信息安全概述

信息平安概述国网江西省电力公司修水县供电分公司朱云龙课程主要内容信息平安的目标信息平安的开展信息平安的研究内容.22222

信息 信息就是消息，是关于客观事实的可通讯的知识。信息可以被交流、存储和使用。信息平安 国际标准化组织(ISO)的定义为：“为数据处理系统建立和采用的技术和管理的平安保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露〞。§1信息平安的目标.3〔1〕网络平安的任务：保障各种网络资源稳定可靠的运行，受控合法的使用。〔2〕信息平安的任务：保证：机密性、完整性、不可否认性、可用性〔3〕其他方面：病毒防治，预防内部犯罪§1.1网络与信息平安的主要任务.4(1)信息与网络平安的防护能力较弱。(2)根底信息产业相对薄弱，核心技术严重依赖国外。对引进的信息技术和设备缺乏保护信息平安的有效管理和技术改造。(3)信息平安管理力度还要加强,法律法规滞后现象急待解决。(4)信息犯罪在我国有快速开展的趋势。(5)国内具有知识产权的信息与网络平安产品相对缺乏,且平安功能急待提高。(6)全社会的信息平安意识急待提高，加强专门平安人才的培养刻不容缓。§1.2我国信息平安的现状.5§1.3信息平安威胁信息平安威胁：指某个人、物、事件或概念对信息资源的保密性、完整性、可用性或合法使用性等等所造成的威胁。攻击就是对平安威胁的具体表达。虽然人为因素和非人为因素都可以对通信平安构成威胁，但是精心设计的人为攻击威胁最大。.6网络平安攻击的形式.7被动攻击： 目的是窃听、监视、存储数据，但是不修改数据。很难被检测出来，通常采用预防手段来防止被动攻击，如数据加密。主动攻击：修改数据流或创立一些虚假数据流。常采用数据加密技术和适当的身份鉴别技术。主动与被动攻击.8网络平安攻击截获以保密性作为攻击目标，表现为非授权用户通过某种手段获得对系统资源的访问，如搭线窃听、非法拷贝等中断(阻断〕以可用性作为攻击目标，表现为毁坏系统资源，切断通信线路等.9网络平安攻击篡改以完整性作为攻击目标，非授权用户通过某种手段获得系统资源后，还对文件进行窜改，然后再把篡改正的文件发送给用户。伪造以完整性作为攻击目标，非授权用户将一些伪造的、虚假的数据插入到正常系统中.10§1.4常见的平安威胁1．信息泄露：信息被泄露或透露给某个非授权的实体。2．破坏完整性：数据被非授权地进行增删、修改或破坏而受到损失。3．拒绝效劳：对信息或其它资源的合法访问被无条件地阻止。4．非法使用：某一资源被某个非授权的人，或以非授权的方式使用。5．窃听：用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。.116．业务流分析：通过对系统进行长期监听来分析对通信频度、信息流向等发现有价值的信息和规律。

7．假冒：通过欺骗通信系统〔或用户〕到达非法用户冒充成为合法用户，或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击。8．旁路控制：攻击者利用系统的平安缺陷或平安性上的脆弱之处获得非授权的权利或特权。9．授权侵犯：被授权以某一目的使用某一系统或资源的某个人，却将此权限用于其它非授权的目的，也称作“内部攻击〞。§1.4常见的平安威胁.1210．特洛伊木马：软件中含有一个觉察不出的或者无害的程序段，当它被执行时，会破坏用户的平安。这种应用程序称为特洛伊木马。11．陷阱门：在某个系统或某个部件中设置的“机关〞，使得当提供特定的输入数据时，允许违反平安策略。12．抵赖：这是一种来自用户的攻击，比方：否认自己曾经发布过的某条消息、伪造一份对方来信等。13．重放：所截获的某次合法的通信数据拷贝，出于非法的目的而被重新发送。14．计算机病毒：是一种在计算机系统运行过程中能够实现传染和侵害的功能程序。§1.4常见的平安威胁.1315．人员不慎：一个授权的人为了钱或利益，或由于粗心，将信息泄露给一个非授权的人。16．媒体废弃：信息被从废弃的磁的或打印过的存储介质中获得。17．物理侵入：侵入者通过绕过物理控制而获得对系统的访问；18．窃取：重要的平安物品，如令牌或身份卡被盗；19．业务欺骗：某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息。§1.4常见的平安威胁.14平安威胁的后果平安漏洞危害在增大信息对抗的威胁在增加电力交通医疗金融工业播送控制通讯因特网.15§1.5信息平安的目标平安工作的目的就是为了在平安法律、法规、政策的支持与指导下，通过采用适宜的平安技术与平安管理措施，完成：使用授权机制，实现对用户的权限控制，即不该拿走的“拿不走〞，同时结合内容审计机制，实现对网络资源及信息的可控性。使用访问控制机制，阻止非授权用户进入网络，即“进不来〞，从而保证网络系统的可用性。使用加密机制，确保信息不暴漏给未授权的实体或进程，即“看不懂〞，从而实现信息的保密性。.16使用数据完整性鉴别机制，保证只有得到允许的人才能修改数据，而其它人“改不了〞，从而确保信息的完整性。使用审计、监控、防抵赖等平安机制，使得攻击者、破坏者、抵赖者“走不脱〞，并进一步对网络出现的平安问题提供调查依据和手段，实现信息平安的可审查性。§1.5信息平安的目标.17〔1〕主动防御保护技术数据加密、身份鉴别、存取控制、权限设置、虚拟专用网(VPN)技术。〔2〕被动防御保护技术防火墙、入侵检测系统、平安扫描器、口令验证、审计跟踪、物理保护与平安管理§1.6信息平安保护技术.18信息平安是一门涉及计算机科学、网络技术、通信技术、密码技术、信息平安技术、应用数学、数论、信息论等多种学科的边缘性综合学科。§2信息平安的研究内容一、信息平安理论研究二、信息平安应用研究三、信息平安管理研究信息平安研究的内容包括.19信息平安研究内容及相互关系.201、密码理论

加密：将信息从易于理解的明文加密为不易理解的密文

消息摘要：将不定长度的信息变换为固定长度的摘要

数字签名：实际为加密和消息摘要的组合应用

密钥管理：研究密钥的产生、发放、存储、更换、销毁§2.1信息平安理论研究.212、平安理论身份认证：验证用户身份是否与其所声称的身份一致授权与访问控制：将用户的访问行为控制在授权范围内审计跟踪：记录、分析和审查用户行为，追查用户行踪平安协议：构建平安平台使用的与平安防护有关的协议§2.1信息平安理论研究.221、平安技术防火墙技术：控制两个平安策略不同的域之间的互访行为漏洞扫描技术：对平安隐患的扫描检查、修补加固入侵检测技术：提取和分析网络信息流，发现非正常访问病毒防护技术：预防病毒入侵§2.2信息平安应用研究.232、平台平安物理平安：主要防止物理通路的损坏、窃听、干扰等网络平安：保证网络只给授权的客户使用授权的效劳，保证网络路由正确，防止被拦截或监听系统平安：保证客户资料、操作系统访问控制的平安，同时能对该操作系统上的应用进行审计数据平安：对平安环境下的数据需要进行加密用户平安：对用户身份的平安性进行识别边界平安：保障不同区域边界连接的平安性§2.2信息平安应用研究.24信息平安保障体系、信息平安应急反响技术、平安性能测试和评估、平安标准、法律、管理法规制定、平安人员培训提高等。§2.3信息平安管理研究1、平安策略研究2、平安标准研究3、平安测评研究三分技术，七分管理！

.25一、平安策略指在一个特定的环境里，为保证提供一定级别的平安保护所必须遵守的规那么。该平安策略模型包括了建立平安环境的三个重要组成局部，即威严的法律、先进的技术、严格的管理。§2.3信息平安管理研究平安策略是建立平安系统的第一道防线确保平安策略不与公司目标和实际活动相抵触

给予资源合理的保护.26以平安策略为核心的平安模型安全策略防护

检测响应ISS〔InternetSecuritySystemsInC.)提出§2.3信息平安管理研究.27MP2DRR平安模型PMRRD平安模型MP2DRR访问控制机制入侵检测机制平安响应机制备份与恢复机制管理P平安策略.281、TCSEC〔可信计算机系统评估标准〕2、CC(通用准那么)3、ITSEC〔欧洲平安评价标准〕4、我国的标准§2.3信息平安管理研究二、平安标准研究.29TCSEC美国TCSEC(桔皮书)可信计算机系统评估准那么。1985年由美国国防部制定。TCSEC是历史上第一个计算机平安评价标准。内容分为4个方面:平安政策、可说明性、平安保障和文档。平安等级划分为D,C,B,A共4类7级，由低到高。.30TCSEC.31CC通用评估准那么，简称CC，CC源于TCSEC，但完全改进了TCSEC。CC定义了作为评估信息技术产品和系统平安性的根底准那么，提出了目前国际上公认的表述信息技术平安性的结构以及如何正确有效地实施这些功能的保证要求，是目前系统平安认证方面最权威的标准。作为评估信息技术产品和系统平安性的世界性通用准那么，是信息技术平安性评估结果国际互认的根底。CC的先进性表达在其结构的开放性、表达方式的通用性以及结构和表达方式的内在完备性和实用性四个方面。.32CCCC分为三个局部：1)“简介和一般模型〞，介绍了CC中的有关术语、根本概念和一般模型以及与评估有关的一些框架，附录局部主要介绍“保护轮廓〞和“平安目标〞的根本内容；2)“平安功能要求〞，按“类——子类——组件〞的方式提出平安功能要求，每一个类除正文以外，还有对应的提示性附录作进一步解释；3)“平安保证要求〞，定义了评估保证级别，介绍了“保护轮廓〞和“平安目标〞的评估，并按“类——子类——组件〞的方式提出平安保证要求。.33ITSEC欧洲的平安评价标准〔ITSEC〕是英国、法国、德国和荷兰制定的IT平安评估准那么，较美国军方制定的TCSEC准那么在功能的灵活性和有关的评估技术方面均有很大的进步。ITSEC是欧洲多国平安评价方法的综合产物，应用领域为军队、政府和商业。该标准将平安概念分为功能与评估两局部。功能准那么从F1～F10共分10级。1～5级对应于TCSEC的D到A。F6至F10级分别对应数据和程序的完整性、系统的可用性、数据通信的完整性、数据通信的保密性以及机密性和完整性的网络平安。.34我国的评估标准信息平安等级是国家信息平安监督管理部门对计算机信息系统重要性确实认。1999年10月我国公布了?计算机信息系统平安保护等级划分准那么?〔GB17859-1999〕，将计算机平安保护划分为用户自主保护、系统审计保护、平安标记保护、结构化保护、访问验证保护五个等级。.35三、平安测评研究1989公布，确立了基于OSI/RM的信息平安体系结构五大类平安效