网络与信息安全 (一)潘爱民，北京大学计算机研究所 panaiminicst.pku.edu.cnhttp:/www.icst.pku.edu.cn/InfoSecCourse内容u信息安全概述u信息安全现状u关于本课程课程内容课程安排关于信息化u信息革命是人类第三次生产力的革命u四个现代化，那一化也离不开信息化。江泽民我的信息感受u电脑的不断普及u露天电影家庭影院u银行业务u电话的改变u邮局业务u电子邮件u电子商务u信息化出现的新问题uIT泡沫破裂u失业，再就业的起点更高u互联网经营模式是什么？u网上信息可信度差u垃圾电子邮件u安全病毒攻击u信息安全形势严峻u2000年问题总算平安过渡u黑客攻击搅得全球不安u计算机病毒两年来网上肆虐u白领犯罪造成巨大商业损失u数字化能力的差距造成世界上不平等竞争u信息战阴影威胁数字化和平信息安全事件统计年份事件报道数目 19886198913219902521991406199277319931334199423401995241219962573199721341998373419999859200021756总数47711CERT有关安全事件的统计 Information and Network SecurityWe will demonstrate that 62% of all systems can be penetrated in less than 30 minutes.More than half of all attacks will come from inside your own organizationfrom TNN.com信息化与国家安全政治由于信息网络化的发展，已经形成了 一个新的思想文化阵地和思想政治斗争 的战场。v以美国为首的西方国家，始终认为我们是 他们的敌对国家。一直没有放弃对我们的西 化、分化、弱化的政策。u去年年初，美国国务卿奥尔布来特在国会讲：“中 国为了发展经济，不得不连入互联网。互联网在中 国的发展，使得中国的民主，真正的到来了。”u香港广角镜月刊7月号文章：中情局对付中国的十条诫令带有政治性的网上攻击有较大增加u过去两年，我们国家的一些政府网站，遭受了四 次大的黑客攻击事件。第一次在99年1月份左右，但是美国黑客组织“美国 地下军团”联合了波兰的、英国的黑客组织，世界上各 个国家的一些黑客组织，有组织地对我们国家的政府 网站进行了攻击。第二次，99年7月份，台湾李登辉提出了两国论。第三次是在2000年5月8号，美国轰炸我国驻南联盟 大使馆后。第四次在2001年4月到5月，美机撞毁王伟战机侵入 我海南机场信息化与国家安全经济u一个国家信息化程度越高，整个国民经济和社会 运行对信息资源和信息基础设施的依赖程度也越高 。u我国计算机犯罪的增长速度超过了传统的犯罪97年20几起，98年142起，99年908起，2000年上半 年1420起。u利用计算机实施金融犯罪已经渗透到了我国金融 行业的各项业务。近几年已经破获和掌握100多起。涉及的金额几个亿 。黑客攻击事件造成经济损失u2000年2月份黑客攻击的浪潮，是互连网 问世以来最为严重的黑客事件u99年4月26日，台湾人编制的CIH病毒的 大爆发，有统计说我国大陆受其影响的PC 机总量达36万台之多。有人估计在这次事 件中，经济损失高达近12亿元。u“爱虫”病毒u1996年4月16日，美国金融时报报道，接 入Internet的计算机，达到了平均每20秒钟 被黑客成功地入侵一次的新记录信息化与国家安全社会稳定u互连网上散布一些虚假信息、有害信息对社会 管理秩序造成的危害，要比现实社会中一个造谣 要大的多。u99年4月，河南商都热线一个BBS，一张说交通 银行郑州支行行长协巨款外逃的帖子，造成了社 会的动荡，三天十万人上街排队，挤提了十个亿 。u网上治安问题，民事问题，进行人身侮辱。来自上海，四川的举报对社会的影响u针对社会公共信息基础设施的攻击严重扰乱了社 会管理秩序2001年2月8日正是春节，新浪网遭受攻击，电子邮 件服务器瘫痪了18个小时。造成了几百万的用户无法 正常的联络。u网上不良信息腐蚀人们灵魂色情资讯业日益猖獗1997年5月进入色情网站浏览的美国人，占了美国网 民的28.2%。河南郑州刚刚大专毕业的杨科、何素黄，在商丘信息 港上建立了一个个人主页，用五十多天的时间建立的主页存了 一万多幅淫秽照片的网站。100多部小说，小电影。不到54天 的时间，访问他的人到了30万。网上赌博盛行信息化与国家安全信息战“谁掌握了信息，控制了网络，谁将拥有整 个世界。”（美国著名未来学家阿尔温 托尔勒） “今后的时代，控制世界的国家将不是靠军 事，而是信息能力走在前面的国家。”（美国总统克林顿） “信息时代的出现，将从根本上改变战争的 进行方式。”（美国前陆军参谋长沙利文上将）C4I: Command, Control, Communications, Computers and Intelligence兰德公司的对华建议策略u兰德公司于1999年6月份向美国政府提出的建议 报告：美国的对华战略应该分三步走：第一步是西化、分化中国，使中国的意识形态西方 化，从而失去与美国对抗的可能性；第二步是在第一步失效或成效不大时，对中国进行 全面的遏制，并形成对中国战略上的合围；第三步就是在前两招都不能得逞时，不惜与中国一 战，当然作战的最好形式不是美国的直接参战，而是 支持中国内部谋求独立的地区或与中国有重大利益冲 突的周边国家。信息时代的国际形势u在信息时代，世界的格局是：一个信息霸 权国家，十几个信息主权国家，多数信息 殖民地国家。u在这样的一个格局中，只有一个定位：反 对信息霸权，保卫信息主权。安全威胁来自哪里u内因人们的认识能力和实践能力的局限性系统规模Windows 3.1 300万行代码Windows 2000 5000万行代码外因攻击类型图例：从信息安全到信息保障u我们面临的信息环境的进展u我们需要的信息安全概念的拓宽u什么是信息保障信息通讯环境u基本的通讯模型senderreceiver信源编码 信道编码 信道传输 通信协议u通信的保密模型 通信安全-60年代（COMSEC） 信源编码 信道编码 信道传输 通信协议 密码senderreceiverenemy网络通讯的信息安全模型仲裁方公证方控制方发方收方敌方信息安全的需求u信息安全的三个基本方面保密性 Confidentiality信息的机密性，对于未授权的个体而言，信 息不可用完整性 Integrity信息的完整性、一致性，分为数据完整性，未被未授权篡改或者损 坏系统完整性，系统未被非法操纵，按 既定的目标运行可用性 Availability服务连续性关于信息安全的需求u信息安全的其他方面真实性 authenticity个体身份的认证，适用于用户、进程、系统 等Accountability确保个体的活动可被跟踪Reliability行为和结果的可靠性、一致性从信息安全到信息保障u通信保密（COMSEC）：60年代u计算机安全（COMPUSEC）：60-70年代u信息安全（INFOSEC）：80-90年代u信息保障（IA）：90年代-什么是信息保障uInformation Assurance保护（Protect）检测（Detect）反应（React）恢复（Restore）保护Protect检测Detect恢复Restore反应ReactIAPDRRu保护（Protect）采用可能采取的手段保障信息的保密性、完整性、 可用性、可控性和不可否认性。u检测（Detect）利用高级术提供的工具检查系统存在的可能提供黑 客攻击、白领犯罪、病毒泛滥脆弱性。u反应（React）对危及安全的事件、行为、过程及时作出响应处理 ，杜绝危害的进一步蔓延扩大，力求系统尚能提供正 常服务。u恢复（Restore）一旦系统遭到破坏，尽快恢复系统功能，尽早提供 正常的服务。信息安全法规u数字化生存需要什么样的法规信息内容安全网上交易安全电子信息权利u如何规制信息内容u如何规制网上行为国际立法情况u美国 1) 信息自由法 2）个人隐私法 3）反腐败行径法 4）伪造访问设备和计算机欺骗滥用法 5）电子通信隐私法 6) 计算机欺骗滥用法 7) 计算机安全法 8) 正当通信法（一度确立，后又推翻） 9) 电讯法美国关于密码的法规u加密本土可以使用强密码（密钥托管、密钥恢复 、TTP）视为武器而禁止出口可以出口密钥长度不超过40位的产品后来表示可以放宽到128位u认证 出口限制相对加密宽松2000年通过了数字签名法。欧洲共同体u欧洲共同体是一个在欧洲范围内具有较强影响力 的政府间组织。u为在共同体内正常地进行信息市场运做，该组织 在诸多问题上建立了一系列法律，具体包括：竞 争（反托拉斯）法；产品责任、商标和广告规定 ；知识产权保护；保护软件、数据和多媒体产品 及在线版权；数据保护；跨境电子贸易；税收； 司法问题等。这些法律若与其成员国原有国家法 律相矛盾，则必须以共同体的法律为准（1996年 公布的国际市场商业绿皮书， 对上述问题有详细 表述。）。u 其成员国从七十年代末到八十年代初，先后制 定并颁布了各自有关数据安全的法律。英国u1996年以前，英国主要依据黄色出版物 法、青少年保护法 、录像制品法 、禁止滥用电脑法和刑事司法与 公共秩序修正条例惩处利用电脑和互联 网络进行犯罪的行为。u1996年9月23日，英国政府颁布了第一个 网络监管行业性法规三R安全规则。“ 三R”分别代表分级认定、举报告发、承担 责任。法规旨在从网络上消除儿童色情内 容和其他有害信息，对提供网络服务的机 构、终端用户和编发信息的网络新闻组， 尤其对网络提供者作了明确的职责分工。俄罗斯u于1995年颁布了联邦信息、信息化和信 息保护法。u法规强调了国家在建立信息资源和信息化 中的责任是“旨在为完成俄联邦社会和经济 发展的战略、战役任务，提供高效率、高 质量的信息保障创造条件”。u法规中明确界定了信息资源开放和保密的 范畴，提出了保护信息的法律责任。新加坡u新加坡广播管理局（SBA）1996年7月11日宣布 对互联网络实行管制，宣布实施分类许可证制度 。该制度1996年7月15日生效。u它是一种自动取得许可证的制度，目的是鼓励正 当使用互联网络，促进其在新加坡的健康发展。u它依据计算机空间的最基本标准谋求保护网络用 户，尤其是年轻人，免受非法和不健康的信息传 播之害。为减少许可证持有者的经营与管理负担 ，制度规定凡遵循分类许可证规定的服务均被认 为自动取得了执照。我国立法情况u基本精神适用于数字空间的国家大法中华人民共和国宪法中华人民共和国商标法（1982年8月23日 ） 中华人民共和国专利法（1984年3月12日 ）中 华人民共和国保守国家秘密法（1988年9月 日 ）中华人民共和国反不正当竞争法（1993年9 月2日 ）初步修订增加了条款的国家法律u中华人民共和国刑法为了加强对计算机犯罪的打击力度，在1997年对刑 罚进行重新修订时，加进了以下计算机犯罪的条款： 第二百八十五条 违反国家规定，侵入国家事务、国防 建设、尖端科学技术领域的计算机信息系统的，处三年以下有 期徒刑或者拘役。第二百八十六条 违反国家规定，对计算机信息系统功 能进行删除、修改、增加、干扰，造成计算机信息系统不能正 常运行，后果严重的，处五年以下有期徒刑或者拘役,后果特 别严重的，处五年以上有期徒刑。违反国家规定，对计算机信 息系统中存储、处理或者传输的数据和应用程序进行删除、修 改、增加的操作，后果严重的，依照前款的规定处罚。故意制 作、传播计算机病毒等破坏性程序，影响计算机系