网络与信息安全概述

• 澳大利亚总理陆克文表示，联邦政府正在 考虑设立网络安全监察员，以加大打击网 络色情犯罪的力度。
• 我国在《国民经济和社会发展第十一个五 年规划纲要》中明确提出要强化信息安全 保障工作，要积极防御、综合防范，提高 信息安全保障能力。强化安全监控、应急 响应、密钥管理、网络信任等信息安全基 础设施建设，发展咨询、测评、灾备等专 业化信息安全服务。
• 熊猫病毒”是2006年中国十大病毒之首。 它通过多种方式进行传播，并将感染的所 有程序文件改成熊猫举着三根香的模样， 同时该病毒还具有盗取用户游戏账号、QQ 账号等功能 . • 熊猫烧香”是一种蠕虫病毒的变种，而且 是经过多次变种而来的,原名为尼姆亚变种 W(Worm.Nimaya.w)。
外交部驳斥我军方攻击美国防部网 络传言
信息安全的互动模型
网络安全运行管理平台— SOC(security operation center)
• 安全策略管理模块作为SOC的中心,它根据组织的 安全目标制定和维护组织的各种安全策略以及配 置信息. • 资产是整个SOC体系的保护对象,SOC是以安全数 据库的建立为基础,安全数据库包括资产库,漏洞库 威胁库,病毒信息库,风险库等. • 资产风险管理模块应基于上述安全数据库对资产 的脆弱性,漏洞以及资产面临的威胁进行收集和管 理.
• 保密性(confidentiality)：信息不被泄露给非授权 的用户、实体或过程，或供其利用的特性 • 完整性(integrity)：信息未经授权不能进行改变的 特性 • 可用性(availability)：信息可被授权实体访问并按 需求使用的特性 • 可控性(controllability)：可以控制授权范围内的 信息流向及行为方式 • 不可否认性(non-repudiation)：信息的行为人要 对自己的信息行为负责，不能抵赖曾有过的信息 行为
• 外交部发言人姜瑜表示，最近有关中国军方对美 国国防部实施网络攻击的指责是毫无根据的。 • • “我们认为黑客是一个国际性的问题，中方也经 常遭到黑客的袭击。中方愿与其他国家一道，采 取措施共同打击网络犯罪。在这方面，我们愿意 加强国际合作。”
威胁计算机系统安全的几种形式
攻击复杂程度与入侵技术进步示意图
课程内容
• • • • • • • • • • • 数字签名与信息安全概述 数字签名的基本概念和方法 数字签名与数字证书及PKI技术 数字签名与SSL 数字签名与电子商务SET 数字签名与电子政务 电子签章 数字签名与安全邮件系统 可信计算与数字签名 数字签名法及标准 数字签名实验 数字签名新技术进展
3 信息系统的安全体系
• 信息安全的原始意义是指计算机通信中 的数据、图像、语音等信息的保密性、 完整性、可用性不受损害。 • 信息安全的概念不断拓宽。从广度上， 信息安全外延到计算机通信基础设施的 安全运行和信息内容的健康合法。从深 度上，信息安全又向信息保护与防御的 方向发展。
信息安全的基本需求
• 为了确保以上各项，必须由内容创建者使用满足下列条件的 签名对内容进行数字签名： • 该数字签名有效 （有效：一种证书状态，根据证书颁发机 构的数据库对证书进行检查后发现它是合法的、最新的， 而且没有过期或被吊销。由有效证书签名且签名后没有更 改的文档被视为有效文档。）。 • 与该数字签名关联的证书 （证书：一种证明身份和真实性 的数字方法。证书由证书颁发机构颁发，而且和驾驶执照 一样，也可能过期或被吊销。）有效（没有过期）。 • 作为发布者的签名人或公司可信 （信任：表示您是否信任 证书颁发的受体（个人或组）。默认设置是“继承颁发者 的信任关系”，也就是因为对颁发者（通常是证书颁发机 构）的信任而信任证书。）。 • 与数字签名关联的证书由有声望的证书颁发机构 (CA) （证 书颁发机构 (CA)：一个商业组织，它颁发数字证书，跟踪 被颁发证书的人员，对证书签名以验证其有效性，并跟踪 被吊销或已过期的证书。） 颁发给签名发布者。
信息安全的技术层次视点
信息内容对抗 信息利用的安全 “信息对抗” 内容安全 层次结构 结构层次
Information security 信息自身的安全 Information Security “信息安全” Information security
数据安全 运行安全 System security 系统自身的安全 “系统安全” System security 物理安全
数字签名技术---网络与信息安全概述
北京科技大学 信息学院 陈红松 副教授
• • • • • • •
1 课程内容及使用的教材 2 网络与信息安全的严峻形势 3 网络与信息系统的安全体系 4 开放系统互连(OSI)安全体系结构 5 TCP/IP的安全体系结构 6 数字签名基本概念 7 网络与信息安全产品介绍
Байду номын сангаас
信息防护的PDRR模型
P2DR安全模型

以安全策略为核心(ISS（Internet Security Systems InC.) 提出)



策略：是模型的核心，具体的实施 过程中，策略意味着网络安全要达 到的目标。 防护：安全规章、安全配置、安全 措施 检测：异常监视、模式发现 响应：报告、记录、反应、恢复
课程考核方式
• 平时作业及前沿专题讨论 (15%) • 考试 占85%
2 信息安全的严峻形势
• 2006年6月13日，据微软公布的安全报告显 示，在2005年1月至2006年3月期间，60％ 左右的Windows PC机都感染过恶意代码。
• 据称，美国正在进行的CPU“陷阱”设计， 可使美国通过互联网发布指令让敌方电脑 的CPU停止工作 。
• 网络安全的严峻形势令网络私密信息安全， 成为了史无前例的全球社会焦点问题，美 国总统奥巴马甚至将来自网络空间的威胁 等同于核武器和生物武器对美国的威胁， 这就令政府部门、企业及个人用户将更多 地资金投入到打击网络犯罪，维系信息安 全中来。
• 在2009年全球十大网络安全事件中， Conficker蠕虫病毒攻击高居榜首。这个史 上宣传最多的僵尸网络多产蠕虫病毒，源 自一个2008年10月发现的，以微软 windows操作系统为攻击目标的计算机蠕虫 病毒，它利用已知的被用于windows操作系 统的服务器远程过程调用服务(RPC)漏洞， 在2009年上半年通过USB和P2P感染了数 百万电脑，该病毒不仅阻止用户访问网络 安全公司网站，还会通过禁用Windows自 动升级和安全中心来逃避检测和清除。
• 德国政府2009年出台了一部反儿童色情法案—— 《阻碍网页登录法》。根据此法案，联邦刑事警 察局将建立封锁网站列表并每日更新，互联网服 务供应商将根据这一列表，封锁相关的儿童色情 网页。该法案已经获得德国联邦议院和联邦参议 院的批准。 • 但有观点认为，此法案还不够严厉，因为用 户可以绕开技术障碍，所以最好的办法是彻底删 除相关内容。
• 1998年，为了获得在洛杉矶地区kiss-fm电 台第102个呼入者的奖励——保时捷跑车， Kevin Poulsen控制了整个地区的电话系统， 以确保他是第102个呼入者。 • 最终，他如愿以偿获得跑车并为此入狱三 年。
• 2000年1月，日本政府11个省、厅受到黑客攻击。 总务厅的统计信息全部被删除；外务省主页3分钟 受攻击1000余次；日本最高法院主页2天内受攻 击3000余次。日本政府成立反黑特别委员会，拨 款24亿日元研究入侵检测技术、追踪技术、病毒 技术和密码技术。 • 2000年2月，美国近十家著名的互联网站遭受黑 客攻击，在短短的几天内，使互联网的效率降低 20％，据估算，攻击造成的损失达到12亿美元以 上，引起股市动荡。
信息安全是信息化可持续发展的保障


网络信息安全已成为急待解决、影响国家大局和 长远利益的重大关键问题，信息安全保障能力是 21世纪综合国力、经济竞争实力和生存能力的重 要组成部分。 网络信息安全问题如果解决不好将全方位地危及 我国的政治、军事、经济、文化、社会生活的各 个方面,使国家处于信息战和高度经济金融风险 的威胁之中。 ---沈昌祥院士 信息安全专家
弱点传播及其利用变化图
多维角度网络攻击分类
• 美国国防部授权美国航天司令部负责美军计算机 网络攻防计划，成立网络防护“联合特遣部队”， 规划“国防部信息对抗环境(InfoCon)，监视有组 织和无组织的网络安全威胁，创建整个国防部实 施网络攻防战的标准模型，训练计算机操作人员。 • 2002年1月15日，Bill.Gates在致微软全体员工的 一封信中称，公司未来的工作重点将从致力于产 品的功能和特性转移为侧重解决安全问题，并进 而提出了微软公司的新“可信计算”(Trustworthy computing)战略 .
三级信息 安全框架
北京邮电大学校长 方滨兴 院士 提出
信息系统的安全体系
培训
安全 策略 与 服务 密 钥 管 理
状态 检测 入侵 监控 OSI 安全 管理 安全服务 安全机制 系统 安全 物理 安全
制度
管 理 体 系
审计
OSI安全技术
运行环境及 系统安全技术
技术管理 技术体系
技术机制
法律 机构
组织体系
岗位 人事
美国国家安全局制定的信息保障技术框架（IATF）
信息安全的层次分析
• 数字签名通过使用计算机加密来验证 （身份验证： 验证人员和产品所声明的身份是否属实的过程。 例如，通过验证用于签名代码的数字签名来确认 软件发行商的代码来源和完整性。）数字信息， 如文档、电子邮件和宏。数字签名有助于确保： • 真实性 数字签名有助于确保签署人的身份与声 明的相符。 • 完整性 数字签名有助于确保内容在经过数字签 名之后未经更改或篡改。 • 不可否认 数字签名有助于向所有方证明签署内 容的有效性。“否认”指签名人否认任何与签署 内容有关系的行为。
• 俄罗斯2000年6月批准实施的《国家信息安 全学说》把“信息战”问题放在突出地位。 俄罗斯为此专门成立了新的国家信息安全 与信息对抗领导机构，建立了信息战特种 部队，将重点开发高性能计算技术、智能 化技术、信息攻击与防护技术等关键技术。
• 日本防卫厅计划在2001至2005年实施的 《中期防卫力量配备计划》中进行电脑作 战研究，通过电脑作战破坏敌方的指挥通 讯系统，加强自卫队的信息防御和反击能 力。据美国防部官员称，日本的东芝公司 已有能力制造“固化病毒”这种新式的计 算机武器。
数字签名新技术进展
• • • • • • • • • 代理签名及应用 群签名及应用 环签名及应用 盲签名及应用 门限签名及应用 秘密共享与数字签名 具有消息恢复的数字签名方案 多重数字签名及应用 XML 数字签名及应用
参考教材
书名 : 数字签名原理及技术 编著: 张先红 出版社 机械工业出版社
书名 : 《数字签名理论》 编著: 赵泽茂 出 版 社: 科学工业出版社 出版时间:2007.1
4 开放系统互连(OSI)安全体系结构
• 网络体系结构是计算机之间相互通信的层 次，以及各层中的协议和层次之间接口的 集合。 • 国际标准化组织ISO在提出了开放系统互连 （Open System Interconnection，OSI）模 型，这是一个定义连接异种计算机的标准 主体结构。 OSI采用了分层的结构化技术， 每层的目的都是为上层提供某种服务。
• 信息保护及防御IA（Information Assurance） • 保证信息与信息系统的可用性、完整性、真 实性、机密性和不可抵赖性的保护与防御手 段。它通过保护、检测、恢复、反应技术的 采用使信息系统具有恢复能力。
保护 Protect 检测 Detect
IA
反应 React 恢复 Restore


2001年2月8日，新浪网遭受大规模网络攻 击，电子邮件服务器瘫痪了18个小时。造 成了几百万的用户无法正常使用新浪网。 2006年9月13日，百度承认遭受“大规模的不 明身份黑客攻击”，导致百度搜索服务在 全国各地出现了近30分钟的故障，并认为 这是有人精心组织策划的行动，并已经向 公安机关报案。