1.2信息安全面临威胁类型
1.2.2从五个层次看信息安全威胁 信息系统的安全威胁是永远存在的，下面从信息
安全的五个层次，来介绍信息安全中的信息的 安全威胁。 物理层安全风险分析 网络层安全风险分析 操作系统层安全风险分析 应用层安全风险分析 管理层安全风险分析
1.3信息安全的现状与目标
安全服务
OSI 协议层 1234567
对等实体认证
——Y Y ——Y
数据源认证
——Y Y ——Y
访问控制服务
——Y Y ——Y
连接保密性
Y Y Y Y —Y Y
无连接保密性
—Y Y Y —Y Y
选择字段保密性
—
通信业务流保密性
—————Y Y
带恢复的连接完整性
Y —Y ———Y
不带恢复的连接完整性
———Y ——Y
Y
选择字段保密性
Y
通信业务流保密 Y 性
带恢复的连接完
整性
Y
不带恢复的连接 Y 完整性
选择字段的连接 Y 完整性
无连接完整性
Y
选择字段的无连 Y
接完整性
有数据原发证明 —
的抗否认
交付证明的抗否 —
认
数字 签名
Y Y — — —
访问 控制
— — Y — — —
安全机制
数据 完整 性
1.4.1 信息安全模型概述 本节介绍比较流行的信息安全模型，它们是：
OSI安全体系结构、基于时间的PDR模型、 IATF信息保障技术框架、WPDRRC信息安全 模型。
1 OSI安全体系结构
国际标准化组织（ISO）在对开放系统互联环境 的安全性进行了深入研究后，提出了OSI安全 体系结构（Open System Interconnection Reference Model），即《信息处理系统—— 开放系统互连——基本参考模型——第二部分 ：安全体系结构》（ISO7498-2:1989），该 标准被我国等同采用，即GB/T9387.2-1995。 该标准是基于OSI参考模型针对通信网络提出 的安全体系架构模型。
1.3.1信息安全的现状 1 近年我国信息安全现状 2 网络信息安全的发展趋势
1.3信息安全的现状与目标
1.3.2 信息安全的目标
总而言之，所有的信息安全技术都是为了达到一定的 安全目标，即通过各种技术与管理手段实现网络信息系 统的可靠性、保密性、完整性、有效性、可控性和拒绝 否认性。
1.4信息安全模型与信息系统安全 体系结构
些数据的特定含义。信息本身是无形的，借助 于信息媒体以多种形式存在或传播，可以存储 在计算机、磁带、纸张等介质中，也可以记忆 在人的大脑里，还可以通过网络、打印机、传 真机等方式传播。通常情况下，可以把信息理 解为消息、信号、数据、情报、知识等。
1.1信息与信息安全
分类 数据
软件
信息系 统
表 1-1 某企业信息资源 示例
选择字段的连接完整性
——Y Y ——Y
无连接完整性
——————Y
选择字段的无连接完整性 — — Y Y — — Y
有数据原发证明的抗否认 — — — — — — Y
交付证明的抗否认
——————Y
OSI安全服务与安全机制之间的关系
安全服务Βιβλιοθήκη 加密对等实体认证Y
数据源认证
Y
访问控制服务
—
连接保密性
Y
无连接保密性
1 OSI安全体系结构
对付典型威胁所采用的安全服
表 1-2 对付典型威胁所采用的安全服务
攻击类型
安全服务
假冒
认证服务
非授权侵犯
访问控制服务
非授权泄露
数据保密性服务
篡改
数据完整性服务
否认
抗否认服务
拒绝
认证服务、访问控制服务、数据完整性服务
等
OSI协议层与相关的安全服务
表 1-3 OSI 协议层与相关的安全服务
修改、删除、插入，再发送给接收者；
1.2信息安全面临威胁类型
拒绝服务攻击：供给者通过某种方法使系统响 应减慢甚至瘫痪，阻碍合法用户获得服务；
行为否认：通信实体否认已经发生的行为； 非授权访问：没有预先经过同意，就使用网络
或计算机资源； 传播病毒：通过网络传播计算机病毒，其破坏
性非常高，而且用户很难防范。
2 信息安全研究的基本内容 （1）研究领域 （2）工程技术领域 （3）评估与测评领域 （4）网络或信息安全管理领域 （5）公共安全领域 （6）军事领域
1.2信息安全面临威胁类型
1.2.1计算机网络所面临的主要威胁 计算机网络所面临的威胁主要有对网络中信息的
威胁和对网络中设备的威胁两种。影响计算机 网络的因素有很多，其所面临的威胁也就来自 多个方面，主要威胁包括人为的失误、信息截 取、内部窃密和破坏、黑客攻击、技术缺陷、 病毒、自然灾害等。
源代码 数据库数据 系统文档 运行管理规程 计划 报告 用户手册 各类纸质文档 …… 系统软件：操作系统、数据库管理系统、语句包、开 发系统等 应用软件：办公软件、数据库软件、各类工具软件等 源程序：各种共享源代码、自行或合作开发的各种代 码等 物业管理系统 财务系统 办公系统
1.1信息与信息安全
《信息安全基础》
第一章 信息安全概述
【学习目标】
了解信息安全学习领域的内容、要求； 掌握信息与信息安全的概念； 了解信息安全面临的威胁类型； 了解信息安全的现状和目标； 熟悉重要的信息安全模型的主要内容，了解信
息系统安全体系结构； 了解重要的信息安全评价标准。
1.1信息与信息安全
1.1.1什么是信息 1 信息的定义 信息是通过施加于数据上的某些约定而赋予这
2 信息的安全属性 （1）保密性 （2）完整性 （3）可用性 （4）可控性 （5）不可否认性
1.1信息与信息安全
1.1.2什么是信息安全 1 信息安全的定义 信息安全从广义上讲，是指对信息的保密性、
可用性和完整性的保持。由于当今人类社会活 动更多的依赖于网络，因此狭义的讲，信息安 全是指信息网络的硬件、软件及其系统中的数 据受到保护，不受偶然的或者恶意的原因而遭 到破坏、更改、泄露，系统连续可靠正常地运 行，信息服务不中断。
1.2信息安全面临威胁类型
人为的失误 信息截取 内部窃密和破坏 黑客攻击 技术缺陷 病毒 自然灾害等不可抗力因素
1.2信息安全面临威胁类型
窃听：攻击者通过监视网络数据获得敏感信息 ；
重传：攻击者先获得部分或全部信息，而以后 将此信息发送给接收者；
伪造：攻击者将伪造的信息发送给接收者； 篡改：攻击者对合法用户之间的通信信息进行