according to the system design whenever users request them .
1.4 信息安全的研究内容

信息安全的研究范 围非常广泛，其领 域划分成三个层次
信息安全基础理论研究 信息安全应用技术研究
信息安全管理研究
信息安全基础研究
密码理论
sent by an authorized entity.
Nonrepudiation
prevents either sender or receiver from denying
a transmitted message.
Availability
Service可用性服务
a system is available if it provides services
信息安全的目标是指保障信息系统在遭受攻
击的情况下信息的某些安全性质不变。
Security Attacks安全攻击
Passive
Attacks（被动攻击）
release of message contents ：消息内容的泄露
traffic analysis ：流量分析
Active
Attacks （主动攻击）

Security Services 安全服务(1)
Authentication
认证
The assurance that the communicating entity is
the one that it claims to be.
Access
Control访问控制
The prevention of unauthorized use of a
数据加密算法 消息认证算法 数字签名算法 密钥管理
安全理论
身份认证、授权和访问控制、安全审计和安全协议
信息安全应用研究
安全技术
防火墙技术、漏洞扫描和分析、入侵检测、防病
毒等。
平台安全
物理安全、网络安全、系统安全、数据安全、用
户安全和边界安全。
信息安全管理研究

安全策略研究
信息安全 Information Security
第1章 信息安全概述
主要内容
信息安全的概念
信息安全的发展历史 信息安全的目标 信息安全的研究内容
为什么要研究信息安全问题？
信息安全关系到：
普通民众的利益 社会经济发展 政治稳定和国家安全
1.1 信息安全的概念
信息（information）是经过加工（获取、推
从哲学的观点来看信息安全
外因
国家 安全 威胁 信息战士 情报机构 恐怖分子 共同 工业间谍 威胁 犯罪团伙 社会型黑客 娱乐型黑客 掠夺竞争优势，恐吓 施行报复，实现经济目的， 破坏制度 攫取金钱，恐吓，挑战，获取 声望 以吓人为乐，喜欢挑战 减小美国决策空间、战略优 势，制造混乱，进行目标破坏 搜集政治、军事，经济信息 破坏公共秩序，制造混乱，发 动政变
机密性
完整性
可用性
其它信息安全性质
可靠性：是指系统在规定条件下和规定时间内、完 成规定功能的概率。 不可抵赖性：也称作抗否认性，是面向通信双方 （人、实体或进程）信息真实统一的安全要求，它 包括收、发双方均不可抵赖。 可审查性：使用审计、监控、防抵赖等安全机制， 使得使用者（包括合法用户、攻击者、破坏者、抵 赖者）的行为有证可查，并能够对网络出现的安全 问题提供调查依据和手段。 可控性：是对信息及信息系统实施安全监控。管理 机构对危害国家信息的来往、使用加密手段从事非 法的通信活动等进行监视审计，对信息的传播及内 容具有控制能力。
局部 威胁
内因
人们的认识能力和实践能力的局限性
从根本上解决信息安全问题？
1.2 信息安全的发展历史
从历史中学习经验，可以使我们减少重复之前错误 的机率。 信息安全的发展史伴随着人类社会的发展史，经历 了如下几个阶段：

古典信息安全 辐射安全
计算机安全
网络安全 信息安全
包括安全风险评估、安全代价评估、安全机制的制定以及
安全措施的实施和管理等。

安全标准研究
主要内容包括安全等级划分、安全技术操作标准、安全体
系结构标准、安全产品测评标准和安全工程实施标准等。

安全测评研究
主要内容有测评模型、测评方法、测评工具、测评规程等。
masquerade：伪装，one entity pretends to be a
different entity replay：重放，截获消息，以后再重放给接收者 Modification of messages：修改消息 denial of service：拒绝服务
信息安全的目标
机密性：Confidentiality，指保证信息不被非
计算机安全
计算机产生后，人们将数据以文件的形式存
储在计算机的存储器中。 计算机本身的安全。 对信息进行定级（不保密、限制、保密、机 密和绝密），对用户进行定级。如果某个人 的许可级别高于文件的分类级别，那么这个 人就可以访问该文件。反之，则被拒绝。
网络安全
信息不仅仅存在于计算机上，还存在于网络
授权访问。 完整性：Integrity，指信息在生成、传输、存 储和使用过程中不应被第三方篡改。 可用性 ：Availability，指授权用户可以根据 需要随时访问所需信息。
信息安全性质之间的关系
信息安全的目标是致力于保障信息的这三个
特性不被破坏。构建安全系统的一个挑战就 是在这些特性中找到一个平衡点，因为它们 常常是相互矛盾的。因此，三个特征是可以 独立，也可以有重叠 。
Байду номын сангаас
resource.
Data
Confidentiality数据保密性
The protection of data from unauthorized
disclosure.
Security Services 安全服务(2)
Data
Integrity 数据完整性 不可否认性
The assurance that data received are exactly as
古典信息安全
信息是物理的。
密封的陶罐，保证信息的完整性。 加密，保证信息的机密性。 一次性便条（一次一密），无法破解的加密
技术。 古典信息安全基本上是建立在古典密码学基 础之上的。
辐射安全
在20世纪50年代，人们认识到可以通过获取
电话线上传输的电信号来获取消息。 目前，有专门的仪器可以接收显示器的电磁 辐射，来还原显示内容。 在敏感环境中使用电子设备（计算机、手机） 的电子辐射应该满足相应的标准，其目的是 减少可以被用于收集信息的电磁辐射。
传输信道上。 网络安全的解决方法显然不是某一种技术或 者某一个标准可以实现的。它需要多种安全 措施共同起作用，例如加密、安全认证、访 问控制、安全管理等等。
信息安全
优秀的物理方案保护物理财产
通信安全保护传输中的信息 辐射安全 计算安全 这些概念综合在一起就构成了信息安全。
1.3 信息安全的目标
理、分析、计算、存储等）的特定形式数据， 是物质运动规律的总和。 信息与数据的关系 信息安全是指信息网络的硬件、软件及其系 统中的数据受到保护，不受偶然的或者恶意 的原因而遭到破坏、更改、泄露，系统连续 可靠正常地运行，信息服务不中断。
信息安全涉及的知识领域

信息安全是一门涉及计算机科学、网络技术、通信 技术、密码技术、信息安全技术、应用数学、数论、 信息论等多种学科的综合性学科。