– 3大要素：人员、策略和技术
中国信息安全认证中心
培训合作方徽标与名称
WPDRRC 安全模型
1.1.1 信息定义
• 信息的定义
– 信息是用以消除随机不确定性的东西
– 我们认为信息是一种实体对象，能够通过信息系统进 行处理。信息通过载体在一定环境中表现、存储和传 输。
中国信息安全认证中心
培训合作方徽标与名称
中国信息安全认证中心
培训合作方徽标与名称
安全机制
• ISO7498-2确定了八大类安全机制
– 加密 – 数据签名机制 – 访问控制机制 – 数据完整性机制 – 鉴别交换机制 – 业务填充机制 – 路由控制机制 – 公证机制
中国信息安全认证中心
培训合作方徽标与名称
带有安全属性的OSI层次模型
中国信息安全认证中心
1.1.6 真实性
• 真实性
– 能够核实和信赖在一个合法的传输、消息或消息源的 真实性的性质，以建立对其的信心
– 真实性要求对用户身份进行鉴别，对信息的来源进行 验证。而这些功能都离不开密码学的支持。在非对称 密码机制出现以前，这是一个很大的难题。非对称密 码机制的出现，使该项难题得到了解决
中国信息安全认证中心
– ISO7498-2确定了五大类安全服务
• 鉴别 • 访问控制 • 数据保密性 • 数据完整性 • 不可否认。
中国信息安全认证中心
培训合作方徽标与名称
安全机制
• 安全机制
– 用于发现，防范攻击以及从安全攻击中恢复的 机制
– 每种安全服务由一种或多种安全机制实现 – 没有一种机制能够提供所有的功能 – 密码技术为多种安全机制的基础
• 信息安全评估通用标准（CC，Common Criteria ，ISO15408）及IPv6安全设计的提出
中国信息安全认证中心
培训合作方徽标与名称
1.4.4 信息安全
• 经过前面三个阶段的发展，信息的载体及 生存环境的安全问题得到了较好的解决， 信息安全进入了全面发展阶段
中国信息安全认证中心
培训合作方徽标与名称
信息的表现形式
中国信息安全认证中心
培训合作方徽标与名称
信息系统
• 从信息的角度来说，我们认为信息系统是 为信息生命周期提供服务的各类软硬件资 源的总称
中国信息安全认证中心
培训合作方徽标与名称
信息技术
信息技术（IT：Information Technology）的内涵
信息传递 （通信）
信息认知－>信息再生 （计算机）
PDRR(保护、检测、响应和恢复) – MPDRR(管理、保护、检测、响应和恢复) – 我国的WPDRRC（预警、保护、检测、响应、
恢复、反击）
中国信息安全认证中心
培训合作方徽标与名称
PDR模型
• PDR的提出
– 早期，安全技术上主要采取防护手段为主(如加密、防 火墙技术的应用)
– 美国ISS公司提出，按照PDR模型的思想，一个完整的 安全防护体系，不仅需要防护机制，而且需要检测机 制，在发现问题时还需要及时做出响应
中国信息安全认证中心
培训合作方徽标与名称
1.1.4 完整性
• 完整性
指信息在存储或传输过程中保持不被修改、不被破坏、不 被插入、不延迟、不乱序和不丢失的特性
中国信息安全认证中心
培训合作方徽标与名称
1.1.5 机密性
• 机密性
是指信息不泄漏给非授权的个人和实体
中国信息安全认证中心
培训合作方徽标与名称
• 本课程划分为：密码学、访问控制、网络安全、平 台安全、应用安全、数据安全、物理安全及IPv6共 八个部分的内容
– 信息安全管理 – 信息安全法律及法规
中国信息安全认证中心
培训合作方徽标与名称
安全服务
• 安全服务
– 是由参与通信的开放系统的某一层提供的服务 ，它确保该系统或数据传输具有足够的安全性
信息传递 （通信）
信息获取 （感测）
外部世界
IT＝Computer＋Communication＋Control
信息实效 （控制）
中国信息安全认证中心
培训合作方徽标与名称
1.1.2 安全定义
• “不出事或感觉不到要出事的威胁” • 安全关乎两件事
– 一件是已经发生的事，即安全事件； – 另一件是未发生但可能引发安全事件的事，及
安全威胁与脆弱性
中国信息安全认证中心
培训合作方徽标与名称
信息安全的目标
• 信息安全的目标
– 将服务与资源的脆弱性降到最低限度 。 –具有动态性和整体性。
• 动态性：安全是相对的，没有绝对的安全， 安全程度随着时间的变化而改变
• 整体性：涉及物理层、网络层、系统层和应 用层
中国信息安全认证中心
培训合作方徽标与名称
第1章 信息安全基础
万里冰
wlb@
信息安全技术概述
• 1.1 WPDRRC与PDRR模型 • 1.2 信息安全保障对象 • 1.3 社会文明发展与信息通讯技术 • 1.4 信息安全发展过程
中国信息安全认证中心
培训合作方徽标与名称
信息安全的模型
• 什么是模型
– 模型是人们认识和描述客观世界的一种方法 – 安全模型用于描述信息系统的安全特征，以及
中国信息安全认证中心
培训合作方徽标与名称
PDRR模型
• PDRR的提出
– 安全的概念已经从信息安全扩展到了信息保障 ，信息保障内涵已超出传统的信息安全保密， 是保护（Protect）、检测（Detect）、反应（ React）、恢复（Restore）的有机结合
• PDRR模型
– 在系统被入侵后，要采取相应的措施将系统恢 复到正常状态，这样使信息的安全得到全方位 的保障。该模型强调的是自动故障恢复能力
中国信息安全认证中心
培训合作方徽标与名称
1.2.2 实体对象
• 1.2.2.1 信息
– 信息作为实体对象的一种，它通过载体以具体 的某种形式来承载。这些形式在信息系统中可 以具体到某种数字格式，如视频、声音、图形 等，续而具体到数据的具体存储格式，即二进 制字节、数据位。这样，保证了具体数据的安 全也就确保了其所承载的信息的安全
中国信息安全认证中心
培训合作方徽标与名称
1.2.2.2 载体
• 载体是一种在信息传播中携带信息的媒介，是信 息赖以附载的物质基础。
• 包括
– 无形载体
• 以能源和介质为特征，运用声波、光波、电波传递信息的无形 载体
– 有形载体
• 以实物形态记录为特征，运用纸张、胶卷、胶片、磁带、磁盘 等等存储介质来传递和贮存信息的有形载体
中国信息安全认证中心
培训合作方徽标与名称
WPDRRC安全模型
• WPDRRC的提出
– 吸取了IATF需要通过人、技术和操作来共同实 现组织职能和业务运作的思想
– 在PDR模型的前后增加了预警和反击功能
• WPDRRC模型有6个环节和3个要素。
– 6个环节：预警（W）、保护（P）、检测（D ）、响应（R）、恢复（R）和反击（C）
信息安全的普遍定义
• 所谓“信息安全”，在技术层次的含义就是保证在客观上 杜绝对信息安全属性的威胁使得信息的主人在主观上对其 信息的本源性放心。
中国信息安全认证中心
培训合作方徽标与名称
信息安全的特征
• 信息安全的基本属性有：
– 1.可用性(availability) – 2.机密性(confidentiality) – 3.完整性(integrity) – 4.真实性(validity) – 5.不可否认性(non-repudiation) – “信息安全”是指采用一切可能的办法和手段，
• 1976年，Deffie与Hellman两人发表的“密码学的 新方向”一文，提出了非对称密码体制
• 1977年，美国国家标准局公布了DES数据加密标 准
中国信息安全认证中心
培训合作方徽标与名称
1.4.2 计算机安全
• 保护对象为计算机系统，即保护计算机的物理安 全、系统安全、数据安全和运行程序安全等方面
中国信息安全认证中心
培训合作方徽标与名称
1.2.1 本质对象
• 业务是一个组织的正常运转的核心活动。业务的 连续性直接关系到组织能否继续履行其职能。
• 组织业务的保障需要组织投入人力、物力和财力 资源，来维持组织业务的开展。随着信息化水平 的提高，业务信息资源的依赖性愈来愈大，这对 信息资源的安全提出了严格的要求，也使得信息 安全保障成为信息化组织所必不可少的环节
中国信息安全认证中心
培训合作方徽标与名称
1.2.2.3 环境
• 环境指信息的环境，即信息在整个生命周 期中所涉及的软硬件资源
中国信息安全认证中心
培训合作方徽标与名称
1.3 社会文明发展与信息通讯技术
• 信息通讯技术的发展史是人类文明发展史 的一个部分。人类文明的发展促进了信息 通讯技术的发展，二者密不可分
中国信息安全认证中心
培训合作方徽标与名称
1.4 信息安全发展过程
• 信息安全发展随着通讯技术、计算机技术 、互联网技术发展，经历了数据通讯安全 、计算机安全、网络安全、信息安全及信 息安全保障几个阶段
中国信息安全认证中心
培训合作方徽标与名称
1.4.1 数据通讯安全
• 1949年，Shannon发表了《保密通信的信息理论 》
• 1983年，美国国防部公布了可信计算机系统评估 准则（TCSEC），其对操作系统的安全等级进行 了划分，共A、B、C、D四类，分A1、B1、B2、 B3、C1、C2、D七个等级，各个等级的安全强度 依次递减
中国信息安全认证中心
培训合作方徽标与名称
1.4.3 网络安全
• 网络系统的应用，对信息的机密性、真实性、完 整性、可用性、不可否认性等方面提出了新的安 全需求。针对上述问题的基于网络的身份认证、 访问控制技术等也逐步应用到了防火墙、入侵检 测、虚拟专用网络等产品中