信息安全概述

1、信息安全概述,第 1 章,基本內(nèi)容,在信息化社會中，信息已提升為制約社會發(fā)展、推動社會進步的關(guān)鍵因素之一，人們對信息和信息技術(shù)的依賴程度越來越高，甚至有些行為方式也受信息技術(shù)的約束，自然人之間的交流也日趨機器化。本章從信息的概念發(fā)展出發(fā)，介紹信息的作用、信息技術(shù)對人類生活的影響，描述信息面臨的風(fēng)險與威脅，最后引出信息安全的目標。,1.1 信息與信息技術(shù),1.1.1 信息的概念信息論創(chuàng)始人香農(nóng)：“信息是用以消除不確定性的東西”，

2、推導(dǎo)出了信息測度的數(shù)學(xué)公式 。控制論的創(chuàng)始人維納：“信息是人們在適應(yīng)外部世界，并使這種適應(yīng)反作用于外部世界的過程中，同外部世界進行交換的內(nèi)容的名稱” 。中國學(xué)者鐘義信：“信息是事物運動的狀態(tài)與方式，是事物的一種屬性” 。,1.1.2 信息的性質(zhì)依附性：用“符號”表示；依附于一定的物理介質(zhì) 動態(tài)性：信息只有及時、新穎才有價值 可處理性：內(nèi)容可以識別，形式可以轉(zhuǎn)換或變換 共享性：信息可無限擴散 可傳遞性：在時間和空間上都具

3、有傳遞性 異步性：以存儲方式來接收，在任何時間使用可交換性：可在兩個主體間實現(xiàn)信息的交換 可偽性：信息是可以偽造的,1.1 信息與信息技術(shù),1.1.3 信息的功能基本功能：在于維持和強化世界的有序性動態(tài)性社會功能：表現(xiàn)為維系社會的生存、促進人類文明的進步和自身的發(fā)展,1.1 信息與信息技術(shù),1.1.4 信息技術(shù)感測與識別技術(shù) 信息傳遞技術(shù) 信息處理與再生技術(shù) 信息施用技術(shù),1.1 信息與信息技術(shù),1.1.5

4、 信息系統(tǒng)信息系統(tǒng)是指基于計算機技術(shù)和網(wǎng)絡(luò)通信技術(shù)的系統(tǒng)，是人、規(guī)程、數(shù)據(jù)庫、硬件和軟件等各種設(shè)備、工具的有機集合。在信息安全領(lǐng)域，重點關(guān)注的是與信息處理生命周期相關(guān)的各個環(huán)節(jié)，包括信息本身在整個生命周期中的存在形式、存儲處理相關(guān)的設(shè)備、傳遞交換所用的通信網(wǎng)絡(luò)、相應(yīng)的計算機軟件和協(xié)議等。,1.1 信息與信息技術(shù),1.2 網(wǎng)絡(luò)體系結(jié)構(gòu)與協(xié)議基礎(chǔ),1.2.1 OSI模型,OSI參考模型分為7層，分別是物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、

5、傳輸層、會話層、表示層和應(yīng)用層。,1.2.2 TCP/IP模型,是Internet最基本的協(xié)議集，4層結(jié)構(gòu)。,1.2 網(wǎng)絡(luò)體系結(jié)構(gòu)與協(xié)議基礎(chǔ),1.2.2 TCP/IP模型的關(guān)鍵概念,尋址：MAC地址、IP地址、端口。。。TCP與UDP的工作模式、數(shù)據(jù)包結(jié)構(gòu)TCP的三次握手方式應(yīng)用層協(xié)議,1.3 信息安全的重要性與嚴峻性,1.3.1 信息安全的重要性 社會發(fā)展三要素的物質(zhì)、能源和信息的關(guān)系發(fā)生了深刻的變化。信

6、息要素已成為支配人類社會發(fā)展進程的決定性力量之一 。 互聯(lián)網(wǎng)已經(jīng)成為了一個繼電視、電臺、報刊之后的第四媒體。社會信息化提升了信息的地位 社會對信息技術(shù)的依賴性增強 虛擬的網(wǎng)絡(luò)財富日益增長 信息安全已經(jīng)成為社會的焦點問題,1.3 信息安全的重要性與嚴峻性,中國互聯(lián)網(wǎng)信息中心（CNNIC）統(tǒng)計，截至2009年底，中國網(wǎng)民數(shù)量已達3.89億，網(wǎng)民規(guī)模躍居世界第一位。,1.3 信息安全的重要性與嚴峻性,1.3.2 信息安全

7、的嚴峻性 系統(tǒng)的安全漏洞不斷增加 黑客攻擊攪得全球不安 （Black Hat大會盛況空前） 計算機病毒肆虐 網(wǎng)絡(luò)仿冒危害巨大 “僵尸網(wǎng)絡(luò)”（BOTNET）使得網(wǎng)絡(luò)攻擊規(guī)模化 木馬和后門程序泄漏秘密 以利益驅(qū)動的網(wǎng)絡(luò)犯罪發(fā)展迅猛 信息戰(zhàn)陰影威脅數(shù)字化和平 白領(lǐng)犯罪造成巨大商業(yè)損失,1.3 信息安全的重要性與嚴峻性,Non-repudiation,Non-repudiation,1.3 信息安全的重要性與嚴峻性,1.

8、3 信息安全的重要性與嚴峻性,1.3 信息安全的重要性與嚴峻性,Impacto de Blaster（沖擊波）,275,000臺/7小時1,000,000臺/48小時,1.3 信息安全的重要性與嚴峻性,中美黑客大戰(zhàn),1.3 信息安全的重要性與嚴峻性,中美黑客大戰(zhàn),1.3 信息安全的重要性與嚴峻性,1.3 信息安全的重要性與嚴峻性,defaced Whitehouse website,伊拉克戰(zhàn)爭,1.3 信息安全的重要性與

9、嚴峻性,1.3 信息安全的重要性與嚴峻性,1.3 信息安全的重要性與嚴峻性,1.3 信息安全的重要性與嚴峻性,1.3 信息安全的重要性與嚴峻性,莫里斯,米特尼克,沖擊波杰弗里·李·帕森,李俊,CIH陳盈豪,Linux道士李納斯,http://tech.bossline.com/thread-5802-1-1.html,1.3 信息安全的重要性與嚴峻性,網(wǎng)絡(luò)信息系統(tǒng)存在的安全漏洞和隱患層出不窮，利益驅(qū)使下的

10、地下黑客產(chǎn)業(yè)繼續(xù)發(fā)展，網(wǎng)絡(luò)攻擊的種類和數(shù)量成倍增長，終端用戶和互聯(lián)網(wǎng)企業(yè)是主要的受害者，基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)面臨著嚴峻的安全威脅。2007年各種網(wǎng)絡(luò)安全事件與2006年相比都有顯著增加。CNNIC的《報告》指出，2009年半年內(nèi)有1.95億網(wǎng)民上網(wǎng)時遇到過病毒和木馬的攻擊，1.1億網(wǎng)民遇到過賬號或密碼被盜的問題。 在地下黑色產(chǎn)業(yè)鏈的推動下，網(wǎng)絡(luò)犯罪行為趨利性表現(xiàn)更加明顯，追求經(jīng)濟利益依然是主要目標。黑客往往利用仿冒網(wǎng)站、偽造郵件、盜

11、號木馬、后門病毒等，并結(jié)合社會工程學(xué)，竊取大量用戶數(shù)據(jù)牟取暴利，包括網(wǎng)游賬號、網(wǎng)銀賬號和密碼、網(wǎng)銀數(shù)字證書等。信息系統(tǒng)軟件的安全漏洞仍然是互聯(lián)網(wǎng)安全的關(guān)鍵問題，安全漏洞問題變得越來越復(fù)雜和嚴重。,1.4 信息安全的目標,1.4.1 信息安全的概念 信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，信息服務(wù)不中斷。信息安全是一門涉及計算機科學(xué)、網(wǎng)絡(luò)

12、技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。,1.4 信息安全的目標,1.4.2 信息安全理念的發(fā)展 （1）信息保護階段：信息安全的基本目標應(yīng)該是保護信息的機密性、完整性、可用性、可控性和不可抵賴性。機密性Confidentiality ：指保證信息不被非授權(quán)訪問，即使非授權(quán)用戶得到信息也無法知曉信息的內(nèi)容，因而不能使用。完整性Integrity ：指維護信息的一致性，即在信息生

13、成、傳輸、存儲和使用過程中不應(yīng)發(fā)生人為或非人為的非授權(quán)篡改?？捎眯訟vailability ：指授權(quán)用戶在需要時能不受其他因素的影響，方便地使用所需信息。這一目標是對信息系統(tǒng)的總體可靠性要求?？煽匦訡ontrollable ：指信息在整個生命周期內(nèi)都可由合法擁有者加以安全的控制。不可抵賴性Non-repudiation ：指保障用戶無法在事后否認曾經(jīng)對信息進行的生成、簽發(fā)、接收等行為。,1.4 信息安全的目標,（2）信息綜合保障

14、階段--PDRR模型 針對信息的生存周期，以“信息保障”模型作為信息安全的目標，即信息的保護技術(shù)、信息使用中的檢測技術(shù)、信息受影響或攻擊時的響應(yīng)技術(shù)和受損后的恢復(fù)技術(shù)為系統(tǒng)模型的主要組成元素，簡稱PDRR模型。在設(shè)計信息系統(tǒng)的安全方案時，綜合使用多種技術(shù)和方法，以取得系統(tǒng)整體的安全性。,1.4 信息安全的目標,（3）信息安全整體解決方案PDRR從技術(shù)角度對信息生命周期進行了完整的保護，但沒有考慮人的作用！在PDRR技術(shù)保障模型

15、的前提下，綜合信息安全管理措施，實施立體化的信息安全防護。即整體解決方案＝PDRR模型 + 安全管理。,1.4.3 網(wǎng)絡(luò)安全與信息安全的關(guān)系 很多時候，信息安全與網(wǎng)絡(luò)安全被混為一體，而不加以區(qū)分。實際上，這兩個概念還是有很大區(qū)別的。一種普遍被接受的觀點是：信息安全指信息在整個生命周期中需要保持機密性、完整性和可用性，即“CIA”特性。也包括了保證信息在網(wǎng)絡(luò)環(huán)境中的安全性。網(wǎng)絡(luò)安全指的是通過各種技術(shù)或設(shè)備

16、，保證網(wǎng)絡(luò)環(huán)境的持續(xù)、可靠、安全的運行，為信息安全提供平臺的保證。網(wǎng)絡(luò)安全只是信息安全范疇中的一部分,1.4 信息安全的目標,本章小結(jié),本章從信息概念的發(fā)展開始，介紹信息、信息技術(shù)、信息系統(tǒng)與信息安全的關(guān)系，分析信息安全的重要性和形勢的嚴峻性，總結(jié)信息安全風(fēng)險和威脅，最后結(jié)合需要，給出了信息安全的基礎(chǔ)目標，信息安全技術(shù)保障模型和信息安全綜合解決方案，確保信息的機密性、完整性、可用性、可控性和不可抵賴性。,1、請簡述信息安全的“CIA