信息安全技术
主讲：侯霞 计算机学院 软件工程系
houxia@
1
教材和参考书
• 熊平、朱天清. 信息安全原理及应用. 清华大学出版社，2009年 • Charles P. Pfleeger, Shri Lawrence著. 信息安全原理与应用(第四版). 电子工业
出版社，2007年 • 徐国爱. 网络安全. 北京邮电大学出版社.
构建安全系统的一个挑战 就是在这些特性中找到一 个平衡点，因为它们常常 是相互矛盾的。因此，三 个特征是可以独立，也可 以有重叠 。
机密性
完整性
可用性
信息安全的目标
• 可靠性：是指系统在规定条件下和规定时间内、完成规定功能的概率。 • 不可抵赖性：也称作抗否认性，是面向通信双方（人、实体或进程）信息真实统一的
信息安全的概念 信息安全需求 信息安全的发展历史 信息安全的目标 信息安全的研究内容
4
基本概念
什么是信息？ • 广义的说，信息就是消息。一切存在都有信息。 • 信息（information）是经过加工（获取、推理、分析、计算、存储等）的特定形式数
据，是物质运动规律的总和。
5
基本概念
不是安全，
被动攻击
主动攻击
19
信息安全的目标
• 机/保密性（Confidentiality） • 完整性（Integrity） • 可用性（Avaliability）
可靠性（Reliability） 不可抵赖性（ Non-repudiation ） 可控性（Controllability）
20
信息安全的目标
59%以上的调查对象认为，公司笔记本电脑含有 未加保护的敏感或者机密数据，
53%的人认为USB存储棒含有这类数据。 认为桌面电脑和共享文件服务器含有未加保护
的敏感或者机密数据的则分别14 占36%和35%。
信息安全需求（续）
• 如果存储设备失窃。。。。。。？
15
信息安全需求（续）
• 信息系统组成 • 硬件 • 软件 • 数据
这才是安全
6
基本概念
信息安全： • 是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因
而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。
7
信息安全涉及的知识领域
• 信息安全是一门涉及计算机科学、网络技术、通 信技术、密码技术、信息安全技术、应用数学、 数论、信息论等多种学科的综合性学科。
• 机密性：Confidentiality，指保证信息不被非授权访问。 • 完整性：Integrity，指信息在生成、传输、存储和使用过程中不应被第三方篡改。 • 可用性 ：Availability，指授权用户可以根据需要随时访问所需信息。
21
信息安全的目标
• 信息安全的目标是致力于保障信息的这三个特性不被破坏。
安全要求，它包括收、发双方均不可抵赖。
实物攻击
软件删除 软件篡改
逻辑炸弹 特洛伊木马 病毒 陷门
可理解性 有效期
信息安全需求（续）
• 安全事件的统计数字
50～60%的安全事件出自使用不当 使用者缺乏经验、系统维护不到位
15~20%的安全事件出自内部人员所为 如以前的雇员、系统管理员
10~15%的安全事件出自灾害 水灾、雷击、火灾...
2
本课程相关说明
• 总评 • 平时成绩：30%（课堂表现+作业） • 期末考试：70%（考试）
• 答疑 • 周一 12：20 - 13:20， 教3－304 • houxia@
• 资源 • 邮箱：lesson_is@， 密码：isrg10
3
第一讲 信息安全绪论
犯罪嫌疑人：台湾大学生陈盈豪
犯罪动机：目的是想出一家公司在广告上吹嘘“百分
之百”防毒软件的洋相
10
信息安全需求
• 2007年英国税务及海关总署弄丢两张重要数据光盘，其中包括2500万人的敏感信息。 • 丢失信息涉及所有儿童福利补贴受益人，包括2500万人、725万个家庭。 • 这些记录包含受益人及其子女的姓名、住址、出生日期、儿童补贴受助号码、国 家社会保险号码以及相关银行或抵押银行账户信息。
我们需要保护信息 安全吗?
9
信息安全需求
CIH病毒
事件：1998年4月26日爆发CIH病毒
危害：发作时不仅破坏硬盘的引导区和分区表，而且 破坏计算机系统flashBIOS芯片中的系统程序，导致主 板损坏。
后果：CIH 1.2 版本首次大范围爆发 全球超过六千万 台电脑被不同程度破坏；CIH 1.2 版本第二次大范围 爆发，全球损失超过十亿美元；。。。
11
信息安全需求
信息战
1991年爆发海湾战争被称之为人类首次信息战
科索沃战争中，美军侵入南联盟防空系统，发 送假信息Βιβλιοθήκη ……信息在战争中的影响
破坏信息系统
影响人的心理
影响和威胁越来越大
12
信息安全需求（续）
• 一些数据表明信息安全的重要地位
信息业务及其价值 被认为组织中面临风险最大的四种数据是：知识产权、
• 什么是安全？---Bruce Schneier
而是隐藏
• 如果把一封信锁在保险柜中，把保险柜藏起来，然后告诉你去看这封信…
• 相反，如果把一封信锁在保险柜中，然后把保险柜及其设计规范和许多同样的保 险柜给你，以便你和世界上最好的开保险柜的专家能够研究锁的装置，而你还是 无法打开保险柜去读这封信…
3~5%的安全事件出自外部攻击 如业余爱好者、黑客、竞争对手、有组织的犯罪...
17
信息安全的发展历史
• 信息安全的发展经历了如下几个阶段： • 古典信息安全 • 辐射安全 • 计算机安全 • 网络安全 • 信息安全
信息安全威胁（攻击）
• 安全的威胁 • 中断 • 截获 • 篡改 • 伪造
攻击的分类
商业机密信息、客户及消费者数据，以及员工数据。 机密信息
国家机密、商业机密。被认为风险最大的几种商业 机密信息包括：非公开财务报表、会计报表、预算或 者预测数字。 产权及敏感信息
被认为风险最大的几种知识产13权包括：电子表格、 竞争情报和源代码。
信息安全需求（续）
• 未保护的数据在何处？
60%的调查对象认为，最有可能含有未加保护的 敏感或机密静态数据的存储设备是PDA及相关移 动设备。