信息安全概论课件李冬冬.pptVIP

信息安全概论主讲教师:李冬冬

第一章信息安全基础与发展在数字化时代,信息已成为最重要的战略资源。随着互联网、云计算、大数据、物联网等技术的快速发展,信息化给社会带来巨大便利的同时,也带来了前所未有的安全挑战。网络攻击日益频繁,数据泄露事件层出不穷,信息安全已成为国家安全、企业生存和个人隐私保护的核心问题。机密性确保信息不被未授权的个体或系统访问,保护敏感数据免遭泄露完整性保证信息在存储和传输过程中不被非法篡改,维护数据的准确性可用性确保授权用户在需要时能够及时访问信息资源和系统服务

信息安全威胁与攻击类型常见安全威胁计算机病毒:能够自我复制并感染其他程序的恶意代码木马程序:伪装成正常软件,暗中窃取信息或控制系统蠕虫病毒:通过网络自动传播,无需人工干预即可快速扩散APT攻击:高级持续性威胁,针对特定目标的长期隐蔽攻击主动攻击攻击者直接对系统进行修改、破坏或中断,包括篡改数据、拒绝服务、伪装攻击等,容易被检测但危害巨大被动攻击攻击者仅监听和窃取信息,不对系统进行修改,包括窃听通信、流量分析等,难以检测但可能长期存在

信息安全体系结构与模型建立完善的信息安全体系是保障信息系统安全的基础。国际标准化组织(ISO)制定的OSI安全体系结构为网络安全提供了系统化的框架,涵盖了安全服务、安全机制和安全管理三个层面。1Bell-LaPadula模型强制访问控制模型,关注数据机密性保护,遵循不上读、不下写原则,广泛应用于军事和政府系统2Biba完整性模型与BLP相对应,专注于数据完整性保护,遵循不下读、不上写原则,防止低完整性数据污染高完整性数据3信息保障技术框架综合性安全框架,包括纵深防御、安全域划分、风险管理等核心概念,强调多层次、全方位的安全保障

信息安全三要素机密性Confidentiality通过加密技术、访问控制和身份认证等手段,确保信息只能被授权人员访问,防止敏感数据泄露给未授权的个人或组织完整性Integrity利用哈希算法、数字签名和版本控制等技术,保证数据在存储、传输和处理过程中的准确性和一致性,防止被篡改或破坏可用性Availability通过容错设计、备份恢复和负载均衡等措施,确保信息系统能够持续稳定运行,授权用户能够在需要时随时访问所需资源CIA三要素是信息安全的基石,相互关联又各有侧重。在实际应用中,需要根据业务需求在三者之间进行权衡,找到最佳平衡点。例如,过度强调机密性可能影响可用性,而追求高可用性可能降低安全控制的严格程度。

国际与国内信息安全标准ISO/IEC27000系列国际标准化组织制定的信息安全管理体系标准族,是全球最权威的信息安全管理框架。核心标准包括:ISO27001:信息安全管理体系要求,可用于认证审核ISO27002:信息安全控制措施实践准则ISO27005:信息安全风险管理指南ISO27017/27018:云服务信息安全控制中国网络安全等级保护制度等保2.0是我国网络安全的基本制度,将信息系统划分为五个安全保护等级,从第一级(用户自主保护)到第五级(专用保护),要求不同级别的系统采取相应的安全技术和管理措施。01定级备案确定系统安全保护等级02安全建设实施安全技术和管理措施03等级测评由第三方机构进行测评04监督检查公安机关定期监督检查TCSEC(可信计算机系统评估准则),又称橙皮书,是美国国防部制定的计算机安全评估标准,将系统分为D、C、B、A四个等级,是信息安全等级保护的理论基础。

信息安全法律法规《网络安全法》2017年6月1日起施行,是我国网络安全领域的基础性法律。明确了网络运营者的安全义务,建立了关键信息基础设施保护制度,规定了个人信息保护要求和网络安全事件应急处置机制。《数据安全法》2021年9月1日起施行,建立了数据分类分级保护制度,明确了数据处理活动的安全要求,规定了数据跨境传输的安全管理制度,对国家核心数据实行更加严格的管理。《个人信息保护法》2021年11月1日起施行,确立了个人信息处理应遵循的原则,明确了个人信息处理者的义务,赋予了个人对其信息的知情权、决定权、查询权、更正权和删除权等权利。典型案例:2023年某知名互联网企业因违规收集用户个人信息、未经同意向第三方提供用户数据等行为,被国家网信办依据《个人信息保护法》处以1亿元罚款,并责令暂停相关业务进行整改。这一案例警示企业必须严格遵守法律法规,切实保护用户隐私。此外,《关键信息基础设施安全保护条例》《网络数据安全管理条例》等法规进一步细化了网络安全保护要求,形成了较为完善的法律法规体系。

第二章网络攻击与防御技术网络攻击概述网络攻击是指利用网络系统的漏洞或安全缺陷,对目标系统实施的恶意行为。攻击者的动机多样,包括经济利益、政治目的、个人恩怨、技术炫耀等。现代网络攻击呈现出专业化、产业化、隐蔽化的特点