第1章信息安全概述.ppt

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2,*,第1章信息安全概述,目 录,1.1,信息的概念,1.2,信息安全的概念,1.3,信息安全的威胁,1.4,信息安全发展的过程,1.5,信息安全基本要素,1.6,信息安全需求,1.7,信息安全的实现,2,前言,随着互联网的飞速发展，信息作为一种无形的资源，被广泛应用于政治、军事、经济、科研等各行各业，其重要性与日俱增。然而，随之所带来的安全性问题也越来越多。,在计算机问世之初，计算机的数量还相当少，懂得计算机技术的人也不多，那时的计算机应用的安全性问题不十分突出。,20,世纪,80,年代以后，分布式网络日益普及，跨国的计算机网络逐渐建立起来，最明显的例子是因特网在全球的迅速普及和发展。,3,前言,根据美国国家科学基金会,(U.S.National Science Foundation),的统计，,1995,2003,年，因特网的用户数从,3 000,万增加到了,10,亿以上，为今天的计算机犯罪的产生和发展提供了温床。,据统计,1998,2003,年，信息安全事件增加了,23,倍,(1998,年为,3734,次，,2003,年为,127 529,次,),。以下是几个计算机犯罪的例子。,4,前言,1988,年,11,月,2,日，美国康奈尔大学的学生罗伯特,莫里斯释放多个蠕虫病毒，造成因特网上近,6 000,台主机瘫痪，据称损失高达几千万美元。,1989,年,3,月,2,日凌晨，,3,名德国黑客因涉嫌向前苏联出售机密情报被捕，他们在两年多的时间内，闯入了许多北约和美国的计算机系统，窃取了许多高度机密的信息。,1996,年,9,月，美国中央情报局的主页被一群远在瑞典的少年黑客改为中央笨蛋局（,Central Stupidity Agency,）。,5,前言,2000,年,10,月，黑客入侵微软公司并获取微软新开发产品的机密源代码事件披露，震动了微软公司高层，其中包括比尔,盖茨本人。有的媒体冠以“黑客太黑，微软太软”的大标题，讽刺微软这样的著名公司都无法挡住黑客凶猛的攻击。,6,前言,上述事实说明，在信息时代，信息系统的安全性已经成为非常重要的研究课题。利用计算机进行信息犯罪已经侵入到政府机关、军事部门、商业、企业等单位。,如果不加以遏制，轻则干扰人们的日常生活，重则造成巨大的经济损失，甚至威胁到国家的安全，所以信息安全已经引起许多国家，尤其是发达国家的高度重视，他们不惜在此领域投入大量的人力、物力和财力，以达到提高计算机信息系统安全的目的。,7,1.1,信息的概念,ISO/IEC,的,IT,安全管理指南（,GMITS,，即,ISO/IEC TR 13335,）对信息（,Information,）的解释是：信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。,一般意义上的信息概念是指事物运动的状态和方式，是事物的一种属性，在引入必要的约束条件后可以形成特定的概念体系。通常情况下，可以把信息可以理解为消息、信号、数据、情报和知识。信息本身是无形的，借助于信息媒体以多种形式存在或传播，它可以存储在计算机、磁带、纸张等介质中，也可以记忆在人的大脑里，还可以通过网络等方式进行传播。,8,1.2,信息安全的概念,“,安全”一词的基本含义为：“远离危险的状态或特性”，或“主观上不存在威胁，主观上不存在恐惧”。在各个领域都存在着安全问题，安全问题是普遍存在的。随着计算机网络的迅速发展，人们对信息的存储、处理和传递过程中涉及的安全问题越来越关注，信息领域的安全问题变得非常突出。,9,1.2,信息安全的概念,信息安全,是一个广泛而抽象的概念，不同领域不同方面对其概念的阐述都会有所不同。建立在网络基础之上的现代信息系统，其安全定义较为明确，那就是：保护信息系统的硬件、软件及相关数据，使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行。在商业和经济领域，信息安全主要强调的是消减并控制风险，保持业务操作的连续性，并将风险造成的损失和影响降低到最低程度。,10,1.2,信息安全的概念,信息安全,就是关注信息本身的安全，而不管是否应用了计算机作为信息处理的手段。信息安全的任务是保护信息资源，以防止偶然的或未授权者对信息的恶意泄露、修改和破坏，从而导致信息的不可靠或无法处理等。这样可以使得人们在最大限度地利用信息的同时损失最小。,11,1.2,信息安全的概念,信息安全,就是关注信息本身的安全，而不管是否应用了计算机作为信息处理的手段。信息安全的任务是保护信息资源，以防止偶然的或未授权者对信息的恶意泄露、修改和破坏，从而导致信息的不可靠或无法处理等。这样可以使得人们在最大限度地利用信息的同时损失最小。,总的来说，凡是涉及到保密性、完整性、可用性、可追溯性、真实性和可靠性保护等方,面的技术和理论，都是信息安全所要研究的范畴，也是信息安全所要实现的目标。,12,1.3,信息安全的威胁,信息安全的威胁是指某个人、物、事件或概念对信息资源的保密性、完整性、可用性或合法使用所造成的危险。攻击就是对安全威胁的具体体现。,目前还没有统一的方法来对各种威胁进行分类，也没有统一的方法来对各种威胁加以区别。信息安全所面临的威胁与环境密切相关，不同威胁的存在及重要性是随环境的变化而变化的。下面给出一些常见的安全威胁。,13,1.3,信息安全的威胁,(1),服务干扰：以非法手段窃得对信息的使用权，恶意添加、修改、插入、删除或重复某些无关信息，不断对网络信息服务系统进行干扰，使系统响应减慢甚至瘫痪，影响用户的正常使用，如一些不法分子在国外干扰我国正常卫星通信等。,(2),恶意访问：没有预先经过授权同意，就使用网络或计算机资源被看作恶意访问，如有意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息等。,14,1.3,信息安全的威胁,(3),自身失误：网络管理员或网络用户都拥有相应的权限，利用这些权限破坏网络安全的可能性也是存在的。如操作口令被泄露，磁盘上的机密文件被人利用及未将临时文件删除导致重要信息被窃取，都有可能使网络安全机制失效，从内部遭受严重破坏。,(4),信息泄露：信息被泄露或透露给某个非授权的实体。,(5),破坏信息的完整性：数据被非授权地进行增删、修改或破坏而受到损失。,15,1.3,信息安全的威胁,(6),拒绝服务：对信息或其他资源的合法访问被无缘无故拒绝。,(7),非法使用：某一资源被某个非授权的人，或以非授权的方式使用。,(8),窃听：用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。,(9),业务流分析：通过对系统进行长期监听，利用统计分析方法对诸如通信频度、通信问题的变化等参数进行研究，从中发现有价值的信息和规律。,(10),假冒：通过欺骗通信系统达到非法用户冒充成为合法用户，或者特权小的用户冒充成特权大的用户的目的。,16,1.3,信息安全的威胁,(11),旁路控制：攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如，攻击者通过各种攻击手段发现原本应该保密，但是却又暴露出来的一些系统“特性”，利用这些“特性”，攻击者可以绕过防线守卫者侵入到系统的内部。,(12),内部攻击：被授权以某一目的的使用某一系统或资源的某个个人，却将此权限用于其他非授权的目的。,(13),特洛伊木马：软件中含有一个察觉不出的或者无害的程序段，当其被执行时，会破坏用户的安全。这种应用程序称为特洛伊木马,(Trojan Horse),。,(14),陷阱门：在某个系统或某个部件中设置的“机关”，使得在特定的数据输入时，允许违反安全策略。,17,1.3,信息安全的威胁,(15),抵赖：这是一种来自用户的攻击，比如：否认自己曾经发布过的某条消息，伪造一份对方来信等。,(16),重放：出于非法目的，将所截获的某次合法的通信数据进行复制，并重新发送。,(17),电脑病毒：一种人为编制的特定程序。它可以在计算机系统运行过程中实现传染和侵害功能。它可以通过电子邮件、软件下载、文件服务器、防火墙等侵入网络内部，删除、修改文件，导致程序运行错误、死机，甚至毁坏硬件。网络的普及为病毒检测与消除带来很大的难度，用户很难防范。,18,1.3,信息安全的威胁,(18),员工泄露：某个授权的人，为了金钱或某种利益，或由于粗心，将信息泄露给某个非授权的人。,(19),媒体废弃：信息被从废弃的磁盘、光盘或纸张等存储介质中获得。,(20),物理侵入：侵入者绕过物理控制而获得对系统的访问。,(21),窃取：重要的安全物品,(,如身份卡等,),被盗用。,(22),业务欺骗：某一伪系统或系统部件欺骗合法的用户或系统自愿放弃敏感信息等。,19,1.3,信息安全的威胁,上面给出的只是一些常见的安全威胁，通常各种威胁之间是相互联系的。如窃听、业务流分析、员工泄露、旁路控制等可造成信息泄露，而信息泄露、窃取、重放可造成假冒，而假冒又可造成信息泄露等等。,对于信息系统来说，威胁可以针对物理环境、通信链路、网络系统、操作系统、应用系统以及管理系统等方面。,要保证信息的安全就必须想办法在一定程度上克服以上的种种威胁。需要指出的是，无论采取何种防范措施都不能保证信息的绝对安全。安全是相对的，不安全才是绝对的。,20,1.4,信息安全发展的过程,信息安全自古以来就是受到人们关注的问题，但在不同的发展时期，信息安全的侧重点,和控制方式是有所不同的。大致说来，信息安全在其发展过程中经历了,3,个阶段。,(1).,早在,20,世纪初期，通信技术还不发达，面对电话、电报、传真等信息交换过程中存在的安全问题，人们强调的主要是信息的保密性，对安全理论和技术的研究也只侧重于密码学，这一阶段的信息安全可以简单称为通信安全，即,COMSEC,（,Communication Security,）。,21,1.4,信息安全发展的过程,(2).20,世纪,60,年代后，半导体和集成电路技术的飞速发展推动了计算机软硬件的发展，计算机和网络技术的应用进入了实用化和规模化阶段，人们对安全的关注已经逐渐扩展为以保密性、完整性和可用性为目标的信息安全阶段，即,INFOSEC,（,Information Security,），具有代表性的成果就是美国的,TCSEC,和欧洲的,ITSEC,测评标准。,22,1.4,信息安全发展的过程,(3).20,世纪,80,年代开始，由于互联网技术的飞速发展，信息无论是对内还是对外都得到极大开放，由此产生的信息安全问题跨越了时间和空间，信息安全的焦点已经不仅仅是传统的保密性、完整性和可用性,3,个原则了，由此衍生出了诸如可控性、抗抵赖性、真实性等其他的原则和目标，信息安全也从单一的被动防护向全面而动态的防护、检测、响应、恢复等整体体系建设方向发展，即所谓的信息保障（,Information Assurance,），这一点在美国的,IATF,规范中有清楚的表述。,23,1.5,信息安全基本要素,信息安全通常强调所谓,CIA,三元组的目标，即保密性、完整性和可用性,CIA,概念的阐述源自信息技术安全评估标准（,ITSEC,，,Information Technology Security Evaluation Criteria,），它也是信息安全的基本要素和安全建设所应遵循的基本原则。,保密性（,Confidentiality,）,确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。,完整性（,Integrity,）,确保信息在存储、使用、传输过程中不会被非授权用户篡改，同时还要防止授权用户对系统及信息进行不恰当篡改，保持信息内、外部表示的一致性。,可用性（,Availability,）,确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。,24,1.5,信息安全基本要素,当然，不同机构和组织，因为需求不同，对,CIA,原则的侧重也会不同，如果组织最关心的是对私密信息的保护，就会特别强调保密性原则，如果组织最关心的是随时随地向客户提供正确的信息，那就会突出完整性和可用性的要求。,除了,CIA,，信息安全还有一些其他原则，包括可追溯性（,Accountability,）、抗抵赖性（,Non-repudiation,）、真实性（,Authenticity,）、可控性（,Controllable,）等，这些都是对,CIA,原则的细化、补充或加强。,25,1.6,信息安全需求,一般来讲，组织的信息安全需求有,3,个来源。,（,1,）法律法规与合同条约的要求,与信息安全相关的法律法规是对组织的强制性要求，组织应该对现有的法律法规加以识别，将适用于组织的法律法规转化为组织的信息安全需求。这里所说的法律法规有,3,个层次，即国家法律、行政法规和各部委和地方的规章及规范性文件。此外，组织还要考虑商务合作者和客户对组织提出的具体的信息安全要求，包括合同约定、招标条件和承诺等。例如，合同中可能会明确要求组织的信息安全管理体系遵循,BS7799,标准。,26,1.6,信息安全需求,（,2,）组织的原则、目标和规定,组织应该根据既定的信息安全方针、要求实现的安全目标和标准来确定组织的信息安全要求，确保支持业务运作的信息处理活动的安全性。,（,3,）风险评估的结果,除了以上两个信息安全需求的来源之外，确定安全需求最主要的一个途径就是进行风险评估，组织对信息资产的保护程度和控制方式的确定都应建立在风险评估的基础之上。一般来讲，通过综合考虑每项资产所面临的威胁、自身的弱点、威胁造成的潜在影响和发生的可能性等因素，组织可以分析并确定具体的安全需求。风险评估是信息安全管理的基础。,27,1.7,信息安全的实现,归纳起来，典型的信息安全技术包括以下几种。,物理安全技术：环境安全、设备安全、媒体安全。,系统安全技术：操作系统及数据库系统的安全性。,网络安全技术：网络隔离、访问控制、,VPN,、入侵检测、扫描评估。,应用安全技术：,Email,安全、,Web,访问安全、内容过滤、应用系统安全。,数据加密技术：硬件和软件加密，实现身份认证和数据信息的,CIA,特性。,认证授权技术：口令认证、,SSO,认证（例如,Kerberos,）、证书认证等。,访问控制技术：防火墙、访问控制列表等。,审计跟踪技术：入侵检测、日志审计、辨析取证。,防病毒技术：单机防病毒技术逐渐发展成整体防病毒体系。,灾难恢复和备份技术：业务连续性技术，前提就是对数据的备份。,28,总 结,这里主要给大家引入了信息安全的一些基本概念。,欢迎大家提问？,29,返回,Thanks For Attendance!,致 谢,30,