信息系统安全工程_信息安全_软件讲解
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
4、信息保障(IA—Information Assurance )
3.1 通信安全
重点是通过密码技术解决通信保密问题,保证数 据的保密性与完整性
主要安全威胁是搭线窃听、密码学分析 主要保护措施是密码学技术(加解密) 主要标志:
1949年Shannon发表的《保密通信的信息理论》; 1977年美国国家标准局公布的数据加密标准(DES); 1976年由Diffie与Hellman在“New Directions in
信息论的定义:是事物运动状态或存在方式的不确定 性的描述,它与物质、能量的概念处于同一层次。
信息的度量(信息量)?信息的单位?
参见“信息论”的相关书籍
安全(Security)
教材的定义:安全是避免危险、恐惧、忧虑的度量和 状态。
信息安全相关概念பைடு நூலகம்续)
信息的安全属性:
1、机密性(Confidentiality):指信息不被泄漏给非授 权的用户、实体或进程,或被其利用的特性。
件、网络协议的安全); 各种网络应用和服务的安全。
网络安全
教材的定义:在分布网络环境中,对信息载体(处理载 体、存储载体、传输载体)和信息的处理、传输、存储、 访问提供安全保护,以防止数据、信息内容或能力被非 授权使用、篡改或拒绝服务。
网络安全相关概念(续)
网络安全的层次结构
网络安全相关概念(续)
信息安全问题的来源
结论1:信息系统是人类(某种)事务或活动移至电脑 网络实现的结果。
结论2:信息处理系统必然反映出人类社会的光明面与 阴暗面。
阴暗面如:你死我活;尔虞我诈(假冒、欺骗);抢劫、偷盗 (偷看,非法复制)、赖帐;嬉皮士(无社会责任心—病毒玩 家)等。
此类对抗产生信息系统(狭义)安全问题。
网络安全模型
网络安全相关概念(续)
网络访问安全模型
3、信息安全的发展过程
1、通信安全(COMSEC)
40年代- 70年代:重点是通信保密问题
2、计算机安全(COMPUSEC)
70年代- 80年代:重点是计算机系统安全问题
3、网络(信息)安全(NetSEC/INFOSEC)
90年代以来:网络时代的信息安全问题
信息系统(广义)安全问题
包括(狭义)安全问题,以及由自然灾害(地震、水灾、雷击 与火灾)或人员非故意导致的安全问题。
信息安全相关概念(续)
信息安全本身不是最终目的
它是服务于信息化的一种手段,其针对的是信息这种 战略资源的安全,其目的在于为信息化保驾护航。
如果用 N 代表信息系统,1 代表信息安全,则:
《信息系统安全工程》之 信息安全概论
西南交通大学 信息科学与技术学院 李晓航
Last Modified: 2015.09
一、信息安全概述
1、信息安全相关概念 2、网络安全相关概念 3、信息安全的发展过程
1、信息安全相关概念
信息(Information)
教材的定义:从调查、研究和教育获得的知识,是情 报、新闻、事实、数据,是代表数据的信号或字符, 是代表物质的或精神的经验的消息、经验数据、图片。
《信息安全工程导论》定义:保护信息和信息系统不被 未经授权的访问、使用、泄漏、中断、修改和破坏,为 信息和信息系统提供保密性、完整性、可用性、可控性 和不可否认性。
McCumber cube
1991年,John McCumber在第十四届国家计算机安全会议 上,提出的一个有关信息安全的模型。
信息安全相关概念(续)
附:信息的可控性和不可否认性
可控性
由于社会中存在不法份子,世界各国之间还有由于意识形态和利 益冲突造成的敌对行为,政府对社会的监控管理行为(如搭线监 听犯罪份子的通信),在社会广泛使用信息安全设备和装置时可 能受到严重影响,以至于不能实施。这就出现了信息安全的可控 性要求。
从国家层面看,可控性不但涉及到了信息的可控、还与安全产品、 安全市场、安全研发人员的可控相关。
信息系统的主要类型:
数据处理系统(Data Processing System—DPS) 管理信息系统(Management Information System—MIS) 决策支持系统(Decision Sustainment System—DSS)、 专家系统(人工智能(AI)的一个子集) 虚拟办公室(Office Automation—OA) ……
信息安全相关概念(续)
信息安全(Information Security)
教材的定义:是防止对知识、事实、数据或能力非授权 使用、误用、篡改或拒绝使用所采取的措施(量度)。
NIST SP 800-37的定义:是对信息和信息系统进行保护, 防止未授权的访问、使用、泄露、中断、修改、破坏并 以此提供保密性、完整性和可用性。
2、完整性(Integrality):指信息是真实可信的,其发 布者不被冒充,来源不被伪造,内容不被篡改。
3、可用性(Availability):指信息可被授权实体访问 并按需求使用的特性。
4、可控性(Controllability):指能够控制使用信息资 源的人或实体的使用方式。
5、不可否认性(Non-repudiation):也称抗抵赖性, 它是传统社会的不可否认需求在信息社会中的延伸。
不可否认性
人类社会中各种商务行为均建立在“信任”的基础上,没有信任 就不可能有人类社会的存在。
传统的公章、印戳、手写签名等是实现不可否认的主要机制。
信息的不可否认与此相同,只不过这个时候实体位于信息空 间中。
信息安全相关概念(续)
信息系统(Information System)定义
百度百科:由计算机硬件、网络和通讯设备、计算机 软件、信息资源、信息用户和规章制度组成的以处理 信息流(信息的收集、传递、存贮、加工、维护和使 用)为目的的人机一体化系统。
N+1=N; N–1=0。
信息安全已经成为各主要强国的国家战略
没有信息安全,就没有真正意义上的政治安全、就没 有稳固的经济安全和军事安全,更没有完整意义上的 国家安全。
2、网络安全相关概念
计算机网络
计算机网络是地理上分散的多台自主计算机互联的集合。 为了保证网络安全,需要:
自主计算机的安全; 互联的安全(即用以实现互联的通信设备、通信链路、网络软
3.1 通信安全
重点是通过密码技术解决通信保密问题,保证数 据的保密性与完整性
主要安全威胁是搭线窃听、密码学分析 主要保护措施是密码学技术(加解密) 主要标志:
1949年Shannon发表的《保密通信的信息理论》; 1977年美国国家标准局公布的数据加密标准(DES); 1976年由Diffie与Hellman在“New Directions in
信息论的定义:是事物运动状态或存在方式的不确定 性的描述,它与物质、能量的概念处于同一层次。
信息的度量(信息量)?信息的单位?
参见“信息论”的相关书籍
安全(Security)
教材的定义:安全是避免危险、恐惧、忧虑的度量和 状态。
信息安全相关概念பைடு நூலகம்续)
信息的安全属性:
1、机密性(Confidentiality):指信息不被泄漏给非授 权的用户、实体或进程,或被其利用的特性。
件、网络协议的安全); 各种网络应用和服务的安全。
网络安全
教材的定义:在分布网络环境中,对信息载体(处理载 体、存储载体、传输载体)和信息的处理、传输、存储、 访问提供安全保护,以防止数据、信息内容或能力被非 授权使用、篡改或拒绝服务。
网络安全相关概念(续)
网络安全的层次结构
网络安全相关概念(续)
信息安全问题的来源
结论1:信息系统是人类(某种)事务或活动移至电脑 网络实现的结果。
结论2:信息处理系统必然反映出人类社会的光明面与 阴暗面。
阴暗面如:你死我活;尔虞我诈(假冒、欺骗);抢劫、偷盗 (偷看,非法复制)、赖帐;嬉皮士(无社会责任心—病毒玩 家)等。
此类对抗产生信息系统(狭义)安全问题。
网络安全模型
网络安全相关概念(续)
网络访问安全模型
3、信息安全的发展过程
1、通信安全(COMSEC)
40年代- 70年代:重点是通信保密问题
2、计算机安全(COMPUSEC)
70年代- 80年代:重点是计算机系统安全问题
3、网络(信息)安全(NetSEC/INFOSEC)
90年代以来:网络时代的信息安全问题
信息系统(广义)安全问题
包括(狭义)安全问题,以及由自然灾害(地震、水灾、雷击 与火灾)或人员非故意导致的安全问题。
信息安全相关概念(续)
信息安全本身不是最终目的
它是服务于信息化的一种手段,其针对的是信息这种 战略资源的安全,其目的在于为信息化保驾护航。
如果用 N 代表信息系统,1 代表信息安全,则:
《信息系统安全工程》之 信息安全概论
西南交通大学 信息科学与技术学院 李晓航
Last Modified: 2015.09
一、信息安全概述
1、信息安全相关概念 2、网络安全相关概念 3、信息安全的发展过程
1、信息安全相关概念
信息(Information)
教材的定义:从调查、研究和教育获得的知识,是情 报、新闻、事实、数据,是代表数据的信号或字符, 是代表物质的或精神的经验的消息、经验数据、图片。
《信息安全工程导论》定义:保护信息和信息系统不被 未经授权的访问、使用、泄漏、中断、修改和破坏,为 信息和信息系统提供保密性、完整性、可用性、可控性 和不可否认性。
McCumber cube
1991年,John McCumber在第十四届国家计算机安全会议 上,提出的一个有关信息安全的模型。
信息安全相关概念(续)
附:信息的可控性和不可否认性
可控性
由于社会中存在不法份子,世界各国之间还有由于意识形态和利 益冲突造成的敌对行为,政府对社会的监控管理行为(如搭线监 听犯罪份子的通信),在社会广泛使用信息安全设备和装置时可 能受到严重影响,以至于不能实施。这就出现了信息安全的可控 性要求。
从国家层面看,可控性不但涉及到了信息的可控、还与安全产品、 安全市场、安全研发人员的可控相关。
信息系统的主要类型:
数据处理系统(Data Processing System—DPS) 管理信息系统(Management Information System—MIS) 决策支持系统(Decision Sustainment System—DSS)、 专家系统(人工智能(AI)的一个子集) 虚拟办公室(Office Automation—OA) ……
信息安全相关概念(续)
信息安全(Information Security)
教材的定义:是防止对知识、事实、数据或能力非授权 使用、误用、篡改或拒绝使用所采取的措施(量度)。
NIST SP 800-37的定义:是对信息和信息系统进行保护, 防止未授权的访问、使用、泄露、中断、修改、破坏并 以此提供保密性、完整性和可用性。
2、完整性(Integrality):指信息是真实可信的,其发 布者不被冒充,来源不被伪造,内容不被篡改。
3、可用性(Availability):指信息可被授权实体访问 并按需求使用的特性。
4、可控性(Controllability):指能够控制使用信息资 源的人或实体的使用方式。
5、不可否认性(Non-repudiation):也称抗抵赖性, 它是传统社会的不可否认需求在信息社会中的延伸。
不可否认性
人类社会中各种商务行为均建立在“信任”的基础上,没有信任 就不可能有人类社会的存在。
传统的公章、印戳、手写签名等是实现不可否认的主要机制。
信息的不可否认与此相同,只不过这个时候实体位于信息空 间中。
信息安全相关概念(续)
信息系统(Information System)定义
百度百科:由计算机硬件、网络和通讯设备、计算机 软件、信息资源、信息用户和规章制度组成的以处理 信息流(信息的收集、传递、存贮、加工、维护和使 用)为目的的人机一体化系统。
N+1=N; N–1=0。
信息安全已经成为各主要强国的国家战略
没有信息安全,就没有真正意义上的政治安全、就没 有稳固的经济安全和军事安全,更没有完整意义上的 国家安全。
2、网络安全相关概念
计算机网络
计算机网络是地理上分散的多台自主计算机互联的集合。 为了保证网络安全,需要:
自主计算机的安全; 互联的安全(即用以实现互联的通信设备、通信链路、网络软