信息化安全-电子政务与电子商务管理中的数字签名

上海市电信有限公司ShanghaiTelecomCo.Ltd.钱名海博士信息化安全－电子政务与电子商务管理中数字签名与认证展望计划西部人才工程讲座上海市电信有限公司ShanghaiTelecomCo.Ltd.•业务应用是先导，是规划的依据•信息资源是内容：建立信息资源，加工整理•信息处理系统是工具：实现信息资源的处理•网络解决分布和共享•人员和技术软硬件的投入和选择，资金保障•安全来保驾护航•工程严格实施，招投标、标准•效果评估，责任查验信息化的感触计算机热、网络热、电子商务热、安全热、电子政务热信息化热流滚滚要符合规律和实际需要，不要一窝蜂、盲目投资、追求虚假政绩上海市电信有限公司ShanghaiTelecomCo.Ltd.信息化安全的含义信息化安全的威胁信息化安全的实施信息化安全基础设施--PKI/CA（数字签名）内容安排上海市电信有限公司ShanghaiTelecomCo.Ltd.1。美国具有全球最先进的精确定位系统；2。美国具有全球最先进的通信技术和服务；3。美国最赞成民主和自由，网上公开了许多免费的技术，包括加密密码设备和系统。虽然一直在控制密码的出口。序言：值得思考的问题美国911，信息化的双面刃1。飞机基本精确地命中了目标2。恐怖分子利用了先进的电子邮件系统发布命令3。恐怖分子利用网上免费的PGP进行加密，美国政府不能够破解。1。信息化成果可能为人类正义事业所用，也可能被破坏分子利用2。通信技术使网上治安的形势更加严峻；3。公开的密码技术，确实经历了考验，美国人自己都难以破解。上海市电信有限公司ShanghaiTelecomCo.Ltd.人类已经进入信息化的世界，信息网络越来越成为社会生产生活不可缺少的基础设施,人类社会的活动对信息网络的依赖程度越来越大，而信息网络架构的信息世界面临的破坏威胁已经引起人类的严重关注。由于破坏性攻击可能出于经济、政治、军事、娱乐等不同的动机，采用的攻击手段千变万化，可能随时随地从隐藏的地方发起，加上内部攻击和外部攻击同时并存，因此，信息世界安全（以下统称为信息化安全）的体系建设和安全防范任务十分艰巨。信息化安全体系建设和安全防范任务艰巨上海市电信有限公司ShanghaiTelecomCo.Ltd.破坏一个世界比创造一个世界更为容易和方便。建成的世界，要保持世界的安全稳定和长持久安，防止各种可能破坏的发生，面临的困难和挑战是全方位的。由于破坏源头和破坏方式的不确定性和隐蔽性，增加了安全防范和及时响应的难度。人们对于防范破坏的认识不足，对于破坏可能造成的损失往往持怀疑的态度，而且对于反破坏措施是否能够达到预期的效果缺乏信心，对破坏进行防范的工作落实和实施形成障碍。防范破坏的成效在与是否成功地阻止了破坏的出现，无法简单地用传统的方法来衡量其直接和定量的成效。反破坏的一方，大部分时间处于预测预防和应对响应的位置，处于不“公平竞争”环境和“信息不对称”的不利局面。反破坏是一项系统性的、需要警钟长鸣、持续改进的任务破坏和反破坏在信息化过程中同时存在上海市电信有限公司ShanghaiTelecomCo.Ltd.信息安全与网络安全的概念，有各种不同的理解。但我们可以通过分析信息化安全千变万化的需求，来理解信息化安全的内涵。（1）从网络信息提供商和享受服务者（个人、企业等）的角度来说：他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护，避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯合法的利益和隐私，同时也避免其它用户的非授权访问和破坏。（2）从网络运行和管理者角度说：他们希望对本地网络信息的访问、读写等操作受到保护和控制，避免出现“后门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁，制止和防御网络的攻击，并在稳定运行、物理安全、应急反应等方面也能够得到可靠的保证。信息化安全的内涵上海市电信有限公司ShanghaiTelecomCo.Ltd.（3）从社会教育和意识形态角度来讲，网络上不健康的内容，会对社会的稳定和人类的发展造成阻碍、不文明、不道德的行为，必须对其进行控制。（4）对安全保密部门来说，他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵，避免机要信息泄露，进行安全隔离，避免对国家军事、经济、社会生活产生危害和损失。信息化安全是信息空间中的斗争，是无形战场中的战斗，不受国界的限制，分不出前线和后方。信息化安全的不同视角上海市电信有限公司ShanghaiTelecomCo.Ltd.信息化安全，它涉及到的是信息化过程中被保护信息系统的整体安全，包括从物理安全、网络安全、信息安全、运行安全、管理安全等方面。信息化安全上海市电信有限公司ShanghaiTelecomCo.Ltd.网络安全和信息安全的要求：信息网络和信息系统的硬件、软件及其数据受到保护，通信、交易、访问得到有效保障和合理的控制，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全和信息安全上海市电信有限公司ShanghaiTelecomCo.Ltd.信息化安全涉及的内容既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。37开学说。技术方面主要侧重于防范、记录、诊断、审计、分析、追溯各种攻击。管理方面则侧重于相应于技术实现采取的对于人员和流程管理。管理安全也是信息化安全的内容上海市电信有限公司ShanghaiTelecomCo.Ltd.信息化安全是一个系统工程保证信息安全是一个动态化工程。信息化安全是高科技、高知识、高智能和高智商的争战，需要一流的人才、技术和产品。信息化安全又是基础设施、知识、技术、管理、法律、法规等综合起来的系统工程。保证信息安全则是一种动态过程，不存在充分条件。保护信息安全也不可能是绝对的，而是多种约束条件下如风险和价值评估后的折衷选择。没有一个防御系统能够抵抗每个可能的攻击。如果确实存在这样系统的话，也没有哪个公司能够负担得起这样的开销。在这样的铜墙铁壁防御系统下，实际上是无法从事任何商业活动。上海市电信有限公司ShanghaiTelecomCo.Ltd.信息化安全的威胁上海市电信有限公司ShanghaiTelecomCo.Ltd.从计算机安全到信息化安全，讨论的内容在延伸、范围在扩大、面临的威胁在增加，保证安全的需求越来越复杂。。。不想，好象没有事，不出事就没有事，一出事就是大事。。。信息化安全的威胁变奏曲上海市电信有限公司ShanghaiTelecomCo.Ltd.六、七十年代电话黑客信息化安全的威胁上海市电信有限公司ShanghaiTelecomCo.Ltd.八十年代病毒信息化安全的威胁上海市电信有限公司ShanghaiTelecomCo.Ltd.九十年代后期黑客信息化安全的威胁上海市电信有限公司ShanghaiTelecomCo.Ltd.物理安全威胁•损坏设备•电磁泄漏•造成物理环境的失效（水、电、火、灾）•盗窃物理资源信息化安全的威胁上海市电信有限公司ShanghaiTelecomCo.Ltd.运行安全威胁•系统失效•网络失效•故障不能及时发现和排除•没有适当的监控造成系统和网络工作不正常•系统和资源没有备份无法及时恢复信息化安全的威胁上海市电信有限公司ShanghaiTelecomCo.Ltd.数据安全威胁•数据被窃取•数据库没有保护，导致被破坏或非法利用•数据存储介质失效或被非法获取和利用•数据被非法拷贝•数据被非法公开信息化安全的威胁上海市电信有限公司ShanghaiTelecomCo.Ltd.访问安全威胁•非法访问数据库、受保护地点、受保护资源•合法登陆的用户访问未授权的资源•恶意访问和攻击•内部人员故意或无意的失误，导致访问失控•网络访问控制失效•身份认证不严密，导致假冒身份进入访问信息化安全的威胁上海市电信有限公司ShanghaiTelecomCo.Ltd.管理安全威胁•没有整体的安全观念，也没有整体的安全策略和管理•安全措施行同虚设，只是为了应付检查，安全设备只是购买和安装，没有管理•没有指定可操作的管理规章制度，没有安全管理、控制和应急响应的队伍•主管不重视，放任自流，导致企业商业秘密、国家秘密的随意流失。信息化安全的威胁上海市电信有限公司ShanghaiTelecomCo.Ltd.法律安全威胁•占信息化法律缺乏的空子•抵赖曾经发生和做过的网上作业和交易•利用网络不现形地进行诬陷和攻击•销毁电子证据、破坏信息化设施•利用或自行有意设置信息化漏洞或者后门，谋自己的福利信息化安全的威胁上海市电信有限公司ShanghaiTelecomCo.Ltd.黑客攻击的安全威胁•利用计算机网络进行攻击•利用网络进行盗窃和隐蔽作业•非法研究他人的系统、网络、资源，并伺机进行攻击•非法占用别人的资源•破坏系统的可用性信息化安全的威胁上海市电信有限公司ShanghaiTelecomCo.Ltd.网络安全•非法接入（通过窃取的帐号），伪装和监听•非法篡权、提升权限•拒绝服务攻击（如DoS，访问拒绝）•安装陷阱和木马（Trojanhorse特洛伊木马）•利用软件和设备的后门•进行欺骗信息化安全的威胁上海市电信有限公司ShanghaiTelecomCo.Ltd.单个计算机安全•软件错误•病毒•非法使用•信息窃取•信息泄漏信息化安全的威胁上海市电信有限公司ShanghaiTelecomCo.Ltd.漏洞在哪里？•一台连在网上的计算机，安全隐患可能发生在什么地方？信息化安全的威胁上海市电信有限公司ShanghaiTelecomCo.Ltd.脆弱的操作系统漏洞的根源•编写操作系统工程巨大。现代操作系统功能日趋完善，由几十、几百个程序员编写和维护，漏洞难免。信息化安全的威胁上海市电信有限公司ShanghaiTelecomCo.Ltd.脆弱的操作系统•操作系统需要和以前的版本保持兼容。•配置错误。不能很好地利用操作系统的安全机制。•方便与安全的折中。信息化安全的威胁上海市电信有限公司ShanghaiTelecomCo.Ltd.应用程序漏洞漏洞最多的地方•服务进程。Ftp,pop3,telnet...•以系统权限运行的程序。•后门（Backdoor)。•配置错误。无口令，读写权限不控制...信息化安全的威胁上海市电信有限公司ShanghaiTelecomCo.Ltd.通信协议漏洞通信协议的漏洞很难弥补！•共享的以太网络容易被监听。•TCP/IP协议设计上未充分考虑安全性。信息化安全的威胁上海市电信有限公司ShanghaiTelecomCo.Ltd.管理造成的漏洞信息化安全最重要的是管理问题，技术只是辅助手段。•内部人员的破坏。•信息泄漏。•内外勾结•内部人员无意泄密上海市电信有限公司ShanghaiTelecomCo.Ltd.格言什么是真正安全的系统？“真正安全的计算机系统是关了电，拔了连线，装在钛合金的保险箱里，放在钢筋混凝土的掩体里，然后再在周围布上神经毒气让高价雇来的卫兵把守。扔入大海海底”信息化安全的威胁上海市电信有限公司ShanghaiTelecomCo.Ltd.我国信息安全隐患•我国的信息网络存在着巨大的安全隐患：一些网络根本没有安全保密设备；一些网络只有较低级的安全保密设备，形同虚设；一些网络只有单一的安全保密设备，难以对付全面的攻击；一些网络甚至使用的是国外的安全保密设备，无疑为来自国外的攻击开了方便之门。•芯片、路由器、操作系统，大都国外进口，安全寄托在他人身上。•计算机底层、物理层、传输层、网络层、协议层、应用层。。。，我们的安全对策？上海市电信有限公司ShanghaiTelecomCo.Ltd.内部攻击者这是所有攻击者中最危险的。国内外从事信息安全的专业人士，通过调查逐步认识到，媒体炒得火热的外部入侵事件，充其量占到所有安全事件的20%-30%，而70%-80%的安全事件来自于内部。如果一个成功的攻击者需要技术、动机和机会的话，这类攻击者肯定具有这些特性，而且是你培训他们有了攻击的技术。他们的不满意味着你已经为他们准备了成功攻击你公司的动机，而你还蒙在鼓里。由于他们仍旧是