主要內(nèi)容計(jì)算機(jī)信息安全系統(tǒng)的構(gòu)成：

a)信道：數(shù)據(jù)流的載體；

b)網(wǎng)絡(luò)：提供各實(shí)體間數(shù)據(jù)的交換；

c)傳輸協(xié)議：信息交換的特定“語言”；

d)主機(jī)系統(tǒng)：數(shù)據(jù)到信息的轉(zhuǎn)換、處理、存儲(chǔ)；

e)數(shù)據(jù)庫系統(tǒng)：信息的組織機(jī)構(gòu)；

f)應(yīng)用系統(tǒng)：信息價(jià)值的最終體現(xiàn)；由上可以知道，計(jì)算機(jī)信息系統(tǒng)安全涉及到計(jì)算機(jī)硬件、軟件、網(wǎng)絡(luò)、人等諸多因素，是一項(xiàng)很復(fù)雜的工程。對應(yīng)于以上信息系統(tǒng)的構(gòu)成，可知，信當(dāng)前第30頁\共有39頁\編于星期六\21點(diǎn)信息安全概念與技術(shù)1.3信息安全主要內(nèi)容息安全的主要研究內(nèi)容應(yīng)包含以下幾點(diǎn)：

a)數(shù)據(jù)保密通信數(shù)據(jù)編碼數(shù)據(jù)加密加密/解密算法加密/解密設(shè)備數(shù)據(jù)壓縮數(shù)據(jù)安全傳輸

b)網(wǎng)絡(luò)安全當(dāng)前第31頁\共有39頁\編于星期六\21點(diǎn)

信息安全概念與技術(shù)1.3信息安全主要內(nèi)容協(xié)議設(shè)施c)主機(jī)安全d)操作系統(tǒng)安全e)應(yīng)用安全f)數(shù)據(jù)庫安全g)信息安全管理h)信息安全法律與標(biāo)準(zhǔn)當(dāng)前第32頁\共有39頁\編于星期六\21點(diǎn)

信息安全概念與技術(shù)1.3信息安全技術(shù)密碼技術(shù)（加密、標(biāo)記）認(rèn)證識(shí)別技術(shù)（I&A）c)授權(quán)與訪問控制技術(shù)d)審計(jì)追蹤技術(shù)e)網(wǎng)間隔離與訪問代理技術(shù)f)反病毒技術(shù)g)容錯(cuò)與災(zāi)難恢復(fù)技術(shù)當(dāng)前第33頁\共有39頁\編于星期六\21點(diǎn)信息安全標(biāo)準(zhǔn)1.4國外信息安全標(biāo)準(zhǔn)

a)20世紀(jì)70年代，美國國防部制定“可信計(jì)算機(jī)系統(tǒng)安全評價(jià)準(zhǔn)則”（TCSEC)，為安全信息系統(tǒng)體系結(jié)構(gòu)最早準(zhǔn)則（只考慮保密性）；

b)20世紀(jì)90年代，英、法、德、荷提出包括保密性、完整性、可用性概念的“信息技術(shù)安全評價(jià)準(zhǔn)則”（ITSEC)，但未給出綜合解決以上問題的理論模型和方案；

c)近年，六國（美、加、英、法、德、荷）共同提出“信息技術(shù)安全評價(jià)通用準(zhǔn)則”（CCforITSEC)。

當(dāng)前第34頁\共有39頁\編于星期六\21點(diǎn)信息安全標(biāo)準(zhǔn)1.4TCSEC安全級(jí)別

類別級(jí)別名稱主要特征DD低級(jí)保護(hù)沒有安全保護(hù)CC1自主安全保護(hù)自主存儲(chǔ)控制C2受控存儲(chǔ)控制單獨(dú)的可查性，安全標(biāo)識(shí)BB1標(biāo)識(shí)的安全保護(hù)強(qiáng)制存取控制，安全標(biāo)識(shí)B2結(jié)構(gòu)化保護(hù)面向安全的體系結(jié)構(gòu)，較好的抗?jié)B透能力B3安全區(qū)域存取