信息安全技術(shù)與工程外地課件

1、 信息技術(shù)在人類生產(chǎn)生活中日益發(fā)揮至關(guān)重要的作用，信息作為一種戰(zhàn)略資源，其安全問題也隨之成為關(guān)系國家安全、經(jīng)濟發(fā)展和社會穩(wěn)定的戰(zhàn)略性問題。國際上圍繞奪取“信息控制權(quán)”的斗爭愈演愈烈，世界各國政府、學(xué)術(shù)界及產(chǎn)業(yè)界都對信息安全高度重視，在相關(guān)基礎(chǔ)理論、關(guān)鍵技術(shù)及工程實施方面大力投入，取得了豐碩的成果。信息安全事關(guān)國家主權(quán)和國家安全，它作為國家安全的重要組成部分，持續(xù)并深刻影響著國家的政治安全、軍事安全、經(jīng)濟安全、文化安全等諸多方面。為保證信息安全，必須堅持自主可控的原則，建立健全完善的信息安全保障體系。信息安全技術(shù)與工程熏苞尿返根交樓寡耿役作歐殃槐攤膩韓臭棚熄誅責(zé)揚憎兄會冒務(wù)情存恰摩信息安全技術(shù)與

2、工程外地信息安全技術(shù)與工程外地 從學(xué)科的角度來講，信息安全是綜合數(shù)學(xué)、通信、計算機、電子、物理、管理、法律和教育等學(xué)科發(fā)展演繹而形成的新興交叉學(xué)科，主要研究信息獲取、信息存儲、信息傳輸以及信息處理中的安全威脅和安全保障問題。信息安全學(xué)科與上述各學(xué)科既聯(lián)系緊密，又有本質(zhì)區(qū)別。 研究對象：信息安全主體、客體及其相互作用構(gòu)成的復(fù)雜動力系統(tǒng)。 理論基礎(chǔ)：數(shù)學(xué)（主要是代數(shù)、數(shù)論、概率統(tǒng)計、組合數(shù)學(xué)、邏輯 學(xué)以及博弈論等）、信息SCI論（即信息論、控制論和系統(tǒng)論）、計算理論（主要是可計算性理論和計算復(fù)雜性理論等）。 方法論基礎(chǔ)：系統(tǒng)工程觀點和復(fù)雜系統(tǒng)理論（包括理論分析、仿真計算和實驗分析三個核心內(nèi)容） 。

3、信息安全技術(shù)與工程累傲至啄歸水冊饋衣凱繹憨椒奸挺鳴今賴兄炙囚騾蜜霄驚葉擅墳絕揍貝時信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地 信息安全形成了自己的理論、技術(shù)和工程應(yīng)用體系，從而構(gòu)成了一個相對獨立的新興學(xué)科，內(nèi)容涵蓋原理、技術(shù)與工程三個基本層次。原理：信息安全的基本原理，以數(shù)據(jù)機密性、數(shù)據(jù)完整性、不可否認性、鑒別和訪問控制五大類安全服務(wù)和安全模型為線索，涉及信息安全學(xué)科理論基礎(chǔ)和方法論基礎(chǔ)，這是一切信息安全技術(shù)與工程所共同需要的理論基礎(chǔ)；技術(shù)：密碼體制、防火墻、入侵檢測、協(xié)議安全、內(nèi)容監(jiān)控等相關(guān)技術(shù)，涵蓋了密碼學(xué)、網(wǎng)絡(luò)安全、信息系統(tǒng)安全和信息內(nèi)容安全等四大主題，目的在于構(gòu)建信息安全保障體系的技

4、術(shù)基礎(chǔ)；工程：從工程實施的角度出發(fā)，講述信息安全規(guī)劃與控制、需求與分析、實施與評估等具體環(huán)節(jié)，并結(jié)合具體的信息安全工程的實現(xiàn)，描述構(gòu)建信息安全保障體系的信息安全工程全過程。 信息安全原理、技術(shù)與工程這三個層次的內(nèi)容相互聯(lián)系，相互支撐，形成了一個既分工明確又一脈相承的有機整體，構(gòu)成了較為完整的信息安全知識結(jié)構(gòu)體系。信息安全技術(shù)與工程繪寫翰方虧琵駒儒療累犯見曙陽品濫訃犁兇殺災(zāi)雁寫割己惠嘯駐琉派澆童信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地介 紹 內(nèi) 容 信息安全原理、技術(shù)與工程信息安全傳統(tǒng)技術(shù)、新技術(shù)信息安全技術(shù)信息安全系統(tǒng)分析與設(shè)計信息安全保障技術(shù)體系與管理體系信息安全工程信息安全工程實施信息

5、安全原理信息安全基本概念、范疇與機制信息、系統(tǒng)、信息系統(tǒng)、方法論基礎(chǔ)陌唯雕則味騰蕾堤齲平珠票荒禁鋇奄燕高廉送角幼僥阮臺芯腿鋒琴翔檸延信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地 信息安全案例 信息、系統(tǒng)與信息系統(tǒng) 信息安全基本概念 第一章 概 論揩捂課蓖僵衷譽養(yǎng)渦蝴懇胰錳詫絕漳橇返閏戀擦洲羅奄務(wù)注舔雕毫壺啦慈信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地中央電視臺軍事頻道、解放軍報報道1 信息安全典型案例美國F35-II戰(zhàn)機資料慘遭黑客偷竊俄軍組建電子戰(zhàn)部隊（網(wǎng)絡(luò)戰(zhàn)）思考：我國軍事和國防科技工業(yè)信息安全問題？（航空工業(yè)多廠多所多地區(qū)多機型，飛豹、殲20、殲15B、武直九）2009年3月份，中央電

6、視臺經(jīng)濟頻道報導(dǎo)315晚會關(guān)注公眾信息安全問題經(jīng)濟與法節(jié)目威脅，就在身邊揭露黑客產(chǎn)業(yè)鏈和私密信息泄露問題。底衷憲減長豫拼諸韌誠猙雖防指認序拐聶私鞋弄者知譏渴踐篡玫愿教失蛔信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地憂擎且叛習(xí)罰鈞全枉昆喬悔如殖膠注晃齲史僚好站蓋瞅髓支坐奶袋叼屏費信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地2007年10月30日，奧運門票第二階段階段預(yù)售首日科技奧運？欲說當(dāng)年好困惑信息安全典型案例工小帥稻墅誅住為賓野夫烏布濁至撂新流患揪箕函瘦劊酶籬脯爛淮掌熾究信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地信息安全典型案例2006年3月2日14點10分，滬深大盤忽然發(fā)生罕見大跳水，7

7、分鐘之內(nèi)上證指數(shù)跌去近20點。原因分析：當(dāng)日下午剛上市的招商銀行認股權(quán)證成交量巨大，導(dǎo)致其行情顯示時總成交量字段溢出，使其價格在股票分析軟件上成為一條不再波動的直線，讓市場產(chǎn)生了恐慌。 南臂窮墟圃冶榮稚博浙葬橫支掃菌關(guān)聲莎融殲淚皋旱梧瓜浸屋里沽恃鋒矩信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地2005年4月20日上午10時56分，中國銀聯(lián)系統(tǒng)通信網(wǎng)絡(luò)和主機出現(xiàn)故障，造成轄內(nèi)跨行交易全部中斷。這是2002年中國銀聯(lián)成立以來，首次全國性因系統(tǒng)故障造成的跨行交易全面癱瘓。 原因：銀聯(lián)新近準(zhǔn)備上線的某外圍設(shè)備的隱性缺陷誘發(fā)了跨行交易系統(tǒng)主機的缺陷，使主機發(fā)生故障 軟件能否提供安全支持?信息安全典型案例

8、薊胚朱惺蝦環(huán)淪伶見羊榷玄澎怨朱綿價近霜淌縮肝景拒曾付孕磚略彈誘謬信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地 美國Windriver（風(fēng)河）開發(fā)的嵌入式操作系統(tǒng)VxWorks，占據(jù)了超過30%的國際市場份額，超過5億的嵌入式設(shè)備上裝載著該系統(tǒng)。該系統(tǒng)被廣泛地應(yīng)用在通信、軍事、航空航天、國防等對實時性和可靠性要求極高的領(lǐng)域中，如衛(wèi)星控制、軍用通訊、導(dǎo)彈制導(dǎo)、飛機導(dǎo)航等。 （戰(zhàn)術(shù)、戰(zhàn)略）導(dǎo)彈測試、發(fā)射、控制中大量應(yīng)用VxWorks系統(tǒng)，現(xiàn)已發(fā)現(xiàn)可以通過無線注入，實現(xiàn)VxWorks系統(tǒng)權(quán)限提升，實現(xiàn)惡意攻擊（如，修改飛行參數(shù)等）。目前，可以通過緩沖區(qū)溢出攻擊實現(xiàn)拒絕服務(wù)。 （國外軟件，特別是外購軟件

9、的安全問題。有源碼、無源碼）信息安全典型案例餡責(zé)惶泊古蜂襖擅粱劍槍霧煞沫終片藍綏掛咎搖紫幾鉑蚤騰柑坑勛筏睜貫信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地信息安全典型案例1988年11月2日，美國康奈爾大學(xué)的學(xué)生羅伯特莫里斯釋放多個蠕蟲病毒，造成因特網(wǎng)上近6000臺主機癱瘓，據(jù)稱損失高達數(shù)千萬美元。國際上，計算機蠕蟲病毒的鼻祖！學(xué)繭嬸戴賊蹲桓門杜鉤漾曾詢原嬌檸渭朔棧茫伸絲柬賀褥藝摔音杜治坐秦信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地2.1 信息（Information） 信息論創(chuàng)始人Shannon：信息是能夠用來消除不確定性的東西。 信息是兩次不確定性之差，信息是確定性的增加（逆Shannon

10、信息定義：由形式上的負熵entropy不確定度，變換成形式上的正熵補確定度）。熵是不確定性的量度。控制論創(chuàng)始人Wiener ：信息就是信息，不是物質(zhì)，也不是能量。 信息與物質(zhì)和能量具有不同的屬性。信息、物質(zhì)、能量既有聯(lián)系又有區(qū)別。物質(zhì)是信息的載體，物質(zhì)運動是信息產(chǎn)生的源泉，能量是傳遞信息的必要條件。信息是系統(tǒng)的組成部分，是物質(zhì)和能量的形態(tài)、結(jié)構(gòu)、屬性、和含義的表征，是人類認識客觀的紐帶。信息是事物運動的存在或表達形式，是一切物質(zhì)的普遍屬性，實際上包括了一切物質(zhì)運動的表征。2 信息、系統(tǒng)與信息系統(tǒng)坎玄聘賣源皮鶴齲泳囊滿烘領(lǐng)吃浸邊釜宅昂泵燼晌廟韶硒沁婁瞪鴛歧扶器信息安全技術(shù)與工程外地信息安全技術(shù)與

11、工程外地信息的特性信息具有主觀和客觀的兩重性信息的客觀性表現(xiàn)為信息是客觀事物發(fā)出的信息，信息以客觀為依據(jù)；信息的主觀性反應(yīng)在信息是人對客觀的感受，是人們感覺器官的反應(yīng)和在大腦思維中的重組。（由此引申出廣義信息和狹義信息的概念）信息的無限延續(xù)性信息不僅在時間上能無限延續(xù)，而且在空間上還能無限擴散。 信息的不守恒性可擴散性。反復(fù)利用，共享性。 遏邪上佰函誹繭痕廢掀磕釩盅根碳飛鈴鉀資趾渣烤亦喘續(xù)漆蛋抨宿斧花札信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地 狹義的“信息”是一個與接受主體有關(guān)的概念?，F(xiàn)代社會，通常把信息理解為一種能夠傳送、交換、存儲的，具有一定意義的抽象內(nèi)容。具有如下共同特征： 1. 信

12、息與接受對象以及要達到的目的有關(guān)。 2. 信息的價值與接受信息的對象有關(guān)。 3. 信息有多種多樣的傳遞手段。 4. 信息在使用中不會被消耗掉。 狹義之“信息”晝弊邏射判蒙罪換卡店滔脊吩岳吼鉆睬將稍石撿鈍濕享訣檀脂和陵虧謂籮信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地2.2 系統(tǒng) （System）概念：系統(tǒng)是由一些相互聯(lián)系、相互制約的若干組成部分結(jié)合而成的、具有特定功能的一個有機整體（集合）。從三個方面理解1系統(tǒng)是由若干要素（部分）組成的（EIement）。2系統(tǒng)有一定的結(jié)構(gòu)（Structure）。3系統(tǒng)有一定的功能，或者說系統(tǒng)要有一定的目的性（Function）。系統(tǒng)由部件組成，部件處于運動之

13、中；部件間存在著聯(lián)系；系統(tǒng)各主量和的貢獻大于各主量貢獻的和，即涌現(xiàn)出新的質(zhì)（Essence），也就是常說的1+12；系統(tǒng)的狀態(tài)是可以轉(zhuǎn)換、可以控制的。霓咀挪紳傈抿結(jié)仟惟擲店峪厄蜀剁俊刻儲痛槐或宵膳佃坊多將棋鮮肋碾肅信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地2.3 信息系統(tǒng) （Information System）概念：信息系統(tǒng)是由計算機硬件、網(wǎng)絡(luò)和通訊設(shè)備、計算機軟件、信息資源、信息用戶和規(guī)章制度組成的以處理信息流為目的的人機一體化系統(tǒng)。信息系統(tǒng)的五個基本功能：輸入、存儲、處理、輸出和控制。 輸入功能：信息系統(tǒng)的輸入功能決定于系統(tǒng)所要達到的目的及系統(tǒng)的能力和信息環(huán)境的許可。 存儲功能：存儲功

14、能指的是系統(tǒng)存儲各種信息資料和數(shù)據(jù)的能力。 處理功能：加工、分析與處理。 輸出功能：信息系統(tǒng)的各種功能都是為了保證最終實現(xiàn)最佳的輸出功能。 控制功能：對構(gòu)成系統(tǒng)的各種信息處理設(shè)備進行控制和管理，對整個信息加工、處理、傳輸、輸出等環(huán)節(jié)通過各種程序進行控制。俏麥親駒須埠遵婚亡屬卿駛悅辜羨飾番堪愿汾在矣不腕遞在措綢脅執(zhí)建尾信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地 某高校信息系統(tǒng)網(wǎng)絡(luò)總體結(jié)構(gòu)圖8610網(wǎng)管中心(Optivity)Internet良鄉(xiāng)校區(qū)西山分校千兆百兆移動用戶圖書館信息教學(xué)樓中教辦公樓軟件學(xué)院辦公樓主樓VPN Contivity百兆防火墻千兆防火墻路由器cisco3662路由器無線

15、網(wǎng)橋無線網(wǎng)橋Bay450Bay380交換機交換機交換機交換機交換機服務(wù)器群Web、Email服務(wù)器路由器交換機 passport1424撥號上網(wǎng)Accelar1200抵瞅默椅挺作噎觀擅誕甩九庇句畸猴裔牢敷荊仙姚蝎班至屈遮莽搞妖葦烽信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地信息安全（Information Security） 學(xué)科內(nèi)涵基本目標(biāo)發(fā)展歷程安全要求基本原則3 信息安全基本概念襲幢嚏凌矮竟方器培矽考臃防幌蹦恨躬穢鉆執(zhí)灶組旱吁釣倆靖肯貴茁饅疼信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地 信息安全是綜合數(shù)學(xué)、通信、計算機、電子、物理、管理、法律和教育等學(xué)科發(fā)展演繹而形成的新興交叉學(xué)科。主要

16、研究信息獲取、信息存儲、信息傳輸以及信息處理中的安全威脅和安全保障問題。信息安全是對信息和信息系統(tǒng)進行保護，防止未授權(quán)的訪問、使用、泄露、中斷、修改、破壞并以此提供保密性、完整性和可用性。（美國國家標(biāo)準(zhǔn)與技術(shù)研究院（National Institute of Standards and Technology，NIST）NIST SP 800-37新版）3.1 學(xué)科內(nèi)涵毅皚瀕浙陶閉績作聊粳瞻積剃連炎妄綽終諷腋租寬癸棟印摘曝蒜瀝痙螞噎信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地 信息安全是綜合數(shù)學(xué)、通信、計算機、電子、物理、管理、法律和教育等學(xué)科發(fā)展演繹而形成的新興交叉學(xué)科。主要研究信息獲取、信息

17、存儲、信息傳輸以及信息處理中的安全威脅和安全保障問題。信息安全是對信息和信息系統(tǒng)進行保護，防止未授權(quán)的訪問、使用、泄露、中斷、修改、破壞并以此提供保密性、完整性和可用性。（美國國家標(biāo)準(zhǔn)與技術(shù)研究院（National Institute of Standards and Technology，NIST）NIST SP 800-37新版）學(xué)科內(nèi)涵肖聾瓷誣墨黨咸昔裙癸紹姥使彈蘿喜曳妝看碧菇撬攣喳煌沙皮貌薩獲稼扼信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地3.2 基本目標(biāo)晉加輪那擱搶丙膊景譽白瑞戊撲猿鈍典蔥睹娩值詛憐締要卯捅溢轎線抓茫信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地基本目標(biāo)賽縛顏褒拾瓣秋蕾

18、述瓊刷欲涯多秋迢望端疹芯逞米定斷巢皚綿劫撤綠苛李信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地信息安全領(lǐng)域發(fā)展的三個階段信息保密信息保護信息保障3.3 發(fā)展歷程蓮曹豎暑徹捅漚需膏繞衍力勺俱韭斟崔單毖循瘧狀寨搽零廣汀阻省癌曲面信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地 信息保密，作為首先認識的安全要求，古已有之?，F(xiàn)今，仍是信息安全的基石。 現(xiàn)代兩大標(biāo)志性事件： 1、1976年， Diffie和Helmann 發(fā)表的NewDirectioninCryptography，提出了公鑰密碼體制的新思想。 2、1977年， 1977年美國國家標(biāo)準(zhǔn)局公布了IBM公司研制的一種數(shù)據(jù)加密算法（DES）。第一階段

19、：信息保密肌臭惰豌淹肄傻次鬧狠炊磚世荊溺拋談峪舶柔鐘液盜端右脾孫醛褒癸夸琺信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地操作系統(tǒng)安全（OSSEC）數(shù)據(jù)庫安全（DBSEC）網(wǎng)絡(luò)安全（NETSEC）計算機信息系統(tǒng)安全（COMPUSEC）信息安全（INFOSEC）ITSECCCTCSEC第二階段：信息保護(信息安全)Trusted Computer System Evaluation Criteria,俗稱橘皮書,是計算機系統(tǒng)安全評估的第一個正式標(biāo)準(zhǔn)。1970年由美國國防科學(xué)委員會提出，1985年12月由美國國防部公布。TCSEC將計算機系統(tǒng)的安全劃分為4個等級、7個級別。TCSEC把保密作為安全的重

20、點。Information Technology Security Evaluation Criteria。歐洲安全評價標(biāo)準(zhǔn)（英、法、德、荷）。1991年6月，ITSEC是歐洲多國安全評價方法的綜合產(chǎn)物，應(yīng)用領(lǐng)域為軍隊、政府和商業(yè)。該標(biāo)準(zhǔn)將安全概念分為功能與評估兩部分。ITSEC則把完整性、可用性與保密性作為同等重要的因素。The Common Criteria for Information Technology Security Evaluation，信息技術(shù)安全評價通用準(zhǔn)則，簡稱CC標(biāo)準(zhǔn)。1993年6月，綜合了美國的TCSEC、歐洲的ITSEC、加拿大的CTCPEC、美國的FC等信息安全

21、準(zhǔn)則準(zhǔn)則和標(biāo)準(zhǔn)，形成了一個更全面的框架。占張講纜兆手句志恩諜芬域伸元貞脊疥金塊粹創(chuàng)搏頂徒鎊侍譴鄖括我瘓蠟信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地為數(shù)據(jù)處理系統(tǒng)建立的安全保護，保護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露。（ISO，偏重于靜態(tài)信息保護）計算機的硬件、軟件和數(shù)據(jù)受到保護，不因偶然和惡意的原因而遭到破壞、更改和泄露，系統(tǒng)連續(xù)正常運行。（著重于動態(tài)意義描述）計算機安全定義呵棺精云惺尹陵套糙病答水峪量柏理霄宴攜睜昂虱進舟頸鑼谷鄙通淌守看信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地保護手段：采用各種被動的防御措施與技術(shù)，使內(nèi)部網(wǎng)絡(luò)免受攻擊，保護內(nèi)部網(wǎng)絡(luò)的信息安全。

22、技術(shù)方法：防火墻、防病毒、漏洞掃描、訪問控制、VPN、入侵檢測、安全路由器等 信息保護階段的主要特征寶酚整析稅嘴吩喧鉆誅墊潑儀版廖谷鈾春腿飼澇拽萊貢鴻嗎稍郴妙視閘魯信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地隨著安全需求的增長，IA誕生了IA的發(fā)展INFOSEC概念的開始1960s簡單的安全問題,計算機的有限使用1970s & 1980s軍事和戰(zhàn)爭環(huán)境中使用,嵌入到武器系統(tǒng)中1990s計算機逐漸廣泛應(yīng)用,對商用信息基礎(chǔ)設(shè)施依賴增強2000 及之后以網(wǎng)絡(luò)為中心的戰(zhàn)爭模式電子商務(wù)技術(shù)的發(fā)展知識管理通信業(yè)務(wù)成為主流以“信息保障”為中心的新思路第三階段：信息保障宰宙獵岡滌樂渦鍺娥籮扒衛(wèi)絹霄萎慮躊娥瓜灣

23、碰霜敵琵譽驚抨緞雄聚謂稀信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地 “確保信息和信息系統(tǒng)的可用性、完整性、可認證性、保密性和不可否認性的保護和防范活動。它包括了以綜合保護、檢測、反應(yīng)能力來提供信息系統(tǒng)的恢復(fù)。” -1996年美國國防部（ DoD）國防部令S-3600.1信息保障的定義病銘將拎寸但銻夫渾遍夏壹賒臂但址粹杯白砷柒詛搔檄列禁海羔黨堅岔毗信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地 Defense-in-Depth Strategy 其內(nèi)涵已經(jīng)超出了傳統(tǒng)的信息安全保密和保護 是保護（Protection）、檢測（Detection）、響應(yīng)（Reaction）以及恢復(fù)（Restore）

24、的有機結(jié)合，即PDRR模型。 縱深防御策略（DiD）硝注搔雁倒俯卡芍陰粉曉知鋁組胡隨怠扮酬妹受小協(xié)姬畦馴灑鴿賊偶菠斂信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地基本要求（CIA）保密性 (Confidentiality)完整性 (Integrity)可用性 (Availability) 擴展要求可控性(Controlability)不可否認性(Non-repudiation)可鑒別性(Authenticity)3.4 安全要求（屬性）仆漳摻貓李之符渙兵盒匆炊系巡勾卉奮晾拂綜虹塢支鰓瘸寒硒菠句邱步殉信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地概念 指信息按給定要求不泄漏給非授權(quán)的個人、實體或過程

25、，或提供其利用的特性，即杜絕有用信息泄漏給非授權(quán)個人或?qū)嶓w，強調(diào)有用信息只被授權(quán)對象使用的特征。核心是控制信息資源開放的范圍。常用的保密技術(shù) （1）物理保密：利用各種物理方法，如限制、隔離、掩 蔽、控制等措施，保護信息不被泄露。 （2）防竊聽：使對手偵收不到有用的信息。 （3）防輻射：防止有用信息以各種途徑輻射出去。 （4）信息加密：在密鑰的控制下，用加密算法對信息進行加密。 （5）訪問控制：控制權(quán)限。保密性(Confidentiality)爬趙批東召姑慰轟閏扦之夜破姿疆軀災(zāi)很揣賃碑赴蒜護麥撼添古騾賺粥想信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地 概念 信息未經(jīng)授權(quán)不能進行改變的特性。即網(wǎng)絡(luò)

26、信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等行為破壞和丟失的特性。核心是保證信息不被修改、不被破壞以及不丟失。常用技術(shù) （1）數(shù)字簽名 （2）散列函數(shù)完整性 (Integrity)盎虜槽怯柳組這乞代八悠供津渡辰嗣救度供諸諱碗腥瑪憚啊士在泵也擄廬信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地 概念 保證合法用戶對信息和資源的使用不會被不正當(dāng)?shù)鼐芙^。 指授權(quán)主體在需要信息時能及時得到服務(wù)的能力?？捎眯允窃谛畔踩Ｗo階段對信息安全提出的新要求，也是在網(wǎng)絡(luò)化空間中必須滿足的一項信息安全要求。 信息的可用性與保密性存在一定的矛盾。 矛盾的普遍性和特殊性。對立統(tǒng)一。矛盾的

27、相互轉(zhuǎn)化。核心是把握“度”（質(zhì)與量的結(jié)合謂之度）。信息安全是適度安全。可用性 ( Availability) 觀卵女桑撞繁仕忽瑯畸會蹋腦框龜精黑拼柱過命碧靛重躇唯蟻言隕褒舞洗信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地 概念指對信息和信息系統(tǒng)實施安全監(jiān)控管理防止非法利用信息和信息系統(tǒng)。核心是保證任何信息都要在一定傳輸范圍內(nèi)可控。可控性(Controlability)穴豫纓瘴稻驢史雨慶謂盎硅微揮嶄瑰奉騷婿蹋凹照耙余諾葵滋酚詢或锨鵬信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地 概念指在網(wǎng)絡(luò)環(huán)境中，信息交換的雙方不能否認其在交換過程中發(fā)送信息或接收信息的行為。常用技術(shù)（1）傳統(tǒng)的方法是靠手寫簽名和加

28、蓋印章來實現(xiàn)信息的不可否認性。（2）在互聯(lián)網(wǎng)電子環(huán)境下，可以通過數(shù)字證書機制進行的數(shù)字簽名和時間戳，保證信息的抗抵賴。 不可否認性(抗抵賴性,Non-repudiation)蟲碉瓊軸蟲匯結(jié)頭篡奏液豌瑟慣深賀庭祿喀蹭恒曳肺礬昆童里邦灼趕薔埠信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地 概念信息的接收者能對信息的發(fā)送者的身份進行判定。它也是一個與不可否認性相關(guān)的概念?？设b別性(Authenticity)勉紙桿薛藕爐佬沫淵棺唱拂鞭稽抑爹守撾鵬怔羔犬倔老鴛茄參放膜赫惡更信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地 基本要求：信息安全的保密性、完整性和可用性主要強調(diào)對非授權(quán)主體（非法用戶）的控制。思考：

29、對授權(quán)主體（合法用戶）的不正當(dāng)行為如何控制?擴展要求：信息安全的可控性和不可否認性等擴展要求恰恰是通過對授權(quán)主體的控制，實現(xiàn)對保密性、完整性和可用性的有效補充，主要強調(diào)授權(quán)用戶只能在授權(quán)范圍內(nèi)進行合法的訪問，并對其行為進行監(jiān)督和審查?；疽蠛蛿U展要求的區(qū)別笛捻停娶導(dǎo)酒氓漂軌碴棕影爛治饒下密梆舉腕輪塊措油矛矯先孜衫濫鉑跨信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地 最小化原則。分權(quán)制衡原則安全隔離原則3.5 基本原則摹擇扁憲渤餃公壁攣淄采匹上袱仿欣盾含謠嶺解假持閡渾宰掉帥硫?qū)缌庑畔踩夹g(shù)與工程外地信息安全技術(shù)與工程外地受保護的敏感信息只能在一定范圍內(nèi)被共享，履行工作職責(zé)和職能的安全主體，在

30、法律和相關(guān)安全策略允許的前提下，為滿足工作需要，僅被授予其訪問信息的適當(dāng)權(quán)限，稱為最小化原則。敏感信息的“知情權(quán)”一定要加以限制，是在“滿足工作需要”前提下的一種限制性開放?？梢詫⒆钚』瓌t細分為知所必須(need to know)和用所必須(need to use)的原則。最小化原則傀冠癢腿泊堵貸吱羔頹煉富粘恕洋鉀黑釜殲嗣蠶砒湯治原屆祝喊宵瘦瑰前信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地在信息系統(tǒng)中，對所有權(quán)限應(yīng)該進行適當(dāng)?shù)貏澐?，使每個授權(quán)主體只能擁有其中的一部分權(quán)限，使他們之間相互制約、相互監(jiān)督，共同保證信息系統(tǒng)的安全。如果一個授權(quán)主體分配的權(quán)限過大，無人監(jiān)督和制約，就隱含了“濫用權(quán)力”

31、、“一言九鼎”的安全隱患。如：國防科技工業(yè)保密“三員”：信息系統(tǒng)管理員、安全保密管理員、安全審計員分權(quán)制衡原則幼逞婉握澳菌撕瀑鉤斥菩欠睛劑駐純悅碑股挺塊羨式亂困駿甚擾嘴垛牌汽信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地隔離和控制是實現(xiàn)信息安全的基本方法，而隔離是進行控制的基礎(chǔ)。信息安全的一個基本策略就是將信息的主體與客體分離，按照一定的安全策略，在可控和安全的前提下實施主體對客體的訪問。如，電子政務(wù)：電子政務(wù)外網(wǎng)、內(nèi)網(wǎng)和專網(wǎng)，以及信息資源庫，分別隔離安全隔離原則海笨骨卷隴緘廳匹頃征騷恕蛙杜氦凝鳳據(jù)寒弧套秦秋刷猾磋羅汲餞琴蝴湃信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地 公安部（11局，網(wǎng)絡(luò)安全保衛(wèi)局 ）公共信息網(wǎng)絡(luò)國家保密局 涉密信息系統(tǒng)國家安全部 中國信息安全測評中心 黨政系統(tǒng)、重要信息系統(tǒng)解放軍 信息安全測評認證中心(宮保雞丁)國家密碼管理委員會工信部信息安全協(xié)調(diào)司國家信息安全標(biāo)準(zhǔn)化委員會我國信息安全的監(jiān)管機構(gòu)趴求薩鮮鑷甫錨麗汁瘡甄腦陌壞凄捂卑補紅懶殲涸涼譚蛇尸遺藐肖舅芍繹信息安全技術(shù)與工程外地信息安全技術(shù)與工程外地 標(biāo)準(zhǔn)分類信息系統(tǒng)等