《信息安全概述》由会员分享,可在线阅读,更多相关《信息安全概述(38页珍藏版)》请在金锄头文库上搜索。
1、信息安全概述,国网江西省电力公司修水县供电分公司朱云龙,课程主要内容,信息安全的目标,信息安全的发展,信息安全的研究内容,2,信息信息就是消息,是关于客观事实的可通讯的知识。信息可以被交流、存储和使用。 信息安全国际标准化组织(ISO)的定义为:“为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露”。,1 信息安全的目标,3,(1)网络安全的任务:保障各种网络资源稳定可靠的运行,受控合法的使用。 (2)信息安全的任务:保证:机密性、完整性、不可否认性、可用性 (3)其他方面:病毒防治,预防内部犯罪,1.1 网络与信息安全的主要任务
2、,4,(1) 信息与网络安全的防护能力较弱。 (2) 基础信息产业相对薄弱,核心技术严重依赖国外。对引进的信息技术和设备缺乏保护信息安全的有效管理和技术改造。 (3) 信息安全管理力度还要加强,法律法规滞后现象急待解决。 (4) 信息犯罪在我国有快速发展的趋势。 (5) 国内具有知识产权的信息与网络安全产品相对缺乏,且安全功能急待提高。 (6)全社会的信息安全意识急待提高,加强专门安全人才的培养刻不容缓。,1.2 我国信息安全的现状,5,1.3 信息安全威胁,信息安全威胁:指某个人、物、事件或概念对信息资源的保密性、完整性、可用性或合法使用性等等所造成的威胁。,攻击就是对安全威胁的具体体现。
3、虽然人为因素和非人为因素都可以对通信安全构成威胁,但是精心设计的人为攻击威胁最大。,6,网络安全攻击的形式,7,被动攻击:目的是窃听、监视、存储数据,但是不修改数据。很难被检测出来,通常采用预防手段来防止被动攻击,如数据加密。主动攻击: 修改数据流或创建一些虚假数据流。常采用数据加密技术和适当的身份鉴别技术。,主动与被动攻击,8,网络安全攻击,截获 以保密性作为攻击目标,表现为非授权用户通过某种手段获得对系统资源的访问,如搭线窃听、非法拷贝等中断(阻断) 以可用性作为攻击目标,表现为毁坏系统资源,切断通信线路等,9,网络安全攻击,篡改 以完整性作为攻击目标,非授权用户通过某种手段获得系统资源后
4、,还对文件进行窜改,然后再把篡改过的文件发送给用户。伪造 以完整性作为攻击目标,非授权用户将一些伪造的、虚假的数据插入到正常系统中,10,1.4 常见的安全威胁,1信息泄露:信息被泄露或透露给某个非授权的实体。2破坏完整性:数据被非授权地进行增删、修改或破坏 而受到损失。3拒绝服务:对信息或其它资源的合法访问被无条件地阻止。4非法使用:某一资源被某个非授权的人,或以非授权的方式使用。5窃听:用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。,11,6业务流分析:通过对系统进行长期监听来分析对通信频度、信息流向等发现有价值的信息和规律。7假冒:通过欺骗通信系统(或用户)达到非法用户冒充
5、成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击。8旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。9授权侵犯:被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其它非授权的目的,也称作“内部攻击”。,1.4 常见的安全威胁,12,10特洛伊木马:软件中含有一个察觉不出的或者无害的程序段,当它被执行时,会破坏用户的安全。这种应用程序称为特洛伊木马。11陷阱门:在某个系统或某个部件中设置的“机关”,使得当提供特定的输入数据时,允许违反安全策略。12抵赖:这是一种来自用户的攻击,比如:否认自己曾经发布过的某条消息、伪造一份对方来
6、信等。13重放:所截获的某次合法的通信数据拷贝,出于非法的目的而被重新发送。14计算机病毒:是一种在计算机系统运行过程中能够实现传染和侵害的功能程序。,1.4 常见的安全威胁,13,15人员不慎:一个授权的人为了钱或利益,或由于粗心,将信息泄露给一个非授权的人。16媒体废弃:信息被从废弃的磁的或打印过的存储介质中获得。17物理侵入:侵入者通过绕过物理控制而获得对系统的访问;,18窃取:重要的安全物品,如令牌或身份卡被盗;19业务欺骗:某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息。,1.4 常见的安全威胁,14,安全威胁的后果,安全漏洞危害在增大,信息对抗的威胁在增加,电力,交通,
7、医疗,金融,工业,广播,控制,通讯,因特网,15,1.5 信息安全的目标,安全工作的目的就是为了在安全法律、法规、政策的支持与指导下,通过采用合适的安全技术与安全管理措施,完成:,使用授权机制,实现对用户的权限控制,即不该拿走 的“拿不走”,同时结合内容审计机制,实现对网络资源及信息的可控性。,使用访问控制机制,阻止非授权用户进入网络,即“进不来”,从而保证网络系统的可用性。,使用加密机制,确保信息不暴漏给未授权的实体或进程,即“看不懂”,从而实现信息的保密性。,16,使用数据完整性鉴别机制,保证只有得到允许的人才能修改数据,而其它人“改不了”,从而确保信息的完整性。,使用审计、监控、防抵赖等
8、安全机制,使得攻击者、破坏者、抵赖者“走不脱”,并进一步对网络出现的安全问题提供调查依据和手段,实现信息安全的可审查性。,1.5 信息安全的目标,17,(1)主动防御保护技术数据加密、身份鉴别、存取控制、权限设置、虚拟专用网(VPN)技术。(2)被动防御保护技术防火墙、入侵检测系统、安全扫描器、口令验证、 审计跟踪、物理保护与安全管理,1.6 信息安全保护技术,18,信息安全是一门涉及计算机科学、网络技术、通信技术、 密码技术、信息安全技术、应用数学、数论、信息论等多种学科的边缘性综合学科。,2 信息安全的研究内容,一、信息安全理论研究 二、信息安全应用研究 三、信息安全管理研究,信息安全研究
9、的内容包括,19,信息安全研究内容及相互关系,20,1、密码理论加密:将信息从易于理解的明文加密为不易理解的密文消息摘要:将不定长度的信息变换为固定长度的摘要数字签名:实际为加密和消息摘要的组合应用密钥管理:研究密钥的产生、发放、存储、更换、销毁,2.1 信息安全理论研究,21,2、安全理论身份认证:验证用户身份是否与其所声称的身份一致授权与访问控制:将用户的访问行为控制在授权范围内审计跟踪:记录、分析和审查用户行为,追查用户行踪安全协议:构建安全平台使用的与安全防护有关的协议,2.1 信息安全理论研究,22,1、安全技术防火墙技术:控制两个安全策略不同的域之间的互访行为漏洞扫描技术:对安全隐
10、患的扫描检查、修补加固入侵检测技术:提取和分析网络信息流,发现非正常访问病毒防护技术:预防病毒入侵,2.2 信息安全应用研究,23,2、平台安全物理安全:主要防止物理通路的损坏、窃听、干扰等网络安全:保证网络只给授权的客户使用授权的服务,保证网络路由正确,避免被拦截或监听系统安全:保证客户资料、操作系统访问控制的安全,同时能对该操作系统上的应用进行审计数据安全:对安全环境下的数据需要进行加密用户安全:对用户身份的安全性进行识别边界安全:保障不同区域边界连接的安全性,2.2 信息安全应用研究,24,信息安全保障体系、信息安全应急反应技术、安全性能测试和评估、安全标准、法律、管理法规制定、安全人员
11、培训提高等。,2.3 信息安全管理研究,1、安全策略研究 2、安全标准研究 3、安全测评研究,三分技术,七分管理!,25,一、安全策略 指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。该安全策略模型包括了建立安全环境的三个重要组成部分,即威严的法律、先进的技术、严格的管理。,2.3 信息安全管理研究,安全策略是建立安全系统的第一道防线,确保安全策略不与公司目标和实际活动相抵触,给予资源合理的保护,26,以安全策略为核心的安全模型,ISS(Internet Security Systems InC.)提出,2.3 信息安全管理研究,27,MP2DRR安全模型,P,M,R,R,
12、D,安全模型 MP2DRR,访问控制机制,入侵检测机制,安全响应机制,备份与恢复机制,管理,P,安全策略,28,1、TCSEC(可信计算机系统评估标准) 2、CC(通用准则) 3、ITSEC(欧洲安全评价标准) 4、我国的标准,2.3 信息安全管理研究,二、安全标准研究,29,TCSEC,美国TCSEC(桔皮书)可信计算机系统评估准则。1985年由 美国国防部制定。TCSEC是历史上第一个计算机安全评价标准。内容分为4个方面:安全政策、可说明性、安全保障和文档。安全等级划分为 D,C,B,A 共4类7级,由低到高。,30,TCSEC,31,CC,通用评估准则,简称CC,CC源于TCSEC,但完
13、全改进了TCSEC。CC定义了作为评估信息技术产品和系统安全性的基础准则,提出了目前国际上公认的表述信息技术安全性的结构以及如何正确有效地实施这些功能的保证要求,是目前系统安全认证方面最权威的标准。作为评估信息技术产品和系统安全性的世界性通用准则,是信息技术安全性评估结果国际互认的基础。 CC的先进性体现在其结构的开放性、表达方式的通用性以及结构和表达方式的内在完备性和实用性四个方面。,32,CC,CC分为三个部分:1) “简介和一般模型”,介绍了CC中的有关术语、基本概 念和一般模型以及与评估有关的一些框架,附录部分主要介绍“保护轮廓”和“安全目标”的基本内容;2) “安全功能要求”,按“类
14、子类组件”的方式提出安全功能要求,每一个类除正文以外,还有对应的提示性附录作进一步解释;3) “安全保证要求”,定义了评估保证级别,介绍了“保护轮廓”和“安全目标”的评估,并按“类子类组件”的方式提出安全保证要求。,33,ITSEC,欧洲的安全评价标准(ITSEC)是英国、法国、德国和荷兰制定的IT安全评估准则,较美国军方制定的TCSEC准则在功能的灵活性和有关的评估技术方面均有很大的进步。 ITSEC是欧洲多国安全评价方法的综合产物,应用领域为军队、政府和商业。该标准将安全概念分为功能与评估两部分。功能准则从F1F10共分10级。 15级对应于TCSEC的D到A。F6至F10级分别对应数据和
15、程序的完整性、系统的可用性、数据通信的完整性、数据通信的保密性以及机密性和完整性的网络安全。,34,我国的评估标准,信息安全等级是国家信息安全监督管理部门对计算机信息系统重要性的确认。 1999年10月我国颁布了计算机信息系统安全保护等级划分准则(GB 17859-1999),将计算机安全保护划分为用户自主保护、系统审计保护、安全标记保护、结构化保护、访问验证保护五个等级。,35,三、安全测评研究,1989颁布,确立了基于OSI/RM的信息安全体系结构 五大类安全服务 鉴别、访问控制、机密性、完整性、抗否认 八类安全机制 加密、数字签名、访问控制、数据完整性、 鉴别交换、业务流填充、路由控制、公证 OSI安全管理 ITU X.800, 1991年颁布,2.3 信息安全管理研究,36,3 信息安全的发展,通信保密(COMSEC):60-70年代信息保密 信息安全(INFOSEC):80-90年代机密性、完整性、可用性、不可否认性 信息保障(IA):90年代-至今对整个信息和信息系统进行动态保护与防御,37,38,谢谢大家!,
