第1章_信息安全概述(免费阅读).pptVIP

1.4.1 物理层安全风险分析 信息系统物理层安全风险主要包括以下方面： 地震、水灾、火灾等环境事故造成设备损坏。 电源故障造成设备断电以至操作系统引导失败或数据库信息丢失。 设备被盗、被毁造成数据丢失或信息泄漏。 电磁辐射可能造成数据信息被窃取或偷阅。 监控和报警系统的缺乏或者管理不善可能造成原本可以防止的事故。 1.4.2 网络层安全风险分析 1. 数据传输风险分析 数据在传输过程中，线路搭载，链路窃听可能造成数据被截获、窃听、篡改和破坏，数据的机密性、完整性无法保证。 2. 网络边界风险分析 如果在网络边界上没有强有力的控制，则其外部黑客就可以随意出入企业总部及各个分支机构的网络系统，从而获取各种数据和信息，那么，泄露问题就无法避免。 3. 网络服务风险分析 一些信息平台运行Web服务、数据库服务等，如不加防范，各种网络攻击可能对业务系统服务造成干扰、破坏，如最常见的拒绝服务攻击DoS，DDoS。 1.4.3 操作系统层安全风险分析 系统安全通常指操作系统的安全，操作系统的安装以正常工作为目标，在通常的参数、服务配置中，缺省地开放的端口中，存在很大安全隐患和风险。 而操作系统在设计和实现方面本身存在一定的安全隐患，无论是Windows还是UNIX操作系统，不能排除开发商留有后门（Back-Door）。 系统层的安全同时还包括数据库系统以及相关商用产品的安全漏洞。 病毒也是系统安全的主要威胁，病毒大多利用了操作系统本身的漏洞，通过网络迅速传播。 1.4.4 应用层安全风险分析 1. 业务服务安全风险 2. 数据库服务器的安全风险 3. 信息系统访问控制风险 1.4.5 管理层安全风险分析 管理层安全是网络中安全得到保证的重要组成部分，是防止来自内部网络入侵必须的部分。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。 信息系统无论从数据的安全性，业务的服务的保障性和系统维护的规范性等角度，需要严格的安全管理制度，从业务服务的运营维护和更新升级等层面加强安全管理能力。 * Who are you？ 网络中，我如何能相信你 * 信息安全面临的威胁类型 病毒 蠕虫 后门 拒绝服务 内部人员 误操作 非授权访问 暴力猜解 物理威胁 系统漏洞利用 嗅探 1.5 信息安全的需求与实现 1.5.1 信息安全的需求 信息安全研究涵盖多样内容，其中包括网络自身的可用性、网络的运营安全、信息传递的机密性、有害信息传播控制等大量问题。然而通信参与的不同实体对网络安全关心的内容不同，对网络与信息安全又有不同的需求。在这里按照国家、用户、运营商以及其他实体描述安全需求。 1.5.1 信息安全的需求 1. 国家对网络与信息安全的需求 2. 用户（企业用户，个人用户）对网络与信息安全需求 3. 运营商（ISP、ICP等）对网络与信息安全需求 4. 其他实体对网络与信息安全的需求 1.5.2 信息安全的实现 信息安全的实现需要有一定的信息安全策略，它是指为保证提供一定级别的安全保护所必须遵守的规则。实现信息安全，不但靠先进的技术，而且也得靠严格的安全管理，法律约束和安全教育。 1．先进的信息安全技术是网络安全的根本保证。 2．严格的安全管理。 3．制订严格的法律、法规。 1.6 信息安全发展过程 信息安全自古以来就是受到人们关注的问题，但在不同的发展时期，信息安全的侧重点和控制方式是有所不同的。大致说来，信息安全在其发展过程中经历了三个阶段： 第一阶段：早在20 世纪初期，通信技术还不发达，面对电话、电报、传真等信息交换过程中存在的安全问题，人们强调的主要是信息的保密性，对安全理论和技术的研究也只侧重于密码学，这一阶段的信息安全可以简单称为通信安全，即COMSEC（Communication Security）。 1.6 信息安全发展过程 第二阶段：20 世纪60 年代后，半导体和集成电路技术的飞速发展推动了计算机软硬件的发展，计算机和网络技术的应用进入了实用化和规模化阶段，人们对安全的关注已经逐渐扩展为以保密性、完整性和可用性为目标的信息安全阶段，即INFOSEC（Information Security），具有代表性的成果就是美国的TCSEC 和欧洲的ITSEC 测评标准。 1.6 信息安全发展过程 第三阶段：20 世纪80 年代开始，由于互联网技术的飞速发展，信息无论是对内还是对外都得到极大开放，由此产生的信息安全问题跨越了时间和空间，信息安全的焦点已经不仅仅是传统的保密性、完整性和可用性三个原则了，由此衍生出了诸如可控性、抗抵赖性、真实性等其他的原则和目标，信息安全也从单一的被动防护向全面而动态的防护、检测、响应、恢复等整体体系建设