第一讲网络与信息安全(一)-网络与信息安全第一讲精编版

网络与信息安全(一),内容,信息安全概述 信息安全现状 关于本课程 课程内容 课程安排,关于信息化,信息革命是人类第三次生产力的革命 四个现代化，那一化也离不开信息化。 江泽民,我的信息感受,电脑的不断普及 露天电影家庭影院 银行业务 电话的改变 邮局业务 电子邮件 电子商务 ,信息化出现的新问题,IT泡沫破裂 失业，再就业的起点更高 互联网经营模式是什么？ 网上信息可信度差 垃圾电子邮件 安全 病毒 攻击 ,信息安全形势严峻,2000年问题总算平安过渡 黑客攻击搅得全球不安 计算机病毒两年来网上肆虐 白领犯罪造成巨大商业损失 数字化能力的差距造成世界上不平等竞争 信息战阴影威胁数字化和平,信息安全事件统计,CERT有关安全事件的统计,Information and Network Security,We will demonstrate that 62% of all systems can be penetrated in less than 30 minutes. More than half of all attacks will come from inside your own organization from TNN.com,信息化与国家安全政治,由于信息网络化的发展，已经形成了一个新的思想文化阵地和思想政治斗争的战场。 以美国为首的西方国家，始终认为我们是他们的敌对国家。一直没有放弃对我们的西化、分化、弱化的政策。 去年年初，美国国务卿奥尔布来特在国会讲：“中国为了发展经济，不得不连入互联网。互联网在中国的发展，使得中国的民主，真正的到来了。” 香港广角镜月刊7月号文章： 中情局对付中国的十条诫令,带有政治性的网上攻击有较大增加,过去两年，我们国家的一些政府网站，遭受了四次大的黑客攻击事件。 第一次在99年1月份左右，但是美国黑客组织“美国地下军团”联合了波兰的、英国的黑客组织，世界上各个国家的一些黑客组织，有组织地对我们国家的政府网站进行了攻击。 第二次，99年7月份，台湾李登辉提出了两国论。 第三次是在2000年5月8号，美国轰炸我国驻南联盟大使馆后。 第四次在2001年4月到5月，美机撞毁王伟战机侵入我海南机场,信息化与国家安全经济,一个国家信息化程度越高，整个国民经济和社会运行对信息资源和信息基础设施的依赖程度也越高。 我国计算机犯罪的增长速度超过了传统的犯罪 97年20几起，98年142起，99年908起，2000年上半年1420起。 利用计算机实施金融犯罪已经渗透到了我国金融行业的各项业务。 近几年已经破获和掌握100多起。涉及的金额几个亿。,黑客攻击事件造成经济损失,2000年2月份黑客攻击的浪潮，是互连网问世以来最为严重的黑客事件 99年4月26日，台湾人编制的CIH病毒的大爆发，有统计说我国大陆受其影响的PC机总量达36万台之多。有人估计在这次事件中，经济损失高达近12亿元。 “爱虫”病毒 1996年4月16日，美国金融时报报道，接入Internet的计算机，达到了平均每20秒钟被黑客成功地入侵一次的新记录,信息化与国家安全社会稳定,互连网上散布一些虚假信息、有害信息对社会管理秩序造成的危害，要比现实社会中一个造谣要大的多。 99年4月，河南商都热线一个BBS，一张说交通银行郑州支行行长协巨款外逃的帖子，造成了社会的动荡，三天十万人上街排队，挤提了十个亿。 网上治安问题，民事问题，进行人身侮辱。 来自上海，四川的举报,对社会的影响,针对社会公共信息基础设施的攻击严重扰乱了社会管理秩序 2001年2月8日正是春节，新浪网遭受攻击，电子邮件服务器瘫痪了18个小时。造成了几百万的用户无法正常的联络。 网上不良信息腐蚀人们灵魂 色情资讯业日益猖獗 1997年5月进入色情网站浏览的美国人，占了美国网民的28.2%。 河南郑州刚刚大专毕业的杨科、何素黄，在商丘信息港上建立了一个个人主页，用五十多天的时间建立的主页存了一万多幅淫秽照片的网站。100多部小说，小电影。不到54天的时间，访问他的人到了30万。 网上赌博盛行,信息化与国家安全信息战,“谁掌握了信息，控制了网络，谁将拥有整个世界。” （美国著名未来学家阿尔温 托尔勒） “今后的时代，控制世界的国家将不是靠军事，而是信息能力走在前面的国家。” （美国总统克林顿） “信息时代的出现，将从根本上改变战争的进行方式。” （美国前陆军参谋长沙利文上将）,C4I:Command, Control, Communications, Computers and Intelligence,兰德公司的对华建议策略,兰德公司于1999年6月份向美国政府提出的建议报告：美国的对华战略应该分三步走： 第一步是西化、分化中国，使中国的意识形态西方化，从而失去与美国对抗的可能性； 第二步是在第一步失效或成效不大时，对中国进行全面的遏制，并形成对中国战略上的合围； 第三步就是在前两招都不能得逞时，不惜与中国一战，当然作战的最好形式不是美国的直接参战，而是支持中国内部谋求独立的地区或与中国有重大利益冲突的周边国家。,信息时代的国际形势,在信息时代，世界的格局是：一个信息霸权国家，十几个信息主权国家，多数信息殖民地国家。 在这样的一个格局中，只有一个定位：反对信息霸权，保卫信息主权。,安全威胁来自哪里,内因 人们的认识能力和实践能力的局限性 系统规模 Windows 3.1 300万行代码 Windows 2000 5000万行代码,外因,攻击类型图例：,从信息安全到信息保障,我们面临的信息环境的进展 我们需要的信息安全概念的拓宽 什么是信息保障,信息通讯环境,基本的通讯模型,sender,receiver,信源编码 信道编码 信道传输 通信协议,通信的保密模型通信安全-60年代（COMSEC）,网络通讯的信息安全模型,仲裁方,公证方,控制方,发方,收方,敌方,信息安全的需求,信息安全的三个基本方面 保密性 Confidentiality 信息的机密性，对于未授权的个体而言，信息不可用 完整性 Integrity 信息的完整性、一致性，分为 数据完整性，未被未授权篡改或者损坏 系统完整性，系统未被非法操纵，按既定的目标运行 可用性 Availability 服务连续性,关于信息安全的需求,信息安全的其他方面 真实性 authenticity 个体身份的认证，适用于用户、进程、系统等 Accountability 确保个体的活动可被跟踪 Reliability 行为和结果的可靠性、一致性,从信息安全到信息保障,通信保密（COMSEC）：60年代 计算机安全（COMPUSEC）：60-70年代 信息安全（INFOSEC）：80-90年代 信息保障（IA）：90年代-,什么是信息保障,Information Assurance 保护（Protect） 检测（Detect） 反应（React） 恢复（Restore）,保护 Protect,检测 Detect,恢复 Restore,反应 React,IA,PDRR,保护（Protect） 采用可能采取的手段保障信息的保密性、完整性、可用性、可控性和不可否认性。 检测（Detect） 利用高级术提供的工具检查系统存在的可能提供黑客攻击、白领犯罪、病毒泛滥脆弱性。 反应（React） 对危及安全的事件、行为、过程及时作出响应处理，杜绝危害的进一步蔓延扩大，力求系统尚能提供正常服务。 恢复（Restore） 一旦系统遭到破坏，尽快恢复系统功能，尽早提供正常的服务。,信息安全法规,数字化生存需要什么样的法规 信息内容安全 网上交易安全 电子信息权利 如何规制信息内容 如何规制网上行为,国际立法情况,美国 1) 信息自由法 2）个人隐私法 3）反腐败行径法 4）伪造访问设备和计算机欺骗滥用法 5）电子通信隐私法 6)计算机欺骗滥用法 7)计算机安全法 8)正当通信法（一度确立，后又推翻） 9)电讯法,美国关于密码的法规,加密 本土可以使用强密码（密钥托管、密钥恢复、TTP） 视为武器而禁止出口 可以出口密钥长度不超过40位的产品 后来表示可以放宽到128位 认证 出口限制相对加密宽松 2000年通过了数字签名法。,欧洲共同体,欧洲共同体是一个在欧洲范围内具有较强影响力的政府间组织。 为在共同体内正常地进行信息市场运做，该组织在诸多问题上建立了一系列法律，具体包括：竞争（反托拉斯）法；产品责任、商标和广告规定；知识产权保护；保护软件、数据和多媒体产品及在线版权；数据保护；跨境电子贸易；税收；司法问题等。这些法律若与其成员国原有国家法律相矛盾，则必须以共同体的法律为准（1996年公布的国际市场商业绿皮书， 对上述问题有详细表述。）。 其成员国从七十年代末到八十年代初，先后制定并颁布了各自有关数据安全的法律。,英国,1996年以前，英国主要依据黄色出版物法、青少年保护法 、录像制品法 、禁止滥用电脑法和刑事司法与公共秩序修正条例惩处利用电脑和互联网络进行犯罪的行为。 1996年9月23日，英国政府颁布了第一个网络监管行业性法规三R安全规则。“三R”分别代表分级认定、举报告发、承担责任。法规旨在从网络上消除儿童色情内容和其他有害信息，对提供网络服务的机构、终端用户和编发信息的网络新闻组，尤其对网络提供者作了明确的职责分工。,俄罗斯,于1995年颁布了联邦信息、信息化和信息保护法。 法规强调了国家在建立信息资源和信息化中的责任是“旨在为完成俄联邦社会和经济发展的战略、战役任务，提供高效率、高质量的信息保障创造条件”。 法规中明确界定了信息资源开放和保密的范畴，提出了保护信息的法律责任。,新加坡,新加坡广播管理局（SBA）1996年7月11日宣布对互联网络实行管制，宣布实施分类许可证制度。该制度1996年7月15日生效。 它是一种自动取得许可证的制度，目的是鼓励正当使用互联网络，促进其在新加坡的健康发展。 它依据计算机空间的最基本标准谋求保护网络用户，尤其是年轻人，免受非法和不健康的信息传播之害。为减少许可证持有者的经营与管理负担，制度规定凡遵循分类许可证规定的服务均被认为自动取得了执照。,我国立法情况,基本精神适用于数字空间的国家大法 中华人民共和国宪法 中华人民共和国商标法（1982年8月23日 ）中华人民共和国专利法（1984年3月12日 ）中华人民共和国保守国家秘密法（1988年9月日 ） 中华人民共和国反不正当竞争法（1993年9月2日 ）,初步修订增加了条款的国家法律,中华人民共和国刑法 为了加强对计算机犯罪的打击力度，在1997年对刑罚进行重新修订时，加进了以下计算机犯罪的条款： 第二百八十五条 违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。 第二百八十六条 违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役,后果特别严重的，处五年以上有期徒刑。违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。 第二百八十七条 利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。,国家条例和管理办法,计算机软件保护条例（1991年6月4日 ） 中华人民共和国计算机信息系统安全保护条例（1994年2月18日 ） 商用密码管理条例（1999年lO月7日 ） 互联网信息服务管理办法（2000年9月20日 ） 中华人民共和国电信条例（2000年9月25日 ） 全国人大常委会关于网络安全和信息安全的决定 （2000年12月29日）,在保障互联网的运行安全方面有,1侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统； 2故意制作、传播计算机病毒等破坏性