您好,欢迎访问三七文档
当前位置:首页 > 电子/通信 > 数据通信与网络 > 信息技术--赵泽茂--第一章
第1章信息安全概述1.1信息安全概述1.2信息安全需求1.3网络不安全的根本原因1.4信息安全体系结构小结习题第1章信息安全概述我们经常在媒体上看到有关信息安全事件的报道,比如某大型网站遭到黑客攻击、某种新型病毒出现、犯罪分子利用计算机网络诈骗钱财等。无疑,信息安全的现状十分令人1.1信息安全现状第1章信息安全概述1.1.1现在谈论的信息安全,实际上是指面向网络的信息安全。Internet最初是作为一个国防信息共享的工具来开发的,这种连接的目的在于数据共享,并没有把信息的安全看做一个重要因素来考虑。随着Internet的扩张和壮大,特别是电子商务的应用,系统的脆弱性和安全漏洞不能完全满足安全服务的需要,再加上商业信息时常被非法窃取、篡改、伪造或删除,因此,Internet尽管目前学术界对信息安全威胁的分类没有统一的认识,第1章信息安全概述1.人为因素的威胁分为无意识的威胁和有意识的威胁两种。无意识的威胁是指因管理的疏忽或使用者的操作失误而造成的信息泄露或破坏。有意识的威胁是指行为人主观上恶意攻击信息系统或获取他人秘密资料,客观上造成信息系统出现故障或运行速度减慢,甚至系统瘫痪的后果。有意识的威胁又分为内部攻击和外部攻击。外部攻击又可分为主动攻击第1章信息安全概述2.非人为因素的威胁包括自然灾害、系统故障和技术缺陷等。自然灾害包括地震、雷击、洪水等,可直接导致物理设备的损坏或零部件故障,这类威胁具有突发性、自然性和不可抗拒性等特点。自然灾害还包括环境的干扰,如温度过高或过低、电压异常波动、电磁辐射干扰等,这些情况都可能造成系统运行的异常或破坏系统。系统故障指因设备老化、零部件磨损而造成的威胁。技术缺陷指因受技术水平和能力的限制而造成的威胁,如操作系统漏洞、应用软件瑕疵等。信息安全威胁的分类如图1-1-1第1章信息安全概述图1-1-1信息安全威胁的分类第1章信息安全概述1.1.2许多人一提到信息安全,自然会联想到密码、黑客、病毒等专业技术问题。实际上,网络环境下的信息安全不仅涉及到这些技术问题,而且还涉及到法律、政策和管理问题,技术问题虽然是最直接的保证信息安全的手段,但离开了法律、政策和管理的基础,纵有最先进的技术,信息安全也得第1章信息安全概述1.近十年来,电子政务发展迅速,政府网站的安全代表着电子政务中政府信息安全的实质是由于计算机信息系统作为国家政务的载体和工具而引发的信息安全。电子政务中的政府信息安全是国家安全的重要内容,是保障国家信息安全所不可或缺的组成部分。由于互联网发展在地域上极不平衡,信息强国对于信息弱国已经形成了战略上的“信息位势差”。“信息疆域”不再是以传统的地缘、领土、领空、领海来划分的,而是以带有政治影响力的信息辐射空间来划分第1章信息安全概述2.随着信息化程度的提高,国民经济和社会运行对信息资料和信息基础设施的依赖程度越来越高。然而,我国计算机犯罪的增长速度远远超过了传统意义犯罪的增长速度,计算机犯罪从1997年的20多起,发展到1998年的142起,再到1999年的908起。1999年4月26日,CIH病毒大爆发,据统计,我国受到影响的计算机总量达到36万台,经济损失可能达到12亿元。2008年公安部网监局调查了7起销售网络木马程序案件,每起案件的木马销售获利均超过1000万元。据公安机关的估算,7起案件实施的网络盗窃均获利20亿元以上。第1章信息安全概述3.文化是一个国家民族精神和智慧的长期积淀和凝聚,是民族振兴发展的价值体现。在不同文化相互交流的过程中,一些国家为了达到经济和政治上的目的,不断推行“文化殖民”政策,形成了日益严重的“文化帝国主义”倾向。同时,互联网上散布着一些虚假信息、有害信息,包括网络色情、赌博等不健康的信息,对青少年的价值观、文化观造成了严第1章信息安全概述4.要使网络安全运行、数据安全传递,仅仅靠人们的良好愿望和自觉意识是不够的,需要必要的法律建设,以法制来强化信息安全。这主要涉及网络规划与建设的法律问题、网络管理与经营的法律问题、用户(自然人或法人)数据的法律保护、电子资金划转的法律认证、计算机犯罪与刑事立法、第1章信息安全概述法律是信息安全的防御底线,也是维护信息安全的最根本保障,任何人都必须遵守,带有强制性。不难设想,若计算机网络领域没有法制建设,那么网络的规划与建设必然是混乱的,网络将没有规范、协调的运营管理,数据将得不到有效的保护,电子资金的划转将产生法律上的纠纷,黑客将受不到任何惩罚。但是,有了相关法律的保障,并不等于安全问题就解决了,还需要相应的配套政策,才能使保障信息第1章信息安全概述5.在网络威胁多样化的时代,单纯追求技术方面的防御措施是不能全面解决信息安全问题的,计算机网络管理制度是网络建设的重要方面。信息安全的管理包括三个层次的内容:组织建设、制度建设和人员意识。组织建设是指有关信息安全管理机构的建设,也就是说,要建立健全安全管理机构。第1章信息安全概述信息安全的管理包括安全规划、风险管理、应急计划、安全教育培训、安全系统评估、安全认证等多方面的内容,只靠一个机构是无法解决这些问题的,因此应在各信息安全管理机构之间,依照法律法规的规定建立相关的安全管理制度,明确职责,责任到人,规范行为,保证安全。第1章信息安全概述明确了各机构的职责后,还需要建立切实可行的规章制度,如对从业人员的管理,需要解决任期有限、职责隔离和最小权限的问题。有了组织机构和相应的制度,还需要加强人员意识的培养。通过进行网络信息安全意识的教育和培训,增强全民的网络安全意识和法制观念,以及对信息安全问题的重视,尤其是对主管计算机应用工作的领导和计算机系统管理员、操作员要通过多种渠道进行计算机及网络安全法律法规和安全技术知识培训与教育,使主管领导增强计算机安全意识,使计算机应用人员掌握计算机安全知识,知法、懂法、守法。第1章信息安全概述6.目前,出现的许多信息安全问题,从某种程度上讲,可以说是由技术上的原因造成的,因此,对付攻击也最好采用技术手段。如:加密技术用来防止公共信道上的信息被窃取;完整性技术用来防止对传输或存储的信息进行篡改、伪造、删除或插入的攻击;认证技术用来防止攻击者假冒通信方发送假信息;第1章信息安全概述1.1.3不论采取何种安全措施,一个计算机系统很难保证不会受到计算机病毒、黑客的攻击。人们不禁要问,什么样的计算机系统才算是安全的系统?1.无危为安,无损为全。安全就是指人和事物没有危险,不受威胁,完好无损。对人而言,安全就是使人的身心健康免受外界因素干扰和威胁的一种状态,也可看做是人和环境的一种协调平衡状态。一旦打破这种平衡,安全就不存在了。据此原则,现实生活中,安全实际上是一个不可能达到的目标,计算机网络也不例外。事实上,即使采取必要的网络保护措施,信息系统也会出现故障和威胁,从这个角度讲,第1章信息安全概述2.适当的安全性,是计算机网络世界理性的选择,也是网络环境现存的状态。从经济利益的角度来讲,所谓适当的安全,是指安全性的选择应建立在所保护的资源和服务的收益预期大于为之付出的代价的基础之上,或者说,我们采取控制措施所降低的风险损失要大于付出的代价,如果代价大于损失就没有必要了。因此,面对这个有缺陷的网络,采取安第1章信息安全概述所谓信息安全需求,是指计算机网络给我们提供信息查询、网络服务时,保证服务对象的信息不受监听、窃取和篡改等威胁,以满足人们最基本的安全需要(如隐密性、可用性等)的特性。下面先介绍信息安全在不同层面的含义,然后从1.2第1章信息安全概述1.2.11.从用户(个人或企业)的角度来讲,他们希望:(1)在网络上传输的个人信息(如银行帐号和上网登录口令等)不被他人发现,这就是用户对网络上传输的信息具有保密性的要求;(2)在网络上传输的信息没有被他人篡改,这就是用户对网络上传输的信息具有完整性的要求;(3)在网络上发送的信息源是真实的,不是假冒的,这就是用户对通信各方的身份提出的身份认证的要求;第1章信息安全概述(4)信息发送者对发送过的信息或完成的某种操作是承从网络运行和管理者的角度来讲,他们希望本地信息网正常运行,正常提供服务,不受网外攻击,未出现计算机病毒、非法存取、拒绝服务、网络资源非法占用和非法控制等第1章信息安全概述从安全保密部门的角度来讲,他们希望对非法的、有害的、涉及国家安全或商业机密的信息进行过滤和防堵,避免通过网络泄露关于国家安全或商业机密的信息,避免对社会从社会教育和意识形态的角度来讲,我们应避免不健康第1章信息安全概述2.信息安全在不同的应用环境下有不同的解释。针对网络中的一个运行系统而言,信息安全就是指信息处理和传输的安全。它包括硬件系统的安全可靠运行、操作系统和应用软件的安全、数据库系统的安全、电磁信息泄露的防护等。狭义的信息安全,就是指信息内容的安全,包括信息的保密性、第1章信息安全概述3.广义的信息安全是指网络系统的硬件、软件及其系统中的信息受到保护。它包括系统连续、可靠、正常地运行,网络服务不中断,系统中的信息不因偶然的或恶意的行为而遭网络安全侧重于网络传输的安全,信息安全侧重于信息第1章信息安全概述1.2.21.保密性是指网络中的信息不被非授权实体(包括用户和进程等)获取与使用。这些信息不仅包括国家机密,也包括企业和社会团体的商业机密和工作机密,还包括个人信息。人们在应用网络时很自然地要求网络能提供保密性服务,而被保密的信息既包括在网络中传输的信息,也包括存储在计算机系统中的信息。就像电话可以被窃听一样,网络传输信息也可以被窃听,解决的办法就是对传输信息进行加密处理。存储信息的机密性主要通过访问控制来实现,不同用户对不同第1章信息安全概述2.完整性是指数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。数据的完整性的目的是保证计算机系统上的数据和信息处于一种完整和未受损害的状态,这就是说数据不会因为有意或无意的事件而被改变或丢失。的来源具有正确性和可信性,也就是说需要首先验证数据是影响数据完整性的主要因素是人为的蓄意破坏,也包括第1章信息安全概述3.可用性是指对信息或资源的期望使用能力,即可授权实体或用户访问并按要求使用信息的特性。简单地说,就是保证信息在需要时能为授权者所用,防止由于主、客观因素造成的系统拒绝服务。例如,网络环境下的拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。Internet蠕虫就是依靠在网络上大量复制并且传播,占用大量CPU处理时间,导致系统越来越慢,直到网络发生崩溃,用户的正常数据请求不能得到处理,这就是一个典型的“拒绝服务”攻击。当然,数据不可用也可能是由软件缺陷造成的,如微软的Windows第1章信息安全概述4.可控性是人们对信息的传播路径、范围及其内容所具有的控制能力,即不允许不良内容通过公共网络进行传输,使5.不可否认性也称不可抵赖性。在信息交换过程中,确信参与方的真实同一性,即所有参与者都不能否认和抵赖曾经完成的操作和承诺。简单地说,就是发送信息方不能否认发送过信息,信息的接收方不能否认接收过信息。利用信息源证据可以防止发信方否认已发送过信息,利用接收证据可以防止接收方事后否认已经接收到信息。数据签名技术是解决第1章信息安全概述引起网络不安全的原因有内因和外因之分。内因是指网络和系统的自身缺陷与脆弱性,外因是指国家、政治、商业和个人的利益冲突。归纳起来,导致网络不安全的根本原因是系统漏洞、协议的开放性和人为因素。系统漏洞又称为陷阱,它通常是由操作系统开发者设置的,这样他们就能在用户失去了对系统的所有访问权时仍能进入系统,这就像汽车上的安全门一样,平时不用,在发生灾难或正常门被封的情况下,人们可以使用安全门逃生。人为因素包括黑客攻击、计算机犯罪和信息安全管理缺失。网络的管理制度和相关法律法规的不完善也是导致网络不安全的重要因素。1.3第1章信息安全概述1.3.1从安全专家的角度来看,Internet从建立开始就缺乏安全的总体构想和设计,主要体现在计算机系统的脆弱性和数据库管理系统(DBMS)1.目前常用的操作系统Win
本文标题:信息技术--赵泽茂--第一章
链接地址:https://www.777doc.com/doc-44804 .html