信息安全学科体系结构与云安全

四川师范大学计算机科学学院刘莎第一部分：信息安全学科体系结构第二部分：云计算时代的信息安全信息与信息安全信息安全学科信息安全学科研究信息是反应客观世界中各种事物特征和变化的知识，是数据加工的结果，信息是有用的数据。信息以物质介质为载体，传递和反映世界各种事物存在的方式和运动状态的表征。人类社会在经历了机械化、电气化之后，进入了一个崭新的信息化时代。信息和信息技术改变着人类的生活和工作方式。离开计算机、网络和手机等电子信息设备，人们将无法生活和工作。信息成为当今最具活力的生产要素和最重要的战略资源，以计算机网络为核心的信息系统成为国家重要的基础设施。信息论创始人香农认为：“信息是能够用来消除不确定性的东西”。信息安全与信息总是形影不离哪里有信息哪里就存在信息安全问题信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。传统的信息安全强调信息（数据）本身的安全属性，认为信息安全主要包含：①信息的秘密性；②信息的完整性；③信息的可用性。从信息系统角度来考虑，信息安全主要包括以下４个层面：①设备安全；②数据安全；③内容安全；④行为安全。实质上，信息的获取、处理和安全保障能力已成为综合国力和经济竞争力的重要组成部分，信息安全已成为影响国家安全、社会稳定和经济发展的决定性因素之一。信息安全已成为世人关注的社会问题和世界信息科学与技术领域的研究热点。信息安全学科是研究信息获取、信息存储、信息传输和信息处理领域中信息安全保障问题的一门学科。信息安全学科是计算机、电子、通信、数学、物理、生物、管理、法律和教育等学科交叉融合而形成的一门交叉学科。它与这些学科既有紧密的联系，又有本质的不同。其理论基础和方法论基础也与这些学科相关，在学科的形成和发展过程中，丰富和发展了这些理论和方法论，从而形成了自己特有的学科理论、方法论及技术和应用，并服务于信息社会，构成了一个独立的学科。信息安全学科具体研究些什么？信息安全学科主要研究方向和研究内容①密码学：由密码编码学和密码分析学组成，其中密码编码学主要研究对信息进行编码以实现信息隐蔽，而密码分析学主要研究通过密文获取对应的明文信息。密码学研究密码理论、密码算法、密码协议、密码技术和密码应用等。主要研究内容：●对称密码；●公钥密码；●Hash函数；●密码协议；●新型密码：生物密码，量子保密等；●密码应用。②网络安全：网络安全的基本思想是在网络的各个层次和范围内采取防护措施，以便能对各种网络安全威胁进行检测和发现，并采取相应的响应措施，确保网络环境的信息安全。网络安全的研究包括网络安全威胁、网络安全理论、网络安全技术和网络安全应用等。主要研究内容：●通信安全；●协议安全；●网络防护；●入侵检测；●入侵响应；●可信网络。③信息系统安全：信息系统安全的特点是从系统级的整体上考虑安全威胁与防护。它研究信息系统的安全威胁、信息系统安全的理论、信息系统安全技术和应用。主要研究内容：●信息系统的硬件系统安全；●信息系统的软件系统安全；●访问控制；●可信计算；●信息系统安全测评认证；●信息系统安全等级保护；●应用信息系统安全。④信息内容安全：信息内容安全是信息安全在政治、法律、道德层次上的要求。主要研究内容：●信息内容的获取；●信息内容的分析与识别；●信息内容的管理和控制；●信息内容安全的法律保障。⑤信息对抗：信息对抗是：为削弱、破坏对方电子信息设备和信息的使用效能，保障己方电子信息设备和信息正常发挥效能而采取的综合技术措施。信息对抗研究信息对抗的理论、信息对抗技术和应用。主要研究内容：●通信对抗；●雷达对抗；●光电对抗；●计算机网络对抗。信息安全学科理论基础①数学ex.1代数、数论、概率统计和组合数学等数学分支被作为密码学理论基础；ex.2逻辑学等数学分支被作为协议安全的理论基础之一；ex.3博弈论等数学分支被作为研究具有对抗或竞争性质的行为的理论基础。②信息论、控制论和系统论信息论奠定了密码学和信息隐藏的基础；控制论研究动态系统在变化的环境条件下如何保持平衡状态或稳定状态。系统论思想在信息安全领域的体现：信息安全遵从“木桶原理”。③计算理论可计算性理论；计算复杂性理论等。信息安全学科方法论①永不接受任何我自己不清楚的真理。对自己不清楚的东西，不管是什么权威的结论，都可以怀疑。②将要研究的复杂问题，尽量分解为多个比较简单的小问题，一个一个地解决。③将这些小问题从简单到复杂排序，先从容易解决的问题入手。④将所有问题解决后，再综合起来检验，看是否完全，是否将问题彻底解决了。理论分析实验验证技术实现逆向分析信息安全学科的方法论：笛卡尔的方法论：分而治之&综合治理信息安全学科在我国建设我国信息安全保障体系、发展信息安全技术与产业，培养各层次创新型信息安全人才是关键1999年教育部批准西安电子科技大学等四所高校设置了“信息对抗技术”本科专业；2001年武汉大学创建了我国第一个“信息安全”本科专业；截至2009年，教育部共批准了70所高校设置了80个信息安全类本科专业，其中信息安全专业64个，信息对抗技术专业16个；2007年初，教育部正式批准成立了“教育部高等学校信息安全类专业教学指导委员会”；2007年底，教育部批准了15个学校的信息安全专业为“国家特色专业建设点”，把信息安全专业作为国家特色专业来重点建设；从2003年起全国已有20多所高校陆续建立了信息安全硕士点、博士点、和博士后产业基地。此外，还有一些高校建立了密码学硕士点和博士点，以及信息对抗硕士点和博士点；从20世纪90年代开始，我国发改委、科技部、国家自然科学基金委等部门都设立信息安全重大专项或信息安全主题，专门支持信息安全领域的科学研究与技术发展。我国已经形成了完整的信息安全学科体系：引言云计算及其发展需求云计算时代的信息安全三个例子引出云计算：卖产品结论：不如卖服务1983年，Sun公司提出：“TheNetworkistheComputer”？云计算不是什么？云计算是什么？云计算定义的关键在于“云”这个词。学术界通常认为，云是一组数量众多的、互联到一起的计算机。云计算是将大量用网络连接的计算机资源统一管理和调度，构成一个计算机资源池向用户按需服务。云计算不是网络计算；云计算不是传统外包。云计算以用户为中心；云计算以任务为中心；云计算很强大：计算能力、存储能力；云计算易于访问；云计算是智能的：引入数据挖掘和分析技术；云计算是可编程的：通过程序实现云中任务的自动化。云计算的6大特点:——Google硬件系统发展CPU：单核双核四核六核……硬盘：1956年，IBM的IBM350RAMAC是现代硬盘的雏形，它相当于两个冰箱的体积，不过其储存容量只有5MB。如今，主流硬盘厂商推出最新产品容量已经高达3TB。（32位64位）在计算的初期阶段（大约1980年之前），信息技术领域都按照客户机/服务器模式运转。所有的应用软件、所有的数据、所有的控制都位于才执行任务。由于多人共用一台计算机大型服务器上，用户通过计算机终端连接到服务器获得适当权限，常常需要等待处理次序，人们的需求很少能够马上得到满足。向云计算变革由于上述应用层面的不便，以及用户需要的硬性要求，导致了计信息技术领域的一次大变革：客户机/服务器模式之下的集中式的应用和存储，向桌面应用系统模式下的单机应用和存储的变革。如今，面临Inernet中巨大的信息量与数据处理量。信息技术领域面临着新的挑战，海量的计算与存储能力已成为民心所向。又因硬件系统的支持往往都是有限的，不可能无限制扩展。大家都在找寻一种能够在有限的硬件平台支持下，提供海量存储技术与超强计算能力的系统应用模式。因此，云计算越来越受到人们的重视。很有可能，云计算将带来信息技术领域的又一次巨大变革：桌面系统模式向云计算架构模式的变革。云计算中系统资源利用率经调查统计，一个普通数据中心的CPU利用率只有5%左右。而一个云计算中心的CPU利用率可达60%。云计算中的存储模式是将数据存放到多个第三方服务器上，而不是像传统的网络数据存储那样存放在专有的服务器上。每个连接到云中的第三方服务器都将向云提供一部分存储空间，这样有利于提高存储设备的利用率。云计算使物理上分布于广阔地域的计算资源成为一种虚拟的、可整合的计算资源，而且可以根据需要动态调整，使用者不需顾及资源具体的物理实质和管理细节，实现快速部署、按需分配、按需计费。云计算优点更高的性能；更低的IT基础设施成本；更少的维护问题；更低的软件成本；即时软件更新；增强的计算能力；无限的存储容量；增强的数据安全；改进操作系统之间的兼容性；改进文件格式的兼容性；更容易的群组协作；消除了对特定设备的依赖；……目前一些主要的云服务提供商小型：相当于一个具有1.7GB内存，160GB存储空间和一个32位内核处理器的系统；大型：相当于一个具有7.5GB内存，850GB存储空间和两个64位内核处理器的系统；超大型：相当于一个具有15GB内存，1.7TB存储空间和四个64位内核处理器的系统。3.Google，提供了一个完全集成、完全免费的应用引擎。例如，Google的在线办公系统Docs。4.IBM，通过蓝云计划，推出了一整套面向中小企业的基于云的按需服务。5.Salesforce.com，提供了按需提供服务的云计算平台Force.com，自称为世界上第一种PaaS。1.Microsoft，AzureServicePlatform，一个托管在Microsoft数据中心的云计算和服务平台，提供了广泛的功能，用于构建为个人或大企业以及这的应用程两者之间的任何实体服务序。2.Amazon，ElasticComputeCloud（EC2），弹性计算云。提供了如下三种配置的虚拟服务器：云计算是信息技术领域的又一次大变革，是信息技术发展的必然趋势，是信息技术深度应用的必然结果。引例：2008年2月15日AmazonEC2崩塌，经受了一次大规模服务中止，并抹去了一部分客户应用数据。云服务基本上都是基于Web的应用：它安全吗？云存储安全问题：自从上一次信息技术改革之后，人们一直使用桌面应用系统模式，用户大多数都习惯了将应用程序和数据存储到本地计算机上，这样看得见、摸得着，用户心中有一种踏实的感觉。云存储模式之下，用户通常都是将基于Web的文档保存在云系统中，能否保证当用户需要访问文件时，文件仍然在那里？文件确定没有被未经授权的用户访问过？挑战云计算系统的安全防护问题；云计算对现有信息安全体系的冲击；云计算平台的安全监管问题。云计算所带来的几点挑战云计算对信息安全变革的影响1）理念的变革：云计算需要平衡多方面的安全需求，需要在关键技术上形成突破，如数据安全和隐私保护技术，云计算环境下信息安全服务将越来越受到重视，适用于云计算环境的信息安全服务技术体系有待建立。2）产业发展的变革：信息安全需要从以产品技术为主导的发展模式向以安全服务为主导的发展模式转变，信息安全厂商将向用户提供标准化的安全服务而不是传统的安全产品。3）安全战略的变革：网络安全保护要从静态防御骨干网络和重要信息系统的安全保障工作，向防范来自网络空间基于云计算平台超级攻击的方向转变，在新形势下，信息安全防护等级的划分变得更模糊，网络空间监管预警体系以综合防范为目的，应建立相应的平台管理模式。谢谢！