信息安全概述課件

1、信息安全基礎(chǔ)第一章 信息安全概述【學(xué)習(xí)目標(biāo)】了解信息安全學(xué)習(xí)領(lǐng)域的內(nèi)容、要求；掌握信息與信息安全的概念；了解信息安全面臨的威脅類型；了解信息安全的現(xiàn)狀和目標(biāo)；熟悉重要的信息安全模型的主要內(nèi)容，了解信息系統(tǒng)安全體系結(jié)構(gòu)；了解重要的信息安全評(píng)價(jià)標(biāo)準(zhǔn)。1.1信息與信息安全1.1.1什么是信息1 信息的定義信息是通過(guò)施加于數(shù)據(jù)上的某些約定而賦予這些數(shù)據(jù)的特定含義。信息本身是無(wú)形的，借助于信息媒體以多種形式存在或傳播，可以存儲(chǔ)在計(jì)算機(jī)、磁帶、紙張等介質(zhì)中，也可以記憶在人的大腦里，還可以通過(guò)網(wǎng)絡(luò)、打印機(jī)、傳真機(jī)等方式傳播。通常情況下，可以把信息理解為消息、信號(hào)、數(shù)據(jù)、情報(bào)、知識(shí)等。1.1信息與信息安全1.

2、1信息與信息安全2 信息的安全屬性（1）保密性（2）完整性（3）可用性（4）可控性（5）不可否認(rèn)性1.1信息與信息安全1.1.2什么是信息安全1 信息安全的定義信息安全從廣義上講，是指對(duì)信息的保密性、可用性和完整性的保持。由于當(dāng)今人類社會(huì)活動(dòng)更多的依賴于網(wǎng)絡(luò)，因此狹義的講，信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷。2 信息安全研究的基本內(nèi)容（1）研究領(lǐng)域（2）工程技術(shù)領(lǐng)域（3）評(píng)估與測(cè)評(píng)領(lǐng)域（4）網(wǎng)絡(luò)或信息安全管理領(lǐng)域（5）公共安全領(lǐng)域（6）軍事領(lǐng)域1.2信息安全面臨威脅類型1.2.1計(jì)算機(jī)

3、網(wǎng)絡(luò)所面臨的主要威脅計(jì)算機(jī)網(wǎng)絡(luò)所面臨的威脅主要有對(duì)網(wǎng)絡(luò)中信息的威脅和對(duì)網(wǎng)絡(luò)中設(shè)備的威脅兩種。影響計(jì)算機(jī)網(wǎng)絡(luò)的因素有很多，其所面臨的威脅也就來(lái)自多個(gè)方面，主要威脅包括人為的失誤、信息截取、內(nèi)部竊密和破壞、黑客攻擊、技術(shù)缺陷、病毒、自然災(zāi)害等。1.2信息安全面臨威脅類型人為的失誤信息截取內(nèi)部竊密和破壞黑客攻擊技術(shù)缺陷病毒自然災(zāi)害等不可抗力因素1.2信息安全面臨威脅類型竊聽(tīng)：攻擊者通過(guò)監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)獲得敏感信息；重傳：攻擊者先獲得部分或全部信息，而以后將此信息發(fā)送給接收者；偽造：攻擊者將偽造的信息發(fā)送給接收者；篡改：攻擊者對(duì)合法用戶之間的通信信息進(jìn)行修改、刪除、插入，再發(fā)送給接收者；1.2信息安全面臨

4、威脅類型拒絕服務(wù)攻擊：供給者通過(guò)某種方法使系統(tǒng)響應(yīng)減慢甚至癱瘓，阻礙合法用戶獲得服務(wù)；行為否認(rèn)：通信實(shí)體否認(rèn)已經(jīng)發(fā)生的行為；非授權(quán)訪問(wèn)：沒(méi)有預(yù)先經(jīng)過(guò)同意，就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源；傳播病毒：通過(guò)網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒，其破壞性非常高，而且用戶很難防范。1.2信息安全面臨威脅類型1.2.2從五個(gè)層次看信息安全威脅信息系統(tǒng)的安全威脅是永遠(yuǎn)存在的，下面從信息安全的五個(gè)層次，來(lái)介紹信息安全中的信息的安全威脅。物理層安全風(fēng)險(xiǎn)分析網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)分析操作系統(tǒng)層安全風(fēng)險(xiǎn)分析應(yīng)用層安全風(fēng)險(xiǎn)分析管理層安全風(fēng)險(xiǎn)分析1.3信息安全的現(xiàn)狀與目標(biāo)1.3.1信息安全的現(xiàn)狀1 近年我國(guó)信息安全現(xiàn)狀2 網(wǎng)絡(luò)信息安全的發(fā)展趨勢(shì)1.3信

5、息安全的現(xiàn)狀與目標(biāo)1.3.2 信息安全的目標(biāo)總而言之，所有的信息安全技術(shù)都是為了達(dá)到一定的安全目標(biāo)，即通過(guò)各種技術(shù)與管理手段實(shí)現(xiàn)網(wǎng)絡(luò)信息系統(tǒng)的可靠性、保密性、完整性、有效性、可控性和拒絕否認(rèn)性。1.4信息安全模型與信息系統(tǒng)安全體系結(jié)構(gòu)1.4.1 信息安全模型概述本節(jié)介紹比較流行的信息安全模型，它們是：OSI安全體系結(jié)構(gòu)、基于時(shí)間的PDR模型、IATF信息保障技術(shù)框架、WPDRRC信息安全模型。1 OSI安全體系結(jié)構(gòu)國(guó)際標(biāo)準(zhǔn)化組織（ISO）在對(duì)開(kāi)放系統(tǒng)互聯(lián)環(huán)境的安全性進(jìn)行了深入研究后，提出了OSI安全體系結(jié)構(gòu)（Open System Interconnection Reference Model

6、），即信息處理系統(tǒng)開(kāi)放系統(tǒng)互連基本參考模型第二部分：安全體系結(jié)構(gòu)（ISO7498-2:1989），該標(biāo)準(zhǔn)被我國(guó)等同采用，即GB/T9387.2-1995。該標(biāo)準(zhǔn)是基于OSI參考模型針對(duì)通信網(wǎng)絡(luò)提出的安全體系架構(gòu)模型。1 OSI安全體系結(jié)構(gòu)對(duì)付典型威脅所采用的安全服OSI協(xié)議層與相關(guān)的安全服務(wù)OSI安全服務(wù)與安全機(jī)制之間的關(guān)系2 基于時(shí)間的PDR模型隨著信息安全技術(shù)的發(fā)展，又提出了新的安全防護(hù)思想，具有代表性的是ISS公司提出的PDR安全模型，該模型認(rèn)為安全應(yīng)從防護(hù)（protection）、檢測(cè)（detection）、響應(yīng)（reaction）三個(gè)方面考慮形成安全防護(hù)體系。圖1-3 PDR模型3

7、IATF信息保障技術(shù)框架當(dāng)信息安全發(fā)展到信息保障階段之后，人們?cè)桨l(fā)認(rèn)為，構(gòu)建信息安全保障體系必須從安全的各個(gè)方面進(jìn)行綜合考慮，只有將技術(shù)、管理、策略、工程過(guò)程等方面緊密結(jié)合，安全保障體系才能真正成為指導(dǎo)安全方案設(shè)計(jì)和建設(shè)的有力依據(jù)。信息保障技術(shù)框架（Information Assurance Technical Framework，IATF）就是在這種背景下誕生的3 IATF信息保障技術(shù)框架（1）IATF深度防御戰(zhàn)略的三個(gè)層面IATF創(chuàng)造性的地方在于，它首次提出了信息保障依賴于人、技術(shù)和操作來(lái)共同實(shí)現(xiàn)組織職能/業(yè)務(wù)運(yùn)作的思想，對(duì)技術(shù)/信息基礎(chǔ)設(shè)施的管理也離不開(kāi)這三個(gè)要素。I圖1-4 IATF的

8、框架模型3 IATF信息保障技術(shù)框架（2）IATF深度防御技術(shù)方案了明確需求，IATF定義了四個(gè)主要的技術(shù)焦點(diǎn)領(lǐng)域：保衛(wèi)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施，保衛(wèi)邊界，保衛(wèi)計(jì)算環(huán)境和為基礎(chǔ)設(shè)施提供支持，這四個(gè)領(lǐng)域構(gòu)成了完整的信息保障體系所涉及的范圍。3 IATF信息保障技術(shù)框架圖1-5 IATF-分層多點(diǎn)深度防御3 IATF信息保障技術(shù)框架在深度防御技術(shù)方案中推薦下列原則：（1）多點(diǎn)防御（2）分層防御4 WPDRRC信息安全模型WPDRRC信息安全模型是我國(guó)“八六三”信息安全專家組提出的適合中國(guó)國(guó)情的信息系統(tǒng)安全保障體系建設(shè)模型。WPDRRC模型有6個(gè)環(huán)節(jié)和3個(gè)要素。6個(gè)環(huán)節(jié)包括預(yù)警（W）、保護(hù)（P）、檢測(cè)（D）、

9、響應(yīng)（R）、恢復(fù)（R）和反擊（C）3大要素包括人員、策略和技術(shù)，人員是核心，策略是橋梁，技術(shù)是保證，落實(shí)在WPDRRC的6個(gè)環(huán)節(jié)的各個(gè)方面，將安全策略變?yōu)榘踩F(xiàn)實(shí)。4 WPDRRC信息安全模型圖1-6 WPDRRC信息安全模型1.4信息安全模型與信息系統(tǒng)安全體系結(jié)構(gòu)1.4.2 信息系統(tǒng)安全體系結(jié)構(gòu)1 信息系統(tǒng)安全體系框架信息系統(tǒng)安全的總需求是物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、信息內(nèi)容安全、信息基礎(chǔ)設(shè)備安全與公共信息安全的總和。1 信息系統(tǒng)安全體系框架圖1-7 信息系統(tǒng)安全體系結(jié)構(gòu)示意圖2 技術(shù)體系（1）技術(shù)體系的內(nèi)容和作用 技術(shù)體系是全面提供信息系統(tǒng)安全保護(hù)的技術(shù)保障系統(tǒng)。（2）技術(shù)體系由兩大類構(gòu)

10、成 技術(shù)體系由物理安全技術(shù)和系統(tǒng)安全技術(shù)兩大類構(gòu)成。（3）技術(shù)體系框架信息系統(tǒng)安全體系中技術(shù)體系框架的設(shè)計(jì)，可將協(xié)議層次、信息系統(tǒng)構(gòu)成單元和安全服務(wù)（安全機(jī)制）作為三維坐標(biāo)體系的三個(gè)維來(lái)表示。如圖1-8所示。技術(shù)體系框架圖1-8 安全技術(shù)體系三維結(jié)構(gòu)3 組織機(jī)構(gòu)體系組織機(jī)構(gòu)體系是信息系統(tǒng)安全的組織保障系統(tǒng)，由機(jī)構(gòu)、崗位和人事機(jī)構(gòu)3個(gè)模塊構(gòu)成。機(jī)構(gòu)的設(shè)置分為3個(gè)層次：決策層、管理層和執(zhí)行層。4 管理體系管理是信息系統(tǒng)安全的靈魂。信息系統(tǒng)安全的管理體系由法律管理、制度管理和培訓(xùn)管理3個(gè)部分組成。4 管理體系法律管理是根據(jù)相關(guān)的國(guó)家法律、法規(guī)對(duì)信息系統(tǒng)主體及其與外界關(guān)聯(lián)行為的規(guī)范和約束。制度管理是信

11、息系統(tǒng)內(nèi)部依據(jù)系統(tǒng)必要的國(guó)家或組織的安全需求制定的一系列內(nèi)部規(guī)章制度，主要內(nèi)容包括安全管理和執(zhí)行機(jī)構(gòu)的行為規(guī)范、崗位設(shè)定及其操作規(guī)范、崗位人員的素質(zhì)要求及行為規(guī)范、內(nèi)部關(guān)系與外部關(guān)系的行為規(guī)范等。培訓(xùn)管理是確保信息系統(tǒng)安全的前提。1.4.3某高校的信息安全體系建設(shè)舉例以某高校的信息安全體系建設(shè)為例，介紹信息安全體系建設(shè)思路。1 建設(shè)原則和工作路線學(xué)校信息安全建設(shè)的總體原則是：總體規(guī)劃、適度防護(hù)，分級(jí)分域、強(qiáng)化控制，保障核心、提升管理，支撐應(yīng)用、規(guī)范運(yùn)維。圖1-9 信息安全體系建設(shè)流程圖1.4.3某高校的信息安全體系建設(shè)舉例2 體系框架信息安全體系框架依據(jù)信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要

12、求GBT 22239-2008、信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)技術(shù)方案設(shè)計(jì)要求(征求意見(jiàn)稿) ，并吸納了IATF 模型中“深度防護(hù)戰(zhàn)略”理論，強(qiáng)調(diào)安全策略、安全技術(shù)、安全組織和安全運(yùn)行4 個(gè)核心原則，重點(diǎn)關(guān)注計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)等多個(gè)層次的安全防護(hù)，構(gòu)建信息系統(tǒng)的安全技術(shù)體系和安全管理體系，并通過(guò)安全運(yùn)維服務(wù)和IT SM 集中運(yùn)維管理(IT Service Management EB/ OL ，基于IT 服務(wù)管理標(biāo)準(zhǔn)的最佳實(shí)踐)，形成了集風(fēng)險(xiǎn)評(píng)估、安全加固、安全巡檢、統(tǒng)一監(jiān)控、提前預(yù)警、應(yīng)急響應(yīng)、系統(tǒng)恢復(fù)、安全審計(jì)和違規(guī)取證于一體的安全運(yùn)維體系架構(gòu)大學(xué)信息安全體系框架圖1-10 大學(xué)信息安全

13、體系框架1.5信息安全評(píng)價(jià)標(biāo)準(zhǔn)信息安全標(biāo)準(zhǔn)是確保信息安全的產(chǎn)品和系統(tǒng)在設(shè)計(jì)、研發(fā)、生產(chǎn)、建設(shè)、使用、測(cè)評(píng)中解決其一致性、可靠性、可控性、先進(jìn)性和符合性的技術(shù)規(guī)范和技術(shù)依據(jù)。1.5.1信息安全相關(guān)國(guó)際標(biāo)準(zhǔn)1 信息安全評(píng)估標(biāo)準(zhǔn)信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)的歷史和發(fā)展概況1999年GB17859計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則1993年 美國(guó) 聯(lián)邦準(zhǔn)則（FC1.0）1993年 加拿大 可信計(jì)算機(jī)產(chǎn)品評(píng)估準(zhǔn)則（CTCEC）1991年 歐洲信息技術(shù)安全性評(píng)估準(zhǔn)則（ITSEC）國(guó)際通用評(píng)估準(zhǔn)則1996年，CC1.01998年，CC2.0 1999年，CC2.1 1999年 國(guó)際標(biāo)準(zhǔn)ISO/IEC15408200

14、1年 GB/T18336信息技術(shù)安全性評(píng)估準(zhǔn)則1985年美國(guó)國(guó)防部可信計(jì)算機(jī)評(píng)估準(zhǔn)則（TCSEC）1989年 英國(guó)可信級(jí)別標(biāo)準(zhǔn)（MEMO3 DTI）德國(guó) 評(píng)估標(biāo)準(zhǔn)（ZSEIC）法國(guó) 評(píng)估標(biāo)準(zhǔn)（B-W-R BOOK）1993年NIST的MSFR圖1-11 信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)的歷史和發(fā)展概況1.5信息安全評(píng)價(jià)標(biāo)準(zhǔn)2 信息安全管理標(biāo)準(zhǔn)（1）ISO/IEC信息安全管理標(biāo)準(zhǔn)（2）英國(guó)的信息安全管理標(biāo)準(zhǔn)（BS 7799和BS 15000）（3）美國(guó)的信息安全管理標(biāo)準(zhǔn)NIST SP系列特別出版物（4）信息技術(shù)服務(wù)和信息系統(tǒng)審計(jì)治理領(lǐng)域COBIT和ITIL1）信息系統(tǒng)審計(jì)領(lǐng)域COBITCOBIT（信息和相關(guān)

15、技術(shù)的控制目標(biāo)）模型是美國(guó)ISACA協(xié)會(huì)所提供的一個(gè)IT審計(jì)和治理的框架。它為信息系統(tǒng)審計(jì)和治理提供了一整套的控制目標(biāo)、管理措施、審計(jì)指南。圖1-12 COBIT模型2）IT服務(wù)管理領(lǐng)域ITILITIL由英國(guó)政府部門(mén)CCTA在20世紀(jì)80年代末制定，現(xiàn)由英國(guó)商務(wù)部OGC負(fù)責(zé)管理，主要適用于IT服務(wù)管理（ITSM）。圖1-13ITIL框架結(jié)構(gòu)信息安全管理標(biāo)準(zhǔn)歷史和發(fā)展概況脈絡(luò)圖圖1-14 信息安全管理標(biāo)準(zhǔn)歷史和發(fā)展概況脈絡(luò)圖(5)目前應(yīng)用最廣泛的國(guó)際信息安全管理標(biāo)準(zhǔn)ISO/IEC 27000標(biāo)準(zhǔn)族ISO 13335標(biāo)準(zhǔn)族1.5信息安全評(píng)價(jià)標(biāo)準(zhǔn)3.信息安全工程標(biāo)準(zhǔn)SSE-CMM（1）SSE-CMM

16、簡(jiǎn)介 SSE-CMM是系統(tǒng)安全工程能力成熟模型（Systems Security Engineering Capability Maturity Model）的縮寫(xiě)，是一種衡量系統(tǒng)安全工程實(shí)施能力的方法。它描述了一個(gè)組織安全工程過(guò)程必須包含的本質(zhì)特征，這些特征是完善的安全工程保證。（2）SSE-CMM應(yīng)用SSE-CMM可應(yīng)用于所有從事某種形式的安全工程組織，這種應(yīng)用與生命期、范圍、環(huán)境或?qū)I(yè)無(wú)關(guān)。1.5信息安全評(píng)價(jià)標(biāo)準(zhǔn)1.5.2信息安全相關(guān)國(guó)內(nèi)標(biāo)準(zhǔn)1 我國(guó)信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)我國(guó)公安部主持制定、國(guó)家質(zhì)量技術(shù)監(jiān)督局發(fā)布的中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)G817895-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分

17、準(zhǔn)則已正式頒布并實(shí)施。該準(zhǔn)則將信息系統(tǒng)安全分為5個(gè)等級(jí)：自主保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)和訪問(wèn)驗(yàn)證保護(hù)級(jí)。1.5信息安全評(píng)價(jià)標(biāo)準(zhǔn)1.5.2信息安全相關(guān)國(guó)內(nèi)標(biāo)準(zhǔn)2 我國(guó)信息安全管理標(biāo)準(zhǔn) （1）GB/T 20984信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范（2）其他重要信息安全管理標(biāo)準(zhǔn)3 等級(jí)保護(hù)標(biāo)準(zhǔn) 1.6 項(xiàng)目小實(shí)踐【實(shí)驗(yàn)名稱】網(wǎng)絡(luò)安全整體規(guī)劃與實(shí)現(xiàn)【實(shí)驗(yàn)內(nèi)容】利用如圖1-17所示的網(wǎng)絡(luò)環(huán)境，首先學(xué)習(xí)利用工具對(duì)本地主機(jī)運(yùn)行狀態(tài)進(jìn)行安全評(píng)估，分析本地主機(jī)安全隱患，并生成相應(yīng)的報(bào)告文件。對(duì)系統(tǒng)進(jìn)行綜合評(píng)估，發(fā)現(xiàn)主機(jī)應(yīng)用服務(wù)狀態(tài)，對(duì)外安全隱患。利用X-Scan掃描系統(tǒng)漏洞并分析，對(duì)漏洞進(jìn)行防御。最后，形成一個(gè)完整的評(píng)估報(bào)告，并對(duì)被分析的網(wǎng)絡(luò)系統(tǒng)進(jìn)行改進(jìn)，提升其整體安全性。1.6 項(xiàng)目小實(shí)踐【實(shí)驗(yàn)原理】風(fēng)險(xiǎn)評(píng)估/安全評(píng)估是在防火墻、入侵檢測(cè)、VPN等專項(xiàng)安全技術(shù)之上必須考慮的一個(gè)問(wèn)題，因?yàn)榘踩⒉皇屈c(diǎn)的概念，而是整體的立體概念。在各種專項(xiàng)技術(shù)的基礎(chǔ)上，有必要對(duì)整個(gè)網(wǎng)絡(luò)信息系統(tǒng)的安全性進(jìn)行分析評(píng)估，以改進(jìn)系統(tǒng)整體的安全。（1）SecAnalyst運(yùn)行狀態(tài)評(píng)估（2）MBSA綜合評(píng)估（3）X-scan攻擊掃描評(píng)估（4）MSAT安全評(píng)估1.6 項(xiàng)目小實(shí)踐【實(shí)驗(yàn)環(huán)境】學(xué)生可以2人為一組，網(wǎng)絡(luò)拓?fù)淙鐖D1-17所示；分別對(duì)不同網(wǎng)段進(jìn)行掃描評(píng)估等操作