一 、信息安全基本概念

一 、信息安全基本概念

1. 信息安全的含义

影响信息的正常存储、传输和使用，以及不良信息的散布问题属于信息安全问题。

2. 信息安全问题分为三个层次

（1）信息自身安全性；

（2）信息系统安全性；

（3）某些信息的传播对社会造成的不良影响

3. 信息安全的作用和地位

（1）关乎经济发展

（2）关乎社会稳定

（3）关乎国家稳定

（4）关乎公众权益

4. 商业组织的信息安全需求来自于以下三个方面

（1）法律法规与合同条约的要求

（2）商业组织的原则、目标和规定

（3）风险评估的结果

二 、信息安全环境及现状

1. 信息安全的威胁（攻击）类型

（1）信息泄露。

(2)篡改。

(3)重放。

(4)假冒。

(5)否认。

(6)非授权使用。

(7)网络与系统攻击。

(8)恶意代码。

(9)故障、灾害和人为破坏。

进一步地将信息安全威胁划分为四类：

还可以将信息安全威胁分为被动攻击和主动攻击两类：

2. 信息安全的目标

信息安全旨在确保信息的机密性、完整性和可用性，即：CIA（Confidentiality，Integrity，Availability）。

不同的信息系统承担着不同类型的业务，因此除了上面的三个基本特性以外，可能会有更加详细的具体需求，由以下四个特性来保证：

（1）可靠性（reliability）

（2）不可抵赖性（non-repudiation）

（3）可控性

（4）可审查性

3. 网络安全技术发展的趋势

(1)新型安全技术。

(2)集成化的安全工具。

(3)针对性的安全工具。

(4)管理类安全工具。

(5)网络安全服务。

三 、网络不安全的原因

1. 系统漏洞（陷阱）

由操作系统开发者设置的，能够在用户失去对操作系统的所有访问权限时仍能进入操作系统。

2. 安全漏洞

安全漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷信息系统安全，从而使攻击者能够在未授权的情况下访问或破坏系统。

3. 协议的开放性

TCP/IP 协议没有对具体的安全问题给予详细分析。

4. 人为因素

（1）人为的偶然失误（丢失密码）

（2）计算机犯罪（网络病毒）

（3）黑客攻击

四、信息安全体系结构

1. OSI安全体系结构

OSI的“底层网络安全协议”在第1-4层中实现，主要包括

OSI的“安全组件”服务在第5-7层中实现，它们主要包括

综合地看，OSI安全体系结构中的安全服务能够为网络系统提供以下4类不同层次的安全性。

（1）应用级安全

（2）端系统级安全

（3）网络级安全

（4）链路级安全

2. TCP/IP安全体系结构

TCP/IP协议改进和设计新的安全通信协议后：

3. 信息安全保障体系

包含四部分内容：PDRR

（1）保护（protect）：预先采取安全防范措施

（2）检测（detect）：入侵检测、恶意代码检测、脆弱性扫描等。

（3）反应（react）：报警、跟踪、阻断、隔离及反击等技术。

（4）恢复（restore）：异常恢复、应急处理、漏洞修补、数据备份等。

4. 网络信息安全系统设计原则

（1）木桶原则——是指对信息进行均衡、全面的保护。

（2）整体性原则——在发生被攻击、破坏事件的情况下，必须尽可能地快 速恢复信息系统的服务，减少损失。

（3）安全性评价与平衡原则——没有绝对安全，建立合理实用安全性和用户需求评价和均衡体系。

（4）标准化与一致性原则——设计过程遵循一系列标准。

（5）技术与管理相结合原则——安全体系是一个复杂的系统工程，单靠技术或管理都不可能实现，必须将各种安全技术与运行管理机制等结合。

（6）统筹规划、分布实施原则——网络信息安全系统不肯一次性设计成功，可用制定一个比较全面的安全规划。

（7）等级性原则——网络信息安全可用分为不同的等级。

（8）动态发展原则——不断改进安全措施。

（9）易操作性原则——安全措施需要人为地去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。

信息安全与技术（第二版）

（编辑：威海站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!