第五讲信息安全技术之内容安全(2次)

商学院屈维意博士讲师内容安全技术第五讲信息安全技术之内容安全技术内容安全技术内容安全技术内容安全是网络信息安全的最终目标。前面所有章节所介绍的加密技术、各种网络安全技术以及前面介绍的资源访问控制方法等都是为数据内容的安全服务的。本章从网络传输及应用的角度，介绍信息内容安全的概念和最常见的几种内容安全技术的应用。内容安全技术信息内容的定义“信息内容”涉及动画、游戏、影视、数字出版、数字创作、数字馆藏、数字广告、互联网、信息服务、咨询、移动内容、数字化教育、内容软件等，主要可分为政务型、公益型、商业型三种类型。信息内容的定义来源于数字内容产业。一般来说，“信息内容产业”指的是基于数字化、网络化，利用信息资源创意、制作、开发、分销、交易的产品和服务的产业。随着互联网的普及，信息内容的种类与数量急剧膨胀，其中鱼目混杂，反动言论、盗版、淫秽与暴力等不良内容充斥其间。由于信息内容安全涉及国家利益、社会稳定和民心导向，因此，受到各方的普遍关注。内容安全技术内容安全数据安全运行安全实体安全国内：信息安全分层结构面向应用的信息安全框架内容安全技术7信息安全分层结构面向应用的信息安全框架数据安全运行安全物理安全内容安全路由欺骗，域名欺骗。对传递信息进行捕获并解析。删除局部内容，或附加特定内容。阻断信息传输系统，使得被传播的内容不能送达目的地。内容安全技术信息内容安全有两方面含义：数字信息资源内容的安全性对有害信息资源内容的可控性内容安全技术•数字信息资源内容的安全性–信息资源的开发利用催生新的产业——数字内容产业–其定义为基于数字化、网络化，利用信息资源创意、制作、开发、分销、交易的产品和服务的产业，它涉及动画、游戏、影视、数字出版、数字创作、数字馆藏、数字广告、互联网、信息服务、咨询、移动内容、数字化教育、内容软件------。–保护合法信息资源的版权和应得的利益。内容安全技术对有害信息资源内容的可控性网络上充斥着宣扬反动、色情、暴力、犯罪的内容。社会危害•我们需要网络清洁工和执法者。内容安全技术1)数字版权侵权及其控制2)敏感内容泄露及其控制3)不良内容传播及其控制内容安全的需求内容安全技术1)数字版权侵权及其控制数字内容产业主要指影视和音乐的数字化制作和发行行业，包括VCD、DVD、网络视频和MP3音乐的制作、发行企业等，涉及现代社会中的几乎每一个人，但是，数字视频和音频的盗版和非授权散布沉重打击了数字内容产业，也迟滞了网络技术在这一行业中的应用。人们逐渐发现，对数字版权的侵权仅依靠法律手段是不够的，内容产业企业、内容制作者及管理部门迫切需要有实施版权侵权的技术手段。内容安全技术2)不良内容传播及其控制不良内容的肆意传播是另外一个与内容相关的安全问题。在互联网上，任何拥有合法网络地址的团体或个人都可以发布内容，任何知道电子邮件接收地址的人均可以向该地址发送电子邮件，在各种动机的驱动下，造成了不良内容得到大量传播、垃圾邮件泛滥的情况。显然，政府、学校和邮件服务管理者希望阻止这些内容的传播或监控其发展。内容安全技术3)敏感内容泄露及其控制大多数工作环境在安全通信管理方面是松散的。例如，由于工作需要，政府、企业和科研单位允许工作人员对外收发电子邮件、上网并传输文件。这不免存在敏感信息泄露的问题，其中，敏感信息主要包括保密文件和与知识产权相关的资料等。为了制约这类现象，信息安全的管理者希望根据工作人员对外传输或接收的内容对网络通信进行控制。内容安全技术1）超大流量的内容向现有信息内容安全技术提出了挑战。2）由于缺乏信息内容分级标准和内容过滤产品，使得保护青少年健康成长问题日渐突出。3）政务型信息内容的泄密带来严重的后果。对信息资产的安全等级评定、标记、监控技术提出了更高的要求。4）信息内容的监管越来越突出。5）大量耗费网络带宽的恶意数据充斥网络空间，如病毒、网络蠕虫、分布式拒绝服务攻击（DDoS）攻击、垃圾邮件等。信息内容安全的严峻挑战：内容安全技术金额：120亿元特大假发票案数量：45万余份规模：团队3人，抓获30人损失：为国家避税39.6亿元时间：2008.6.30（青岛）金额：7560余万元特大假烟案数量：84010件（中华/芙蓉王）规模：覆盖全国20个省（区、市），抓获30人时间：2008.1（河南）金额：2000余万元火车票数量：6万张（5年内最大）规模：涉案20人时间：2009.1.10（广州）除此之外，诸如伪造货币、有价证券、文件、单据、证件、信用卡、合同、商标、标识、包装物、图章、名家书画、珍贵邮票、图章等伪造较为严重……内容安全技术全国集中销毁盗版及非法出版物4685万件日期：“4.26”世界知识产权日“扫黄打非”工作小组组织全国31个省、自治区、直辖市。Google支付1.25亿美元和解图书版权诉讼美国作家协会和出版商协会宣布，针对Google图书搜索计划的侵权诉讼案（2005年开始），已经与Google达成和解。除此之外，诸如多媒体软件、音乐著作权、数字作品、电子读物/出版物等侵权更为严重……“8亿元特大盗版案”宣判以正版软件为原型，伪造光盘的激光防伪膜字母图样，通过互联网下载算号器，算出软件的产品序列号。内容安全技术信息内容安全的宗旨信息内容安全的宗旨在于防止非授权的信息内容进出网络。具体表现在：1）政治性。防止来自国内外反动势力的攻击、诬陷与西方的和平演变图谋。2）健康性。剔除色情、淫秽和暴力内容等。3）保密性。防止国家和企业机密被窃取、泄露和流失。4）隐私性。防止个人隐私被盗取、倒卖、滥用和扩散。5）产权性。防止知识产权被剽窃、盗用等。6）防护性。防止病毒、垃圾邮件、网络蠕虫等恶意信息耗费网络资源。内容安全技术信息内容安全领域的主要技术信息内容分级标准的制定及相应的过滤产品与技术信息资产的安全等级评定技术及产品大流量网络信息的实时监控技术与产品移动终端的防病毒与防泄漏技术与产品IPv6的信息内容安全技术与产品骨干网内容过滤技术与产品基于图像内容监管技术与产品基于音频的内容监管技术与产品国家级分布式网络内容监管体系信息内容的渗透与反渗透技术与产品网关型网络蠕虫及病毒的查杀技术与产品内容安全技术信息内容安全领域的核心技术1．信息获取技术分为主动获取技术和被动获取技术。主动获取技术通过向网络注入数据包后的反馈来获取信息，特点是接入方式简单，能够获取更广泛的信息内容，但会对网络造成额外的负担。被动获取技术则在网络出入口上通过镜像或旁路侦听方式获取网络信息，特点是接入需要网络管理者的协作，获取的内容仅限于进出本地网络的数据流，但不会对网络造成额外流量。内容安全技术信息内容安全领域的核心技术2．信息内容识别技术信息内容识别是指对获取的网络信息内容进行识别、判断、分类，确定其是否为所需要的目标内容，识别的准确度和速度是其中的重要指标。主要分为文字、音频、图像、图形识别。目前文字识别技术已得到广泛应用，音频识别也在一定范围内使用，但图像识别的准确性还有待进一步提高离实际应用尚有一定的距离。内容安全技术信息内容安全领域的核心技术3．控制/阻断技术对于识别出的非法信息内容，阻止或中断用户对其访问，成功率和实时性是两个重要指标。从阻断依据上分为基于IP地址阻断、基于内容的阻断；从实现方式上分为软件阻断和硬件阻断；从阻断方法上分为数据包重定向和数据包丢弃。具体地，在垃圾邮件剔除、涉密内容过滤、著作权盗用的取证、有害及色情内容的阻断和警告等方面已经投入使用。内容安全技术信息内容安全领域的核心技术4．信息内容分级网络“无时差、零距离”的特点使得不良内容以前所未有的速度在全球扩散，网络不良内容甚至还会造成青少年生理上的伤害。应该建立自己的网上内容分级标准，让父母保护他们的孩子远离互联网上有潜在危害的内容。内容安全技术信息内容安全领域的核心技术5．图像过滤一些不良网络信息的提供者采取了回避某些敏感词汇，将文本嵌入到图像文件中，或直接以图像文件的形式出现等方法，从而可以轻易地通过网络过滤和监测系统。为此，需要对网页中的图像进行分析和理解实现网络过滤。目前这一技术还没有达到实用系统的要求。内容安全技术信息内容安全领域的核心技术6．信息内容审计信息内容审计的目标就是真实全面地将发生在网络上的所有事件记录下来，为事后的追查提供完整准确的资料。通过对网络信息进行审计，政府部门可以实时监控本区域内Internet的使用情况，为信息安全的执法提供依据。虽然审计措施相对网上的攻击和窃密行为是有些被动，它对追查网上发生的犯罪行为起到十分重要的作用，也对内部人员犯罪起到了威慑作用。采用的主要技术是以旁路方式捕获受控网段内的数据流，通过协议分析、模式匹配等技术手段对网络数据流进行审计，并对非法流量进行监控和取证。内容安全技术信息内容安全领域的产品信息内容安全产品主要分为防病毒产品、邮件扫描产品和网页过滤产品三类，涉及的应用主要分为HTTP、SMTP、POP3、BBS、Telnet、FTP、MSN、ICQ、FREENET、手机短信。根据产品性能，分为千兆监控产品、百兆监控(家庭/网吧)产品。根据监控对象，分为内容审计产品、影视监播产品、影视反盗版产品、网吧监控产品、网络追查产品、员工上网审计产品，反垃圾邮件产品、防病毒产品等。根据监控的协议，分为网页监控（HTTP）,邮件监控（SMTP,POP3）,聊天室监控（BBS,Telnet,FTP）,即时消息监控（MSN,ICQ）,P2P网络监控（FREENET等）,手机短信监控等。内容安全技术PGP加密传输软件加密是为了安全，隐私权是一种基本人权。在现代社会里，电子邮件和网络上的文件传输已经成为生活的一部分，传输安全问题日益突出。电子邮件系统以其方便、快捷而成为了人们进行信息交流的重要工具，并被越来越多地应用于日常生活和工作，特别是有关日常信息交流、企业商务信息交流和政府网上公务流转等商务活动和管理决策的信息沟通，为提高社会经济运行效率起到了巨大的带动作用，已经成为企业信息化和电子政务的基础。当前，电子邮件系统的发展面临着机密泄漏、信息欺骗、病毒侵扰、垃圾邮件等诸多安全问题的困扰。PGP概述内容安全技术PGP加密传输软件PGP的全称是PrettyGoodPrivacy，它是Internet上一个著名的共享加密软件，与具体的应用无关，可独立提供数据加密、数字签名、密钥管理等功能，适用于电子邮件内容的加密和文件内容的加密；也可作为安全工具嵌入到应用系统之中。目前使用PGP进行电子信息加密已经是事实上的应用标准，IETF在安全领域有一个专门的工作组负责进行PGP的标准化工作，许多大的公司、机构，包括很多安全部门在内，都拥有自己的PGP密码。PGP的传播和使用处于一种无政府状态，完全由使用者自行控制掌握，它通过数字签名所形成的信任链将彼此信任的用户关联起来。内容安全技术PGP加密传输软件PGP的功能PGP最初的设计主要是用于邮件加密，如今已经发展到了可以加密整个硬盘、分区、文件、文件夹、集成进邮件软件进行邮件加密，甚至可以对ICQ的聊天信息实时加密！PGP使用了以下一些算法：RSA、AES、CAST、IDEA、TripleDES、Twofish、MD5、ZIP、PEM、SHA-1、SHA-2等。PGP使用RSA算法对IDEA密钥进行加密，然后使用IDEA算法对信息本身进行加密。在PGP中使用的信息摘要算法是MD5。PGP至少为每个用户定义两个密钥文件，称为Keyring，分别存放自己的私钥(可以不止一个)和自己及其他用户的公钥。内容安全技术PGP加密传输软件PGP需要下载安装文件执行安装，重启计算机后才能正常工作。重启后PGP以向导的方式一步步指引用户产生自己的公钥/私钥对（若已有，则也可直接指定公钥/私钥文件所在的文件夹导入使用），生成时要求用户输入通行码（Passphrase）,如图5-1所示。PGP的使用内容安全技术PGP加密传输软件PGP的使用PGP运行后在系统提示区的图标为“”。PGP的主要功能和工作界面如下所示。内容安全技术PGP加密传输软件PGP的使用密钥管理（PGP