第一章信息安全简介
合集下载
信息安全与风险管理
信息安全与风险管理正文:第一章:信息安全简介信息安全是指通过控制、预防和减轻未经授权的访问、使用、披露、破坏、修改、检查或泄漏所引起的风险,确保信息系统正常运行,执行保密、完整性、可用性和可靠性的安全要求,维护机构的稳定和安全。
信息安全的作用非常重要,首先,信息是现代社会的核心资源,每个人的生活都离不开信息,信息安全的保护也是对个人利益的保障;其次,信息安全的保障是推动社会信息化、数字化进程的关键,它是经济、政治、文化和军事等各个领域对外交流和合作的基础和保障。
第二章:信息安全的威胁和风险信息安全存在着很多潜在的威胁和风险,主要有以下几个方面:1.计算机病毒和木马,它们能够破坏计算机的正常运行,甚至窃取用户的个人信息和敏感数据。
2.网络钓鱼,这是一种诈骗手段,通过冒充合法机构的身份来诱骗用户交出个人信息和账户密码等。
3.黑客攻击,黑客能够利用各种技术手段窃取用户的个人信息,甚至渗透到重要系统进行破坏。
4.数据泄露,数据泄露是指机构内部人员的非法行为、技术恶意攻击等导致其机密数据外泄的行为。
这些威胁和风险影响着信息系统和个人的安全,针对这些威胁和风险需要制定相应的安全措施和策略。
第三章:信息安全管理信息安全管理是指在整个信息系统使用中,针对一系列操作、策略、措施的规划、实施和监督,保证信息的机密性、可靠性和完整性。
信息安全管理包含信息安全的技术和非技术两个方面。
在技术方面,信息安全管理主要通过网络安全建设、安全硬件设备、数据备份、安全漏洞扫描、入侵检测和安全培训等方式来加强信息系统的安全性。
在非技术方面,主要通过制定信息安全策略、安全审计、员工培训、安全管理流程和风险管理来规范组织的安全运作。
第四章:信息安全的风险管理风险管理是信息安全管理的重要组成部分,通过合理的风险评估、预防和控制措施,减少信息系统发生风险事件的可能性和避免可能产生的损失。
风险管理的主要步骤包括:1.风险评估对信息系统进行全面的风险评估,主要包括资产价值评估、风险事件评估、风险的概率和影响评估等。
第一章信息安全:特性、三要素、攻击、威胁、发展阶段、信息系统
第⼀章信息安全:特性、三要素、攻击、威胁、发展阶段、信息系统信息安全信息的特性:普遍性、价值性、共享性、传递性、时效性、载体依附性、真伪性、可处理性只要记住这8个,考试挺好判断的。
打仗的时候,要尽快将奇谋送往前线【时效性】,写在⽵简上【载体依附性】,也需要信差⼀个⼜⼀个传下去【传递性】,但后来被⼀间谍截取【共享性】,他把内容更改了【真伪性】【可处理性】,⼀旦这件事成功,他便有⽆尽的荣华富贵【价值性】。
这件事,城内信息安全CIA三要素:保密性、完整性、可⽤性。
其他安全属性:真实性、抗抵赖、可靠性、可控性。
判断优先级:信息的安全属性在不同应⽤环境下的重要性(优先级)是不⼀样的优先级判断依据:保密性(数据敏感性?)、完整性(信息展⽰平台?)、可⽤性(实时控制系统?)。
符合括号内容的那项就是第⼀位了。
⼀般情况下,保密性要么第⼀,要么最后。
安全攻击:被动攻击(⽹络监听) 【伺机⽽动】主动攻击(改写) 【主动出击】安全威胁分类⼈为威胁 (⿊客、内部⼈员)⾮⼈为威胁 (⾃然灾害、突发事件)都可以造成以下的安全威胁的基本类型。
基本类型:信息泄露、信息伪造、完整性破坏、业务否决或拒绝服务、未授权访问。
综合题型(1) 场景⼀:⽤户 A 发送⽂件给⽤户 B。
⽂件中包含敏感信息。
没有被授权阅读⽂件的⽤户 C 监听到⽂件发送的过程,并在⽂件传输过程中获得了⼀份⽂件的副本。
(A)上述场景中何种信息安全属性受到了破坏? ——保密性(B)上述场景中存在的安全威胁是什么?属于哪种威胁? ——信息泄露,属于⼈为威胁。
(C)实施的攻击⾏为属于哪种类型? ——被动攻击(2) 场景⼆:⽹络管理员 A 发送包含⽤户授权信息的消息给计算机 E,计算机 E 接收后会⾃动更新本地的授权⽂件。
⽤户 B 截取了消息,修改后发送给计算机 E,计算机 E接收后认为来⾃于管理员 A,之后相应地更新了授权⽂件。
(A)上述场景中何种信息安全属性受到了破坏? ——完整性(B)上述场景中存在的安全威胁是什么?属于哪种威胁? ——完整性破坏,均属于⼈为威胁;(C)实施的攻击⾏为属于哪种类型? ——主动攻击信息安全的发展阶段,每⼀阶段的特征和标志性成果是什么?通信安全特征:主要保障通信信息的保密。
第一章信息安全简介资料
现在人们经常碰到的电话诈骗案就是由于个人信息被泄露而使得犯罪分子有机可乘。犯罪分子可能通过在 ATM上的摄像头或者偷看甚至采用绑架逼问等暴力手段获取用户的银行卡密码,将用户账户上的钱财洗劫一空。 犯罪分子还可能通过病毒、木马、间谍软件等盗取用户的网上银行账户密码、QQ账户密码、淘宝账户密码、网游 账户密码等,给用户带来巨大的精神上和物质上的损失。
只是由于Linux操作系统目前普通用户用得比较少,从而黑客攻击的兴趣和目标没那么大而已。
从系统上说,信息安全主要包括以下几个方面的问题
➢ (1)信息设备安全 即保障存储、传输、处理信息的设备的安全,如服务器、个人计算机、PDA、手机等。
域名解析服务器遭到攻击,造成中国多个省区的网络大瘫痪。
前中情局(CIA)职员爱德华·斯诺登将两份绝密资料交给英国《卫报》和 美国《华盛顿邮报》,并告之媒体何时发表严重的信息安全问题基本上都是由以下几个方面的问题引起的:
➢ 个人计算机的安全结构过于简单 ➢ 个人计算机又变成了公用计算机 ➢ 计算机通信网络把计算机连接到了因特网(Internet) ➢ 操作系统存在缺陷
首先,网络上的虚假信息极容易传播和造成社会动荡。其次,互联网上的赌博、黄色等信息泛滥严重败坏了社 会风气,造成了大量的社会问题。再者,对一些互联网基础设施的攻击也严重扰乱了社会管理秩序。
由于信息产业在各国的经济构成比重越来越大,信息安全问题造成的经济损失就不可估量,有许多犯罪分子瞄 上了黑客攻击行为带来的巨大经济利益。
信息安全涉及的领域
政治 军事 社会 经济 个人
随着因特网(Internet)的普及,因特网已经成为了一个新的思想文化斗争和思想政治斗争的阵地。因此, 信息安全问题首先必须从政治的高度来认识它,在互联网上保证健康安全的政治信息的发布和监管。
只是由于Linux操作系统目前普通用户用得比较少,从而黑客攻击的兴趣和目标没那么大而已。
从系统上说,信息安全主要包括以下几个方面的问题
➢ (1)信息设备安全 即保障存储、传输、处理信息的设备的安全,如服务器、个人计算机、PDA、手机等。
域名解析服务器遭到攻击,造成中国多个省区的网络大瘫痪。
前中情局(CIA)职员爱德华·斯诺登将两份绝密资料交给英国《卫报》和 美国《华盛顿邮报》,并告之媒体何时发表严重的信息安全问题基本上都是由以下几个方面的问题引起的:
➢ 个人计算机的安全结构过于简单 ➢ 个人计算机又变成了公用计算机 ➢ 计算机通信网络把计算机连接到了因特网(Internet) ➢ 操作系统存在缺陷
首先,网络上的虚假信息极容易传播和造成社会动荡。其次,互联网上的赌博、黄色等信息泛滥严重败坏了社 会风气,造成了大量的社会问题。再者,对一些互联网基础设施的攻击也严重扰乱了社会管理秩序。
由于信息产业在各国的经济构成比重越来越大,信息安全问题造成的经济损失就不可估量,有许多犯罪分子瞄 上了黑客攻击行为带来的巨大经济利益。
信息安全涉及的领域
政治 军事 社会 经济 个人
随着因特网(Internet)的普及,因特网已经成为了一个新的思想文化斗争和思想政治斗争的阵地。因此, 信息安全问题首先必须从政治的高度来认识它,在互联网上保证健康安全的政治信息的发布和监管。
第1章 信息安全概述
(2)要建立完善的安全管理体制和制度,要 有与系统相配套的有效的和健全的管理制度,起到 对管理人员和操作人员的鼓励和监督的作用。 如制定人员管理制度,加强人员审查;组织管 理上,免单独作业,操作与设计分离等。这些强 制执行的制度和法规限制了作案的可能性。
(3)管理要标准化、规范化、科学化。例如 对数据文件和系统软件等系统资源的保存要按保密 程度、重要性文件复制3~5份的备份,并分散存放, 分派不同的保管人员管理;系统重地要做到防火、 防窃;要特别严格控制各网络用户的操作活动;对 不同的用户、终端分级授权,禁止无关人员接触使 用终端设备。要制定预防措施和恢复补救办法,杜 绝人为差错和外来干扰。要保证运行过程有章可循, 按章办事。
(4)如何在实时(例如网络客户与网络服务 器间的数据流)和存储转发应用(例如电子邮件) 情况下保护通信秘密。
(5)如何确保信息在发送和接收间避免干扰。
(6)如何保护秘密文件,使得只有授权的用 户可以访问。
1.5 网络安全措施
过去人们往往把网络安全、信息安全局限于通 信保密,局限于对信息加密功能的要求,实际上, 网络信息安全牵涉到方方面面的问题,是一个复杂 的系统工程。一个完整的网络信息安全体系至少应 包括三类措施: 一是社会的法律政策、安全的规章制度以及安 全教育等外部软环境。在该方面政府有关部门、企 业的主要领导应当扮演重要的角色。
1.2 信息安全的目标
信息安全目标有机密性、完整性及可用性三方
面。
如果把信息系统比拟成一个保险柜,系统的内 容则如同放在保险柜中的物品,除了有钥匙或号码 的特定人士外,外人根本无法得知保险柜中内容为 何,这就是机密性; 保险柜内保存的物品因保险柜的坚固而可保持 完整,不致遭人破坏,这就是完整性; 一旦取得该物品因其完整未被破坏而可利用它, 这就是可用性。
第1章 信息安全概述
信息安全的基本属性 (续)
机密性(Confidentiality)
信息的机密性是指确保只有那些被授予特定权限的 人才能够访问到信息。信息的机密性依据信息被允 许访问对象的多少而不同,所有人员都可以访问的 信息为公开信息,需要限制访问的信息为敏感信息 或秘密信息,根据信息的重要程度和保密要求将信 息分为不同密级。例如,军队内部文件一般分为秘 密、机密和绝密3个等级,已授权用户根据所授予 的操作权限可以对保密信息进行操作。有的用户只 可以读取信息;有的用户既可以进行读操作又可以 进行写操作。信息的机密性主要通过加密技术来保 证。
1.1.1
信息安全的定义 (续)
国际标准化组织(ISO)定义的信息安全是“在 技术上和管理上为数据处理系统建立的安全保护, 保护计算机硬件、软件和数据不因偶然和恶意的 原因而遭到破坏、更改和泄露”。 欧盟将信息安全定义为:“在既定的密级条件下, 网络与信息系统抵御意外事件或恶意行为的能力。 这些事件和行为将危机所存储或传输的数据以及 经由这些网络和系统所提供的服务的可用性、真 实性、完整性和机密性。”
1.1.2
信息安全的基本属 性(续)
完整性(Integrity)
信息的完整性是指要保证信息和处理方法的 正确性和完整性。信息完整性一方面是指在 使用、传输、存储信息的过程中不发生篡改 信息、丢失信息、错误信息等现象;另一方 面是指信息处理的方法的正确性,执行不正 当的操作,有可能造成重要文件的丢失,甚 至整个系统的瘫痪。信息的完整性主要通过 报文摘要技术和加密技术来保证。
1.1.1
信息安全的定义 (续)
总之,信息安全是一个动态变化的概念,随 着信息技术的发展而赋予其新的内涵。一般 来说,信息安全是以保护信息财产、防止偶 然的或未授权者对信息的恶意泄露、修改和 破坏为目的,通过各种计算机、网络和密码 等技术,保证在各种系统和网络中存储、传 输和交换的信息的保密性、完整性、可用性、 不可否认性和可控性。
第1章信息安全基础v3
来保证信息的上述“五性”。
中国信息安全认证中心
培训合作方徽标与名称
1.1.3 可用性
• 可用性
– 要求包括信息、信息系统和系统服务都可以被授权 实体在适合的时间,要求的方式,及时、可靠的访 问,甚至是在信息系统部分受损或需要降级使用时 ,仍能为授权用户提供有效服务。
• 需要指出的是,可用性针对不同级别的用户提 供相应级别的服务。具体对于信息访问的级别 及形式,由信息系统依据系统安全策略,通过 访问控制机制执行
• PDR模型
– 由防护(Protection)、检测(Detection)、响应 (Response)三部分组成
中国信息安全认证中心
培训合作方徽标与名称
PPDR模型
• 基本思想
– 策略是这个模型的核心,意味着网络安全要达到的 目标,决定各种措施的强度
• 模型内容
– 安全策略(Policy) – 保护(Protection) – 检测(Detection) – 响应(Response)
及用于解释系统安全相关行为的理由
• 安全模型的作用
– 准确描述安全的重要方面与系统行为的关系 – 提高对成功实现关键安全需求的理解层次
中国信息安全认证中心
培训合作方徽标与名称
信息安全的模型
• 在信息安全的研究和应用中,采用的模型 主要有哪些?
– PDR(保护、检测和响应) – PPDR(安全策略、保护、检测和响应)、
第1章信息安全基础v3
2021年8月5日星期四
信息安全技术概述
• 1.1 WPDRRC与PDRR模型 • 1.2 信息安全保障对象 • 1.3 社会文明发展与信息通讯技术 • 1.4 信息安全发展过程
中国信息安全认证中心
中国信息安全认证中心
培训合作方徽标与名称
1.1.3 可用性
• 可用性
– 要求包括信息、信息系统和系统服务都可以被授权 实体在适合的时间,要求的方式,及时、可靠的访 问,甚至是在信息系统部分受损或需要降级使用时 ,仍能为授权用户提供有效服务。
• 需要指出的是,可用性针对不同级别的用户提 供相应级别的服务。具体对于信息访问的级别 及形式,由信息系统依据系统安全策略,通过 访问控制机制执行
• PDR模型
– 由防护(Protection)、检测(Detection)、响应 (Response)三部分组成
中国信息安全认证中心
培训合作方徽标与名称
PPDR模型
• 基本思想
– 策略是这个模型的核心,意味着网络安全要达到的 目标,决定各种措施的强度
• 模型内容
– 安全策略(Policy) – 保护(Protection) – 检测(Detection) – 响应(Response)
及用于解释系统安全相关行为的理由
• 安全模型的作用
– 准确描述安全的重要方面与系统行为的关系 – 提高对成功实现关键安全需求的理解层次
中国信息安全认证中心
培训合作方徽标与名称
信息安全的模型
• 在信息安全的研究和应用中,采用的模型 主要有哪些?
– PDR(保护、检测和响应) – PPDR(安全策略、保护、检测和响应)、
第1章信息安全基础v3
2021年8月5日星期四
信息安全技术概述
• 1.1 WPDRRC与PDRR模型 • 1.2 信息安全保障对象 • 1.3 社会文明发展与信息通讯技术 • 1.4 信息安全发展过程
中国信息安全认证中心
第一章-信息安全基础
的概率。 完整性:信息不被偶然或盱眙的删除、修改、伪造、乱序、
重放、插入等破坏操作。 保密性:指确保信息不暴露给未授权的实体和进程。 不可抵赖性:也称不可否认性,是面向通信双方信息真实
统一的安全要求,包括收、发方均不可抵赖。
其他安全属性
可控性:对信息及信息系统实施安全监控 可审查性:使用审计、监控、防抵赖等安
泄漏或丢失,包括:信息在传输中的丢失 或泄漏,在存储介质中的丢失或泄漏,通 过建立隐蔽隧道等窃取敏感信息。
信息破坏:以非法手段窃得对数据的使用 权,删除、修改、插入或重发某些重要信 息,以取得有益于攻击者的相应;恶意添 加,修改数据,以干扰用户的正常使用。
拒绝服务:使合法用户被排斥而不能进入 计算机网络系统或不能得到相应的服务。
7个安全级别:D、C1、C2、B1、B 2、B3、A1
其他安全标准
1991年,欧共体发布信息技术安全评价准则(ITSEC) 1993年,加拿大发布加拿大可信计算机产品评价准则
(CTCPEC) 同年,美国发布美国信息技术安全评价联邦标准(FC) ITSEC主要考虑安全的功能和安全的保障,TCSEC混合
PDRR安全模型
实时防御系统:入侵检测、应急响应、灾 难恢复、防守反击
常规评估:利用脆弱性数据库检测与分析 网络系统本身存在的安全隐患,为实时防 御系统提供策略调整依据
基础设施:由攻击特征库、隐患数据库以 及威胁评估数据库等基础数据库组成,支 撑实时防御系统和常规评估系统的工作
1.4 风险管理
PDRR安全模型
时间概念 Pt****系统为了保护安全目标设置各种保护后的防
护时间;或者理解为在这样的保护方式下,黑客 (入侵者)攻击安全目标所花费的时间。 Dt ****从入侵者开始发动入侵开始,系统能够检 测到入侵行为所花费的时间。 Rt ****从发现入侵行为开始,系统能够做出足够 的响应,将系统调整到正常状态的时间。P2DR模 型就可以用一些典型的数学公式来表达安全的要 求:
重放、插入等破坏操作。 保密性:指确保信息不暴露给未授权的实体和进程。 不可抵赖性:也称不可否认性,是面向通信双方信息真实
统一的安全要求,包括收、发方均不可抵赖。
其他安全属性
可控性:对信息及信息系统实施安全监控 可审查性:使用审计、监控、防抵赖等安
泄漏或丢失,包括:信息在传输中的丢失 或泄漏,在存储介质中的丢失或泄漏,通 过建立隐蔽隧道等窃取敏感信息。
信息破坏:以非法手段窃得对数据的使用 权,删除、修改、插入或重发某些重要信 息,以取得有益于攻击者的相应;恶意添 加,修改数据,以干扰用户的正常使用。
拒绝服务:使合法用户被排斥而不能进入 计算机网络系统或不能得到相应的服务。
7个安全级别:D、C1、C2、B1、B 2、B3、A1
其他安全标准
1991年,欧共体发布信息技术安全评价准则(ITSEC) 1993年,加拿大发布加拿大可信计算机产品评价准则
(CTCPEC) 同年,美国发布美国信息技术安全评价联邦标准(FC) ITSEC主要考虑安全的功能和安全的保障,TCSEC混合
PDRR安全模型
实时防御系统:入侵检测、应急响应、灾 难恢复、防守反击
常规评估:利用脆弱性数据库检测与分析 网络系统本身存在的安全隐患,为实时防 御系统提供策略调整依据
基础设施:由攻击特征库、隐患数据库以 及威胁评估数据库等基础数据库组成,支 撑实时防御系统和常规评估系统的工作
1.4 风险管理
PDRR安全模型
时间概念 Pt****系统为了保护安全目标设置各种保护后的防
护时间;或者理解为在这样的保护方式下,黑客 (入侵者)攻击安全目标所花费的时间。 Dt ****从入侵者开始发动入侵开始,系统能够检 测到入侵行为所花费的时间。 Rt ****从发现入侵行为开始,系统能够做出足够 的响应,将系统调整到正常状态的时间。P2DR模 型就可以用一些典型的数学公式来表达安全的要 求:
信息安全概论信息安全简介
信息安全概论 第一章 信息安全简介
目录
Contents Page
1. 信息安全地发展历史 2. 信息安全地概念与目地 3. 安全威胁与技术防护知识体系 4. 信息安全中地非技术因素
第一章 信息安全
简介
本章主要内容
回顾信息安全地发展历程; 介绍信息安全地基本概念; 说明信息安全是什么,所关注地问题以及面临地挑战是什么。
第一章
信息安全
简介
1.3.3 数据地安全威胁 数据是网络信息系统地核心。计算机系统及其网
络如果离开了数据, 就像失去了灵魂地躯壳, 是没有价 值地。
无论是上面提到地敌手对计算机系统地攻击还是 对网络系统地攻击, 其目地无非是针对上面承载地信 息而来地。
这些攻击对数据而言, 实际上有三个目地: 截获秘 密数据, 伪造数据或在上述攻击不能奏效地情况下, 破 坏数据地可用性。
第一章 信息安全
简介
1. 信息安全地发展历史
1.
通信保密科学地诞生
文献记载地最早有实用价值地通信保密技术是大 约公元前1世纪古罗马帝国时期地Caesar密码。
1568年L . B a t t i s t a 发 明 了 多 表代 替 密码 , 并在美国 南北战争期间由联军使用,Vigenere密码与Beaufort密 码就是多表代替密码地典型例子。
安全目地通常被描述为"允许谁用何种方式使用 系统中地哪种资源""不允许谁用何种方式使用系统中 地哪种资源"或事务实现中"各参与者地行为规则是什 么"等。
第一章
信息安全
简介
安全目地可以分成数据安全,事务安全,系统安全(包括网络 系统与计算机系统安全)三类。数据安全主要涉及数据地机密性 与完整性;事务安全主要涉及身份识别,抗抵赖等多方计算安全;系 统安全主要涉及身份识别,访问控制及可用性。
目录
Contents Page
1. 信息安全地发展历史 2. 信息安全地概念与目地 3. 安全威胁与技术防护知识体系 4. 信息安全中地非技术因素
第一章 信息安全
简介
本章主要内容
回顾信息安全地发展历程; 介绍信息安全地基本概念; 说明信息安全是什么,所关注地问题以及面临地挑战是什么。
第一章
信息安全
简介
1.3.3 数据地安全威胁 数据是网络信息系统地核心。计算机系统及其网
络如果离开了数据, 就像失去了灵魂地躯壳, 是没有价 值地。
无论是上面提到地敌手对计算机系统地攻击还是 对网络系统地攻击, 其目地无非是针对上面承载地信 息而来地。
这些攻击对数据而言, 实际上有三个目地: 截获秘 密数据, 伪造数据或在上述攻击不能奏效地情况下, 破 坏数据地可用性。
第一章 信息安全
简介
1. 信息安全地发展历史
1.
通信保密科学地诞生
文献记载地最早有实用价值地通信保密技术是大 约公元前1世纪古罗马帝国时期地Caesar密码。
1568年L . B a t t i s t a 发 明 了 多 表代 替 密码 , 并在美国 南北战争期间由联军使用,Vigenere密码与Beaufort密 码就是多表代替密码地典型例子。
安全目地通常被描述为"允许谁用何种方式使用 系统中地哪种资源""不允许谁用何种方式使用系统中 地哪种资源"或事务实现中"各参与者地行为规则是什 么"等。
第一章
信息安全
简介
安全目地可以分成数据安全,事务安全,系统安全(包括网络 系统与计算机系统安全)三类。数据安全主要涉及数据地机密性 与完整性;事务安全主要涉及身份识别,抗抵赖等多方计算安全;系 统安全主要涉及身份识别,访问控制及可用性。
(完整版)第1章网络信息安全概述
▪ 对于信息安全(国外),有人认为,信息安全 是使信息避免一系列威胁,保障商务的连 续性,最大限度的减少商务的损失,最大 限度的获取投资和商务的回报,涉及的是 机密性、完整性和可用性。
2020/8/18
6
▪ 我们认为信息安全是指防止信息资源被故 意的或偶然的非授权泄露、更改和破坏、 或者信息被非法系统辨认、控制和否认。 即确保信息的完整性、秘密性、可用性、 可控性和不可否认性。
第一章 网络信息安全概述
一、信息安全基本概念 二、网络信息安全及其体系结构 三、网络信息安全威胁 四、网络信息的基本要素 五、网络信息技术 六、网络信息的工作目的 七、网络信息模型及其主要评价准则
2020/8/18
1
➢本章主要介绍了信息安全、网络信息 安全的概念,内容涉及网络信息安全 威胁、安全的要素以及安全技术、安 全工作目的等。
安全不是技术,而是一个过程。
对于信息安全(国内),中国工程院权威
人士认为:可以把信息安全保密内容
分为实体安全、运行安全、数据安全
2020/8/18和管理安全等四个方面。
5
▪ 许多教科书上认为计算机安全包括:实体安 全、运行安全、数据安全和软件安全.
▪ 而国家信息安全等级保护条例中心认为,计 算机信息人机系统安全和目标是着为实体 安全、运行安全、信息安全和人员安全维 护。
▪ 实体安全(物理安全)就是保护计算机设 备、设施(含网络)以及其它媒体免遭地 震、水灾和火灾和其它环境事故破坏的措 施和过程。
▪ 运行安全:就是为保障系统功能和安全实 现,提供一套安全措施(如风险分析)来 保护来保护信息处理过程的安全。
2020/8/18
7
▪ 数据安全和内容安全(见书本)
信息安全分层结构与信息安全和属性之间的关系
2020/8/18
6
▪ 我们认为信息安全是指防止信息资源被故 意的或偶然的非授权泄露、更改和破坏、 或者信息被非法系统辨认、控制和否认。 即确保信息的完整性、秘密性、可用性、 可控性和不可否认性。
第一章 网络信息安全概述
一、信息安全基本概念 二、网络信息安全及其体系结构 三、网络信息安全威胁 四、网络信息的基本要素 五、网络信息技术 六、网络信息的工作目的 七、网络信息模型及其主要评价准则
2020/8/18
1
➢本章主要介绍了信息安全、网络信息 安全的概念,内容涉及网络信息安全 威胁、安全的要素以及安全技术、安 全工作目的等。
安全不是技术,而是一个过程。
对于信息安全(国内),中国工程院权威
人士认为:可以把信息安全保密内容
分为实体安全、运行安全、数据安全
2020/8/18和管理安全等四个方面。
5
▪ 许多教科书上认为计算机安全包括:实体安 全、运行安全、数据安全和软件安全.
▪ 而国家信息安全等级保护条例中心认为,计 算机信息人机系统安全和目标是着为实体 安全、运行安全、信息安全和人员安全维 护。
▪ 实体安全(物理安全)就是保护计算机设 备、设施(含网络)以及其它媒体免遭地 震、水灾和火灾和其它环境事故破坏的措 施和过程。
▪ 运行安全:就是为保障系统功能和安全实 现,提供一套安全措施(如风险分析)来 保护来保护信息处理过程的安全。
2020/8/18
7
▪ 数据安全和内容安全(见书本)
信息安全分层结构与信息安全和属性之间的关系
《信息安全管理》课件
《信息安全管理》
第一章 信息安全概述
第一节 信息与信息安全
一、信息与信息资产
(一)信息的定义
广义:事物的运动状态以及运动状态形式的变化,
是一种客观存在。(客观存在并不是区分真 假信息的依据)
狭义:能被主体感觉到并被理解的东西(客观存 在)。
本书的定义:通过在数据上施加某些约定而赋予 这些数据的特殊含义。
需的时间。
《信息安全管理》
安全公式 (1)Pt>Dt+Rt, 系统安全 保护时间大于 检测时间和响应时间之和;
(2)Pt<Dt+Rt, 系统不安全 信息系统的 安全控制措施在检测和响应前就会失效,破 坏和后果已经发生。
《信息安全管理》
2.PPDRR模型:保护、检测、响应、恢复四环 节在策略 的指导下 构成相互 作用的 有机体。
《信息安全管理》
(三)信息安全三属性的含义(Pass) 保密性 完整性 可用性
《信息安全管理》
(四)信息安全模型
1.PDR模型 Pt(protection)有效保护时间,信息系统的安全措施
能够有效发挥保护作用的时间; Dt(detection)检测时间,安全监测机制能够有效发
现攻击、破坏行为所需的时间; Rt(reaction)响应时间,安全机制作出反应和处理所
保密性 完整性 可用性(线、空间) 安全保障阶段 关注点有空间拓展到时间:策略、
保护、 检测、 响应、恢复(系统)
《信息安全管理》
(二)信息安全的定义
为数据处理系统建立和采用的技术和管理的安全 保护,保护计算机硬件、软件和数据不因偶然和恶意 的原因遭到破坏、更改和泄漏 信息安全的三个主要问题: 1.保护对象 主要是硬件、软件、数据 2.安全目标 保密性、完整性、可用性 3.实现途径 技术和管理
第一章 信息安全概述
第一节 信息与信息安全
一、信息与信息资产
(一)信息的定义
广义:事物的运动状态以及运动状态形式的变化,
是一种客观存在。(客观存在并不是区分真 假信息的依据)
狭义:能被主体感觉到并被理解的东西(客观存 在)。
本书的定义:通过在数据上施加某些约定而赋予 这些数据的特殊含义。
需的时间。
《信息安全管理》
安全公式 (1)Pt>Dt+Rt, 系统安全 保护时间大于 检测时间和响应时间之和;
(2)Pt<Dt+Rt, 系统不安全 信息系统的 安全控制措施在检测和响应前就会失效,破 坏和后果已经发生。
《信息安全管理》
2.PPDRR模型:保护、检测、响应、恢复四环 节在策略 的指导下 构成相互 作用的 有机体。
《信息安全管理》
(三)信息安全三属性的含义(Pass) 保密性 完整性 可用性
《信息安全管理》
(四)信息安全模型
1.PDR模型 Pt(protection)有效保护时间,信息系统的安全措施
能够有效发挥保护作用的时间; Dt(detection)检测时间,安全监测机制能够有效发
现攻击、破坏行为所需的时间; Rt(reaction)响应时间,安全机制作出反应和处理所
保密性 完整性 可用性(线、空间) 安全保障阶段 关注点有空间拓展到时间:策略、
保护、 检测、 响应、恢复(系统)
《信息安全管理》
(二)信息安全的定义
为数据处理系统建立和采用的技术和管理的安全 保护,保护计算机硬件、软件和数据不因偶然和恶意 的原因遭到破坏、更改和泄漏 信息安全的三个主要问题: 1.保护对象 主要是硬件、软件、数据 2.安全目标 保密性、完整性、可用性 3.实现途径 技术和管理
信息安全与概述
机密性是指确保未授权的用户不能够获取信 息的内容,即用户A发出的信息只有用户B能 够收到,假设网络黑客C截获了该信息也无法 理解信息的内容,从而不能随意使用该信息。 一旦网络黑客C了解了该信息的确切含义,则 说明网络黑客C破坏了该信息的机密性。
完整性也就是确保信息的真实性,即信息在生成、
传输、存储和使用过程中不应被未授权用户篡 改。如果网络黑客C截获了用户A发出的信息, 并且篡改了信息的内容,则说明网络黑客C破 坏了信息的真实性。
表1-1 OSI安全体系结构定义的主要安全服务情况
安全服务 对等实体认证 数据起源认证 访问控制 连接机密性
无连接机密性 选择字段机密性 连接完整性 无连接完整性 选择字段连接完 整性 选择字段无连接 完整性 数据源非否认
传递过程非否认
实现机制 认证、签名、加密 签名、加密 认证授权与访问控制 路由控制、加密
第1节信息安全基本概念及需求
信息安全的含义 影响信息的正常存储、传输和使用,以及不良 信息的散布问题属于信息安全问题。
信息安全问题分为三个层次: (1)信息自身安全性; (2)信息系统安全性; (3)某些信息的传播对社会造成的不良影响
信息安全的需求
商业组织必须首先明确自身的安全需求。信息系 统设计者通过需求分析来明确组织的安全需求。 一般来说,商业组织的信息安全需求来自于以 下三个方面:
但是光找到平衡点是不够的,实际上这三个特征既相互 独立,也相互重叠,如图1-1所示,甚至彼此不相容, 例如机密性的保护会严重地限制可用性。
不同的信息系统承担着不同类型的业务,因此除 了上面的三个基本特性以外,可能会有更加详 细的具体需求,由以下四个特性来保证:
1.可靠性(reliability) 2.不可抵赖性(non-repudiation) 3.可控性 4.可审查性
第1章信息安全
尽管目前学术界对信息安全威胁的分类没有统一的 认识,但是,总体上可以分为人为因素和非人为因素两 大类。
第一章 信息安全概述
1. 人为因素 人为因素的威胁分为无意识的威胁和有意识的威胁 两种。无意识的威胁是指因管理的疏忽或使用者的操作 失误而造成的信息泄露或破坏。有意识的威胁是指行为 人主观上恶意 攻击信息系统或获取他人秘密资料,客观上造成信息系 统出现故障或运行速度减慢,甚至系统瘫痪的后果。有 意识的威胁又分为内部攻击和外部攻击。外部攻击又可 分为主动攻击 和被动攻击。
第一章 信息安全概述
6. 信息安全与技术 目前,出现的许多信息安全问题,从某种程度上讲, 可以说是由技术上的原因造成的,因此,对付攻击也最 好采用技术手段。如: 加密技术用来防止公共信道上的 信息被窃 取; 完整性技术用来防止对传输或存储的信息进行篡改、 伪造、删除或插入的攻击; 认证技术用来防止攻击者假 冒通信方发送假信息; 数字签名技术用于防否认和抗抵 赖。
第一章 信息安全概述
1.1.3 信息安全的困惑
不论采取何种安全措施,一个计算机系统很难保证 不会受到计算机病毒、黑客的攻击。
人们不禁要问,什么样的计算机系统才算是安全的 系统?
1. 严格意义下的安全性 无危为安,无损为全。安全就是指人和事物没有危 险,不受威胁,完好无损。对人而言,安全就是使人的 身心健康免受外界因素干扰和威胁的一种状态,也可看 做是人和环境的一种协调平衡状态。一旦打破这种平衡, 安全就不存在了。据此原则,现实生活中,安全实际上 是一个不可能达到的目标,计算机网络也不例外。事实 上,即使采取必要的网络 保护措施,信息系统也会出现故障和威胁,从这个角度 讲,计算机网络的绝对安全是不可能实现的。
第一章 信息安全概述
2. 适当的安全性 适当的安全性,是计算机网络世界理性的选择,也 是网络环境现存的状态。从经济利益的角度来讲,所谓 适当的安全,是指安全性的选择应建立在所保护的资源 和服务的收益 预期大于为之付出的代价的基础之上,或者说,我们采 取控制措施所降低的风险损失要大于付出的代价,如果 代价大于损失就没有必要了。因此,面对这个有缺陷的 网络,采取安 全防护措施是必要的,但应权衡得失,不能) 信息发送者对发送过的信息或完成的某种操作 是承认的,这就是用户对信息发送者提出的不可否认的 要求。
第一章 信息安全概述
1. 人为因素 人为因素的威胁分为无意识的威胁和有意识的威胁 两种。无意识的威胁是指因管理的疏忽或使用者的操作 失误而造成的信息泄露或破坏。有意识的威胁是指行为 人主观上恶意 攻击信息系统或获取他人秘密资料,客观上造成信息系 统出现故障或运行速度减慢,甚至系统瘫痪的后果。有 意识的威胁又分为内部攻击和外部攻击。外部攻击又可 分为主动攻击 和被动攻击。
第一章 信息安全概述
6. 信息安全与技术 目前,出现的许多信息安全问题,从某种程度上讲, 可以说是由技术上的原因造成的,因此,对付攻击也最 好采用技术手段。如: 加密技术用来防止公共信道上的 信息被窃 取; 完整性技术用来防止对传输或存储的信息进行篡改、 伪造、删除或插入的攻击; 认证技术用来防止攻击者假 冒通信方发送假信息; 数字签名技术用于防否认和抗抵 赖。
第一章 信息安全概述
1.1.3 信息安全的困惑
不论采取何种安全措施,一个计算机系统很难保证 不会受到计算机病毒、黑客的攻击。
人们不禁要问,什么样的计算机系统才算是安全的 系统?
1. 严格意义下的安全性 无危为安,无损为全。安全就是指人和事物没有危 险,不受威胁,完好无损。对人而言,安全就是使人的 身心健康免受外界因素干扰和威胁的一种状态,也可看 做是人和环境的一种协调平衡状态。一旦打破这种平衡, 安全就不存在了。据此原则,现实生活中,安全实际上 是一个不可能达到的目标,计算机网络也不例外。事实 上,即使采取必要的网络 保护措施,信息系统也会出现故障和威胁,从这个角度 讲,计算机网络的绝对安全是不可能实现的。
第一章 信息安全概述
2. 适当的安全性 适当的安全性,是计算机网络世界理性的选择,也 是网络环境现存的状态。从经济利益的角度来讲,所谓 适当的安全,是指安全性的选择应建立在所保护的资源 和服务的收益 预期大于为之付出的代价的基础之上,或者说,我们采 取控制措施所降低的风险损失要大于付出的代价,如果 代价大于损失就没有必要了。因此,面对这个有缺陷的 网络,采取安 全防护措施是必要的,但应权衡得失,不能) 信息发送者对发送过的信息或完成的某种操作 是承认的,这就是用户对信息发送者提出的不可否认的 要求。
什么是信息安全
什么是信息安全信息安全是指对信息资源(包括信息系统、网络、数据库等)进行有效保护,防止未经授权的访问、使用、篡改、泄露和破坏,确保信息资产的机密性、完整性和可用性的一种综合安全保护措施。
随着互联网的迅猛发展和信息化的普及,信息安全问题也日益突出,对信息安全的需求也越来越大。
首先,信息安全包括网络安全和信息系统安全两个方面。
网络安全是指保护计算机网络不受非法访问、破坏、篡改和拒绝服务等攻击行为的安全措施。
现如今,互联网已经成为人们工作、学习和生活的重要组成部分,网络安全问题变得尤为重要。
信息系统安全则是指对信息系统进行保护,确保信息系统的安全运行和信息的安全存储与传输。
信息系统在政府、医疗、金融、军事等各个领域都有广泛应用,信息系统的安全性对于保障国家安全和社会稳定至关重要。
其次,信息安全的核心是保护信息资产的机密性、完整性和可用性。
机密性是指信息只能被授权用户访问和使用,不被未经授权的人所获得。
保持信息的机密性能够防止机密数据被泄露,从而避免对个人隐私和商业机密的侵犯。
完整性是指信息在传输和存储过程中没有被篡改和损坏,保持信息的完整性能够防止被篡改的信息给机构和个人带来负面影响。
可用性是指及时获取和使用信息的能力,确保信息在需要时能够得到可靠和高效的使用。
信息安全的威胁主要来自内部和外部两个方面。
内部威胁是指由企业内部员工、供应商或合作伙伴等人员带来的威胁,包括人为失误、不当使用权限、恶意行为等。
外部威胁则是指来自网络黑客、病毒、木马和恶意软件等非授权的攻击行为。
这些威胁都可能导致信息资产受到损害,给企业和个人造成重大损失和不可挽回的影响。
为了应对信息安全的挑战,人们需要采取一系列的措施来保护信息资产。
首先,加强安全意识教育和培训,提高员工的信息安全意识,增强他们对信息安全的认识和理解。
其次,建立健全的信息安全管理体系,制定和实施相关的安全政策、规范和控制措施,确保信息安全管理的有效性和连续性。
全套课件 信息安全基础--曹敏
3.2 对称加密算法
• 分组密码
• 分组密码是将明文消息编码表示后的数字(简称明文数字) 序列,划分成长度为n的组(可看成长度为n的矢量),每 组分别在密钥的控制下变换成等长的输出数字(简称密文 数字)序列。
• 扩散(diffusion)和扰乱(confusion)是影响密码安全的 主要因素。扩散的目的是让明文中的单个数字影响密文中 的多个数字,从而使明文的统计特征在密文中消失,相当 于明文的统计结构被扩散。
1.5 信息安全的评估标准
我国主要是等同采用国际标准。公安部主持制 定、国家质量技术监督局发布的中华人民共和 国国家标准GB17859-1999《计算机信息系统安 全保护等级划分准则》已正式颁布并实施。该 准则将信息系统安全分为5个等级:自主保护 级、系统审计保护级、安全标记保护级、结构 化保护级和访问验证保护级。主要的安全考核 指标有身份认证、自主访问控制、数据完整性、 审计等,这些指标涵盖了不同级别的安全要求。 GB18336也是等同采用ISO 15408标准。
据保密性服务、数据完整性服务和抗否认性服务。 • 八大类安全机制包括加密机制、数据签名机制、访问控制
机制、数据完整性机制、认证机制、业务流填充机制、路 由控制机制、公正机制。
1.4 信息安全的防御策略
• 信息安全存在的主要威胁 • 1.失泄密 • 2 .数据破坏 • 3.计算机病毒 • 4.网络入侵 • 5.后门
• 密码学的产生与发展
• 1949年之前的密码技术 • 1949~1975年期间的密码技术 • 1976年至今的数据加密技术 • 数据加密技术的发展趋势 : • 第一,继续完善非对称密钥加密算法; • 第二,综合使用对称密钥加密算法和非对称密钥加密算法,
利用它们自身的优点来弥补对方的缺点;
《信息安全》复习提纲
《信息安全》复习提纲第1章信息安全概述1、信息安全的发展阶段。
通信安全→ 信息安全→信息保障2、以下几个安全属性的含义:机密性、完整性、可用性、可控性、不可否认性保密性:保证机密信息不被窃听,或窃听者不能了解信息的真实含义。
完整性:保证数据的一致性,防止数据被非法用户篡改。
可用性:保证合法用户对信息和资源的使用不会被不正当地拒绝。
可控制性:对信息的传播及内容具有控制能力。
不可抵赖性:建立有效的责任机制,防止用户否认其行为,这一点在电子商务中是极其重要的。
真实性:对信息的来源进行判断,能对伪造来源的信息予以鉴别。
3、信息安全的三个最基本的目标。
答:信息安全包括了保密性、完整性和可用性三个基本属性:(1)保密性:确保星系在存储、使用、传输过程中不会泄露给非授权的用户或者实体。
(2)完整性:确保信息在存储、使用、传输过程中不被非授权用户篡改;防止授权用户对信息进行不恰当的篡改;保证信息的内外一致性。
(3)可用性:确保授权用户或者实体对于信息及资源的正确使用不会被异常拒绝,允许其可能而且及时地访问信息及资源4、信息安全保障体系包含的内容。
信息安全保障体系包括四个部分内容,即PDRR。
a)保护(Protect)b)检测(Detect)c)反应(React)d)恢复(Restore)第2章密码学基础1、一个完整的密码体制包含的五个要素。
M——可能明文的有限集,成为明文空间C——可能密文的有限集,称为密文空间K——一切可能密钥的有限集,称为密钥空间E——加密函数D——解密函数2、移位密码具体算法是将字母表的字母右移k个位置,并对字母表长度作模运算加密函数:E k(m) = (m + k) mod q;解密函数:D k (c) = ( c – k ) mod q;此算法要会应用计算。
3、分组密码的工作原理。
加密:将明文分成若干固定长度的组,用同一密钥、算法逐组加密,输出等长密文分组。
解密:将密文分成等长的组,采用同一密钥和算法逐组解密,输出明文。
信息安全基础
24
信息安全应用研究
安全技术 – 防火墙技术 – 漏洞扫描和分析 – 入侵检测 – 防病毒。
平台安全 – 物理安全 – 网络安全 – 系统安全 – 数据安全 – 用户安全 – 边界安全
25
信息安全管理
“三分技术,七分管理” “安全是一个过程,而不是一个产品” 70%攻击来自内部人员 信息安全系统是汇集了硬件、软件、网络和人的系
内容:安全服务、安全机制 机制:
(1)风险分析(Risk) (2)安全防护(Protect) (3)安全检测(Detect) (4)测试与评估(Test and Evaluate) (5)应急响应(React) (6)恢复(Restore)
29
OSI安全体系的安全服务
1. 认证服务(鉴别服务) – 通信的对等实体鉴别服务:使N+1层实体确信某 一时刻与之建立连接或进行数据传输的是它需要 的一个或多个N+1实体。 – 数据原发鉴别:使N+1层实体确信接收到的数据 单元的来源是自己要求的。
对网络攻击的两种理解: – 攻击发生在入侵行为完全完成且入侵者在目标 系统内 – 从入侵者开始在目标机上工作时刻起,攻击已 开始
攻击方式多种多样,环境越发广泛 – 可以是针对安全策略的违规行为 – 可以是针对授权特征的滥用行为 – 可以是针对正常行为特征的异常行为
网络攻击总有一定规律可寻
管理 人为因素
物理威胁 漏洞、病毒、木马 网络攻击 管理漏洞
4
按照来源的信息系统威胁
自然灾害威胁 滥用性威胁 有意人为威胁
5
按照作用对象的信息系统威胁
(1)针对信息的威胁 – 信息破坏:非法取得信息的使用权,删除、修 改、插入、恶意添加或重发某些数据,以影响 信息正常用户的正常使用。 – 信息泄密:故意或偶然地非法侦收、截获、分 析某些信息系统中的信息,造成系统数据泄密。 – 假冒或否认:假冒某一可信任方进行通信或者 对发送的数据事后予以否认。
信息安全应用研究
安全技术 – 防火墙技术 – 漏洞扫描和分析 – 入侵检测 – 防病毒。
平台安全 – 物理安全 – 网络安全 – 系统安全 – 数据安全 – 用户安全 – 边界安全
25
信息安全管理
“三分技术,七分管理” “安全是一个过程,而不是一个产品” 70%攻击来自内部人员 信息安全系统是汇集了硬件、软件、网络和人的系
内容:安全服务、安全机制 机制:
(1)风险分析(Risk) (2)安全防护(Protect) (3)安全检测(Detect) (4)测试与评估(Test and Evaluate) (5)应急响应(React) (6)恢复(Restore)
29
OSI安全体系的安全服务
1. 认证服务(鉴别服务) – 通信的对等实体鉴别服务:使N+1层实体确信某 一时刻与之建立连接或进行数据传输的是它需要 的一个或多个N+1实体。 – 数据原发鉴别:使N+1层实体确信接收到的数据 单元的来源是自己要求的。
对网络攻击的两种理解: – 攻击发生在入侵行为完全完成且入侵者在目标 系统内 – 从入侵者开始在目标机上工作时刻起,攻击已 开始
攻击方式多种多样,环境越发广泛 – 可以是针对安全策略的违规行为 – 可以是针对授权特征的滥用行为 – 可以是针对正常行为特征的异常行为
网络攻击总有一定规律可寻
管理 人为因素
物理威胁 漏洞、病毒、木马 网络攻击 管理漏洞
4
按照来源的信息系统威胁
自然灾害威胁 滥用性威胁 有意人为威胁
5
按照作用对象的信息系统威胁
(1)针对信息的威胁 – 信息破坏:非法取得信息的使用权,删除、修 改、插入、恶意添加或重发某些数据,以影响 信息正常用户的正常使用。 – 信息泄密:故意或偶然地非法侦收、截获、分 析某些信息系统中的信息,造成系统数据泄密。 – 假冒或否认:假冒某一可信任方进行通信或者 对发送的数据事后予以否认。
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
其次,绝大部分相关法律都篇幅偏小,行为规定极其简单。而且这些法律法规主要 内容集中在对物理环境的要求、行政管理的要求等方面,对于涉及信息安全的行为规范 一般规定得比较简单,在具体执行上指引性还不是很强;在处罚措施方面规定得也不够
具体,导致在信息安全领域实施处罚时法律依据的不足;
另外,在一些特定的信息化应用领域,如电子商务、电子政务、网上支付等,相应 的信息安全规范相对欠缺,有待于进一步发展。同时,与信息安全相关的其他法律有待
个人计算机又变成了公用计算机
随着集成电路技术的飞速发展和计算机功能的不断丰富和拓展,计算机逐渐从科学研究的 实验室步入了普通的家庭,从而产生了个人计算机。出于对成本的考虑以及对安全问题的严重 性缺乏足够的警惕,个人计算机中缺乏足够的安全机制,如存储器的隔离保护机制、程序安全 保护机制等。这样使得程序可以不经过认证就执行,程序可以被随意修改,数据区存储的数据 也可以随意被修改或者删除,病毒、蠕虫、木马等恶意程序为所欲为。
从技术上讲,信息安全包含以下的技术
信息加密技术是最基本、最核心也是最重要的信息安全技术。所谓信息加密技术,是指 双方约定一种方法对传输的信息进行变化,只有指定的接收者借助预先设定的关键信息才能 够将信息还原,从而保证了信息的机密性。信息加密技术包括对称加密技术和非对称加密技 术。在对称加密技术中,发送者和接收者双方共享一个相同的密钥。对称加密技术根据加密 数据的长度分为分组加密(如DES、AES、IDEA等)和流加密(如RC4、A5等)。而非对称 密码[4]中的密钥则是由两个不同部分组成的密钥对:一部分公开,称为公钥;一部分保密, 称为私钥。因此非对称加密算法又称为公钥密码算法(如RSA、ECC等)。
欧共体也制定了一系列的法律以保障信息安全,包括:产品责任、商标和广告规定、知 识产权保护、保护软件、数据和多媒体产品及在线版权、数据保护等,并规定当成员国内部 法律与这些法律抵触时,以这些法律为准。 英国政府于1996年9月23日颁布了第一个网络监管行业性法规《三R安全规则》,对信
息安全相关的法律问题做了严格规定。俄罗斯也于1995年颁布了《联邦信息、信息化和信息
信息安全涉及的领域
政治
随着因特网(Internet)的普及,因特网已经成为了一个新的思想文化斗争和思想政治斗争的阵地。因此, 信息安全问题首先必须从政治的高度来认识它,在互联网上保证健康安全的政治信息的发布和监管。 信息安全和战争军事是密不可分的,如何保密己方军事机密以及如何窃取到对方的军事机密是人类战争史上一 个永恒的话题。而在现代,各国都在军队里面设立了信息战部队,可以说现代战争就是信息战,也就是信息安全 的直接对抗。 首先,网络上的虚假信息极容易传播和造成社会动荡。其次,互联网上的赌博、黄色等信息泛滥严重败坏了社 会风气,造成了大量的社会问题。再者,对一些互联网基础设施的攻击也严重扰乱了社会管理秩序。 由于信息产业在各国的经济构成比重越来越大,信息安全问题造成的经济损失就不可估量,有许多犯罪分子瞄 上了黑客攻击行为带来的巨大经济利益。
1.4 信息安全与立法
由于信息安全的重要性和影响力,各国都从立法高度上来保证信息安全。
美国先后制定了《信息自由法》、《个人隐私法》、《伪造访问设备和计算机欺骗滥 法》、《电子通信隐私法》、《计算机安全法》、《数字签名法》等多部与信息安全密切相
关的法律,并将密钥长度超过128位的安全产品视为武器而禁止出口。
第一章
信息安全简介
目录
1.1 信息安全重要性 1.2 信息安全重大事件 1.3 信息安全的主要领域 1.4 信息安全与立法
1.1 信息安全重要性
信息安全指的是保证信息在传输、存储和变换过程中信息的机密性(Confidentiality)、 完整性(Integrity)、不可否认性(Non-Repudiation)以及可用性(Availability)等基本 安全属性,即保证信息系统在运行过程中不受偶然的或者恶意的原因而遭到破坏、更改、泄 露,系统连续可靠正常地运行,信息服务不中断。信息安全问题对于一个国家来说,是涉及 政治、军事、社会和经济各方面的综合问题。同时,信息安全问题对于个人来说,也是至关 重要的。
完善。这些都需要在以后的立法过程中不管完善和修正。
习 题 1
1.简述信息安全的含义。
2.目前互联网上各种严重的信息安全问题大致是由哪几个方面的问题引起的?
3.从系统上说,信息安全主要包括几个方面的问题? 4.数据安全的机密性、完整性、认证性、不可否认性分别指什么? 5.什么是行为安全?行为的秘密性、完整性、可控性分别指什么? 6.简述信息安全所包含的技术。 7.谈谈你对信息加密技术的认识。 8.网络控制技术主要包括哪几项技术? 9.防火墙可分为外部防火墙和内部防火墙,它们分别有什么作用?
来自俄罗斯的黑客范德米尔·列文(Vladimir Levin)是历史上第一个通过入侵银 行计算机系统来获利的黑客。他侵入美国花旗银行并盗走1000万美元。
1995年 1997年 2000年 2009年 2013年 6月
“武汉男孩”李俊编写的“熊猫烧香”病毒肆虐网络,中国境内有百万余 台计算机被感染。 仅15岁的“黑手党男孩”成功侵入包括eBay、亚马逊(Amazon)和雅虎 (Yahoo)在内的大型网站服务器,他成功地阻止了服务器向用户提供服务。
操作系统存在缺陷
操作系统是计算机的主要软件。但是由于操作系统太复杂庞大(如Windows操作系统有上千万 行的代码),这使得其往往难以保证全部安全,因此存在安全漏洞的可能性大大增加。这些安全漏 洞很容易被黑客利用,成为黑客攻击的标靶。由Windows操作系统引发的安全事件屡见不鲜,微软 公司不得不一次又一次地发布补丁来解决问题,然而这种补丁的方式只是“头痛医头、脚痛医脚”。 尽管目前关于Linux操作系统的安全漏洞事件很少发生,但这并不意味着Linux操作系统是安全的, 只是由于Linux操作系统目前普通用户用得比较少,从而黑客攻击的兴趣和目标没那么大而已。
域名解析服务器遭到攻击,造成中国多个省区的网络大瘫痪。
前中情局(CIA)职员爱德华·斯诺登将两份绝密资料交给英国《卫报》和 美国《华盛顿邮报》,并告之媒体何时发表。
1.3 信息安全的主要领域
目前互联网上各种严重的信息安全问题基本上都是由以下几个方面的问题引起的:
个人计算机的安全结构过于简单 个人计算机又变成了公用计算机 计算机通信网络把计算机连接到了因特网(Internet)
③ 访问控制技术。
访问控制技术确保只有拥有该权限的用户才能够对信息系统中的数据进行访问、修 改、删除、复制等操作。访问控制采用最小特权原则:即在给用户分配权限时,根据每 个用户的任务特点使其获得完成自身任务的最低权限,不给用户赋予其工作范围之外的 任何权力。 ④ 安全协议。 安全协议是网络安全的一个重要组成部分。它严格规定了一套交互式的操作来保证 通信各方的安全属性,如身份认证、密钥协商、不可否认等。目前广泛采用的安全协议 包括IPsec/IKE、SSL、SSH、PGP等。
信息加密技术
信息确认技术
信息确认技术通过严格限定信息的共享范围来达到防止信息被非法伪造、篡改和假冒的 目的。一个安全的信息确认方案应该具有以下特点:① 合法的接收者能够验证他收到的消息 是否真实;② 发信者无法抵赖自己发出的消息;③ 除合法发信者外,别人无法伪造消息; ④ 发生争执时可由第三方仲裁。按照其具体目的不同,信息确认系统可分为消息确认、身份 确认和数字签名。
保护法》,其中明确界定了信息资源开放和保密的范畴,提出了保护信息的法律责任。
我国历来重视信息安全的立法问题。目前我国现行法律法规及规章中,与信息安全直接相关 的是65部,它们涉及网络与信息系统安全、信息内容安全、信息安全系统与产品、保密及密码 管理、计算机病毒与危害性程序防治、金融等特定领域的信息安全、信息安全犯罪制裁等。 1994年 《中华人民共和国计算机信息系统安全保护条例》等法规; 《计算机信息网络国际联网安全保护管理办法》等部门规章; 《计算机信息系统保密管理暂行规定》等部门规章; 《上海市信息系统安全测评管理办法》等地方法规或规章;
操作系统存在缺陷
个人计算机的安全结构过于简单
随着集成电路技术的飞速发展和计算机功能的不断丰富和拓展,计算机逐渐从科学研究的 实验室步入了普通的家庭,从而产生了个人计算机。出于对成本的考虑以及对安全问题的严重 性缺乏足够的警惕,个人计算机中缺乏足够的安全机制,如存储器的隔离保护机制、程序安全 保护机制等。这样使得程序可以不经过认证就执行,程序可以被随意修改,数据区存储的数据 也可以随意被修改或者删除,病毒、蠕虫、木马等恶意程序为所欲为。
结论
在信息化的浪潮下,在信息社会里,信息安全问题是一个非常重要的问题,不但关系着
普通老百姓的生产、生活,更维系着国家的安定繁荣和中华民族的全球竞争力,必须引起我 们的高度重视。
1.2 信息安全重大事件
1990年 为了获得在洛杉矶地区Kiis-fm电台第102个呼入者的奖励——保时捷 944 s2跑车,凯文·保尔森控制了整个地区的电话系统,以确保他是第102个 呼入者。他现在是《有线新闻》(Wired News)的高级编辑。
① 防火墙技术。
它是一种允许接入外部网络,但同时又能够识别和抵抗非授权访问的网络安全技术。
网络控制技术
② 审计技术。 它忠实地记录下信息系统中发生的各种事件,为后续的分析问题、解决问题提供翔 实而可靠 的资料。审计技术如同飞机上的黑匣子,它为信息系统异常的原因提供查询、 定位,以及对网络攻击进行预测、报警,并为攻击发生后的实时处理提供详细可靠的依 据或支持。
军事
社会
经济
个人
现在人们经常碰到的电话诈骗案就是由于个人信息被泄露而使得犯罪分子有机可乘。犯罪分子可能通过在 ATM上的摄像头或者偷看甚至采用绑架逼问等暴力手段获取用户的银行卡密码,将用户账户上的钱财洗劫一空。 犯罪分子还可能通过病毒、木马、间谍软件等盗取用户的网上银行账户密码、QQ账户密码、淘宝账户密码、网游 账户密码等,给用户带来巨大的精神上和物质上的损失。