网络信息安全技术概述(PPT 63页).ppt

* 1.1.3 信息系统安全及其目标1、信息系统安全 国际标准化组织ISO对“计算机安全”的定义：是指为信息处理系统建立和采取的技术上的和管理上的安全保护措施，保护系统中硬件、软件及数据，不因偶然或恶意的原因而遭受破坏、更改或泄漏。 “计算机安全”一词一直处在不断的演变之中，从最初的保证硬件的安全到保证信息系统及信息资源的安全，使得计算机安全的内容变得愈加复杂。 * 从定义可见： ①由于信息系统是以计算机为工具，对信息进行采集、存储、加工、分析和传输的，因此计算机安全又可称为信息系统安全。 ②1983年Sun公司提出的“网络就是计算机”，即将网络作为一种系统加以推广。网络安全是计算机安全概念在网络环境下的扩展和延伸，它的目标是保证网络中的硬件、软件和数据免遭破坏、更改和泄漏。 * 2、信息系统的安全目标 安全目标（Security Goal）是指能够满足一个组织或者个人的所有安全需求，通常包括保密性、完整性和可用性。 保密性(Confidentiality)：防止非授权访问信息。 完整性(Integrity)： 防止非法篡改和破坏信息。 可用性(Availability)： 防止系统拒绝服务。 * 1.2.1 信息系统安全模型 信息系统安全的内容主要包括安全技术、安全管理和安全法规。 信息系统安全模型是一个层次结构，如图1-2所示。 * 信息系统安全层次模型 图1-2 信息系统安全层次模型 各层次之间相互依赖，下层向上层提供支持，上层依赖于下层的功能，最终实现信息系统的安全。 * （1）第一层是法律制度与道德规范。是指由政府部门所制定的一系列有关计算机犯罪的法令和法规，用于规范和制约人们的思想与行为，将信息安全纳入规范化、法制化和科学化的轨道。 如保密法、数据保护法、计算机安全法、计算机犯罪法、计算机系统安全标准、数据和信息安全标准等（指“社会规范”和“技术规范”两方面）。 * 信息系统安全层次模型 图1-2 信息系统安全层次模型 * （2）第二层是管理制度的建立与实施。是指保证信息系统安全所制定的安全管理制度和规定，是实现信息系统安全的重要保证。 主要包括安全管理人员的教育培训、制度落实、职责的检查等内容。例如某部门或某单位的计算机信息系统安全管理条例。 * 信息系统安全层次模型 图1-2 信息系统安全层次模型 * （3）第三、四层是物理实体的安全与硬件系统保护。计算机物理上安全与硬件系统的保护是信息系统安全不可缺少的重要环节。 一是必须对自然灾害加强防护，如防火、防水、防雷击等； 二是采取必要的措施防止计算机设备被盗，如添加锁、设置警铃、刻上标签、购置机柜等； 三是尽量减少对硬件的损害，例如消除静电、系统接地、键盘安全套、杜绝电磁干扰信号（攻击者可能利用计算机硬件设备的电子辐射了解系统的内部信息，因此要对计算机系统进行屏蔽，防电子辐射）； 四是配置不间断电源UPS（Uninterruptible Power Supply）。在遇到停电时，UPS能立即切换到内部电池供电，并提供一个临时电源，以便坚持到供电恢复。 * 信息系统安全层次模型 图1-2 信息系统安全层次模型 * （4）第五层至第七层是网络、软件和信息安全。通信网络、软件系统和信息安全保密技术是信息系统安全的关键，是信息安全技术研究的主要内容。 由信息系统安全层次模型可知，信息系统安全的内容包括安全技术、安全管理和安全法规。 * 1.3 信息系统安全体系结构 国际标准化组织ISO（International Standand Organization），于1989年在OSI参考模型的七层协议基础之上，提出了OSI（Open System Interconnetion）安全体系结构，定义了5种安全服务和实现这些安全服务的8类安全机制，如图1-4所示。 * 安全体系结构图 图1-4 三维安全体系结构图 * 网络信息安全技术 * 从60年代末，人们已经认识到计算机系统的脆弱性，并开始了安全性研究。 进入80年代，计算机的性能有很大提高，人们将各孤立的计算机系统连接起来，实现相互通信和资源共享，特别是90年代的internet普及，促进社会的信息化。 随着计算机及网络在人类生活领域中的广泛应用，它已经无所不在的影响着社会的政治、经济、文化、军事、意识形态和社会生活等各个方面。但同时针对重要信息资源和网络基础设施的各种攻击和入侵行为也在持续不断增加，对国家安全、经济和社会生活造成了极大的威胁。 举几个安全方面的例子： * （1）IE浏览器惊现漏洞 * 2012年12月，微软公司的IE浏览器出现巨大漏洞，黑客利用这个漏洞可以跟踪记录用户的鼠标移动轨迹，从而盗取用户使用虚拟键盘时输入的各种