搜索
第四讲信息安全及其常见技术•一、信息安全的内涵•二、网络违法与犯罪•三、信息安全的常见技术一、信息安全的内涵•1、概念•国际上对信息安全没有统一的定义,甚至信息安全本身的称谓也在改变。美国军方自20世纪90年代末将“信息安全”概念发展成“信息保障”,突出了信息安全保障系统的多种安全能力及其对机构业务职能的支撑作用;美国政府近年来在更为广阔的“网络空间安全”(cyber-security)的概念下讨论信息安全问题。•国际标准化组织(ISO)对信息安全的定义为:为数据处理系统建立和采取的技术上和管理上的安全保护,保护计算机硬件、软件和数据不因偶然或恶意的原因而遭到破坏、更改和泄露。•欧共体对信息安全的定义是:在既定的密级条件下,网络与信息系统抵御意外事件或恶意行为的能力。这些事件和行为将危及所存储或传输到达的数据,以及经由这些网络和系统所提供的服务的可用性、真实性、完整性和秘密性。•我国较为认同的观点认为,信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统能够连续可靠安全地运行,信息服务不会中断。•2、属性•信息安全的属性主要有:保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、不可否认性(Non-repudiation)和可控性(Controllability)等。其中保密性、完整性和可用性被称为信息安全的铁三角(简称CIA)。•3、主要内容•信息安全包括物理安全、运行安全和管理安全等三个主要的领域。这三个方面对保证整个网络信息系统的安全都是至关重要的,可以把它们看作一个三条腿的桌子,任何一条腿断掉或缩短,这个桌子都是不稳定的,存在安全隐患。•(1)物理安全•物理安全是指保护计算机设备、网络以及其他设施免遭地震、水灾、火灾、有害气体和其他环境事故(如电磁污染)破坏的措施、过程。它包括环境安全、设备安全和媒体安全三个方面。•(2)运行安全•运行安全提供一套安全措施来保护信息处理过程的安全,其目的是保障系统功能的安全实现。运行安全的范围很广泛,包括访问控制、加密、鉴别、病毒防护、操作系统安全、数据库安全、网络安全、内容安全、备份与恢复、应急、风险分析、审计跟踪等多个方面。•(3)管理安全•管理安全是保证计算机网络信息系统安全的特殊技术,它包含管理制度和安全策略两方面的内容。•4、意义•信息安全涉及的范围很大。大到国家军事政治等机密安全,小到如防范企业商业秘密泄露、青少年对不良信息的浏览、个人信息的泄露等。信息安全已经渗透到社会生活的各个层面。•(1)信息安全是信息时代人类生存发展的基本条件。•(2)信息安全是社会稳定和经济发展的保证。•(3)信息安全是国家安全的重要组成部分。•信息安全保障能力是21世纪综合国力、经济竞争实力和生存能力的体现,是世界各国都在奋力攀登的制高点。信息安全问题全方位地影响我国的政治、军事、经济、文化、社会生活的各个方面,如果解决不好将使国家处于信息战和高度经济金融风险的威胁之中。•1、概念•(1)违法与犯罪•违法是指国家机关、企业事业组织、社会团体或公民,违反国家的宪法、法律、行政法规和行政规章的行为。违法包括行政违法、民事违法和刑事违法。•行政违法和民事违法因其危害较小,通常称为一般违法。•刑事违法即犯罪,它是指触犯刑事法规依法应受刑罚处罚的行为。犯罪对社会危害较大,是违法中最严重的一种。•根据我国《刑法》中关于犯罪构成的规定,犯罪必须具备以下特征:第一,犯罪是危害社会的行为。第二,犯罪是触犯刑律的行为,须同时是触犯《刑法》规定。第三,犯罪必须是应受刑法处罚的行为。上述特征是确定任何一种犯罪必须具备的缺一不可的条件。《刑法》同时还规定,情节显著轻微、危害不大的,不认为是犯罪。•可见,行为的情节和对社会危害的程度是区分违法和犯罪的界限。从这个角度看,网络违法与犯罪在行为性质上可分为网络一般违法行为和网络犯罪行为两种。•(2)计算机犯罪与网络犯罪•计算机犯罪是指通过计算机非法操作所实施的危害计算机信息系统(包括内存数据及程序)安全以及其他严重危害社会的并应当处以刑罚的行为。•网络犯罪是指行为人运用计算机技术,借助于网络对其系统或信息进行攻击,破坏或利用网络进行其他犯罪的总称。既包括行为人运用其编程、加密、解码技术或工具在网络上实施的犯罪,也包括行为人利用软件指令、网络系统或产品加密等技术及法律规定上的漏洞,在网络内外交互实施的犯罪,还包括行为人借助于其居于网络服务提供者特定地位或其他方法在网络系统实施的犯罪。简言之,网络犯罪是针对网络和利用网络进行的犯罪。•网络犯罪是伴随着计算机的普及和信息技术的发展而出现的一种高科技犯罪,是计算机犯罪发展到高级阶段的产物。从本质上讲就是计算机犯罪,但它又不同于一般的计算机犯罪,而是以网络为对象或犯罪工具的计算机犯罪。20世纪90年代以来,网络犯罪表现为利用网络窃取各种机密资料、销售毒品赃物、传播色情、侵犯知识产权等,网络犯罪的外延远远超过计算机犯罪。•2、常见的网络违法犯罪手段•网络诈骗•如与网上拍卖活动相关的是网络拍卖诈骗,与跨国资金转账相关的是跨国金融网络洗钱,与电子商务和信用卡业务相关的是网络信用卡诈骗等。•网络色情•网络色情违法行为主要有以下几种:•(1)制作色情信息并公布于网络。•(2)传播色情物品。•(3)网络色情视频行为。•网络钓鱼•网络钓鱼是通过发送声称来自于银行或其他知名机构的欺骗性或垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号ID、ATMPIN码或信用卡信息)的一种攻击方式。最典型的网络钓鱼攻击将受害人引诱链接到一个通过精心设计的、与目标组织的网站非常相似的钓鱼网站上,截获受害人在该网站上输入的个人敏感信息。•网络赌博•网络赌博通常指利用互联网进行的赌博行为。网络赌博类型繁多,基本上现实生活中主要的赌博方式在网络中都可以进行。•网络赌博一般采用信用卡投注或电话下注、电子划账的方式进行资金转移,赌场(服务器)大多设立在国外。•与传统赌博相比,网络赌博具有以下三大特点:•(1)网上投注和交易,隐蔽性强。•(2)欺骗性强。•(3)宣扬网络时髦公平,诱导性强。•网络赌博既是一个严重的治安问题,也是一个突出的国家经济安全问题。据估计,中国每年由于赌博而流到境外的赌资超过6000亿元,境外赌博网络就像“抽水机”一般,每年将上千亿的资金从中国内地抽走,严重危及国家金融安全。赌博不仅对正常的金融秩序和合法彩票事业构成威胁,也助长了非法洗钱、地下黑市交易等犯罪现象。•3、网络犯罪的防范与治理•(1)加强网络技术防范和网络监管。•(2)加强网络法制建设。•(3)加强网络法制与道德教育,增强法制观念。•(4)加强对网络犯罪的打击力度,形成威慑力。三、信息安全的常见技术1、密码技术密码技术是通信双方按约定的法则进行信息特殊变换的一种重要保密手段。依照这些法则,变明文为密文,称为加密变换;变密文为明文,称为脱密(解密)变换。密码技术在早期仅对文字或数字进行加密、脱密变换,随着计算机技术的发展,已可对语音、图像、数据等实施加密、脱密变换。密码学已被广泛应用在日常生活中,例如,自动柜员机的芯片卡、电子商务的交易、网上银行的资金往来保护等等。2、防火墙与入侵检测技术防火墙是指一种将内部网和互联网分开的隔离技术,它在两个网络通讯时执行的一种访问控制策略,允许符合策略的机器进入内部网络,同时将不符合策略的机器拒之门外,最大限度地阻止网络中的不可信外界机器访问内部网络。防火墙可以是一台专属的硬件,也可以是架设在一般硬件上的一套软件。采用该技术的网络安全系统称为防火墙系统,包括硬件设备,相关的软件代码和安全策略。防火墙的基本目的就是阻止内部网络遭受带有恶意或者具有破坏性的访问。防火墙是内部网络的一道安全屏障,它主要有以下功能:(1)过滤不安全的服务(2)过滤非法用户和站点访问控制(3)集中式安全防护(4)加密支持功能(5)管理功能入侵检测系统(IntrusionDetectionSystem,简称IDS)是一种对网络传输进行实时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。一个入侵检测系统一般由四个组件组成:事件产生器(Eventgenerators);事件分析器(Eventanalyzers);响应单元(Responseunits);事件数据库(Eventdatabases)。IDS与防火墙的不同之处便在于,IDS是一种积极主动的安全防护技术。一个形象的比喻是:防火墙相当于一幢大楼的门卫,IDS相当于这幢大楼里的实时监视系统,一旦小偷爬窗潜入大楼,或内部人员有违规行为,只有实时监视系统才能发现情况并发出警告。3、数字签名与身份认证技术数字签名是只有消息发送者才能产生,别人无法伪造的附加在消息上的一段数字串,或是对消息所作的密码变换。这种数字串或密码变换允许消息的接收者用以确认消息的来源和消息的完整性并保护数据,防止被人伪造。数字签名是目前电子商务和电子政务中应用最普遍、技术最成熟、可操作性最强的一种电子签名方法。它采用严谨科学的方法,用于鉴定签名人的身份以及对消息内容的认可,保证信息的安全性、真实性和不可否认性,起到与物理世界中的手写签名和盖章同等作用。在数字签名可代替书写签名或印章,还可进行技术验证,其验证的准确度是普通手写签名和印章的验证无法比拟的。数字签名有两种功效:一是能确定消息确实是由发送方签名并发出来的,因为别人假冒不了发送方的签名;二是数字签名能确定消息的完整性。因为数字签名的数字串具有消息的特征,消息如果发生改变,数字签名的值也将发生变化。不同的消息将得到不同的数字签名。因此,数字签名后的文件的完整性很容易验证(不需要盖骑缝章或骑缝签名),而且数字签名人的真实性也容易验证(不需要笔迹专家来验证)。身份认证(Authentication)是计算机系统审查用户身份,确定该用户是否具有对某种资源的访问和使用权限的过程。身份认证技术是在计算机系统中确认用户身份的解决方法。计算机系统中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份。身份认证技术要解决的问题是,如何保证以数字身份进行操作的用户就是这个数字身份合法拥有者。在真实世界,对用户的身份认证基本方法可以分为这三种:根据所知道的信息来证明身份(whatyouknow,你知道什么)、根据所拥有的东西来证明身份(whatyouhave,你有什么)、根据独一无二的身体特征来证明身份(whoyouare,你是谁)。在网络世界中,认证思想与真实世界中一致,为了达到更高的身份认证安全性,某些场景会将上面三种方法挑选二种混合使用,即所谓的双因素认证。身份认证技术的几种类型(1)静态密码认证(2)生物特征认证(3)智能卡认证(4)短信密码认证(5)动态口令牌认证动态口令牌是目前最为安全的身份认证方式之一,也是一种动态密码。由于它使用起来非常便捷,已广泛应用在VPN、网上银行、电子政务、电子商务等领域。(6)基于USBKey的认证4、VPN技术VPN(VirtualPrivateNetwork,虚拟专用网)技术,是指通过特殊的加密通信协议,在公用网络(通常是Internet)上建立一个临时的、安全的、专有的通信线路。VPN是一条穿过混乱的公用网络的安全、稳定的隧道,它能够让各单位在全球范围内廉价架构自己的“局域网”,是单位局域网向全球化的延伸,并且此网络拥有与专用内部网络相同的功能和安全性。VPN对客户端透明,用户好像使用一条专用线路在客户计算机和企业服务器之间建立起点对点连接,进而进行数据传输。虽然VPN通信建立在公共互联网络的基础之上,但是用户在使用VPN时感觉如同在使用专用网络通信,所以得名为VPN网络。5、黑客技术黑客(Hacker)原指热心于计算机技术、水平高超的计算机专家,尤其是程序设计人员,现泛指那些利用计算机网络系统安全漏洞对计算机网络进行攻击破坏或窃取信息的人。