信息安全概论课件-第一章绪论
合集下载
信息安全概论课件-lecture01
可用性也叫做可获取性 是指服务的连续性 要求当合法用户需要使用某条信息或者系统资 源时,它是可获取的 如合法用户需要使用服务器资源时,不会被错 误的拒绝。
信息安全的目标
其他潜在目标: 1.认证(authentication,或authenticity)
又叫鉴别 是指在提供信息或者进行数据处理之前先确定 用户身份 也就是说确定哪些用户是合法用户,确定用户 身份的真实性,不出现假冒、伪装等现象 认证还需要确定消息或电子文档的来源的真实 性。
对完整性的威胁 未授权方不仅获得了访问,而且篡改了某些资 源 如:改变数据文件的值,改变程序使得它的执 行结果不同,篡改在网络中传输的消息的内容 等等。
信息源
信息目的地
信息安全威胁的分类
4)伪造(fabrication)
又叫假冒,是对完整性和认证的威胁 非法用户伪装成合法用户,将欺骗性的对象插 入到系统中 如:在网络中插入伪造的消息或为文件增加记 录等。
信息为什么不安全
信息需要共享 信息需要使用 信息需要交换 信息需要传输 ……
信息安全威胁的分类
1)中断(interruption)
又叫阻断,是对可用性的威胁 该系统的资源被破坏或变得不可利用或不能使 用。 如:部分硬件的毁坏、一条通信线路的切断或 某文件管理系统的失效。 也叫做拒绝服务(denial of service),即合 法用户不能够正常获得信息源的服务
消息认证技术
消息摘要
附加 单向散列函数hash
单向:如同打碎一个盘子
可以确保信息离开信源后没有被修改,却 未必能免遭数据项的复制、重排序或丢失
信息安全概论课件
信息安全意识教育的内容
介绍信息安全意识教育的主要内容,包括信息安全 基本概念、安全风险防范、个人信息保护等方面的 知识。
信息安全意识教育的实施 方式
探讨如何有效地开展信息安全意识教育,包 括课程设置、培训形式、宣传推广等方面的 措施。
内容。
信息安全道德规范的核心原则
02 阐述信息安全道德规范所遵循的核心原则,如尊重他
人隐私、保护国家安全、维护社会公共利益等。
信息安全道德规范的具体要求
03
详细说明在信息安全领域中,个人和组织应该遵循的
具体道德规范和行为准则。
信息安全意识教育
信息安全意识教育的重要 性
强调信息安全意识教育在保障信息安全中的 重要作用,分析当前信息安全意识教育的现 状和不足。
对称密钥密码体制安全性
对称密钥密码体制安全性取决于密钥的保密性,如果密钥泄露,则加密 信息会被破解。因此,对称密钥密码体制需要妥善保管密钥。
非对称密钥密码体制
非对称密钥密码体制定义
非对称密钥密码体制也称为公钥密码体制,是指加密和解密使用不同密钥的加密方式。
非对称密钥密码体制算法
非对称密钥密码体制算法包括RSA(Rivest-Shamir-Adleman)、ECC(椭圆曲线加密算 法)等,这些算法通过一对公钥和私钥来进行加密和解密操作。
数字签名主要用于验证信息的完整性 和真实性,以及防止信息被篡改和伪 造。
数字签名与验证流程包括签名生成和 验证两个阶段。在签名生成阶段,发 送方使用私钥对信息摘要进行加密, 生成数字签名;在验证阶段,接收方 使用公钥对数字签名进行解密,得到 信息摘要,并与原始信息摘要进行比 对,以验证信息的完整性和真实性。
信息安全的威胁与风险
01
信息安全概论 PPT
13
1.3 信息安全技术体系
14
1.3 信息安全技术体系
本书将在后面的章节中介绍这些技术,这里 先概述一下其基本内容。 1)信息安全保障技术框架 2)密码技术 3)标识与认证技术 4)授权与访问控制技术 5)信息隐藏技术 6)网络与系统攻击技术
15
1.3 信息安全技术体系
7)网络与系统安全防护及应急响应技术 8)安全审计与责任认定技术 9)主机系统安全技术 10)网络系统安全技术 11)恶意代码检测与防范技术 12)内容安全技术 13)信息安全测评技术 14)信息安全管理技术
18
1.4 信息安全模型
• Simmons面向认证系统提出了无仲裁认证 模型,它描述了认证和被认证方通过安全 信道获得密钥、通过可被窃听的线路传递 认证消息的场景;
19
1.4 信息安全模型
• Dolev和Yao针对一般信息安全系统提出了 Dolev-Yao威胁模型,它定义了攻击者在 网络和系统中的攻击能力,被密码协议的 设计者广泛采用。随着密码技术研究的深 入,有很多学者认为密码系统的设计者应 该将攻击者的能力估计得更高一些,如攻 击者可能有控制加密设备或在一定程度上 接近、欺骗加密操作人员的能力。
Байду номын сангаас
1.1 信息安全的概念
(6)可用性(usability):当突发事件(故障、 攻击等)发生时,用户依然能够得到或使 用信息系统的数据,信息系统的服务亦能 维持运行的属性。 (7)可控性(controllability):能够掌握和控 制信息及信息系统的情况,对信息和信息 系统的使用进行可靠的授权、审计、责任 认定、传播源与传播路径的跟踪和监管等 等。
信息安全概论
1
第一章 绪论
1.1 1.2 1.3 1.4 1.5 信息安全的概念 信息安全发展历程 信息安全技术体系 信息安全模型 信息安全保障技术框架
1.3 信息安全技术体系
14
1.3 信息安全技术体系
本书将在后面的章节中介绍这些技术,这里 先概述一下其基本内容。 1)信息安全保障技术框架 2)密码技术 3)标识与认证技术 4)授权与访问控制技术 5)信息隐藏技术 6)网络与系统攻击技术
15
1.3 信息安全技术体系
7)网络与系统安全防护及应急响应技术 8)安全审计与责任认定技术 9)主机系统安全技术 10)网络系统安全技术 11)恶意代码检测与防范技术 12)内容安全技术 13)信息安全测评技术 14)信息安全管理技术
18
1.4 信息安全模型
• Simmons面向认证系统提出了无仲裁认证 模型,它描述了认证和被认证方通过安全 信道获得密钥、通过可被窃听的线路传递 认证消息的场景;
19
1.4 信息安全模型
• Dolev和Yao针对一般信息安全系统提出了 Dolev-Yao威胁模型,它定义了攻击者在 网络和系统中的攻击能力,被密码协议的 设计者广泛采用。随着密码技术研究的深 入,有很多学者认为密码系统的设计者应 该将攻击者的能力估计得更高一些,如攻 击者可能有控制加密设备或在一定程度上 接近、欺骗加密操作人员的能力。
Байду номын сангаас
1.1 信息安全的概念
(6)可用性(usability):当突发事件(故障、 攻击等)发生时,用户依然能够得到或使 用信息系统的数据,信息系统的服务亦能 维持运行的属性。 (7)可控性(controllability):能够掌握和控 制信息及信息系统的情况,对信息和信息 系统的使用进行可靠的授权、审计、责任 认定、传播源与传播路径的跟踪和监管等 等。
信息安全概论
1
第一章 绪论
1.1 1.2 1.3 1.4 1.5 信息安全的概念 信息安全发展历程 信息安全技术体系 信息安全模型 信息安全保障技术框架
《信息安全概述》PPT课件
此要妥善加以保护。
h
29
哪些是信息
• 网络上的数据 • 纸质文件 • 软件 • 物理环境 • 人员 • 设备 • 公司形象和声誉
……
h
30
信息的处理方式
h
31
信息系统的弱点
信息存储的弱点
磁盘意外损坏
光盘意外损坏
磁带被意外盗走
• 导致数据丢失
• 导致数据h无法访问
32
信息系统的弱点
信息传输的弱点
30哪些是信息哪些是信息31信息的处理方式信息的处理方式32磁盘意外损坏磁盘意外损坏光盘意外损坏光盘意外损坏磁带被意外盗走磁带被意外盗走导致数据丢失导致数据丢失导致数据无法访问导致数据无法访问信息系统的弱点信息系统的弱点33信息系统的弱点信息系统的弱点总部总部下属机构下属机构黑客黑客信息泄密信息泄密信息被篡改信息被篡改nternet34企业网络企业网络非法用户非法用户非法登录非法登录合法用户合法用户越权访问越权访问信息系统的弱点信息系统的弱点计算机网络信息被越权访问信息被越权访问信息被非授权访问信息被非授权访问35网络安全面临的威胁网络安全面临的威胁物理风险系统风险信息风险应用风险其它风险网络的风险管理风险设备防盗防毁设备防盗防毁链路老化人为破链路老化人为破网络设备自身故网络设备自身故停电导致无法工停电导致无法工机房电磁辐射机房电磁辐射其他其他信息存储安信息存储安信息传输安信息传输安信息访问安信息访问安其他其他身份鉴别身份鉴别访问授权访问授权机密性机密性完整性完整性不可否认不可否认可用性可用性计算机病计算机病外部攻击外部攻击内部破坏内部破坏其他风险其他风险软件弱点软件弱点是否存在管理方是否存在管理方面的风险需面的风险需有无制定相应的有无制定相应的安全制度安全制度安全拓安全拓安全路安全路internet36什么是信息安全什么是信息安全信息安全infosec
h
29
哪些是信息
• 网络上的数据 • 纸质文件 • 软件 • 物理环境 • 人员 • 设备 • 公司形象和声誉
……
h
30
信息的处理方式
h
31
信息系统的弱点
信息存储的弱点
磁盘意外损坏
光盘意外损坏
磁带被意外盗走
• 导致数据丢失
• 导致数据h无法访问
32
信息系统的弱点
信息传输的弱点
30哪些是信息哪些是信息31信息的处理方式信息的处理方式32磁盘意外损坏磁盘意外损坏光盘意外损坏光盘意外损坏磁带被意外盗走磁带被意外盗走导致数据丢失导致数据丢失导致数据无法访问导致数据无法访问信息系统的弱点信息系统的弱点33信息系统的弱点信息系统的弱点总部总部下属机构下属机构黑客黑客信息泄密信息泄密信息被篡改信息被篡改nternet34企业网络企业网络非法用户非法用户非法登录非法登录合法用户合法用户越权访问越权访问信息系统的弱点信息系统的弱点计算机网络信息被越权访问信息被越权访问信息被非授权访问信息被非授权访问35网络安全面临的威胁网络安全面临的威胁物理风险系统风险信息风险应用风险其它风险网络的风险管理风险设备防盗防毁设备防盗防毁链路老化人为破链路老化人为破网络设备自身故网络设备自身故停电导致无法工停电导致无法工机房电磁辐射机房电磁辐射其他其他信息存储安信息存储安信息传输安信息传输安信息访问安信息访问安其他其他身份鉴别身份鉴别访问授权访问授权机密性机密性完整性完整性不可否认不可否认可用性可用性计算机病计算机病外部攻击外部攻击内部破坏内部破坏其他风险其他风险软件弱点软件弱点是否存在管理方是否存在管理方面的风险需面的风险需有无制定相应的有无制定相应的安全制度安全制度安全拓安全拓安全路安全路internet36什么是信息安全什么是信息安全信息安全infosec
信息安全概论信息安全简介
信息安全概论 第一章 信息安全简介
目录
Contents Page
1. 信息安全地发展历史 2. 信息安全地概念与目地 3. 安全威胁与技术防护知识体系 4. 信息安全中地非技术因素
第一章 信息安全
简介
本章主要内容
回顾信息安全地发展历程; 介绍信息安全地基本概念; 说明信息安全是什么,所关注地问题以及面临地挑战是什么。
第一章
信息安全
简介
1.3.3 数据地安全威胁 数据是网络信息系统地核心。计算机系统及其网
络如果离开了数据, 就像失去了灵魂地躯壳, 是没有价 值地。
无论是上面提到地敌手对计算机系统地攻击还是 对网络系统地攻击, 其目地无非是针对上面承载地信 息而来地。
这些攻击对数据而言, 实际上有三个目地: 截获秘 密数据, 伪造数据或在上述攻击不能奏效地情况下, 破 坏数据地可用性。
第一章 信息安全
简介
1. 信息安全地发展历史
1.
通信保密科学地诞生
文献记载地最早有实用价值地通信保密技术是大 约公元前1世纪古罗马帝国时期地Caesar密码。
1568年L . B a t t i s t a 发 明 了 多 表代 替 密码 , 并在美国 南北战争期间由联军使用,Vigenere密码与Beaufort密 码就是多表代替密码地典型例子。
安全目地通常被描述为"允许谁用何种方式使用 系统中地哪种资源""不允许谁用何种方式使用系统中 地哪种资源"或事务实现中"各参与者地行为规则是什 么"等。
第一章
信息安全
简介
安全目地可以分成数据安全,事务安全,系统安全(包括网络 系统与计算机系统安全)三类。数据安全主要涉及数据地机密性 与完整性;事务安全主要涉及身份识别,抗抵赖等多方计算安全;系 统安全主要涉及身份识别,访问控制及可用性。
目录
Contents Page
1. 信息安全地发展历史 2. 信息安全地概念与目地 3. 安全威胁与技术防护知识体系 4. 信息安全中地非技术因素
第一章 信息安全
简介
本章主要内容
回顾信息安全地发展历程; 介绍信息安全地基本概念; 说明信息安全是什么,所关注地问题以及面临地挑战是什么。
第一章
信息安全
简介
1.3.3 数据地安全威胁 数据是网络信息系统地核心。计算机系统及其网
络如果离开了数据, 就像失去了灵魂地躯壳, 是没有价 值地。
无论是上面提到地敌手对计算机系统地攻击还是 对网络系统地攻击, 其目地无非是针对上面承载地信 息而来地。
这些攻击对数据而言, 实际上有三个目地: 截获秘 密数据, 伪造数据或在上述攻击不能奏效地情况下, 破 坏数据地可用性。
第一章 信息安全
简介
1. 信息安全地发展历史
1.
通信保密科学地诞生
文献记载地最早有实用价值地通信保密技术是大 约公元前1世纪古罗马帝国时期地Caesar密码。
1568年L . B a t t i s t a 发 明 了 多 表代 替 密码 , 并在美国 南北战争期间由联军使用,Vigenere密码与Beaufort密 码就是多表代替密码地典型例子。
安全目地通常被描述为"允许谁用何种方式使用 系统中地哪种资源""不允许谁用何种方式使用系统中 地哪种资源"或事务实现中"各参与者地行为规则是什 么"等。
第一章
信息安全
简介
安全目地可以分成数据安全,事务安全,系统安全(包括网络 系统与计算机系统安全)三类。数据安全主要涉及数据地机密性 与完整性;事务安全主要涉及身份识别,抗抵赖等多方计算安全;系 统安全主要涉及身份识别,访问控制及可用性。
信息安全概论 Chapter01
信息安全的概念
信息安全学关注信息本身的安全,而不管是否应用了计算机作为信息处 理的手段。信息安全的任务是保护信息财产,以防止偶然的或未授权者 对信息的恶意泄露、修改和破坏,从而导致信息的不可靠或无法处理等。 这样可以使得我们在最大限度地利用信息为我们服务的同时而不招致损 失或使损失最小。 信息安全可以分为数据安全和系统安全。信息安全可以分成两个层次:
第1章 信息安全概述 章
内容提要
◎ 信息的定义以及信息技术的研究内容 信息安全的学科内容, ◎ 信息安全的学科内容,研究层次以及 安全威胁 研究信息安全的社会意义, ◎ 研究信息安全的社会意义,相关道德 标准以及黑客行为学研究内容 ◎ 信息安全评价标准
信息技术的概念
信息是人类社会必须的重要资源,信息 安全是社会稳定安全的必要条件。 信息是一切生物进化的导向资源,信息 是知识的来源、是决策的依据、是控制 的灵魂、是思维的材料、是管理的基础。
信息安全的发展
利用4个单词首字母表示为:PDRR,称之为 PDRR保障体系,其中:
保护(Protect)指采用可能采取的手段来保障信息的保密性、完整性、可用 性、可控性和不可否认性。 检测(Detect)指提供工具检查系统可能存在的黑客攻击、白领犯罪和病毒 泛滥等脆弱性。 反应(React)指对危及安全的事件、行为、过程及时做出响应处理,杜绝危 害的进一步蔓延扩大,力求系统还能提供正常服务。 恢复(Restore)指一旦系统遭到破坏,尽快恢复系统功能,尽早提供正常的 服务。
信息安全的威胁
信息安全威胁是指某个人、物、事件或概念对信息资源的保密性、 完整性、可用性或合法使用所造成的危险。攻击是对安全威胁的 具体体现。虽然人为因素和非人为因素都可以对通信安全构成威 胁,但是精心设计的人为攻击威胁最大。主要的信息安全威胁包 括如下的内容:
信息安全概论绪论课件
可靠性(Reliability) 不可抵赖性( Non-repudiation ) 可控性(Controllability)
信息安全概论绪论
20
信息安全的目标
n 机密性:Confidentiality,指保证信息不被 非授权访问。
n 完整性:Integrity,指信息在生成、传输、 存储和使用过程中不应被第三方篡改。
信息安全的发展历史
n 信息安全的发展经历了如下几个阶段:
¨ 古典信息安全 ¨ 辐射安全 ¨ 计算机安全 ¨ 网络安全 ¨ 信息安全
信息安全概论绪论
18
信息安全威胁(攻击)
n 安全的威胁
¨ 中断 ¨ 截获 ¨ 篡改 ¨ 伪造
攻击的分类
被动攻击 主动攻击
信息安全概论绪论
19
信息安全的目标
n 机/保密性(Confidentiality) n 完整性(Integrity) n 可用性(Avaliability)
次被电脑黑客非法侵入并且遭到攻击,该网站主页被 替换,文件被删除,并且网站服务器的硬盘被格式化, 造成大量数据丢失,部分文件和许多宝贵的人才资源 信息无法恢复。严重地影响了网站正常工作并造成经 济损失22万元人民币。 犯罪嫌疑人:一名年仅17岁的学生 犯罪动机:充当“黑客”只想证明比别人聪明
信息安全概论绪论
信息安全技术
信息安全概论绪论
1
教材和参考书
n 熊平、朱天清. 信息安全原理及应用. 清华 大学出版社,2009年
n Charles P. Pfleeger, Shri Lawrence著. 信息安 全原理与应用(第四版). 电子工业出版社, 2007年
n 徐国爱. 网络安全. 北京邮电大学出版社.
50~60%的安全事件出自使用不当 使用者缺乏经验、系统维护不到位
信息安全概论绪论
20
信息安全的目标
n 机密性:Confidentiality,指保证信息不被 非授权访问。
n 完整性:Integrity,指信息在生成、传输、 存储和使用过程中不应被第三方篡改。
信息安全的发展历史
n 信息安全的发展经历了如下几个阶段:
¨ 古典信息安全 ¨ 辐射安全 ¨ 计算机安全 ¨ 网络安全 ¨ 信息安全
信息安全概论绪论
18
信息安全威胁(攻击)
n 安全的威胁
¨ 中断 ¨ 截获 ¨ 篡改 ¨ 伪造
攻击的分类
被动攻击 主动攻击
信息安全概论绪论
19
信息安全的目标
n 机/保密性(Confidentiality) n 完整性(Integrity) n 可用性(Avaliability)
次被电脑黑客非法侵入并且遭到攻击,该网站主页被 替换,文件被删除,并且网站服务器的硬盘被格式化, 造成大量数据丢失,部分文件和许多宝贵的人才资源 信息无法恢复。严重地影响了网站正常工作并造成经 济损失22万元人民币。 犯罪嫌疑人:一名年仅17岁的学生 犯罪动机:充当“黑客”只想证明比别人聪明
信息安全概论绪论
信息安全技术
信息安全概论绪论
1
教材和参考书
n 熊平、朱天清. 信息安全原理及应用. 清华 大学出版社,2009年
n Charles P. Pfleeger, Shri Lawrence著. 信息安 全原理与应用(第四版). 电子工业出版社, 2007年
n 徐国爱. 网络安全. 北京邮电大学出版社.
50~60%的安全事件出自使用不当 使用者缺乏经验、系统维护不到位
信息安全概论(第二版PPT)第一章 绪论
第一章 绪论
安全机制
加密技术 信息完整性 数字签名 身份识别 流量填充
路由控制 公正 访问控制 事件检测与安全审计 恢复机制
第一章 绪论
4 信息安全体系结构 ➢ 信息安全体系结构的含义 ➢ 技术体系 ➢ OSI参考模型 ➢ OSI安全体系结构 ➢ 组织体系结构和管理体系结构
第一章 绪论
系怎样? 7. 根据自己日常使用电脑和上网的经历,谈谈对信息安全含义的理解。 8.新技术的发展给信息安全带来了哪些挑战?
第一章 绪论
谢谢!
39 | Presentation Title | Month 2011
第一章 绪论
第一章 绪论
组织体系结构和管理体系结构
组织体系结构是信息系统安全的组织保障系统,由机构、 岗位和人事三个模块构成一个体系。 管理机构的设置分为三个层次:决策层、管理层和执行层。 人事机构是根据管理机构设定的岗位,对岗位上在职、待职 和离职的雇员进行素质教育、业绩考核和安全监管的机构。 人员是信息安全实施的主体,其活动在国家有关安全的法律 、法规、政策范围内进行。
第一章 绪论
网络安全与信息保障阶段
(20世纪90年代之后)
计算机病毒、网络蠕虫的广泛传播,计算机网络黑客的恶 意攻击,DDOS攻击的强大破坏力、网上窃密和犯罪的增多。
信息安全领域随即进入了以立体防御、深度防御为核心思 想的信息安全保障时代,形成了以预警、攻击防护、响应、 恢复为主要特征的全生命周期安全管理, 出现了大规模网络攻 击与防护、互联网安全监管等各项新的研究内容。
网络安全的研究涉及安全策略、移动代码、指令保护、密 码学、操作系统、软件工程和网络安全管理等内容。
第一章 绪论
信息安全保障
Response响应
安全机制
加密技术 信息完整性 数字签名 身份识别 流量填充
路由控制 公正 访问控制 事件检测与安全审计 恢复机制
第一章 绪论
4 信息安全体系结构 ➢ 信息安全体系结构的含义 ➢ 技术体系 ➢ OSI参考模型 ➢ OSI安全体系结构 ➢ 组织体系结构和管理体系结构
第一章 绪论
系怎样? 7. 根据自己日常使用电脑和上网的经历,谈谈对信息安全含义的理解。 8.新技术的发展给信息安全带来了哪些挑战?
第一章 绪论
谢谢!
39 | Presentation Title | Month 2011
第一章 绪论
第一章 绪论
组织体系结构和管理体系结构
组织体系结构是信息系统安全的组织保障系统,由机构、 岗位和人事三个模块构成一个体系。 管理机构的设置分为三个层次:决策层、管理层和执行层。 人事机构是根据管理机构设定的岗位,对岗位上在职、待职 和离职的雇员进行素质教育、业绩考核和安全监管的机构。 人员是信息安全实施的主体,其活动在国家有关安全的法律 、法规、政策范围内进行。
第一章 绪论
网络安全与信息保障阶段
(20世纪90年代之后)
计算机病毒、网络蠕虫的广泛传播,计算机网络黑客的恶 意攻击,DDOS攻击的强大破坏力、网上窃密和犯罪的增多。
信息安全领域随即进入了以立体防御、深度防御为核心思 想的信息安全保障时代,形成了以预警、攻击防护、响应、 恢复为主要特征的全生命周期安全管理, 出现了大规模网络攻 击与防护、互联网安全监管等各项新的研究内容。
网络安全的研究涉及安全策略、移动代码、指令保护、密 码学、操作系统、软件工程和网络安全管理等内容。
第一章 绪论
信息安全保障
Response响应
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全技术
主讲:侯霞 计算机学院 软件工程系
houxia@
1
教材和参考书
• 熊平、朱天清. 信息安全原理及应用. 清华大学出版社,2009年 • Charles P. Pfleeger, Shri Lawrence著. 信息安全原理与应用(第四版). 电子工业
出版社,2007年 • 徐国爱. 网络安全. 北京邮电大学出版社.
构建安全系统的一个挑战 就是在这些特性中找到一 个平衡点,因为它们常常 是相互矛盾的。因此,三 个特征是可以独立,也可 以有重叠 。
机密性
完整性
可用性
信息安全的目标
• 可靠性:是指系统在规定条件下和规定时间内、完成规定功能的概率。 • 不可抵赖性:也称作抗否认性,是面向通信双方(人、实体或进程)信息真实统一的
信息安全的概念 信息安全需求 信息安全的发展历史 信息安全的目标 信息安全的研究内容
4
基本概念
什么是信息? • 广义的说,信息就是消息。一切存在都有信息。 • 信息(information)是经过加工(获取、推理、分析、计算、存储等)的特定形式数
据,是物质运动规律的总和。
5
基本概念
不是安全,
被动攻击
主动攻击
19
信息安全的目标
• 机/保密性(Confidentiality) • 完整性(Integrity) • 可用性(Avaliability)
可靠性(Reliability) 不可抵赖性( Non-repudiation ) 可控性(Controllability)
20
信息安全的目标
59%以上的调查对象认为,公司笔记本电脑含有 未加保护的敏感或者机密数据,
53%的人认为USB存储棒含有这类数据。 认为桌面电脑和共享文件服务器含有未加保护
的敏感或者机密数据的则分别14 占36%和35%。
信息安全需求(续)
• 如果存储设备失窃。。。。。。?
15
信息安全需求(续)
• 信息系统组成 • 硬件 • 软件 • 数据
这才是安全
6
基本概念
信息安全: • 是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因
而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。
7
信息安全涉及的知识领域
• 信息安全是一门涉及计算机科学、网络技术、通 信技术、密码技术、信息安全技术、应用数学、 数论、信息论等多种学科的综合性学科。
• 机密性:Confidentiality,指保证信息不被非授权访问。 • 完整性:Integrity,指信息在生成、传输、存储和使用过程中不应被第三方篡改。 • 可用性 :Availability,指授权用户可以根据需要随时访问所需信息。
21
信息安全的目标
• 信息安全的目标是致力于保障信息的这三个特性不被破坏。
安全要求,它包括收、发双方均不可抵赖。
实物攻击
软件删除 软件篡改
逻辑炸弹 特洛伊木马 病毒 陷门
可理解性 有效期
信息安全需求(续)
• 安全事件的统计数字
50~60%的安全事件出自使用不当 使用者缺乏经验、系统维护不到位
15~20%的安全事件出自内部人员所为 如以前的雇员、系统管理员
10~15%的安全事件出自灾害 水灾、雷击、火灾...
2
本课程相关说明
• 总评 • 平时成绩:30%(课堂表现+作业) • 期末考试:70%(考试)
• 答疑 • 周一 12:20 - 13:20, 教3-304 • houxia@
• 资源 • 邮箱:lesson_is@, 密码:isrg10
3
第一讲 信息安全绪论
犯罪嫌疑人:台湾大学生陈盈豪
犯罪动机:目的是想出一家公司在广告上吹嘘“百分
之百”防毒软件的洋相
10
信息安全需求
• 2007年英国税务及海关总署弄丢两张重要数据光盘,其中包括2500万人的敏感信息。 • 丢失信息涉及所有儿童福利补贴受益人,包括2500万人、725万个家庭。 • 这些记录包含受益人及其子女的姓名、住址、出生日期、儿童补贴受助号码、国 家社会保险号码以及相关银行或抵押银行账户信息。
我们需要保护信息 安全吗?
9
信息安全需求
CIH病毒
事件:1998年4月26日爆发CIH病毒
危害:发作时不仅破坏硬盘的引导区和分区表,而且 破坏计算机系统flashBIOS芯片中的系统程序,导致主 板损坏。
后果:CIH 1.2 版本首次大范围爆发 全球超过六千万 台电脑被不同程度破坏;CIH 1.2 版本第二次大范围 爆发,全球损失超过十亿美元;。。。
11
信息安全需求
信息战
1991年爆发海湾战争被称之为人类首次信息战
科索沃战争中,美军侵入南联盟防空系统,发 送假信息Βιβλιοθήκη ……信息在战争中的影响
破坏信息系统
影响人的心理
影响和威胁越来越大
12
信息安全需求(续)
• 一些数据表明信息安全的重要地位
信息业务及其价值 被认为组织中面临风险最大的四种数据是:知识产权、
• 什么是安全?---Bruce Schneier
而是隐藏
• 如果把一封信锁在保险柜中,把保险柜藏起来,然后告诉你去看这封信…
• 相反,如果把一封信锁在保险柜中,然后把保险柜及其设计规范和许多同样的保 险柜给你,以便你和世界上最好的开保险柜的专家能够研究锁的装置,而你还是 无法打开保险柜去读这封信…
3~5%的安全事件出自外部攻击 如业余爱好者、黑客、竞争对手、有组织的犯罪...
17
信息安全的发展历史
• 信息安全的发展经历了如下几个阶段: • 古典信息安全 • 辐射安全 • 计算机安全 • 网络安全 • 信息安全
信息安全威胁(攻击)
• 安全的威胁 • 中断 • 截获 • 篡改 • 伪造
攻击的分类
商业机密信息、客户及消费者数据,以及员工数据。 机密信息
国家机密、商业机密。被认为风险最大的几种商业 机密信息包括:非公开财务报表、会计报表、预算或 者预测数字。 产权及敏感信息
被认为风险最大的几种知识产13权包括:电子表格、 竞争情报和源代码。
信息安全需求(续)
• 未保护的数据在何处?
60%的调查对象认为,最有可能含有未加保护的 敏感或机密静态数据的存储设备是PDA及相关移 动设备。
主讲:侯霞 计算机学院 软件工程系
houxia@
1
教材和参考书
• 熊平、朱天清. 信息安全原理及应用. 清华大学出版社,2009年 • Charles P. Pfleeger, Shri Lawrence著. 信息安全原理与应用(第四版). 电子工业
出版社,2007年 • 徐国爱. 网络安全. 北京邮电大学出版社.
构建安全系统的一个挑战 就是在这些特性中找到一 个平衡点,因为它们常常 是相互矛盾的。因此,三 个特征是可以独立,也可 以有重叠 。
机密性
完整性
可用性
信息安全的目标
• 可靠性:是指系统在规定条件下和规定时间内、完成规定功能的概率。 • 不可抵赖性:也称作抗否认性,是面向通信双方(人、实体或进程)信息真实统一的
信息安全的概念 信息安全需求 信息安全的发展历史 信息安全的目标 信息安全的研究内容
4
基本概念
什么是信息? • 广义的说,信息就是消息。一切存在都有信息。 • 信息(information)是经过加工(获取、推理、分析、计算、存储等)的特定形式数
据,是物质运动规律的总和。
5
基本概念
不是安全,
被动攻击
主动攻击
19
信息安全的目标
• 机/保密性(Confidentiality) • 完整性(Integrity) • 可用性(Avaliability)
可靠性(Reliability) 不可抵赖性( Non-repudiation ) 可控性(Controllability)
20
信息安全的目标
59%以上的调查对象认为,公司笔记本电脑含有 未加保护的敏感或者机密数据,
53%的人认为USB存储棒含有这类数据。 认为桌面电脑和共享文件服务器含有未加保护
的敏感或者机密数据的则分别14 占36%和35%。
信息安全需求(续)
• 如果存储设备失窃。。。。。。?
15
信息安全需求(续)
• 信息系统组成 • 硬件 • 软件 • 数据
这才是安全
6
基本概念
信息安全: • 是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因
而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。
7
信息安全涉及的知识领域
• 信息安全是一门涉及计算机科学、网络技术、通 信技术、密码技术、信息安全技术、应用数学、 数论、信息论等多种学科的综合性学科。
• 机密性:Confidentiality,指保证信息不被非授权访问。 • 完整性:Integrity,指信息在生成、传输、存储和使用过程中不应被第三方篡改。 • 可用性 :Availability,指授权用户可以根据需要随时访问所需信息。
21
信息安全的目标
• 信息安全的目标是致力于保障信息的这三个特性不被破坏。
安全要求,它包括收、发双方均不可抵赖。
实物攻击
软件删除 软件篡改
逻辑炸弹 特洛伊木马 病毒 陷门
可理解性 有效期
信息安全需求(续)
• 安全事件的统计数字
50~60%的安全事件出自使用不当 使用者缺乏经验、系统维护不到位
15~20%的安全事件出自内部人员所为 如以前的雇员、系统管理员
10~15%的安全事件出自灾害 水灾、雷击、火灾...
2
本课程相关说明
• 总评 • 平时成绩:30%(课堂表现+作业) • 期末考试:70%(考试)
• 答疑 • 周一 12:20 - 13:20, 教3-304 • houxia@
• 资源 • 邮箱:lesson_is@, 密码:isrg10
3
第一讲 信息安全绪论
犯罪嫌疑人:台湾大学生陈盈豪
犯罪动机:目的是想出一家公司在广告上吹嘘“百分
之百”防毒软件的洋相
10
信息安全需求
• 2007年英国税务及海关总署弄丢两张重要数据光盘,其中包括2500万人的敏感信息。 • 丢失信息涉及所有儿童福利补贴受益人,包括2500万人、725万个家庭。 • 这些记录包含受益人及其子女的姓名、住址、出生日期、儿童补贴受助号码、国 家社会保险号码以及相关银行或抵押银行账户信息。
我们需要保护信息 安全吗?
9
信息安全需求
CIH病毒
事件:1998年4月26日爆发CIH病毒
危害:发作时不仅破坏硬盘的引导区和分区表,而且 破坏计算机系统flashBIOS芯片中的系统程序,导致主 板损坏。
后果:CIH 1.2 版本首次大范围爆发 全球超过六千万 台电脑被不同程度破坏;CIH 1.2 版本第二次大范围 爆发,全球损失超过十亿美元;。。。
11
信息安全需求
信息战
1991年爆发海湾战争被称之为人类首次信息战
科索沃战争中,美军侵入南联盟防空系统,发 送假信息Βιβλιοθήκη ……信息在战争中的影响
破坏信息系统
影响人的心理
影响和威胁越来越大
12
信息安全需求(续)
• 一些数据表明信息安全的重要地位
信息业务及其价值 被认为组织中面临风险最大的四种数据是:知识产权、
• 什么是安全?---Bruce Schneier
而是隐藏
• 如果把一封信锁在保险柜中,把保险柜藏起来,然后告诉你去看这封信…
• 相反,如果把一封信锁在保险柜中,然后把保险柜及其设计规范和许多同样的保 险柜给你,以便你和世界上最好的开保险柜的专家能够研究锁的装置,而你还是 无法打开保险柜去读这封信…
3~5%的安全事件出自外部攻击 如业余爱好者、黑客、竞争对手、有组织的犯罪...
17
信息安全的发展历史
• 信息安全的发展经历了如下几个阶段: • 古典信息安全 • 辐射安全 • 计算机安全 • 网络安全 • 信息安全
信息安全威胁(攻击)
• 安全的威胁 • 中断 • 截获 • 篡改 • 伪造
攻击的分类
商业机密信息、客户及消费者数据,以及员工数据。 机密信息
国家机密、商业机密。被认为风险最大的几种商业 机密信息包括:非公开财务报表、会计报表、预算或 者预测数字。 产权及敏感信息
被认为风险最大的几种知识产13权包括:电子表格、 竞争情报和源代码。
信息安全需求(续)
• 未保护的数据在何处?
60%的调查对象认为,最有可能含有未加保护的 敏感或机密静态数据的存储设备是PDA及相关移 动设备。