[精选]信息安全基础概论36581.pptx

《[精选]信息安全基础概论36581.pptx》由会员分享，可在线阅读，更多相关《[精选]信息安全基础概论36581.pptx（53页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第1 1章章 信息安全基础信息安全基础万里冰中国信息安全认证中心 培训合作方徽标与名称信息安全技术概述 1.1 WPDRRC与PDRR模型1.2 信息安全保障对象1.3 社会文明发展与信息通讯技术1.4 信息安全发展过程信息安全的模型什么是模型模型是人们认识和描述客观世界的一种方法安全模型用于描述信息系统的安全特征，以及用于解释系统安全相关行为的理由安全模型的作用准确描述安全的重要方面与系统行为的关系提高对成功实现关键安全需求的理解层次中国信息安全认证中心 培训合作方徽标与名称信息安全的模型在信息安全的研究和应用中，采用的模型主要有哪些？PDR(保护、检测和响应)PPDR(安全策略、保护、检

2、测和响应)、PDRR(保护、检测、响应和恢复)MPDRR(管理、保护、检测、响应和恢复)我国的WPDRRC（预警、保护、检测、响应、恢复、反击）中国信息安全认证中心 培训合作方徽标与名称PDR模型PDR的提出早期，安全技术上主要采取防护手段为主(如加密、防火墙技术的应用)美国ISS公司提出，按照PDR模型的思想，一个完整的安全防护体系，不仅需要防护机制，而且需要检测机制，在发现问题时还需要及时做出响应PDR模型由防护（Protection）、检测（Detection）、响应（Response）三部分组成中国信息安全认证中心 培训合作方徽标与名称PPDR模型基本思想策略是这个模型的核心，意味着网

3、络安全要达到的目标，决定各种措施的强度模型内容安全策略（Policy)保护（Protection)检测（Detection)响应（Response)中国信息安全认证中心 培训合作方徽标与名称PDRR模型PDRR的提出安全的概念已经从信息安全扩展到了信息保障，信息保障内涵已超出传统的信息安全保密，是保护（Protect）、检测（Detect）、反应（React）、恢复（Restore）的有机结合PDRR模型在系统被入侵后，要采取相应的措施将系统恢复到正常状态，这样使信息的安全得到全方位的保障。该模型强调的是自动故障恢复能力中国信息安全认证中心 培训合作方徽标与名称WPDRRC安全模型WPDRRC

4、的提出吸取了IATF需要通过人、技术和操作来共同实现组织职能和业务运作的思想在PDR模型的前后增加了预警和反击功能WPDRRC模型有6个环节和3个要素。6个环节：预警（W）、保护（P）、检测（D）、响应（R）、恢复（R）和反击（C）3大要素：人员、策略和技术中国信息安全认证中心 培训合作方徽标与名称中国信息安全认证中心 培训合作方徽标与名称WPDRRC安全模型1.1.1 信息定义信息的定义信息是用以消除随机不确定性的东西我们认为信息是一种实体对象，能够通过信息系统进行处理。信息通过载体在一定环境中表现、存储和传输。中国信息安全认证中心 培训合作方徽标与名称中国信息安全认证中心 培训合作方徽标与

5、名称信息的表现形式信息系统从信息的角度来说，我们认为信息系统是为信息生命周期提供服务的各类软硬件资源的总称中国信息安全认证中心 培训合作方徽标与名称中国信息安全认证中心 培训合作方徽标与名称信息技术信息传递（通信）信息认知信息再生（计算机）信息传递（通信）信息实效（控制）信息获取（感测）外部世界信息技术（信息技术（IT：Information Technology）的内涵）的内涵ITComputerCommunicationControl1.1.2 安全定义“不出事或感觉不到要出事的威胁”安全关乎两件事一件是已经发生的事，即安全事件；另一件是未发生但可能引发安全事件的事，及安全威胁与脆弱性中国

6、信息安全认证中心 培训合作方徽标与名称中国信息安全认证中心 培训合作方徽标与名称信息安全的目标信息安全的目标将服务与资源的脆弱性降到最低限度。具有动态性和整体性。动态性：安全是相对的，没有绝对的安全，安全程度随着时间的变化而改变整体性：涉及物理层、网络层、系统层和应用层中国信息安全认证中心 培训合作方徽标与名称信息安全的普遍定义信息安全的普遍定义所谓“信息安全”，在技术层次的含义就是保证在客观上杜绝对信息安全属性的威胁使得信息的主人在主观上对其信息的本源性放心。中国信息安全认证中心 培训合作方徽标与名称信息安全的特征信息安全的基本属性有：1.可用性(availability)2.保密性(con

7、fidentiality)3.完整性(integrity)4.真实性(validity)5.不可否认性(non-repudiation)“信息安全”是指采用一切可能的办法和手段，来保证信息的上述“五性”。1.1.3 可用性可用性可用性要求包括信息、信息系统和系统服务都可以被授权实体在适合的时间，要求的方式，及时、可靠的访问，甚至是在信息系统部分受损或需要降级使用时，仍能为授权用户提供有效服务。需要指出的是，可用性针对不同级别的用户提供相应级别的服务。具体对于信息访问的级别及形式，由信息系统依据系统安全策略，通过访问控制机制执行中国信息安全认证中心 培训合作方徽标与名称中国信息安全认证中心 培训

8、合作方徽标与名称1.1.4 完整性完整性完整性 指信息在存储或传输过程中保持不被修改、不被破坏、不被插入、不延迟、不乱序和不丢失的特性中国信息安全认证中心 培训合作方徽标与名称1.1.5 保密性保密性保密性是指信息不泄漏给非授权的个人和实体1.1.6 真实性真实性真实性能够核实和信赖在一个合法的传输、消息或消息源的真实性的性质，以建立对其的信心真实性要求对用户身份进行鉴别，对信息的来源进行验证。而这些功能都离不开密码学的支持。在非对称密码机制出现以前，这是一个很大的难题。非对称密码机制的出现，使该项难题得到了解决中国信息安全认证中心 培训合作方徽标与名称1.1.7 不可否认性不可否认性是保证信

9、息的发送者提供的交付证据和接受者提供的发送者证据一致，使其以后不能否认信息过程不可否认性也称为不可抵赖性，即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。发送方不能否认已发送的信息，接收方也不能否认已收到的信息中国信息安全认证中心 培训合作方徽标与名称1.1.8 其他属性可靠性是指与预想的行为和结果相一致的特性。可控性是指对信息的传播及内容具有控制能力的特性，授权机构可以随时控制信息的机密性，能够对信息实施安全监控中国信息安全认证中心 培训合作方徽标与名称1.2 信息安全保障对象信息安全保障的直接对象是信息，利用针对信息、载体及信息环境的相关安全技术，实现对信息安全的保障，而信息安全保障的

10、最终目的则是提供组织业务的连续性中国信息安全认证中心 培训合作方徽标与名称1.2.1 本质对象业务是一个组织的正常运转的核心活动。业务的连续性直接关系到组织能否继续履行其职能。组织业务的保障需要组织投入人力、物力和财力资源，来维持组织业务的开展。随着信息化水平的提高，业务信息资源的依赖性愈来愈大，这对信息资源的安全提出了严格的要求，也使得信息安全保障成为信息化组织所必不可少的环节中国信息安全认证中心 培训合作方徽标与名称1.2.2 实体对象1.2.2.1 信息信息作为实体对象的一种，它通过载体以具体的某种形式来承载。这些形式在信息系统中可以具体到某种数字格式，如视频、声音、图形等，续而具体到数

11、据的具体存储格式，即二进制字节、数据位。这样，保证了具体数据的安全也就确保了其所承载的信息的安全中国信息安全认证中心 培训合作方徽标与名称1.2.2.2 载体载体是一种在信息传播中携带信息的媒介，是信息赖以附载的物质基础。包括无形载体以能源和介质为特征，运用声波、光波、电波传递信息的无形载体有形载体以实物形态记录为特征，运用纸张、胶卷、胶片、磁带、磁盘等等存储介质来传递和贮存信息的有形载体中国信息安全认证中心 培训合作方徽标与名称1.2.2.3 环境环境指信息的环境，即信息在整个生命周期中所涉及的软硬件资源中国信息安全认证中心 培训合作方徽标与名称1.3 社会文明发展与信息通讯技术信息通讯技术

12、的发展史是人类文明发展史的一个部分。人类文明的发展促进了信息通讯技术的发展，二者密不可分中国信息安全认证中心 培训合作方徽标与名称1.4 信息安全发展过程信息安全发展随着通讯技术、计算机技术、互联网技术发展，经历了数据通讯安全、计算机安全、网络安全、信息安全及信息安全保障几个阶段中国信息安全认证中心 培训合作方徽标与名称1.4.1 数据通讯安全1949年，Shannon发表了保密通信的信息理论1976年，Deffie与Hellman两人发表的“密码学的新方向”一文，提出了非对称密码体制1977年，美国国家标准局公布了DES数据加密标准中国信息安全认证中心 培训合作方徽标与名称1.4.2 计算机

13、安全保护对象为计算机系统，即保护计算机的物理安全、系统安全、数据安全和运行程序安全等方面1983年，美国国防部公布了可信计算机系统评估准则（TCSEC），其对操作系统的安全等级进行了划分，共A、B、C、D四类，分A1、B3、B2、B1、C2、C1、D七个等级，各个等级的安全强度依次递减中国信息安全认证中心 培训合作方徽标与名称1.4.3 网络安全网络系统的应用，对信息的机密性、真实性、完整性、可用性、不可否认性等方面提出了新的安全需求。针对上述问题的基于网络的身份认证、访问控制技术等也逐步应用到了防火墙、入侵检测、虚拟专用网络等产品中信息安全评估通用标准（CC，Common Criteria，

14、ISO15408）及IPv6安全设计的提出中国信息安全认证中心 培训合作方徽标与名称1.4.4 信息安全经过前面三个阶段的发展，信息的载体及生存环境的安全问题得到了较好的解决，信息安全进入了全面发展阶段中国信息安全认证中心 培训合作方徽标与名称1.4.5 信息安全保障信息安全技术进一步发展，进入全局统筹规划管理的信息安全保障阶段。1995年，美国国防部给出了PDR动态模型，后来增加为PDRR模型中国信息安全认证中心 培训合作方徽标与名称中国信息安全认证中心 培训合作方徽标与名称信息安全的分类信息安全技术信息加密、数字签名、数据完整性、身份鉴别、访问控制、安全数据库、网络安全、病毒、安全审计、业

15、务填充、路由控制、公证机制等本课程划分为：密码学、访问控制、网络安全、平台安全、应用安全、数据安全、物理安全及IPv6共八个部分的内容信息安全管理信息安全法律及法规安全服务安全服务是由参与通信的开放系统的某一层提供的服务，它确保该系统或数据传输具有足够的安全性ISO7498-2确定了五大类安全服务鉴别访问控制数据保密性数据完整性不可否认。中国信息安全认证中心 培训合作方徽标与名称中国信息安全认证中心 培训合作方徽标与名称安全机制安全机制用于发现，防范攻击以及从安全攻击中恢复的机制每种安全服务由一种或多种安全机制实现没有一种机制能够提供所有的功能密码技术为多种安全机制的基础中国信息安全认证中心

16、培训合作方徽标与名称安全机制ISO7498-2确定了八大类安全机制加密数据签名机制访问控制机制数据完整性机制鉴别交换机制业务填充机制路由控制机制公证机制中国信息安全认证中心 培训合作方徽标与名称带有安全属性的OSI层次模型中国信息安全认证中心 培训合作方徽标与名称安全服务、安全机制和安全服务、安全机制和OSI关系关系一种安全服务可以通过某种安全机制单独提供，也可以通过多种安全机制联合提供一种安全机制可用于提供一种或多种安全服务。ISO7498-2标准确定了上述安全服务和安全机制的相互关系及OSI参考模型内部可以提供这些服务和机制的位置。中国信息安全认证中心 培训合作方徽标与名称安全威胁安全威胁

17、安全威胁的定义安全威胁的定义对安全的一种潜在的侵害。威胁的实施称为攻击。威胁与攻击的区别：威胁（Threat）威胁不一定会发生威胁是潜在的，因而在被利用前是很难发现的攻击（Attack）：任何危及到信息安全的行为攻击一定是已经发生攻击的类型是多种多样的，因而是难以预测的攻击往往要利用一个或多个威胁中国信息安全认证中心 培训合作方徽标与名称安全威胁的主要表现安全威胁的主要表现信息泄露：指敏感数据在有意或无意中被泄漏出去或丢失。拒绝服务：以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加，修改数据，以干扰用户的正常使用。信息破坏：它不断对网络服务系

18、统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。中国信息安全认证中心 培训合作方徽标与名称安全威胁的来源安全威胁的来源自然因素包括温度、湿度、灰尘、雷击、静电、水灾、火灾、地震，空气污染和设备故障等因素。人为因素，又分无意和故意。例如由于误操作删除了数据的疏忽和过失，而人为故意的破坏如黑客行为。人为错误 -35%人为忽略 -25%不满意的雇员 -15%外部攻击 -10%火灾、水灾 -10%其他 -5%中国信息安全认证中心 培训合作方徽标与名称安全威胁的种类安全威胁的种类从来源上分内部威胁

19、：80%的计算机犯罪都和系统安全遭受损害的内部攻击有密切的关系。系统的合法用户以非授权方式访问系统。防止内部威胁的保护方法包括审查、合理的软、硬件安全策略和系统配制、审计等。外部威胁：外部威胁的实施也称远程攻击。例如搭线、冒充、截取电磁辐射等。中国信息安全认证中心 培训合作方徽标与名称安全威胁的种类安全威胁的种类从威胁造成的结果上分被动威胁：对信息的非授权泄露但是未篡改任何信息，并且系统的操作与状态也不受改变。例：搭线窃听、密码破译、信息流量分析等。主动威胁：对系统的状态进行故意地非授权改变。包括：系统中信息、状态或操作的篡改。比如：非授权的用户改动路由选择表、插入伪消息、病毒等。中国信息安全

20、认证中心 培训合作方徽标与名称安全威胁的种类安全威胁的种类从威胁动机上分偶发性威胁：指那些不带预谋企图的威胁，包括自然灾害、系统故障,操作失误和软件出错。故意性威胁：指对计算机系统的有意图、有目的的威胁。范围可使用简单的监视工具进行随意的检测，或使用特别的系统知识进行精心的攻击。一种故意的威胁如果实现就可认为是一种“攻击”、“入侵”。中国信息安全认证中心 培训合作方徽标与名称安全威胁的表现形式安全威胁的表现形式中国信息安全认证中心 培训合作方徽标与名称安全攻击的分类安全攻击的分类被动攻击主要是收集信息而不是进行访问，数据的合法用户对这种活动一点也不会觉察到。被动攻击包括嗅探、信息收集等攻击方法

21、。主动攻击主动攻击包含攻击者访问他所需信息的故意行为。中国信息安全认证中心 培训合作方徽标与名称信息安全策略信息安全策略含义：什么是允许的，什么是不允许的两种方法：凡是没有被具体规定的，就是允许的凡是没有被具体规定的，就是不允许的安全策略包括：制度技术管理三分技术，七分管理中国信息安全认证中心 培训合作方徽标与名称信息安全技术应用方法信息安全技术应用方法风险分析安全策略设计安全服务与安全机制设计安全服务与安全机制的关系安全服务配置策略是基础谢谢！谢谢！中国信息安全认证中心 培训合作方徽标与名称9、静夜四无邻，荒居旧业贫。3月-233月-23Friday,March 17,202310、雨中黄叶

22、树，灯下白头人。02:27:1602:27:1602:273/17/2023 2:27:16 AM11、以我独沈久，愧君相见频。3月-2302:27:1602:27Mar-2317-Mar-2312、故人江海别，几度隔山川。02:27:1602:27:1602:27Friday,March 17,202313、乍见翻疑梦，相悲各问年。3月-233月-2302:27:1602:27:16March 17,202314、他乡生白发，旧国见青山。17 三月 20232:27:16 上午02:27:163月-2315、比不了得就不比，得不到的就不要。三月 232:27 上午3月-2302:27Marc

23、h 17,202316、行动出成果，工作出财富。2023/3/17 2:27:1602:27:1617 March 202317、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。2:27:16 上午2:27 上午02:27:163月-239、没有失败，只有暂时停止成功！。3月-233月-23Friday,March 17,202310、很多事情努力了未必有结果，但是不努力却什么改变也没有。02:27:1602:27:1602:273/17/2023 2:27:16 AM11、成功就是日复一日那一点点小小努力的积累。3月-2302:27:1602:27Mar-2317-Mar-

24、2312、世间成事，不求其绝对圆满，留一份不足，可得无限完美。02:27:1602:27:1602:27Friday,March 17,202313、不知香积寺，数里入云峰。3月-233月-2302:27:1602:27:16March 17,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。17 三月 20232:27:17 上午02:27:173月-2315、楚塞三湘接，荆门九派通。三月 232:27 上午3月-2302:27March 17,202316、少年十五二十时，步行夺得胡马骑。2023/3/17 2:27:1702:27:1717 March 202317、空山新雨

25、后，天气晚来秋。2:27:17 上午2:27 上午02:27:173月-239、杨柳散和风，青山澹吾虑。3月-233月-23Friday,March 17,202310、阅读一切好书如同和过去最杰出的人谈话。02:27:1702:27:1702:273/17/2023 2:27:17 AM11、越是没有本领的就越加自命不凡。3月-2302:27:1702:27Mar-2317-Mar-2312、越是无能的人，越喜欢挑剔别人的错儿。02:27:1702:27:1702:27Friday,March 17,202313、知人者智，自知者明。胜人者有力，自胜者强。3月-233月-2302:27:17

26、02:27:17March 17,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。17 三月 20232:27:17 上午02:27:173月-2315、最具挑战性的挑战莫过于提升自我。三月 232:27 上午3月-2302:27March 17,202316、业余生活要有意义，不要越轨。2023/3/17 2:27:1702:27:1717 March 202317、一个人即使已登上顶峰，也仍要自强不息。2:27:17 上午2:27 上午02:27:173月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉