密码技术在信息安全中的应用

LOGO密码技术——信息安全的坚强守护者目录4基于密码技术的PKI+数字证书如何实现信息安全1网络世界充满不安2信息安全相关政策、法规3密码技术在信息安全中的应用5东方中讯简介目录4基于密码技术的PKI+数字证书如何实现信息安全1网络世界充满不安2信息安全相关政策、法规3密码技术在信息安全中的应用5东方中讯简介引言近年来，网络安全事件“层出不穷”，商业泄密案“触目惊心”，个人信息“唾手可得”，网络犯罪“蒸蒸日上”。一系列信息泄密事件，已经引起一场轩然大波。人们刚迎来2013年不久，数据泄露事件又接连不断：香港八达通卡泄密、富士通ipad2后壳设计图泄密、RSA公司SecurID技术及客户资料被窃取和索尼公司的PlayStation用户数据外泄、大众都熟知的棱镜事件等等。这样触目惊心的消息我们再也伤不起!我们的网络世界充满不安。。。2012年10月百所大学近12万账户信息被窃2012年7月，云存储服务商Dropbox用户名和密码2012年7月雅虎45.34万名用户的认证信息，超过2700个数据库表被盗2012年7月DNSChanger修改多达30万台电脑用户的DNS…2012年6月LinkedIn650万加密的密码被发送到了一家俄罗斯的黑客网站2012年1月，亚马逊旗下美国电子商务网站Zappos遭到黑客网络攻击我们的网络世界充满不安。。。Gauss病毒窃取浏览器保存的密码、网银账户、Cookies和系统配置信息等敏感数据2012年5月新型蠕虫病毒火焰(Flame)肆虐中东2012年8月维基解密网站遭受到每秒10G流量持续攻击2012年3月著名黑客组织Anonymous威胁干掉整个互联网京东商城充值系统于2012年10月30日晚22点30分左右出现重大漏洞，用户可以用京东积分无限制充值Q币和话费2009年韩国国会、国防部、外交通商部等机构的网站一度无法打开目录4基于密码技术的PKI+数字证书如何实现信息安全1网络世界充满不安2信息安全相关政策、法规3密码技术在信息安全中的应用5东方中讯简介信息安全法律法规国内主要的信息安全相关法律法规如下：1.信息网络传播权保护条例2.2006—2020年国家信息化发展战略3.网络信息安全等级保护制度4.信息安全等级保护管理办法(试行)5.互联网信息服务管理办法6.中华人民共和国电信条例7.中华人民共和国计算机信息系统安全保护条例8.公用电信网间互联管理规定9.联网单位安全员管理办法（试行）10.文化部关于加强网络文化市场管理的通知11.证券期货业信息安全保障管理暂行办法信息安全法律法规12.中国互联网络域名管理办法13.科学技术保密规定14.计算机信息系统国际联网保密管理规定15.计算机软件保护条例16.国家信息化领导小组关于我国电子政务建设指导意见17.电子认证服务密码管理办法18.互联网IP地址备案管理办法19.计算机病毒防治管理办法20.中华人民共和国电子签名法21.认证咨询机构管理办法22.中华人民共和国认证认可条例信息安全法律法规23.认证培训机构管理办法24.中华人民共和国产品质量法25.中华人民共和国产品质量认证管理条例26.商用密码管理条例27.网上证券委托暂行管理办法28.信息安全产品测评认证管理办法29.产品质量认证收费管理办法信息安全升至国家战略层面！！！从等保看信息安全的演进2003年9月中办国办颁发《关于加强信息安全保障工作的意见》（中办发[2003]27号）2004年11月四部委会签《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）2005年9月国信办文件《关于转发《电子政务信息系统信息安全等级保护实施指南》的通知》（国信办[2004]25号）2005年公安部标准《等级保护安全要求》《等级保护定级指南》《等级保护实施指南》《等级保护测评准则》总结成一种安全工作的方法和原则最先作为“适度安全”的工作思路提出确认为国家信息安全的基本制度，安全工作的根本方法形成等级保护的基本理论框架，制定了方法，过程和标准1994年国务院颁布《中华人民共和国计算机信息系统安全保护条例》2006年四部委会签公通字[2006]7号文件（关于印发《信息安全等级保护管理办法（试行）》的通知）明确做等级保护，等级保护工作的重点是基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统定义了五个保护级别、监管方式、职责分工和时间计划定义了电子政务等级保护的实施过程和方法定义了等级保护的管理办法，后被43号文件取代。首次提出计算机信息系统必须实行安全等级保护。提出了等级保护的定级方法、实施办法，并对不同等级需要达到的安全能力要求进行了详细的定义，同时对系统保护能力等级评测指出了具体的指标。等级保护的政策标准的演进2007年7月16日四部门会签公信安[2007]861号文件：四部门下发《关于开展全国重要信息系统安全等级保护定级工作的通知》提出了等级保护的推进和管理办法为等级保护工作开展提供了参考开始了等级保护的实质性工作的第一阶段2007年四部委会签公通字[2007]43号文件《信息安全等级保护管理办法》替代公通字[2006]7号文件，明确了等级保护的具体操作办法和各部委的职责，以及推进等级保护的具体事宜2006年公安部、国信办下发了《关于开展信息系统安全等级保护基础调查工作的通知》从2006年1月10日到4月10日，分三个阶段对国家重要的基础信息系统进行摸底，包括党政机关、财政、海关、能源、金融、社会保障等行业2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作，其中包括公用通信网、广播电视传输网等基础信息网络以及铁路、银行、海关、税务、民航、电力、证券、保险、外交、人事劳动和社会保障、财政、等行业等级保护的政策标准的演进《信息安全技术信息安全等级保护技术设计要求》报批稿，对等级保护的方案设计提出了参考。提出“一个中心下的三重防护”体系等级保护的落地迈出了实质性的一步等级保护有了国家标准作为参考依据同步提出了等级保护基础技术的课题研究2008年7月，公安部发布《公安机关信息安全等级保护检查工作》（试行）文件，提出等级保护检查工作的细则，并发布到重点政府行业用户2008年，国家标准化委员会正式批复并发布《信息安全技术信息安全等级保护基本要求》和《信息安全技术信息安全等级保护定级指南》，编号分别为GB/T22239-2008、GB/T22240-2008目前已正式颁布的有：《GB/T22239-2008信息安全技术信息系统安全等级保护基本要求》《GB/T22240-2008信息安全技术信息系统安全等级保护定级指南》《公安机关信息安全等级保护检查工作规范》2008年定级备案工作基本结束2+2X用户已完成在公安机关的定级备案工作；备案的四级系统大约200多个；三级系统大约25000多个；二级系统大约32000多个。目录4基于密码技术的PKI+数字证书如何实现信息安全1网络世界充满不安2信息安全相关政策、法规3密码技术在信息安全中的应用5东方中讯简介信息安全的基本属性信息安全可用性机密性完整性不可否认性真实性/可靠性可控性针对信息的安全属性存在的攻击模式中断(Interruption)：是对系统的可用性进行攻击，如破坏计算机硬件、网络或文件管理系统。窃听(Interception):在通信信道中进行监听等。篡改(Modification)：是对系统的完整性进行攻击，如修改数据文件中的数据、替换某一程序使其执行不同的功能、修改网络中传送的消息内容等。伪造(Fabication)：是对系统的真实性进行攻击。如在网络中插入伪造的消息或在文件中插入伪造的记录信息安全需要哪些安全服务？可认证性数据保密性数据完整性不可否认性访问控制实现这些服务的技术？数学、信息、通信、计算机网络等多学科技术领域的综合，其中密码学是网络安全的基础理论和关键技术。信息安全中常用的密码技术对称/分组加密DES-(数据加密标准DataEncryptionStandard)IDEAInternationalDataEncryptionAlgorithm——国际数据加密算法，是1990年由瑞士联邦技术学院来学嘉X.J.Lai和Massey提出的建议标准算法。AES(高级加密标准AdvancedEncryptionStandard)X.J.Lai常用的密码技术公钥加密RSARivestShamirAdlemanECCEllipticCurvecryptsystem常用的密码技术鉴别和散列函数散列函数-Hash函数MD5Message-DigestAlgorithm5消息-摘要算法(R)SHASecureHashAlgorithm安全散列算法(NSA)信息安全机制加密数字签名否认伪造冒充篡改访问控制数据完整性数据单元的完整性•发送实体•接收实体数据单元序列的完整性•防止假冒、丢失、重发、插入或修改数据。交换鉴别–口令–密码技术•时间标记和同步时钟•双方或三方“握手”•数字签名和公证机构业务流量填充路由控制公证机制密码技术在信息安全中的价值让攻击变得困难：数字猜测破解密码推知私钥越权访问截获安全信道。。。。。。目录4基于密码技术的PKI+数字证书如何实现信息安全1网络世界充满不安2信息安全相关政策、法规3密码技术在信息安全中的应用5东方中讯简介什么是PKI？解决网上身份认证、信息的完整性和不可抵赖性等安全问题，为网络应用（如浏览器、电子邮件、电子交易）提供可靠的安全服务。密码技术PKI如何实现信息安全信息安全要素所对付的威胁可用的PKI技术机密性(Confidentiality)窃听非法窃取资料敏感信息泄露加密数字信封完整性(Integrity)篡改重放攻击破坏数字签名时戳服务（TimeStamp）可用性（Availability）堵塞网络消耗计算资源N/A认证(Authentication)冒名传送假资料数字签名抗抵赖(Non-repudiation)否认已收到资料否认已送资料数字签名授权与访问控制(Authorization&AccessControl)非法存取资料统一身份认证平台PKI+数字证书实现信息安全模型使用公钥加密算法、分组加密等PKI中信息安全交互实例1.1你是谁?RickMaryInternet/Intranet应用系统1.2怎么确认你就是你?认证1.1我是Rick.1.2口令是1234.授权保密性完整性防抵赖2.我能干什么?2.你能干这个,不能干那个.3.如何让别人无法偷听?3.我有密钥?5.我偷了机密文件,我不承认.5.我有你的罪证.4.如何保证不能被篡改?4.别怕,我有数字签名.28PKI对各安全要素的解决方法认证身份证明：证书中告诉别人，你是谁？身份验证：数字签名和证书的唯一性向别人证明，你确是此人？机密性加密技术对称加密共享密钥非对称加密公开密钥PKI对各安全要素的解决方法完整性数字签名如果数字签名验证失败，说明数据的完整性遭到了破坏不可抵赖性数字签名证明信息已经被发送或接收:发送方不能抵赖曾经发送过数据使用发送者本人的私钥进行数字签名接收方不能抵赖曾经接收到数据接收方使用私钥对确认信息进行数字签名DigitalSignature,Date,TimePKI的优势PKI作为一种安全技术，已经深入到网络的各个层面。PKI的灵魂来源于公钥密码技术，围绕着非对称密码技术，数字证书破壳而出，并成为PKI中最为核心的元素：5、PKI具有极强的互联能力。不论是上下级的领导关系，还是平等的第三方信任关系，PKI都能够按照人类世界的信任方式进行多种形式的互联互通，从而使PKI能够很好地服务于符合人类习惯的大型网络信息系统。1、采用公开密钥密码技术，能够支持可公开验证并无法仿冒的数字签名，从而在支持可追究的服务上具有不可替代的优势。2、由于密码技术的采用，保护机密性是PKI最得天独厚的优点。PKI不仅能够为相互认识的实体之间提供机密性服务，同时也可以为陌生的用户之