信息安全概论01概述.pptVIP

信息安全与保密概论崔永泉华中科技大学计算机学院信息安全保密科研组 一、信息安全概况 古老的历史-----古希腊人 密码学的起源可能要追溯到人类刚刚出现，并且尝试去学习如何通信的时候。他们不得不去寻找方法确保他们的通信的机密。但是最先有意识的使用一些技术的方法来加密信息的可能是公元六年前的古希腊人。他们使用的是一根叫scytale的棍子。 送信人先绕棍子卷一张纸条，然后把要写的信息打纵写在上面，接着打开纸送给收信人。如果不知道棍子的宽度（这里作为密匙）是不可能解密里面的内容的。 古老的历史-----凯撒 真正将密码术应用到人类实践中的还是要属2000多年前的古罗马的恺撒大帝。当时，利用传信兵是恺撒可以给远在前线作战的将军们的主要通信方式。为了防止传信兵在途中被抓或者有人假传口令，恺撒采用了一种独特的书写方法： 将字母按顺序推后3位，如将字母A写作字母D，字母B写作字母E，依次类推。将军和恺撒才知道的字母替换规律读取信件。现代教科书对此加密算法称为Caesar密码。 现在战争的历史-----二战 在第二次世界大战初期，德国军方启用“恩尼格玛”密码机，盟军对德军加密的信息有好几年一筹莫展，“恩尼格玛”密码机似乎是不可破的。但是经过盟军密码分析学家的不懈努力，“恩尼格玛”密码机被动攻破，盟军掌握了德军的许多机密，而德国军方却对此一无所知。 现在战争的历史-----二战 太平洋战争中美军破译了日本海军的密码机，读懂了日本舰队司令官山本五十六发给各指挥官的命令，在中途岛彻底击溃了日本海军，导致了太平洋战争的决定性转折，而且不久还击毙了山本五十六。 相反轴心国中，只有德国只是在二战的初期在密码破译方面取得过辉煌的战绩，后来就不行了。因此，我们可以说，密码学在战争中起着非常重要的作用。 信息安全典型事件－－－－－－1 2005年6月，美国卡系统公司(CardSystems Solutions，Inc.)是一家专门处理信用卡交易资料的厂商。该公司为万事达(Master)、维萨(Visa)和美国运通卡等主要信用卡组织提供数据外包服务，负责审核商家传来的消费者信用卡号码、有效期等信息，审核后再传送给银行完成付款手续。这家已有15年历史的公司怎么也没想到，居然有黑客恶意侵入了它的电脑系统，窃取了4000万张信用卡的资料。这些资料包括持卡人的姓名、账户号码等。 信息安全典型事件－－－－－－2 2005年12月5日，广州市天河区法院对一起邮件欺诈事件进行了判决。犯罪嫌疑人柳青展被判处有期徒刑10年，并责以处罚金人民币2万元。回顾一下案件缘由，柳青展在网吧上网时，利用专业知识，潜入夏某的电子邮箱，发现夏某正在利用电子邮件与远在也门的客户进行生意洽谈，且也门的客户正准备向夏某汇来货款。柳青展便伪造邮箱地址，假冒夏某名义把虚假开户行信息发给也门的客户，致使也门客户将4万美元货款汇入骗子柳青展的银行户头内。 信息安全典型事件－－－－－－3 2008年3月，英国的网站安全漏洞突破测试者Petko Petkov披露，Gmail漏洞称作“跨站请求伪造”漏洞，攻击者能够使用Gmail过滤器功能，在受害者访问恶意网站且同时登录Gmail帐户时利用这个安全漏洞，使帐户中的以前和未来的电子邮件都转发到黑客的邮箱中。 Petkov在G网站发表了一系列截屏图像介绍一次可能的攻击。在这个例子中，攻击者编写一个过滤器，查找带附件的电子邮件并且把电子邮件转发给攻击者。这个过滤器能够转发全部符合条件的电子邮件。Petkov说，即使谷歌修复了这个安全漏洞，只要受害者在他们的过滤器列表中有这个过滤器，这种攻击造成的后果就一直存在。用户未来的电子邮件也将被转发到攻击者的邮箱。谷歌证实了安全漏洞的存在并且表示它正在研制一个补丁。 信息安全事件统计 CERT(美国卡内基梅隆大学计算机应急响应小组 ) 有关安全事件的统计 信息安全事件统计 CERT有关安全事件的统计 对不安全的感觉 安全服务市场 IDC(国际数据公司 )预测安全服务业务到2005年的年平均增长率为 25.5% Source : IDC, Sept 2001 代码攻击的损失程度 恶意代码攻击的年度损失 对安全问题的重视程度增强 发现安全事故的公司比例 安全软件销售排行榜 二、信息系统安全保障体系 1、国内外现状与发展趋势 20世纪60年代的COMSEC时代，人们认识到，通信过程不仅有收、发两方参与，实际上有一个敌人在那里时刻想窃听，因此要发展密码技术，通过加密使敌人听不懂。逐渐有了计算机了，如何在计算机中完成保密，美国军方提出一个可信计算机系统评价准则（TCSEC），这里边所强调的安全概念是指要使