《信息安全概述》

信息平安概述第1章根本內(nèi)容在信息化社會(huì)中，信息已提升為制約社會(huì)開(kāi)展、推動(dòng)社會(huì)進(jìn)步的關(guān)鍵因素之一，人們對(duì)信息和信息技術(shù)的依賴程度越來(lái)越高，甚至有些行為方式也受信息技術(shù)的約束，自然人之間的交流也日趨機(jī)器化。本章從信息的概念開(kāi)展出發(fā)，介紹信息的作用、信息技術(shù)對(duì)人類生活的影響，描述信息面臨的風(fēng)險(xiǎn)與威脅，最后引出信息平安的目標(biāo)。1.1信息與信息技術(shù)1.1.1信息的概念信息論創(chuàng)始人香農(nóng)：“信息是用以消除不確定性的東西〞，推導(dǎo)出了信息測(cè)度的數(shù)學(xué)公式?？刂普摰膭?chuàng)始人維納：“信息是人們?cè)谶m應(yīng)外部世界，并使這種適應(yīng)反作用于外部世界的過(guò)程中，同外部世界進(jìn)行交換的內(nèi)容的名稱〞。中國(guó)學(xué)者鐘義信：“信息是事物運(yùn)動(dòng)的狀態(tài)與方式，是事物的一種屬性〞。1.1.2信息的性質(zhì)依附性：用“符號(hào)〞表示；依附于一定的物理介質(zhì)動(dòng)態(tài)性：信息只有及時(shí)、新穎才有價(jià)值可處理性：內(nèi)容可以識(shí)別，形式可以轉(zhuǎn)換或變換共享性：信息可無(wú)限擴(kuò)散可傳遞性：在時(shí)間和空間上都具有傳遞性異步性：以存儲(chǔ)方式來(lái)接收，在任何時(shí)間使用可交換性：可在兩個(gè)主體間實(shí)現(xiàn)信息的交換可偽性：信息是可以偽造的1.1信息與信息技術(shù)1.1.3信息的功能根本功能：在于維持和強(qiáng)化世界的有序性動(dòng)態(tài)性社會(huì)功能：表現(xiàn)為維系社會(huì)的生存、促進(jìn)人類文明的進(jìn)步和自身的開(kāi)展1.1信息與信息技術(shù)1.1.4信息技術(shù)感測(cè)與識(shí)別技術(shù)信息傳遞技術(shù)信息處理與再生技術(shù)信息施用技術(shù)1.1信息與信息技術(shù)1.1.5信息系統(tǒng)信息系統(tǒng)是指基于計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)通信技術(shù)的系統(tǒng)，是人、規(guī)程、數(shù)據(jù)庫(kù)、硬件和軟件等各種設(shè)備、工具的有機(jī)集合。在信息平安領(lǐng)域，重點(diǎn)關(guān)注的是與信息處理生命周期相關(guān)的各個(gè)環(huán)節(jié)，包括信息本身在整個(gè)生命周期中的存在形式、存儲(chǔ)處理相關(guān)的設(shè)備、傳遞交換所用的通信網(wǎng)絡(luò)、相應(yīng)的計(jì)算機(jī)軟件和協(xié)議等。1.1信息與信息技術(shù)1.2網(wǎng)絡(luò)體系結(jié)構(gòu)與協(xié)議根底1.2.1OSI模型OSI參考模型分為7層，分別是物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層和應(yīng)用層。1.2.2TCP/IP模型是Internet最根本的協(xié)議集，4層結(jié)構(gòu)。1.2網(wǎng)絡(luò)體系結(jié)構(gòu)與協(xié)議根底1.2.2TCP/IP模型的關(guān)鍵概念尋址：MAC地址、IP地址、端口。。。TCP與UDP的工作模式、數(shù)據(jù)包結(jié)構(gòu)TCP的三次握手方式應(yīng)用層協(xié)議1.3信息平安的重要性與嚴(yán)峻性1.3.1信息平安的重要性社會(huì)開(kāi)展三要素的物質(zhì)、能源和信息的關(guān)系發(fā)生了深刻的變化。信息要素已成為支配人類社會(huì)開(kāi)展進(jìn)程的決定性力量之一?；ヂ?lián)網(wǎng)已經(jīng)成為了一個(gè)繼電視、電臺(tái)、報(bào)刊之后的第四媒體。社會(huì)信息化提升了信息的地位社會(huì)對(duì)信息技術(shù)的依賴性增強(qiáng)虛擬的網(wǎng)絡(luò)財(cái)富日益增長(zhǎng)信息平安已經(jīng)成為社會(huì)的焦點(diǎn)問(wèn)題1.3信息平安的重要性與嚴(yán)峻性中國(guó)互聯(lián)網(wǎng)信息中心〔CNNIC〕統(tǒng)計(jì)，截至2021年底，中國(guó)網(wǎng)民數(shù)量已達(dá)4.5億，網(wǎng)民規(guī)模躍居世界第一位。1.3信息平安的重要性與嚴(yán)峻性1.3.2信息平安的嚴(yán)峻性系統(tǒng)的平安漏洞不斷增加黑客攻擊攪得全球不安〔BlackHat大會(huì)盛況空前〕計(jì)算機(jī)病毒肆虐網(wǎng)絡(luò)仿冒危害巨大“僵尸網(wǎng)絡(luò)〞〔BOTNET〕使得網(wǎng)絡(luò)攻擊規(guī)?；抉R和后門(mén)程序泄漏秘密以利益驅(qū)動(dòng)的網(wǎng)絡(luò)犯罪開(kāi)展迅猛信息戰(zhàn)陰影威脅數(shù)字化和平白領(lǐng)犯罪造成巨大商業(yè)損失1.3信息平安的重要性與嚴(yán)峻性Non-repudiationNon-repudiation1.3信息平安的重要性與嚴(yán)峻性1.3信息平安的重要性與嚴(yán)峻性1.3信息平安的重要性與嚴(yán)峻性ImpactodeBlaster〔沖擊波〕275,000臺(tái)/7小時(shí)1,000,000臺(tái)/48小時(shí)1.3信息平安的重要性與嚴(yán)峻性中美黑客大戰(zhàn)1.3信息平安的重要性與嚴(yán)峻性中美黑客大戰(zhàn)1.3信息平安的重要性與嚴(yán)峻性1.3信息平安的重要性與嚴(yán)峻性defacedWhitehousewebsite伊拉克戰(zhàn)爭(zhēng)1.3信息平安的重要性與嚴(yán)峻性1.3信息平安的重要性與嚴(yán)峻性1.3信息平安的重要性與嚴(yán)峻性1.3信息平安的重要性與嚴(yán)峻性1.3信息平安的重要性與嚴(yán)峻性莫里斯米特尼克沖擊波杰弗里·李·帕森李俊CIH陳盈豪Linux道士李納斯://tech.bossline/thread-5802-1-1.html1.3信息平安的重要性與嚴(yán)峻性網(wǎng)絡(luò)信息系統(tǒng)存在的平安漏洞和隱患層出不窮，利益驅(qū)使下的地下黑客產(chǎn)業(yè)繼續(xù)開(kāi)展，網(wǎng)絡(luò)攻擊的種類和數(shù)量成倍增長(zhǎng)，終端用戶和互聯(lián)網(wǎng)企業(yè)是主要的受害者，根底網(wǎng)絡(luò)和重要信息系統(tǒng)面臨著嚴(yán)峻的平安威脅。2007年各種網(wǎng)絡(luò)平安事件與2006年相比都有顯著增加。CNNIC的?報(bào)告?指出，2021年半年內(nèi)有1.95億網(wǎng)民上網(wǎng)時(shí)遇到過(guò)病毒和木馬的攻擊，1.1億網(wǎng)民遇到過(guò)賬號(hào)或密碼被盜的問(wèn)題。在地下黑色產(chǎn)業(yè)鏈的推動(dòng)下，網(wǎng)絡(luò)犯罪行為趨利性表現(xiàn)更加明顯，追求經(jīng)濟(jì)利益依然是主要目標(biāo)。黑客往往利用仿冒網(wǎng)站、偽造郵件、盜號(hào)木馬、后門(mén)病毒等，并結(jié)合社會(huì)工程學(xué)，竊取大量用戶數(shù)據(jù)牟取暴利，包括網(wǎng)游賬號(hào)、網(wǎng)銀賬號(hào)和密碼、網(wǎng)銀數(shù)字證書(shū)等。信息系統(tǒng)軟件的平安漏洞仍然是互聯(lián)網(wǎng)平安的關(guān)鍵問(wèn)題，平安漏洞問(wèn)題變得越來(lái)越復(fù)雜和嚴(yán)重。1.4信息平安的目標(biāo)1.4.1信息平安的概念

信息平安是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息效勞不中斷。信息平安是一門(mén)涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息平安技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。1.4信息平安的目標(biāo)1.4.2信息平安理念的開(kāi)展〔1〕信息保護(hù)階段：信息平安的根本目標(biāo)應(yīng)該是保護(hù)信息的機(jī)密性、完整性、可用性、可控性和不可抵賴性。機(jī)密性Confidentiality：指保證信息不被非授權(quán)訪問(wèn)，即使非授權(quán)用戶得到信息也無(wú)法知曉信息的內(nèi)容，因而不能使用。完整性Integrity：指維護(hù)信息的一致性，即在信息生成、傳輸、存儲(chǔ)和使用過(guò)程中不應(yīng)發(fā)生人為或非人為的非授權(quán)篡改?？捎眯訟vailability：指授權(quán)用戶在需要時(shí)能不受其他因素的影響，方便地使用所需信息。這一目標(biāo)是對(duì)信息系統(tǒng)的總體可靠性要求?？煽匦訡ontrollable：指信息在整個(gè)生命周期內(nèi)都可由合法擁有者加以平安的控制。不可抵賴性Non-repudiation：指保障用戶無(wú)法在事后否認(rèn)曾經(jīng)對(duì)信息進(jìn)行的生成、簽發(fā)、接收等行為。1.4信息平安的目標(biāo)〔2〕信息綜合保障階段--PDRR模型針對(duì)信息的生存周期，以“信息保障〞模型作為信息平安的目標(biāo)，即信息的保護(hù)技術(shù)、信息使用中的檢測(cè)技術(shù)、信息受影響或攻擊時(shí)的響應(yīng)技術(shù)和受損后的恢復(fù)技術(shù)為系統(tǒng)模型的主要組成元素，簡(jiǎn)稱PDRR模型。在設(shè)計(jì)信息系統(tǒng)的平安方案時(shí)，綜合使用多種技術(shù)和方法，以取得系統(tǒng)整體的平安性。1.4信息平安的目標(biāo)〔3〕信息平安整體解決方案PDRR從技術(shù)角度對(duì)信息生命周期進(jìn)行了完整的保護(hù)，但沒(méi)有考慮人的作用！在PDRR技術(shù)保障模型的前提下，綜合信息平安管理措施，實(shí)施立體化的信息平安防護(hù)。即整體解決方案＝PDRR模型+平安管理。1.4.3網(wǎng)絡(luò)平安與信息平安的關(guān)系很多時(shí)候，信息平安與網(wǎng)絡(luò)平安被混為一體，而不加以區(qū)分。實(shí)際上，這兩個(gè)概念還是有很大區(qū)別的。一種普遍被接受的觀點(diǎn)是：信息平安指信息在整個(gè)生命周期中需要保持機(jī)密性、完整性和可用性，即“CIA〞特性。也包括了保證信息在網(wǎng)絡(luò)環(huán)境中的平安性。網(wǎng)絡(luò)平安指的是通過(guò)各種技術(shù)或設(shè)備，保證網(wǎng)絡(luò)環(huán)境的持續(xù)、可靠、平安的運(yùn)行，為信息平安提供平臺(tái)的保證。網(wǎng)絡(luò)平安只是信息平安范疇中的一局部1.4信息平安的目標(biāo)本章小結(jié)本章從信息概念的開(kāi)展開(kāi)始，介紹信息、信息技術(shù)、信息系統(tǒng)與信息平安的關(guān)系，分析信息平安的重要性和形勢(shì)的嚴(yán)峻性，總結(jié)信息平安風(fēng)險(xiǎn)和威脅，最后結(jié)合需要，給出了信息平安的根底目標(biāo)，信息平安技術(shù)保障模型和信息平安綜合解決方案