网络和信息安全的若干问题思考陈恭亮教授/博士生导师上海交通大学信息安全工程学院2013年8月24日chengl@sjtu.edu.cn主要内容•信息通信技术发展•网络与信息安全问题•若干问题思考信任、隐私和安全(TrustPrivacyandSecurity)数据安全服务物联网安全密码技术主要内容•信息通信技术发展•网络与信息安全问题•若干问题思考信任、隐私和安全(TrustPrivacyandSecurity)数据安全服务物联网安全密码技术信息通信技术(1/8)•硬件•摩尔定律:x2每18个月——逐渐失效信息通信技术(2/8)•信息与通信技术的发展信息通信技术(3/8)•网络结构•大约每10年更新信息通信技术(4/8)•可信赖信息与通信技术的国际合作信息通信技术(5/8)•信息与通信技术广泛应用信息通信技术(6/8)•云计算•位置服务•隐私保护•数据安全服务信息通信技术(7/8)•网络技术的发展(特别是XML规范)信息通信技术(8/8)•信息安全的新挑战主要内容•信息通信技术发展•网络与信息安全问题•若干问题思考信任、隐私和安全(TrustPrivacyandSecurity)数据安全服务物联网安全密码技术安全问题—对信息系统的攻击(1/9)CIH震荡波,6000万电脑9.11恐怖活动,40%安全问题—对信息系统的攻击(2/9)自动化软件Step7与SiemensPLC之间的正常通信Step7与SiemensPLC的通信被Stuxnet劫持•震网(Stuxnet)病毒,是一个席卷全球工业界的病毒,于2010年发现,截止2011年,感染了全球超过45000个网络,伊朗遭到的攻击最为严重,60%的个人电脑感染了这种病毒。据报道,美国曾利用“震网”蠕虫病毒攻击伊朗的铀浓缩设备。安全问题—对信息系统的攻击(3/9)•网络上的安全威胁安全问题—对信息系统的攻击(4/9)•CSDN、天涯等遭遇最大用户密码泄漏事件事件回放:11年12月21日,知名程序员网站CSDN被曝600万用户帐户密码泄漏。黑客在网上公布了用户数据库,此数据库在网络上广泛传播,并被制作成网页供网友查询。更为惊人的是,此次泄漏的用户数据库中,密码竟然是明文存储的。CSDN随后承认用户密码失窃,但强调这些密码都是在09年之前注册用户的,现在已经不再明文存储密码。安全问题—对信息系统的攻击(5/9)•运营商CarrierIQ跟踪用户手机使用信息事件事件回放:11年12月,一位25岁的黑客TrevorEckhart,发现Android、Nokia、HTC等手机内置的CarrierIQ服务会不断上传用户的操作数据,并发布了一段视频作为佐证。此后,涉及此次事件的几大手机厂商与运营商大部分都出面承认了事件的真实性。尽管CIQ的开发商辩称,他们的产品并不收集用户隐私信息,只是为了运营商改进产品与服务,用户对此仍有重大疑虑,美国部分议员也表示了对此的关切。目前,部分手机厂商和运营商已经公布了补救措施,包括如何移除手机内置的CarrierIQ产品,以及不再在产品内预先安装此软件。安全问题—对信息系统的攻击(6/9)•亚马逊云服务宕机,服务终端,部分客户数据丢失事件回放:(美国时间)2011年4月21日上午01:30分,北弗吉尼亚州的数据中心出现故障,造成了Amazon公司旗舰数据中心EBS服务无法正常使用。在大约12小时后,AWS表示,在除一个区域以外,所有可用区域的功能均已恢复并运行正常。4月24日晚上7:00,AWS表示,该服务运行稳定,恢复过程仍在进行中,但是直至4月25日AWS才将美国东部地区的运行状态标为正常。服务宕机事件导致包括问答网站Quora、手机地理位置社交网络服务商Foursquare及社交媒体Reddit等创业公司均受到不同程度影响。安全问题----重大事件(7/9)(1/14)•英国伦敦北部发生骚乱导火索:警察射杀青年引骚乱。伦敦8月4日晚,一个名叫马克-杜根的男子在出租车里被警车尾随后拦截,现场发生交火,杜根中枪死亡。后经初步调查显示,遭枪杀的杜根似乎没向警员开枪,警方的说法受质疑。目击者称骚乱是由一名16岁女童向警方掷石触发。骚乱:8月6日17时后,约500人集结,为杜干守灵和“寻求正义”,随后与警察冲突,示威演变成骚乱。8月7日伦敦北部的恩菲尔德地区晚再生骚乱,上百名示威者在恩菲尔德地区焚烧车辆、洗劫店铺。8月8日起扩展至伯明翰、利物浦、诺丁汉和布里斯托、曼彻斯特等城市。8月10日开始,伦敦等城市骚乱趋于平...
