《第1章信息安全概论》由会员分享,可在线阅读,更多相关《第1章信息安全概论(69页珍藏版)》请在金锄头文库上搜索。
1、信息安全导论导论龙龙毅宏第1章信息安全概论论信息与信息安全的基本概念v什么是信息(Information)?v有很多种定义义v一种比较较普遍的定义义:事物运动动的状态态与方 式(哲学性定义义,抽象)v国际标际标 准化组织组织 (ISO,International Standard Organization):信息是通过过施 加于数据上的某些约约定而赋赋予这这些数据的特 定含义义(最切合计计算机、信息系统领统领 域的定 义义)信息与信息安全的基本概念v信息安全的重要性对对企业业,信息涉及企业业商业业秘密,比如商业规业规 划、投标计标计 划、谈谈判底牌、客户资户资 料、技术术秘 密,直接影响企业业
2、的生存、发发展和成功政府机构,信息涉及行政、施政、建设设秘密,比 如金融信息、统计统计 信息、车辆车辆 限购购、采购购招标标 信息,影响公平正义义、社会稳稳定军军事机构,信息涉及军军事秘密,如装备备情况、部 队队部署情况,关系国家安全对对个人,信息涉及个人隐隐私、财产财产 信息,比如 个人私密照、银银行帐户帐户 ,关系个人声誉、财产财产 安全信息与信息安全的基本概念v什么是信息安全国际标际标 准化组织组织 的定义义是:在技术术上和管理上为为数 据处处理系统统建立的安全保护护,保护护信息系统统的硬件 、软软件及相关数据不因偶然或者恶恶意的原因遭受到 破坏、更改及泄露(这实际这实际 上是对对信息安
3、全措施的 定义义)目的是:确保以电电磁信号为为主要形式的、在计计算机 网络络化系统统中进进行获获取、处处理、存储储和应应用的信息 内容在各个物理及逻辑逻辑 区域中安全存在,并不发发生 任何侵害行为为关键键、核心是数据安全信息安全的发发展阶阶段v信息安全已有很长长久的发发展历历程远远古罗马罗马 的凯凯撒密码码,二次大战战的密码码机,现现 代的数字密码码技术术、量子密码码技术术v到目前为为止,信息安全大致分为为三个阶阶段通信安全(Communications Security) (信息)信息安全(Information Security) (系统统)信息保障(Information Assuran
4、ce)(全方位)即保密、保护护和保障三个阶阶段技术术上:从信息数据到系统统到全方位、全生命周 期的安全保护护和防护护通信安全v保障通过过通信设设施传输传输 和交换换的信息和数据 的安全v强调调的是信息内容的保密性,防止信源、信 宿之外的对对象获获得信息数据v技术术手段包括对线对线 路加密、对对信息(数据)内 容加密v安全研究的重点是密码码学和密码码技术术信息安全v针对针对 网络络化计计算机信息系统统的安全保护护v包括防火墙墙、入侵检测检测 、漏洞扫扫描、VPN 、杀杀毒软软件、安全计计算机操作系统统、安全 身份认证认证 、数字签签名、访问访问 控制、安全审审 计计等安全技术术v实现实现 信息系
5、统统及数据的机密性、真实实性、 完整性、可用性、可控性和不可否认认性(抗 抵赖赖)的安全目标标v这这些同时时也是信息系统统及数据的安全属性信息的安全属性v机密性(Confidentiality):信息只能为为授权权者使用 而不泄露给给未经经授权权者的特性v真实实性(Authenticity):信息不是假冒或伪伪造的v完整性(Integrity):信息在存储储和传输过传输过 程中不出 现现未经经授权权的改变变的特性v可用性(Availability):信息系统统和信息随时时可供授 权权者使用的特性v可控性(Controllability):授权实权实 体可控制信息系 统统和信息的使用的特性v不可
6、否认认性(non-repudiation):实实体无法否认针认针 对对信息的操作行为为的特性,也称抗抵赖赖信息系统统安全标标准v出现现了一系列的计计算机信息系统统安全测评认测评认 证标证标 准欧洲ITSEC(Information Technology Security Evaluation Criteria),信息系统统安全评评估准则则美国TCSEC(Trusted Computer System Evaluation Criteria),可信计计算机系统评统评 估准则则国际际The Common Criteria for Information Technology Security Ev
7、aluation (Common Criteria or CC) (ISO/IEC 15408),信息技术术安全 评评估通用准则则信息安全保障v动态动态 地、全方位、全周期地保护护信息系统统和 信息的安全方案v1996美国国防部提出了信息安全保障的概念 ,包括保护护(Protect)、检测检测 (Detect)、反应应 (React)、恢复(Restore)四个方面信息安全保障v我国提出的信息安全保障概念是:信息保障是 对对信息和信息系统统的安全属性及功能、效率进进 行保障的动态动态 行为过为过 程。它运用源于人、管理 、技术术等因素形成的预预警能力、保护护能力、检检 测测能力、反应应能力、恢
8、复能力和反击击能力,在 信息和系统统生命周期全过过程的各个状态态下,保 证证信息内容、计计算环环境、边边界与连连接、网络络基 础设础设 施的真实实性、可用性、完整性、保密性、 可控性、不可否认认性等安全属性,从而保障应应 用服务务的效率和效益,促进进信息化的可持续续健 康发发展信息保障的三个要素信息保障人 (关键)技术 (手段)管理 (保障)信息安全威胁胁与风险风险v信息的安全属性主要包括机密性、真实实性、完 整性、可用性、可控性、不可否认认性v安全威胁胁与风险风险 是针对针对 信息的这这些安全属性 的潜在攻击击,并由此可能带带来的损损害和损损失v信息安全威胁胁与风险风险 的基本类类型信息窃听
9、与泄露信息伪伪造与假冒信息篡篡改与完整性破坏拒绝绝服务务攻击击及服务务不可用未授权访问权访问 与窃取信息窃听与泄露v由于缺乏有效的保护护措施或意识识,信息被有 意或无意泄露给给非授权权的实实体v信息在传输过传输过 程中被监监听、窃听(sniffing、 eavesdrop),斯诺诺登爆料的美国棱镜计镜计 划v威胁胁信息的机密性(私密性)信息伪伪造与假冒v信息伪伪造与假冒一个实实体假冒其他实实体发发布信息,或者从事网络络 活动动威胁胁信息的真实实性信息篡篡改与完整性破坏v未经经授权对权对 信息进进行修改、插入、删删除,使 信息发发生不应应有的变变化,如电电子文档、交易 订单订单 、合同的篡篡改v
10、破坏了信息的完整性拒绝绝服务务攻击击及服务务不可用v攻击击者故意对对信息系统进统进 行超过过其处处理能力 的访问访问 ,使信息系统统超载载或崩溃溃,从而无法 正常进进行业务处业务处 理或向其他实实体提供服务务, 即导导致服务务不可用v称为为Denial of Services(DOS)攻击击v破坏信息系统统和信息的可用性未授权访问权访问 与窃取v即一个实实体未经经授权权地访问访问 信息资资源,或者 超越其权权限访问访问 信息资资源,如有意地避开信 息系统访问统访问 控制机制或者非法获获取权权限v破坏信息和信息系统统的可控性和机密性信息系统统安全威胁胁的主要表现现形 式 v针对针对 物理环环境、
11、通信链链路、网络络系统统、操作系 统统、应应用系统统、管理系统统等的攻击击v攻击击形式包括攻击击原始资资料破坏基础设础设 施攻击击信息系统统攻击击信息传输传输恶恶意伪伪造、假冒内部攻击击自身失误误攻击击原始资资料v人员员泄露:有接触敏感信息权权限的人有意或无意地将信息泄露给给其 他非授权权人员员、竞竞争对对手甚至敌对敌对 人员员v废废弃的涉密介质质、计计算机:对对包含敏感信息的存储储介质质(如磁盘盘、光盘盘、USB)以 及计计算机,不按安全要求销销毁,随便当废废物处处置,导导致 信息泄露v丢丢失的涉密介质质、计计算机:丢丢失包含敏感信息的存储储介质质以及计计算机,导导致信息泄 露v盗窃:盗窃包
12、含敏感信息的存储储介质质、计计算机,导导致信息泄露破坏基础设础设 施v破坏电电力系统统:损损坏输输配电设备电设备 ,切断输电电输电电 路,导导致信息系 统统不能工作v破坏通信网络络:切断网络传输线络传输线 路,使得信息系统统无法访问访问v破坏信息系统场统场 所:直接攻击击数据中心或信息中心建筑及设设施攻击击信息系统统v物理入侵:绕过绕过 物理防护护措施,直接接触信息系统统或计计算 机,获获取其中的敏感信息,如艳艳照门门v特洛伊木马马:通过过在应应用程序、页页面中注入木马马程序(潜伏的 卧底!)获获取用户户的敏感信息,是目前使用最广 泛、危害最大的攻击击手段之一v口令猜测测:用户户名、口令简单简
13、单 易用,但不安全,为为了方便 记忆记忆 ,口令常常很简单简单 ,很容易猜测测;口令猜 测测是最简单简单 也是非常有效的入侵手段!攻击击信息系统统v非授权访问权访问 :利用信息系统统、计计算机系统统的安全缺陷、漏洞,非法 获获得访问访问 信息系统统、计计算机系统统的权权限,如利用 Windows操作系统统、应应用程序的安全漏洞进进行远远程 控制和非法访问访问 (如利用SQL语语句注入攻击击数据库库, 内网不慎功能外挂)v服务务干扰扰:通过过拒绝绝服务务攻击击(DOS)导导致系统统服务务响应变应变 慢甚 至瘫痪瘫痪v计计算机病毒:通过过程序、网站散布计计算机病毒,导导致计计算机系统统或 信息系统
14、统无法正常工作,达到攻击击的目的计计算机病毒攻击击典型案例1v1991年的海湾战战争中,美军军就对对伊拉克实实施 了网络战络战 。开战战前,美国中央情报报局派特工 到伊拉克,将其从法国购买购买 的防空系统统使用 的打印机芯片换换上了含有计计算机病毒的芯片 。在战战略空袭袭前,又用遥控手段激活了病毒 ,致使伊防空指挥挥中心主计计算机系统统程序错错 乱,防空C3I系统统失灵。计计算机病毒攻击击典型案例2v1999年的科索沃 战战争中,网络战络战 的规规模和 效果都有增无减。南联联盟使用多种计计算机病 毒,组织组织 “ 黑客”实实施网络络攻击击,使北约军约军 队队的一些网站被垃圾信息阻塞,北约约的一
15、些 计计算机网络络系统统曾一度瘫痪瘫痪 。北约约一方面强 化网络络防护护措施,另一方面实实施网络络反击击 战战,将大量病毒和欺骗骗性信息注入南军计军计 算 机网络络系统统,致使南军军防空系统统陷于瘫痪瘫痪 。计计算机病毒攻击击典型案例3v 人民网新德里(2010年)9月27日电电 据德黑兰兰媒体报报道,伊朗26日向外界证实证实 ,布什尔 核电电站的计计算机系统统受到Stuxnet蠕虫病毒的攻击击,但核电电站主计计算机系统统运转转安全, 并未出现现故障。伊朗官方也表示,伊朗工程师师具备应对备应对 Stuxnet蠕虫病毒的能力,这这座由 俄罗罗斯公司建造的核电电厂将于下月如期投入运行。调查显调查显
16、 示,布什尔核电电站数名员员工的个人电脑电脑 感染了Stuxnet蠕虫病毒。一名伊朗工 业业和矿业矿业 部信息技术术部门负责门负责 人称,这这种病毒可以将计计算机储储存数据传输传输 到伊朗境外的 IP地址,全国多达3万台电脑电脑 IP地址被这这种蠕虫病毒感染,一场针对场针对 伊朗的电电子网络战络战 已 经经拉开序幕。伊朗媒体援引当地分析人士的判断指出,该该病毒专门针对专门针对 西门门子公司生产产的监监控和 数据采集系统统,一旦计计算机控制系统统感染复杂杂的Stuxnet蠕虫病毒,整个工厂的自动动化运 转转都将陷入混乱。为为此,西门门子公司特意发发布了专门针对这专门针对这 一病毒的免费杀费杀 毒软软件。此前有报报道称,今年6月白俄罗罗斯一家安全公司首次发现发现 Stuxnet病毒,专专家追踪发现发现 该该病毒已传传播到多个国家。这这个利用视视窗操作系统统漏洞的病毒编编写复杂杂,有专专家甚至分 析认为这认为这 可能是某个主权权国家发动发动 的电电子战战。网络络安全公司诺顿诺顿 也
