演示文稿信息安全概述

演示文稿信息安全概述目前一頁\總數(shù)三十七頁\編于點(diǎn)信息安全概述目前二頁\總數(shù)三十七頁\編于點(diǎn)課程主要內(nèi)容信息安全的目標(biāo)信息安全的發(fā)展信息安全的研究內(nèi)容

3

目前三頁\總數(shù)三十七頁\編于點(diǎn)信息 信息就是消息，是關(guān)于客觀事實(shí)的可通訊的知識。信息可以被交流、存儲和使用。信息安全 國際標(biāo)準(zhǔn)化組織(ISO)的定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露”?！?信息安全的目標(biāo)

4

目前四頁\總數(shù)三十七頁\編于點(diǎn)（1）網(wǎng)絡(luò)安全的任務(wù)：保障各種網(wǎng)絡(luò)資源穩(wěn)定可靠的運(yùn)行，受控合法的使用。（2）信息安全的任務(wù)：

保證：機(jī)密性、完整性、不可否認(rèn)性、可用性（3）其他方面：病毒防治，預(yù)防內(nèi)部犯罪§1.1網(wǎng)絡(luò)與信息安全的主要任務(wù)

5

目前五頁\總數(shù)三十七頁\編于點(diǎn)(1)信息與網(wǎng)絡(luò)安全的防護(hù)能力較弱。(2)基礎(chǔ)信息產(chǎn)業(yè)相對薄弱，核心技術(shù)嚴(yán)重依賴國外。對引進(jìn)的信息技術(shù)和設(shè)備缺乏保護(hù)信息安全的有效管理和技術(shù)改造。(3)信息安全管理力度還要加強(qiáng),法律法規(guī)滯后現(xiàn)象急待解決。(4)信息犯罪在我國有快速發(fā)展的趨勢。(5)國內(nèi)具有知識產(chǎn)權(quán)的信息與網(wǎng)絡(luò)安全產(chǎn)品相對缺乏,且安全功能急待提高。(6)全社會的信息安全意識急待提高，加強(qiáng)專門安全人才的培養(yǎng)刻不容緩?！?.2我國信息安全的現(xiàn)狀

6

目前六頁\總數(shù)三十七頁\編于點(diǎn)§1.3信息安全威脅信息安全威脅：指某個人、物、事件或概念對信息資源的保密性、完整性、可用性或合法使用性等等所造成的威脅。攻擊就是對安全威脅的具體體現(xiàn)。雖然人為因素和非人為因素都可以對通信安全構(gòu)成威脅，但是精心設(shè)計(jì)的人為攻擊威脅最大。

7

目前七頁\總數(shù)三十七頁\編于點(diǎn)網(wǎng)絡(luò)安全攻擊的形式

8

目前八頁\總數(shù)三十七頁\編于點(diǎn)被動攻擊： 目的是竊聽、監(jiān)視、存儲數(shù)據(jù)，但是不修改數(shù)據(jù)。很難被檢測出來，通常采用預(yù)防手段來防止被動攻擊，如數(shù)據(jù)加密。主動攻擊：修改數(shù)據(jù)流或創(chuàng)建一些虛假數(shù)據(jù)流。常采用數(shù)據(jù)加密技術(shù)和適當(dāng)?shù)纳矸蓁b別技術(shù)。主動與被動攻擊

9

目前九頁\總數(shù)三十七頁\編于點(diǎn)網(wǎng)絡(luò)安全攻擊截獲以保密性作為攻擊目標(biāo)，表現(xiàn)為非授權(quán)用戶通過某種手段獲得對系統(tǒng)資源的訪問，如搭線竊聽、非法拷貝等中斷(阻斷）以可用性作為攻擊目標(biāo)，表現(xiàn)為毀壞系統(tǒng)資源，切斷通信線路等

10

目前十頁\總數(shù)三十七頁\編于點(diǎn)網(wǎng)絡(luò)安全攻擊篡改以完整性作為攻擊目標(biāo)，非授權(quán)用戶通過某種手段獲得系統(tǒng)資源后，還對文件進(jìn)行竄改，然后再把篡改過的文件發(fā)送給用戶。偽造以完整性作為攻擊目標(biāo)，非授權(quán)用戶將一些偽造的、虛假的數(shù)據(jù)插入到正常系統(tǒng)中

11

目前十一頁\總數(shù)三十七頁\編于點(diǎn)§1.4常見的安全威脅1．信息泄露：信息被泄露或透露給某個非授權(quán)的實(shí)體。2．破壞完整性：數(shù)據(jù)被非授權(quán)地進(jìn)行增刪、修改或破壞而受到損失。3．拒絕服務(wù)：對信息或其它資源的合法訪問被無條件地阻止。4．非法使用：某一資源被某個非授權(quán)的人，或以非授權(quán)的方式使用。5．竊聽：用各種可能的合法或非法的手段竊取系統(tǒng)中的信息資源和敏感信息。

12

目前十二頁\總數(shù)三十七頁\編于點(diǎn)6．業(yè)務(wù)流分析：通過對系統(tǒng)進(jìn)行長期監(jiān)聽來分析對通信頻度、信息流向等發(fā)現(xiàn)有價值的信息和規(guī)律。

7．假冒：通過欺騙通信系統(tǒng)（或用戶）達(dá)到非法用戶冒充成為合法用戶，或者特權(quán)小的用戶冒充成為特權(quán)大的用戶的目的。黑客大多是采用假冒攻擊。8．旁路控制：攻擊者利用系統(tǒng)的安全缺陷或安全性上的脆弱之處獲得非授權(quán)的權(quán)利或特權(quán)。9．授權(quán)侵犯：被授權(quán)以某一目的使用某一系統(tǒng)或資源的某個人，卻將此權(quán)限用于其它非授權(quán)的目的，也稱作“內(nèi)部攻擊”。§1.4常見的安全威脅

13

目前十三頁\總數(shù)三十七頁\編于點(diǎn)10．特洛伊木馬：軟件中含有一個察覺不出的或者無害的程序段，當(dāng)它被執(zhí)行時，會破壞用戶的安全。這種應(yīng)用程序稱為特洛伊木馬。11．陷阱門：在某個系統(tǒng)或某個部件中設(shè)置的“機(jī)關(guān)”，使得當(dāng)提供特定的輸入數(shù)據(jù)時，允許違反安全策略。12．抵賴：這是一種來自用戶的攻擊，比如：否認(rèn)自己曾經(jīng)發(fā)布過的某條消息、偽造一份對方來信等。13．重放：所截獲的某次合法的通信數(shù)據(jù)拷貝，出于非法的目的而被重新發(fā)送。14．計(jì)算機(jī)病毒：是一種在計(jì)算機(jī)系統(tǒng)運(yùn)行過程中能夠?qū)崿F(xiàn)傳染和侵害的功能程序?！?.4常見的安全威脅

14

目前十四頁\總數(shù)三十七頁\編于點(diǎn)15．人員不慎：一個授權(quán)的人為了錢或利益，或由于粗心，將信息泄露給一個非授權(quán)的人。16．媒體廢棄：信息被從廢棄的磁的或打印過的存儲介質(zhì)中獲得。17．物理侵入：侵入者通過繞過物理控制而獲得對系統(tǒng)的訪問；18．竊?。褐匾陌踩锲?，如令牌或身份卡被盜；19．業(yè)務(wù)欺騙：某一偽系統(tǒng)或系統(tǒng)部件欺騙合法的用戶或系統(tǒng)自愿地放棄敏感信息?！?.4常見的安全威脅

15

目前十五頁\總數(shù)三十七頁\編于點(diǎn)安全威脅的后果安全漏洞危害在增大信息對抗的威脅在增加電力交通醫(yī)療金融工業(yè)廣播控制通訊因特網(wǎng)

16

目前十六頁\總數(shù)三十七頁\編于點(diǎn)§1.5信息安全的目標(biāo)安全工作的目的就是為了在安全法律、法規(guī)、政策的支持與指導(dǎo)下，通過采用合適的安全技術(shù)與安全管理措施，完成：使用授權(quán)機(jī)制，實(shí)現(xiàn)對用戶的權(quán)限控制，即不該拿走的“拿不走”，同時結(jié)合內(nèi)容審計(jì)機(jī)制，實(shí)現(xiàn)對網(wǎng)絡(luò)資源及信息的可控性。使用訪問控制機(jī)制，阻止非授權(quán)用戶進(jìn)入網(wǎng)絡(luò)，即“進(jìn)不來”，從而保證網(wǎng)絡(luò)系統(tǒng)的可用性。使用加密機(jī)制，確保信息不暴漏給未授權(quán)的實(shí)體或進(jìn)程，即“看不懂”，從而實(shí)現(xiàn)信息的保密性。

17

目前十七頁\總數(shù)三十七頁\編于點(diǎn)使用數(shù)據(jù)完整性鑒別機(jī)制，保證只有得到允許的人才能修改數(shù)據(jù)，而其它人“改不了”，從而確保信息的完整性。使用審計(jì)、監(jiān)控、防抵賴等安全機(jī)制，使得攻擊者、破壞者、抵賴者“走不脫”，并進(jìn)一步對網(wǎng)絡(luò)出現(xiàn)的安全問題提供調(diào)查依據(jù)和手段，實(shí)現(xiàn)信息安全的可審查性。§1.5信息安全的目標(biāo)

18

目前十八頁\總數(shù)三十七頁\編于點(diǎn)（1）主動防御保護(hù)技術(shù)數(shù)據(jù)加密、身份鑒別、存取控制、權(quán)限設(shè)置、虛擬專用網(wǎng)(VPN)技術(shù)。（2）被動防御保護(hù)技術(shù)防火墻、入侵檢測系統(tǒng)、安全掃描器、口令驗(yàn)證、審計(jì)跟蹤、物理保護(hù)與安全管理§1.6信息安全保護(hù)技術(shù)

19

目前十九頁\總數(shù)三十七頁\編于點(diǎn)

信息安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的邊緣性綜合學(xué)科。§2信息安全的研究內(nèi)容一、信息安全理論研究二、信息安全應(yīng)用研究三、信息安全管理研究信息安全研究的內(nèi)容包括

20

目前二十頁\總數(shù)三十七頁\編于點(diǎn)信息安全研究內(nèi)容及相互關(guān)系

21

目前二十一頁\總數(shù)三十七頁\編于點(diǎn)1、密碼理論

加密：將信息從易于理解的明文加密為不易理解的密文

消息摘要：將不定長度的信息變換為固定長度的摘要

數(shù)字簽名：實(shí)際為加密和消息摘要的組合應(yīng)用

密鑰管理：研究密鑰的產(chǎn)生、發(fā)放、存儲、更換、銷毀§2.1信息安全理論研究

22

目前二十二頁\總數(shù)三十七頁\編于點(diǎn)2、安全理論

身份認(rèn)證：驗(yàn)證用戶身份是否與其所聲稱的身份一致

授權(quán)與訪問控制：將用戶的訪問行為控制在授權(quán)范圍內(nèi)

審計(jì)跟蹤：記錄、分析和審查用戶行為，追查用戶行蹤

安全協(xié)議：構(gòu)建安全平臺使用的與安全防護(hù)有關(guān)的協(xié)議§2.1信息安全理論研究

23

目前二十三頁\總數(shù)三十七頁\編于點(diǎn)1、安全技術(shù)

防火墻技術(shù)：控制兩個安全策略不同的域之間的互訪行為

漏洞掃描技術(shù)：對安全隱患的掃描檢查、修補(bǔ)加固

入侵檢測技術(shù)：提取和分析網(wǎng)絡(luò)信息流，發(fā)現(xiàn)非正常訪問

病毒防護(hù)技術(shù)：預(yù)防病毒入侵§2.2信息安全應(yīng)用研究

24

目前二十四頁\總數(shù)三十七頁\編于點(diǎn)2、平臺安全

物理安全：主要防止物理通路的損壞、竊聽、干擾等

網(wǎng)絡(luò)安全：保證網(wǎng)絡(luò)只給授權(quán)的客戶使用授權(quán)的服務(wù)，保證網(wǎng)絡(luò)路由正確，避免被攔截或監(jiān)聽

系統(tǒng)安全：保證客戶資料、操作系統(tǒng)訪問控制的安全，同時能對該操作系統(tǒng)上的應(yīng)用進(jìn)行審計(jì)

數(shù)據(jù)安全：對安全環(huán)境下的數(shù)據(jù)需要進(jìn)行加密

用戶安全：對用戶身份的安全性進(jìn)行識別

邊界安全：保障不同區(qū)域邊界連接的安全性§2.2信息安全應(yīng)用研究

25

目前二十五頁\總數(shù)三十七頁\編于點(diǎn)信息安全保障體系、信息安全應(yīng)急反應(yīng)技術(shù)、安全性能測試和評估、安全標(biāo)準(zhǔn)、法律、管理法規(guī)制定、安全人員培訓(xùn)提高等?！?.3信息安全管理研究1、安全策略研究2、安全標(biāo)準(zhǔn)研究3、安全測評研究三分技術(shù)，七分管理！

26

目前二十六頁\總數(shù)三十七頁\編于點(diǎn)

一、安全策略指在一個特定的環(huán)境里，為保證提供一定級別的安全保護(hù)所必須遵守的規(guī)則。該安全策略模型包括了建立安全環(huán)境的三個重要組成部分，即威嚴(yán)的法律、先進(jìn)的技術(shù)、嚴(yán)格的管理?！?.3信息安全管理研究

安全策略是建立安全系統(tǒng)的第一道防線

確保安全策略不與公司目標(biāo)和實(shí)際活動相抵觸

給予資源合理的保護(hù)

27

目前二十七頁\總數(shù)三十七頁\編于點(diǎn)以安全策略為核心的安全模型安全策略防護(hù)

檢測響應(yīng)ISS（InternetSecuritySystemsInC.)提出§2.3信息安全管理研究

28

目前二十八頁\總數(shù)三十七頁\編于點(diǎn)MP2DRR安全模型PMRRD安全模型MP2DRR訪問控制機(jī)制入侵檢測機(jī)制安全響應(yīng)機(jī)制備份與恢復(fù)機(jī)制管理P安全策略

29

目前二十九頁\總數(shù)三十七頁\編于點(diǎn)1、TCSEC（可信計(jì)算機(jī)系統(tǒng)評估標(biāo)準(zhǔn)）2、CC(通用準(zhǔn)則)3、ITSEC（歐洲安全評價標(biāo)準(zhǔn)）4、我國的標(biāo)準(zhǔn)§2.3信息安全管理研究二、安全標(biāo)準(zhǔn)研究

30

目前三十頁\總數(shù)三十七頁\編于點(diǎn)TCSEC美國TCSEC(桔皮書)可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則。1985年由美國國防部制定。TCSEC是歷史上第一個計(jì)算機(jī)安全評價標(biāo)準(zhǔn)。內(nèi)容分為4個方面:安全政策、可說明性、安全保障和文檔。安全等級劃分為D,C,B,A共4類7級，由低到高。

31

目前三十一頁\總數(shù)三十七頁\編于點(diǎn)TCSEC類別級別名稱主要特征DD低級保護(hù)沒有安全保護(hù)CC1自主安全保護(hù)自主存儲控制C2受控存儲控制單獨(dú)的可查性，安全標(biāo)識BB1標(biāo)識的安全保護(hù)強(qiáng)制存取控制，安全標(biāo)識B2結(jié)構(gòu)化保護(hù)面向安全的體系結(jié)構(gòu)較好的抗?jié)B透能力B3安全區(qū)域存取監(jiān)控、高抗?jié)B透能力AA驗(yàn)證設(shè)計(jì)形式化的最高級描述和驗(yàn)證

32

目前三十二頁\總數(shù)三十七頁\編于點(diǎn)CC通用評估準(zhǔn)則，簡稱CC，CC源于TCSEC，但完全改進(jìn)了TCSEC。CC定義了作為評估信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基礎(chǔ)準(zhǔn)則，提出了目前國際上公認(rèn)的表述信息技術(shù)安全性的結(jié)構(gòu)以及如何正確有效地實(shí)施這些功能的保證要求，是目前系統(tǒng)安全認(rèn)證方面最權(quán)威的標(biāo)準(zhǔn)。作為評估信息技術(shù)產(chǎn)品和系統(tǒng)安全性的世界性通用準(zhǔn)則，是信息技術(shù)安全性評估結(jié)果國際互認(rèn)的基礎(chǔ)。CC的先進(jìn)性體現(xiàn)在其結(jié)構(gòu)的開放性、表達(dá)方式的通用性以及結(jié)構(gòu)和表達(dá)方式的內(nèi)在完備性和實(shí)用性四個方面。

33

目前三十三頁\總數(shù)三十七頁\編于點(diǎn)CC

CC分為三個部分：1)“簡介和一般模型”，介紹了CC中的有關(guān)術(shù)語、基本概念和一般模型以及與評估有關(guān)的一些框架，附錄部分主要介紹“保護(hù)輪廓”和“安全目標(biāo)”的基本內(nèi)容；2)“安全功能要求”，按“類——子類——組件”的方式提出安全功能要求，每一個類除正文以外，還有對應(yīng)的提示性附錄作進(jìn)一步解釋；3)“安全保證要求”，定義了評估保證級別，介紹了“保護(hù)輪廓”和“安全目標(biāo)”的評估，并按“類——子類——組件”的方式提出安全保證要求。

34

目前三十四頁\總數(shù)三十七頁\編于點(diǎn)ITSEC

歐洲的安全評價標(biāo)準(zhǔn)（ITSEC）是