信息化建设与信息安全三.doc
《信息化建设与信息安全三.doc》由会员分享,可在线阅读,更多相关《信息化建设与信息安全三.doc(33页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、【精品文档】如有侵权,请联系网站删除,仅供学习与交流信息化建设与信息安全三.精品文档.第5章 信息安全基本知识5.1 信息安全的概念5.2 信息安全的内涵5.3 信息系统的脆弱性5.4 信息安全的目标当前讲解5.1 信息安全的概念当前讲解5.1.1 信息安全的基本概念信息作为一种资源,它的普遍性、共享性、增值性、可处理性和多效用性,使其对于人类具有特别重要的意义。信息安全就是关注与信息相关的安全问题。信息安全大到国家军事政治等机密的安全,中到防范商业企业机密的泄露,小到个人信息的泄露,以及防范青少年对不良信息的浏览等。当前讲解5.1.2 信息化时代的信息安全信息安全不是信息化建设过程中的产物。
2、但是,在大规模开展信息化建设的时代,信息安全是保证信息化顺利实现的关键一步。在信息化时代,信息安全的实质就是要保护信息系统和信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。当前讲解5.1.3 造成信息安全问题的根源安全威胁是造成信息安全问题的根源,而产生威胁的主要根源在于我们的信息系统和信息网络系统存在着各种缺陷、漏洞或脆弱性。这些缺陷、漏洞或脆弱性被利用后就会产生不同程度的安全问题,危害我们的信息系统和信息网络。常见的信息安全威胁(1)- 信息被泄露。- 2011年12月21日,互联网上传出开发者社区CSDN遭黑客攻击,600万用户帐号及明文密码泄露,用户资料被大量传
3、播。- 2012年4月23日北京警方经过三个月侦查,奔波京粤湘三地、走访近百人,破获了一起利用网站泄露的数据盗用电子商城用户财产的案件。- 这是破获的首起因密码外泄事件引发的电子商城网站注册用户被盗案件。当前讲解常见的信息安全威胁(2)- 信息被透露给某个非授权的实体。常见的信息安全威胁(3)- 信息被非授权地进行修改。- 2012年6月9日,深圳福彩双色球第2009066期摇奖结果显示,深圳销售的某彩票中出5注一等奖。福彩中心工作人员在对数据备份文件进行对比校验后,发现备份数据中该彩票的投注号码并非中奖号码。怀疑有人非法入侵福彩中心销售系统,篡改该张彩票数据记录,人为制造一等奖。 当前讲解5
4、.2 信息安全的内涵信息安全是指信息系统和信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。信息的保密性、完整性、不可否认性、可用性和可控性是信息安全的五个基本属性。当前讲解信息安全的基本属性- 完整性:信息在存储或传输的过程中保持未经授权不能改变。- 保密性:信息不被泄露给未经授权的使用者。- 不可否认性:保证信息的发送和接受者无法否认自己做过的操作行为。- 可用性:保证信息系统随时可用,运行过程中不出现故障,若遇意外打击能够尽量减少并尽早恢复正常。- 可控性:对信息的传播及内容具有控制能力的特性。当前讲解信
5、息的不可否认性信息的不可否认性非常重要,即不能否认曾经发布过的某些信息,也不能否认曾经接收到的某些信息。在线电子竞价系统要求竞价者不能抵赖曾经报出的合同价格。通过银行系统,汇款的接收者不能否认曾经收到的款项。当前讲解信息的可用性信息的可用性并不是很容易就能实现的。铁道部设计开发的12306票务网站一直经受着信息可用性的考验。越来越多的企业在信息化建设道路上开始重视并加大对“业务连续性”问题的投入,旨在企业信息系统在遇到意外打击时能够尽早恢复正常,并且少损失。当前讲解5.3 信息安全的目标信息安全的任务是保护信息财产,以防止偶然的或未授权者对信息的恶意泄露、修改和破坏,从而导致信息的不可靠或无法
6、处理等。从而使得我们在最大限度地利用信息为我们服务的同时而不招致损失或使损失最小。信息安全的基本目标就是要确保信息系统和信息网络中的信息资源具备信息安全所要求的五个属性。当前讲解5.3.1 信息安全的实现- 真正实现信息安全至少包含以下三类措施:(1)信息安全技术方面的措施;(2)信息安全管理方面的措施;(3)信息安全的标准与法规。当前讲解5.3.2 信息安全成为了一门学科信息安全已经成为了一门新兴的学科。它是一门涉及计算机科学与技术、通信技术、电子信息技术、密码技术和应用数学等多种学科的综合性学科。目前,不少高校都开设了本科一级的信息安全专业,致力于为我国培养从事信息安全技术和管理工作的专门
7、人才。当前讲解5.3.3 信息安全的主要研究对象- 信息加密技术- 数字签名与身份认证技术- 信息网络的攻击与防范技术- 信息系统的安全技术- 信息安全的管理- 信息安全的标准当前讲解信息加密技术信息加密是保障信息安全的最基本、最核心的技术措施。信息加密把有用的信息变为看上去无用的乱码,使攻击者无法读懂信息的内容从而保护信息,而得到授权的人通过解密就可以读懂信息。信息加密也是现代密码技术的主要组成部分。当前讲解数字签名数字签名是数字信息技术的产物,是对纸质文档的手写签名的数字化。数字签名要求,能与所签文件绑定,签名容易被验证,签名不能被伪造,签名者不能否认自己的签名。当前讲解身份认证身份认证是
8、信息安全的基本机制,通信的双方之间应互相认证对方的身份,以保证赋予正确的操作权力和数据的存取控制。网络信息系统对用户进行身份认证更加重要。当前讲解网络的攻击与防范对网络信息系统进行网络攻击是最大信息安全威胁之一。网络攻击主要利用网络信息系统存在的漏洞和安全缺陷对系统的硬件、软件及其数据进行的攻击。入侵检测系统和(网络)防火墙系统是防范网络攻击的主要工具。防范网络攻击还要依赖于信息系统自身的安全性。例如,操作系统的安全性,Web网页安全和数据库系统安全等。科学地使用各种网络安全协议对防范网络攻击也非常有益。当前讲解信息系统的安全- 信息系统的安全至关重要。信息系统的安全主要包括:(1)信息系统的
9、访问控制机制(2)操作系统安全(3)Web网页安全(4)数据库系统安全(5)数据备份与灾难恢复当前讲解信息安全的管理信息安全的管理非常重要。可以说:“三分技术,七分管理”。有专门的信息安全管理机构;有专门的信息安全管理人员;有逐步完善的管理制度;有合理的信息安全技术设施。场地管理、设备管理、存储媒体管理、软件管理、网络管理、密钥管理等都属于信息安全管理。当前讲解信息安全的标准信息安全标准是确保信息安全的产品和系统在设计、研发、生产、建设、使用、测评中解决其一致性、可靠性、可控性、先进性和符合性的技术规范、技术依据。信息安全标准对于解决信息安全问题具有重要的技术支撑作用。信息安全标准化工作一直受
10、到世界各国的关注。当前讲解5.3.4 信息安全标准化的意义对广大产品提供商来说,生产符合标准的信息安全产品,对于提高厂商形象、扩大市场份额具有重要意义。对用户而言,了解产品标准有助于选择更好的安全产品,了解评测标准则可以科学地评估系统的安全性,了解安全管理标准则可以建立实施信息安全管理体系。对普通技术人员来讲,了解信息安全标准的动态可以站在信息安全产业的前沿,有助于把握信息安全产业整体的发展方向。信息安全标准是信息化建设和信息安全产业发展所必需的。当前讲解5.3.5 信息安全的标准化工作国际上,信息安全标准化工作,兴起于二十世纪70年代中期,80年代有了较快的发展,90年代开始引起了世界各国的
11、普遍关注。在我国,经国家标准化管理委员会批准,全国信息安全标准化技术委员会(TC260)于2002年4月成立,负责我国的信息安全标准化工作。信息安全的技术标准信息系统与信息网络之间安全的互相连接,都需要在来自不同厂商的不同产品上进行互操作,统一起来实现一个完整的安全功能。这导致了一些以“算法”、协议”形式出现的信息安全技术标准。典型的技术标准有高级加密标准AES,数字签名算法DSA,Kerberos认证协议,计算机网络中的IPsec和SSL协议等。信息产品的安全性能到底怎么样,网络的安全处于什么样的状态,需要一个统一的评价准则。对安全产品的安全功能和性能必须进行认定,形成一些“安全等级”。每个
12、安全等级在安全功能和性能上有特定的严格定义,对应着一系列可操作的测评认证手段。当前讲解常见的信息安全评价标准信息安全评价标准有美国国防部制定的“可信计算机系统评估准则” TCSEC (Trusted Computer System Evaluation Criteria)。信息安全评价标准还有国际化标准组织ISO组织制定的“信息技术安全评估准则”CC。我国的评价标准则有公安部制定的计算机信息系统安全等级保护通用技术要求等。信息安全的管理标准20世纪80年代末,ISO9000质量管理标准在全世界广泛被推广应用。其中管理的思想也被信息安全的管理所借鉴与采纳。20世纪90年代,信息安全的管理步入了标
13、准化与系统化时代。1995年,英国率先推出了BS-7799信息安全管理标准,并于2000年被国际标准化组织认可为国际标准ISO/IEC 17799标准。第5章 信息安全的基本知识5.4 安全评测和等级保护5.5 涉密信息系统5.6 网络违法与犯罪当前讲解5.4 安全评测和等级保护5.4.1 安全评测和等级保护的概念5.4.2 安全评测和等级保护的流程当前讲解5.4.1 安全评测和等级保护的概念等级测评,是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。依据要求,广东省成立信息安全等级保护专家委员会,对重要单位和
14、行业信息安全等级保护定级和安全设计、整改、测评方案的审查、论证和指导。执行主体:等级保护测评的执行主体应当是具有相关资质的、独立的测评机构。广东省公安厅在粤等保办【2010】3号文件中,公布了5家公司作为广东省测评机构。当前讲解基本原则:测评机构应当按照有关规定和统一标准提供测评服务,按照统一的测评报告模版出具测评报告。等级测评师管理:测评人员参加由评估中心举办的专门培训、考试并取得评估中心颁发的等级测评师证书(等级测评师分为初级、中级和高级)。等级测评人员需持等级测评师证上岗。测评报告:测评机构应按照公安部统一制订的信息系统安全等级测评报告模版(试行)格式出具测评报告。当前讲解5.4.2 安
15、全评测和等级保护的流程1)资料审查阶段:对被测用户提交的申请,进行文档的形式化审查,确认符合测评要求。2)核查测试阶段:与用户进行充分沟通,指定测评计划和测试方案并实施现场测评,形成测评记录。3)综合评估阶段:整理测评数据 ,对用户资料和测评结果进行综合分析,形成测评报告。召开专家委员会对测评报告进行评审,最后由测评中心领导批准,出具等级保护测评报告。测评部位:领导办公场所机房介质保管室设备管理部门一般工作场所监控室等 被测评设备:各类服务器抽查部分个人计算机(包括台式机、笔记本)通信线路交换机、路由器防火墙、入侵检测、杀毒软件等安全防护设备存储设备网络管理软件应用软件当前讲解5.5 涉密信息
16、系统5.5.1 涉密信息系统的概念5.5.2 涉密信息系统与公共信息系统的区别5.5.3 “涉密程度”与“分级保护”5.5.4 涉密信息系统的保密措施当前讲解5.5.1 涉密信息系统的概念指涉及国家秘密和党政机关工作秘密的计算机信息系统。包括党政机关用于处理涉密信息的单机和用于内部办公自动化或涉密信息交换的计算机网络;也包括企事业单位涉及国家秘密的计算机信息系统。按照国家有关标准,涉密信息系统的建设需要达到较高的安全等级,但并非所有的涉密系统都是高安全等级的计算机信息系统;也并非所有的高安全等级的计算机信息系统都是涉密信息系统。例如:当前讲解一些企业的计算机信息系统为保护其商业秘密而采取了许多
17、安全保密的技术和管理措施,达到了较高的安全等级,但由于其中没有涉及国家秘密的信息,就不能算是涉密信息系统;再如:一些党政机关的涉密网,只在一间或几间房内的若干台计算机联网,采取了较封闭的物理安全措施,与外界物理隔离,虽然没有采用更多的安全保密技术,系统安全等级并不高,但由于管理严密、安全可控,系统中又运行了国家秘密信息,这些系统就属于涉密信息系统。当前讲解5.5.2 涉密信息系统与公共信息系统的区别一是信息内容不同。涉密信息系统存储、处理和传输的信息涉及国家秘密和其他敏感信息,应严格控制知悉范围;公共信息系统存储、处理和传输的信息不能涉及国家秘密。二是设施、设备标准不同。涉密信息系统的安全保密
18、设施、设备,必须符合国家保密标准;公共信息系统的安全保密设施、设备也应符合一定技术标准要求,但并不要求执行国家保密标准。三是检测审批要求不同。涉密信息系统必须满足安全保密需求,符合国家保密标准要求,投入使用前必须经安全保密检测评估和审查批准;公共信息系统投入使用前也需要进行相关检测,但检测的目的和要求不同。四是使用权限不同。涉密信息系统要严格控制使用权限;公共信息系统则是开放性的,只要具备一定访问条件就可以使用。当前讲解5.5.3 “涉密程度”与“分级保护”“涉密程度”是指涉密信息系统存储、处理和传输的国家秘密信息的密级,是确定系统安全保密防护级别的依据。涉密信息系统按照涉密程度划分为绝密、机
19、密和秘密三个级别,并按照不同级别的防护要求进行保护。“分级保护”是指涉密信息系统的建设使用单位依据分级保护管理办法和国家保密标准,对不同级别的涉密信息系统采取相应的安全保密防护措施,确保既不“过防护”,也不“欠防护”。当前讲解5.5.4 涉密信息系统的保密措施涉密信息系统应当按照国家保密标准配备保密设施、设备。保密设施、设备应当与涉密信息系统同步规划、建设和运行。不得将涉密计算机、涉密存储设备接入互联网及其他公共信息网络;不得在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换;不得使用非涉密计算机、非涉密存储设备存储和处理国家秘密信息;不得擅自卸载涉密信息系统的
20、安全技术程序、管理程序;不得将未经安全技术处理退出使用的涉密计算机和存储设备赠送、出售、丢弃;不得在未采取保密措施的有线和无线通信、互联网及其他公共信息网络中传递国家秘密。当前讲解5.6 网络违法与犯罪5.6.1 网络违法与犯罪的概念5.6.2 网络违法与犯罪的表现形式5.6.3 网络违法与犯罪的特点当前讲解5.6.1 网络违法与犯罪的概念网络犯罪是指行为人运用计算机技术,借助网络对系统或信息进行攻击、破坏的行为。网络违法,也称网络犯罪,视其行为的严重性予以区分,通常网络犯罪比网络违法更为严重。网络犯罪包括行为人运用编程、加密、解码技术或工具在网络上实施的犯罪;也包括利用软件指令、网络系统或产
21、品加密等技术及法律规定上的漏洞在网络内外交互实施的犯罪。当前讲解5.6.2 网络违法与犯罪的表现形式一是针对网络漏洞对网络进行技术入侵,侵入网络后,主要以偷窥、窃取、更改或者删除计算机信息为目的的犯罪。二是通过信息交换的传递过程,将破坏性病毒附在信息中传播、在部分免费辅助软件中附带逻辑炸弹定时引爆,或者在软件程序中设置后门程序。三是利用公用信息网络侵吞公共财务,以网络为传播媒体在网上传播反动言论或实施诈骗和教唆。四是利用现代网络实施色情影视资料、淫秽物品的传播。五是利用网络实施侮辱、诽谤、恐吓与敲诈勒索。当前讲解5.6.3 网络违法与犯罪的特点智能性罪犯需要对计算机技术具备较高专业知识并擅长实
22、用操作技术,才能逃避安全防范系统的监控,掩盖犯罪行为。所以,犯罪主体许多是掌握了计算机技术和网络技术的专业人士。隐蔽性由于网络的开放性、不确定性、虚拟性和超越时空性等特点,使得计算机犯罪具有极高的隐蔽性。复杂性计算机犯罪的复杂性主要表现为两方面:第一,犯罪主体的复杂性。任何罪犯只要通过一台联网的计算机便可以在电脑的终端与整个网络合成一体,调阅、下载、发布各种信息,实施犯罪行为。第二,犯罪对象的复杂性。有盗用、伪造客户网上支付帐户的犯罪;电子商务诈骗犯罪;侵犯知识产权犯罪等。当前讲解跨国性网络冲破了地域限制,当各式各样的信息通过因特网传送时,为犯罪分子跨地域、跨国界作案提供了可能。匿名性罪犯可以
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息化 建设 信息 安全
限制150内