信息安全概论报告
信息安全概论课程报告
一、课程内容简介
1.“国内外信息安全研究现状与发展趋势”
(1)“信息安全”的定义
“信息安全”在当前可被理解为在既定的安全要求的条件下,信息系统抵御意外事件或恶意行为的能力。而信息安全事件则会危及信息系统提供的服务的机密性、完整性、可用性、非否认性和可控性。
(2)“信息安全”发展的四个阶段
信息安全的发展在历史发展的进程中可被分为四个阶段:
首先,是通信安全发展时期(从有人类以来~60年代中期)。在这个时期,人们主要关注的是“机密性”问题,而密码学(密码学是研究编制密码和破译密码的技术科学。研究密码变化的客观规律,应用于编制密码以保守通信秘密的,称为编码学;应用于破译密码以获取通信情报的,称为破译学,总称密码学。)是解决“机密性”的核心技术,因此在这个时期,密码学得到了非常好的发展。而由于Shannon在1949年发表的论文中为对称密码学建立了理论基础,使得密码学从非科学发展成了一门科学。
然后,是计算机安全发展时期(60年代中期~80年代中期)。在1965年,美国率先提出了计算机安全(compusec)这一概念,目前国际标准化委员会的定义是“为数据处理系统和采取的技术的和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。”美国国防部国家计算机安全中心的定义是“要讨论计算机安全首先必须讨论对安全需求的陈述。”
在这一时期主要关注的是“机密性、访问控制、认证”方面的问题。同时,密码学得到了快速发展:Diffiee和Hellman在1976年发表的论文《密码编码学新方向》导致了一场密码学革命,再加上1977年美国制定数据加密标准DES,标志着现代密码学的诞生。
另外,80年代的两个标志性特征分别为:计算机安全的标准化工作,计算机在商业环境中得到了应用。
随后,到了信息安全发展时期(80年代中期~90年代中期)。此时的关注点则变成了“机密性、完整性、可用性、可控性、非否认性”。在此阶段,密码学得到空前发展,社会上也涌现出大量的适用安全协议,如互联网密钥交换协议、SET协议等,而安全协议的三大理论(安全多方计算、形式化分析和可证明安全性)取得了突破性的进展。
最后,是信息安全保障发展时期(90年代中期~ )。在这一时期主要关注“预警、保护、检测、响应、恢复、反击”整个过程。目前,人们正从组织管理体系(做顶层设计)、技术与产品体系、标准体系、法规体系、人才培养培训与服务咨询体系和应急处理体系这几个方面致力于建立信息安全保障体系。
(3)危害国家安危的信息安全问题
1.网络及信息系统出现大面积瘫痪。我们都知道,目前我们国家的网民数量非常之多,并且国家的电力系统也由网络控制,一旦网络出现大面积瘫痪,不仅无数人的个人利益受到侵害,国家的安全问题也处于水火之中。
2.网上内容与舆论失控。由目前的情况来看,由于微博等新媒体的出现,网络言论的传播速度与以往不可同日而语,一旦恶意诋毁国家领导人形象、诋毁国家组织形象的言论大肆传播,将对国人价值取向的产生十分恶劣的影响,进而威胁到国家安全。
3.网上信息引发社会危机。
4.有组织的网络犯罪。网络犯罪有隐蔽性强、难追踪这一显着特点,一旦发生有组织的网络犯罪,将会对国民的财产、信息安全和国家的信息安全造成严重威胁。
(4)我国信息网络安全状况
二、“社会工程学”概述
社会工程学指的是通过与他人交往,来直接或者间接获得机密信息。在任何的安全体系里,人都是最薄弱的一环,所以是骇客攻击的重点,所有社会工程学攻击都建立在使人决断产生认知偏差的基础上。骇客也许伪装成某个弱势的女性,或者诈称是你多年未见的老朋友,或者以交易中介的形式出现,等等,来套取你的信息,进而进行下一步的攻击。根据wikipedia 的介绍,社会工程学攻击有这些形式:
首先是假托(pretexing)。某天你突然接到一个电话,说你的xxx亲人突然出事,在xxx 医院治疗,速速汇款至某某账号。你心里一惊,连忙联系你的亲人,发现电话不通,于是在精神高度紧张中颤巍巍汇了钱过去。假托就要起到这样一种效果,通过合情合理的假象,紧张的气氛,让你陷入一种心理学称之为"tunnel vision"的情境中,你的眼睛只能看到隧道终点的那丝光明。
当然,例子中的骗术广为人知,可能对大部分人都不奏效了,但难保骇客建立另外一种你没遇到过的情境,让你陷入到“tunnel vision”中。比如在这个大一刚刚结束的暑假,我的好朋友得到了一个去德国交流的机会,并在这次的经历中结识了一位非常要好的朋友X,在回国没几天后,那位X便通过QQ向我的好朋友求助,说有一笔钱要转给别人,但X自己因为某些原因转不了,想通过我的好友将钱转到他人卡中,我的好朋友因为很了解也很信任X,便一口答应了下来,X也将转款成功的信息发给我的好友看,但由于金额竟有2万之多,难免让我的好友心生怀疑,而且这2万在短时间内无法转入到我好友账号中,X因为事情急迫想要让我的好友先用自己的钱转给别人,但我好友并没有这么多的钱,于是打电话给我求助。我在听了这件事后以一个旁观者的身份发表观点说,这个X可能是个骗子,让我的好友跟X周旋婉拒,但我好友还是很肯定的认为X不会骗人的,说她人品有多么多么好,但最后还是无奈的十分尴尬的拒绝了X的要求。又过了一天,好友给我打电话,说真正的X在空间上发了一条说说,说昨日的人并非是X本人,而是骗子盗号所为,我的好友在舒了一口气的同时难免感到后怕,至今还无法相信那个骗子竟然能学X的语气学的如此相像。我的好友并非易受骗人群中的一员,但遇到此事时也乱了方寸,可见“假托”这种攻击形式仍然十分有效。
第二种手段是调虎离山(diversion theft)。这个多看看抢银行的片子应该就很好理解——押款车既定的路线重重安防,如果让其被迫改道,则实施攻击就容易多了。如果你电脑上有机密资料,想要获取的有心人可以临时叫你出去喝杯咖啡,另外的人就可以在其之上进行信息偷窃。
第三种手段是钓鱼(phishing)。这个应该都有所耳闻——给你发封邮件告诉你由于安全事故可能导致你xx银行的密码泄漏,然后给你个链接修改密码。打开的页面中,整个界面和xx银行的修改密码的界面高度一致,显着(或者不那么显着)的区别在于url有差异。如果你注意不到这点,输入了你的卡号和密码进行密码修改,那么你的银行卡的信息就被骇客获得,并由此可能被盗刷。钓鱼还可能通过各种聊天工具、电话进行。
第四种手段是下饵(baiting)。这个手段就五花八门了,你下载的软件,打开的email 附件都有可能被注入各种各样的恶意代码。人总是有弱点的,姜太公说:“钓有三权:禄等以权,死等以权,官等以权。”物质上的(禄),感情上的(死义),精神上的(官,权力)弱点都可以拿来“钓”。具体一些来说,就是马斯洛的需求金字塔(马斯洛理论把需求分成生理需求(Physiological needs)、安全需求(Safety needs)、爱和归属感(Love and belonging,亦称为社交需求)、尊重(Esteem)和自我实现(Self-actualization)五类,依次由较低层次到较高层次排列。)的每个层级都能用来下饵。比如说骇客发个“逛淘宝不得不知的10个秘密”,就能勾住爱逛淘宝的小女生,发个“LOL(英雄联盟,一款网络游戏)
进阶高手的秘籍”,就能吸引爱打游戏的男生的目光。
第五种手段是等价交换(quid pro quo)。心理学中人们对权威有一种盲从,甚至“怕屋及乌”,对特定的服饰也有敬畏感。当假扮的公司IT人员向你索要账户密码,你可能会乖乖就范;当西装革履的“纪委”人员把你拖走,你立马该招的不该招的都抖了出来;在异国他乡,穿着警服的问你要护照查看,你可能连反问的勇气都没有。所以,当骇客采取这些种种手段时,很容易攻破你的防线。
以上种种还只是社会工程学的一部分,凡心理学中谈到的人性的弱点(或者优点)都能被深谙社会工程学之道的骇客采用,作为攻击的第一步。所以应对社会工程学之策,就是学点心理学,再看看社会工程学相关的书籍,知己知彼。
三、学习体会