信息安全概论课件第一章绪论2.ppt
1,信息安全技术,主讲:侯霞计算机学院 软件工程系houxiabistu.edu,2,教材和参考书,熊平、朱天清.信息安全原理及应用.清华大学出版社,2009年Charles P.Pfleeger,Shri Lawrence著.信息安全原理与应用(第四版).电子工业出版社,2019年徐国爱.网络安全.北京邮电大学出版社.,3,本课程相关说明,总评平时成绩:30%(课堂表现+作业)期末考试:70%(考试)答疑周一 12:20-13:20,教3304houxiabistu.edu资源邮箱:lesson_isyahoo,密码:isrg10,4,第一讲 信息安全绪论,信息安全的概念信息安全需求信息安全的发展历史信息安全的目标信息安全的研究内容,基本概念,什么是信息?广义的说,信息就是消息。一切存在都有信息。信息(information)是经过加工(获取、推理、分析、计算、存储等)的特定形式数据,是物质运动规律的总和。,5,基本概念,什么是安全?-Bruce Schneier如果把一封信锁在保险柜中,把保险柜藏起来,然后告诉你去看这封信相反,如果把一封信锁在保险柜中,然后把保险柜及其设计规范和许多同样的保险柜给你,以便你和世界上最好的开保险柜的专家能够研究锁的装置,而你还是无法打开保险柜去读这封信,6,不是安全,而是隐藏,这才是安全,基本概念,信息安全:是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。,7,信息安全涉及的知识领域,信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。,9,我们需要保护信息安全吗?,10,信息安全需求,CIH病毒事件:2019年4月26日爆发CIH病毒危害:发作时不仅破坏硬盘的引导区和分区表,而且破坏计算机系统flashBIOS芯片中的系统程序,导致主板损坏。后果:CIH 1.2 版本首次大范围爆发 全球超过六千万台电脑被不同程度破坏;CIH 1.2 版本第二次大范围爆发,全球损失超过十亿美元;。犯罪嫌疑人:台湾大学生陈盈豪 犯罪动机:目的是想出一家公司在广告上吹嘘“百分之百”防毒软件的洋相,11,信息安全需求,2019年英国税务及海关总署弄丢两张重要数据光盘,其中包括2500万人的敏感信息。丢失信息涉及所有儿童福利补贴受益人,包括2500万人、725万个家庭。这些记录包含受益人及其子女的姓名、住址、出生日期、儿童补贴受助号码、国家社会保险号码以及相关银行或抵押银行账户信息。,12,信息安全需求,信息战1991年爆发海湾战争被称之为人类首次信息战科索沃战争中,美军侵入南联盟防空系统,发送假信息信息在战争中的影响破坏信息系统影响人的心理影响和威胁越来越大,13,信息安全需求(续),一些数据表明信息安全的重要地位,信息业务及其价值 被认为组织中面临风险最大的四种数据是:知识产权、商业机密信息、客户及消费者数据,以及员工数据。,机密信息 国家机密、商业机密。被认为风险最大的几种商业机密信息包括:非公开财务报表、会计报表、预算或者预测数字。,产权及敏感信息 被认为风险最大的几种知识产权包括:电子表格、竞争情报和源代码。,14,信息安全需求(续),未保护的数据在何处?,60%的调查对象认为,最有可能含有未加保护的敏感或机密静态数据的存储设备是PDA及相关移动设备。59%以上的调查对象认为,公司笔记本电脑含有未加保护的敏感或者机密数据,53%的人认为USB存储棒含有这类数据。认为桌面电脑和共享文件服务器含有未加保护的敏感或者机密数据的则分别占36%和35%。,15,信息安全需求(续),如果存储设备失窃。?,信息安全需求(续),信息系统组成硬件软件数据,实物攻击,软件删除软件篡改逻辑炸弹特洛伊木马病毒陷门,可理解性有效期,17,信息安全需求(续),安全事件的统计数字,5060%的安全事件出自使用不当使用者缺乏经验、系统维护不到位1520%的安全事件出自内部人员所为如以前的雇员、系统管理员1015%的安全事件出自灾害水灾、雷击、火灾.35%的安全事件出自外部攻击如业余爱好者、黑客、竞争对手、有组织的犯罪.,信息安全的发展历史,信息安全的发展经历了如下几个阶段:古典信息安全辐射安全计算机安全网络安全信息安全,19,信息安全威胁(攻击),安全的威胁中断截获篡改伪造,攻击的分类被动攻击主动攻击,20,信息安全的目标,机/保密性(Confidentiality)完整性(Integrity)可用性(Avaliability),可靠性(Reliability)不可抵赖性(Non-repudiation)可控性(Controllability),21,信息安全的目标,机密性:Confidentiality,指保证信息不被非授权访问。完整性:Integrity,指信息在生成、传输、存储和使用过程中不应被第三方篡改。可用性:Availability,指授权用户可以根据需要随时访问所需信息。,信息安全的目标,信息安全的目标是致力于保障信息的这三个特性不被破坏。,构建安全系统的一个挑战就是在这些特性中找到一个平衡点,因为它们常常是相互矛盾的。因此,三个特征是可以独立,也可以有重叠。,23,信息安全的目标,可靠性:是指系统在规定条件下和规定时间内、完成规定功能的概率。不可抵赖性:也称作抗否认性,是面向通信双方(人、实体或进程)信息真实统一的安全要求,它包括收、发双方均不可抵赖。,24,信息安全的目标,可审查性:使用审计、监控、防抵赖等安全机制,使得使用者(包括合法用户、攻击者、破坏者、抵赖者)的行为有证可查,并能够对网络出现的安全问题提供调查依据和手段。可控性:是对信息及信息系统实施安全监控。管理机构对危害国家信息的来往、使用加密手段从事非法的通信活动等进行监视审计,对信息的传播及内容具有控制能力。,信息安全的研究内容,信息安全基础研究,密码理论数据加密算法消息认证算法数字签名算法密钥管理,信息安全基础研究,安全理论身份认证授权和访问控制安全审计安全协议,信息安全应用研究,安全技术防火墙技术、漏洞扫描和分析、入侵检测、防病毒等。平台安全物理安全、网络安全、系统安全、数据安全、用户安全和边界安全。,信息安全管理研究,安全策略研究包括安全风险评估、安全代价评估、安全机制的制定以及安全措施的实施和管理等。安全标准研究主要内容包括安全等级划分、安全技术操作标准、安全体系结构标准、安全产品测评标准和安全工程实施标准等。安全测评研究主要内容有测评模型、测评方法、测评工具、测评规程等。,30,本课程内容及课时安排,绪论 密码学基础对称密码体制公钥密码体制消息认证身份认证与数字签名密钥管理,访问控制网络攻击技术恶意代码分析防火墙入侵检测系统安全协议安全评价标准,31,信息和法律,新疆首例计算机犯罪案事件:电脑黑客非法侵入攻击政府网站案件。后果:新疆维吾尔自治区人事人才信息网主页(xjrs.gov/),多次被电脑黑客非法侵入并且遭到攻击,该网站主页被替换,文件被删除,并且网站服务器的硬盘被格式化,造成大量数据丢失,部分文件和许多宝贵的人才资源信息无法恢复。严重地影响了网站正常工作并造成经济损失22万元人民币。犯罪嫌疑人:一名年仅17岁的学生犯罪动机:充当“黑客”只想证明比别人聪明,32,信息和法律,计算机犯罪:与计算机相关或利用计算机实施犯罪的所有犯罪行为。,我国97刑法首次对计算机犯罪作了规定。,计算机犯罪的特点分析作案手段智能化、隐蔽性强犯罪侵害的目标较集中侦查取证困难,破案难度大犯罪后果严重,社会危害性大,33,信息和法律,计算机犯罪的参与人员业余爱好者破译者(cracker)职业罪犯,恶意攻击者必备的条件:方法、机会和动机。,有些计算机犯罪的动机单纯,认为侵入计算机系统不会对人造成伤害。(错误看法),34,信息和法律,信息不同于其它商品?信息的无损耗性信息的可复制性信息拥有最低的边际成本信息的价值通常与时间相关信息的传播通常是无形的,35,信息和法律,与信息相关的法律问题信息贸易电子出版保护数据库中的数据电子商务,36,信息和法律,雇员和雇主权利专利所有权版权所有权雇用劳动许可证商业秘密保护雇用合同,37,信息和法律,信息保护(国内计算机信息安全法律法规)国务院:中华人民共和国计算机信息系统安全保护条例 国务院:计算机信息网络国际联网管理暂行规定 国务院:计算机信息网络国际联网管理暂行规定实施办法公安部:计算机病毒防治管理办法信息产业部:软件产品管理办法,38,信息和法律,计算机安全中的道德问题法律与道德之间的区别,39,小结,什么是信息?什么是信息安全?信息安全的目标是什么?信息安全的攻击手段有几种?,