密码技术在信息安全中的应用课件

单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,密码技术,信息安全的坚强守护者,目录,4,基于密码技术的,PKI+,数字证书如何实现信息安全,1,网络世界充满不安,2,信息安全相关政策、法规,3,密码技术在信息安全中的应用,5,东方中讯简介,目录,4,基于密码技术的,PKI+,数字证书如何实现信息安全,1,网络世界充满不安,2,信息安全相关政策、法规,3,密码技术在信息安全中的应用,5,东方中讯简介,引言,近年来，网络安全事件,“,层出不穷,”,，商业泄密案,“,触目惊心,”,，个人信息,“,唾手可得,”,，网络犯罪,“,蒸蒸日上,”,。一系列信息泄密事件，已经引起一场轩然大波。人们刚迎来,2013,年不久，数据泄露事件又接连不断：香港八达通卡泄密、富士通,ipad2,后壳设计图泄密、,RSA,公司,SecurID,技术及客户资料被窃取和索尼公司的,PlayStation,用户数据外泄、大众都熟知的棱镜事件等等。这样触目惊心的消息我们再也伤不起,!,我们的网络世界充满不安。,2012,年,10,月百所大学近,12,万账户信息被窃,2012,年,7,月，云存储服务商,Dropbox,用户名和密码,2012,年,7,月雅虎,45.34,万名用户的认证信息，超过,2700,个数据库表被盗,2012,年,7,月,DNSChanger,修改多达,30,万台电脑用户的,DNS,2012,年,6,月,LinkedIn650,万加密的密码被发送到了一家俄罗斯的黑客网站,2012,年,1,月，亚马逊旗下美国电子商务网站,Zappos,遭到黑客网络攻击,我们的网络世界充满不安。,Gauss,病毒窃取浏览器保存的密码、网银账户、,Cookies,和系统配置信息等敏感数据,2012,年,5,月新型蠕虫病毒火焰,(Flame),肆虐中东,2012,年,8,月维基解密网站遭受到每秒,10G,流量持续攻击,2012,年,3,月著名黑客组织,Anonymous,威胁干掉整个互联网,京东商城充值系统于,2012,年,10,月,30,日晚,22,点,30,分左右出现重大漏洞，用户可以用京东积分无限制充值,Q,币和话费,2009,年韩国国会、国防部、外交通商部等机构的网站一度无法打开,目录,4,基于密码技术的,PKI+,数字证书如何实现信息安全,1,网络世界充满不安,2,信息安全相关政策、法规,3,密码技术在信息安全中的应用,5,东方中讯简介,信息安全法律法规,国内主要的信息安全相关法律法规如下：,信息网络传播权保护条例,2006,2020,年国家信息化发展战略,网络信息安全等级保护制度,信息安全等级保护管理办法,(,试行,),互联网信息服务管理办法,中华人民共和国电信条例,中华人民共和国计算机信息系统安全保护条例,公用电信网间互联管理规定,联网单位安全员管理办法（试行）,文化部关于加强网络文化市场管理的通知,证券期货业信息安全保障管理暂行办法,信息安全法律法规,中国互联网络域名管理办法,科学技术保密规定,计算机信息系统国际联网保密管理规定,计算机软件保护条例,国家信息化领导小组关于我国电子政务建设指导意见,电子认证服务密码管理办法,互联网,IP,地址备案管理办法,计算机病毒防治管理办法,中华人民共和国电子签名法,认证咨询机构管理办法,中华人民共和国认证认可条例,信息安全法律法规,认证培训机构管理办法,中华人民共和国产品质量法,中华人民共和国产品质量认证管理条例,商用密码管理条例,网上证券委托暂行管理办法,信息安全产品测评认证管理办法,产品质量认证收费管理办法,信息安全升至国家战略层面！,从等保看信息安全的演进,2003,年,9,月,中办国办颁发,关于加强信息安全保障工作的意见,（中办发,200327,号）,2004,年,11,月,四部委会签,关于信息安全等级保护工作的实施意见,（公通字,200466,号）,2005,年,9,月,国信办文件,关于转发,电子政务信息系统信息安全等级保护实施指南,的通知,（国信办,200425,号）,2005,年 公安部标准,等级保护安全要求,等级保护定级指南,等级保护实施指南,等级保护测评准则,总结成一种安全工作的方法和原则,最先作为,“,适度安全,”,的工作思路提出,确认为国家信息安全的基本制度，安全工作的根本方法,形成等级保护的基本理论框架，制定了方法，过程和标准,1994,年,国务院颁布,中华人民共和国计算机信息系统安全保护条例,2006,年 四部委会签,公通字,20067,号文件（关于印发,信息安全等级保护管理办法（试行）,的通知）,明确做等级保护，等级保护工作的重点是 基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,定义了五个保护级别、监管方式、职责分工和时间计划,定义了电子政务等级保护的实施过程和方法,定义了等级保护的管理办法，后被,43,号文件取代。,首次提出计算机信息系统必须实行安全等级保护。,提出了等级保护的定级方法、实施办法，并对不同等级需要达到的安全能力要求进行了详细的定义，同时对系统保护能力等级评测指出了具体的指标。,等级保护的政策标准的演进,2007,年,7,月,16,日 四部门会签,公信安,2007861,号文件：四部门下发,关于开展全国重要信息系统安全等级保护定级工作的通知,提出了等级保护的推进和管理办法,为等级保护工作开展提供了参考,开始了等级保护的实质性工作的第一阶段,2007,年 四部委会签,公通字,200743,号文件,信息安全等级保护管理办法,替代公通字,20067,号文件，明确了等级保护的具体操作办法和各部委的职责，以及推进等级保护的具体事宜,2006,年 公安部、国信办,下发了,关于开展信息系统安全等级保护基础调查工作的通知,从,2006,年,1,月,10,日到,4,月,10,日，分三个阶段对国家重要的基础信息系统进行摸底，包括党政机关、财政、海关、能源、金融、社会保障等行业,2007,年,7,月至,10,月在全国范围内组织开展重要信息系统安全等级保护定级工作，其中包括公用通信网、广播电视传输网等基础信息网络 以及铁路、银行、海关、税务、民航、电力、证券、保险、外交、人事劳动和社会保障、财政、等行业,等级保护的政策标准的演进,信息安全技术 信息安全等级保护技术设计要求,报批稿，对等级保护的方案设计提出了参考。提出,“,一个中心下的三重防护,”,体系,等级保护的落地迈出了实质性的一步,等级保护有了国家标准作为参考依据,同步提出了等级保护基础技术的课题研究,2008,年,7,月，公安部发布,公安机关信息安全等级保护检查工作,（试行）文件，提出等级保护检查工作的细则，并发布到重点政府行业用户,2008,年，国家标准化委员会正式批复并发布,信息安全技术 信息安全等级保护基本要求,和,信息安全技术 信息安全等级保护定级指南,，编号分别为,GB/T22239-2008,、,GB/T22240-2008,目前已正式颁布的有：,GB/T 22239-2008,信息安全技术 信息系统安全等级保护基本要求,GB/T 22240-2008,信息安全技术 信息系统安全等级保护定级指南,公安机关信息安全等级保护检查工作规范,2008,年定级备案工作基本结束,2+2X,用户已完成在公安机关的定级备案工作；,备案的四级系统大约,200,多个；,三级系统大约,25000,多个；,二级系统大约,32000,多个。,目录,4,基于密码技术的,PKI+,数字证书如何实现信息安全,1,网络世界充满不安,2,信息安全相关政策、法规,3,密码技术在信息安全中的应用,5,东方中讯简介,信息安全的基本属性,信息,安全,可用性,机密性,完整性,不可否认性,真实性,/,可靠性,可控性,针对信息的安全属性存在的攻击模式,中断,(Interruption),：,是对系统的可用性进行攻击，如破坏计算机硬件、网络或文件管理系统。,窃听,(Interception):,在通信信道中进行监听等。,篡改,(Modification),：,是对系统的完整性进行攻击，如修改数据文件中的数据、替换某一程序使其执行不同的功能、修改网络中传送的消息内容等。,伪造,(Fabication),：,是对系统的真实性进行攻击。如在网络中插入伪造的消息或在文件中插入伪造的记录,信息安全需要哪些安全服务？,可认证性,数据保密性,数据完整性,不可否认性,访问控制,实现这些服务的技术？,数学、信息、通信、计算机网络等多学科技术领域的综合，其中,密码学,是网络安全的基础理论和关键技术。,信息安全中常用的密码技术,对称,/,分组加密,DES-(,数据加密标准,Data Encryption Standard),IDEA,International Data Encryption Algorithm,国际数据加密算法，是,1990,年由瑞士联邦技术学院,来学嘉,X.J.Lai,和,Massey,提出的建议标准算法。,AES(,高级加密标准,Advanced Encryption Standard,),X.J.Lai,常用的密码技术,公钥加密,RSA,Rivest Shamir Adleman,ECC,Elliptic Curve cryptsystem,常用的密码技术,鉴别和散列函数,散列函数,-Hash,函数,MD5,Message-Digest Algorithm 5,消息,-,摘要算法,(R),SHA,Secure Hash Algorithm,安全散列算法,(NSA),信息安全机制,加密,数字签名,否认,伪造,冒充,篡改,访问控制,数据完整性,数据单元的完整性,发送实体,接收实体,数据单元序列的完整性,防止假冒、丢失、重发、插入或修改数据。,交换,鉴别,口令,密码技术,时间标记和同步时钟,双方或三方,“,握手,”,数字签名和公证机构,业务流量填充,路由控制,公证机制,密码技术在信息安全中的价值,让攻击变得困难：,数字猜测,破解密码,推知私钥,越权访问,截获安全信道,。,目录,4,基于密码技术的,PKI+,数字证书如何实现信息安全,1,网络世界充满不安,2,信息安全相关政策、法规,3,密码技术在信息安全中的应用,5,东方中讯简介,什么是,PKI？,解决网上身份认证、信息的完整性和不可抵赖性等,安全问题，为网络应用（如浏览器、电子邮件、电子交易）提供可靠的安全服务。,密码,技术,PKI,如何实现信息安全,PKI+,数字证书实现信息安全模型,鉴别和散列函数,使用公钥加密算法、分组加密等,PKI,中信息安全交互实例,1.1,你是谁,?,Rick,Mary,Internet/Intranet,应用系统,1.2,怎么确认你就是你,?,认证,1.1,我是,Rick.,1.2,口令是,1234.,授权,保密性,完整性,防抵赖,2.,我能干什么,?,2.,你能干这个,不能干那个,.,3.,如何让别人无法偷听,?,3.,我有密钥,?,5.,我偷了机密文件,我不承认,.,5.,我有你的罪证,.,4.,如何保证不能被篡改,?,4.,别怕,我有数字签名,.,28,PKI,对各安全要素的解决方法,认证,身份证明：,证书中告诉别人，你是谁？,身份验证：,数字签名和证书的唯一性向别人证明，你确是此人？,机密性,加密技术,对称加密,共享密钥,非对称加密,公开密钥,PKI,对各安全要素的解决方法,完整性,数字签名,如果数字签名验证失败，说明数据的完整性遭到了破坏,不可抵赖性,数字签名,证明信息已经被发送或接收,:,发送方,不能抵赖曾经发送过数据,使用发送者本人的私钥进行数字签名,接收方,不能抵赖曾经接收到数据,接收方使用私钥对确认信息进行数字签名,Digital Signature,Date,Time,PKI,的优势,PKI,作为一种,安全技术,，已经深入到网络的各个层面。,PKI,的灵魂来源于,公钥密码技术,，围绕着非对称密码技术，数字证书破壳而出，并成为,PKI,中最为核心的元素：,5,、,PKI,具有极强的,互联能力,。不论是上