1、信息安全概论课程学习总结本学期经过一学期的对于信息安全概论课程的学习,对于信息安全所涉及的领域、信息安全科目所包含的知识以及信息安全专业学习所需要的相关知识储备和相关发展方向有了简单程度上的相应了解。于此,对于本学期所学信息安全概论的课程进行梳理与详述。本学期信息安全概论课程内容大致可分为这几部分:信息安全概述、数字水印、僵尸网络、电子商务中的安全技术、操作系统基础知识、网络安全导论、密码学概论以及身份认证技术概述。一、信息安全概述信息安全之目的在于将信息系统之脆弱性降到最低,即将信息系统的任何弱点减小至最少。信息安全的属性为:机密性、完整性、可用性、不可否认性以及可控性。1. 机密性,是指保
2、护数据不受非法截获和未经授权浏览。此之于敏感数据之传输甚为紧要,对于通信网络中处理用户的私人信息是十分必须且关键的。2. 完整性,是指保障数据在被传输、接受或者存储时的完整以及未发生篡改。此之于保证重要数据之精确性是必不可少的。3. 可用性,是指当发生突发事件时,用户依然可以得到并使用数据且服务处于正常运转状态,例如发生供电中断以及相应地自然灾害与事故使。4. 不可否认性,是指行为人不能否认其信息之行为。此之于可用于防止参与某次通信交换的一方在事后否认本次交换曾经发生过的情况。5. 可控性,是指对于信息即信息系统实施安全监控。此之于可用于确保管理机制对信息之传播及内容具有控制能力。信息安全的研
3、究内容包括:安全检测与风险评估、网络信任体系、可信计算、访问控制、身份认证、密码技术、内容安全、安全协议、恶意行为及恶意代码检测、信息隐藏、网络监控、入侵检测、防火墙、无线通信安全、嵌入式安全、云安全以及量子密码等。与信息安全相关的法规在世界各国也都有了长足的发展。美国于 1998 年 5 月 22 日总统令保护美国关键基础设施 ,就围绕“信息保障”成立了多个组织,包括:全国信息保障委员会、全国信息保障同盟、关键基础设施保障办公室、首席信息官委员会、联邦计算机事件响应行动组等十多个全国性机构。1998 年美国国家安全局制定了信息保障技术框架 ,确定了包括网络与基础设施防御、区域边界防御、计算环
4、境防御和支撑性基础设施的“深度防御策略” 。而后,于 2000 年 1 月,发布保卫美国计算机空间保护信息系统的国家计划 。分析了美国关键基础设施所面临的威胁,制定出联邦政府关键基础设施保护计划,以及关键基础设施保障框架。与此同时,俄罗斯于 1995 年颁布联邦信息、信息化和信息保护法 ,明确界定了信息资源开放和保密的范畴,提出了保护信息的法律责任。又于 1997 年出台俄罗斯国家安全构想 。明确提出“保障国家安全应把保障经济安全放在第一位” ,而“信息安全又是经济安全的重中之重。而后的 2000 年普京总统批准了国家信息安全学说 ,明确了联邦信息安全建设的任务、原则和主要内容。第一次明确了俄
5、罗斯在信息领域的利益是什么,受到的威胁是什么,以及为确保信息安全首先要采取的措施等。日本也紧跟步伐,出台21 世纪信息通信构想和信息通信产业技术战略 ,强调“信息安全保障是日本综合安全保障体系的核心” 。加紧建立与信安全相关的政策和法律法规,发布了信息通信网络安全可靠性基准和IT 安全政策指南 。成立了信息安全措施促进办公室,综合安全保障阁僚会议、IT安全专家委员会和内阁办公室下的 IT 安全分局。在我国现已颁布中华人民共和国计算机安全保护条例 、 中华人民共和国商用密码管理条例 、 计算机信息网络国际联网管理暂行办法 、 计算机信息网络安全保护管理办法 、 计算机信息系统安全等级划分标准以及
6、在刑法的修订过程中增加了有关于计算机犯罪的条款。我国的信息安全法律法规发展现在已经颇具规模。二、 数字水印数字水印,是指将一些标识信息直接嵌入数字载体当中或是间接表示且不影响原载体的使用价值,也不容易被探知和再次修改,仍能被生产方识别和辨认的技术。数字水印技术是对抗盗版等不法行为的一种行之有效的防伪方式。三、僵尸网络僵尸网络,是指通过各种手段在大量计算机中植入特定的恶意程序,使控制者能够通过相对集中的若干计算机直接向大量计算机发送指令的攻击网络。被植入恶意程序的计算机就如同僵尸一般受控于攻击者,进而从事攻击破坏活动。构成僵尸网络的组成为:僵尸主控机、“僵尸”:被入侵的计算机、指挥和控制协定。现
7、如今僵尸网络已成为会联网的主要威胁,因为大量的计算机被控制,展开猛烈的攻击、破坏、收集敏感数据和增加更多的被控制的计算机,网络允许受控计算机的运行。其攻击的方式为:DDoS 攻击、垃圾邮件、Clickfruad、恶意传播、非法入侵、Manipulating online polls。僵尸网络的主要目的还是金钱的驱使。四、 电子商务中的安全技术1.应用背景2.加密技术3.在线支付协议五、 操作系统基础知识第一部分,OS 有关概念。1.计算机硬件组成。2.OS 的目标及功能。3.操作系统的发展。按计算机换代李成划分:第一代(1945 至 1955)电子真空管和插件板,机器语言、没有 OS、体积大速
8、度慢。第二代(1955 至 1965)晶体管和批处理,有 Fortran 和汇编、按批处理作业,有了监控程序。第三代(1965 至 1980)集成电路和多道程序,多道程序、联机即时外设操作,操作系统走向成熟。第四代(1980 至 1990)个人机时代,大规模集成电路,有了成熟的操作系统产品 MS-dos 、Windows、UNIX。后第四代(90年以后)网络 OS、分布式 OS。第二部分,OS 研究的主要成就。1.创建了并行调度概念。2.形成了储存器管理理论。3.建立信息保护和信息安全机制。4.实现资源调度和资源管理。5.提出了 OS 构建理论。第三部分,典型 OS 分类介绍。1.批处理操作系
9、统。2.分时操作系统。3.实时操作系统。4.多处理操作系统。5.网络操作系统。6.布式操作系统。7.个人计算机操作系统。第四部分,OS 核心技术简述。1.并发性问题。2.存储管理技术。3.文件管理技术。4.I/O 管理技术。5.系统安全与防范技术。第五部分,OS 技术面临的挑战。六、 网络安全导论网络安全,是指网络系统的硬件、软件及其中数据受到保护,不受偶然的或者恶意的破坏、更改、泄露,保证系统连续可靠地运行,网络服务不中断的措施。1.攻击、服务和机制。2.网络安全模型。3.加密。4.身份验证和数字签名。5.IPSec、S/MIME 和 SSL。6.防火墙、IDS 和蜜罐技术。七、密码学概论密
10、码技术的发展历史:第一阶段(1949 年前) ,古典密码学发展阶段。此阶段的发展情况为,采用隐写术,暗语、隐语、藏头诗等,而采用的变换方式为手工或者机械变换的方式来实现。具有代表性的密码有:单表代换密码:Capesar 密码、仿射密码;多表代换密码:Vigenere 密码、Hill 密码等;转轮密码:Enigma、Red 密码等。第二阶段(1949 年至 1976 年) ,近代密码学阶段。1949 年,Shannon 发表了保密系统的通信理论 ,用信息论的观点分析了密码学的基本原理,奠定了密码学的理论基础。而后,1967 年 David Kahn 出版了破译者一书,促进了密码学的理论发展。第三
11、阶段(1976 年至今) ,现代密码学阶段。1976 年,Diffie、Hellman 发表密码学新方向 ,开辟了公钥密码学的新领域。同年,美国建立 DES 为联邦标准。现代密码学的主要发展方向为:混沌密码学、量子密码学、椭圆曲线密码学。八、身份认证技术概述1.身份认证,是指计算机及网络系统确认操作者身份的过程,其目的是使通信双方建立信任关系。在信息安全理论体系中,加密和认证是两个最重要的分支。2.身份认证的发展历史:第一阶段,最早的身份认证技术往往是以对罪犯的身份认证联系在一起的,由于古代技术的落后,身份认证主要借助于一些附加于人体的特征来进行身份认证。第二阶段,根据人体骨骼长度进行身份识别
12、。第三阶段,指纹身份识别。随着计算机技术的发展,目前指纹技术已经成为一种成熟易用的技术,其应用领域已相当广泛。3.古代身份认证的方法:根据你所知道的信息来证明身份;根据你所拥有的东西来证明身份;根据你独一无二的身体特征来证明身份。然而这三种方法都存在一定缺陷,也许你知道的信息别人也知道,也学你所拥有的东西别人也拥有或者你的东西已丢失,对于特定身体特征的证明也存在一定的不便。4.数字身份认证技术:用户名/密码认证方式;数字证书;智能卡;生物特征认证;零知识身份认证。以上对本学期所学相关知识根据感兴趣情况进行了各有详略的概述,现在对本人较为感兴趣的单个方面进行较为具体的论述。由于本人经常网购,所以
13、对于电子商务方面的安全问题较为感兴趣,对于课程所涉及的相关问题及知识进行一下较为详尽的论述。电子商务是指凭借电子手段而进行的商业活动。当前电子商务面临的主要问题为:付款、认证问题;商品投送保证问题;标准问题;税收问题;安全与法律问题。电子商务安全机制具有保密性、完整性、可靠性和不可否认性。保密性是指必须实现该信息对除特定收信人以外的任何人都是不可读取的。这样一来加密就显得尤为重要,加密是指通过密码算术对数据进行转化,使之成为没有正确密钥任何人都无法读懂的报文,而这些以无法读懂的形式出现的数据一般被称为密文。按照国际上通行的惯例,将这些方法按照双方收发的密钥是否相同的标准划分为两大类:第一,常规
14、算法。加密密钥和解密密钥是相同或等价的。第二,公钥加密算法。可以适应网络的开放性要求,且密钥管理问题也较为简单,尤其可方便的实现数字签名和验证,但算法复杂,加密数据的速率较低。现在进行进一步的论述。对称加密算法有很强的保密强度,且经受住时间的检验和攻击,但其密钥必须通过安全的途径传送。因此,其密钥管理成为系统安全的重要因素。著名的对称加密算法有:美国的 DES 及其各种变形、欧洲的 IDEA、日本的 FEALN、LOKI 91、Skipjack、RC4、RC5 以及以代换密码和转轮密码为代表的古典密码等,其中影响最大的 DES 与 AES。公钥密码可以适应网络的开放性要求,且密钥管理问题也较为
15、简单,尤其可方便的实现数字签名和验证,但算法复杂,加密数据的速率较低。DES 是 IBM 公司 1977 年为美国政府研制的一种算法,以 56 位密钥为基础的密码块加密。它的加密过程为:一次性把 64 位明文块打乱置换;把 64 位明文块拆成两个 32 位块;用加密 DES 密钥把每个 32 位块打乱位置 16 次;使用初始置换的逆置换。但是 DES 的安全性受到了很大的挑战,1999 年 1 月,EFF 和分散网络用不到一天的时间,破译了 56位的 DES 加密信息,DES 的统治地位受到了严重的影响。目前椭圆曲线加密技术(EEC)正在兴起,该技术具有安全性能高、计算量小处理速度快、储存空间
16、占用小以及带宽要求低的特点,正在逐步受到人们的青睐。ECC 的这些特点使它必将取代 RSA,成为通用的公钥加密算法。所有这些算法的安全性都基于密钥的安全性;而不是基于算法的细节的安全性。在在线电子商务中协议十分重要,在线支付协议有 SSL 协议、SET 协议。SSL 是 Netscape 公司在网络传输层之上提供的一种基于 RSA 和保密密钥的用于浏览器和 Web 服务器之间的安全连接技术。SSL 目前已成为 Internet 上保密通信的工业标准。现行 Web 浏览器普遍将 HTTP 和 SSL 相结合,来实现安全通信。SSL 采用公开密钥技术,其目标是保证两个应用间通信的保密性和可靠性,可
17、在服务器和客户机两端同时实现支持。它能使客户/服务器应用之间的通信不被攻击者窃听,并且始终对服务器进行认证,还可选择对客户进行认证。SSL 是对计算机之间整个会话进行加密的协议,采用了公开密钥和私有密钥两种加密方法。SSL 在两个结点间建立安全的 TCP 连接,基于进程对进程的安全服务和加密传输信道,通过数字签名和数字证书可实现浏览器和 Web 服务器双方的身份验证,安全强度高。其主要工作流程为:网络连接建立;与该连接相关的加密方式和压缩方式选择;双方的身份识别;本次传输密钥的确定;加密的数据传输;网络连接的关闭。应用数据的传输过程:应用程序把应用数据提交给本地的 SSL;发送端根据需要,使用
18、指定的压缩算法,压缩应用数据;发送端使用散列算法对压缩后的数据进行散列,得到数据的散列值;发送端把散列值和压缩后的应用数据一起用加密算法加密;密文通过网络传给对方;接收方用相同的加密算法对密文解密,得到明文;接收方用相同的散列算法对明文中的应用数据散列;计算得到的散列值与明文中的散列值比较。SSL 是一个面向连接的协议,只能提供交易中客户与服务器间的双方认证,在涉及多方的电子交易中,SSL 协议并不能协调各方间的安全传输和信任关系。SSL 在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。SET 是由 VISA 和 MASTCARD 于 1997 年 5 月联合开发的,为了
19、在 Internet上进行在线交易时保证用卡支付的安全而设立的一个开放的规范。由于得到了IBM、HP、Microsoft、NetScape、VeriFone、GTE、VeriSign 等很多大公司的支持,它已形成了事实上的工业标准,目前它已获得 IETF 标准的认可。SET 主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。其核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。SET 协议比 SSL 协议复杂,它不仅加密两个端点间的单个会话,它还可以加密和认定三方间的多个信息。SET 协议
20、可通过双重签名的方法将信用卡信息直接从客户方透过商家发送到商家的开户行,而不容许商家访问客户的帐号信息,这样客户在消费时可以确信其信用卡号没有在传输过程中被窥探,而接收 SET交易的商家因为没有访问信用卡信息,故免去了在其数据库中保存信用卡号的责任。基于 SET 的电子交易流程为:持卡人使用浏览器在商家的 WEB 主页上查看在线商品目录浏览商品;持卡人选择要购买的商品;持卡人填写定单,包括:项目列表、价格、总价、运费、搬运费、税费。定单可通过电子化方式从商家传过来,或由持卡人的电子购物软件建立。有些在线商场可以让持卡人与商家协商物品的价格;持卡人选择付款方式。此时 SET 开始介入;持卡人发送给商家一个完整的定单及要求付款的指令。在 SET 中,定单和付款指令由持卡人进行数字签名。同时利用双重签名技术保证商家看不到持卡人的帐号信息;商家接受定单后,向持卡人的金融机构请求支付认可,通过 Gateway 到银行,再到发卡机构确认,批准交易,然后返回确认信息给商家;商家发送定单确认信息给顾客。顾客端软件可记录交易日志,以备将来查询;商家给顾客装运货物,或完成订购的服务。到此为止,一个购买过程已经结束。商家可以立即请求银行将钱从购物者的帐号转移到商家帐号,也可以等到某一时间,请求成批划帐处理。在认证操作和支付操作中间一般会有一个时间间隔。
