预览加载中,请您耐心等待几秒...
1/10
2/10
3/10
4/10
5/10
6/10
7/10
8/10
9/10
10/10

亲,该文档总共38页,到这已经超出免费预览范围,如果喜欢就直接下载吧~

如果您无法下载资料,请参考说明:

1、部分资料下载需要金币,请确保您的账户上有足够的金币

2、已购买过的文档,再次下载不重复扣费

3、资料包下载后请先用软件解压,在使用对应软件打开

信息安全概述课程主要内容信息 信息就是消息,是关于客观事实的可通讯的知识。信息可以被交流、存储和使用。 信息安全 国际标准化组织(ISO)的定义为:“为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露”。(1)网络安全的任务: 保障各种网络资源稳定可靠的运行,受控合法的使用。 (2)信息安全的任务: 保证:机密性、完整性、不可否认性、可用性 (3)其他方面: 病毒防治,预防内部犯罪(1)信息与网络安全的防护能力较弱。 (2)基础信息产业相对薄弱,核心技术严重依赖国外。对引进的信息技术和设备缺乏保护信息安全的有效管理和技术改造。 (3)信息安全管理力度还要加强,法律法规滞后现象急待解决。 (4)信息犯罪在我国有快速发展的趋势。 (5)国内具有知识产权的信息与网络安全产品相对缺乏,且安全功能急待提高。 (6)全社会的信息安全意识急待提高,加强专门安全人才的培养刻不容缓。 §1.3信息安全威胁网络安全攻击的形式被动攻击: 目的是窃听、监视、存储数据,但是不修改数据。很难被检测出来,通常采用预防手段来防止被动攻击,如数据加密。 主动攻击: 修改数据流或创建一些虚假数据流。常采用数据加密技术和适当的身份鉴别技术。 网络安全攻击网络安全攻击§1.4常见的安全威胁6.业务流分析:通过对系统进行长期监听来分析对通信频度、信息流向等发现有价值的信息和规律。 7.假冒:通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击。 8.旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。 9.授权侵犯:被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其它非授权的目的,也称作“内部攻击”。10.特洛伊木马:软件中含有一个察觉不出的或者无害的程序段,当它被执行时,会破坏用户的安全。这种应用程序称为特洛伊木马。 11.陷阱门:在某个系统或某个部件中设置的“机关”,使得当提供特定的输入数据时,允许违反安全策略。 12.抵赖:这是一种来自用户的攻击,比如:否认自己曾经发布过的某条消息、伪造一份对方来信等。 13.重放:所截获的某次合法的通信数据拷贝,出于非法的目的而被重新发送。 14.计算机病毒:是一种在计算机系统运行过程中能够实现传染和侵害的功能程序。15.人员不慎:一个授权的人为了钱或利益,或由于粗心,将信息泄露给一个非授权的人。 16.媒体废弃:信息被从废弃的磁的或打印过的存储介质中获得。 17.物理侵入:侵入者通过绕过物理控制而获得对系统的访问;安全威胁的后果§1.5信息安全的目标使用数据完整性鉴别机制,保证只有得到允许的人才能修改数据,而其它人“改不了”,从而确保信息的完整性。(1)主动防御保护技术 数据加密、身份鉴别、存取控制、权限设置、 虚拟专用网(VPN)技术。 (2)被动防御保护技术 防火墙、入侵检测系统、安全扫描器、口令验证、审计跟踪、物理保护与安全管理信息安全是一门涉及计算机科学、网络技术、通信技术、 密码技术、信息安全技术、应用数学、数论、信息论等多种学科的边缘性综合学科。信息安全研究内容及相互关系1、密码理论 加密:将信息从易于理解的明文加密为不易理解的密文 消息摘要:将不定长度的信息变换为固定长度的摘要 数字签名:实际为加密和消息摘要的组合应用 密钥管理:研究密钥的产生、发放、存储、更换、销毁2、安全理论 身份认证:验证用户身份是否与其所声称的身份一致 授权与访问控制:将用户的访问行为控制在授权范围内 审计跟踪:记录、分析和审查用户行为,追查用户行踪 安全协议:构建安全平台使用的与安全防护有关的协议1、安全技术 防火墙技术:控制两个安全策略不同的域之间的互访行为 漏洞扫描技术:对安全隐患的扫描检查、修补加固 入侵检测技术:提取和分析网络信息流,发现非正常访问 病毒防护技术:预防病毒入侵2、平台安全 物理安全:主要防止物理通路的损坏、窃听、干扰等 网络安全:保证网络只给授权的客户使用授权的服务, 保证网络路由正确,避免被拦截或监听 系统安全:保证客户资料、操作系统访问控制的安全, 同时能对该操作系统上的应用进行审计 数据安全:对安全环境下的数据需要进行加密 用户安全:对用户身份的安全性进行识别 边界安全:保障不同区域边界连接的安全性信息安全保障体系、信息安全应急反应技术、安全性能测试和评估、安全标准、法律、管理法规制定、安全人员培训提高等。一、安全策略 指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。该安全策略模型包括了建立安全环境的三个重要组成部分,即威严的法律、先进的技术、严格的管理。以安全策略为核心的安全模型MP2DR