计算机安全学 上海交通大学计算机系 王立斌 博士 lbwang@sjtu.edu.cn 王立斌 博士 lbwang@sjtu.edu.cn http://cis.sjtu.edu.cn/personal/wanglibin/wlb_cn.htm

本课程的目的 本课程的主要任务是通过对密码编码学和网络安全在原理和实践两方面的课程概述，和大量的背景资料介绍，使学生对计算机安全学概念有较深入理解，并在实践中起指导作用。

课程的要求 要求学生对基本概念、理论的理解和掌握，进而通过实践结合特定专题研究（指定文献的阅读）加深理解和获得专业经验。

第一章 计算机安全概述 1.1 一些概念 1.2 安全的需求 1.3 OSI安全框架及网络安全模型 1.4安全威胁（攻击）与防护措施 1.5安全服务 1.6我国的信息安全现状 1.7国家信息安全技术发展战略

1.1计算机安全中的一些概念 安全的含义（Security or Safety?) 平安，无危险；保护，保全。 （汉语大词典） 计算机安全的含义 保护计算机系统，使其没有危险，不受威胁，不出事故。可从它的技术特征上对其进一步认识。

安全的含义 “如果把一封信锁在保险柜中，把保险柜藏起来，然后告诉你去看这封信，这并不是安全，而是隐藏；相反，如果把一封信锁在保险柜中，然后把保险柜及其设计规范和许多同样的保险柜给你，以便你和世界上最好的开保险柜的专家能够研究锁的装置，而你还是无法打开保险柜去读这封信，这才是安全…”-Bruce Schneier

1.1计算机安全中的一些概念(cont.) 计算机安全 网络安全 信息安全 （如何定义它们？它们之间的关系如何？） 但由此我们可以看出在安全领域的共性问题， 在众多的应用中准确把握分析问题、解决问 题的思路。

1.2安全的需求（为什么要安全？） 一些数据表明信息安全的重要地位. 1.2.1信息业务及其价值 1.2.2机密信息 1.2.3产权及敏感信息

计算机（信息）安全的技术特征 可靠性 可用性 保密性 完整性 不可抵赖性 可控性

可靠性（Reliability) 指信息系统能够在规定条件下和规定的时间内完成规定的功能的特性。有三种度量指标： 抗毁性 指系统在人为破坏下的可靠性 生存性 随机破坏下系统的可靠性 有效性 是基于业务性能的可靠性

可用性（Availability) 指信息可被授权实体访问并按需求使用的特性，是系统面向用户的安全性能。一般用系统正常使用时间和整个工作时间之比来度量。

保密性(Confidentiality) 指信息不被泄露给非授权的用户、实体或过程，或供其利用的特性。保密性是在可靠性和可用性基础上，保障信息安全的重要手段。

完整性(Integrity) 指网络信息未经授权不能进行改变的特性，既信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。

不可抵赖性(Non-repudiation) 指在信息交互过程中，确信参与者的真实同一性，既所有参与者都不可能否认或抵赖曾经完成的操作和承诺。

可控性(Controllability) 指对信息传播及内容具有控制能力的特性。

1.3 OSI安全框架及网络安全模型 ITU-T X.800 即OSI安全框架 提供定义安全和刻画安全措施的系统方法 主要概念 安全服务 安全机制 安全性攻击

网络安全模型（安全通信模型） In considering the place of encryption, its useful to use the following two models. The first models information flowing over an insecure communications channel, in the presence of possible opponents. Hence an appropriate security transform (encryption algorithm) can be used, with suitable keys, possibly negotiated using the presence of a trusted third party.

网络安全模型 模型要求 设计安全变换的合理算法 生成算法所用的秘密信息（密钥） 开发秘密信息的分发方法 规范使用这种方法通信的协议

网络访问安全模型 The second model is concerned with controlled access to information or resources on a computer system, in the presence of possible opponents. Here appropriate controls are needed on the access and within the system, to provide suitable security. Some cryptographic techniques are useful here also.

1.4安全威胁与防护措施 1.4.1基本概念 威胁（Threat) 攻击（attack） 防护措施（Safeguard） 风险（Risk） 现在还没有统一的定义，除了书中给出的定义，还请大家多归纳总结（作业）。

1.4安全威胁与防护措施 安全的威胁 中断 截获 篡改 伪造 攻击的分类 被动攻击 主动攻击

1.5安全服务 五种通用服务： 认证（Authentication） 保密 （Encryption） 数据完整（Integrity） 不可否认（Non-repudiation） 访问控制（Access Control）

1.5安全服务（Cont.) 发展热点： 无线加密与电子商务 认证中心 安全系统基础设施 安全风险评估与分析 版权信息控制

1.6我国的信息安全现状 我国与国际标准靠拢的信息安全与网络安全技术和产品标准陆续出台. 建立了全国信息技术标准化技术委员会信息技术安全分技术委员会. 中国互联网安全产品认证中心宣告成立. 公安部计算机信息系统安全产品质量监督检验中心正式成立.

1.6我国的信息安全现状（问题） 复杂的信息安全管理尚未以立法的形式体现，对密码的管理还没有向公众发布可以遵循的法规。 政府部门对信息系统的安全性是非常重视的，但苦于没有好的解决方案或安全建设经费不足。 国家通信网络的交换机及其通信设备有一部分由于没有经过安全检测，安全问题没有保证，这是由于安全检测工作的建设滞后于系统的建设造成的。

1.6我国的信息安全现状（问题） 金融领域的有些单位在系统采购时，没有采购安全系统或安全系统建设不完善，以至有些系统安全级别较低。 行业规划思路上却一度存在“轻系统重应用”的状况，这对目前出现的信息系统安全问题是有影响的。

1.7国家信息安全技术发展战略 政府不应什么都管，也不应管得太死，应通过制定符合实际情况的法律法规，制定技术标准来引导产业发展。 信息安全政策必须在公民隐私权和政府安全需求方面找到平衡点。 产品开发应该遵循现行安全法规和安全标准。 在制订安全政策时，从一开始就应吸收技术人员参与高层工作，更好地兼顾产业需求和政府需求。

1.7国家信息安全技术发展战略 没有100％的信息安全，要作好风险评估以得到最好的选择。 安全要和应用紧密结合，不能让用户感到增加安全功能是大的负担，才能获得成功。 在进入WTO后，交易安全方面重点是B to B的安全。 大国应有自己的安全产业，同时要充分考虑国际兼容问题。

1.7国家信息安全技术发展战略 我们应当特别注意，我国在信息系统安全方面与美国是不平等的。在信息系统安全管理部门信息系统产品的认证和检测工作刚刚开始，任重而道远。我们所要做的，首先是要明确信息系统安全建设的要求和规范，加强信息系统安全的标准化工作，加快启动信息系统安全建设的内需。

参考文献 本课程主要参考文献： 1 应用密码学（第2版） 机械工业出版社 Bruce Schneier 2 计算机安全：艺术与科学 电子工业出版社 Matt Bishop

要求 根据学生的具体情况而定。