《信息安全导论》课件第2章

第二章什么是信息安全

浙江财经学院计算机应用研究所所长王继林教授（博士）

Wangjilin1965@21(1)广义的信息安全，是指一个国家或地区的信息化状态和信息技术体系不受威胁和侵害；狭义的信息安全，是指信息系统和信息网络及其数据、内容等不被破坏或泄露、不被非法更改，信息系统保持连续可靠运行、信息服务不中断。

(2)

我国信息安全保障体系由四部分构成：以信息系统安全等级保护和风险评估为手段的等级化安全管理体系，以密码技术为基础的网络信任体系，以纵横协调、部门协同为保障的信息安全监控体系和以提高响应力、处置力为目标的信息安全应急保障体系。

提示1(3)狭义的信息安全，是指信息系统和信息网络及其数据、内容等不被破坏或泄露、不被非法更改，信息系统保持连续可靠运行、信息服务不中断。保密性、完整性和可用性是狭义信息安全要实现的主要安全目标，安全目标的表述需要用数学模型语言来刻画。分层防御是做好信息安全工作的客观要求。

提示1

(1)概念

信息安全、机密性、完整性、不可否认性、可用性等

(2)进一步深化

对TCP/IP协议的理解。

提示2-----本章重点5讨论议题1什么是信息安全2广义信息安全3狭义信息安全第1节

什么是信息安全

什么是安全?安全：远离危险的状态或特征。安全是关于财产的保护。信息安全主要考虑信息资源所面临的威胁。信息安全主要考虑对信息资源的保护信息安全信息安全的概念，有广义和狭义两种。广义的信息安全，是指一个国家或地区的信息化状态和信息技术体系不受威胁和侵害；狭义的信息安全，是指信息系统（包括信息网络）的硬件、软件及其数据、内容等不被破坏或泄露、不被非法更改，信息系统保持连续可靠运行、信息服务不中断的一种状态。信息安全图解信息安全国家层面信息安全行业层面信息安全单位和个人信息安全信息安全信息安全技术信息安全管理对信息安全的认识发展信息保密——最早（炼丹术配方保密）通信保密（comsec)——一直持续到20世纪80年代信息保护（infosec)——80到90年代，计算机发展信息保障（IA)——20世纪90年代后，互联网发展随着Internet的发展，认识到单纯的被动的保护不能适应全球化网络数字环境的安全需求，美国提出了信息保障（IA)的概念，提出了“纵深防御”的思想proetect-detect-response-restore.如何做好信息安全工作分层防御是做好信息安全工作的客观要求安全管理要求信息安全的发展观1.全面观从信息安全涉及政权巩固到涉及政权巩固和生产力的发展，到全面影响国家安全；美国网络空间安全战略；俄罗斯国家安全学说；我国《关于加强信息安全保障工作的意见》2．适度风险观从绝对的安全到承担适度风险的安全脆弱性分析：资产评估；威胁产生后果的可能性分析；降低风险；避免风险；转嫁风险；接受风险（承受的适度风险）；威胁分析；3．积极防御观从被动防护到积极防御：发展计算机取证技术；制定犯罪处罚的法律；加强技术执法队伍；信息战

4．全局观从个人自扫门前雪到依靠全社会的力量.

第2节

广义信息安全信息时代的国家安全观有人认为有如下5个方面国家领土完整政治制度与文化意识形态的保持经济繁荣和科技的发展国家荣誉的维护和国家影响力的发挥未来生存的前景得到保障。构成国家安全利益的内在要素美国国家安全利益界定（美国国防部《四年防务评估报告》2001对国家利益做如下表述*确保美国的安全和行动自由——美国的主权、领土完整及自由——美国公民在国内外的安全保护美国的要害基础设施*履行国际承诺——盟国和友国的安全与繁荣——防止敌人主宰关键地区——西半球的和平与稳定*对经济繁荣做出贡献——全球经济活力和生产力——国际海域、空域以及信息交流通道的安全——进入关键市场和获得战略资源传统国家安全观主要是指国家的政治安全和军事安全。

-即国家的生存不受威胁。就国家外部安全而言，主要是指国家独立，主权和领土完整，不存在军事威胁和军事入侵。在经济全球化之前往往表现为：一个国家可以通过战争和军事威胁占领和控制其他国家的经济、社会、文化等一个国家也可以通过反侵略战争而保护自己的经济、社会、文化等的安全军事安全威胁呈现为国家安全的主要因素非传统国家安全观在经济全球化和信息网络化的时代，经济和信息在国家之间相互渗透并形成国家之间的利益相互制衡。国家之间特别是大国之间的军事制衡可能起到制约或避免战争的作用。军事安全仍然是对国家安全重要的威胁，但不是唯一的。除军事、政治和外交冲突以外的其他因素也对主权国家及人类整体生存与发展构成威胁。国土安全、经济安全、文化安全、信息安全、社会安全等从不同的角度构成直接对国家安全威胁的重要因素。信息安全在国家安全中占有极其重要的战略地位，从某种意义上说已经成为国家安全的基石和核心。信息安全在国家安全中的战略地位信息安全已经成为影响国家政治安全的重要因素信息安全是否有保障直接关系到国家主权能否得到有效维护。“网络政治动员”难以控制，挑战政府权威，损害政治稳定。“颠覆性宣传”防不胜防，直接威胁国家政权。国家形象更容易遭到歪曲和破坏。信息安全在国家安全中的战略地位信息安全是国家经济安全的重要前提信息安全关乎国家经济安全的全局。信息产业发展状况令人担忧，国家经济安全遭受直接损失。网络经济犯罪严重威胁国家经济利益。金融安全面临更大挑战。信息安全在国家安全中的战略地位信息安全是国家文化安全的关键网络文化霸权主义严重危害他国文化安全。国家民族传统文化的继承和发扬遭到挑战。社会意识形态遭受重大威胁。社会价值观念和道德规范遭受冲击。信息安全在国家安全中的战略地位信息安全是国家军事安全的重要保障“信息威慑”对军事安全的影响不容忽视。网络信息战将成为21是世纪典型的战争形态。黑客攻击与军事泄密危及军事安全。“制信息权”对战争胜负意义重大。信息安全在国家安全中的战略地位例：信息安全与军事美国著名未来学家阿尔温托尔勒说过“谁掌握了信息，控制了网络，谁将拥有整个世界。美国前总统克林顿说过“今后的时代，控制世界的国家将不是靠军事，而是信息能力走在前面的国家”。美国前陆军参谋长沙利文上将说过“信息时代的出现，将从根本上改变战争的进行方式”。美国对“非对称威胁”的关注美国军队对非对称威胁的定义是：在利用美国弱点的同时，敌人使用大大不同于美国采取的传统军事行动模式，试图阻止或削弱美国的力量。美国战略专家认为，非对称威胁的类型有六种：——核打击——化学武器行动——信息武器行动——选择作战观念——恐怖主义行动2006—2020年国家信息化发展战略

我国信息化发展的战略重点

（一）推进国民经济信息化

（二）推行电子政务

(三)建设先进网络文化

(四)推进社会信息化

(五)完善综合信息基础设施

(六)加强信息资源的开发利用

(七)提高信息产业竞争力

(八)建设国家信息安全保障体系

(九)提高国民信息技术应用能力，造就信息化人才队伍

2006—2020年国家信息化发展战略

(八)建设国家信息安全保障体系全面加强国家信息安全保障体系建设。坚持积极防御、综合防范，探索和把握信息化与信息安全的内在规律，主动应对信息安全挑战，实现信息化与信息安全协调发展。坚持立足国情，综合平衡安全成本和风险，确保重点，优化信息安全资源配置。建立和完善信息安全等级保护制度，重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统。加强密码技术的开发利用。建设网络信任体系。加强信息安全风险评估工作。建设和完善信息安全监控体系，提高对网络安全事件应对和防范能力，防止有害信息传播。高度重视信息安全应急处置工作，健全完善信息安全应急指挥和安全通报制度，不断完善信息安全应急处置预案。从实际出发，促进资源共享，重视灾难备份建设，增强信息基础设施和重要信息系统的抗毁能力和灾难恢复能力。大力增强国家信息安全保障能力。积极跟踪、研究和掌握国际信息安全领域的先进理论、前沿技术和发展动态，抓紧开展对信息技术产品漏洞、后门的发现研究，掌握核心安全技术，提高关键设备装备能力，促进我国信息安全技术和产业的自主发展。加快信息安全人才培养，增强国民信息安全意识。不断提高信息安全的法律保障能力、基础支撑能力、网络舆论宣传的驾驭能力和我国在国际信息安全领域的影响力，建立和完善维护国家信息安全的长效机制。

2006—2020年国家信息化发展战略

(五)推进信息化法制建设加快推进信息化法制建设，妥善处理相关法律法规制定、修改、废止之间的关系，制定和完善信息基础设施、电子商务、电子政务、信息安全、政府信息公开、个人信息保护等方面的法律法规，创造信息化发展的良好法制环境。根据信息技术应用的需要，适时修订和完善知识产权、未成年人保护、电子证据等方面的法律法规。加强信息化法制建设中的国际交流与合作，积极参与相关国际规则的研究和制定。(六)加强互联网治理坚持积极发展、加强管理的原则，参与互联网治理的国际对话、交流和磋商，推动建立主权公平的互联网国际治理机制。加强行业自律，引导企业依法经营。理顺管理体制，明确管理责任，完善管理制度，正确处理好发展与管理之间的关系，形成适应互联网发展规律和特点的运行机制。坚持法律、经济、技术手段与必要的行政手段相结合，构建政府、企业、行业协会和公民相互配合、相互协作、权利与义务对等的治理机制，营造积极健康的互联网发展环境。依法打击利用互联网进行的各种违法犯罪活动，推动网络信息服务健康发展。胡锦涛总书记在2007年1月23日中共中央政治局举行第三十八次集体学习时发表讲话指出，能否积极利用和有效管理互联网，关系到国家文化信息安全和国家长治久安，关系到中国特色社会主义事业的全局。高度概括国家信息安全保障体系建设

信息安全保障体系信息安全保障工作是一项复杂的系统工程。涉及到安全策略、安全技术、安全管理等各个方面。应当把有关策略、技术、管理等有机地结合起来建立一个信息安全保障体系,使之成为一个整体的安全屏障。所谓信息安全保障体系，是由各个安全防范构件（单元）有机集成的，实现信息安全保障目标的架构。组织管理技术保障基础设施产业支撑人材培养环境建设国家信息安全保障体系框架信息安全保障体系信息安全保障体系由四部分构成：以信息系统安全等级保护和风险评估为手段的等级化安全管理体系，以密码技术为基础的网络信任体系，以纵横协调、部门协同为保障的信息安全监控体系，以提高响应力、处置力为目标的信息安全应急保障体系。着力提升四项能力（一）基础支撑能力要努力信息安全提供比较完整的基础支撑。如建设好信息安全测评中心、信息系统保密技术监督管理中心、计算机网络应急技术处理协调中心、电子证书认证中心、容灾备份中心、电子政务内网违规外联安全监管平台、互联网安全监管平台和信息安全攻防实验室等信息安全基础设施。着力提升四项能力(二）防护对抗能力按照积极防范、综合防御的要求，探索形成“以防为主、攻防并举”的管理工作思路。（三）应急容灾能力确保事件发生时的及时响应、合理处置和快速恢复。增强重要信息系统容灾能力。着力提升四项能力（四）自主可控能力开展信息安全标准规范建设促进信息安全产业发展。积极推广应用国产信息产品。积极发展信息安全服务。目前，我国信息安全保障的重点在国家层面主要涉及到：保护国家关键基础设施维护社会稳定我国信息安全保障工作的重点基础信息网络（公共电信网络、广电传输网络、互联网等）党政机关、国防、税务、海关、银行、证券、电力、民航、铁路、能源等物理基础设施国家关键基础设施所依赖的重要信息系统国家关键基础设施维护社会稳定涉及国家的政治安全、文化安全、社会安全等，涉及国家政权的稳定是维护国家安全的重要任务创建安全健康的网络环境，维护社会稳定，建设和谐社会加强信息内容安全的管理是维护社会稳定工作的重要部分。维护社会稳定国家信息安全保障工作要点

实行信息安全等级保护制度：风险与成本、资源优化配置、安全风险评估基于密码技术网络信任体系建设：密码管理体制、身份认证、授权管理、责任认定建设信息安全监控体系：提高对网络攻击、病毒入侵、网络失窃密、有害信息的防范能力重视信息安全应急处理工作：指挥、响应、协调、通报、支援、抗毁、灾备推动信息安全技术研发与产业发展：关键技术、自主创新、强化可控、引导与市场、测评认证、采购、服务信息安全法制与标准建设：信息安全法、打击网络犯罪、标准体系、规范网络行为信息安全人材培养与增强安全意识：学科、培训、意识、技能、自律、守法信息安全组织建设：信息安全协调小组、责任制、依法管理1信息安全技术保障体系1加强自主研发与创新组建研发国家队与普遍推动相结合推动自主知识产权与专利建设技术工程中心与加速产品孵化加大技术研发专项基金全面推动与突出重点的技术研发基础类：风险控制、体系结构、协议工程、有效评估、工程方法关键类：密码、安全基、内容安全、抗病毒、RBAC、IDS、VPN、强审计系统类：PKI、PMI、DRI、KMI、网络预警、集成管理应用类：EC、EG、NB、NS、NM、WF、XML、CSCW物理与环境类：TEMPEX、物理识别前瞻类：免疫技术、量子密码、漂移技术、语义理解识别2建立纵深防御体系网络信息安全域的划分与隔离控制内部网安全服务与控制策略（Intranet）外部网安全服务与控制策略（Extranet)互联网安全服务与控制策略（Internet）公共干线的安全服务与控制策略（有线、无线、卫星）计算环境的安全服务机制多级设防与科学布署策略全局安全检测、集成管理、联动控制与恢复（PDR²）纵深防御体系的安全控制机制公众服务层信息交换层防火墙业务处理层防火墙VPN安全网关关键业务层WWW服务器WWW服务器WWW服务器IntranetInternetExtranet4、安全技术产品与系统互操作性策略体系结构安全协议产品标准安全策略与协定安全基础设施1、大力推动国家信息安全基础的建设基础性、支撑性、服务性、公益性国家专项基金启动建立资质认证机制建立监理机制形成社会化服务和行政监管体系2、社会公共服务类基于数字证书的信任体系（PKI/CA）信息安全测评与评估体系（CC/TCSEC/IATF）应急响应与支援体系（CERT）计算机病毒防治与服务体系（A-Virus）灾难恢复基础设施（DRI）密钥管理基础设施（KMI）基于数字证书的信任体系（PKI/CA）GRCA安全网闸NBCAPMAGCAGRAGRAGCAGRAGRAGCAGCAGRASCAGRACCAICA3、信息安全执法类网上信息内容安全监控体系网络犯罪监察与防范体系电子信息保密监管体系网络侦控与反窃密体系网络预警与网络反击体系推动安全产业发展，支撑安全保障体系建设掌握安全产品的自主权、自控权建设信息安全产品基地形成信息安全产品配套的产业链造就出世界品牌的安全骨干企业安全产品制造业、集成业、服务业全面发展尽快配套信息安全产业管理政策（准入、测评、资质、扶植、、）重视TBT条款运用，保护密码为代表的国内安全产品市场创建一个具有一批高级信息安全人材、雄厚的安全技术队伍、普及安全意识和技术的人材大环境学历教育：专业设置、课程配套高级人材培养：研究生学院、博士后流动站职业和技能培训：上岗和在职培训、考核认证制度信息安全意识提升：学会、协会、论坛、媒体网上教育：信息安全课件、网上课堂信息安全出版物信息安全标准

与

法规环境1、强力推动信息安全标准化工作加强信息安全标准化技术委员会工作积极参予国际信息安全标准制订活动注意采用国际与国外先进标准抓紧制订国家标准和协调行业标准重视强制性和保护性（TBT）标准的制订推动信息安全产品标准互操性的测试和认证兼容性和可扩展性的需要公平、公正、公开机制2、加强信息安全标准的研发、评审、审批密码算法、密钥管理及应用类PKI/PMI类信息安全评估和保障等级类电子证据类内容安全分级及标识类信息安全边界控制及传输安全类身份识别及鉴别协议类网络应急响应与处理类入侵检测框架类信息安全管理类资源访问控制类安全体系结构与协议类安全产品接口与集成管理类信息系统安全工程实施规范类XML、CSCW、Web安全应用类3、加快信息安全法规的制订建立和加强国家信息安全法规咨询委员会的工作规划先行，急用先上借鉴国外先进经验，结合我国国情采取措施缩短需求与立法的时间差4、相关法规需求电子文档与数字签章类数据保密与公开类网络信息内容安全监管类网络信息犯罪与惩治类个人数据保密类（隐私法）数字内容产品版权保护类电子商务运营监管类（EC、NB、NS）网上交易税法类网络信息企业市场准入类密码研制、生产与应用管理类网络媒体监管类网上娱乐活动监管类网上通信联络监管类第3节狭义信息安全GoalsofanInformation

SecurityProgramConfidentialityPreventthedisclosureofsensitiveinformationfromunauthorizedpeople,resources,andprocessesIntegrityTheprotectionofsysteminformationorprocessesfromintentionaloraccidentalmodificationAvailabilityTheassurancethat