信息安全导论.PDFVIP

信息安全导论 第二章 信息安全基础 黄 玮 温故 •信息安全专业课程体系概述 •信息与信息技术基础 •信息化发展与现状 •信息安全的基本属性 •信息安全概念的演变 •信息安全的非传统安全特点 •我国信息安全保障现状 知新 •信息系统安全要素 •网络安全基础 •信息安全保障体系 •信息安全技术框架 提纲 •信息系统安全要素 •网络安全基础 •信息安全保障体系 •信息安全技术框架 基础概念 •使命 —企业的信息化 “需求” –一个组织通过信息技术手段实现的工作任务 –信息化程度越高，信息资产价值越高，信息系 统安全就越重要 •资产 —有形资产 无形资产 –通过信息化建设积累起来的信息系统、信息、 生产或服务能力、人员能力和赢得的信誉等 基础概念 •威胁 — 可能破坏安全基本要素的来源或原因 –一个组织的信息资产的安全可能受到的侵害 –多种属性，包括威胁的主体（来源）、能力、 资源、动机、途径、可能性和后果 —对于数据库中的数据来说，SQL注入攻击就是一 种威胁。一旦攻击得手，可能会被窃取机密数据， 导致数据的机密性被破坏 —对于网站来说，拒绝服务攻击一旦得手，会破坏 网站的可用性 — 内部威胁VS. 外部威胁/ 自然威胁VS.人为威胁 微软STRIDE模型 威胁 安全性属性 假冒(Spoof) 认证(Authentication) 篡改(Tamper) 完整性 否认(Repudiation) 不可抵赖性 (Nonrepudiation) 信息泄露(Information Disclosure) 机密性 拒绝服务(Denial of Service) 可用性 提升权限(Elevation of Privilege) 授权(Authorization) 安全性属性的扩充 •认证/ 授权/ 不可抵赖性 •不可抵赖性可通过审计来保证 •认证(Authentication) ：身份验证 •授权(Authorization) ：行为验证 •审计(Audit) ：结果验证+责任认定 — 责任认定(能力) ：Accountability 其他威胁模型 •见参考文献 —CVSS —DREAD —Trike —OCTAVE 通用弱点评价体系（CVSS）(1/3) •Common Vulnerability Scoring System •美国国土安全部主导的NIAC 开发 — Cisco, Symantec, ISS, Qualys, Microsoft, CERT/CC, eBay • 目前由FIRST在维护 —Forum of Incident Response and Security Teams •试图量化评估漏洞的影响大小（危害程度） 通用弱点评价体系（CVSS）(2/3) •评价体系构成 —基本评价(组) / 生命周期评价(组) / 环境评价(组) 通用弱点评价体系（CVSS）(3/3) •相关标准与体系 —CVE ：公共漏洞曝光 –Common Vulnerabilities Exposures —CWE ：常