复旦大学信息安全课件第1章信息系统安全概述

第1章信息系统安全概述第1章信息系统安全概述 随着信息技术的发展和计算机的普及，计算机已进入社会生活的各个角落，特别是互联网的推广应用，使得人们逐步改变生活、工作、学习和合作交流环境随着信息技术的发展和计算机的普及，计算机已进入社会生活的各个角落，特别是互联网的推广应用，使得人们逐步改变生活、工作、学习和合作交流环境，走向信息化时代。走向信息化时代。 但是在带来巨大的社会和经济效益的同时，却潜伏着严重的不安全性、危险性及脆弱性。但是在带来巨大的社会和经济效益的同时，却潜伏着严重的不安全性、危险性及脆弱性。 利用计算机进行高技术犯罪的事件不断出现利用计算机进行高技术犯罪的事件不断出现 纽约一家银行的高级顾问利用掌握的纽约一家银行的高级顾问利用掌握的password，篡改银行电脑财务系统，仅，篡改银行电脑财务系统，仅12秒，秒，5000万美元从纽约通过旧金山转到苏黎世，由其同伙提走，随后再还原电脑程序。万美元从纽约通过旧金山转到苏黎世，由其同伙提走，随后再还原电脑程序。 目前有个估计，用计算机窃取银行资产，平均每次盗窃额为目前有个估计，用计算机窃取银行资产，平均每次盗窃额为883,279美元，美元， 而抢银行，平均损失才而抢银行，平均损失才6100美元。美元。 某部高级技术人员把几十年武器研制绝密材料压缩发出。打印出来可以装某部高级技术人员把几十年武器研制绝密材料压缩发出。打印出来可以装4卡车。卡车。 按照泄密绝密材料按照泄密绝密材料4张死刑，可以死万次张死刑，可以死万次 原中纪委委员、中核集团党组书记、总经理把机密提供给国外公司原中纪委委员、中核集团党组书记、总经理把机密提供给国外公司 在计算机网络上，在计算机网络上，A要将信息传送给要将信息传送给B，就存在着怎样防止有人窃取信息以及用其它信息干扰的问题；，就存在着怎样防止有人窃取信息以及用其它信息干扰的问题； 在信息资源共享上，存在着防止资源随意更改、某些资源须授权查阅等问题。加解密及身份验证在信息资源共享上，存在着防止资源随意更改、某些资源须授权查阅等问题。加解密及身份验证 科学水平的不断提高，用科学水平的不断提高，用password方法已难于起到有效的防范作用，而原来主要用于军事上的通信加密方法正被逐渐用到信息系统和网络上。方法已难于起到有效的防范作用，而原来主要用于军事上的通信加密方法正被逐渐用到信息系统和网络上。 信息加密技术已成为防范计算机犯罪的不可缺少的工具。信息加密技术已成为防范计算机犯罪的不可缺少的工具。 密码技术也可有效地用于信息完整性验证、数字签名等，以防范电子欺骗。密码技术也可有效地用于信息完整性验证、数字签名等，以防范电子欺骗。 例如例如A向向B通过网络订货，如何防抵赖，通过网络订货，如何防抵赖， 数字签名数字签名 电子合同附有标记电子合同附有标记A的特殊信息的特殊信息(数字签名数字签名)， 别人无法伪造，别人无法伪造， A无法抵赖。无法抵赖。 计算机病毒泛滥成灾计算机病毒泛滥成灾 恶性计算机病毒恶性计算机病毒CIH，导致国内很多应用单位的计算机在被，导致国内很多应用单位的计算机在被CIH病毒传染后，造成严重损失，影响了计算机信息系统的正常应用。病毒传染后，造成严重损失，影响了计算机信息系统的正常应用。CIH计算机病毒在全球造成的损失据估计超过计算机病毒在全球造成的损失据估计超过10亿美元，亿美元， “爱虫“爱虫(I Love you)”病毒病毒,全球的损失预计高达全球的损失预计高达100亿美元亿美元 “红色代码”病毒更是危害无穷。具有病毒和黑客双重功能。我国有许多用户被攻击。“红色代码”病毒更是危害无穷。具有病毒和黑客双重功能。我国有许多用户被攻击。 冲击波病毒的肆虐更是损失惨重美国国防部各大网站为此暂时关闭直至安装了防范该病毒的保护装置冲击波病毒的肆虐更是损失惨重美国国防部各大网站为此暂时关闭直至安装了防范该病毒的保护装置。 热衷于攻击计算机系统的计算机爱好者和恶意攻击者。热衷于攻击计算机系统的计算机爱好者和恶意攻击者。 2000年年2月份黑客攻击的浪潮，标志着互连网问世以来黑客事件高潮的到来。月份黑客攻击的浪潮，标志着互连网问世以来黑客事件高潮的到来。 2月月7日日10时时15分，汹涌而来的垃圾邮件堵死了雅虎网站除电子邮件服务等三个站点之外的所有服务器，雅虎大部分网络服务陷入瘫痪。分，汹涌而来的垃圾邮件堵死了雅虎网站除电子邮件服务等三个站点之外的所有服务器，雅虎大部分网络服务陷入瘫痪。 第二天，世界最著名的网络拍卖行电子湾（第二天，世界最著名的网络拍卖行电子湾（eBay）也因神秘客袭击而瘫痪。）也因神秘客袭击而瘫痪。 美国有线新闻网美国有线新闻网CNN的网站也因遭神秘客的袭击而瘫痪近两个小时；的网站也因遭神秘客的袭击而瘫痪近两个小时； 顶级购物网站亚马逊也被迫关闭一个多小时。顶级购物网站亚马逊也被迫关闭一个多小时。 在此之后又有一些著名网站被袭击在此之后又有一些著名网站被袭击,到到2月月17日为止，黑客攻击个案已增至日为止，黑客攻击个案已增至17宗，宗， 引起美国道琼斯股票指数下降了引起美国道琼斯股票指数下降了200多点。多点。 成长中的高科技股纳斯达克股票也一度下跌了成长中的高科技股纳斯达克股票也一度下跌了80个点。个点。美国国防部统计局对各军种和防务机构的美国国防部统计局对各军种和防务机构的Internet场点的计算机系统，进行了场点的计算机系统，进行了38000次攻击实验，成功访问的概率达到次攻击实验，成功访问的概率达到65%。（。（24700次）。次）。被检测到的只有被检测到的只有4%（988次）次）被检测到的攻击只有被检测到的攻击只有27%进行了汇报，也就是进行了汇报，也就是150次攻击中只有一次被检测到次攻击中只有一次被检测到500次攻击中才有一次被汇报。次攻击中才有一次被汇报。因此估计国防部每年受到因此估计国防部每年受到25万次攻击。万次攻击。 联邦执法官员估计每年在美国约有联邦执法官员估计每年在美国约有100亿美元的数据被联机窃取。亿美元的数据被联机窃取。 2007年，台湾利用山东某地政府网站的缺陷，控制了该网站，并以此攻击与该网站连接的国家有关政府机关内部网，窃取大量国家紧密。年，台湾利用山东某地政府网站的缺陷，控制了该网站，并以此攻击与该网站连接的国家有关政府机关内部网，窃取大量国家紧密。 信息安全已成为人们关切和迫切需要解决的问题信息安全已成为人们关切和迫切需要解决的问题 当然信息安全也不要搞得草木皆兵，关键是根据实际需要采取相应的安全措施。当然信息安全也不要搞得草木皆兵，关键是根据实际需要采取相应的安全措施。 有关信息安全，涉及到防火墙技术和密码技术，构建可靠的安全体系有关信息安全，涉及到防火墙技术和密码技术，构建可靠的安全体系 信用卡、信用卡、IC卡等安全问题都需要密切关注和解决。卡等安全问题都需要密切关注和解决。 这门课程主要就是讨论解决有关安全问题的基本方法、基本思想和基本技术。课程要求是，不定期交作业（提前一周通知）这门课程主要就是讨论解决有关安全问题的基本方法、基本思想和基本技术。课程要求是，不定期交作业（提前一周通知）10%,完成规定报告完成规定报告5%，完成，完成1个个project 15%(分分2部分部分)，期终笔试占，期终笔试占70%。 内容包括：内容包括： 信息系统安全概述信息系统安全概述 风险评估风险评估 古典密码概述古典密码概述 对称密码算法对称密码算法 非对称密码算法非对称密码算法 密码应用和网络安全密码应用和网络安全 计算机病毒概述，计算机病毒概述， 典型计算机病毒分析，典型计算机病毒分析， 网络攻击与防范网络攻击与防范1.1信息安全基本概念信息安全基本概念 1.1.1 什么是信息什么是信息 信息的确切定义理论界尚无定论。信息论奠基人信息的确切定义理论界尚无定论。信息论奠基人Shannon在通信的数学理论一文中指出：信息是“两次不确定性之间的差异”，是用来消除随机不确定性的东西。在通信的数学理论一文中指出：信息是“两次不确定性之间的差异”，是用来消除随机不确定性的东西。 控制论创始人维纳认为：信息是人与外部世界互相交换的内容。控制论创始人维纳认为：信息是人与外部世界互相交换的内容。 现在一般认为：所谓信息，就是客观世界中各事物的变化和特征的最新反映，是客观事物之间联系的表现，也是客观事物状态经过传递后的再现。现在一般认为：所谓信息，就是客观世界中各事物的变化和特征的最新反映，是客观事物之间联系的表现，也是客观事物状态经过传递后的再现。 信息是主观世界与客观世界联系的桥梁。信息是主观世界与客观世界联系的桥梁。 在客观世界中，不同的事物具有不同的特征，正是这些特证给我们带来了不同的信息，从而使我们能够认识客观事物。在客观世界中，不同的事物具有不同的特征，正是这些特证给我们带来了不同的信息，从而使我们能够认识客观事物。 信息具有如下特征：信息具有如下特征： 1.普遍性和可识别性。普遍性和可识别性。 只要有物质存在，只要有变化着的事物或运动着的客体，信息就会存在。普遍性。只要有物质存在，只要有变化着的事物或运动着的客体，信息就会存在。普遍性。 通过感官或其他探测手段来直接或间接识别出客观事物的形状、特征及变化所产生的信息，找出其中的差异，即进行信息的识别，这也是认识信息的关键。通过感官或其他探测手段来直接或间接识别出客观事物的形状、特征及变化所产生的信息，找出其中的差异，即进行信息的识别，这也是认识信息的关键。 2.存储性和可处理性。存储性和可处理性。 信息依赖于物质和意识，又可以脱离物质和意识独立存在，并存储起来。信息依赖于物质和意识，又可以脱离物质和意识独立存在，并存储起来。 通过信息载体将信息保存。同时对信息可以处理。通过信息载体将信息保存。同时对信息可以处理。 处理既是对信息的更好开发与利用，同时也是对传递与存储信息提供了极大便利。处理既是对信息的更好开发与利用，同时也是对传递与存储信息提供了极大便利。 3.时效性和可共享性。时效性和可共享性。 一个信息的生成、获取的越早，传递的越快，其价值就越大，随着时间的推延，价值就会衰减。一个信息的生成、获取的越早，传递的越快，其价值就越大，随着时间的推延，价值就会衰减。 信息可以被多个主体所利用，即共享性。信息可以被多个主体所利用，即共享性。 4.增值性和可开发性。增值性和可开发性。 通过对资源的最佳配置，发挥最大作用，利用已有信息进一步探索和发掘。通过对资源的最佳配置，发挥最大作用，利用已有信息进一步探索和发掘。 5.可控性和多效用性。可控性和多效用性。 信息具有可扩充、可压缩、可处理的特点，这使得信息技术具有可操作性，但也增加了信息技术利用的复杂性。信息具有可扩充、可压缩、可处理的特点，这使得信息技术具有可操作性，但也增加了信息技术利用的复杂性。 无论是认识世界还是改造世界，信息都是基础，是知识的源泉、决策的依据、控制的灵魂、管理的保证。无论是认识世界还是改造世界，信息都是基础，是知识的源泉、决策的依据、控制的灵魂、管理的保证。 信息还具有可转换性、可传递性、独立性和可继承性，具有很强的社会功能，主要表现在资源功能、教育功能、娱乐功能和舆论功能等方面。信息还具有可转换性、可传递性、独立性和可继承性，具有很强的社会功能，主要表现在资源功能、教育功能、娱乐功能和舆论功能等方面。 1.1.2 什么是信息安全什么是信息安全 与信息一样，对于信息安全也没有统一的定义。与信息一样，对于信息安全也没有统一的定义。 从信息安全研究的内容来看，主要涉及两大类：一般信息技术系统的安全，特定信息体系的安全从信息安全研究的内容来看，主要涉及两大类：一般信息技术系统的安全，特定信息体系的安全(如银行信息系统，军事指挥系统如银行信息系统，军事指挥系统)。 信息安全，应该确保信息的完整性信息安全，应该确保信息的完整性(integrity)，可用性可用性(availability)，保密性，保密性(confidentiality)，可控性，可控性(controlab