《信息安全技术与工程外地》由会员分享,可在线阅读,更多相关《信息安全技术与工程外地(48页珍藏版)》请在金锄头文库上搜索。
1、信息技术在人类生产生活中日益发挥至关重要的作用,信息作为一种战略资源,其安全问题也随之成为关系国家安全、经济发展和社会稳定的战略性问题。国际上围绕夺取“信息控制权”的斗争愈演愈烈,世界各国政府、学术界及产业界都对信息安全高度重视,在相关基础理论、关键技术及工程实施方面大力投入,取得了丰硕的成果。信息安全事关国家主权和国家安全,它作为国家安全的重要组成部分,持续并深刻影响着国家的政治安全、军事安全、经济安全、文化安全等诸多方面。为保证信息安全,必须坚持自主可控的原则,建立健全完善的信息安全保障体系。,信息安全技术与工程,从学科的角度来讲,信息安全是综合数学、通信、计算机、电子、物理、管理、法律和
2、教育等学科发展演绎而形成的新兴交叉学科,主要研究信息获取、信息存储、信息传输以及信息处理中的安全威胁和安全保障问题。信息安全学科与上述各学科既联系紧密,又有本质区别。研究对象:信息安全主体、客体及其相互作用构成的复杂动力系统。理论基础:数学(主要是代数、数论、概率统计、组合数学、逻辑 学以及博弈论等)、信息SCI论(即信息论、控制论和系统论)、计算理论(主要是可计算性理论和计算复杂性理论等)。方法论基础:系统工程观点和复杂系统理论(包括理论分析、仿真计算和实验分析三个核心内容) 。,信息安全技术与工程,信息安全形成了自己的理论、技术和工程应用体系,从而构成了一个相对独立的新兴学科,内容涵盖原理
3、、技术与工程三个基本层次。原理:信息安全的基本原理,以数据机密性、数据完整性、不可否认性、鉴别和访问控制五大类安全服务和安全模型为线索,涉及信息安全学科理论基础和方法论基础,这是一切信息安全技术与工程所共同需要的理论基础;技术:密码体制、防火墙、入侵检测、协议安全、内容监控等相关技术,涵盖了密码学、网络安全、信息系统安全和信息内容安全等四大主题,目的在于构建信息安全保障体系的技术基础;工程:从工程实施的角度出发,讲述信息安全规划与控制、需求与分析、实施与评估等具体环节,并结合具体的信息安全工程的实现,描述构建信息安全保障体系的信息安全工程全过程。信息安全原理、技术与工程这三个层次的内容相互联系
4、,相互支撑,形成了一个既分工明确又一脉相承的有机整体,构成了较为完整的信息安全知识结构体系。,信息安全技术与工程,介 绍 内 容,信息安全 原理、技术与工程,信息安全案例信息、系统与信息系统信息安全基本概念,第一章 概 论,中央电视台军事频道、解放军报报道,1 信息安全典型案例,美国F35-II战机资料惨遭黑客偷窃 俄军组建电子战部队(网络战) 思考:我国军事和国防科技工业信息安全问题? (航空工业多厂多所多地区多机型,飞豹、歼20、歼15B、武直九),2009年3月份,中央电视台经济频道报导,315晚会关注公众信息安全问题 经济与法节目威胁,就在身边揭露黑客产业链和私密信息泄露问题。,200
5、7年10月30日,奥运门票第二阶段阶段预售首日,科技奥运? 欲说当年好困惑,信息安全典型案例,信息安全典型案例,2006年3月2日14点10分,沪深大盘忽然发生罕见大跳水,7分钟之内上证指数跌去近20点。原因分析: 当日下午刚上市的招商银行认股权证成交量巨大,导致其行情显示时总成交量字段溢出,使其价格在股票分析软件上成为一条不再波动的直线,让市场产生了恐慌。,2005年4月20日上午10时56分,中国银联系统通信网络和主机出现故障,造成辖内跨行交易全部中断。这是2002年中国银联成立以来,首次全国性因系统故障造成的跨行交易全面瘫痪。 原因:银联新近准备上线的某外围设备的隐性缺陷诱发了跨行交易系
6、统主机的缺陷,使主机发生故障 软件能否提供安全支持?,信息安全典型案例,美国Windriver(风河)开发的嵌入式操作系统VxWorks,占据了超过30%的国际市场份额,超过5亿的嵌入式设备上装载着该系统。该系统被广泛地应用在通信、军事、航空航天、国防等对实时性和可靠性要求极高的领域中,如卫星控制、军用通讯、导弹制导、飞机导航等。(战术、战略)导弹测试、发射、控制中大量应用VxWorks系统,现已发现可以通过无线注入,实现VxWorks系统权限提升,实现恶意攻击(如,修改飞行参数等)。目前,可以通过缓冲区溢出攻击实现拒绝服务。(国外软件,特别是外购软件的安全问题。有源码、无源码),信息安全典型
7、案例,信息安全典型案例,1988年11月2日,美国康奈尔大学的学生罗伯特莫里斯释放多个蠕虫病毒,造成因特网上近6000台主机瘫痪,据称损失高达数千万美元。国际上,计算机蠕虫病毒的鼻祖!,2.1 信息(Information)信息论创始人Shannon:信息是能够用来消除不确定性的东西。信息是两次不确定性之差,信息是确定性的增加(逆Shannon信息定义:由形式上的负熵entropy不确定度,变换成形式上的正熵补确定度)。熵是不确定性的量度。控制论创始人Wiener :信息就是信息,不是物质,也不是能量。信息与物质和能量具有不同的属性。信息、物质、能量既有联系又有区别。物质是信息的载体,物质运动
8、是信息产生的源泉,能量是传递信息的必要条件。信息是系统的组成部分,是物质和能量的形态、结构、属性、和含义的表征,是人类认识客观的纽带。信息是事物运动的存在或表达形式,是一切物质的普遍属性,实际上包括了一切物质运动的表征。,2 信息、系统与信息系统,信息的特性,信息具有主观和客观的两重性 信息的客观性表现为信息是客观事物发出的信息,信息以客观为依据;信息的主观性反应在信息是人对客观的感受,是人们感觉器官的反应和在大脑思维中的重组。(由此引申出广义信息和狭义信息的概念)信息的无限延续性 信息不仅在时间上能无限延续,而且在空间上还能无限扩散。 信息的不守恒性 可扩散性。反复利用,共享性。,狭义的“信
9、息”是一个与接受主体有关的概念。现代社会,通常把信息理解为一种能够传送、交换、存储的,具有一定意义的抽象内容。具有如下共同特征: 1. 信息与接受对象以及要达到的目的有关。 2. 信息的价值与接受信息的对象有关。 3. 信息有多种多样的传递手段。4. 信息在使用中不会被消耗掉。,狭义之“信息”,2.2 系统 (System),概念:系统是由一些相互联系、相互制约的若干组成部分结合而成的、具有特定功能的一个有机整体(集合)。从三个方面理解1系统是由若干要素(部分)组成的(EIement)。 2系统有一定的结构(Structure)。 3系统有一定的功能,或者说系统要有一定的目的性(Functio
10、n)。系统由部件组成,部件处于运动之中;部件间存在着联系;系统各主量和的贡献大于各主量贡献的和,即涌现出新的质(Essence), 也就是常说的1+12;系统的状态是可以转换、可以控制的。,2.3 信息系统 (Information System),概念:信息系统是由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。信息系统的五个基本功能:输入、存储、处理、输出和控制。 输入功能:信息系统的输入功能决定于系统所要达到的目的及系统的能力和信息环境的许可。 存储功能:存储功能指的是系统存储各种信息资料和数据的能力。 处理功能:加工、分析与
11、处理。 输出功能:信息系统的各种功能都是为了保证最终实现最佳的输出功能。 控制功能:对构成系统的各种信息处理设备进行控制和管理,对整个信息加工、处理、传输、输出等环节通过各种程序进行控制。,信息安全(Information Security)学科内涵基本目标发展历程安全要求基本原则,3 信息安全基本概念,信息安全是综合数学、通信、计算机、电子、物理、管理、法律和教育等学科发展演绎而形成的新兴交叉学科。主要研究信息获取、信息存储、信息传输以及信息处理中的安全威胁和安全保障问题。信息安全是对信息和信息系统进行保护,防止未授权的访问、使用、泄露、中断、修改、破坏并以此提供保密性、完整性和可用性。(美
12、国国家标准与技术研究院(National Institute of Standards and Technology,NIST)NIST SP 800-37新版),3.1 学科内涵,信息安全是综合数学、通信、计算机、电子、物理、管理、法律和教育等学科发展演绎而形成的新兴交叉学科。主要研究信息获取、信息存储、信息传输以及信息处理中的安全威胁和安全保障问题。信息安全是对信息和信息系统进行保护,防止未授权的访问、使用、泄露、中断、修改、破坏并以此提供保密性、完整性和可用性。(美国国家标准与技术研究院(National Institute of Standards and Technology,NIS
13、T)NIST SP 800-37新版),学科内涵,3.2 基本目标,基本目标,信息安全领域发展的三个阶段信息保密信息保护信息保障,3.3 发展历程,信息保密,作为首先认识的安全要求,古已有之。现今,仍是信息安全的基石。现代两大标志性事件:1、1976年, Diffie和Helmann 发表的New Direction in Cryptography,提出了公钥密码体制的新思想。2、1977年, 1977年美国国家标准局公布了IBM公司研制的一种数据加密算法(DES)。,第一阶段:信息保密,第二阶段:信息保护(信息安全),Trusted Computer System Evaluation Cr
14、iteria,俗称橘皮书,是计算机系统安全评估的第一个正式标准。1970年由美国国防科学委员会提出,1985年12月由美国国防部公布。TCSEC将计算机系统的安全划分为4个等级、7个级别。 TCSEC把保密作为安全的重点。,Information Technology Security Evaluation Criteria。欧洲安全评价标准(英、法、德、荷)。1991年6月,ITSEC是欧洲多国安全评价方法的综合产物,应用领域为军队、政府和商业。该标准将安全概念分为功能与评估两部分。 ITSEC则把完整性、可用性与保密性作为同等重要的因素。,The Common Criteria for I
15、nformation Technology Security Evaluation,信息技术安全评价通用准则,简称CC标准。1993年6月,综合了美国的TCSEC、欧洲的ITSEC、加拿大的CTCPEC、美国的FC等信息安全准则准则和标准,形成了一个更全面的框架。,为数据处理系统建立的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。(ISO,偏重于静态信息保护)计算机的硬件、软件和数据受到保护,不因偶然和恶意的原因而遭到破坏、更改和泄露,系统连续正常运行。(着重于动态意义描述),计算机安全定义,保护手段:采用各种被动的防御措施与技术,使内部网络免受攻击,保护内部网
16、络的信息安全。技术方法:防火墙、防病毒、漏洞扫描、访问控制、VPN、入侵检测、安全路由器等,信息保护阶段的主要特征,以“信息保障”为中心的新思路,第三阶段:信息保障,“确保信息和信息系统的可用性、完整性、可认证性、保密性和不可否认性的保护和防范活动。它包括了以综合保护、检测、反应能力来提供信息系统的恢复。”-1996年美国国防部( DoD)国防部令S-3600.1,信息保障的定义,Defense-in-Depth Strategy其内涵已经超出了传统的信息安全保密和保护是保护(Protection)、检测(Detection)、响应(Reaction)以及恢复(Restore)的有机结合,即PDRR模型。,纵深防御策略(DiD),基本要求(CIA)保密性 (Confidentiality)完整性 (Integrity)可用性 (Availability) 扩展要求可控性(Controlability)不可否认性(Non-repudiation)可鉴别性(Authenticity),
