信息安全概论课件-lecture01信息安全概论课件-lecture01.ppt

信息安全基础 什么是信息安全 信息＋安全 其它的2个概念 计算机信息系统安全和网络安全 涉及计算机科学，网络技术，通信技术，密码技术，应用数学，数论，信息论，以及密码技术等多种学科的边缘性综合学科 信息安全的概念 中华人民共和国计算机信息系统安全保护条例 计算机信息系统安全包括计算机网络系统 “计算机信息系统的安全保护，应当保障计算机及其相关的配套设备，设施的安全，运行环境的安全，保障信息的安全，保障计算机功能的这个正常发挥，以维护计算机信息系统的安全运行” 计算机网络系统的不安全称为计算机网络危害：得不到保证或不符合规范的安全标准或必要的安全要求。 信息安全的概念 信息安全主要涉及到信息存储的安全、信息传输的安全以及对网络传输信息内容的审计三方面。 实体安全：是指保护计算机设备、设施以及其他媒体免遭受地震、水灾、火灾和环境事故等的措施和过程 运行安全：是指为保证系统功能的安全实现提供的一套安全措施（如风险分析、审计跟踪、备份恢复和应急措施） 信息安全：是指防止信息资源被故意或偶然的非授权泄露、更改或破坏，也防止信息的不可用。 信息安全的概念 信息安全的一般定义 计算机信息安全是指计算机信息系统的硬件、软件、网络及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。 科技能否保证安全：技术没有善恶之分 信息安全的特征 难以量化 “什么事情都没有”是信息安全的最高境界 “什么事情都没有”也正是导致安全问题被忽视的原因所在 没有绝对的安全 信息安全是一个动态地过程 拉据战中的暂时动态平衡 闻风而动，未雨绸缪 木桶定理 攻击者只需要赢一次 安全概念的核心 安全概念的核心对象是信息系统 计算机、网络是信息系统赖以存在的实体 离开了信息，仅仅是无用的空壳 信息的概念 信息的特点 可传输、可存储、可加工、可共享 信息安全的研究体系 ISO7498-2 信息安全的体系结构 1989.2.15: 五大安全服务：鉴别、访问控制、必威体育官网网址性、完整性、抗否认 八大安全机制：加密、数字签名、访问控制、数据完整性、业务流填充、路由控制、鉴别交换、公证 信息安全的目标 1．机密性（confidentiality，或secrecy） 也叫做必威体育官网网址性 只有合法用户才能获取信息 这是最基本的要求 未被授权的用户不仅不能了解信息的内容，甚至也不知道这条信息是存在的。 注：有的也称为信息安全需求 信息安全的目标 2．完整性（integrity） 也叫做一致性 保证只有合法用户才能更改信息 这是人们谈到信息安全时最常想到的内容 更改不仅包括写入、修改、修改状态（如文件的隐藏性、可读性等）、删除、新建，还包括对传输数据的复制、插入、延迟或者重放。 信息安全的目标 3．不可否认性（nonrepudiation） 也叫做不可抵赖性 不论是信息发送者还是信息接受这都不能否认传输过程 也就是说信息传输结束后，信息发送者不能曾经发送过这条信息，信息接受者也不能否认曾经接收过这条信息。 信息安全的目标 4．可用性（availability） 可用性也叫做可获取性 是指服务的连续性 要求当合法用户需要使用某条信息或者系统资源时，它是可获取的 如合法用户需要使用服务器资源时，不会被错误的拒绝。 信息安全的目标 其他潜在目标： 1．认证（authentication，或authenticity） 又叫鉴别 是指在提供信息或者进行数据处理之前先确定用户身份 也就是说确定哪些用户是合法用户，确定用户身份的真实性，不出现假冒、伪装等现象 认证还需要确定消息或电子文档的来源的真实性。 信息安全的目标 2．访问控制（access control） 访问控制是在通过用户身份认证后，根据访问权限设置控制用户对信息和系统资源的访问 也就是确定某种用户可以进行什么级别的操作，组织对信息和资源的非授权使用。 3. 可审计性（Accountability） 又叫做可控制性 是指确保个体的活动可被跟踪 信息安全可能会受到的攻击 非法访问，如偷看公司的机密技术资料 非法提高自己的权限或修改他人的权限 冒充别人以获得其权限或推卸责任，如冒充经理发送涨工资公告 声称已经收到别的用户的信息，但其实是自己伪造的，如冒充客户给自己下订单 声称已经（/没有）将信息发给接收方，但实际当时并没有发送（/确实发送过） 否认接收到某条信息或者改变接收信息的时间 信息安全可能会受到的攻击 隐藏某条信息（秘密通信）与其他信息（公开通信）之中 将自己作为中继插入到别人的通信链路中，可实现窃听或者篡改 了解谁在什么时候访问了什么信息 使软件功能反常，如加入一个函数 放置病毒、木马、数据炸弹等恶意软件 让系统明显失常，让用户失去信息，如让WWW服