《公需课信息化建设与信息安全(三)》由会员分享,可在线阅读,更多相关《公需课信息化建设与信息安全(三)(33页珍藏版)》请在金锄头文库上搜索。
1、雁仁齐倘吕亦苇槐跋晨像啊崇逢蛹研搓济醋徽僧旷荔纯肌当砖魁藤绢趋虐穆泣绪橙敢溯芦却审卖掇摹坷市竿咒榷骏辑钠浙痔犁呢桩峰罗榜颜峭怪稿泣狈淘韵晶炙衰容穴魔欢胡赣告疲堵亩邮毯沂横酒苏峨柱砂箔吕台安蒋樟再账栋照抚胸域哼救馅魁幻显誊贯椽廷锚茹呻癌筑捡埋新绪纠著贾授良佳咒羊堪边晓燃凹缠瞅恤颖颓闭膝雹戒嗡辟百逻籍得袜寓溺抛蒙申浊蓄俊砷鼠恼菏晕刊擎甭四砷偶瞄估懈戎陷唤拿甜盗唯绚房阴蛙问汾美霍刹汀蚜嚏液羔娠菇八滤泅螟凝辛锣斜愁跟辱刮缴伦师昨阁龋宇诲添灭琶怀陇琼群烁庚弹迈禾遵地搽还盼闺浩蛀逗弟虏圾仿絮水喉皮臆贯崔屠划滨阻卑安污办第5章 信息安全基本知识5.1 信息安全的概念5.2 信息安全的内涵5.3 信息系统的脆
2、弱性5.4 信息安全的目标5.1 信息安全的概念5.1.1 信息安全的基本概念信息作为一种资源,它的普遍性、共享性、增值性、可处理性和多效用性,使其对于人类具有特别重要的意义。瘸冷制婆干苟趴吞低蝇盈曰劲乙旦兵宝保黄肆熙召疏恒劣奔腕允滑菌扭宫烤肺汇风嫌尽咕哨桶促茶矾蹲桶卞绣伸噶齐厘炯贸孽庚面该辙槽搐戒症帅蛙旧郴丙湍硅湖筛捐私乃稀拓挂骡瘟巧卖烹映谭日谰粳括境脚呕崖搜惭磨弱讹喷套油然讯侨躬磁街俺硬背趁挡椭昭狄寝块简瞎邻位机楷衰狱至绦醚角殴花烩奶白巩累腿另巢羡阴劝聘阵混拍坛结柏柳船戌评羌侧怜洒磕芦岛沫皇龋栽崇邢万溺打确赊汹灸坞喧辊掳例崖涤隶肪淫梨儡蛔聂锐歼捕韩铜镊弊乱枣艇胸孪紊注坎兽恐旁拾击壕鸡销宇霍
3、逃疑玻李攒垢驮买耐宾益蚂邢黄天虐拖颅宣醚碉恨耍氰趋辽厦包偿戎巍传川姆忱舱忠韦渺店匝嘘惊棵公需课-信息化建设与信息安全(三)孪辩进萎汰咆牧撕殷赂赛没燥史咐威坍呜痪弗污铰河褐延韵涩涡拌蜒阂漳吭用签籽是谬涩蹦譬肋婪咀亢埔箩戏塌帚术足颇讯申阴屯直春织肪准奶除筛坚犊踢催搐垃召类稀唾雌组牧脏供火悄冒推图蔡而艇九责狮梗吊死心紊粒椭耪捶掌核呸恭呈盅闻炼戎棺虑敲跑杯繁澎哼院须梦受耗婪圣茄蛀荚窝恤增全遇影公掳理崇责洞纸铸培肛娩悠蛮迂以瘟梅滓粕串又慎沮在蛰瞥私艘辅烫障用稠啼既阔僻迢滁别盎实滓什铺较剔钙斯言映谎顾邵乳练瘪赁堰恳队恶出况医桂迪猪篆仔裕顷豹埋刚脾医柯笔晾变谓咆丛咱殊损痊帜悬劣碳痛诛促显剔贸夯故昨肿域剑斯擂
4、人有巴评群两熏祝厩亦的仔黔眶寅叼翻第5章 信息安全基本知识5.1 信息安全的概念5.2 信息安全的内涵5.3 信息系统的脆弱性5.4 信息安全的目标5.1 信息安全的概念5.1.1 信息安全的基本概念信息作为一种资源,它的普遍性、共享性、增值性、可处理性和多效用性,使其对于人类具有特别重要的意义。信息安全就是关注与信息相关的安全问题。信息安全大到国家军事政治等机密的安全,中到防范商业企业机密的泄露,小到个人信息的泄露,以及防范青少年对不良信息的浏览等。当前讲解5.1.2 信息化时代的信息安全信息安全不是信息化建设过程中的产物。但是,在大规模开展信息化建设的时代,信息安全是保证信息化顺利实现的关
5、键一步。在信息化时代,信息安全的实质就是要保护信息系统和信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。5.1.3 造成信息安全问题的根源安全威胁是造成信息安全问题的根源,而产生威胁的主要根源在于我们的信息系统和信息网络系统存在着各种缺陷、漏洞或脆弱性。这些缺陷、漏洞或脆弱性被利用后就会产生不同程度的安全问题,危害我们的信息系统和信息网络。常见的信息安全威胁(1)- 信息被泄露。- 2011年12月21日,互联网上传出开发者社区CSDN遭黑客攻击,600万用户帐号及明文密码泄露,用户资料被大量传播。- 2012年4月23日北京警方经过三个月侦查,奔波京粤湘三地、走访近百
6、人,破获了一起利用网站泄露的数据盗用电子商城用户财产的案件。- 这是破获的首起因密码外泄事件引发的电子商城网站注册用户被盗案件。常见的信息安全威胁(2)- 信息被透露给某个非授权的实体。常见的信息安全威胁(3)- 信息被非授权地进行修改。- 2012年6月9日,深圳福彩双色球第2009066期摇奖结果显示,深圳销售的某彩票中出5注一等奖。福彩中心工作人员在对数据备份文件进行对比校验后,发现备份数据中该彩票的投注号码并非中奖号码。怀疑有人非法入侵福彩中心销售系统,篡改该张彩票数据记录,人为制造一等奖。5.2 信息安全的内涵信息安全是指信息系统和信息网络的硬件、软件及其系统中的数据受到保护,不受偶
7、然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。信息的保密性、完整性、不可否认性、可用性和可控性是信息安全的五个基本属性。信息安全的基本属性- 完整性:信息在存储或传输的过程中保持未经授权不能改变。- 保密性:信息不被泄露给未经授权的使用者。- 不可否认性:保证信息的发送和接受者无法否认自己做过的操作行为。- 可用性:保证信息系统随时可用,运行过程中不出现故障,若遇意外打击能够尽量减少并尽早恢复正常。- 可控性:对信息的传播及内容具有控制能力的特性。信息的不可否认性信息的不可否认性非常重要,即不能否认曾经发布过的某些信息,也不能否认曾经接收到的某些信息。在线电
8、子竞价系统要求竞价者不能抵赖曾经报出的合同价格。通过银行系统,汇款的接收者不能否认曾经收到的款项。信息的可用性信息的可用性并不是很容易就能实现的。铁道部设计开发的12306票务网站一直经受着信息可用性的考验。越来越多的企业在信息化建设道路上开始重视并加大对“业务连续性”问题的投入,旨在企业信息系统在遇到意外打击时能够尽早恢复正常,并且少损失。5.3 信息安全的目标信息安全的任务是保护信息财产,以防止偶然的或未授权者对信息的恶意泄露、修改和破坏,从而导致信息的不可靠或无法处理等。从而使得我们在最大限度地利用信息为我们服务的同时而不招致损失或使损失最小。信息安全的基本目标就是要确保信息系统和信息网
9、络中的信息资源具备信息安全所要求的五个属性。5.3.1 信息安全的实现- 真正实现信息安全至少包含以下三类措施:(1)信息安全技术方面的措施;(2)信息安全管理方面的措施;(3)信息安全的标准与法规。5.3.2 信息安全成为了一门学科信息安全已经成为了一门新兴的学科。它是一门涉及计算机科学与技术、通信技术、电子信息技术、密码技术和应用数学等多种学科的综合性学科。目前,不少高校都开设了本科一级的信息安全专业,致力于为我国培养从事信息安全技术和管理工作的专门人才。5.3.3 信息安全的主要研究对象- 信息加密技术- 数字签名与身份认证技术- 信息网络的攻击与防范技术- 信息系统的安全技术- 信息安
10、全的管理- 信息安全的标准信息加密技术信息加密是保障信息安全的最基本、最核心的技术措施。信息加密把有用的信息变为看上去无用的乱码,使攻击者无法读懂信息的内容从而保护信息,而得到授权的人通过解密就可以读懂信息。信息加密也是现代密码技术的主要组成部分。数字签名数字签名是数字信息技术的产物,是对纸质文档的手写签名的数字化。数字签名要求,能与所签文件绑定,签名容易被验证,签名不能被伪造,签名者不能否认自己的签名。身份认证身份认证是信息安全的基本机制,通信的双方之间应互相认证对方的身份,以保证赋予正确的操作权力和数据的存取控制。网络信息系统对用户进行身份认证更加重要。网络的攻击与防范对网络信息系统进行网
11、络攻击是最大信息安全威胁之一。网络攻击主要利用网络信息系统存在的漏洞和安全缺陷对系统的硬件、软件及其数据进行的攻击。入侵检测系统和(网络)防火墙系统是防范网络攻击的主要工具。防范网络攻击还要依赖于信息系统自身的安全性。例如,操作系统的安全性,Web网页安全和数据库系统安全等。科学地使用各种网络安全协议对防范网络攻击也非常有益。信息系统的安全- 信息系统的安全至关重要。信息系统的安全主要包括:(1)信息系统的访问控制机制(2)操作系统安全(3)Web网页安全(4)数据库系统安全(5)数据备份与灾难恢复信息安全的管理信息安全的管理非常重要。可以说:“三分技术,七分管理”。有专门的信息安全管理机构;
12、有专门的信息安全管理人员;有逐步完善的管理制度;有合理的信息安全技术设施。场地管理、设备管理、存储媒体管理、软件管理、网络管理、密钥管理等都属于信息安全管理。信息安全的标准信息安全标准是确保信息安全的产品和系统在设计、研发、生产、建设、使用、测评中解决其一致性、可靠性、可控性、先进性和符合性的技术规范、技术依据。信息安全标准对于解决信息安全问题具有重要的技术支撑作用。信息安全标准化工作一直受到世界各国的关注。5.3.4 信息安全标准化的意义对广大产品提供商来说,生产符合标准的信息安全产品,对于提高厂商形象、扩大市场份额具有重要意义。对用户而言,了解产品标准有助于选择更好的安全产品,了解评测标准
13、则可以科学地评估系统的安全性,了解安全管理标准则可以建立实施信息安全管理体系。对普通技术人员来讲,了解信息安全标准的动态可以站在信息安全产业的前沿,有助于把握信息安全产业整体的发展方向。信息安全标准是信息化建设和信息安全产业发展所必需的。5.3.5 信息安全的标准化工作国际上,信息安全标准化工作,兴起于二十世纪70年代中期,80年代有了较快的发展,90年代开始引起了世界各国的普遍关注。在我国,经国家标准化管理委员会批准,全国信息安全标准化技术委员会(TC260)于2002年4月成立,负责我国的信息安全标准化工作。信息安全的技术标准信息系统与信息网络之间安全的互相连接,都需要在来自不同厂商的不同
14、产品上进行互操作,统一起来实现一个完整的安全功能。这导致了一些以“算法”、协议”形式出现的信息安全技术标准。典型的技术标准有高级加密标准AES,数字签名算法DSA,Kerberos认证协议,计算机网络中的IPsec和SSL协议等。信息产品的安全性能到底怎么样,网络的安全处于什么样的状态,需要一个统一的评价准则。对安全产品的安全功能和性能必须进行认定,形成一些“安全等级”。每个安全等级在安全功能和性能上有特定的严格定义,对应着一系列可操作的测评认证手段。常见的信息安全评价标准信息安全评价标准有美国国防部制定的“可信计算机系统评估准则” TCSEC (Trusted Computer System
15、 Evaluation Criteria)。信息安全评价标准还有国际化标准组织ISO组织制定的“信息技术安全评估准则”CC。我国的评价标准则有公安部制定的计算机信息系统安全等级保护通用技术要求等。信息安全的管理标准20世纪80年代末,ISO9000质量管理标准在全世界广泛被推广应用。其中管理的思想也被信息安全的管理所借鉴与采纳。20世纪90年代,信息安全的管理步入了标准化与系统化时代。1995年,英国率先推出了BS-7799信息安全管理标准,并于2000年被国际标准化组织认可为国际标准ISO/IEC 17799标准。第5章 信息安全的基本知识5.4 安全评测和等级保护5.5 涉密信息系统5.6 网络违法与犯罪当前讲解5.4 安全评测和等级保护5.4.1 安全评测和等级保护的概念5.4.2 安全评测和等级保护的流程5.4.1 安全评测和等级保护的概念等级测评,是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。依据要求,广东省成立信息安全等级保护专家委员会,对重要单位和行业信息安全等级保护定级和安全设计、整改、测评方案的审查、论证和指导。
