第三章 資訊安全基本概念與原理
- 目錄
- 3.1 資訊安全概述
- 3.1.1 資訊安全的概念
- 3.1.2 資訊安全現狀分析
- 內因
- 外因
- 用戶安全意識需要進一步加強
- 3.2 資訊安全的威脅
- 3.2.1 資訊安全的主要威脅
- 3.2.2攻擊者實施攻擊的主要物件
- 3.2.3 社會工程學攻擊
- 3.3 資訊安全體系結構
- 3.3.1 面向目標的資訊安全體系結構
- 3.3.2 面向程序的資訊安全保障體系結構
- 3.3.3 面向應用的層次資訊安全體系結構
- 3.3.4 面向網路的OSI資訊安全體系結構
- 3.4 思考題
目錄
本章學習要點如下:
- 掌握資訊安全的基本概念和基本服務;
- 了解資訊安全面臨的主要威脅;
- 了解資訊安全體系結構,掌握相關概念和模型,
3.1 資訊安全概述
3.1.1 資訊安全的概念
資料:用來反映客觀世界而記錄下來的可以鑒別的物理符號,
資訊:有一定含義的資料,是加工處理后的資料,是對決策者有用的資料,
資訊安全具體表現為三個基本屬性或基本目標 CIA :
- 保密性(Confidentiality)
- 完整性(Integrity)
- 可用性(Availability)
資訊安全的發展歷程:
- 物理安全:保證計算機資訊系統保密性、完整性和可用性的基礎;
- 網路安全:指網路系統的硬體、軟體及其系統中的資料受到保護,不因偶然的或惡意的原因而遭受破壞、更改和泄露,系統可以連續可靠地運行,網路服務不中斷,網路安全包括網路設備安全、網路資訊安全和網路軟體安全;
- 應用安全
- 資料安全:一是防止資料丟失,二是防止資料泄露,還要防止資料被非法訪問和盜取,
3.1.2 資訊安全現狀分析
內因
- 人們認識能力和實踐能力的局限性所造成的;
- 軟體系統的規模越來越大,越來越復雜,以至于其復雜性超出了人們控制和理解的范圍,軟體中的漏洞不可避免;
- 技術因素;
- 管理疏漏,
外因
- 計算機資訊系統面臨著不同層次的安全威脅,
用戶安全意識需要進一步加強
總的來看,計算機資訊系統不安全的原因主要是:自身缺陷、開放性、黑客攻擊,
3.2 資訊安全的威脅
3.2.1 資訊安全的主要威脅
- 人為的失誤;
- 資訊截取;
- 內部竊密和破壞;
- 黑客攻擊;
- 技術缺陷;
- 病毒,
對以上安全威脅歸納出以下特征:
- 竊聽
- 重傳
- 偽造
- 篡改
- 拒絕服務攻擊
- 行為否認:通信物體否認已經發生的行為,
- 非授權訪問
- 傳播病毒
3.2.2攻擊者實施攻擊的主要物件
資訊安全威脅的基本型別有:
- 針對網路基礎設施的攻擊;
- 針對公共互聯網的攻擊;
- 新興資訊技術帶來的安全威脅;
- 內部人員破壞的風險,
3.2.3 社會工程學攻擊
3.3 資訊安全體系結構
3.3.1 面向目標的資訊安全體系結構
圍繞CIA三元組可以構建資訊安全的知識體系結構:
3.3.2 面向程序的資訊安全保障體系結構
PDRR動態安全模型
明確機密性、完整性、可用性、可認證性、不可否認性這五個安全屬性;
提出保護(Protect)、檢測(Detect)、回應(React)、恢復(Restore)四個動態的作業環節,
- 保護:將保護視為活動程序;
- 檢測:用檢測手段發現安全漏洞,及時更正;
- 反應:采用應急回應措施對付各種入侵;
- 恢復:系統被入侵后,采取相應措施將系統恢復到正常狀態,
IATF資訊保障技術框架
核心觀念:人,借助技術的支持,實施一系列的操作程序,最終實作資訊保障目標,
3.3.3 面向應用的層次資訊安全體系結構
資訊系統的三個基本要素:人員、資訊、系統,
資訊系統的五個安全層次:針對系統部分的物理安全和運行安全,針對資訊部分的內容安全和資料安全,針對人員部分的管理安全,
物理安全:整個資訊系統安全的基礎,包括物體安全和環境安全,物理安全技術用來解決兩個方面的問題,一是針對資訊系統物體的保護,二是針對可能造成資訊泄漏的物理問題進行防范,
運行安全:網路及資訊系統的運行程序和運行狀態的保護,
資料安全:關注資訊系統中存盤、傳輸和處理程序中的資料的安全性及資料備份和恢復,避免非法冒充、竊取、篡改、抵賴現象,
內容安全:一是指合法的資訊內容加以安全保護,二是針對非法資訊內容實施監管,
管理安全:通過對人的資訊行為的規范和約束,實作對資訊機密性、完整性、可用性和可控性的保護,
3.3.4 面向網路的OSI資訊安全體系結構
- 安全服務
- 安全機制:在OSI七層協議中,理論上除了會話層外,其他層均可配置相應的安全服務,但是,最適合配置安全服務是物理層、網路層、傳輸層和應用層,
3.4 思考題
- 簡述資訊安全體系三個最基本的目標,
三個基本屬性或基本目標為:保密性、完整性、可用性,
- 保密性:確保資訊在存盤、使用、傳輸程序中不會泄露給非授權用戶或物體;
- 完整性:確保資訊在存盤、使用、傳輸程序中不會被非授權用戶篡改,同時還要防止授權用戶對系統及資訊進行不恰當篡改,保持資訊內、外部表示的一致性;
- 可用性:確保授權用戶或物體對資訊及資源的正常使用不會被例外拒絕,允許其可靠而及時地訪問資訊及資源,
- 資訊安全PDRR模型包括哪些環節?每個作業環節的具體含義是什么?
四個動態的作業環節:保護、檢測、回應、恢復,
- 保護:將保護視為活動程序;
- 檢測:用檢測手段發現安全漏洞,及時更正;
- 反應:采用應急回應措施對付各種入侵;
- 恢復:系統被入侵后,采取相應措施將系統恢復到正常狀態,
- 資訊系統中有哪三個基本組成部分?面向應用的層次型資訊安全技術體系中針對每個部分存在哪些安全層次?
資訊系統的三個基本要素為:人員、資訊、系統,
資訊系統的五個安全層次:
- 針對系統部分的物理安全和運行安全;
- 針對資訊部分的內容安全和資料安全;
- 針對人員部分的管理安全,
- OSI開放系統互聯安全體系結構中定義了哪些安全服務和安全機制?
安全服務:
- 鑒別服務:鑒別參與通信的對等物體和源;授權控制的基礎;提供雙向的認證;一般采用高的密碼技術來進行身份認證,
- 訪問控制:控制不同用戶對資訊資源訪問權限;要求有審計核查功能;盡可能提供細粒度的控制,
- 資料完整性:通過網上傳輸的資料應防止被修改、洗掉、插入替換或重發,以保證合法用戶接收和使用該資料的真實性;用于對付主動威脅,
- 資料保密性:提供保護,防止資料未經授權就泄露;基于對稱密鑰和非對稱密鑰加密的演算法,
- 抗抵賴性:接收方要發送方保證不能否認收到的資訊是發送方發出的資訊,而不是被他人冒名篡改過的資訊;發送方也要求對方不能否認已經收到的資訊,防止否認對金融電子化系統很重要,
安全機制:
- 資料加密機制;
- 資料簽名機制;
- 訪問控制機制;
- 資料完整性機制;
- 鑒別交換機制;
- 業務填充機制;
- 路由控制機制;
- 公證機制,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/339048.html
標籤:其他