信息安全概述

信息平安概述國網(wǎng)江西省電力公司修水縣供電分公司朱云龍課程主要內(nèi)容信息平安的目標信息平安的開展信息平安的研究內(nèi)容.22222

信息 信息就是消息，是關(guān)于客觀事實的可通訊的知識。信息可以被交流、存儲和使用。信息平安 國際標準化組織(ISO)的定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的平安保護，保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露〞?！?信息平安的目標.3〔1〕網(wǎng)絡(luò)平安的任務(wù)：保障各種網(wǎng)絡(luò)資源穩(wěn)定可靠的運行，受控合法的使用?！?〕信息平安的任務(wù)：保證：機密性、完整性、不可否認性、可用性〔3〕其他方面：病毒防治，預(yù)防內(nèi)部犯罪§1.1網(wǎng)絡(luò)與信息平安的主要任務(wù).4(1)信息與網(wǎng)絡(luò)平安的防護能力較弱。(2)根底信息產(chǎn)業(yè)相對薄弱，核心技術(shù)嚴重依賴國外。對引進的信息技術(shù)和設(shè)備缺乏保護信息平安的有效管理和技術(shù)改造。(3)信息平安管理力度還要加強,法律法規(guī)滯后現(xiàn)象急待解決。(4)信息犯罪在我國有快速開展的趨勢。(5)國內(nèi)具有知識產(chǎn)權(quán)的信息與網(wǎng)絡(luò)平安產(chǎn)品相對缺乏,且平安功能急待提高。(6)全社會的信息平安意識急待提高，加強專門平安人才的培養(yǎng)刻不容緩?！?.2我國信息平安的現(xiàn)狀.5§1.3信息平安威脅信息平安威脅：指某個人、物、事件或概念對信息資源的保密性、完整性、可用性或合法使用性等等所造成的威脅。攻擊就是對平安威脅的具體表達。雖然人為因素和非人為因素都可以對通信平安構(gòu)成威脅，但是精心設(shè)計的人為攻擊威脅最大。.6網(wǎng)絡(luò)平安攻擊的形式.7被動攻擊： 目的是竊聽、監(jiān)視、存儲數(shù)據(jù)，但是不修改數(shù)據(jù)。很難被檢測出來，通常采用預(yù)防手段來防止被動攻擊，如數(shù)據(jù)加密。主動攻擊：修改數(shù)據(jù)流或創(chuàng)立一些虛假數(shù)據(jù)流。常采用數(shù)據(jù)加密技術(shù)和適當?shù)纳矸蓁b別技術(shù)。主動與被動攻擊.8網(wǎng)絡(luò)平安攻擊截獲以保密性作為攻擊目標，表現(xiàn)為非授權(quán)用戶通過某種手段獲得對系統(tǒng)資源的訪問，如搭線竊聽、非法拷貝等中斷(阻斷〕以可用性作為攻擊目標，表現(xiàn)為毀壞系統(tǒng)資源，切斷通信線路等.9網(wǎng)絡(luò)平安攻擊篡改以完整性作為攻擊目標，非授權(quán)用戶通過某種手段獲得系統(tǒng)資源后，還對文件進行竄改，然后再把篡改正的文件發(fā)送給用戶。偽造以完整性作為攻擊目標，非授權(quán)用戶將一些偽造的、虛假的數(shù)據(jù)插入到正常系統(tǒng)中.10§1.4常見的平安威脅1．信息泄露：信息被泄露或透露給某個非授權(quán)的實體。2．破壞完整性：數(shù)據(jù)被非授權(quán)地進行增刪、修改或破壞而受到損失。3．拒絕效勞：對信息或其它資源的合法訪問被無條件地阻止。4．非法使用：某一資源被某個非授權(quán)的人，或以非授權(quán)的方式使用。5．竊聽：用各種可能的合法或非法的手段竊取系統(tǒng)中的信息資源和敏感信息。.116．業(yè)務(wù)流分析：通過對系統(tǒng)進行長期監(jiān)聽來分析對通信頻度、信息流向等發(fā)現(xiàn)有價值的信息和規(guī)律。

7．假冒：通過欺騙通信系統(tǒng)〔或用戶〕到達非法用戶冒充成為合法用戶，或者特權(quán)小的用戶冒充成為特權(quán)大的用戶的目的。黑客大多是采用假冒攻擊。8．旁路控制：攻擊者利用系統(tǒng)的平安缺陷或平安性上的脆弱之處獲得非授權(quán)的權(quán)利或特權(quán)。9．授權(quán)侵犯：被授權(quán)以某一目的使用某一系統(tǒng)或資源的某個人，卻將此權(quán)限用于其它非授權(quán)的目的，也稱作“內(nèi)部攻擊〞?！?.4常見的平安威脅.1210．特洛伊木馬：軟件中含有一個覺察不出的或者無害的程序段，當它被執(zhí)行時，會破壞用戶的平安。這種應(yīng)用程序稱為特洛伊木馬。11．陷阱門：在某個系統(tǒng)或某個部件中設(shè)置的“機關(guān)〞，使得當提供特定的輸入數(shù)據(jù)時，允許違反平安策略。12．抵賴：這是一種來自用戶的攻擊，比方：否認自己曾經(jīng)發(fā)布過的某條消息、偽造一份對方來信等。13．重放：所截獲的某次合法的通信數(shù)據(jù)拷貝，出于非法的目的而被重新發(fā)送。14．計算機病毒：是一種在計算機系統(tǒng)運行過程中能夠?qū)崿F(xiàn)傳染和侵害的功能程序?！?.4常見的平安威脅.1315．人員不慎：一個授權(quán)的人為了錢或利益，或由于粗心，將信息泄露給一個非授權(quán)的人。16．媒體廢棄：信息被從廢棄的磁的或打印過的存儲介質(zhì)中獲得。17．物理侵入：侵入者通過繞過物理控制而獲得對系統(tǒng)的訪問；18．竊取：重要的平安物品，如令牌或身份卡被盜；19．業(yè)務(wù)欺騙：某一偽系統(tǒng)或系統(tǒng)部件欺騙合法的用戶或系統(tǒng)自愿地放棄敏感信息?！?.4常見的平安威脅.14平安威脅的后果平安漏洞危害在增大信息對抗的威脅在增加電力交通醫(yī)療金融工業(yè)播送控制通訊因特網(wǎng).15§1.5信息平安的目標平安工作的目的就是為了在平安法律、法規(guī)、政策的支持與指導(dǎo)下，通過采用適宜的平安技術(shù)與平安管理措施，完成：使用授權(quán)機制，實現(xiàn)對用戶的權(quán)限控制，即不該拿走的“拿不走〞，同時結(jié)合內(nèi)容審計機制，實現(xiàn)對網(wǎng)絡(luò)資源及信息的可控性。使用訪問控制機制，阻止非授權(quán)用戶進入網(wǎng)絡(luò)，即“進不來〞，從而保證網(wǎng)絡(luò)系統(tǒng)的可用性。使用加密機制，確保信息不暴漏給未授權(quán)的實體或進程，即“看不懂〞，從而實現(xiàn)信息的保密性。.16使用數(shù)據(jù)完整性鑒別機制，保證只有得到允許的人才能修改數(shù)據(jù)，而其它人“改不了〞，從而確保信息的完整性。使用審計、監(jiān)控、防抵賴等平安機制，使得攻擊者、破壞者、抵賴者“走不脫〞，并進一步對網(wǎng)絡(luò)出現(xiàn)的平安問題提供調(diào)查依據(jù)和手段，實現(xiàn)信息平安的可審查性?！?.5信息平安的目標.17〔1〕主動防御保護技術(shù)數(shù)據(jù)加密、身份鑒別、存取控制、權(quán)限設(shè)置、虛擬專用網(wǎng)(VPN)技術(shù)?！?〕被動防御保護技術(shù)防火墻、入侵檢測系統(tǒng)、平安掃描器、口令驗證、審計跟蹤、物理保護與平安管理§1.6信息平安保護技術(shù).18信息平安是一門涉及計算機科學、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息平安技術(shù)、應(yīng)用數(shù)學、數(shù)論、信息論等多種學科的邊緣性綜合學科?！?信息平安的研究內(nèi)容一、信息平安理論研究二、信息平安應(yīng)用研究三、信息平安管理研究信息平安研究的內(nèi)容包括.19信息平安研究內(nèi)容及相互關(guān)系.201、密碼理論

加密：將信息從易于理解的明文加密為不易理解的密文

消息摘要：將不定長度的信息變換為固定長度的摘要

數(shù)字簽名：實際為加密和消息摘要的組合應(yīng)用

密鑰管理：研究密鑰的產(chǎn)生、發(fā)放、存儲、更換、銷毀§2.1信息平安理論研究.212、平安理論身份認證：驗證用戶身份是否與其所聲稱的身份一致授權(quán)與訪問控制：將用戶的訪問行為控制在授權(quán)范圍內(nèi)審計跟蹤：記錄、分析和審查用戶行為，追查用戶行蹤平安協(xié)議：構(gòu)建平安平臺使用的與平安防護有關(guān)的協(xié)議§2.1信息平安理論研究.221、平安技術(shù)防火墻技術(shù)：控制兩個平安策略不同的域之間的互訪行為漏洞掃描技術(shù)：對平安隱患的掃描檢查、修補加固入侵檢測技術(shù)：提取和分析網(wǎng)絡(luò)信息流，發(fā)現(xiàn)非正常訪問病毒防護技術(shù)：預(yù)防病毒入侵§2.2信息平安應(yīng)用研究.232、平臺平安物理平安：主要防止物理通路的損壞、竊聽、干擾等網(wǎng)絡(luò)平安：保證網(wǎng)絡(luò)只給授權(quán)的客戶使用授權(quán)的效勞，保證網(wǎng)絡(luò)路由正確，防止被攔截或監(jiān)聽系統(tǒng)平安：保證客戶資料、操作系統(tǒng)訪問控制的平安，同時能對該操作系統(tǒng)上的應(yīng)用進行審計數(shù)據(jù)平安：對平安環(huán)境下的數(shù)據(jù)需要進行加密用戶平安：對用戶身份的平安性進行識別邊界平安：保障不同區(qū)域邊界連接的平安性§2.2信息平安應(yīng)用研究.24信息平安保障體系、信息平安應(yīng)急反響技術(shù)、平安性能測試和評估、平安標準、法律、管理法規(guī)制定、平安人員培訓(xùn)提高等?！?.3信息平安管理研究1、平安策略研究2、平安標準研究3、平安測評研究三分技術(shù)，七分管理！

.25一、平安策略指在一個特定的環(huán)境里，為保證提供一定級別的平安保護所必須遵守的規(guī)那么。該平安策略模型包括了建立平安環(huán)境的三個重要組成局部，即威嚴的法律、先進的技術(shù)、嚴格的管理。§2.3信息平安管理研究平安策略是建立平安系統(tǒng)的第一道防線確保平安策略不與公司目標和實際活動相抵觸

給予資源合理的保護.26以平安策略為核心的平安模型安全策略防護

檢測響應(yīng)ISS〔InternetSecuritySystemsInC.)提出§2.3信息平安管理研究.27MP2DRR平安模型PMRRD平安模型MP2DRR訪問控制機制入侵檢測機制平安響應(yīng)機制備份與恢復(fù)機制管理P平安策略.281、TCSEC〔可信計算機系統(tǒng)評估標準〕2、CC(通用準那么)3、ITSEC〔歐洲平安評價標準〕4、我國的標準§2.3信息平安管理研究二、平安標準研究.29TCSEC美國TCSEC(桔皮書)可信計算機系統(tǒng)評估準那么。1985年由美國國防部制定。TCSEC是歷史上第一個計算機平安評價標準。內(nèi)容分為4個方面:平安政策、可說明性、平安保障和文檔。平安等級劃分為D,C,B,A共4類7級，由低到高。.30TCSEC.31CC通用評估準那么，簡稱CC，CC源于TCSEC，但完全改進了TCSEC。CC定義了作為評估信息技術(shù)產(chǎn)品和系統(tǒng)平安性的根底準那么，提出了目前國際上公認的表述信息技術(shù)平安性的結(jié)構(gòu)以及如何正確有效地實施這些功能的保證要求，是目前系統(tǒng)平安認證方面最權(quán)威的標準。作為評估信息技術(shù)產(chǎn)品和系統(tǒng)平安性的世界性通用準那么，是信息技術(shù)平安性評估結(jié)果國際互認的根底。CC的先進性表達在其結(jié)構(gòu)的開放性、表達方式的通用性以及結(jié)構(gòu)和表達方式的內(nèi)在完備性和實用性四個方面。.32CCCC分為三個局部：1)“簡介和一般模型〞，介紹了CC中的有關(guān)術(shù)語、根本概念和一般模型以及與評估有關(guān)的一些框架，附錄局部主要介紹“保護輪廓〞和“平安目標〞的根本內(nèi)容；2)“平安功能要求〞，按“類——子類——組件〞的方式提出平安功能要求，每一個類除正文以外，還有對應(yīng)的提示性附錄作進一步解釋；3)“平安保證要求〞，定義了評估保證級別，介紹了“保護輪廓〞和“平安目標〞的評估，并按“類——子類——組件〞的方式提出平安保證要求。.33ITSEC歐洲的平安評價標準〔ITSEC〕是英國、法國、德國和荷蘭制定的IT平安評估準那么，較美國軍方制定的TCSEC準那么在功能的靈活性和有關(guān)的評估技術(shù)方面均有很大的進步。ITSEC是歐洲多國平安評價方法的綜合產(chǎn)物，應(yīng)用領(lǐng)域為軍隊、政府和商業(yè)。該標準將平安概念分為功能與評估兩局部。功能準那么從F1～F10共分10級。1～5級對應(yīng)于TCSEC的D到A。F6至F10級分別對應(yīng)數(shù)據(jù)和程序的完整性、系統(tǒng)的可用性、數(shù)據(jù)通信的完整性、數(shù)據(jù)通信的保密性以及機密性和完整性的網(wǎng)絡(luò)平安。.34我國的評估標準信息平安等級是國家信息平安監(jiān)督管理部門對計算機信息系統(tǒng)重要性確實認。1999年10月我國公布了?計算機信息系統(tǒng)平安保護等級劃分準那么?〔GB17859-1999〕，將計算機平安保護劃分為用戶自主保護、系統(tǒng)審計保護、平安標記保護、結(jié)構(gòu)化保護、訪問驗證保護五個等級。.35三、平安測評研究1989公布，確立了基于OSI/RM的信息平安體系結(jié)構(gòu)五大類平安效