信息安全概述

信息平安概述國(guó)網(wǎng)江西省電力公司修水縣供電分公司朱云龍課程主要內(nèi)容信息平安的目標(biāo)信息平安的開展信息平安的研究?jī)?nèi)容.22222

信息 信息就是消息，是關(guān)于客觀事實(shí)的可通訊的知識(shí)。信息可以被交流、存儲(chǔ)和使用。信息平安 國(guó)際標(biāo)準(zhǔn)化組織(ISO)的定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的平安保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露〞?！?信息平安的目標(biāo).3〔1〕網(wǎng)絡(luò)平安的任務(wù)：保障各種網(wǎng)絡(luò)資源穩(wěn)定可靠的運(yùn)行，受控合法的使用。〔2〕信息平安的任務(wù)：保證：機(jī)密性、完整性、不可否認(rèn)性、可用性〔3〕其他方面：病毒防治，預(yù)防內(nèi)部犯罪§1.1網(wǎng)絡(luò)與信息平安的主要任務(wù).4(1)信息與網(wǎng)絡(luò)平安的防護(hù)能力較弱。(2)根底信息產(chǎn)業(yè)相對(duì)薄弱，核心技術(shù)嚴(yán)重依賴國(guó)外。對(duì)引進(jìn)的信息技術(shù)和設(shè)備缺乏保護(hù)信息平安的有效管理和技術(shù)改造。(3)信息平安管理力度還要加強(qiáng),法律法規(guī)滯后現(xiàn)象急待解決。(4)信息犯罪在我國(guó)有快速開展的趨勢(shì)。(5)國(guó)內(nèi)具有知識(shí)產(chǎn)權(quán)的信息與網(wǎng)絡(luò)平安產(chǎn)品相對(duì)缺乏,且平安功能急待提高。(6)全社會(huì)的信息平安意識(shí)急待提高，加強(qiáng)專門平安人才的培養(yǎng)刻不容緩?！?.2我國(guó)信息平安的現(xiàn)狀.5§1.3信息平安威脅信息平安威脅：指某個(gè)人、物、事件或概念對(duì)信息資源的保密性、完整性、可用性或合法使用性等等所造成的威脅。攻擊就是對(duì)平安威脅的具體表達(dá)。雖然人為因素和非人為因素都可以對(duì)通信平安構(gòu)成威脅，但是精心設(shè)計(jì)的人為攻擊威脅最大。.6網(wǎng)絡(luò)平安攻擊的形式.7被動(dòng)攻擊： 目的是竊聽、監(jiān)視、存儲(chǔ)數(shù)據(jù)，但是不修改數(shù)據(jù)。很難被檢測(cè)出來(lái)，通常采用預(yù)防手段來(lái)防止被動(dòng)攻擊，如數(shù)據(jù)加密。主動(dòng)攻擊：修改數(shù)據(jù)流或創(chuàng)立一些虛假數(shù)據(jù)流。常采用數(shù)據(jù)加密技術(shù)和適當(dāng)?shù)纳矸蓁b別技術(shù)。主動(dòng)與被動(dòng)攻擊.8網(wǎng)絡(luò)平安攻擊截獲以保密性作為攻擊目標(biāo)，表現(xiàn)為非授權(quán)用戶通過(guò)某種手段獲得對(duì)系統(tǒng)資源的訪問(wèn)，如搭線竊聽、非法拷貝等中斷(阻斷〕以可用性作為攻擊目標(biāo)，表現(xiàn)為毀壞系統(tǒng)資源，切斷通信線路等.9網(wǎng)絡(luò)平安攻擊篡改以完整性作為攻擊目標(biāo)，非授權(quán)用戶通過(guò)某種手段獲得系統(tǒng)資源后，還對(duì)文件進(jìn)行竄改，然后再把篡改正的文件發(fā)送給用戶。偽造以完整性作為攻擊目標(biāo)，非授權(quán)用戶將一些偽造的、虛假的數(shù)據(jù)插入到正常系統(tǒng)中.10§1.4常見的平安威脅1．信息泄露：信息被泄露或透露給某個(gè)非授權(quán)的實(shí)體。2．破壞完整性：數(shù)據(jù)被非授權(quán)地進(jìn)行增刪、修改或破壞而受到損失。3．拒絕效勞：對(duì)信息或其它資源的合法訪問(wèn)被無(wú)條件地阻止。4．非法使用：某一資源被某個(gè)非授權(quán)的人，或以非授權(quán)的方式使用。5．竊聽：用各種可能的合法或非法的手段竊取系統(tǒng)中的信息資源和敏感信息。.116．業(yè)務(wù)流分析：通過(guò)對(duì)系統(tǒng)進(jìn)行長(zhǎng)期監(jiān)聽來(lái)分析對(duì)通信頻度、信息流向等發(fā)現(xiàn)有價(jià)值的信息和規(guī)律。

7．假冒：通過(guò)欺騙通信系統(tǒng)〔或用戶〕到達(dá)非法用戶冒充成為合法用戶，或者特權(quán)小的用戶冒充成為特權(quán)大的用戶的目的。黑客大多是采用假冒攻擊。8．旁路控制：攻擊者利用系統(tǒng)的平安缺陷或平安性上的脆弱之處獲得非授權(quán)的權(quán)利或特權(quán)。9．授權(quán)侵犯：被授權(quán)以某一目的使用某一系統(tǒng)或資源的某個(gè)人，卻將此權(quán)限用于其它非授權(quán)的目的，也稱作“內(nèi)部攻擊〞?！?.4常見的平安威脅.1210．特洛伊木馬：軟件中含有一個(gè)覺察不出的或者無(wú)害的程序段，當(dāng)它被執(zhí)行時(shí)，會(huì)破壞用戶的平安。這種應(yīng)用程序稱為特洛伊木馬。11．陷阱門：在某個(gè)系統(tǒng)或某個(gè)部件中設(shè)置的“機(jī)關(guān)〞，使得當(dāng)提供特定的輸入數(shù)據(jù)時(shí)，允許違反平安策略。12．抵賴：這是一種來(lái)自用戶的攻擊，比方：否認(rèn)自己曾經(jīng)發(fā)布過(guò)的某條消息、偽造一份對(duì)方來(lái)信等。13．重放：所截獲的某次合法的通信數(shù)據(jù)拷貝，出于非法的目的而被重新發(fā)送。14．計(jì)算機(jī)病毒：是一種在計(jì)算機(jī)系統(tǒng)運(yùn)行過(guò)程中能夠?qū)崿F(xiàn)傳染和侵害的功能程序。§1.4常見的平安威脅.1315．人員不慎：一個(gè)授權(quán)的人為了錢或利益，或由于粗心，將信息泄露給一個(gè)非授權(quán)的人。16．媒體廢棄：信息被從廢棄的磁的或打印過(guò)的存儲(chǔ)介質(zhì)中獲得。17．物理侵入：侵入者通過(guò)繞過(guò)物理控制而獲得對(duì)系統(tǒng)的訪問(wèn)；18．竊?。褐匾钠桨参锲?，如令牌或身份卡被盜；19．業(yè)務(wù)欺騙：某一偽系統(tǒng)或系統(tǒng)部件欺騙合法的用戶或系統(tǒng)自愿地放棄敏感信息。§1.4常見的平安威脅.14平安威脅的后果平安漏洞危害在增大信息對(duì)抗的威脅在增加電力交通醫(yī)療金融工業(yè)播送控制通訊因特網(wǎng).15§1.5信息平安的目標(biāo)平安工作的目的就是為了在平安法律、法規(guī)、政策的支持與指導(dǎo)下，通過(guò)采用適宜的平安技術(shù)與平安管理措施，完成：使用授權(quán)機(jī)制，實(shí)現(xiàn)對(duì)用戶的權(quán)限控制，即不該拿走的“拿不走〞，同時(shí)結(jié)合內(nèi)容審計(jì)機(jī)制，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資源及信息的可控性。使用訪問(wèn)控制機(jī)制，阻止非授權(quán)用戶進(jìn)入網(wǎng)絡(luò)，即“進(jìn)不來(lái)〞，從而保證網(wǎng)絡(luò)系統(tǒng)的可用性。使用加密機(jī)制，確保信息不暴漏給未授權(quán)的實(shí)體或進(jìn)程，即“看不懂〞，從而實(shí)現(xiàn)信息的保密性。.16使用數(shù)據(jù)完整性鑒別機(jī)制，保證只有得到允許的人才能修改數(shù)據(jù)，而其它人“改不了〞，從而確保信息的完整性。使用審計(jì)、監(jiān)控、防抵賴等平安機(jī)制，使得攻擊者、破壞者、抵賴者“走不脫〞，并進(jìn)一步對(duì)網(wǎng)絡(luò)出現(xiàn)的平安問(wèn)題提供調(diào)查依據(jù)和手段，實(shí)現(xiàn)信息平安的可審查性?！?.5信息平安的目標(biāo).17〔1〕主動(dòng)防御保護(hù)技術(shù)數(shù)據(jù)加密、身份鑒別、存取控制、權(quán)限設(shè)置、虛擬專用網(wǎng)(VPN)技術(shù)?！?〕被動(dòng)防御保護(hù)技術(shù)防火墻、入侵檢測(cè)系統(tǒng)、平安掃描器、口令驗(yàn)證、審計(jì)跟蹤、物理保護(hù)與平安管理§1.6信息平安保護(hù)技術(shù).18信息平安是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息平安技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的邊緣性綜合學(xué)科?！?信息平安的研究?jī)?nèi)容一、信息平安理論研究二、信息平安應(yīng)用研究三、信息平安管理研究信息平安研究的內(nèi)容包括.19信息平安研究?jī)?nèi)容及相互關(guān)系.201、密碼理論

加密：將信息從易于理解的明文加密為不易理解的密文

消息摘要：將不定長(zhǎng)度的信息變換為固定長(zhǎng)度的摘要

數(shù)字簽名：實(shí)際為加密和消息摘要的組合應(yīng)用

密鑰管理：研究密鑰的產(chǎn)生、發(fā)放、存儲(chǔ)、更換、銷毀§2.1信息平安理論研究.212、平安理論身份認(rèn)證：驗(yàn)證用戶身份是否與其所聲稱的身份一致授權(quán)與訪問(wèn)控制：將用戶的訪問(wèn)行為控制在授權(quán)范圍內(nèi)審計(jì)跟蹤：記錄、分析和審查用戶行為，追查用戶行蹤平安協(xié)議：構(gòu)建平安平臺(tái)使用的與平安防護(hù)有關(guān)的協(xié)議§2.1信息平安理論研究.221、平安技術(shù)防火墻技術(shù)：控制兩個(gè)平安策略不同的域之間的互訪行為漏洞掃描技術(shù)：對(duì)平安隱患的掃描檢查、修補(bǔ)加固入侵檢測(cè)技術(shù)：提取和分析網(wǎng)絡(luò)信息流，發(fā)現(xiàn)非正常訪問(wèn)病毒防護(hù)技術(shù)：預(yù)防病毒入侵§2.2信息平安應(yīng)用研究.232、平臺(tái)平安物理平安：主要防止物理通路的損壞、竊聽、干擾等網(wǎng)絡(luò)平安：保證網(wǎng)絡(luò)只給授權(quán)的客戶使用授權(quán)的效勞，保證網(wǎng)絡(luò)路由正確，防止被攔截或監(jiān)聽系統(tǒng)平安：保證客戶資料、操作系統(tǒng)訪問(wèn)控制的平安，同時(shí)能對(duì)該操作系統(tǒng)上的應(yīng)用進(jìn)行審計(jì)數(shù)據(jù)平安：對(duì)平安環(huán)境下的數(shù)據(jù)需要進(jìn)行加密用戶平安：對(duì)用戶身份的平安性進(jìn)行識(shí)別邊界平安：保障不同區(qū)域邊界連接的平安性§2.2信息平安應(yīng)用研究.24信息平安保障體系、信息平安應(yīng)急反響技術(shù)、平安性能測(cè)試和評(píng)估、平安標(biāo)準(zhǔn)、法律、管理法規(guī)制定、平安人員培訓(xùn)提高等?！?.3信息平安管理研究1、平安策略研究2、平安標(biāo)準(zhǔn)研究3、平安測(cè)評(píng)研究三分技術(shù)，七分管理！

.25一、平安策略指在一個(gè)特定的環(huán)境里，為保證提供一定級(jí)別的平安保護(hù)所必須遵守的規(guī)那么。該平安策略模型包括了建立平安環(huán)境的三個(gè)重要組成局部，即威嚴(yán)的法律、先進(jìn)的技術(shù)、嚴(yán)格的管理?！?.3信息平安管理研究平安策略是建立平安系統(tǒng)的第一道防線確保平安策略不與公司目標(biāo)和實(shí)際活動(dòng)相抵觸

給予資源合理的保護(hù).26以平安策略為核心的平安模型安全策略防護(hù)

檢測(cè)響應(yīng)ISS〔InternetSecuritySystemsInC.)提出§2.3信息平安管理研究.27MP2DRR平安模型PMRRD平安模型MP2DRR訪問(wèn)控制機(jī)制入侵檢測(cè)機(jī)制平安響應(yīng)機(jī)制備份與恢復(fù)機(jī)制管理P平安策略.281、TCSEC〔可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)〕2、CC(通用準(zhǔn)那么)3、ITSEC〔歐洲平安評(píng)價(jià)標(biāo)準(zhǔn)〕4、我國(guó)的標(biāo)準(zhǔn)§2.3信息平安管理研究二、平安標(biāo)準(zhǔn)研究.29TCSEC美國(guó)TCSEC(桔皮書)可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)那么。1985年由美國(guó)國(guó)防部制定。TCSEC是歷史上第一個(gè)計(jì)算機(jī)平安評(píng)價(jià)標(biāo)準(zhǔn)。內(nèi)容分為4個(gè)方面:平安政策、可說(shuō)明性、平安保障和文檔。平安等級(jí)劃分為D,C,B,A共4類7級(jí)，由低到高。.30TCSEC.31CC通用評(píng)估準(zhǔn)那么，簡(jiǎn)稱CC，CC源于TCSEC，但完全改進(jìn)了TCSEC。CC定義了作為評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)平安性的根底準(zhǔn)那么，提出了目前國(guó)際上公認(rèn)的表述信息技術(shù)平安性的結(jié)構(gòu)以及如何正確有效地實(shí)施這些功能的保證要求，是目前系統(tǒng)平安認(rèn)證方面最權(quán)威的標(biāo)準(zhǔn)。作為評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)平安性的世界性通用準(zhǔn)那么，是信息技術(shù)平安性評(píng)估結(jié)果國(guó)際互認(rèn)的根底。CC的先進(jìn)性表達(dá)在其結(jié)構(gòu)的開放性、表達(dá)方式的通用性以及結(jié)構(gòu)和表達(dá)方式的內(nèi)在完備性和實(shí)用性四個(gè)方面。.32CCCC分為三個(gè)局部：1)“簡(jiǎn)介和一般模型〞，介紹了CC中的有關(guān)術(shù)語(yǔ)、根本概念和一般模型以及與評(píng)估有關(guān)的一些框架，附錄局部主要介紹“保護(hù)輪廓〞和“平安目標(biāo)〞的根本內(nèi)容；2)“平安功能要求〞，按“類——子類——組件〞的方式提出平安功能要求，每一個(gè)類除正文以外，還有對(duì)應(yīng)的提示性附錄作進(jìn)一步解釋；3)“平安保證要求〞，定義了評(píng)估保證級(jí)別，介紹了“保護(hù)輪廓〞和“平安目標(biāo)〞的評(píng)估，并按“類——子類——組件〞的方式提出平安保證要求。.33ITSEC歐洲的平安評(píng)價(jià)標(biāo)準(zhǔn)〔ITSEC〕是英國(guó)、法國(guó)、德國(guó)和荷蘭制定的IT平安評(píng)估準(zhǔn)那么，較美國(guó)軍方制定的TCSEC準(zhǔn)那么在功能的靈活性和有關(guān)的評(píng)估技術(shù)方面均有很大的進(jìn)步。ITSEC是歐洲多國(guó)平安評(píng)價(jià)方法的綜合產(chǎn)物，應(yīng)用領(lǐng)域?yàn)檐婈?duì)、政府和商業(yè)。該標(biāo)準(zhǔn)將平安概念分為功能與評(píng)估兩局部。功能準(zhǔn)那么從F1～F10共分10級(jí)。1～5級(jí)對(duì)應(yīng)于TCSEC的D到A。F6至F10級(jí)分別對(duì)應(yīng)數(shù)據(jù)和程序的完整性、系統(tǒng)的可用性、數(shù)據(jù)通信的完整性、數(shù)據(jù)通信的保密性以及機(jī)密性和完整性的網(wǎng)絡(luò)平安。.34我國(guó)的評(píng)估標(biāo)準(zhǔn)信息平安等級(jí)是國(guó)家信息平安監(jiān)督管理部門對(duì)計(jì)算機(jī)信息系統(tǒng)重要性確實(shí)認(rèn)。1999年10月我國(guó)公布了?計(jì)算機(jī)信息系統(tǒng)平安保護(hù)等級(jí)劃分準(zhǔn)那么?〔GB17859-1999〕，將計(jì)算機(jī)平安保護(hù)劃分為用戶自主保護(hù)、系統(tǒng)審計(jì)保護(hù)、平安標(biāo)記保護(hù)、結(jié)構(gòu)化保護(hù)、訪問(wèn)驗(yàn)證保護(hù)五個(gè)等級(jí)。.35三、平安測(cè)評(píng)研究1989公布，確立了基于OSI/RM的信息平安體系結(jié)構(gòu)五大類平安效