信息安全概論報(bào)告

1、信息安全概論報(bào)告集團(tuán)文件發(fā)布號(hào)：（9816-UATWW-MWUB-WUNN-INNUL-DQQTY-信息安全概論課程報(bào)告一、課程內(nèi)容簡(jiǎn)介“國(guó)內(nèi)外信息安全研究現(xiàn)狀與發(fā)展趨勢(shì)”（1）“信息安全”的定義“信息安全”在當(dāng)前可被理解為在既定的安全要求的條件下，信息系 統(tǒng)抵御意外事件或惡意行為的能力。而信息安全事件則會(huì)危及信息系統(tǒng) 提供的服務(wù)的機(jī)密性、完整性、可用性、非否認(rèn)性和可控性。（2）“信息安全”發(fā)展的四個(gè)階段信息安全的發(fā)展在歷史發(fā)展的進(jìn)程中可被分為四個(gè)階段：首先，是通信安全發(fā)展時(shí)期（從有人類以來(lái)60年代中期）。在這個(gè)時(shí) 期，人們主要關(guān)注的是“機(jī)密性”問(wèn)題，而密碼學(xué)（密碼學(xué)是研究編制 密碼和破譯密碼

2、的技術(shù)科學(xué)。研究密碼變化的客觀規(guī)律，應(yīng)用于編制密 碼以保守通信秘密的，稱為編碼學(xué)；應(yīng)用于破譯密碼以獲取通信情報(bào) 的，稱為破譯學(xué)，總稱密碼學(xué)。）是解決“機(jī)密性”的核心技術(shù)，因此 在這個(gè)時(shí)期，密碼學(xué)得到了非常好的發(fā)展。而由于Shannon在1949年發(fā) 表的論文中為對(duì)稱密碼學(xué)建立了理論基礎(chǔ)，使得密碼學(xué)從非科學(xué)發(fā)展成 了一門(mén)科學(xué)。然后，是計(jì)算機(jī)安全發(fā)展時(shí)期（60年代中期80年代中期）。在1965 年，美國(guó)率先提出了計(jì)算機(jī)安全（compusec）這一概念，目前國(guó)際標(biāo)準(zhǔn) 化委員會(huì)的定義是“為數(shù)據(jù)處理系統(tǒng)和采取的技術(shù)的和管理的安全保 護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭到破 壞、更改、

3、顯露?！泵绹?guó)國(guó)防部國(guó)家計(jì)算機(jī)安全中心的定義是“要討論 計(jì)算機(jī)安全首先必須討論對(duì)安全需求的陳述?！痹谶@一時(shí)期主要關(guān)注的是“機(jī)密性、訪問(wèn)控制、認(rèn)證”方面的問(wèn)題。 同時(shí)，密碼學(xué)得到了快速發(fā)展：Diffiee和Hellman在1976年發(fā)表的論 文密碼編碼學(xué)新方向?qū)е铝艘粓?chǎng)密碼學(xué)革命，再加上1977年美國(guó)制 定數(shù)據(jù)加密標(biāo)準(zhǔn)DES，標(biāo)志著現(xiàn)代密碼學(xué)的誕生。另外，80年代的兩個(gè)標(biāo)志性特征分別為：計(jì)算機(jī)安全的標(biāo)準(zhǔn)化工作， 計(jì)算機(jī)在商業(yè)環(huán)境中得到了應(yīng)用。隨后，到了信息安全發(fā)展時(shí)期（80年代中期90年代中期）。此時(shí)的 關(guān)注點(diǎn)則變成了 “機(jī)密性、完整性、可用性、可控性、非否認(rèn)性”。在 此階段，密碼學(xué)得到空前發(fā)展，

4、社會(huì)上也涌現(xiàn)出大量的適用安全協(xié)議， 如互聯(lián)網(wǎng)密鑰交換協(xié)議、SET協(xié)議等，而安全協(xié)議的三大理論（安全多方 計(jì)算、形式化分析和可證明安全性）取得了突破性的進(jìn)展。最后，是信息安全保障發(fā)展時(shí)期（90年代中期）。在這一時(shí)期主要 關(guān)注“預(yù)警、保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)、反擊”整個(gè)過(guò)程。目前，人們 正從組織管理體系（做頂層設(shè)計(jì)）、技術(shù)與產(chǎn)品體系、標(biāo)準(zhǔn)體系、法規(guī) 體系、人才培養(yǎng)培訓(xùn)與服務(wù)咨詢體系和應(yīng)急處理體系這幾個(gè)方面致力于 建立信息安全保障體系。（3）危害國(guó)家安危的信息安全問(wèn)題1.網(wǎng)絡(luò)及信息系統(tǒng)出現(xiàn)大面積癱瘓。我們都知道，目前我們國(guó)家的網(wǎng)民 數(shù)量非常之多，并且國(guó)家的電力系統(tǒng)也由網(wǎng)絡(luò)控制，一旦網(wǎng)絡(luò)出現(xiàn)大面 積癱瘓

5、，不僅無(wú)數(shù)人的個(gè)人利益受到侵害，國(guó)家的安全問(wèn)題也處于水火 之中。網(wǎng)上內(nèi)容與輿論失控。由目前的情況來(lái)看，由于微博等新媒體的出 現(xiàn)，網(wǎng)絡(luò)言論的傳播速度與以往不可同日而語(yǔ)，一旦惡意詆毀國(guó)家領(lǐng)導(dǎo) 人形象、詆毀國(guó)家組織形象的言論大肆傳播，將對(duì)國(guó)人價(jià)值取向的產(chǎn)生 十分惡劣的影響，進(jìn)而威脅到國(guó)家安全。網(wǎng)上信息引發(fā)社會(huì)危機(jī)。有組織的網(wǎng)絡(luò)犯罪。網(wǎng)絡(luò)犯罪有隱蔽性強(qiáng)、難追蹤這一顯著特點(diǎn)，一 旦發(fā)生有組織的網(wǎng)絡(luò)犯罪，將會(huì)對(duì)國(guó)民的財(cái)產(chǎn)、信息安全和國(guó)家的信息 安全造成嚴(yán)重威脅。我國(guó)信息網(wǎng)絡(luò)安全狀況二、“社會(huì)工程學(xué)”概述社會(huì)工程學(xué)指的是通過(guò)與他人交往，來(lái)直接或者間接獲得機(jī)密信息。 在任何的安全體系里，人都是最薄弱的一環(huán)，所

6、以是駭客攻擊的重點(diǎn)， 所有社會(huì)工程學(xué)攻擊都建立在使人決斷產(chǎn)生認(rèn)知偏差的基礎(chǔ)上。駭客也 許偽裝成某個(gè)弱勢(shì)的女性，或者詐稱是你多年未見(jiàn)的老朋友，或者以交 易中介的形式出現(xiàn)，等等，來(lái)套取你的信息，進(jìn)而進(jìn)行下一步的攻擊。根據(jù)wikipedia的介紹，社會(huì)工程學(xué)攻擊有這些形式：首先是假托(pretexing)。某天你突然接到一個(gè)電話，說(shuō)你的xxx親 人突然出事，在xxx醫(yī)院治療，速速匯款至某某賬號(hào)。你心里一驚，連 忙聯(lián)系你的親人，發(fā)現(xiàn)電話不通，于是在精神高度緊張中顫巍巍匯了錢(qián) 過(guò)去。假托就要起到這樣一種效果，通過(guò)合情合理的假象，緊張的氣 氛，讓你陷入一種心理學(xué)稱之為tunnel vision的情境中，你

7、的眼睛只 能看到隧道終點(diǎn)的那絲光明。當(dāng)然，例子中的騙術(shù)廣為人知，可能對(duì)大部分人都不奏效了，但難保 駭客建立另外一種你沒(méi)遇到過(guò)的情境，讓你陷入到“ tunnel vision” 中。比如在這個(gè)大一剛剛結(jié)束的暑假，我的好朋友得到了一個(gè)去德國(guó)交 流的機(jī)會(huì)，并在這次的經(jīng)歷中結(jié)識(shí)了一位非常要好的朋友X，在回國(guó)沒(méi)幾 天后，那位X便通過(guò)QQ向我的好朋友求助，說(shuō)有一筆錢(qián)要轉(zhuǎn)給別人，但 X自己因?yàn)槟承┰蜣D(zhuǎn)不了，想通過(guò)我的好友將錢(qián)轉(zhuǎn)到他人卡中，我的好 朋友因?yàn)楹芰私庖埠苄湃蝀，便一口答應(yīng)了下來(lái)，X也將轉(zhuǎn)款成功的信息 發(fā)給我的好友看，但由于金額竟有2萬(wàn)之多，難免讓我的好友心生懷 疑，而且這2萬(wàn)在短時(shí)間內(nèi)無(wú)法轉(zhuǎn)入到

8、我好友賬號(hào)中，X因?yàn)槭虑榧逼认?要讓我的好友先用自己的錢(qián)轉(zhuǎn)給別人，但我好友并沒(méi)有這么多的錢(qián)，于 是打電話給我求助。我在聽(tīng)了這件事后以一個(gè)旁觀者的身份發(fā)表觀點(diǎn)說(shuō)，這個(gè)X可能是個(gè)騙子，讓我的好友跟X周旋婉拒，但我好友還是很 肯定的認(rèn)為X不會(huì)騙人的，說(shuō)她人品有多么多么好，但最后還是無(wú)奈的 十分尷尬的拒絕了 X的要求。乂過(guò)了一天，好友給我打電話，說(shuō)真正的X 在空間上發(fā)了一條說(shuō)說(shuō)，說(shuō)昨日的人并非是 X本人，而是騙子盜號(hào)所 為，我的好友在舒了一口氣的同時(shí)難免感到后怕，至今還無(wú)法相信那個(gè) 騙子竟然能學(xué)X的語(yǔ)氣學(xué)的如此相像。我的好友并非易受騙人群中的一 員，但遇到此事時(shí)也亂了方寸，可見(jiàn)“假托”這種攻擊形式仍然

9、十分有 效。第二種手段是調(diào)虎離山(diversion theft)。這個(gè)多看看搶銀行的片 子應(yīng)該就很好理解一一押款車既定的路線重重安防，如果讓其被迫改 道，則實(shí)施攻擊就容易多了。如果你電腦上有機(jī)密資料，想要獲取的有心人可以臨時(shí)叫你出去喝杯咖啡，另外的人就可以在其之上進(jìn)行信息偷 竊。第三種手段是釣魚(yú)（phishing）。這個(gè)應(yīng)該都有所耳聞一一給你發(fā)封 郵件告訴你由于安全事故可能導(dǎo)致你xx銀行的密碼泄漏，然后給你個(gè)鏈 接修改密碼。打開(kāi)的頁(yè)面中，整個(gè)界面和xx銀行的修改密碼的界面高度 一致，顯著（或者不那么顯著）的區(qū)別在于url有差異。如果你注意不 到這點(diǎn)，輸入了你的卡號(hào)和密碼進(jìn)行密碼修改，那么你的

10、銀行卡的信息 就被駭客獲得，并由此可能被盜刷。釣魚(yú)還可能通過(guò)各種聊天工具、電 話進(jìn)行。第四種手段是下餌（baiting）。這個(gè)手段就五花八門(mén)了，你下載的軟 件，打開(kāi)的email附件都有可能被注入各種各樣的惡意代碼。人總是有 弱點(diǎn)的，姜太公說(shuō)：釣有三權(quán)：祿等以權(quán)，死等以權(quán)，官等以權(quán)?！?物質(zhì)上的（祿），感情上的（死義），精神上的（官，權(quán)力）弱點(diǎn)都可 以拿來(lái)“釣”。具體一些來(lái)說(shuō)，就是馬斯洛的需求金字塔（馬斯洛理論 把需求分成生理需求（Physiological needs）、安全需求（Safety needs）、愛(ài)和歸屬感（Love and belonging，亦稱為社交需求）、尊重 （Esteem）和自我實(shí)現(xiàn)（Self-actualization）五類，依次由較低層次 到較高層次排列。）的每個(gè)層級(jí)都能用來(lái)下餌。比如說(shuō)駭客發(fā)個(gè)“逛淘 寶不得不知的10個(gè)秘密”，就能勾住愛(ài)逛淘寶的小女生，發(fā)個(gè)“ LOL （英雄聯(lián)盟，一款網(wǎng)絡(luò)游戲）進(jìn)階高手的秘籍”，就能吸引愛(ài)打游戲的 男生的目光。第五種手段是等價(jià)交換（quid pro quo）。心理學(xué)中人們對(duì)權(quán)威有一種盲從，甚至“怕屋及烏”，對(duì)特定的服飾也有敬畏感。當(dāng)假扮的公司IT人員向你索要賬戶密碼，你可能會(huì)乖乖就范；當(dāng)西裝革履的“紀(jì)委” 人員把你拖走，你立馬該招的不該招的都抖了出來(lái)；