信息安全概论课程学习总结.docx

信息安全概论课程学习总结 本学期经过一学期的对于信息安全概论课程的学习， 对于信息安全所涉及的领域、信息安全科目所包含的知识以及信息安全专业学习所需要的相关知识储备和相关发展方向有了简单程度上的相应了解。 于此，对于本学期所学信息安全概论的课程进行梳理与详述。 本学期信息安全概论课程内容大致可分为这几部分： 信息安全概述、 数字水印、僵尸网络、电子商务中的安全技术、操作系统基础知识、网络安全导论、密码学概论以及身份认证技术概述。 一、信息安全概述 信息安全之目的在于将信息系统之脆弱性降到最低， 即将信息系统的任何弱点减小至最少。信息安全的属性为：机密性、完整性、可用性、不可否认性以及可控性。 机密性，是指保护数据不受非法截获和未经授权浏览。此之于敏感数据之传输甚为紧要，对于通信网络中处理用户的私人信息是十分必须且关键的。 完整性，是指保障数据在被传输、接受或者存储时的完整以及未发生篡改。此之于保证重要数据之精确性是必不可少的。 可用性，是指当发生突发事件时，用户依然可以得到并使用数据且服务处于正常运转状态，例如发生供电中断以及相应地自然灾害与事故使。 不可否认性，是指行为人不能否认其信息之行为。此之于可用于防止参与某次通信交换的一方在事后否认本次交换曾经发生过的情况。 可控性，是指对于信息即信息系统实施安全监控。此之于可用于确保管理机制对信息之传播及内容具有控制能力。 信息安全的研究内容包括： 安全检测与风险评估、 网络信任体系、可信计算、访问控制、身份认证、密码技术、内容安全、安全协议、恶意行为及恶意代码检 测、信息隐藏、网络监控、入侵检测、防火墙、无线通信安全、嵌入式安全、云安全以及量子密码等。 与信息安全相关的法规在世界各国也都有了长足的发展。 美国于 1998 年 5 月 22 日总统令《保护美国关键基础设施》 ，就围绕“信息保障”成立了多个组织，包括：全国信息保障委员会、全国信息保障同盟、关键基础设施保障办公室、 首席信息官委员会、 联邦计算机事件响应行动组等十多个全国性机构。 1998 年美国国家安全局制定了《信息保障技术框架》 ，确定了包括网络与基础设施防御、 区域边界防御、 计算环境防御和支撑性基础设施的“深度防御策略”。而后，于 2000 年 1 月，发布《保卫美国计算机空间—保护信息系 统的国家计划》。分析了美国关键基础设施所面临的威胁，制定出联邦政府关键基础设施保护计划，以及关键基础设施保障框架。 与此同时，俄罗斯于 1995 年颁布《联邦信息、信息化和信息保护法》 ，明确界定 了信息资源开放和保密的范畴，提出了保护信息的法律责任。又于 1997 年出台《俄罗斯国家安全构想》 。明确提出“保障国家安全应把保障经济安全放在第一 位”，而“信息安全又是经济安全的重中之重。而后的 2000 年普京总统批准了《国家信息安全学说》，明确了联邦信息安全建设的任务、原则和主要内容。第 一次明确了俄罗斯在信息领域的利益是什么， 受到的威胁是什么， 以及为确保信息安全首先要采取的措施等。 日本也紧跟步伐，出台《 21 世纪信息通信构想》和《信息通信产业技术战略》，强调“信息安全保障是日本综合安全保障体系的核心”。加紧建立与信安 全相关的政策和法律法规，发布了《信息通信网络安全可靠性基准》和《全政策指南》。成立了信息安全措施促进办公室，综合安全保障阁僚会议、  IT IT  安 安 全专家委员会和内阁办公室下的 IT 安全分局。 在我国现已颁布 《中华人民共和国计算机安全保护条例》 、《中华人民共和国商用密码管理条例》、《计算机信息网络国际联网管理暂行办法》 、《计算机信息网络安全保护管理办法》、《计算机信息系统安全等级划分标准》以及在《刑法》的修订过程中增加了有关于计算机犯罪的条款。 我国的信息安全法律法规发展现在已经颇具规模。 二、数字水印 数字水印，是指将一些标识信息直接嵌入数字载体当中或是间接表示且不影响原载体的使用价值，也不容易被探知和再次修改 , 仍能被生产方识别和辨认的技术。数字水印技术是对抗盗版等不法行为的一种行之有效的防伪方式。 三、僵尸网络 僵尸网络，是指通过各种手段在大量计算机中植入特定的恶意程序， 使控制 者能够通过相对集中的若干计算机直接向大量计算机发送指令的攻击网络。 被植入恶意程序的计算机就如同僵尸一般受控于攻击者，进而从事攻击破坏活动。 构成僵尸网络的组成为：僵尸主控机、“僵尸”：被入侵的计算机、指挥和控制协定。 现如今僵尸网络已成为会联网的主要威胁， 因为大量的计算机被控制， 展开猛烈的攻击、破坏、 收集敏感数据和增加更多的被控制的计算机， 网络允许受控计算机的运行。其攻击的方式为： DDoS攻击、垃圾邮件、 Clickfruad 、恶意传 播、非法入侵、 Manipulating o