密碼技術——

信息安全的堅強守護者目錄4基于密碼技術的PKI+數字證書如何實現信息安全1

網絡世界充滿不安2信息安全相關政策、法規3密碼技術在信息安全中的應用5

東方中訊簡介目錄4基于密碼技術的PKI+數字證書如何實現信息安全1

網絡世界充滿不安2信息安全相關政策、法規3密碼技術在信息安全中的應用5

東方中訊簡介引言

近年來，網絡安全事件“層出不窮”，商業泄密案“觸目驚心”，個人信息“唾手可得”，網絡犯罪“蒸蒸日上”。一系列信息泄密事件，已經引起一場軒然大波。人們剛迎來2013年不久，數據泄露事件又接連不斷：香港八達通卡泄密、富士通ipad2后殼設計圖泄密、RSA公司SecurID技術及客戶資料被竊取和索尼公司的PlayStation用戶數據外泄、大眾都熟知的棱鏡事件等等。這樣觸目驚心的消息我們再也傷不起!我們的網絡世界充滿不安。。。2012年10月百所大學近12萬賬戶信息被竊2012年7月，云存儲服務商Dropbox用戶名和密碼2012年7月雅虎45.34萬名用戶的認證信息，超過2700個數據庫表被盜2012年7月DNSChanger修改多達30萬臺電腦用戶的DNS…2012年6月LinkedIn650萬加密的密碼被發送到了一家俄羅斯的黑客網站2012年1月，亞馬遜旗下美國電子商務網站Zappos遭到黑客網絡攻擊我們的網絡世界充滿不安。。。Gauss病毒竊取瀏覽器保存的密碼、網銀賬戶、Cookies和系統配置信息等敏感數據2012年5月新型蠕蟲病毒火焰(Flame)肆虐中東2012年8月維基解密網站遭受到每秒10G流量持續攻擊2012年3月著名黑客組織Anonymous威脅干掉整個互聯網京東商城充值系統于2012年10月30日晚22點30分左右出現重大漏洞，用戶可以用京東積分無限制充值Q幣和話費2009年韓國國會、國防部、外交通商部等機構的網站一度無法打開目錄4基于密碼技術的PKI+數字證書如何實現信息安全1

網絡世界充滿不安2信息安全相關政策、法規3密碼技術在信息安全中的應用5

東方中訊簡介信息安全法律法規國內主要的信息安全相關法律法規如下：信息網絡傳播權保護條例2006—2020年國家信息化發展戰略網絡信息安全等級保護制度信息安全等級保護管理辦法(試行)互聯網信息服務管理辦法中華人民共和國電信條例中華人民共和國計算機信息系統安全保護條例公用電信網間互聯管理規定聯網單位安全員管理辦法（試行）文化部關于加強網絡文化市場管理的通知證券期貨業信息安全保障管理暫行辦法信息安全法律法規中國互聯網絡域名管理辦法科學技術保密規定計算機信息系統國際聯網保密管理規定計算機軟件保護條例國家信息化領導小組關于我國電子政務建設指導意見電子認證服務密碼管理辦法互聯網IP地址備案管理辦法計算機病毒防治管理辦法中華人民共和國電子簽名法認證咨詢機構管理辦法中華人民共和國認證認可條例信息安全法律法規認證培訓機構管理辦法中華人民共和國產品質量法中華人民共和國產品質量認證管理條例商用密碼管理條例網上證券委托暫行管理辦法信息安全產品測評認證管理辦法產品質量認證收費管理辦法信息安全升至國家戰略層面！??！從等保看信息安全的演進2003年9月中辦國辦頒發《關于加強信息安全保障工作的意見》（中辦發[2003]27號）2004年11月四部委會簽《關于信息安全等級保護工作的實施意見》（公通字[2004]66號）2005年9月國信辦文件《關于轉發《電子政務信息系統信息安全等級保護實施指南》的通知》（國信辦[2004]25號）2005年公安部標準《等級保護安全要求》《等級保護定級指南》《等級保護實施指南》《等級保護測評準則》總結成一種安全工作的方法和原則最先作為“適度安全”的工作思路提出確認為國家信息安全的基本制度，安全工作的根本方法形成等級保護的基本理論框架，制定了方法，過程和標準1994年國務院頒布《中華人民共和國計算機信息系統安全保護條例》2006年四部委會簽公通字[2006]7號文件（關于印發《信息安全等級保護管理辦法（試行）》的通知）明確做等級保護，等級保護工作的重點是基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統定義了五個保護級別、監管方式、職責分工和時間計劃定義了電子政務等級保護的實施過程和方法定義了等級保護的管理辦法，后被43號文件取代。首次提出計算機信息系統必須實行安全等級保護。提出了等級保護的定級方法、實施辦法，并對不同等級需要達到的安全能力要求進行了詳細的定義，同時對系統保護能力等級評測指出了具體的指標。等級保護的政策標準的演進2007年7月16日四部門會簽公信安[2007]861號文件：四部門下發《關于開展全國重要信息系統安全等級保護定級工作的通知》提出了等級保護的推進和管理辦法為等級保護工作開展提供了參考開始了等級保護的實質性工作的第一階段2007年四部委會簽公通字[2007]43號文件《信息安全等級保護管理辦法》替代公通字[2006]7號文件，明確了等級保護的具體操作辦法和各部委的職責，以及推進等級保護的具體事宜2006年公安部、國信辦下發了《關于開展信息系統安全等級保護基礎調查工作的通知》從2006年1月10日到4月10日，分三個階段對國家重要的基礎信息系統進行摸底，包括黨政機關、財政、海關、能源、金融、社會保障等行業2007年7月至10月在全國范圍內組織開展重要信息系統安全等級保護定級工作，其中包括公用通信網、廣播電視傳輸網等基礎信息網絡以及鐵路、銀行、海關、稅務、民航、電力、證券、保險、外交、人事勞動和社會保障、財政、等行業等級保護的政策標準的演進《信息安全技術信息安全等級保護技術設計要求》報批稿，對等級保護的方案設計提出了參考。提出“一個中心下的三重防護”體系等級保護的落地邁出了實質性的一步等級保護有了國家標準作為參考依據同步提出了等級保護基礎技術的課題研究2008年7月，公安部發布《公安機關信息安全等級保護檢查工作》（試行）文件，提出等級保護檢查工作的細則，并發布到重點政府行業用戶2008年，國家標準化委員會正式批復并發布《信息安全技術信息安全等級保護基本要求》和《信息安全技術信息安全等級保護定級指南》，編號分別為GB/T22239-2008、GB/T22240-2008目前已正式頒布的有：《GB/T22239-2008信息安全技術信息系統安全等級保護基本要求》《GB/T22240-2008信息安全技術信息系統安全等級保護定級指南》《公安機關信息安全等級保護檢查工作規范》2008年定級備案工作基本結束2+2X用戶已完成在公安機關的定級備案工作；備案的四級系統大約200多個；三級系統大約25000多個；二級系統大約32000多個。目錄4基于密碼技術的PKI+數字證書如何實現信息安全1

網絡世界充滿不安2信息安全相關政策、法規3密碼技術在信息安全中的應用5

東方中訊簡介信息安全的基本屬性針對信息的安全屬性存在的攻擊模式信息安全需要哪些安全服務？實現這些服務的技術？數學、信息、通信、計算機網絡等多學科技術領域的綜合，其中密碼學是網絡安全的基礎理論和關鍵技術。信息安全中常用的密碼技術對稱/分組加密DES-(數據加密標準DataEncryptionStandard)IDEAInternationalDataEncryptionAlgorithm——國際數據加密算法，是1990年由瑞士聯邦技術學院來學嘉X.J.Lai和Massey提出的建議標準算法。AES(高級加密標準AdvancedEncryptionStandard)X.J.Lai常用的密碼技術公鑰加密RSARivestShamirAdlemanECCEllipticCurvecryptsystem常用的密碼技術鑒別和散列函數散列函數-Hash函數MD5Message-DigestAlgorithm5消息-摘要算法(R)SHASecureHashAlgorithm安全散列算法(NSA)信息安全機制加密數字簽名否認偽造冒充篡改訪問控制數據完整性數據單元的完整性發送實體接收實體數據單元序列的完整性防止假冒、丟失、重發、插入或修改數據。交換鑒別

口令密碼技術時間標記和同步時鐘雙方或三方“握手”數字簽名和公證機構業務流量填充路由控制公證機制密碼技術在信息安全中的價值讓攻擊變得困難：數字猜測破解密碼推知私鑰越權訪問截獲安全信道。。。。。。目錄4基于密碼技術的PKI+數字證書如何實現信息安全1

網絡世界充滿不安2信息安全相關政策、法規3密碼技術在信息安全中的應用5

東方中訊簡介什么是PKI？解決網上身份認證、信息的完整性和不可抵賴性等安全問題，為網絡應用（如瀏覽器、電子郵件、電子交易）提供可靠的安全服務。密碼技術PKI如何實現信息安全PKI+數字證書實現信息安全模型鑒別和散列函數使用公鑰加密算法、分組加密等PKI中信息安全交互實例1.1你是誰?RickMaryInternet/Intranet應用系統1.2怎么確認你就是你?認證1.1我是Rick.1.2口令是1234.授權保密性完整性防抵賴2.我能干什么?2.你能干這個,不能干那個.3.如何讓別人無法偷聽?3.我有密鑰?5.我偷了機密文件,我不承認.5.我有你的罪證.4.如何保證不能被篡改?4.別怕,我有數字簽名.28PKI對各安全要素的解決方法認證身份證明：

證書中告訴別人，你是誰？身份驗證：

數字簽名和證書的唯一性向別人證明，你確是此人？機密性加密技術對稱加密共享密鑰非對稱加密公開密鑰PKI對各安全要素的解決方法完整性數字簽名如果數字簽名驗證失敗，說明數據的完整性遭到了破壞不可抵賴性數字簽名

證明信息已經被發送或接收:發送方不能抵賴曾經發送過數據使用發送者本人的私鑰進行數字簽名接收方不能抵賴曾經接收到數據接收方使用私鑰對確認信息進行數字簽名DigitalSignature,Date,Time

PKI的優勢PKI作為一種安全技術，已經深入到網絡的各個層面。PKI的靈魂來源于公鑰密碼技術，圍繞著非對稱密碼技術，數字證書破殼而出，并成為PKI中最為核心的元素：5、PKI具有極強的互聯能力。不論是上下級的領導關系，還是平等的第三方信任關系，PKI都能夠按照人類世界的信任方式進行多種形式的互聯互通，從而使PKI能夠很好地服務于符合人類習慣的大型網絡信息系統。1、采用公開密鑰密碼技術，能夠支持可公開驗證并無法仿冒的數字簽名，從而在支持可追究的服務上具有不可替代的優勢。2、由于密碼技術的采用，保護機密性是PKI最得天獨厚的優點。PKI不僅能夠為相互認識的實體之間提供機密性服務，同時也可以為陌生的用戶之間的通信提供保密支持。3、由于數字證書可以由用戶獨立驗證，不需要在線查詢，原理上能夠保證服務范圍的無限制地擴張，這使得PKI能夠成為一種服務巨大用戶群的基礎設施。4、PKI提供了證書的撤銷機制，從而使得其應用領域不受具體應用的限制。數字證書的應用領域

電子政務：網上稅務申報，工商年檢、企業組織代碼申領、政府網上采購招標、網上審批和統計、企業年報、網上