企业信息安全体系结构研讨.pptxVIP

本资料来源信息安全体系结构周世祥山东理工大学数学与信息科学学院2009年9月12日一、信息的定义和特征1.1 信息定义●概念体系：什么是信息？确切地说至今无定义，但它是一个人人皆知的概念，大约有100多种定义；从不同的侧面，不同层次揭示信息的特征与性质。（分广义和狭义两大类）●信息爆炸（一种消息）。●信息是事物运动状态和方式（广义信息）。●1975年，意大利Lango “客体间的差别”——有差异就有信息。●香农信息：《通信的数学理论》消除的随机不确定性的东西。缺少物质的世界——缺少能量的世界——缺少信息的世界——空虚的世界死寂的世界混乱的世界1.2 信息性质和特征●普遍性和可识别性：利用感官或仪器●存储性和可处理性：信息载体的多样性●时效性和可共享性：价值随时衰减●增值性和可开发性：资源最佳配置，有限的资源发挥最大的作用。开发利用新能源。●转换性、可传递性、可继承性。●信息的社会功能：资源功能、教育功能、启迪功能、方法论功能、娱乐功能和舆论功能。二、信息安全的基本概念2.1 信息安全定义●“安全”：客观上不存在威胁，主观上不存在恐惧。●“信息安全”：具体的信息技术系统的安全；某一特定信息体系（银行、军事系统）的安全。（狭义）●一个国家的信息化状态不受外来的威胁与侵害，一个国家的信息技术体系不受外来的威胁与侵害。●信息安全，首先应该是一个国家宏观的社会信息化状态是否处于自主控制之下，是否稳定，其次才是信息技术安全问题。2.2 信息安全属性●完整性（integrity）：存储或传输中不被修改●可用性（availability）：DoS攻击● 保密性（confidentiality）：军用信息（保密），商用信息（完整）●可控制性（controlability）：授权机构随时控制。●可靠性（reliability）：对信息系统本身而言。2.3 信息安全分类监察安全监控查验发现违规确定入侵定位损害监控威胁犯罪起诉起诉量刑纠偏建议管理安全技术管理安全安多级安全鉴别术管理多级安全加密术管理密钥管理术的管理行政管理安全人员管理系统应急管理安全应急措施入侵自卫与反击技术安全实体安全环境安全建筑安全网络与设备安全软件安全软件的安全开发与安装软件的复制与升级软件加密软件安全性能测试技术安全数据安全数据加密数据存储安全数据备份运行安全访问控制审计跟踪入侵告警与系统恢复立法安全有关信息安全的政策、法令、法规认知安全办学、办班奖惩与杨抑信息安全宣传与普及教育三、OSI信息安全体系结构3.1 ISO7498-2标准●国际普遍遵循的计算机信息系统互联标准，首次确定了开放系统互连（OSI）参考模型的信息安全体系结构。我国将其作为GB/T9387-2标准，并予以执行。OSI参考模型应用7表示6会话54传输3网络链路2物理1安全机制鉴别服务访问控制服务数据保密服务加密数字签名访问控制数据完整性认证交换业务流填充路由控制公证数据完整性服务抗抵赖服务安全服务安全构架三维图在ISO7498-2中描述了开放系统互联安全的体系结构，提出设计安全的信息系统的基础架构中应该包含5种安全服务（安全功能）、能够对这5种安全服务提供支持的8类安全机制和普遍安全机制，以及需要进行的5种OSI安全管理方式。　其中5种安全服务为：鉴别服务、访问控制、数据完整性、数据保密性、抗抵赖性；8类安全机制：加密、数字签名、访问控制、数据完整性、数据交换、业务流填充、路由控制、公证；3.2 安全服务●安全服务是由参与通信的开放系统的某一层所提供的服务，确保该系统或数据传输具有足够的安全性。 ISO7498-2确定了五大类安全服务。鉴别●单向或双向实体鉴别：防治假冒（在连接或数据传输期间的某些时刻使用）●数据源鉴别：但不提供防治数据单元复制或窜改的保护。访问控制●防止未授权而利用OSI可访问的资源。（数据库的访问控制）数据保密性●连接保密性： 请求中的数据不适合加密。●无连接保密性：●选择字段保密性：●业务流保密性：防止流量分析数据完整性●对付主动威胁（窜改、插入、删除、重放攻击）不可否认●带数据源证明的不可否认：向数据接收者提供数据来源的证明。（防止发信者欺诈）●带递交证明的不可否认：向数据发送者提供递交的证明。（防止收信者事后否认）3.3 安全机制●ISO7498-2确定了八大类安全机制：加密、数据签名机制、访问控制机制、数据完整性机制、鉴别交换机制、业务填充机制、路由控制机制和公证机制。加密●保密性：向数据或业务流信息提供保密性。●加密算法：分两大类——对称加密以及非对称加密。（可逆与不可逆）数字签名机制●对数据单元签名●验证签过名的数据单元●签名只有利用签名者的私有信息才能产生出来，这样在签名得到验证之后，就可在任何时候向第三方证明：只有秘密信息的惟一拥有者才能够产生那个签名。访问控制机制