信息安全概述课件

1、信息安全基础第一章 信息安全概述【学习目标】了解信息安全学习领域的内容、要求；掌握信息与信息安全的概念；了解信息安全面临的威胁类型；了解信息安全的现状和目标；熟悉重要的信息安全模型的主要内容，了解信息系统安全体系结构；了解重要的信息安全评价标准。1.1信息与信息安全1.1.1什么是信息1 信息的定义信息是通过施加于数据上的某些约定而赋予这些数据的特定含义。信息本身是无形的，借助于信息媒体以多种形式存在或传播，可以存储在计算机、磁带、纸张等介质中，也可以记忆在人的大脑里，还可以通过网络、打印机、传真机等方式传播。通常情况下，可以把信息理解为消息、信号、数据、情报、知识等。1.1信息与信息安全1.

2、1信息与信息安全2 信息的安全属性（1）保密性（2）完整性（3）可用性（4）可控性（5）不可否认性1.1信息与信息安全1.1.2什么是信息安全1 信息安全的定义信息安全从广义上讲，是指对信息的保密性、可用性和完整性的保持。由于当今人类社会活动更多的依赖于网络，因此狭义的讲，信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。2 信息安全研究的基本内容（1）研究领域（2）工程技术领域（3）评估与测评领域（4）网络或信息安全管理领域（5）公共安全领域（6）军事领域1.2信息安全面临威胁类型1.2.1计算机

3、网络所面临的主要威胁计算机网络所面临的威胁主要有对网络中信息的威胁和对网络中设备的威胁两种。影响计算机网络的因素有很多，其所面临的威胁也就来自多个方面，主要威胁包括人为的失误、信息截取、内部窃密和破坏、黑客攻击、技术缺陷、病毒、自然灾害等。1.2信息安全面临威胁类型人为的失误信息截取内部窃密和破坏黑客攻击技术缺陷病毒自然灾害等不可抗力因素1.2信息安全面临威胁类型窃听：攻击者通过监视网络数据获得敏感信息；重传：攻击者先获得部分或全部信息，而以后将此信息发送给接收者；伪造：攻击者将伪造的信息发送给接收者；篡改：攻击者对合法用户之间的通信信息进行修改、删除、插入，再发送给接收者；1.2信息安全面临

4、威胁类型拒绝服务攻击：供给者通过某种方法使系统响应减慢甚至瘫痪，阻碍合法用户获得服务；行为否认：通信实体否认已经发生的行为；非授权访问：没有预先经过同意，就使用网络或计算机资源；传播病毒：通过网络传播计算机病毒，其破坏性非常高，而且用户很难防范。1.2信息安全面临威胁类型1.2.2从五个层次看信息安全威胁信息系统的安全威胁是永远存在的，下面从信息安全的五个层次，来介绍信息安全中的信息的安全威胁。物理层安全风险分析网络层安全风险分析操作系统层安全风险分析应用层安全风险分析管理层安全风险分析1.3信息安全的现状与目标1.3.1信息安全的现状1 近年我国信息安全现状2 网络信息安全的发展趋势1.3信

5、息安全的现状与目标1.3.2 信息安全的目标总而言之，所有的信息安全技术都是为了达到一定的安全目标，即通过各种技术与管理手段实现网络信息系统的可靠性、保密性、完整性、有效性、可控性和拒绝否认性。1.4信息安全模型与信息系统安全体系结构1.4.1 信息安全模型概述本节介绍比较流行的信息安全模型，它们是：OSI安全体系结构、基于时间的PDR模型、IATF信息保障技术框架、WPDRRC信息安全模型。1 OSI安全体系结构国际标准化组织（ISO）在对开放系统互联环境的安全性进行了深入研究后，提出了OSI安全体系结构（Open System Interconnection Reference Model

6、），即信息处理系统开放系统互连基本参考模型第二部分：安全体系结构（ISO7498-2:1989），该标准被我国等同采用，即GB/T9387.2-1995。该标准是基于OSI参考模型针对通信网络提出的安全体系架构模型。1 OSI安全体系结构对付典型威胁所采用的安全服OSI协议层与相关的安全服务OSI安全服务与安全机制之间的关系2 基于时间的PDR模型随着信息安全技术的发展，又提出了新的安全防护思想，具有代表性的是ISS公司提出的PDR安全模型，该模型认为安全应从防护（protection）、检测（detection）、响应（reaction）三个方面考虑形成安全防护体系。图1-3 PDR模型3

7、IATF信息保障技术框架当信息安全发展到信息保障阶段之后，人们越发认为，构建信息安全保障体系必须从安全的各个方面进行综合考虑，只有将技术、管理、策略、工程过程等方面紧密结合，安全保障体系才能真正成为指导安全方案设计和建设的有力依据。信息保障技术框架（Information Assurance Technical Framework，IATF）就是在这种背景下诞生的3 IATF信息保障技术框架（1）IATF深度防御战略的三个层面IATF创造性的地方在于，它首次提出了信息保障依赖于人、技术和操作来共同实现组织职能/业务运作的思想，对技术/信息基础设施的管理也离不开这三个要素。I图1-4 IATF的

8、框架模型3 IATF信息保障技术框架（2）IATF深度防御技术方案了明确需求，IATF定义了四个主要的技术焦点领域：保卫网络和基础设施，保卫边界，保卫计算环境和为基础设施提供支持，这四个领域构成了完整的信息保障体系所涉及的范围。3 IATF信息保障技术框架图1-5 IATF-分层多点深度防御3 IATF信息保障技术框架在深度防御技术方案中推荐下列原则：（1）多点防御（2）分层防御4 WPDRRC信息安全模型WPDRRC信息安全模型是我国“八六三”信息安全专家组提出的适合中国国情的信息系统安全保障体系建设模型。WPDRRC模型有6个环节和3个要素。6个环节包括预警（W）、保护（P）、检测（D）、

9、响应（R）、恢复（R）和反击（C）3大要素包括人员、策略和技术，人员是核心，策略是桥梁，技术是保证，落实在WPDRRC的6个环节的各个方面，将安全策略变为安全现实。4 WPDRRC信息安全模型图1-6 WPDRRC信息安全模型1.4信息安全模型与信息系统安全体系结构1.4.2 信息系统安全体系结构1 信息系统安全体系框架信息系统安全的总需求是物理安全、网络安全、数据安全、信息内容安全、信息基础设备安全与公共信息安全的总和。1 信息系统安全体系框架图1-7 信息系统安全体系结构示意图2 技术体系（1）技术体系的内容和作用 技术体系是全面提供信息系统安全保护的技术保障系统。（2）技术体系由两大类构

10、成 技术体系由物理安全技术和系统安全技术两大类构成。（3）技术体系框架信息系统安全体系中技术体系框架的设计，可将协议层次、信息系统构成单元和安全服务（安全机制）作为三维坐标体系的三个维来表示。如图1-8所示。技术体系框架图1-8 安全技术体系三维结构3 组织机构体系组织机构体系是信息系统安全的组织保障系统，由机构、岗位和人事机构3个模块构成。机构的设置分为3个层次：决策层、管理层和执行层。4 管理体系管理是信息系统安全的灵魂。信息系统安全的管理体系由法律管理、制度管理和培训管理3个部分组成。4 管理体系法律管理是根据相关的国家法律、法规对信息系统主体及其与外界关联行为的规范和约束。制度管理是信

11、息系统内部依据系统必要的国家或组织的安全需求制定的一系列内部规章制度，主要内容包括安全管理和执行机构的行为规范、岗位设定及其操作规范、岗位人员的素质要求及行为规范、内部关系与外部关系的行为规范等。培训管理是确保信息系统安全的前提。1.4.3某高校的信息安全体系建设举例以某高校的信息安全体系建设为例，介绍信息安全体系建设思路。1 建设原则和工作路线学校信息安全建设的总体原则是：总体规划、适度防护，分级分域、强化控制，保障核心、提升管理，支撑应用、规范运维。图1-9 信息安全体系建设流程图1.4.3某高校的信息安全体系建设举例2 体系框架信息安全体系框架依据信息安全技术 信息系统安全等级保护基本要

12、求GBT 22239-2008、信息系统等级保护安全建设技术方案设计要求(征求意见稿) ，并吸纳了IATF 模型中“深度防护战略”理论，强调安全策略、安全技术、安全组织和安全运行4 个核心原则，重点关注计算环境、区域边界、通信网络等多个层次的安全防护，构建信息系统的安全技术体系和安全管理体系，并通过安全运维服务和IT SM 集中运维管理(IT Service Management EB/ OL ，基于IT 服务管理标准的最佳实践)，形成了集风险评估、安全加固、安全巡检、统一监控、提前预警、应急响应、系统恢复、安全审计和违规取证于一体的安全运维体系架构大学信息安全体系框架图1-10 大学信息安全

13、体系框架1.5信息安全评价标准信息安全标准是确保信息安全的产品和系统在设计、研发、生产、建设、使用、测评中解决其一致性、可靠性、可控性、先进性和符合性的技术规范和技术依据。1.5.1信息安全相关国际标准1 信息安全评估标准信息技术安全评估标准的历史和发展概况1999年GB17859计算机信息系统安全保护等级划分准则1993年 美国 联邦准则（FC1.0）1993年 加拿大 可信计算机产品评估准则（CTCEC）1991年 欧洲信息技术安全性评估准则（ITSEC）国际通用评估准则1996年，CC1.01998年，CC2.0 1999年，CC2.1 1999年 国际标准ISO/IEC15408200

14、1年 GB/T18336信息技术安全性评估准则1985年美国国防部可信计算机评估准则（TCSEC）1989年 英国可信级别标准（MEMO3 DTI）德国 评估标准（ZSEIC）法国 评估标准（B-W-R BOOK）1993年NIST的MSFR图1-11 信息技术安全评估标准的历史和发展概况1.5信息安全评价标准2 信息安全管理标准（1）ISO/IEC信息安全管理标准（2）英国的信息安全管理标准（BS 7799和BS 15000）（3）美国的信息安全管理标准NIST SP系列特别出版物（4）信息技术服务和信息系统审计治理领域COBIT和ITIL1）信息系统审计领域COBITCOBIT（信息和相关

15、技术的控制目标）模型是美国ISACA协会所提供的一个IT审计和治理的框架。它为信息系统审计和治理提供了一整套的控制目标、管理措施、审计指南。图1-12 COBIT模型2）IT服务管理领域ITILITIL由英国政府部门CCTA在20世纪80年代末制定，现由英国商务部OGC负责管理，主要适用于IT服务管理（ITSM）。图1-13ITIL框架结构信息安全管理标准历史和发展概况脉络图图1-14 信息安全管理标准历史和发展概况脉络图(5)目前应用最广泛的国际信息安全管理标准ISO/IEC 27000标准族ISO 13335标准族1.5信息安全评价标准3.信息安全工程标准SSE-CMM（1）SSE-CMM

16、简介 SSE-CMM是系统安全工程能力成熟模型（Systems Security Engineering Capability Maturity Model）的缩写，是一种衡量系统安全工程实施能力的方法。它描述了一个组织安全工程过程必须包含的本质特征，这些特征是完善的安全工程保证。（2）SSE-CMM应用SSE-CMM可应用于所有从事某种形式的安全工程组织，这种应用与生命期、范围、环境或专业无关。1.5信息安全评价标准1.5.2信息安全相关国内标准1 我国信息技术安全评估标准我国公安部主持制定、国家质量技术监督局发布的中华人民共和国国家标准G817895-1999计算机信息系统安全保护等级划分

17、准则已正式颁布并实施。该准则将信息系统安全分为5个等级：自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。1.5信息安全评价标准1.5.2信息安全相关国内标准2 我国信息安全管理标准 （1）GB/T 20984信息安全风险评估规范（2）其他重要信息安全管理标准3 等级保护标准 1.6 项目小实践【实验名称】网络安全整体规划与实现【实验内容】利用如图1-17所示的网络环境，首先学习利用工具对本地主机运行状态进行安全评估，分析本地主机安全隐患，并生成相应的报告文件。对系统进行综合评估，发现主机应用服务状态，对外安全隐患。利用X-Scan扫描系统漏洞并分析，对漏洞进行防御。最后，形成一个完整的评估报告，并对被分析的网络系统进行改进，提升其整体安全性。1.6 项目小实践【实验原理】风险评估/安全评估是在防火墙、入侵检测、VPN等专项安全技术之上必须考虑的一个问题，因为安全并不是点的概念，而是整体的立体概念。在各种专项技术的基础上，有必要对整个网络信息系统的安全性进行分析评估，以改进系统整体的安全。（1）SecAnalyst运行状态评估（2）MBSA综合评估（3）X-scan攻击扫描评估（4）MSAT安全评估1.6 项目小实践【实验环境】学生可以2人为一组，网络拓扑如图1-17所示；分别对不同网段进行扫描评估等操作