信息安全概述

news/2024/11/15 0:50:10/

一 、信息安全基本概念

1. 信息安全的含义

影响信息的正常存储、传输和使用,以及不良信息的散布问题属于信息安全问题。

  • ISO提出信息安全的定义是:为数据处理系统建立和采取的技术及管理保护,保护计算机硬件、软件、数据不因偶然及恶意的原因而遭到破坏、更改和泄漏。
  • 信息安全既是传统通信保密的延续和发展,又是网络互联时代出现的新概念。信息安全概念是随着信息技术的发展而不断拓展、不断深化的。信息安全概念的外延不断扩大、内涵不断丰富,由单一的通信保密发展到计算机安全、信息系统安全,又扩展到对信息基础设施、应用服务和信息内容实施全面保护的信息安全保障;由单-的对通信信息的保密,扩展到对信息完整性.真实性的保护,再深化到对信息的保密性、完整性、真实性、可控性,以及信息基础设施的可用性和交互行为的不可否认性的全面保护。
  • 信息安全是一个包括信息安全行为主体、保护对象、防护手段、任务目的等内容的综合性概念。各国国情和信息化水平不同,信息安全概念的表述也不尽相同。我国信息安全的概念可表述为:信息安全是指在政府主导和社会参与下,综合运用技术、法律、管理、教育等手段,在信息空间积极应对敌对势力攻击、网络犯罪和意外事故等多种威胁,有效保护信息基础设施、信息系统、信息应用服务和信息内容的安全,为经济发展、社会稳定、国家安全和公众权益提供安全保障的活动。

2. 信息安全问题分为三个层次

(1)信息自身安全性;

(2)信息系统安全性;

(3)某些信息的传播对社会造成的不良影响

3. 信息安全的作用和地位

  • 随着社会信息化发展进程的不断加快,信息技术已渗透到国家政治、经济、军事和社会生活的各个方面,国家、社会和个人对信息的依赖程度越来越高,信息已成为重要的战略资源,信息化水平已成为衡量一个国家和地区的国际竞争力、现代化水平、综合国力和经济成长能力的重要标志。与此同时,社会面临的信息安全威胁也成为影响和制约国家发展的重 要因素。从国家层面上看,当前我国国民经济和社会信息化建设进程全面加快,信息安全在保障经济发展、社会稳定、国家安全、公众权益中的作用和地位日显重要,主要表现为以下几个 方面。

(1)关乎经济发展

(2)关乎社会稳定

(3)关乎国家稳定

(4)关乎公众权益

4. 商业组织的信息安全需求来自于以下三个方面

(1)法律法规与合同条约的要求

(2)商业组织的原则、目标和规定

(3)风险评估的结果

二 、信息安全环境及现状

在这里插入图片描述

1. 信息安全的威胁(攻击)类型

(1)信息泄露。

  • 是指信息被泄露给未授权的实体,泄露的形式主要包括窃听、截收、侧信道攻击和人员疏忽等。其中,截收一般是指窃取保密通信的电波、网络信息等;侧信道攻击是指攻击者虽然不能直接取得保密数据,但是可以获得这些保密数据的相关信

(2)篡改。

  • 篡改是指攻击者擅自更改原有信息的内容,但信息的使用者并没有意识到信息已经被更改的事实。在传统环境下,篡改者对纸质文件的篡改可以通过一些鉴定技术识别出来;但是在数字环境下,对电子内容的篡改不会留下明显的痕迹。

(3)重放。

  • 重放是指攻击者可能截获合法的通信信息,此后出于非法的目的重新发送已截获的信息,而接收者可能仍然按照正常的通信信息受理,从而被攻击者所欺骗。

(4)假冒。

  • 假冒是指某用户冒充其他的用户登录信息系统,但是信息系统可能并不能识别出冒充者,这就使冒充者获得本不该得到的权限。

(5)否认。

  • 否认是指参与某次数据通信或数据处理的一方事后拒绝承认本次数据通信或数据处理曾经发生过,这会导致这类数据通信或数据处理的参与者逃避应承担的责任。

(6)非授权使用。

  • 非授权使用是指信息资源被某些未授权的人或系统使用,当然也包括被越权使用的情形。

(7)网络与系统攻击。

  • 由于网络和主机系统在设计或实现上往往存在一些漏洞,攻击者可能利用这些漏洞来攻击主机系统;此外攻击者仅通过对某- -信息服务资源进行长期占用,使系统不能够正常运转,这种攻击一般被称为拒绝服务攻击。

(8)恶意代码。

  • 恶意代码是指恶意破坏计算机系统、窃取机密信息或秘密地接受远程操控的程序。恶意代码由居心叵测的用户编写和传播,隐藏在受害方的计算机系统中,这些代码也可以进行自我复制和传播。恶意代码主要包括木马程序、计算机病毒、后门程序、蠕虫病毒及僵尸网络等。

(9)故障、灾害和人为破坏。

  • 管理信息系统也可能因硬件故障、自然灾害(水灾、火灾及地震等)或人为破坏而受到破坏。

进一步地将信息安全威胁划分为四类:

  • 暴露(Disclosure),指对信息进行未授权访问,主要是来自信息泄露的威胁;
  • 欺骗(Deception),指信息系统被误导接收到错误的数据甚至做出错误的判断,包括来自篡改、重放、假冒、否认等的威胁;
  • 打扰(Disruption),指干扰或中断信息系统的执行,主要包括来自网络与系统攻击、灾害、故障与人为破坏的威胁;
  • 占用(Usurpation),指未授权使用信息资源或系统,包括来自未授权使用的威胁。类似地,恶意代码按照其意图不同可以划归到不同的类别中去。

还可以将信息安全威胁分为被动攻击和主动攻击两类:

  • 被动攻击仅仅窃听、截收和分析受保护的数据,这种攻击形式并不篡改受保护的数据,更不会插入新的数据;
  • 主动攻击试图篡改受保护的数据,或者插入新的数据。

2. 信息安全的目标

信息安全旨在确保信息的机密性、完整性和可用性,即:CIA(Confidentiality,Integrity,Availability)。

  • 三个目标中只要有一个被破坏,就表明信息的安全性受到了破坏。
  • 机密性:机密性是指确保未授权的用户不能获取信息的内容,即用户A发出的信息只有用户B能够收到,如果网络黑客C截获了该信息但无法理解信息的内容,则不能随意使用该信息。一旦网络黑客C了解了该信息的确切含义,则说明网络黑客C破坏了该信息的机密性。
  • 完整性:完整性也就是确保信息的真实性,即信息在生成、传输、存储和使用过程中不应被未授权用户篡改。如果网络黑客C截获了用户A发出的信息,并且篡改了信息的内容,则说明网络黑客C破坏了信息的完整性。
  • 可用性:可用性是指保证信息资源随时可以提供服务的特性,即授权用户可以根据需要随时获得所需的信息。也就是说要保证用户A能够顺利地发送信息,用户B能够顺利地接收信息。

不同的信息系统承担着不同类型的业务,因此除了上面的三个基本特性以外,可能会有更加详细的具体需求,由以下四个特性来保证:

(1)可靠性(reliability)

(2)不可抵赖性(non-repudiation)

(3)可控性

(4)可审查性

3. 网络安全技术发展的趋势

(1)新型安全技术。

  • 为了应对日益严峻的网络安全形式,网络安全专家不断地提出了新的网络安全思想和网络安全技术。网络安全技术包括可信计算、网格计算、虚拟机和软件安全扫描等。

(2)集成化的安全工具。

  • 在特定的网络应用环境中,网络安全专家将一些常用的网络安全技术集成在一起,取得了很好的效果。病毒防火墙和VPN的集成、防火墙和IDS的集成、主机安全防护系统、安全网关、网络监控系统等都是安全技术集成的典型例。

(3)针对性的安全工具。

  • 针对性的安全工具旨在应对影响范围广泛、危害性强的网络威胁。这类安全工具种类繁多,如专门针对DDoS攻击的防范系统、专门解决安全认证的AAA认证系统、专门解决不同应用一致性登录问题的单点登录系统、内网非法外联系统等。

(4)管理类安全工具。

  • 随着网络安全技术的不断发展,为了实现网络的安全管理,网络安全专家设计出了基于管理思想的安全工具。管理类安全工具包括安全管理平台、统一威胁管理工具和日志分析系统等。

(5)网络安全服务。

  • 面对日益严峻的网络安全形势,人们对网络安全技术的要求也越来越高。建立一支高水平的安全管理人员团队是顺理成章的选择,但是建立一支专业化的团队往往需要付出很高的代价,普通的企事业单位往往难以接受。将网络系统安全加固任务外包给专门从事网络安全服务的公司去完成,逐渐成为一种行之有效的方法,这就是所谓的网络安全服务。网络安全服务实际上是网络安全设计动态特性的延伸,也是网络安全产业分工的结果。作为一-种新的技术,网络安全服务同样需要工具和规范的支持。网络安全服务企业定期评估客户网络系统面临的风险,利用各种补丁加固客户的网络系统,为客户提供有效的安全网络管理方案。此外,网络安全服务企业还负责对客户的网络系统建设方案进行安全评估,对客户企业员工进行安全培训等。

三 、网络不安全的原因

1. 系统漏洞(陷阱)

由操作系统开发者设置的,能够在用户失去对操作系统的所有访问权限时仍能进入操作系统。

2. 安全漏洞

安全漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而使攻击者能够在未授权的情况下访问或破坏系统。

3. 协议的开放性

TCP/IP 协议没有对具体的安全问题给予详细分析。

4. 人为因素

(1)人为的偶然失误(丢失密码)

(2)计算机犯罪(网络病毒)

(3)黑客攻击

四、信息安全体系结构

1. OSI安全体系结构

OSI的“底层网络安全协议”在第1-4层中实现,主要包括

  • 网络层安全协议(NLSP,Network Layer Security Protocol)
  • 传输层安全协议(TLSP,Transportation Layer Security Protocol)

OSI的“安全组件”服务在第5-7层中实现,它们主要包括

  • 安全通信组件——负责与安全相关的信息在系统之间的传输
  • 系统安全组件——负责与安全相关的处理,如加密、解密、数字签名、认证等。

在这里插入图片描述
综合地看,OSI安全体系结构中的安全服务能够为网络系统提供以下4类不同层次的安全性。

(1)应用级安全

(2)端系统级安全

(3)网络级安全

(4)链路级安全

2. TCP/IP安全体系结构

TCP/IP协议改进和设计新的安全通信协议后:
在这里插入图片描述
3. 信息安全保障体系

包含四部分内容:PDRR
在这里插入图片描述

(1)保护(protect):预先采取安全防范措施

(2)检测(detect):入侵检测、恶意代码检测、脆弱性扫描等。

(3)反应(react):报警、跟踪、阻断、隔离及反击等技术。

(4)恢复(restore):异常恢复、应急处理、漏洞修补、数据备份等。

4. 网络信息安全系统设计原则

(1)木桶原则——是指对信息进行均衡、全面的保护。

(2)整体性原则——在发生被攻击、破坏事件的情况下,必须尽可能地快 速恢复信息系统的服务,减少损失。

(3)安全性评价与平衡原则——没有绝对安全,建立合理实用安全性和用户需求评价和均衡体系。

(4)标准化与一致性原则——设计过程遵循一系列标准。

(5)技术与管理相结合原则——安全体系是一个复杂的系统工程,单靠技术或管理都不可能实现,必须将各种安全技术与运行管理机制等结合。

(6)统筹规划、分布实施原则——网络信息安全系统不肯一次性设计成功,可用制定一个比较全面的安全规划。

(7)等级性原则——网络信息安全可用分为不同的等级。

(8)动态发展原则——不断改进安全措施。

(9)易操作性原则——安全措施需要人为地去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。

信息安全与技术(第二版)


http://www.ppmy.cn/news/876628.html

相关文章

什么叫计算机信息集成,信息系统集成是什么

信息系统集成是通过结构化的综合布线系统和计算机网络技术,将各个分离的设备、功能和信息等集成到相互关联的、统一和协调的系统之中,使资源达到充分共享,实现集中、高效、便利的管理。采用功能集成、网络集成、软件界面集成等多种集成技术。…

计算机主机安全属性包括,计算机安全属性包括哪些

大家好,我是时间财富网智能客服时间君,上述问题将由我为大家进行解答。 计算机安全属性包括实体安全、运行环境的安全和信息的安全。计算机可以进行数值计算、逻辑计算,具有存储记忆功能,能够按照程序运行,自动、高速处…

操作系统安全

操作系统安全 操作系统是用来管理系统资源、控制程序的执行、展示人机界面和各种服务的一种软件,是连接计算机系统硬件与其上运行的软件和用户之间的桥梁。 操作系统是个人计算机系统的资源管理者,有序地管理着计算机中的硬件、软件、服务等资源&#…

搬家送货小程序开发源码定制一键报警实时定位路线规划

1.货物信息录入: 用户可以输入货物的名称、数量、重量、尺寸等信息。 2.路线选择: 用户可以选择起始地点和目的地点,并根据需求选择最佳路线。 提供地图服务或第三方路径规划服务,以帮助用户确定最佳路线。 3.车辆选择&#…

计算机网络信息安全参考文献,计算机网络信息安全学论文参考文献 计算机网络信息安全专著类参考文献有哪些...

为论文写作提供【100个】计算机网络信息安全学论文参考文献,海量计算机网络信息安全相关论文参考文献,包括期刊,专著,外文参考文献,解决您的计算机网络信息安全专著类参考文献有哪些的相关难题! 一、计算机网络信息安全论文参考文献范文 [1]办公计算机网络信息安全方案.陈超.万…

计算机网络——信息安全

一、信息安全和信息系统安全概念 1.信息安全系统体系架构 2.信息安全含义及属性 保密性完整性可用性其他属性:真实性、可核查性、不可抵赖性和可靠性等。 3.信息安全需求 物理线路安全物理设备、物理环境网络安全网络上的攻击、入侵系统安全操作系统漏洞、补丁应…

计算机安全标准是什么,计算机安全等级划分标准

根据不同的安全强度要求,将网络分为四级安全模型。  在TCSEC准则中将计算机系统的安全分为了四大类,依次为D、B、C和A,A是最高的一类,每一类都代表一个保护敏感信息的评判准则,并且一类比一类严格。在C和B中又分若干个子类,我们称为级。 D类:最小的保护。这类是那些通过评测但…

计算机信息安全认识实习报告

一、实习目的 认知实习,通过了解公司的相关信息和技术发展以及招聘情况,让我们了解我们信息安全专业在未来的发展趋势,使我们了解本专业相关领域的发展现状,了解到计算机相关领域的发展现状和最新科研成果,以及在生产科…