网络与信息安全 (一)
DESCRIPTION
网络与信息安全 (一). 潘爱民,北京大学计算机研究所 [email protected] http://www.icst.pku.edu.cn/InfoSecCourse. 内容. 信息安全概述 信息安全现状 关于本课程 课程内容 课程安排. 关于信息化. 信息革命是人类第三次生产力的革命 四个现代化,那一化也离不开信息化。 ——江泽民. 我的信息感受. 电脑的不断普及 露天电影——家庭影院 银行业务 电话的改变 邮局业务 ——电子邮件 ——电子商务 ……. 信息化出现的新问题. IT 泡沫破裂 失业,再就业的起点更高 - PowerPoint PPT PresentationTRANSCRIPT
![Page 2: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/2.jpg)
内容内容 信息安全概述
信息安全现状
关于本课程 课程内容 课程安排
![Page 3: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/3.jpg)
关于信息化关于信息化 信息革命是人类第三次生产力的革命
四个现代化,那一化也离不开信息化。
——江泽民
![Page 4: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/4.jpg)
我的信息感受我的信息感受 电脑的不断普及 露天电影——家庭影院 银行业务 电话的改变 邮局业务 ——电子邮件 ——电子商务 ……
![Page 5: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/5.jpg)
信息化出现的新问题信息化出现的新问题 IT泡沫破裂 失业,再就业的起点更高 互联网经营模式是什么? 网上信息可信度差 垃圾电子邮件 安全
病毒 攻击
……
![Page 6: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/6.jpg)
信息安全形势严峻信息安全形势严峻 2000年问题总算平安过渡 黑客攻击搅得全球不安 计算机病毒两年来网上肆虐 白领犯罪造成巨大商业损失 数字化能力的差距造成世界上不平等竞争 信息战阴影威胁数字化和平
![Page 7: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/7.jpg)
信息安全事件统计信息安全事件统计年份 事件报道数目1988 6
1989 132
1990 252
1991 406
1992 773
1993 1334
1994 2340
1995 2412
1996 2573
1997 2134
1998 3734
1999 9859
2000 21756
总数 47711
CERT有关安全事件的统计
![Page 8: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/8.jpg)
Information and Network Information and Network SecuritySecurity We will demonstrate that 62% of all
systems can be penetrated in less than 30 minutes.
More than half of all attacks will come from inside your own organization
from TNN.com
![Page 9: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/9.jpg)
信息化与国家安全——政治信息化与国家安全——政治 由于信息网络化的发展,已经形成了一
个新的思想文化阵地和思想政治斗争的战场。
以美国为首的西方国家,始终认为我们是他们的敌对国家。一直没有放弃对我们的西化、分化、弱化的政策。
去年年初,美国国务卿奥尔布来特在国会讲:“中国为了发展经济,不得不连入互联网。互联网在中国的发展,使得中国的民主,真正的到来了。”
香港《广角镜》月刊 7 月号文章: 中情局对付中国的<十条诫令>
![Page 10: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/10.jpg)
带有政治性的网上攻击有较大增加带有政治性的网上攻击有较大增加
过去两年,我们国家的一些政府网站,遭受了四次大的黑客攻击事件。 第一次在 99年 1月份左右,但是美国黑客组织“美国地下军团”联合了波兰的、英国的黑客组织,世界上各个国家的一些黑客组织,有组织地对我们国家的政府网站进行了攻击。
第二次, 99年 7月份,台湾李登辉提出了两国论。 第三次是在 2000年 5月 8号,美国轰炸我国驻南联盟大使馆后。
第四次在 2001年 4月到 5月,美机撞毁王伟战机侵入我海南机场
![Page 11: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/11.jpg)
信息化与国家安全——经济信息化与国家安全——经济 一个国家信息化程度越高,整个国民经济和社会运行对信息资源和信息基础设施的依赖程度也越高。
我国计算机犯罪的增长速度超过了传统的犯罪 97年 20几起, 98年 142起, 99年 908起, 2000年上半年 1420起。
利用计算机实施金融犯罪已经渗透到了我国金融行业的各项业务。 近几年已经破获和掌握 100 多起。涉及的金额几个亿。
![Page 12: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/12.jpg)
黑客攻击事件造成经济损失黑客攻击事件造成经济损失 2000年 2月份黑客攻击的浪潮,是互连网问世以来最为严重的黑客事件
99年 4月 26 日,台湾人编制的 CIH病毒的大爆发,有统计说我国大陆受其影响的PC机总量达 36 万台之多。有人估计在这次事件中,经济损失高达近 12 亿元。
“爱虫”病毒 1996 年 4 月 16 日,美国金融时报报道,
接入 Internet 的计算机,达到了平均每 20秒钟被黑客成功地入侵一次的新记录
![Page 13: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/13.jpg)
信息化与国家安全——社会稳定信息化与国家安全——社会稳定 互连网上散布一些虚假信息、有害信息对社会
管理秩序造成的危害,要比现实社会中一个造谣要大的多。
99年 4月,河南商都热线一个 BBS,一张说交通银行郑州支行行长协巨款外逃的帖子,造成了社会的动荡,三天十万人上街排队,挤提了十个亿。
网上治安问题,民事问题,进行人身侮辱。 来自上海,四川的举报
![Page 14: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/14.jpg)
对社会的影响对社会的影响 针对社会公共信息基础设施的攻击严重扰乱了社会管理秩序 2001年 2月 8 日正是春节,新浪网遭受攻击,电子邮件服务器瘫痪了 18个小时。造成了几百万的用户无法正常的联络。
网上不良信息腐蚀人们灵魂 色情资讯业日益猖獗
1997年 5月进入色情网站浏览的美国人,占了美国网民的28.2%。
河南郑州刚刚大专毕业的杨科、何素黄,在商丘信息港上建立了一个个人主页,用五十多天的时间建立的主页存了一万多幅淫秽照片的网站。 100 多部小说,小电影。不到 54天的时间,访问他的人到了 30 万。
网上赌博盛行
![Page 15: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/15.jpg)
信息化与国家安全——信息战信息化与国家安全——信息战“ 谁掌握了信息,控制了网络,谁将拥有整个
世界。” (美国著名未来学家阿尔温 托尔勒)
“ 今后的时代,控制世界的国家将不是靠军事,而是信息能力走在前面的国家。”
(美国总统克林顿)“ 信息时代的出现,将从根本上改变战争的进
行方式。” (美国前陆军参谋长沙利文上将)
![Page 16: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/16.jpg)
C4I:C4I:Command, Control, Communications, Computers and Command, Control, Communications, Computers and IntelligenceIntelligence
WirelessLANEPLRS
CNR
LiveVideo
CNR
MSRT
Direct-BroadcastSurrogate
Satellite-BasedPCS
Wide-Area Network
MSRT
UAV
CNR
CNR
RAP
PCS Cellular
Voice/Data
RAP
ATM
HCTRs
DISN
SurrogateSatellitePCS
SDR/NTDR
DBS Satellite
Information Systems
![Page 17: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/17.jpg)
兰德公司的对华建议策略兰德公司的对华建议策略
兰德公司于 1999年 6月份向美国政府提出的建议报告:美国的对华战略应该分三步走: 第一步是西化、分化中国,使中国的意识形态西方化,从而失去与美国对抗的可能性;
第二步是在第一步失效或成效不大时,对中国进行全面的遏制,并形成对中国战略上的合围;
第三步就是在前两招都不能得逞时,不惜与中国一战,当然作战的最好形式不是美国的直接参战,而是支持中国内部谋求独立的地区或与中国有重大利益冲突的周边国家。
![Page 18: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/18.jpg)
信息时代的国际形势信息时代的国际形势 在信息时代,世界的格局是:一个信息霸
权国家,十几个信息主权国家,多数信息殖民地国家。
在这样的一个格局中,只有一个定位:反对信息霸权,保卫信息主权。
![Page 19: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/19.jpg)
安全威胁来自哪里安全威胁来自哪里 内因
人们的认识能力和实践能力的局限性
系统规模 Windows 3.1 ——300 万行代码 Windows 2000 ——5000 万行代码
![Page 20: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/20.jpg)
外因外因
信息战士减小美国决策空间、战略优势,制造混乱,进行目标破坏
国家安全威胁 情报机构 搜集政治、军事,经济信息
恐怖分子破坏公共秩序,制造混乱,发动政变
工业间谍 掠夺竞争优势,恐吓共同
威胁犯罪团伙
施行报复,实现经济目的,
破坏制度
社会型黑客攫取金钱,恐吓,挑战,获取声望局部
威胁娱乐型黑客 以吓人为乐,喜欢挑战
![Page 21: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/21.jpg)
攻击类型图例:攻击类型图例:
![Page 22: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/22.jpg)
从信息安全到信息保障从信息安全到信息保障 我们面临的信息环境的进展 我们需要的信息安全概念的拓宽 什么是信息保障
![Page 23: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/23.jpg)
信息通讯环境信息通讯环境 基本的通讯模型
sender receiver
信源编码信道编码信道传输通信协议
通信的保密模型通信安全 -60年代( COMSEC)
信源编码信道编码信道传输通信协议密码
sender receiver
enemy
![Page 24: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/24.jpg)
网络通讯的信息安全模型网络通讯的信息安全模型
仲裁方
公证方
控制方
发方 收方
敌方
![Page 25: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/25.jpg)
信息安全的需求信息安全的需求 信息安全的三个基本方面
保密性 Confidentiality 信息的机密性,对于未授权的个体而言,信息不可用
完整性 Integrity 信息的完整性、一致性,分为
数据完整性,未被未授权篡改或者损坏 系统完整性,系统未被非法操纵,按既定的目标运行
可用性 Availability 服务连续性
![Page 26: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/26.jpg)
关于信息安全的需求关于信息安全的需求 信息安全的其他方面
真实性 authenticity 个体身份的认证,适用于用户、进程、系统等
Accountability 确保个体的活动可被跟踪
Reliability 行为和结果的可靠性、一致性
![Page 27: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/27.jpg)
从信息安全到信息保障从信息安全到信息保障 通信保密( COMSEC): 60年代 计算机安全( COMPUSEC): 60-70年代
信息安全( INFOSEC): 80-90年代 信息保障( IA): 90年代 -
![Page 28: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/28.jpg)
什么是信息保障什么是信息保障 Information Assurance
保护( Protect) 检测( Detect) 反应( React) 恢复( Restore)
保护
Protect
检测
Detect
恢复
Restore
反应
React
IA
![Page 29: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/29.jpg)
PDRRPDRR 保护( Protect)
采用可能采取的手段保障信息的保密性、完整性、可用性、可控性和不可否认性。
检测( Detect) 利用高级术提供的工具检查系统存在的可能提供黑客攻击、白领犯罪、病毒泛滥脆弱性。
反应( React) 对危及安全的事件、行为、过程及时作出响应处理,杜绝危害的进一步蔓延扩大,力求系统尚能提供正常服务。
恢复( Restore) 一旦系统遭到破坏,尽快恢复系统功能,尽早提供正
常的服务。
![Page 30: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/30.jpg)
信息安全法规信息安全法规 数字化生存需要什么样的法规
信息内容安全 网上交易安全 电子信息权利
如何规制信息内容 如何规制网上行为
![Page 31: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/31.jpg)
国际立法情况国际立法情况 美国
1) 信息自由法2 )个人隐私法3 )反腐败行径法 4 )伪造访问设备和计算机欺骗滥用法 5 )电子通信隐私法 6) 计算机欺骗滥用法 7) 计算机安全法8) 正当通信法(一度确立,后又推翻)9) 电讯法
![Page 32: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/32.jpg)
美国关于密码的法规美国关于密码的法规 加密
本土可以使用强密码(密钥托管、密钥恢复、 TTP)
视为武器而禁止出口 可以出口密钥长度不超过 40 位的产品 后来表示可以放宽到 128 位
认证 出口限制相对加密宽松 2000年通过了数字签名法。
![Page 33: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/33.jpg)
欧洲共同体欧洲共同体 欧洲共同体是一个在欧洲范围内具有较强影响力
的政府间组织。 为在共同体内正常地进行信息市场运做,该组织
在诸多问题上建立了一系列法律,具体包括:竞争(反托拉斯)法;产品责任、商标和广告规定;知识产权保护;保护软件、数据和多媒体产品及在线版权;数据保护;跨境电子贸易;税收;司法问题等。这些法律若与其成员国原有国家法律相矛盾,则必须以共同体的法律为准( 1996年公布的国际市场商业绿皮书, 对上述问题有详细表述。)。
其成员国从七十年代末到八十年代初,先后制定并颁布了各自有关数据安全的法律。
![Page 34: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/34.jpg)
英国英国 1996 年以前,英国主要依据《黄色出版物法》、《青少年保护法 》、《录像制品法 》、《禁止滥用电脑法》和《刑事司法与公共秩序修正条例》惩处利用电脑和互联网络进行犯罪的行为。
1996 年 9 月 23 日,英国政府颁布了第一个网络监管行业性法规《三 R安全规则》。“三 R” 分别代表分级认定、举报告发、承担责任。法规旨在从网络上消除儿童色情内容和其他有害信息,对提供网络服务的机构、终端用户和编发信息的网络新闻组,尤其对网络提供者作了明确的职责分工。
![Page 35: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/35.jpg)
俄罗斯俄罗斯 于 1995年颁布了《联邦信息、信息化和信息保护法》。
法规强调了国家在建立信息资源和信息化中的责任是“旨在为完成俄联邦社会和经济发展的战略、战役任务,提供高效率、高质量的信息保障创造条件”。
法规中明确界定了信息资源开放和保密的范畴,提出了保护信息的法律责任。
![Page 36: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/36.jpg)
新加坡新加坡 新加坡广播管理局( SBA) 1996 年 7 月 11 日宣布对互联网络实行管制,宣布实施分类许可证制度。该制度 1996 年 7 月 15 日生效。
它是一种自动取得许可证的制度,目的是鼓励正当使用互联网络,促进其在新加坡的健康发展。
它依据计算机空间的最基本标准谋求保护网络用户,尤其是年轻人,免受非法和不健康的信息传播之害。为减少许可证持有者的经营与管理负担,制度规定凡遵循分类许可证规定的服务均被认为自动取得了执照。
![Page 37: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/37.jpg)
我国立法情况我国立法情况 基本精神适用于数字空间的国家大法
中华人民共和国宪法 中华人民共和国商标法( 1982年 8月 23 日
)中华人民共和国专利法( 1984年 3月 12日 )中华人民共和国保守国家秘密法( 1988年 9月5日 )
中华人民共和国反不正当竞争法( 1993年 9月 2 日 )
![Page 38: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/38.jpg)
初步修订增加了条款的国家法律初步修订增加了条款的国家法律 中华人民共和国刑法
为了加强对计算机犯罪的打击力度,在 1997 年对刑罚进行重新修订时,加进了以下计算机犯罪的条款: 第二百八十五条 违反国家规定,侵入国家事务、国防建设
、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
第二百八十六条 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役 , 后果特别严重的,处五年以上有期徒刑。违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。
第二百八十七条 利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。
![Page 39: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/39.jpg)
国家条例和管理办法国家条例和管理办法 计算机软件保护条例( 1991年 6月 4 日 ) 中华人民共和国计算机信息系统安全保护条例
( 1994年 2月 18 日 ) 商用密码管理条例( 1999年 lO月 7 日 ) 互联网信息服务管理办法( 2000年 9月 20 日
) 中华人民共和国电信条例( 2000年 9月 25 日
) 全国人大常委会关于网络安全和信息安全的决
定 ( 2000年 12月 29 日)
![Page 40: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/40.jpg)
在保障互联网的运行安全方面有在保障互联网的运行安全方面有1.侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统;
2.故意制作、传播计算机病毒等破坏性程序,攻击计算机系统及通信网络,致使计算机系统及通信网络遭受损害;
3.违反国家规定,擅自中断计算机网络或者通信服务,造成计算机网络或者通信系统不能正常运行。
![Page 41: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/41.jpg)
《计算机信息系统安全保护等级《计算机信息系统安全保护等级划分准则》划分准则》 1999年 10月经过国家质量技术监督局批准发布
准则将计算机安全保护划分为以下五个级别: 第一级为用户自主保护级。
它的安全保护机制使用户具备自主安全保护的能力,保护用户的信息免受非法的读写破坏。
第二级为系统审计保护级。 除具备第一级所有的安全保护功能外,要求创建和维护访问的审计跟踪记录,使所有的用户对自己的行为的合法性负责。
![Page 42: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/42.jpg)
计算机安全保护等级计算机安全保护等级 ((续续 ))
第三级为安全标记保护级。 除继承前一个级别的安全功能外,还要求以访问对象标记的安全级别限制访问者的访问权限,实现对访问对象的强制保护。
第四级为结构化保护级。 在继承前面安全级别安全功能的基础上,将安全
保护机制划分为关键部分和非关键部分,对关键部分直接控制访问者对访问对象的存取,从而加强系统的抗渗透能力
第五级为访问验证保护级。 这一个级别特别增设了访问验证功能,负责仲裁
访问者对访问对象的所有访问活动。
![Page 43: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/43.jpg)
商用密码管理条例商用密码管理条例 目的:加强商用密码管理,保护信息安全,保护
公民和组织的合法权益,维护国家的安全和利益。
管理机构:国家密码管理委员会及其办公室 (简称密码管理机构 ) 主管全国的商用密码管理工作。自治区、直辖市负责密码管理的机构根据国家密码管理机构的委托,承担商用密码的有关管理工作。
商用密码技术属于国家秘密,国家对商用密码产品的科研、生产、销售和使用实行专控管理。
![Page 44: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/44.jpg)
部门规定和管理办法部门规定和管理办法 中国互联网络域名注册暂行管理办法 计算机信息网络国际联网出入口信道管理办法( 1996年 )
中国公众多媒体通信管理办法( 1997年12月 1 日)
计算机信息系统安全专用产品检测和销售许可证管理办法 ( 1997年 12月 12日 )
计算机信息网络国际联网安全保护管理办法( 1997年 12月 30 日 )
![Page 45: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/45.jpg)
部门规定和管理办法部门规定和管理办法 ((续续 ))
电子出版物管理规定( 1998年 1月 1 日 ) 计算机信息系统国际联网保密管理规定( 2000年 1月 1 日 )
计算机病毒防治管理办法( 2000年 4月 26 日 )
互联网信息服务管理办法 ( 2000年 9月 20日 )
互联网站从事登载新闻业务管理暂行规定( 2000年 11月 6 日 )
从事放开经营电信业务审批管理暂行办法( 2000年 11月 6 日 )
![Page 46: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/46.jpg)
我国的信息安全法规急需完善配套我国的信息安全法规急需完善配套
许多规范需要完善并升级为国家法律 部门条例存在矛盾和权威性不足
许多信息化社会应用需要法律支持 电子商务 电子支付 数字签名
信息化环境的执法需要高技术的支撑
![Page 47: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/47.jpg)
信息安全标准信息安全标准 标准的重要性
信息社会的信息安全是建立在信息系统互连、互通、互操作意义上的安全需求,因此需要技术标准来规范系统的建设和使用。
没有标准就没有规范,没有规范就不能形成规模化信息安全产业,生产出足够的满足社会广泛需要的产品。没有标准也不能规范人们安全防范行为。
国际上的信息安全标准涉及到有关密码应用和信息系统安全两大类。
制定标准的机构有国际标准化组织,某些国家的标准化机关和一些企业集团。他们的工作推动了信息系统的规范化发展和信息安全产业的形成。
标准是科研水平、技术能力的体现,反映了一个国家的综合实力。
标准也是进入WTO的国家保护自己利益的重要手段。
![Page 48: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/48.jpg)
国际标准的发展国际标准的发展 国际上著名的标准化组织及其标准化工作
ISO, NIST
密码标准 DES AES NESSIE(New European Schemes for Signature,
Integrity, and Encryption) 140-2 ( NIST FIPS PUB 密码模块)
可信计算机系统评价准则 TCSEC-ITSEC-CC
管理标准 ISO 17799
![Page 49: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/49.jpg)
权威的传统评估标准权威的传统评估标准 美国国防部在 1985年公布
可信计算机安全评估准则 Trusted Computer Security Evaluation
Criteria (TCSEC)
为安全产品的测评提供准则和方法 指导信息安全产品的制造和应用
![Page 50: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/50.jpg)
传统评估标准的演变传统评估标准的演变 美国 DoD
DoD85 TESEC TCSEC网络解释( TNI 1987) TCSEC数据库管理系统解释( TDI 1991) 彩虹系列 Rainbow series
欧洲 – ITSEC 美国、加拿大、欧洲等共同发起
Common Criteria(CC)
![Page 51: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/51.jpg)
TCSECTCSEC 准则中,从用户登录、授权管理、访问控制、审计跟踪、隐通道分析、可信通道建立、安全检测、生命周期保障、文本写作、用户指南均提出了规范性要求
可信计算基(TCB- Trusted Computing Base) 计算机系统中的负责执行一个安全策略的包括硬件、软件、固件组合的保护技巧的全体。一个 TCB由一个或多个在产品或系统上一同执行统一的安全策略的部件组成。一个 TCB的能力是正确的依靠系统管理人员的输入有关安全策略的参数,正确独立地执行安全策略。
访问控制机制 主要原则:严禁上读、下写( no read up no
write down )就是主要针对信息的保密要求
![Page 52: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/52.jpg)
可信计算机系统安全等级可信计算机系统安全等级 类别
级别
名称
主要特征
A
A1
验证设计
形式化的最高级描述和验证,形式化的隐蔽通道分析,非形式化的代码对应证明
B3
安全区域
存取监控,高抗渗透能力
B
B2
结构化保护
形式化模型/隐通道约束、面向安全的体系结构,较好的抗渗透能力
B1
标识的安全保护
强制存取控制、安全标识
C
C2
受控制的存取控
制
单独的可查性、广泛的审计跟踪
C1
自主安全保护
自主存取控制
D
D
低级保护
相当于无安全功能的个人微机
![Page 53: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/53.jpg)
TCSECTCSEC 的不足的不足 TCSEC是针对孤立计算机系统,特别是
小型机和主机系统。假设有一定的物理保障,该标准适合政府和军队,不适和企业。这个模型是静态的。
NCSC的 TNI是把 TCSEC的思想用到网络上,缺少成功实践的支持。
Moore’s Law: 计算机的发展周期 18个月,现在还有可能减少到一年。不允许长时间进行计算机安全建设,计算机安全建设要跟随计算机发展的规律。
![Page 54: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/54.jpg)
ITSEC ITSEC ((又称欧洲白皮书)又称欧洲白皮书) 90年代初西欧四国(英、法、荷、德)联合提出了信息技术安全评价标准( ITSEC)
除了吸收 TCSEC的成功经验外,首次提出了信息安全的保密性、完整性、可用性的概念,把可信计算机的概念提高到可信信息技术的高度上来认识。他们的工作成为欧共体信息安全计划的基础,并对国际信息安全的研究、实施带来深刻的影响。
![Page 55: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/55.jpg)
ITSECITSEC 定义了七个安全级别定义了七个安全级别 E6 :形式化验证; E5 :形式化分析; E4 :半形式化分析; E3 :数字化测试分析; E2 :数字化测试; E1 :功能测试; E0 :不能充分满足保证。
![Page 56: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/56.jpg)
通用评价准则(通用评价准则( CCCC)) 美国为了保持他们在制定准则方面的优势
,不甘心 TCSEC 的影响被 ITSEC取代,他们采取联合其他国家共同提出新的评估准则的办法体现他们的领导作用。
91 年 1 月宣布了制定通用安全评价准则( CC )的计划。它的全称是 Common Criteria for IT security Evaluation 。
制定的国家涉及到六国七方,他们是美国的国家标准及技术研究所( NIST )和国家安全局( NSA),欧州的荷、法、德、英,北美的加拿大。
![Page 57: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/57.jpg)
通用评价准则(通用评价准则( CCCC)) 它的基础是欧州的 ITSEC ,美国的包括
TCSEC 在内的新的联邦评价标准,加拿大的 CTCPEC ,以及 国际标准化组织ISO :SC27 WG3 的安全评价标准
1995 年颁布 0.9 版, 1996 年 1 月出版了1. 0 版。 1997 年 8 月颁布 2.0 Beata版, 2.0 版于 1998 年 5 月颁布。
1998-11-15 成为 ISO/IEC 15408 信息技术 -安全技术 -IT安全评价准则
![Page 58: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/58.jpg)
CCCC 标准评价的三个方面标准评价的三个方面 CC 标准评价的三个方面
保密性( confidentiality) 完整性( integrity) 可用性( availability)
CC 标准中未包含的内容: 行政管理安全的评价准则 电磁泄露 行政管理方法学和合法授权的结构 产品和系统评价结果的使用授权 密码算法质量的评价
![Page 59: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/59.jpg)
CCCC标准的读者对象标准的读者对象 用户:通过风险和策略的分析,比较评价的不同产品和系统,选择适合自己使用的产品和系统。
开发者:支持开发者认识满足自己产品和系统的安全要求,制定保护轮廓( PP ), 确定安全目标( ST),支持开发者开发自己的评价目标( TOE),在评价方法学帮助开发者,以共识的评价结果评价自己开发的产品和系统。
评价者:正式审查评价目标时为评价者提供一个评价准则,用于评价评价目标( TOE )和安全要求的一致性
其它:对于对 IT安全有兴趣和有责任的人起到一个导向和参考材料的作用,机构中的系统监管和安全官员确定安全策略和要求
![Page 60: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/60.jpg)
CCCC评价准则的结构评价准则的结构 第一部分:介绍和总体模型
对 CC评价准则的介绍。定义 IT安全评价和描述模型的一般概念和原则,提出选择和定义说明产品和系统 IT安全客体的明确的组织的安全要求。
第二部分:安全功能要求 用标准化的方法对评价目标( TOE )建立一个明确的安全要求的部件功能集合。功能集合分类为部件( components)、族( families )和类( classes)
第三部分:安全保证要求 用标准化的方法对评价目标( TOE )建立一个明确的安全要求的保证部件的集合。对保护方案( PP )和安全目标( ST )进行定义,并且对安全评价目标( TOE )提出安全评价保证级别( EAL)
![Page 61: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/61.jpg)
Evaluation Assurance Evaluation Assurance Levels (EALs)Levels (EALs)
EAL
EAL1EAL2EAL3
EAL4EAL5EAL6
Name功能化测试结构化测试方法学测试和检查
方法学设计测试和检查半形式化设计和检查
半形式化校验,设计和测试形式化校验设计和测试
TCSEC
C1C2B1B2B3A1EAL7
![Page 62: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/62.jpg)
我国的标准化工作我国的标准化工作 我国是国际标准化组织的成员国,我国的
信息安全标准化工作在各方面的努力下,正在积极开展之中。从 80年代中期开始,自主制定和视同采用了一批相应的信息安全标准。
…… 但是,应该承认,标准的制定需要较为广泛的应用经验和较为深入的研究背景。这两方面的差距,使我国的信息安全标准化工作与国际已有的工作比较,覆盖的方面还不够大,宏观和微观的指导作用也有待进一步提高。
![Page 63: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/63.jpg)
学习体会学习体会 信息安全内容广阔
密码学 网络安全 系统安全 安全的信息系统
涉及到许多其它领域的知识 实践性强 学习方法
阅读一些系统性较强的教材 找到经典的论文 案例研究
![Page 64: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/64.jpg)
本课程的目的本课程的目的 提高安全意识
掌握网络攻防技术的原理、方法和工具
信息系统的安全解决方案
掌握 Internet的安全性
![Page 65: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/65.jpg)
课程基础知识课程基础知识 密码学
计算机网络 (TCP/IP)
操作系统 (UNIX和Windows)
程序设计
![Page 66: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/66.jpg)
课程内容课程内容 信息安全技术简介以及基础知识 信息系统的基本问题和解决手段
基本的认证手段、访问控制技术 PKI SSL/TLS MIME/SET等
网络安全技术 Firewall IDS 各种攻击和防御技术
![Page 67: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/67.jpg)
课程内容课程内容 ((续续 ))
系统安全 防病毒 构造安全的Web 应用 数字版权保护
信息安全研究新方向 存活性研究 AAA框架 IPv6 中的安全性
![Page 68: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/68.jpg)
考核办法考核办法 作业 50%
2次
考试 50%
![Page 69: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/69.jpg)
参考书籍参考书籍William Stallings, Cryptography and network
security: principles and practice, Second Edition
Hacking Exposed (2nd or 3rd Edition)其他准备知识的书籍
TCP/IP OS Windows NT/2000
![Page 70: 网络与信息安全 (一)](https://reader034.vdocuments.site/reader034/viewer/2022052123/568146b3550346895db3cf18/html5/thumbnails/70.jpg)
结束结束