1信息安全的基本概念

2019/10/11信息安全基础数学与系统科学学院任课教师：梁向前2019/10/12课程简介课程类型：方向必修课学时：50考核：平时成绩30％(作业、考勤)期末考试70％(闭卷)答疑：J13-404办公室联系方式：13708952280Email:liangxq87@126.com2019/10/13课程概况了解什么是密码学？熟练掌握各种密码算法原理利用密码算法构造各种安全协议为密码学理论研究、各类安全应用打基础2019/10/14课程教材参考材料密码学原理与实践（第三版），（加）斯廷森（Stinson，D.R.）著，冯登国等译，电子工业出版社密码学导引，冯登国，裴定一，科学出版社，1999应用密码学：协议、算法与C源程序，BruceSchneier著，吴世忠等译，机械工业出版社，2000~prz/ZH/bibliography/数缘社区密码学顶级会议：CRYPTO、Eurocrypt、Asiacrypt，PKC……2019/10/152019/10/16［7］贺雪晨．信息对抗与网络安全[M]．北京：清华大学出版社，2010．［8］北京大学计算机系统信息安全研究室：［9］中国计算机学会计算机安全专业委员会：［10］Cisco公司网站：［11］CVE漏洞网站：［12］nmap程序员联合开发网站：［13］绿盟科技网站：［14］RAID网站：［15］SHPHOS网站：［16］中国互联网信息中心网站：［17］CERT网站：［18］信息安全网站：［19］信息系统安全管理网站：［20］IT审计员网站：［21］ZDNet网站：［22］系统日志分析网站：［23］Linux安全资源网站：［24］Win2000安全资源网站：［25］防火墙介绍和评论网站：［26］Symantec公司网站：［27］McAFee网站：［28］CheckPoint公司网站：［29］PGP网站：［30］ISS公司网站：［31］IETF工作组网站：［32］绿色软件站：［33］黒鹰安全网：［34］瑞星网站：［35］反垃圾邮件技术解析：［36］国家计算机病毒应急处理中心：明文密文明文AliceBobEveA和B进行通信，敌人E不能理解通信的内容。传说，古时候有一对夫妻，男的名叫李石匠，女的叫张小花。李石匠靠手艺赚钱，张小花在家纺纱织布。一年，李石匠参加修建石桥，因工程紧张，十一个月也没回家一次。张小花独自在家只有纺车做伴。一天石匠工地回来一个工友路过她家，她托这个工友给丈夫带去一封书信。归，归，归！速归！如果（鱼果）不归，一刀两断第六十回吴用智赚玉麒麟梁山泊义军头领宋江久慕卢俊义的威名，一心想招取卢俊义上山坐第一把交椅，共图大业，替天行道。智多星吴用扮成一个算命先生，利用卢俊义正为躲避“血光之灾”的惶恐心里，口占四句卦歌，并让他端书在家宅的墙壁上。卢花滩上有扁舟，俊杰黄昏独自游。义到尽头原是命，反躬逃难必无忧。这四句诗写出后，被官府拿到了证据，大兴问罪之师，到处捉拿卢俊义，终于把他逼上梁山。2019/10/1122019/10/113密码斗争实例（1）二战中，英国破译德国的ENIGMA密码机水平面板的下面部分就是键盘，一共有26个键。空格和标点符号都被省略。在示意图中我们只画了六个键。实物照片中，键盘上方就是显示器，它由标示了同样字母的26个小灯组成，当键盘上的某个键被按下时，和此字母被加密后的密文相对应的小灯就在显示器上亮起来。转子机械系统包括了一个包含了字母与数字的键盘，相邻地排列在一个轴上的一系列名为“转子”的旋转圆盘,在每次按键后最右边的转子都会旋转，并且有些时候与它相邻的一些转子也会旋转。转子持续的旋转会造成每次按键后得到的加密字母都会不一样。反射器反射器是恩尼格玛机与当时其它转子机械之间最显著的区别。它将最后一个转子的其中两个触点连接起来，并将电流沿一个不同的路线导回。这就使加密过程与解密过程变得一致。加密后得到的字母与输入的字母永远不会相同。这在概念上和密码学上都是一个严重的错误，这个错误最终被盟军解码人员利用。接线板接线板上的每条线都会连接一对字母。这些线的作用就是在电流进入转子前改变它的方向。密钥的可能性三个转子不同的方向组成了26ｘ26ｘ26＝17576种可能性；三个转子间不同的相对位置为6种可能性；连接板上两两交换6对字母的可能性则是异常庞大，有100391791500种；于是一共有17576ｘ6ｘ100391791500这样庞大的可能性，换言之，即便能动员大量的人力物力，要想靠“暴力破译法”来逐一试验可能性，那几乎是不可能的。而收发双方，则只要按照约定的转子方向、位置和连接板连线状况，就可以非常轻松简单地进行通讯了。这就是“恩尼格玛”密码机的保密原理。“谜”（ENIGMA）密码最初是由一个叫胡戈·科赫的荷兰人发明的。起初主要提供给想保护自己生意秘密的公司使用，但其商界的销路一直不理想。后来德国人将其改装为军用型，使之更为复杂可靠。德国海军于1926年开始使用“ENIGMA”，陆军则于1928年开始使用。1933年，纳粹最高统帅部通信部决定将“ENIGMA”作为德国国防军新式闪击部队的通信装置。德国人在战争期间共生产了大约10多万部“谜”密码机。1940年，经过盟军密码分析学家的不懈努力，“恩尼格玛”密码机被动攻破，盟军掌握了德军的许多机密，而德国军方却对此一无所知。2019/10/120密码斗争实例（2）日美密码战：二战中，日本海军使用的“紫密”密码早被美军破译，却没有及时更换，这样导中途岛事件日期：1942年6月4日—6月7日地点：中途岛附近海域参战方：美国指挥官：法兰克·弗莱彻海军中将；雷蒙德·斯普鲁恩斯海军少将兵力：3艘航空母舰，约50艘支援战舰日本指挥官：山本五十六海军大将；南云忠一海军中将兵力：4艘航空母舰，7艘战列舰，约150艘支援战舰损失/伤亡：美国：1艘航空母舰，1艘驱逐舰，147架飞机，307人阵亡日本：4艘航空母舰，1艘重巡洋舰，332架飞机(包括备用机)，2,500人阵亡2019/10/1211943年4月18日，山本五十六决定到肖特兰地区巡视，当山本的座机飞抵布因岛上空快要降落，而护航战斗机离开的时刻，突然，16架从瓜达尔卡纳尔岛飞来的美国飞机，迅速将座机击落，山本当场摔死。20世纪早期密码机2019/10/1231.1信息安全面临的威胁1.2信息安全的模型1.3密码学基本概念第1章引言2019/10/1241.1信息的安全威胁自然威胁：自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备自然老化。人为威胁：恶意的或无恶意的用户(主要研究)信息系统面临的威胁计算机依附载体数据表现形式程序处理工具网络传递媒介管理人为因素物理威胁漏洞、病毒、木马网络攻击管理漏洞按照来源的信息系统威胁自然灾害威胁滥用性威胁有意人为威胁2019/10/1271、2014年1月21日,中国互联网出现大面积DNS解析故障这一次事故影响到了国内绝大多数DNS服务器,近三分之二的DNS服务器瘫痪,时间持续数小时之久。事故发生期间,超过85%的用户遭遇了DNS故障,引发网速变慢和打不开网站的情况。2、2014年2月27日,维护网络安全首次列入政府工作报告中央网络安全和信息化领导小组宣告成立,在北京召开了第一次会议。中共中央总书记、国家主席、中央军委主席习近平亲自担任组长,李克强、刘云山任副组长,再次体现了中国最高层全面深化改革、加强顶层设计的意志,显示出在保障网络安全、维护国家利益、推动信息化发展的决心。3、2014年3月26日,携程“安全门”事件敲响网络消费安全警钟携程网被指出安全支付日志存在漏洞,导致大量用户银行卡信息泄露。携程第一时间进行技术排查和修复。并表示,如用户因此产生损失,携程将赔偿。在获利的同时,电商如何对用户信息进行保护引发人们思考。2014年信息安全大事件2019/10/1284、2014年4月8日,微软停止XP支持。同月,现OpenSSL心脏出血漏洞微软公司在向2亿多用户发布通牒100天后,停止了对WindowsXP系统提供技术支持。微软表示,WindowsXP的运行环境存在很大的漏洞,微软发布的补丁不能有效抑制病毒的攻击,因此不断在其官网上告知用户可能承受一些风险。同月,全球互联网遭遇多起重大漏洞攻击事件袭击:OpenSSL的Heartbleed(心脏出血)漏洞、IE的0Day漏洞、Struts漏洞、Flash漏洞、Linux内核漏洞、Synaptics触摸板驱动漏洞等重要漏洞被相继发现。5、2014年5月,山寨网银及山寨微信大量窃取网银信息山寨网银和山寨微信客户端,伪装成正常网银客户端的图标、界面,在手机软件中内嵌钓鱼网站,欺骗网民提交银行卡号、身份证号、银行卡有效期等关键信息,同时,部分手机病毒可拦截用户短信,中毒用户面临网银资金被盗的风险。2019/10/1296、2014年6月,免费WiFi存陷阱,窃取用户手机中的敏感信息央视《每周质量报告》,曝光了黑客通过公共场所免费WiFi诱导用户链接而获取手机中银行卡、支付宝等账户信息从而盗取资金的消息,引发了网民对于免费WiFi安全性的担忧。7、2014年7月28日,苹果承认存在“安全漏洞”苹果公司首次承认了iPhone确实存在“安全漏洞”,苹果员工可以利用此前未公开的技术提取用户个人深层数据,包括短信信息、联系人列表以及照片等。此次事件一经爆出,破除了iOS应用安全性极高的神话,给iOS应用开发者敲响了安全警钟。8、2014年8月12日,1400万快递数据遭贩卖警方破获了一起信息泄露案件,犯罪嫌疑人通过快递公司官网漏洞,登录网站后台,然后再通过上传(后门)工具就能获取该网站数据库的访问权限,获取了1400万条用户信息,除了有快递编码外,还详细记录着收货和发货双方的姓名、电话号码、住址等个人隐私信息,而拿到这些数据仅用了20秒的时间。2019/10/1309、2014年9月,美国家得宝公司确认其支付系统遭到网络攻击将近有5600万张银行卡的信息被盗,这比去年发生