易诺电子信证系统.ppt

信息安全专业建设的思考与实践 陈克非、邱卫东 上海交通大学计算机系 上海交通大学信息安全工程学院 Kfchen@sjtu.edu.cn 信息安全现状 信息技术是二十世纪发展最为迅速的领域 计算机日益普及，网络化改变了工作和生活方式 随之而来安全性问题日益凸现 媒体眼中的计算机、资讯安全 网银777万巨款遭窃,xx银行难逃其责 黑客利用google挖掘个人隐私， xx部网站备案系统存在隐私外泄问题 IE7出新漏洞 XP及2003可被远程劫持 Firefox出新漏洞，RealPlayer现漏洞 病毒泛滥……网友炫耀病毒制造过程 熊猫烧香 …… 我们眼中的计算机、资讯安全 问题成堆，四面楚歌 面对挑战，全力抵御 采用密码技术保护、修补安全协议(IPSec, SSL,…) 查杀病毒、防火墙、入侵检测、漏洞发现、安全审计、… 困扰：缺少对“安全”的认知，缺少专业技术人才 媒体描绘的Cyberspace 媒体描绘的Cyberspace 信息安全国家战略 我国对信息安全历来非常重视，并随着信息战概念的升级，逐渐加快了信息安全的建设步伐 863设立信息安全专项/主题 自然科学基金设立网络与信息安全重大研究计划 信息安全产品内容政府采购， 网络信息系统建设经费的15%用于安全 …… 《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号） 在中共中央关于制定十一五规划的建议中提出“健全信息安全保障体系” 信息安全人才教育培养 早期的专业（密码）人才培养，主要集中在军队院校以及政府机要部门 1980年代，以西北电讯工程学院为代表的院校开始大规模的人才（研究生）培养 2001年经教育部批准，武汉大学创建了第一个信息安全本科专业 2002年批准了上海交通大学等18个信息安全本科专业 目前已有70多所大学开办了信息安全本科专业 目前，上海交通大学每年招收信息安全专业本科生超过120人 随之而来的问题，国内各个学校的专业背景、师资力量、办学条件各不相同，如何保证信息安全人才培养的质量，同时又不失各自的特色？ 许多高校、出版社组织参与制定课程体系、编写规范教材 2005年教育部发文“进一步加强信息安全学科、专业建设和人才培养”（教高[2005]7号） 2007年成立信息安全专业教学指导委员会 注：我们这里讨论的专业建设只限于学历教育。 大学本科培养目标 根据我国目前的现状，大学一般被划分为 研究型大学 教学研究型大学 教学型大学 每一类大学由于条件不同，在同一专业上也有很大差异，一般都带有鲜明的特色。 例如依托计算机系、电子工程系、或数学系，等等 各类大学对培养学生的期望（科学家、工程师、技术员、技工、或者其他的？ ） 研究型大学会把培养学生的目标定为，有潜力在本专业前沿进行开创性工作的高端人才 其他大学的学生培养目标可能定为，有较好专业背景的实用技术人员 还有一些学校的培养目标不甚明确，或许只是接受相关课程教育？ 信息安全人才培养目标 “适应……需要，在……全面发展，具有扎实的数理基础，较好的外语和计算机应用能力，掌握信息安全的基本理论与技术，计算机与网络通信以及信息安全法律法规，能够应用……解决……，具有……素质、创新、实践能力。” 一般认为，社会的需求包括： 研究型或学术型信息安全专业人才 应用型信息安全专业人才 技术型或职业型信息安全专业人才 复合型信息安全专业人才 需要注意的是，在面对科学技术飞速发展的今天，社会对专业“人才”的要求也越来越高 基础扎实、自我知识更新、适应面宽、较大的提升空间、综合能力强、团队合作、…… 面对新的形势，许多学校提出宽口径的培养目标，以大学科为平台的培养学生模式 我们目前是信息安全专业培养方式能否达到这个要求？？？ 高校专业课程设置 目前的大学本科教学安排（以上海交通大学为例），在197总学分中 公共基础课（人文、社科、经管、自然科学、外语、体育），53% 学科基础课，35% 专业前沿课，12% 任何专业，能够有所作为的课程大概不足93学分 其中的69学分为学科基础， 剩下24学分与专业相关。 作为交叉学科（数学、计算机、电子通信）的信息安全， 其学科基础远远不是其他传统学科可以比拟的 还有多少时间、精力花在专业前沿上？ 信息安全实例：缓冲区溢出 缓冲区溢出 缓冲区是内存中的一个连续块，程序运行时在内存中临时存放数据的地方 当程序试图存放的数据块大小超过了程序事先申请到的内存缓冲区大小时就会发生缓冲区溢出 缓冲区溢出攻击 如果溢出的数据块恰好覆盖与缓冲区相邻的子程序或函数返回地址,而覆盖这一地址的又恰好是一个程序的入口那么这一程序将自动运行 攻击者借此精心构造填充数据，让程序转而执行特殊的代码，最终获得系统的控制权或取得其他非法权益 缓冲区溢出是最重要的安全漏洞 2006年的1