搜索
信息安全技术授课教案2011-2012学年度(适用于2010级计算机应用)任课教师:马骞2012年3月第1讲信息与信息安全风险在信息化社会中,信息已提升为制约社会发展、推动社会进步的关键因素之一,人们对信息和信息技术的依赖程度越来越高,甚至有些行为方式也受信息技术的约束,自然人之间的交流也日趋机器化。本章从信息的概念发展出发,介绍信息的作用、信息技术对人类生活的影响,描述信息面临的风险与威胁,最后引出信息安全的目标。主要内容:1.1信息与信息技术1.2信息安全的重要性与严峻性1.3信息安全问题的起源和常见威胁1.4信息安全的目标重点:1.信息、信息技术与信息安全的关系2.信息安全目标和模型难点:信息安全目标和模型学时分配:2学时教学手段:板书与多媒体演示结合教学方法:课堂讲授、演示。组织教学检查人数:教学过程:(一)复习与导入:当前热点问题:股民帐户被控、艳照事件熊猫烧香事件通过这些事例,介绍目前面临的信息安全问题,引出开设本课程的目的。本讲的主要内容:介绍信息的特性、安全形势,介绍弱点,引出信息安全的目标。(二)新课讲授:第1讲信息与信息安全风险在信息化社会中,信息已提升为制约社会发展、推动社会进步的关键因素之一,人们对信息和信息技术的依赖程度越来越高,甚至有些行为方式也受信息技术的约束,自然人之间的交流也日趋机器化。本章从信息的概念发展出发,介绍信息的作用、信息技术对人类生活的影响,描述信息面临的风险与威胁,最后引出信息安全的目标。1.1信息与信息技术1.1.1信息的概念1948年,信息论创始人香农(C.E.Shannon)在《通信的数学理论》一文中,认为“信息是用以消除不确定性的东西”,推导出了信息测度的数学公式,提出香农定理,描述了有限带宽、有随机热噪声信道的最大传输速率与信道带宽、信号噪声功率比之间的关系,在此基础上发明了信息编码的三大定理,为现代通信技术的发展奠定了理论基础。但香农同样没有考虑信息的内容与价值。1948年,在香农创建信息论的同时,控制论的创始人维纳(N.Wiener)在专著《控制论——动物和机器中的通信与控制问题》中,关于信息做了如下解释信息是人们在适应外部世界,并使这种适应反作用于外部世界的过程中,同外部世界进行交换的内容的名称”,他还认为,“接收信息和使用信息的过程,就是我们适应外部世界环境的偶然性变化的过程,也是我们在这个环境中有效地生活的过程。这一定义包含了信息的内容与价值,从动态的角度揭示了信息的功能与范围。决策学的代表人物西蒙则提出,“信息是影响人们改变对决策方案的期待或评价的外界刺激。”1988年,中国学者钟义信在《信息科学原理》一书中,认为“信息是事物运动的状态与方式,是事物的一种属性。”,通过引入约束条件,推导了信息的概念体系,对信息进行了完整而准确的论述。这一定义具有最大的普遍性,涵盖了所有其他的信息定义,并通过约束条件实现与其他定义的转换。1.1.2信息的性质信息来源于物质,但又不是物质本身;信息也来源于精神世界,但又不限于精神领域;信息是物质的普遍属性,是物质运动的状态与方式。信息的物质性决定了它的一般属性,主要包括普遍性、客观性、无限性、相对性、抽象性、依附性、动态性、异步性、共享性、可传递性、可交换性、可处理性和可伪性等。其中与信息安全相关的性质有以下几个。(1)依附性(2)动态性(3)可处理性(4)共享性(5)可传递性(6)异步性(7)可交换性(8)可伪性信息安全将处理与信息的依附性、动态性、可处理性、共享性、可传递性、异步性、可交换性和可伪性等相关的问题。1.1.3信息的功能信息的功能是信息属性的体现,主要可分为两个层次:基本功能和社会功能。基本功能在于维持和强化世界的有序性。社会功能则表现为维系社会的生存、促进人类文明的进步和自身的发展。信息的功能主要表现在以下几个方面。1)信息是一切生物进化的导向资源。2)信息是知识的来源。3)信息是决策的依据。4)信息是控制的灵魂。5)信息是思维的材料。信息安全的任务就是确保信息功能的正确实现。1.1.4信息技术与与信息安全现代信息技术一般是指近几十年刚刚发展起来的现代信息技术,它是指在计算机和通信技术支持下用以获取、加工、存储、变换、显示和传输文字、数值、图像、视频、音频以及语音信息,并且包括提供设备和信息服务两大方面的方法与设备的总称。具体来讲,信息技术主要包括以下几个方面。(1)感测与识别技术(2)信息传递技术(3)信息处理与再生技术(4)信息施用技术信息安全关注的是信息在各种信息技术的施用过程中信息是否能维持它的基本性质,信息的功能是否能正确实现这些问题。1.1.5信息系统与信息安全*信息系统是指基于计算机技术和网络通信技术的系统,是人、规程、数据库、硬件和软件等各种设备、工具的有机集合。信息系统的发展经历了电子数据处理系统(EDPS)、管理信息系统(MIS)、决策支持系统(DSS)、办公自动化系统(OAS)和多媒体信息系统(MMIS)等几个阶段。在管理科学和方法的指导下,同统计理论和方法、计算机技术、通信技术等相互渗透、相互促进,迅速形成一个专门的应用领域。在信息安全领域,重点关注的是与信息处理生命周期相关的各个环节,包括信息本身在整个生命周期中的存在形式、存储处理相关的设备、传递交换所用的通信网络、相应的计算机软件和协议等。1.2信息安全的重要性与严峻性1.2.1信息安全的重要性1946年,世界第一台电子计算机ENIAC在美国诞生后,经过近60年的发展,作为社会发展三要素的物质、能源和信息的关系发生了深刻的变化。在计算机技术和通信技术的推动下,信息要素已成为支配人类社会发展进程的决定性力量之一,信息关系到一个人的成长、一个单位的业务发展,甚至一个国家的生死存亡。可以这么说,我们的社会已经开始从工业化社会逐渐进入到信息化社会。微型计算机和大容量存储技术的发展和应用,推动了信息处理的电子化;通信技术和通信协议的发展推动了信息的高速传输和信息资源的广泛共享。20世纪80年代,特别是90年代中后期开始的互联网狂潮,彻底改变了人们获取知识、了解信息的习惯,互联网已经成为了一个继电视、电台、报刊之后的第四媒体,是我们获取信息、传播信息的重要载体,互联网的使用已经深入到政治、军事、文化、商务、学习和日常生活等各个领域和方面,深刻影响着社会各阶层、个人、政体,甚至国家内部及相互之间关系的思维方式、行为方式和观念的变化。(1)社会信息化提升了信息的地位(2)社会对信息技术的依赖性增强(3)虚拟的网络财富日益增长(4)信息安全已经成为社会的焦点问题1.2.2信息安全的严峻性针对信息的保护与反保护等行为一直伴随着信息的整个发展历程。进入21世纪后,信息安全面临着更严峻的考验。中国计算机网络应急技术处理协调中心(CNCERT/CC,网址:)的年度网络安全报告显示,网络安全总体状况非常严峻,具体表现在:1.系统的安全漏洞不断增加2.黑客攻击搅得全球不安3.计算机病毒肆虐4.网络仿冒危害巨大5.“僵尸网络”(BOTNET)使得网络攻击规模化6.木马和后门程序泄漏秘密7.以利益驱动的网络犯罪发展迅猛8.信息战阴影威胁数字化和平9.白领犯罪造成巨大商业损失1.3信息安全问题的起源和常见威胁虚拟的网络环境、虚拟的信息世界,如何确保信息的真实和正确?如何确保信息能合法地被使用?如何利用信息创造价值,维护社会稳定和推动社会发展,而不是制造恐慌?要保证信息的安全,实现信息的功能,首先必须了解信息在整个处理生命周期中可能面临的风险,从而分析确定相应的安全需求,最后才能制定和实施相应的安全策略。1.3.1信息安全问题的起源信息安全问题是一个系统问题,而不是单一的信息本身的问题,因此要从信息系统的角度来分析组成系统的软硬件及处理过程中信息可能面临的风险。一般认为,系统风险是系统脆弱性或漏洞,以及以系统为目标的威胁的总称。系统脆弱性和漏洞是风险产生的原因,威胁或攻击是风险的结果。计算机网络是目前信息处理的主要环境和信息传输的主要载体,特别是互联网的普及,给我们的信息处理方式带来了根本的变化。互联网的“无序、无界、匿名”三大基本特征也决定了网络信息的不安全。如何使我们的网络“有序、有界、真实”是每一个国家、每一个单位或集体、每一个技术人员的责任和理想。综合起来说,信息安全的风险主要来自以下几个方面:物理因素、系统因素、网络因素、应用因素和管理因素。1.3.2物理安全风险计算机本身和外部设备乃至网络和通信线路面临各种风险,如各种自然灾害、人为破坏、操作失误、设备故障、电磁干扰、被盗和各种不同类型的不安全因素所致的物质财产损失、数据资料损失等。如,1999年8月,吉林省某电信业务部门的通信设备被雷击中,造成惊人的损失;还有某铁路计算机系统遭受雷击,造成设备损坏、铁路运输中断等。1.3.3系统风险——组件的脆弱性从安全的角度看,冯?诺依曼模型是造成安全问题的根源,因为二进制编码对识别恶意代码造成很大困难,其信号脉冲又容易被探测、截获;面向程序的思路使数据和代码混淆,使病毒、特洛伊木马等很容易入侵(1949年,他自己就意识到程序可在其体系结构中自我复制);底层(硬件)固定化、普适性的模型和多用户、网络化应用的发展,迫使人们靠加大软件来适应这种情况,导致软件复杂性呈指数型增加。1.硬件组件信息系统硬件组件的安全隐患多来源于设计,由于生产工艺或制造商的原因,计算机硬件系统本身有故障(如电路短路、断线)、接触不良引起系统的不稳定、电压波动的干扰等。由于这种问题是固有的,一般除在管理上强化人工弥补措施外,采用软件程序的方法见效不大。因此在自制硬件和选购硬件时应尽可能减少或消除这类安全隐患。2.软件组件软件的“后门”是软件公司的程序设计人员为了自便而在开发时预留设置的,一方面为软件调试、进一步开发或远程维护提供了方便,但同时也为非法入侵提供了通道。这些“后门”一般不被外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。此外,软件组件的安全隐患来源于设计和软件工程中的问题。软件设计中的疏忽可能留下安全漏洞;软件设计中不必要的功能冗余以及软件过长过大,不可避免地存在安全脆弱性;软件设计不按信息系统安全等级要求进行模块化设计,导致软件的安全等级不能达到所声称的安全级别;软件工程实现中造成的软件系统内部逻辑混乱,导致垃圾软件,这种软件从安全角度看是绝对不可用的。据统计,每写一千行语句总会有6~30行差错,而一个软件常常有百万甚至千万行语句,这就意味着一个软件可能有几万个差错,但即使百分之几有害,也有几千个漏洞。软件组件可分为操作平台软件、应用平台软件和应用业务软件。这三类软件以层次结构构成软件组件体系。操作平台软件处于基础层,它维系着系统组件运行的平台,因此平台软件的任何风险都可能直接危及或被转移到或延伸到应用平台软件。对信息系统安全所需的操作平台软件的安全等级要求,不得低于系统安全等级要求,特别是信息系统的安全服务组件的操作系统安全等级必须至少高于系统安全一个等级,因此强烈建议安全服务组件的操作系统不得直接采用商业级或普遍使用的操作系统。应用平台软件处于中间层次,它是在操作平台支撑下运行的支持和管理应用业务的软件。一方面应用平台软件可能受到来自操作平台软件风险的影响;另一方面,应用平台软件的任何风险可直接危及或传递给应用业务软件。因此,应用平台软件的安全特性至关重要,在提供自身安全保护的同时,应用平台软件还必须为应用软件提供必要的安全服务功能。应用业务软件处于顶层,直接与用户或实体打交道。应用业务软件的任何风险,都直接表现为信息系统的风险,因此其安全功能的完整性以及自身的安全等级,必须大于系统安全的最小需求。一般来说,外购的商业化应用业务软件比自制应用业务软件更安全一些。3.网络和通信协议在当今的网络通信协议中,局域网和专用网络的通信协议具有相对封闭性,因为它不能直接与异构网络连接和通信。这样的“封闭”网络本身基于两个原因比开放式的互联网的安全特性好:一是网络体系的相对封闭性,降低了从外部网络或站点直接攻入系统的可能性,但信