信息安全基础知识
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全基础知识
目录
一、信息安全基础知识 二、证券行业面临的安全威胁 三、公司安全防护体系 四、公司信息安全标准
8/9/2020
2
一、信息安全基础知识
• 信息安全发展史
• 信息安全的内涵
• 信息系统安全保障体系的基本内容
• 等级保护有关背景情况介绍
8/9/2020
3
信息安全发展史
初级阶段:通信保密阶段 – 上世纪八十年代前,人们认为信息安全就是通信保密, 采用的保障措施就是加密和基于计算机规则的访问控 制
➢ 信息安全保障体系是实施信息安全保障的法制、组织管理 和技术等层面有机结合的整体,是信息社会国家安全的基 本组成部分,是保证国家信息化顺利进行的基础。
8/9/2020
15
信息系统安全保障体系的基本 内容
8/9/2020
16
信息安全保障中的几个概念
信息技术系统: 作为信息系统一部分的执行组织机构信息功能的用于
➢重点需要保护信息,确保信息在产生、存储、处理、传输 过程中及信息系统不被破坏,确保合法用户的服务和限制非 授权用户的服务,以及必要的防御攻击的措施。 ➢强调信息的保密性、完整性、可用性 ➢主要安全威胁是人为破坏、网络入侵、病毒破坏、信息对 抗
➢主要保护措施包括防火墙、防病毒软件、漏洞扫描、入侵 检测、PKI、VPN等 ➢特点:涉及与信息系统相关的各类要素。
•对响应时间有一定要求,并且在局部故障下实现 持续运行
–分成 •系统通信可用性 •系统的可用性 •数据的可用性
8/9/2020
13
信息安全的内涵
随着信息技术、安全技术以及信息化应用的不断发展,信 息安全的定义在某些领域已有所拓展,在原来三性的基础 上,增加了:可控性和不可否认性
–可控性:对信息和信息系统实施安全监控管理,防止 为非法者所用。规模较大的信息系统已建成或着手建 设实现“大集中”安全管理方式的安全监管中心 –不可否认性:保证信息行为人不能否认自己的行为, 比较常见的应用是:使用数字签名实现交易操作的抗 抵赖(不可否认)
8/9/2020
8
现阶段——信息安全保障
提出了“信息安全保障”的概念和要求,是一种立体的保 障
8/9/2020
9
信息安全的内涵
信息安全经典模型(CIA模型)
保密性
C
Confidentiality
完整性
I
Integrity
可用性
A
Availability
8/9/2020
10
信息安全的内涵
保密性(C)
–主要安全威胁是搭线窃听、密码学分析 –主要保护措施是加密 重要标志:
•1949年shannon发表的《保密通信的信息原理》 •1977年美国国家标准局公布的数据加密标准(DES), 对称算法
•1976年由Diffie、Hellman提出公钥密码体制,非对称 算法
8/9/2020
5
中级阶段——计算机系统安全
70~80年代 –重点是确保计算机系统中硬件、软件及正在处理、存 储、传输信息的机密性、完整性和可控性 –主要安全威胁扩展到非法访问、恶意代码、弱口令等 –主要保护措施是安全操作系统涉及技术(TCB) 主要标志 1985年美国国防部公布的可信计算机系统评估准则 (TCSEC)
8/9/2020
6
TCSEC标准系列
ห้องสมุดไป่ตู้
8/9/2020
14
几个基本概念
➢ 信息安全指保护信息和信息系统不被未经授权的访问、使 用、泄露、中断、修改和破坏,为信息和信息系统提供保 密性、完整性、可用性、可控性和不可否认性。
➢ 信息安全保障是保证信息与信息系统的保密性、完整性、 可用性、可控性和不可否认性的信息安全保护和防御过程。 它要求加强对信息和信息系统的保护,加强对信息安全事 件和各种脆弱性的检测,提高应急反应能力和系统恢复能 力。
中级阶段:计算机系统安全阶段(静态信息防护) – 本世纪前,对主机安全的关注及网络攻击的防护是信 息安全的核心内容
现阶段:信息安全保障阶段 – 人们关心的是信息及信息系统的保障,如何建立完整 的保障体系,以便保障信息及信息系统的正常运行
8/9/2020
4
初级阶段——通信保密
40~70年代
–重点是通过密码技术解决通信保密,保证数据的保密性 与完整性
•保护信息及处理方法的准确性和完备性; •不因人为的因素改变原有的内容,保证不被非法 改动和销毁。 –分成 •系统完整性 •数据完整性
8/9/2020
12
信息安全的内涵
可用性(A)
–保证合法用户的正常请求能及时、正确、安全地得到 服务或回应,确保授权使用者需要时能够访问信息及相 关资产
•当授权用户要求时,即可使用信息和相关资产 •不因系统故障或误操作使资源丢失
采集、创建、通信、计算、分发、处理、存储和/或控制 数据或信息的计算机硬件、软件和/或固件的任何组合。 信息系统
–信息系统 用于采集、处理、存储、传输、分发和部 署信息的整个基础设施、组织结构、人员和组件的总 和。 信息系统是在信息技术系统的基础上,综合考虑了人员、 管理等系统综合运行环境的一个整体。
8/9/2020
17
信息安全保障的含义
信息安全保障的对象:
整个信息系统!
8/9/2020
18
信息系统安全保障模型
P2DR模型
➢ Pt代表防护时间;或者理解为入侵 者攻击安全目标所花费的时间。
➢ Dt代表从入侵者开始发动入侵开始, 系统能够检测到入侵行为所花费的 时间。
➢ Rt代表从发现入侵行为开始,系统 能够做出足够的响应。
–保证没有经过授权的用户、实体或进程无法窃取信息 –泄密的表现形式
•组织信息给未授权的人获取 •系统被未授权的人进入 •个人信息被不相关的人获知
8/9/2020
11
信息安全的内涵
完整性(I)
–保证没有经过授权的用户不能改变或者删除信息,从 而信息在传送的过程中不会被偶然或故意破坏,保持 信息的完整、统一
TCSEC系列标准 需要采取的各类硬件、软件本身具备一定的安全强度
需要由软硬件组成的系统具备一定的安全程度 为了评价对“信息的安全”的保护程度,需要对产品
的安全强度、系统的安全强度进行评估。 主要表现为: 产品安全强度分级:A1 B1 B2 B3 C1 C2 D1
8/9/2020
7
现阶段——信息安全保障
➢ 公式 :Pt > Dt + Rt 。
➢ 重点:防护时间大于检测时间加上 响应时间,那么系统是安全的。
目录
一、信息安全基础知识 二、证券行业面临的安全威胁 三、公司安全防护体系 四、公司信息安全标准
8/9/2020
2
一、信息安全基础知识
• 信息安全发展史
• 信息安全的内涵
• 信息系统安全保障体系的基本内容
• 等级保护有关背景情况介绍
8/9/2020
3
信息安全发展史
初级阶段:通信保密阶段 – 上世纪八十年代前,人们认为信息安全就是通信保密, 采用的保障措施就是加密和基于计算机规则的访问控 制
➢ 信息安全保障体系是实施信息安全保障的法制、组织管理 和技术等层面有机结合的整体,是信息社会国家安全的基 本组成部分,是保证国家信息化顺利进行的基础。
8/9/2020
15
信息系统安全保障体系的基本 内容
8/9/2020
16
信息安全保障中的几个概念
信息技术系统: 作为信息系统一部分的执行组织机构信息功能的用于
➢重点需要保护信息,确保信息在产生、存储、处理、传输 过程中及信息系统不被破坏,确保合法用户的服务和限制非 授权用户的服务,以及必要的防御攻击的措施。 ➢强调信息的保密性、完整性、可用性 ➢主要安全威胁是人为破坏、网络入侵、病毒破坏、信息对 抗
➢主要保护措施包括防火墙、防病毒软件、漏洞扫描、入侵 检测、PKI、VPN等 ➢特点:涉及与信息系统相关的各类要素。
•对响应时间有一定要求,并且在局部故障下实现 持续运行
–分成 •系统通信可用性 •系统的可用性 •数据的可用性
8/9/2020
13
信息安全的内涵
随着信息技术、安全技术以及信息化应用的不断发展,信 息安全的定义在某些领域已有所拓展,在原来三性的基础 上,增加了:可控性和不可否认性
–可控性:对信息和信息系统实施安全监控管理,防止 为非法者所用。规模较大的信息系统已建成或着手建 设实现“大集中”安全管理方式的安全监管中心 –不可否认性:保证信息行为人不能否认自己的行为, 比较常见的应用是:使用数字签名实现交易操作的抗 抵赖(不可否认)
8/9/2020
8
现阶段——信息安全保障
提出了“信息安全保障”的概念和要求,是一种立体的保 障
8/9/2020
9
信息安全的内涵
信息安全经典模型(CIA模型)
保密性
C
Confidentiality
完整性
I
Integrity
可用性
A
Availability
8/9/2020
10
信息安全的内涵
保密性(C)
–主要安全威胁是搭线窃听、密码学分析 –主要保护措施是加密 重要标志:
•1949年shannon发表的《保密通信的信息原理》 •1977年美国国家标准局公布的数据加密标准(DES), 对称算法
•1976年由Diffie、Hellman提出公钥密码体制,非对称 算法
8/9/2020
5
中级阶段——计算机系统安全
70~80年代 –重点是确保计算机系统中硬件、软件及正在处理、存 储、传输信息的机密性、完整性和可控性 –主要安全威胁扩展到非法访问、恶意代码、弱口令等 –主要保护措施是安全操作系统涉及技术(TCB) 主要标志 1985年美国国防部公布的可信计算机系统评估准则 (TCSEC)
8/9/2020
6
TCSEC标准系列
ห้องสมุดไป่ตู้
8/9/2020
14
几个基本概念
➢ 信息安全指保护信息和信息系统不被未经授权的访问、使 用、泄露、中断、修改和破坏,为信息和信息系统提供保 密性、完整性、可用性、可控性和不可否认性。
➢ 信息安全保障是保证信息与信息系统的保密性、完整性、 可用性、可控性和不可否认性的信息安全保护和防御过程。 它要求加强对信息和信息系统的保护,加强对信息安全事 件和各种脆弱性的检测,提高应急反应能力和系统恢复能 力。
中级阶段:计算机系统安全阶段(静态信息防护) – 本世纪前,对主机安全的关注及网络攻击的防护是信 息安全的核心内容
现阶段:信息安全保障阶段 – 人们关心的是信息及信息系统的保障,如何建立完整 的保障体系,以便保障信息及信息系统的正常运行
8/9/2020
4
初级阶段——通信保密
40~70年代
–重点是通过密码技术解决通信保密,保证数据的保密性 与完整性
•保护信息及处理方法的准确性和完备性; •不因人为的因素改变原有的内容,保证不被非法 改动和销毁。 –分成 •系统完整性 •数据完整性
8/9/2020
12
信息安全的内涵
可用性(A)
–保证合法用户的正常请求能及时、正确、安全地得到 服务或回应,确保授权使用者需要时能够访问信息及相 关资产
•当授权用户要求时,即可使用信息和相关资产 •不因系统故障或误操作使资源丢失
采集、创建、通信、计算、分发、处理、存储和/或控制 数据或信息的计算机硬件、软件和/或固件的任何组合。 信息系统
–信息系统 用于采集、处理、存储、传输、分发和部 署信息的整个基础设施、组织结构、人员和组件的总 和。 信息系统是在信息技术系统的基础上,综合考虑了人员、 管理等系统综合运行环境的一个整体。
8/9/2020
17
信息安全保障的含义
信息安全保障的对象:
整个信息系统!
8/9/2020
18
信息系统安全保障模型
P2DR模型
➢ Pt代表防护时间;或者理解为入侵 者攻击安全目标所花费的时间。
➢ Dt代表从入侵者开始发动入侵开始, 系统能够检测到入侵行为所花费的 时间。
➢ Rt代表从发现入侵行为开始,系统 能够做出足够的响应。
–保证没有经过授权的用户、实体或进程无法窃取信息 –泄密的表现形式
•组织信息给未授权的人获取 •系统被未授权的人进入 •个人信息被不相关的人获知
8/9/2020
11
信息安全的内涵
完整性(I)
–保证没有经过授权的用户不能改变或者删除信息,从 而信息在传送的过程中不会被偶然或故意破坏,保持 信息的完整、统一
TCSEC系列标准 需要采取的各类硬件、软件本身具备一定的安全强度
需要由软硬件组成的系统具备一定的安全程度 为了评价对“信息的安全”的保护程度,需要对产品
的安全强度、系统的安全强度进行评估。 主要表现为: 产品安全强度分级:A1 B1 B2 B3 C1 C2 D1
8/9/2020
7
现阶段——信息安全保障
➢ 公式 :Pt > Dt + Rt 。
➢ 重点:防护时间大于检测时间加上 响应时间,那么系统是安全的。