信息系统安全学习笔记.docx

一 绪论 基本概念： 信息系统安全：重点关注信息安全和信息系统安全的区别 ? 信息系统安全的三个角度：基于通信必威体育官网网址、基于系统防护、基于信息保障 ? 信息系统安全的构成要素 ? 信息系统面临的安全威胁 ? 信息系统自身的脆弱性 基本原理： 信息系统的架构模型 ? 信息系统安全体系 信息系统：是提供数据密集型用途的硬件和软件 信息系统的构成要素 |--主体 包括各类用户、支持人员以及技术管理和行政管理人员，人既是管理者，也是被管| 理者 |--客体 以计算机、网络互联设备、传输介质、信息内容及其操作系统、通信 | 协议和应用程序所构成的物理的、逻辑的完整体系? 是被管理、被控制的对象 |--环境 系统稳定、可靠运行所需的保障体系，包括建筑物、机房、动力保障与备份及应急 恢复体系 系统风险主要来自 |--系统可能遭受的各种威胁 是指对于信息系统的组成要素及其功能造成某种损害的潜在 可能。 按照来源： 1自然灾害威胁 2滥用性威胁 3有意人为威胁 按照作用对象--|--针对信息 信息破坏 信息泄密 假冒或否认 |--针对系统 对硬件和软件 按照手段：信息泄露,入侵,抵赖,扫描,拒绝服务攻击,滥用 |--系统本身的脆弱性 基于信息属性的本源性脆弱(依附性和多质性,非消耗性,可共享性/可重用性, 聚变性和增殖性,易伪性) 基于系统复杂性的结构性脆弱 基于攻防不对称性的普通性脆弱 基于网络的开放和数据库共享的应用性脆弱 |--系统对于威胁的失策 信息系统脆弱性的表现 |--硬件组件 多来源于设计，主要表现为物理安全方面问题。 |--软件组件 |--网络和通信协议 TCP/IP协议族本身的缺陷 （缺乏对用户身份的鉴别，缺乏对路由协议的鉴别认证，TCP/UDP的缺陷） 信息系统安全的三个角度 |--基于通信必威体育官网网址 |--基于系统防护 具体目标(系统保护信息内容保护) |--基于信息保障 PDRR（防护检测反应恢复） 静态防御-动态防御 Pt : Protection time Dt : Detection time Rt : Response time Dt+RtPt 那么系统是安全的 信息系统安全的目标 进不来 拿不走 看不懂 改不了 跑不了 【信息系统安全体系】 信息系统安全体系ISSA是一个能为所保障对象提供的可用性、机密性、完整性、不可抵赖性、可授权性的可持续性的系统。 |--技术体系(硬件、操作系统安全,密码算法、安全协议技术，AC，安全通信，身份识别，入侵检测，防火墙等) |--管理体系(安全目标确定，需求获取，风险评估，计划制定，实现) |--标准体系（评测准则：CC、17859等，管理标准） |--法律体系 以法律法规作为安全目标和安全需求的依据； 以标准规范体系作为检查、评估和测评的依据； 以管理体系作为风险分析与控制的理论基础与处理框架； 以技术体系作为风险控制的手段与安全管理的工具 二 物理安全 概念，体系结构，国家标准，电磁泄漏途径，防止泄露方法 物理安全的体系结构、内涵 物理安全又叫实体安全，是保护计算机设备、设施免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施和过程。 物理安全技术主要针对计算机及网络系统的环境、场地、设备和通信线路等采取的安全技术措施。 体系结构|-介质安全 --介质的安全 介质的安全保管：防盗、防毁、防霉 | --介质数据安全 拷贝、防消磁、防丢失。 | 电磁战(目的是干拢敌方的信息联系、阻断信息沟通) | (热效应,射频干扰和“浪涌”效应,强电场效应,磁效应) | 主动拒止系统（ADS）将电能转化为微波射向目标 | 防磁柜（防磁、防火、防盗） | U盘小偷(自动复制U盘内的所有内容)-防拷贝U盘方案 |-设备安全--电磁泄漏(途径:辐射泄漏 传导泄漏)-旁路攻击-电磁分析攻击(最有 | 效的旁路攻击技术之一) | 用途：密码破解 | 抑制电磁信息泄漏的技术途径:[1.物理抑制 2.电磁屏蔽 3.噪声干扰] |-线路安全 电缆加压技术:压力下降，意味电缆可能被破坏 (简单且贵) | 搭线窃听 海底电缆窃听 | 光纤通信技术(光纤不可被搭线窃听，但是光纤的最大长度有限制， | 长于这一长度的光纤系统必须定期地放大（复制）信号，而复制器是 | 安全薄弱环节) |-环境安全 安全保卫技术;计算机机房的温度、湿度;计算机机房的用电安全技 | 术;计算机机房安全管理技术 机房不要顶层底