安全保障
13
信息安全的层次框架体系
层次 系统 安全
信息 安全
层面 设备 安全 运行 安全
数据 安全
内容 安全
目标 对网络与信息系统的硬 件设施的保护。
对网络与信息系统的运 行过程和运行状态的保 护。
在数据收集、处理、存 储、检索、传输、交 换、显示、扩散等过程 中保障信息依据授权使 用，不被非法冒充、窃 取、篡改、抵赖。 对信息在网络内流动中 的选择性阻断，以保证 信息流动的可控能力。
B1 标记安全保护。系统提供更多的保护措施，包括各种的安全级 别。如AT&T的SYSTEM V、UNIX with MLS，以及IBM MVS/ESA。
B2 结构化保护。支持硬件保护。内容区被虚拟分割并严格保护。 如Trusted XENIX和Honeywell MULTICS。
B3 安全域。支持数据隐藏和分层，可以阻止层之间的交互。如 Honeywell XTS-200。
A 校验级设计。需要严格的准确证明系统不会被伤害，而且提供
所有低级别的因素。如Honeywell SCOMP。
11
第三阶段：信息安全
• 上世纪80-90年代 – 重点需要保护信息，确保信息在存储、处理、传输过程中 及信息系统不被破坏，确保合法用户的服务和限制非授权 用户的服务，以及必要的防御攻击的措施。强调信息的保 密性、完整性、可控性、可用性等
信息安全基础知识
1
目录
❖信息安全概述 ❖信息安全风险 ❖黑客攻击 ❖协议层安全 ❖安全体系架构 ❖安全技术和产品 ❖一些安全建议
2
信息安全概述
3
信息技术及其应用的发展
• A、通信--电报/电话 • B、计算机 • C、网络 • D、网络化社会的崛起--社会技术系统
(人—网系统)
4
什么是信息？
– 主要安全威胁发展到网络入侵、病毒破坏、信息对抗的攻 击等
– 主要保护措施包括防火墙、防病毒软件、漏洞扫描、入侵 检测、PKI、VPN、安全管理等
– 主要标志是提出了新的安全评估准则CC（ISO 15408、 GB/T 18336）
12
信息安全的主要内容
安全管理
内容安全
运行安全信系Fra bibliotek息统
数据安全
设备安全
• 强调信息：
✓ 是一种资产 ✓ 同其它重要的商业资产一样 ✓ 对组织具有价值 ✓ 需要适当的保护 ✓ 以各种形式存在：纸、电子、影片、交谈等
5
信息系统的概念
信息系统是有目的、和谐地处理信息 的主要工具，它把所有形态（原始数据、 已分析的数据、知识和专家经验）和所有 形式（文字、视频和声音）的信息进行收 集、组织、存储、处理和显示。
– ISO的定义：为数据处理系统建立和采取的技术和管理的安全保 护，保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到 破坏、更改和显露。
7
从历史看信息安全
• 通信保密（ComSEC） • 计算机安全（CompSEC） • 信息安全（INFOSEC） • 信息保障（IA）
8
第一阶段：通信保密
• 上世纪40年代－70年代 – 重点是通过密码技术解决通信保密问题，保证数据的保密 性与完整性 – 主要安全威胁是搭线窃听、密码学分析 – 主要保护措施是加密 – 重要标志 • 1949年Shannon发表的《保密系统的通信理论》 • 1977年美国国家标准局公布的数据加密标准（DES） • 1976年由Diffie与Hellman在“New Directions in Cryptography”一文中提出了公钥密码体制
10
操作系统安全级别
级别
描述
D 最低的级别。如MS-DOS，没有安全性可言
C1 灵活的安全保护。系统不需要区分用户。可提供基本的访问控 制。如目前常用的各种通用操作系统。
C2 灵活的访问安全性。系统不仅要识别用户还要考虑唯一性。系 统级的保护主要存在于资源、数据、文件和操作上。如 Windows NT 3.5/4.0、Digital UNIX、OpenVMS。
安全属性 机密性、可用性、完 整性、可靠性
真实性、可控性、可 用性、可审查性、可 靠性
机密性、真实性、完 整性、不可否认性
机密性、真实性、可 控性、可用性、完整 性、可靠性
威胁
电磁泄露、通信干扰、信 号注入、人为破坏、自然 灾害、设备故障
非法使用资源、系统安全 漏洞利用、网络阻塞、网 络病毒、越权访问、非法 控制系统、黑客攻击、拒 绝服务攻击、软件质量 差、系统崩溃
9
第二阶段：计算机安全
•上世纪70－80年代 – 重点是确保计算机系统中硬件、软件及正在处理、存 储、传输信息的机密性、完整性
– 主要安全威胁扩展到非法访问、恶意代码、脆弱口令 等
– 主要保护措施是安全操作系统设计技术（TCB） – 主要标志是1985年美国国防部（DoD）公布的可信计
算机系统评估准则（TCSEC，橘皮书）将操作系统的 安全级别分为四类七个级别（D、C1、C2、B1、B2、 B3、A1），后补充红皮书TNI（1987）和紫皮书TDI （1991）等，构成彩虹（Rainbow）系列。
• ISO17799中的描述
“Information is an asset which, like other important business assets, has value to an organization and consequently needs to be suitably protected. ” “Information can exist in many forms. It can be printed or written on paper, stored electronically, transmitted by post or using electronic means, shown on films, or spoken in conversation.
——《大英百科全书》
6
信息安全的定义
• 安全的定义
– 基本含义：客观上不受威胁；主观上不存在恐惧。
– 一种能够识别和消除不安全因素的能力，是一个持续的过程。
• 信息安全的定义
– 狭义：具体的信息技术体系或某一特定信息系统的安全。
– 广义：一个国家的社会信息化状态不受外来的威胁和伤害，一个 国家的信息技术体系不受外来的威胁和侵害。