信息安全及其关键技术探讨－国家计算机网络与信息安全管理中心.ppt

《信息安全及其关键技术探讨－国家计算机网络与信息安全管理中心.ppt》由会员分享，可在线阅读，更多相关《信息安全及其关键技术探讨－国家计算机网络与信息安全管理中心.ppt（23页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息平安及其关键技术探讨信息平安及其关键技术探讨信息平安及其关键技术探讨信息平安及其关键技术探讨方滨兴，二OO五年九月二十二日1从作用点角度看信息平安层次从作用点角度看信息平安层次从作用点角度看信息平安层次从作用点角度看信息平安层次l国标国标?计算机信息系统平安保护等级划分准计算机信息系统平安保护等级划分准那么那么?定义：定义：“计算机信息人机系统平安的计算机信息人机系统平安的目标是着力于实体平安、运行平安、信息目标是着力于实体平安、运行平安、信息平安和人员平安维护。平安保护的直接对平安和人员平安维护。平安保护的直接对象是计算机信息系统，实现平安保护的关象是计算机信息系统，实现平安保护的关键因

2、素是人。键因素是人。“l部标部标?计算机信息系统平安专用产品分类原计算机信息系统平安专用产品分类原那么那么?定义是：定义是：“本标准适用于保护计算机本标准适用于保护计算机信息系统平安专用产品，涉及实体平安、信息系统平安专用产品，涉及实体平安、运行平安和信息平安三个方面。运行平安和信息平安三个方面。2从目标保护角度看信息平安属性从目标保护角度看信息平安属性从目标保护角度看信息平安属性从目标保护角度看信息平安属性lISO17799ISO17799定义：定义：“信息平安是使信息防止一系列信息平安是使信息防止一系列威胁，保障商务的连续性，最大限度地减少商务威胁，保障商务的连续性，最大限度地减少商务的损

3、失，最大限度地获取投资和商务的回报，涉的损失，最大限度地获取投资和商务的回报，涉及的是机密性、完整性、可用性。及的是机密性、完整性、可用性。l国际标准化委员会定义：国际标准化委员会定义：“为数据处理系统而采为数据处理系统而采取的技术的和管理的平安保护，保护计算机硬件、取的技术的和管理的平安保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏软件、数据不因偶然的或恶意的原因而遭到破坏可用性、更改完整性、显露机密性可用性、更改完整性、显露机密性 3关于信息平安的两个主要视点关于信息平安的两个主要视点关于信息平安的两个主要视点关于信息平安的两个主要视点管理管理管理管理/人员安全人员安全人

4、员安全人员安全数据数据数据数据/信息安全信息安全信息安全信息安全运行安全运行安全运行安全运行安全实体实体/物理安全物理安全信息平安分层结构面向应用的信息平安框架信息平安金三角CIA面向属性的信息平安框架机密性机密性(Confidentiality)完整性完整性 可用性可用性（IntegrityIntegrity）(Availability)Availability)4两个被忽略的问题之一：内容平安两个被忽略的问题之一：内容平安l谁在关心文化平安？内容平安的本质是什谁在关心文化平安？内容平安的本质是什么？么？l文化平安不是技术问题，是哲学问题。文化平安不是技术问题，是哲学问题。l内容平安着眼点是

5、依据内容来对平安问题内容平安着眼点是依据内容来对平安问题进行判断，但需要通过技术方式来解决。进行判断，但需要通过技术方式来解决。l内容平安技术的本质是对数据的攻击技术内容平安技术的本质是对数据的攻击技术l国际社会经常将反网络病毒国际社会经常将反网络病毒Anti Vandalism、反垃圾邮件问题列入内容、反垃圾邮件问题列入内容平安的范畴平安的范畴5两个被忽略的问题之二：信息内容对抗两个被忽略的问题之二：信息内容对抗l一支从事信息平安的队伍研究的是信息对抗的一支从事信息平安的队伍研究的是信息对抗的问题，所引发的问题是：问题，所引发的问题是：l信息对抗与信息平安的关系是什么？信息对抗与信息平安的关

6、系是什么？l信息对抗自身也存在体系问题，包括不同层次信息对抗自身也存在体系问题，包括不同层次的对抗问题，我们仅选择信息内容对抗来讨论的对抗问题，我们仅选择信息内容对抗来讨论l信息隐藏是典型的信息内容对抗的研究内容信息隐藏是典型的信息内容对抗的研究内容l站在信息平安的角度考虑这个问题，给出的命站在信息平安的角度考虑这个问题，给出的命题是：题是：l一个客观存在的信息，如何发现？一个客观存在的信息，如何发现？l数据挖掘、情报分析、信息获取数据挖掘、情报分析、信息获取l如果我们不能掩盖一个信息，那就淹没这个信如果我们不能掩盖一个信息，那就淹没这个信息息l围绕信息利用的对抗行为围绕信息利用的对抗行为(所

7、谓虚虚实实真真假所谓虚虚实实真真假假假)6信息平安的技术层次视点信息平安的技术层次视点信息平安的技术层次视点信息平安的技术层次视点 层次结构 层面模型系统安全物理安全物理安全系统安全系统安全信息系统信息系统 方面的安全方面的安全l 环境平安l 设施平安l 动力平安l 容灾 7l指对网络与信息系统物理装备的保护。主指对网络与信息系统物理装备的保护。主要涉及网络与信息系统的要涉及网络与信息系统的机密性、可用性、机密性、可用性、完整性完整性等属性。等属性。l所涉及的主要技术：所涉及的主要技术：l加扰处理、电磁屏蔽：防范电磁泄露加扰处理、电磁屏蔽：防范电磁泄露l容错、容灾、冗余备份、生存性技术：防范容

8、错、容灾、冗余备份、生存性技术：防范随机性故障随机性故障l信息验证：防范信号插入信息验证：防范信号插入关于物理平安关于物理平安关于物理平安关于物理平安 863方案关注的重要技术方案关注的重要技术灾难恢复与故障容错技术灾难恢复与故障容错技术网络可生存性技术网络可生存性技术空间信息系统平安技术空间信息系统平安技术 242方案关注的重要技术方案关注的重要技术系统数据、网络和效劳的可生存性技术系统数据、网络和效劳的可生存性技术系统容灾技术系统容灾技术8信息平安的技术层次视点信息平安的技术层次视点信息平安的技术层次视点信息平安的技术层次视点系统平安系统平安 层次结构 层面模型系统安全物理安全物理安全系统

9、安全运行安全运行安全 信息系统信息系统 方面的平安方面的平安l 系统评估-测试评估能力l 平安策略-信息对抗能力l 访问控制-平安防护能力l 入侵检测-平安预警能力l 应急响应-应急响应能力9关于运行平安关于运行平安关于运行平安关于运行平安l指对网络与信息系统的运行过程和运行状态的保指对网络与信息系统的运行过程和运行状态的保护。主要涉及网络与信息系统的真实性、可控性、护。主要涉及网络与信息系统的真实性、可控性、可用性等可用性等l主要涉及的技术主要涉及的技术l风险评估体系、平安测评体系：支持系统评估风险评估体系、平安测评体系：支持系统评估l漏洞扫描、平安协议：支持对平安策略的评估与漏洞扫描、平安

10、协议：支持对平安策略的评估与保障保障l防火墙、物理隔离系统、访问控制技术、防恶意防火墙、物理隔离系统、访问控制技术、防恶意代码技术：支持访问控制代码技术：支持访问控制l入侵检测及预警系统、平安审计技术：支持入侵入侵检测及预警系统、平安审计技术：支持入侵检测检测l反制系统、容侵技术、审计与追踪技术、取证技反制系统、容侵技术、审计与追踪技术、取证技术、动态隔离技术：支持应急响应术、动态隔离技术：支持应急响应l网络攻击技术，网络攻击技术，PhishingPhishing、BotnetBotnet、DDoSDDoS、木马等、木马等技术技术 863方案关注的重要技术方案关注的重要技术可信平安计算、网络环

11、境技术可信平安计算、网络环境技术生物识别技术生物识别技术病毒与垃圾邮件防范技术病毒与垃圾邮件防范技术测试评估技术测试评估技术高性能平安芯片技术高性能平安芯片技术 242方案关注的重要技术方案关注的重要技术大流量网络数据获取与实时处理技术大流量网络数据获取与实时处理技术专用采集及负载分流技术专用采集及负载分流技术宏观网络平安监测技术宏观网络平安监测技术异常行为的发现、网络态势挖掘与综合分析技术异常行为的发现、网络态势挖掘与综合分析技术大规模网络建模、测量与模拟技术大规模网络建模、测量与模拟技术宏观网络应急响应技术宏观网络应急响应技术大规模网络平安事件预警与联动响应技术大规模网络平安事件预警与联动

12、响应技术异常行为的重定向、隔离等控管技术异常行为的重定向、隔离等控管技术网络平安威胁及应对技术网络平安威胁及应对技术僵尸网络等网络攻击的发现与反制技术僵尸网络等网络攻击的发现与反制技术漏洞挖掘技术漏洞挖掘技术10信息平安的技术层次视点信息平安的技术层次视点信息平安的技术层次视点信息平安的技术层次视点系统平安系统平安 层次结构 层面模型系统安全物理安全物理安全 系统安全运行安全运行安全 信息安全数据安全数据安全信息系统信息系统 方面的平安方面的平安信息安全信息安全信息自身信息自身 方面的安全方面的安全信任保障能力 l 防泄露l 仿冒充l 防篡改l 防抵赖11关于数据平安关于数据平安关于数据平安关

13、于数据平安l指对信息在数据收集、处理、存储、检索、传指对信息在数据收集、处理、存储、检索、传输、交换、显示、扩散等过程中的保护，使得输、交换、显示、扩散等过程中的保护，使得在数据处理层面保障信息依据授权使用，不被在数据处理层面保障信息依据授权使用，不被非法冒充、窃取、篡改、抵赖。主要涉及信息非法冒充、窃取、篡改、抵赖。主要涉及信息的的机密性、真实性、完整性、不可否认性机密性、真实性、完整性、不可否认性等等l主要涉及的技术主要涉及的技术l对称与非对称密码技术及其硬化技术、对称与非对称密码技术及其硬化技术、VPNVPN等技术：防范信息泄密等技术：防范信息泄密l认证、鉴别、认证、鉴别、PKIPKI等

14、技术：防范信息伪造等技术：防范信息伪造l完整性验证技术：防范信息篡改完整性验证技术：防范信息篡改l数字签名技术：防范信息抵赖数字签名技术：防范信息抵赖l秘密共享技术：防范信息破坏秘密共享技术：防范信息破坏863方案关注的重要技术方案关注的重要技术密码技术密码技术应用密码技术应用密码技术网络信任体系技术网络信任体系技术12信息平安的技术层次视点信息平安的技术层次视点信息平安的技术层次视点信息平安的技术层次视点系统平安系统平安信息平安信息平安层次结构 层面模型系统安全物理安全物理安全 系统安全运行安全运行安全 信息安全数据安全数据安全信息安全内容安全内容安全 信息自身信息自身 方面的平安方面的平安

15、有害信息的过滤13关于内容平安关于内容平安关于内容平安关于内容平安l指对信息在网络内流动中的选择性阻断，以保指对信息在网络内流动中的选择性阻断，以保证信息流动的可控能力。主要涉及信息的机密证信息流动的可控能力。主要涉及信息的机密性、真实性、可控性、可用性等性、真实性、可控性、可用性等l主要涉及的技术：主要涉及的技术：l文本识别、图像识别、流媒体识别、群发邮件文本识别、图像识别、流媒体识别、群发邮件识别等：用于对信息的理解与分析；识别等：用于对信息的理解与分析；l面向内容的过滤技术面向内容的过滤技术CVPCVP、面向、面向URLURL的过的过滤技术滤技术UFPUFP、面向、面向DNSDNS的过滤

16、技术等：用的过滤技术等：用于对信息的过滤。于对信息的过滤。863方案关注的重要技术方案关注的重要技术网络监控技术网络监控技术面向互联网面向互联网面向播送电视面向播送电视面向面向VoIP面向短信息面向短信息 242方案关注的重要技术方案关注的重要技术基于互联网的监控技术基于互联网的监控技术P2P网络行为的发现与监控技术网络行为的发现与监控技术大规模特征串匹配算法与数据流查询技术大规模特征串匹配算法与数据流查询技术垃圾信息检测与过滤技术垃圾信息检测与过滤技术垃圾信息自动识别技术垃圾信息自动识别技术垃圾信息综合举报、分类与处理技术垃圾信息综合举报、分类与处理技术反色情绿色上网软件技术反色情绿色上网软

17、件技术网站效劳性质识别与色情网站自动发现技术网站效劳性质识别与色情网站自动发现技术图像与网络流媒体识别技术图像与网络流媒体识别技术14信息平安的技术层次视点信息平安的技术层次视点信息平安的技术层次视点信息平安的技术层次视点系统平安系统平安信息平安信息平安 层次结构层面模型系统安全物理安全物理安全 系统安全运行安全运行安全信息安全数据安全数据安全 信息安全内容安全内容安全 信息对抗信息内容对抗信息内容对抗信息自身信息自身 方面的平安方面的平安信息对抗信息对抗信息利用信息利用 方面的安全方面的安全l 信息的隐藏与发现l 信息的干绕与提取15l指对信息有效内容真实性的隐藏、保护指对信息有效内容真实性

18、的隐藏、保护与分析。主要涉及信息有效内容的与分析。主要涉及信息有效内容的机密机密性、完整性性、完整性等等l所涉及的主要技术：所涉及的主要技术：l数据挖掘技术：发现信息数据挖掘技术：发现信息l隐写技术、水印技术：保护信息隐写技术、水印技术：保护信息l即时通、即时通、MSNMSN等协议的分析技术：对特定协等协议的分析技术：对特定协议的理解，议的理解，lVoIPVoIP识别技术：对数字化语音信息的理解识别技术：对数字化语音信息的理解l音频识别与按内容匹配：锁定音频目标进行音频识别与按内容匹配：锁定音频目标进行关于信息利用的平安关于信息利用的平安关于信息利用的平安关于信息利用的平安 863方案关注的重

19、要技术方案关注的重要技术灾难恢复与故障容错技术灾难恢复与故障容错技术网络可生存性技术网络可生存性技术空间信息系统平安技术空间信息系统平安技术 242方案关注的重要技术方案关注的重要技术舆情挖掘与预警技术舆情挖掘与预警技术特定主题信息的识别、特征发现技术特定主题信息的识别、特征发现技术敏感敏感/热点事件发现及趋势预测技术热点事件发现及趋势预测技术信息隐藏技术信息隐藏技术基于图像或音频的隐写、检测及复原工具库基于图像或音频的隐写、检测及复原工具库非拼装隐藏信息的快速检测非拼装隐藏信息的快速检测16信息平安的技术层次视点信息平安的技术层次视点信息平安的技术层次视点信息平安的技术层次视点System

20、security物理安全物理安全 System security运行安全运行安全Information security数据安全数据安全 Information security内容安全内容安全 系统自身的平安“系统平安Information Security信息利用的平安“信息对抗信息自身的平安“信息平安层次结构结构层次三级信息平安框架信息内容对抗信息内容对抗17ITU-X.800给出的相关属性的定义给出的相关属性的定义:l机密性机密性ConfidentialityConfidentiality：l Prevent unauthorised disclosure of information

21、 Prevent unauthorised disclosure of informationl完整性完整性IntegrityIntegrity：lassurance that data received are exactly as sent by an authorized assurance that data received are exactly as sent by an authorized sendersenderl可用性可用性AvailabilityAvailability：lservices should be accessible when needed and wit

22、hout delayservices should be accessible when needed and without delayl真实性真实性AuthenticationAuthentication：lassurance that the communicating entity is the one it claims to be assurance that the communicating entity is the one it claims to be lpeer entity authentication peer entity authentication lData

23、-origin authentication Data-origin authentication l不可抵赖性不可抵赖性Non-RepudiationNon-Repudiation：lprotection against denial by one of the parties in a communicationprotection against denial by one of the parties in a communicationlOrigin non-repudiationOrigin non-repudiation：proof that the message was se

24、nt by the proof that the message was sent by the specified partyspecified partylDestination non-repudiationDestination non-repudiation：proof that the message was received by proof that the message was received by the specified partythe specified party18关于信息平安的根本属性关于信息平安的根本属性l机密性机密性Confidentiality：反映

25、了信：反映了信息与信息系统的不可被非授权者所利用息与信息系统的不可被非授权者所利用 l真实性真实性Authentication：反映了信：反映了信息与信息系统的行为不被伪造、篡改、冒息与信息系统的行为不被伪造、篡改、冒充充l可控性可控性controllability：反映了信息：反映了信息的流动与信息系统可被控制者所监控的流动与信息系统可被控制者所监控 l可用性可用性Availability：反映了信息与：反映了信息与信息系统可被授权者所正常使用信息系统可被授权者所正常使用 19信息平安的根本属性视点信息平安的根本属性视点机密性机密性Cf真实性真实性Au可控性可控性Ct可用性可用性Av信息平安

26、四要素：信息平安四要素：CACA20机密性机密性真真实实性性可控性可控性可用性可用性物理安全物理安全运行安全运行安全数据安全数据安全内容安全内容安全信息内容信息内容对对抗抗信息平安经纬线信息平安经纬线 层次模型与要素模型的结合层次模型与要素模型的结合21 信息平安从技术角度来看信息平安从技术角度来看是对信息与信息系统的固有属是对信息与信息系统的固有属性即性即“序的攻击与保护序的攻击与保护的过程。它围绕着信息系统、的过程。它围绕着信息系统、信息自身及信息利用的机密性、信息自身及信息利用的机密性、真实性、可控性、可用性这四真实性、可控性、可用性这四个核心平安属性，具体反映在个核心平安属性，具体反映在物理平安、运行平安、数据平物理平安、运行平安、数据平安、内容平安、信息内容对抗安、内容平安、信息内容对抗等五个层面上。等五个层面上。结论：什么是信息平安？结论：什么是信息平安？结论：什么是信息平安？结论：什么是信息平安？22谢谢 谢谢方滨兴23