《网络安全1信息安全概述》由会员分享,可在线阅读,更多相关《网络安全1信息安全概述(46页珍藏版)》请在金锄头文库上搜索。
1、武汉工业学院,第一章 信息安全概述,武汉工业学院,内容,信息安全概述 信息安全现状 信息安全研究内容 信息安全发展 关于本课程 课程内容 课程安排,武汉工业学院,何谓信息?,数据(data):表征现实世界中实体属性的物理符号(数字、符号、声音、图像、文字等)称为数据 信息(information):信息是经过加工(获取、推理、分析、计算、存储等)的特定形式数据。 知识(knowledge):许多相关信息集合起来,就形成了知识,武汉工业学院,信息的特点是什么?,时效性 新知性 不确定性总结:信息是有价值的,武汉工业学院,关于信息化,信息革命是人类第三次生产力的革命四个现代化,那一化也离不开信息化
2、。江泽民,武汉工业学院,信息化,电脑的不断普及 露天电影家庭影院 银行业务 电话的改变 邮局业务 电子邮件 电子商务 ,武汉工业学院,信息化出现的新问题,互联网经营模式的问题 网上信息可信度差 垃圾电子邮件 安全 病毒 攻击 ,武汉工业学院,什么是安全,安全(safety):侧重于非恶意的安全(security):侧重于恶意的,武汉工业学院,信息安全的范畴,硬件安全及操作系统安全 计算机安全 网络安全 ,武汉工业学院,信息安全形势严峻,2004年病毒增长高达50% 2005年网络安全不容乐观 2000年问题总算平安过渡 黑客攻击搅得全球不安 计算机病毒两年来网上肆虐 白领犯罪造成巨大商业损失
3、数字化能力的差距造成世界上不平等竞争 信息战阴影威胁数字化和平,武汉工业学院,信息安全事件统计,美国计算机安全专业机构 CERT有关安全事件的统计,武汉工业学院,Information and Network Security,We will demonstrate that 62% of all systems can be penetrated in less than 30 minutes.More than half of all attacks will come from inside your own organizationfrom TNN.com,武汉工业学院,信息化与国家安
4、全政治,由于信息网络化的发展,已经形成了一个新的思想文化阵地和思想政治斗争的战场。 以美国为首的西方国家,始终认为我们是他们的敌对国家。一直没有放弃对我们的西化、分化、弱化的政策。 美国国务卿奥尔布来特曾在国会讲:“中国为了发展经济,不得不连入互联网。互联网在中国的发展,使得中国的民主,真正的到来了。”,武汉工业学院,带有政治性的网上攻击有较大增加,过去两年,我国的一些政府网站,遭受了四次大的黑客攻击事件。 第一次在99年1月份左右,但是美国黑客组织“美国地下军团”联合了波兰的、英国的黑客组织,世界上各个国家的一些黑客组织,有组织地对我们国家的政府网站进行了攻击。 第二次,99年7月份,台湾李
5、登辉提出了两国论。 第三次是在2000年5月8号,美国轰炸我国驻南联盟大使馆后。 第四次在2001年4月到5月,美机撞毁王伟战机侵入我海南机场(中美黑客大战),武汉工业学院,信息化与国家安全经济,一个国家信息化程度越高,整个国民经济和社会运行对信息资源和信息基础设施的依赖程度也越高。 我国计算机犯罪的增长速度超过了传统的犯罪 97年20几起,98年142起,99年908起,2000年上半年1420起,近两年增长率超过30%。 利用计算机实施金融犯罪已经渗透到了我国金融行业的各项业务。 近几年已经破获和掌握100多起。涉及的金额几个亿。,武汉工业学院,黑客攻击事件造成经济损失,根据FBI的调查,
6、美国每年因为网络安全造成的经济损失超过170亿美元。75%的公司报告财政损失是由于计算机系统的安全问题造成的。超过50%的安全威胁来自内部,只有17%的公司愿意报告黑客入侵,其它机构由于担心负面影响而未声张。59%的损失可以定量估算。平均每个组织由于网络入侵事件造成的直接经济损失达 402,000。,武汉工业学院,信息化与国家安全社会稳定,互连网上散布一些虚假信息、有害信息对社会管理秩序造成的危害,要比现实社会中一个造谣要大的多。 2002年我国公安机关共受理各类信息网络违法犯罪案件6633起,与2001年相比增长459,其中利用计算机实施的违法犯罪5301起,占案件总数的799。 2004年
7、底,工商银行、建设银行的网站被仿冒,用于骗取银行卡账号及密码。,武汉工业学院,对社会的影响,针对社会公共信息基础设施的攻击严重扰乱了社会管理秩序 网上不良信息腐蚀人们灵魂 色情资讯业日益猖獗 网上赌博盛行,武汉工业学院,信息化与国家安全信息战,“谁掌握了信息,控制了网络,谁将拥有整个世界。”(美国著名未来学家阿尔温 托尔勒) “今后的时代,控制世界的国家将不是靠军事,而是信息能力走在前面的国家。”(美国总统克林顿) “信息时代的出现,将从根本上改变战争的进行方式。”(美国前陆军参谋长沙利文上将),武汉工业学院,信息时代的国际形势,在信息时代,世界的格局是:一个信息霸权国家,十几个信息主权国家,
8、多数信息殖民地国家。在这样的一个格局中,只有一个定位:反对信息霸权,保卫信息主权。,武汉工业学院,安全威胁来自哪里,外因,武汉工业学院,内因 人们的认识能力和实践能力的局限性系统规模 Windows 3.1 300万行代码 Windows 2000 5000万行代码,武汉工业学院,信息安全的目标(属性),机密性 Confidentiality 信息的机密性,对于未授权的个体而言,信息不可用 完整性 Integrity 信息的完整性、一致性,分为 数据完整性,未被未授权篡改或者损坏 系统完整性,系统未被非法操纵,按既定的目标运行 抗否认性 可用性 Availability 服务连续性,武汉工业学
9、院,常用的网络攻击技术,网络扫描与侦听 网络攻击的前期准备过程,目的是收集目标网络系统安全漏洞常用命令:ping, finger, traceroute, netstat, ipconfig 计算机病毒 一组计算机指令或程序代码,是一种可存储、可执行的特殊程序,具有传染性、隐蔽性、破坏性。 拒绝服务(Denial of Service)通过消耗资源,破坏系统的可用性(availability)典型DoS攻击:蠕虫病毒, SYN Flood,Ping of Death, smurf 缓冲区溢出一个非常普遍和严重的程序设计漏洞目的一般在于取得系统超级访问权限,武汉工业学院,Smurf攻击示意图,武
10、汉工业学院,分布式拒绝服务攻击(DDoS),武汉工业学院,如何保证信息安全,网络的安全程度是动态变化的监控、检测、响应、防护应协调运作,武汉工业学院,P2DR,防护(Protection) 采用可能采取的手段保障信息的保密性、完整性、可用性、可控性和不可否认性。 检测(Detection) 利用高级术提供的工具检查系统存在的可能提供黑客攻击、白领犯罪、病毒泛滥脆弱性。 响应(Response) 对危及安全的事件、行为、过程及时作出响应处理,杜绝危害的进一步蔓延扩大,力求系统尚能提供正常服务。,武汉工业学院,信息安全的研究内容,信息安全基础研究 密码理论 安全理论 信息安全应用研究 安全技术 平
11、台安全 信息安全管理研究 安全策略研究 安全标准研究 安全测评研究,武汉工业学院,信息安全管理体系,安全是一个过程,而不是静止的产品,武汉工业学院,信息安全的发展,经典信息安全 简单加密 物理安全 现代信息安全 现代密码理论 计算机安全 网络安全 信息保障 发展中的信息安全,武汉工业学院,信息安全法规,数字化生存需要什么样的法规 信息内容安全 网上交易安全 电子信息权利 如何规制信息内容 如何规制网上行为,武汉工业学院,国际立法情况,美国 1) 信息自由法 2)个人隐私法 3)反腐败行径法 4)伪造访问设备和计算机欺骗滥用法 5)电子通信隐私法 6) 计算机欺骗滥用法 7) 计算机安全法 8)
12、 正当通信法(一度确立,后又推翻) 9) 电讯法,武汉工业学院,美国关于密码的法规,加密 本土可以使用强密码(密钥托管、密钥恢复、TTP) 视为武器而禁止出口 可以出口密钥长度不超过40位的产品 后来表示可以放宽到128位 认证 出口限制相对加密宽松 2000年通过了数字签名法。,武汉工业学院,我国立法情况,基本精神适用于数字空间的国家大法 中华人民共和国宪法 中华人民共和国商标法(1982年8月23日 )中华人民共和国专利法(1984年3月12日 )中华人民共和国保守国家秘密法(1988年9月日 ) 中华人民共和国反不正当竞争法(1993年9月2日 ),武汉工业学院,初步修订增加了条款的国家
13、法律,中华人民共和国刑法 为了加强对计算机犯罪的打击力度,在1997年对刑罚进行重新修订时,加进了以下计算机犯罪的条款:,武汉工业学院,第二百八十五条 违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。第二百八十六条 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役,后果特别严重的,处五年以上有期徒刑。违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程
14、序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。第二百八十七条 利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。,武汉工业学院,国家条例和管理办法,计算机软件保护条例(1991年6月4日 ) 中华人民共和国计算机信息系统安全保护条例(1994年2月18日 ) 商用密码管理条例(1999年10月7日 ) 互联网信息服务管理办法(2000年9月20日 ) 中华人民共和国电信条例(2000年9月25日 ) 全国人大常委会关于网络安全和信息安全的决定 (2000年12月29日),武汉工业学院,何为破坏互联网的运行安全,1侵入国家事务、国
15、防建设、尖端科学技术领域的计算机信息系统; 2故意制作、传播计算机病毒等破坏性程序,攻击计算机系统及通信网络,致使计算机系统及通信网络遭受损害; 3违反国家规定,擅自中断计算机网络或者通信服务,造成计算机网络或者通信系统不能正常运行。,武汉工业学院,我国的信息安全法规急需完善配套,许多规范需要完善并升级为国家法律 部门条例存在矛盾和权威性不足 许多信息化社会应用需要法律支持 电子商务 电子支付 数字签名 信息化环境的执法需要高技术的支撑,武汉工业学院,学习体会,信息安全内容广阔 密码学 网络安全 系统安全 安全的信息系统 涉及到许多其它领域的知识 实践性强 学习方法 阅读一些系统性较强的教材
16、找到经典的论文 案例研究,武汉工业学院,本课程的目的,提高安全意识掌握网络攻防技术的原理、方法和工具信息系统的安全解决方案掌握Internet的安全性,武汉工业学院,课程基础知识,密码学计算机网络(TCP/IP)操作系统(UNIX和Windows)程序设计,武汉工业学院,考核办法,平时成绩 30%考试70%,武汉工业学院,参考书籍,William Stallings, Cryptography and network security: principles and practice, Second Edition 网络安全实用教程(第二版)Eric Maiwald 其他准备知识的书籍 TCP/IP OS,武汉工业学院,结束,
