2 信息安全基础.pptVIP

上节课内容回顾 信息化发展与信息安全 1 信息化发展 2 信息安全概念 3 信息安全的非传统安全特点 4 我国信息安全保障工作 主要内容 第1节 信息系统安全要素 1.1 基础概念 1.2 各要素之间的相互关系 1.3 信息安全风险控制 第2节 网络安全基础 第3节 信息安全保障体系 第4节 积极防御的信息安全技术保护框架 第5节 常用安全技术 本章小结 信息系统安全要素 对信息系统实施保护时必须考虑的基础因素。 导出了人们对各类具体信息安全技术和管理机制的需要。 决定了保护信息系统安全的各种方法。 信息系统安全要素（续） 信息系统安全保护的 实质：风险管理 直接目的：控制安全风险 “风险”及其相关概念构成了影响信息系统安全的主要因素。 基础概念 使命 资产 资产价值 威胁 威胁源 脆弱性 威胁 自然威胁 例如：各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备自然老化等 人为威胁 故意威胁 例如：带有国家或集团色彩的攻击者、恐怖分子、犯罪分子、黑客、内部人员、间谍等 非故意威胁 例如：不熟练的系统使用者和维护者等 威胁（续） 由威胁源所实施的、导致安全事件发生的行为一般称为攻击。 被动攻击：被动监视通信网络上传送的信息，而不对信息的传输、存储和处理过程进行破坏。 例如：监视铭文、解密通信数据、口令嗅探、通信量分析等。 主动攻击：涉及对安全机制的破坏和对信息、数据的改动。 例如：篡改数据、重放、会话拦截、拒绝服务攻击等。 脆弱性 脆弱性是资产本身所存在的，但是如果没有被相应的威胁利用，单纯的脆弱性本身不会对资产造成伤害。 人们的认识能力和实践能力总是有局限性的，因此，信息系统存在脆弱性是不可避免的。 风险 信息系统的脆弱性是安全风险产生的内因，威胁则是安全风险产生的外因。 由于任何信息系统都会有安全风险，人们追求的所谓安全的信息系统，实际上是指信息系统在实施了风险评估并做出风险控制后，仍然存在的残余风险可被接受的信息系统。 不存在“零”风险的信息系统，也没必要追求绝对安全的信息系统。 相互关系——国际标准 ISO/IEC 15408 给出的信息系统安全各要素之间的关系图 相互关系——国家标准 威胁、脆弱性和风险三者关系 威胁、脆弱性和风险之间的相互作用 信息安全风险控制 常见的风险控制措施： 风险减低 风险承受 风险规避 风险转移 主要内容 第1节 信息系统安全要素 第2节 网络安全基础 2.1 ISO/OSI参考模型 2.2 TCP/IP参考模型 2.3 开放系统互连安全体系结构 第3节 信息安全保障体系 第4节 积极防御的信息安全技术保护框架 第5节 常用安全技术 本章小结 ISO/OSI参考模型 ISO/OSI参考模型 实现了两个异构系统之间的通信 ISO/OSI参考模型（续） 给出了一种异型网络互联的标准框架，概念清楚； 为描述网络提供了详细标准，对统一网络体系结构和协议起了积极作用 开发网络协议标准和体系结构的理论框架 结构复杂，几乎没有厂家生产符合OSI标准的网络产品 比较ISO/OSI与TCP/IP TCP/IP参考模型 TCP/IP参考模型（续） TCP和IP是其中两个最重要的协议 其层次结构不能准确地对应到OSI参考模型 事实上的国际标准和公认的工业标准 开放系统互连安全体系结构 ISO 7498-2标准（1988） 核心内容：为了保证异构计算机进程之间远距离交换信息的安全，定义了系统应当提供的5类安全服务和8种安全机制，确定了安全服务于安全机制之间的关系以及在OSI参考模型中安全服务和安全机制的配置，另外还确定了OSI的安全管理。 ISO 7498-2标准 协议层次、安全服务与安全机制关系 安全服务 1 鉴别 2 访问控制 3 数据保密性 4 数据完整性 5 抗抵赖 安全机制 1 加密机制 2 数字签名机制 3 访问控制机制 4 数据完整性机制 5 鉴别交换机制 6 通信业务填充机制 7 路由选择控制机制 8 公证机制 安全服务与安全机制的关系 一类安全服务可以通过某种安全机制单独提供，也可以通过多种安全机制联合提供。 一种安全机制可以提供一类或多类安全服务。 安全管理 OSI安全管理涉及两个方面： 1 与OSI有关的安全管理 系统安全管理 OSI安全服务管理 OSI安全机制管理 2 OSI管理的安全 安全域 定义：从属于单一的安全策略，受单个授权机构管理的多个实体构成的集合称为“安全域”。 安全域是信息安全中的重要概念 安全管理信息库（SMIB）：一个概念上的集存地，存储开放系统所需的与安全有关的全部信息。 主要内容 第1节 信息系统安全要素 第2节 网络安全基础 第3节 信息安全保障体系 3.1 一个确保 3.2 四个层面 3