1、LOGO密码技术 信息安全的坚强守护者目录4 4 基于密码技术的PKI+PKI+数字证书如何实现信息安全1 1 网络世界充满不安2 2 信息安全相关政策、法规3 3 密码技术在信息安全中的应用5 5 东方中讯简介目录4 4 基于密码技术的PKI+PKI+数字证书如何实现信息安全1 1 网络世界充满不安2 2 信息安全相关政策、法规3 3 密码技术在信息安全中的应用5 5 东方中讯简介引言引言 近年来,网络安全事件“层出不穷”,商业泄密案“触目惊心”,个人信息“唾手可得”,网络犯罪“蒸蒸日上”。一系列信息泄密事件,已经引起一场轩然大波。人们刚迎来2013年不久,数据泄露事件又接连不断:香港八达通
2、卡泄密、富士通ipad2后壳设计图泄密、RSA公司SecurID技术及客户资料被窃取和索尼公司的PlayStation用户数据外泄、大众都熟知的棱镜事件等等。这样触目惊心的消息我们再也伤不起!我们的网络世界充满不安。2012年10月百所大学近12万账户信息被窃2012年7月,云存储服务商Dropbox用户名和密码2012年7月雅虎45.34万名用户的认证信息,超过2700个数据库表被盗2012年7月DNSChanger修改多达30万台电脑用户的DNS2012年6月LinkedIn650万加密的密码被发送到了一家俄罗斯的黑客网站2012年1月,亚马逊旗下美国电子商务网站Zappos遭到黑客网络攻
3、击我们的网络世界充满不安。Gauss病毒窃取浏览器保存的密码、网银账户、Cookies和系统配置信息等敏感数据2012年5月新型蠕虫病毒火焰(Flame)肆虐中东2012年8月维基解密网站遭受到每秒10G流量持续攻击2012年3月著名黑客组织Anonymous威胁干掉整个互联网京东商城充值系统于2012年10月30日晚22点30分左右出现重大漏洞,用户可以用京东积分无限制充值Q币和话费2009年韩国国会、国防部、外交通商部等机构的网站一度无法打开目录4 4 基于密码技术的PKI+PKI+数字证书如何实现信息安全1 1 网络世界充满不安2 2 信息安全相关政策、法规3 3 密码技术在信息安全中的
4、应用5 5 东方中讯简介信息安全法律法规信息安全法律法规国内主要的信息安全相关法律法规如下:1.信息网络传播权保护条例 2.20062020年国家信息化发展战略 3.网络信息安全等级保护制度 4.信息安全等级保护管理办法(试行)5.互联网信息服务管理办法 6.中华人民共和国电信条例 7.中华人民共和国计算机信息系统安全保护条例 8.公用电信网间互联管理规定 9.联网单位安全员管理办法(试行)10.文化部关于加强网络文化市场管理的通知 11.证券期货业信息安全保障管理暂行办法 信息安全法律法规信息安全法律法规12.中国互联网络域名管理办法 13.科学技术保密规定 14.计算机信息系统国际联网保密
5、管理规定 15.计算机软件保护条例 16.国家信息化领导小组关于我国电子政务建设指导意见 17.电子认证服务密码管理办法 18.互联网IP地址备案管理办法 19.计算机病毒防治管理办法 20.中华人民共和国电子签名法 21.认证咨询机构管理办法 22.中华人民共和国认证认可条例 信息安全法律法规信息安全法律法规23.认证培训机构管理办法 24.中华人民共和国产品质量法 25.中华人民共和国产品质量认证管理条例 26.商用密码管理条例 27.网上证券委托暂行管理办法 28.信息安全产品测评认证管理办法 29.产品质量认证收费管理办法 信息安全升至国家战略层面!从等保看信息安全的演进2003年9月
6、中办国办颁发关于加强信息安全保障工作的意见(中办发200327号)2004年11月四部委会签关于信息安全等级保护工作的实施意见(公通字200466号)2005年9月国信办文件 关于转发电子政务信息系统信息安全等级保护实施指南的通知(国信办200425号)2005年 公安部标准等级保护安全要求等级保护定级指南等级保护实施指南等级保护测评准则总结成一种安全工作的方法和原则最先作为“适度安全”的工作思路提出确认为国家信息安全的基本制度,安全工作的根本方法形成等级保护的基本理论框架,制定了方法,过程和标准1994年国务院颁布中华人民共和国计算机信息系统安全保护条例2006年 四部委会签公通字20067
7、号文件(关于印发信息安全等级保护管理办法(试行)的通知)明确做等级保护,等级保护工作的重点是 基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统定义了五个保护级别、监管方式、职责分工和时间计划定义了电子政务等级保护的实施过程和方法定义了等级保护的管理办法,后被43号文件取代。首次提出计算机信息系统必须实行安全等级保护。提出了等级保护的定级方法、实施办法,并对不同等级需要达到的安全能力要求进行了详细的定义,同时对系统保护能力等级评测指出了具体的指标。等级保护的政策标准的演进2007年7月16日 四部门会签公信安2007861号文件:四部门下发关于开展全国重要信息系统安全等级保护定
8、级工作的通知提出了等级保护的推进和管理办法为等级保护工作开展提供了参考开始了等级保护的实质性工作的第一阶段2007年 四部委会签公通字200743号文件信息安全等级保护管理办法 替代公通字20067号文件,明确了等级保护的具体操作办法和各部委的职责,以及推进等级保护的具体事宜2006年 公安部、国信办下发了关于开展信息系统安全等级保护基础调查工作的通知从2006年1月10日到4月10日,分三个阶段对国家重要的基础信息系统进行摸底,包括党政机关、财政、海关、能源、金融、社会保障等行业2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作,其中包括公用通信网、广播电视传输网等基
9、础信息网络 以及铁路、银行、海关、税务、民航、电力、证券、保险、外交、人事劳动和社会保障、财政、等行业等级保护的政策标准的演进信息安全技术 信息安全等级保护技术设计要求报批稿,对等级保护的方案设计提出了参考。提出“一个中心下的三重防护”体系等级保护的落地迈出了实质性的一步等级保护有了国家标准作为参考依据同步提出了等级保护基础技术的课题研究2008年7月,公安部发布公安机关信息安全等级保护检查工作(试行)文件,提出等级保护检查工作的细则,并发布到重点政府行业用户 2008年,国家标准化委员会正式批复并发布信息安全技术 信息安全等级保护基本要求和信息安全技术 信息安全等级保护定级指南,编号分别为G
10、B/T22239-2008、GB/T22240-2008目前已正式颁布的有:GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南公安机关信息安全等级保护检查工作规范2008年定级备案工作基本结束2+2X用户已完成在公安机关的定级备案工作;备案的四级系统大约200多个;三级系统大约25000多个;二级系统大约32000多个。目录4 4 基于密码技术的PKI+PKI+数字证书如何实现信息安全1 1 网络世界充满不安2 2 信息安全相关政策、法规3 3 密码技术在信息安全中的应用5 5 东方中讯简介信息安
11、全的基本属性针对信息的安全属性存在的攻击模式中断中断(Interruption):是对系统的可用性进行攻击,如破坏计算机硬件、网络或文件管理系统。窃听窃听(Interception):在通信信道中进行监听等。篡改篡改(Modification):是对系统的完整性进行攻击,如修改数据文件中的数据、替换某一程序使其执行不同的功能、修改网络中传送的消息内容等。伪造伪造(Fabication):是对系统的真实性进行攻击。如在网络中插入伪造的消息或在文件中插入伪造的记录信息安全需要哪些安全服务?可认证性数据保密性数据完整性不可否认性访问控制数学、信息、通信、计算机网络等多学科技术领域的综合,其中密码学是
12、网络安全的基础理论和关键技术。信息安全中常用的密码技术对称/分组加密vDES-(数据加密标准Data Encryption Standard)vIDEA International Data Encryption Algorithm国际数据加密算法,是1990年由瑞士联邦技术学院来学嘉X.J.Lai 和Massey提出的建议标准算法。vAES(高级加密标准Advanced Advanced Encryption StandardEncryption Standard)X.J.Lai常用的密码技术公钥加密vRSA Rivest Shamir AdlemanvECC Elliptic Curve
13、cryptsystem常用的密码技术鉴别和散列函数v散列函数-Hash函数vMD5 Message-Digest Algorithm 5 消息-摘要算法(R)vSHA Secure Hash Algorithm 安全散列算法(NSA)信息安全机制u加密u数字签名 否认 伪造 冒充 篡改u访问控制u数据完整性 数据单元的完整性 发送实体 接收实体 数据单元序列的完整性 防止假冒、丢失、重发、插入或修改数据。u交换鉴别 口令 密码技术 时间标记和同步时钟 双方或三方“握手”数字签名和公证机构 u业务流量填充u路由控制u公证机制密码技术在信息安全中的价值让攻击变得困难:数字猜测 破解密码 推知私钥
14、越权访问 截获安全信道。目录4 4 基于密码技术的PKI+PKI+数字证书如何实现信息安全1 1 网络世界充满不安2 2 信息安全相关政策、法规3 3 密码技术在信息安全中的应用5 5 东方中讯简介什么是PKI?解决网上身份认证、信息的完整性和不可抵赖性等安全问题,为网络应用(如浏览器、电子邮件、电子交易)提供可靠的安全服务。PKI如何实现信息安全PKI+数字证书实现信息安全模型使用公钥加密算法、分组加密等PKI中信息安全交互实例1.1你是谁?RickMaryInternet/Intranet应用系统1.2怎么确认你就是你?1.1我是Rick.1.2 口令是1234.l授权l保密性l完整性l防
15、抵赖2.我能干什么?2.你能干这个,不能干那个.3.如何让别人无法偷听?3.我有密钥?5.我偷了机密文件,我不承认.5.我有你的罪证.4.如何保证不能被篡改?4.别怕,我有数字签名.28Digital Signature,Date,Time PKI的优势PKI作为一种安全技术,已经深入到网络的各个层面。PKI的灵魂来源于公钥密码技术,围绕着非对称密码技术,数字证书破壳而出,并成为PKI中最为核心的元素:5、PKI具有极强的互联能力。不论是上下级的领导关系,还是平等的第三方信任关系,PKI都能够按照人类世界的信任方式进行多种形式的互联互通,从而使PKI能够很好地服务于符合人类习惯的大型网络信息系
16、统。1、采用公开密钥密码技术,能够支持可公开验证并无法仿冒的数字签名,从而在支持可追究的服务上具有不可替代的优势。2、由于密码技术的采用,保护机密性是PKI最得天独厚的优点。PKI不仅能够为相互认识的实体之间提供机密性服务,同时也可以为陌生的用户之间的通信提供保密支持。3、由于数字证书可以由用户独立验证,不需要在线查询,原理上能够保证服务范围的无限制地扩张,这使得PKI能够成为一种服务巨大用户群的基础设施。4、PKI提供了证书的撤销机制,从而使得其应用领域不受具体应用的限制。数字证书的应用领域 v电子政务:网上税务申报,工商年检、企业组织代码申领、政府网上采购招标、网上审批和统计、企业年报、网
17、上报关、网上驾证申请与变更等。v电子商务:网上证券,网上银行,企业ERP(企业资源计划)系统,网络远程教育,网上购物等。v个人应用:个人电子邮件安全,个人隐私保护,个人数据资源保护,个人计算机安全保护等。目录4 4 基于密码技术的PKI+PKI+数字证书如何实现信息安全1 1 网络世界充满不安2 2 信息安全相关政策、法规3 3 密码技术在信息安全中的应用5 5 东方中讯简介东方中讯概述2001年成立重庆业 务 范 围数字证书认证计算机软硬件网络及通讯产品的技术开发计算机网络技术维护信息安全技术服务四川贵州云南天津北京注册资金8000万重庆PKI中心http:/www.ezca.org/公司资质LOGO信息安全的守护者
