文档介绍:信息安全
定义:为防范计算机网络硬件、软件。数据偶然或蓄意破坏、篡改、窃听、假冒、泄漏、非法访问和保护网络系统持续有效工作的措施总和。
目标:通过各种技术与管理手段实现网络信息系统的可靠性、保密性、完整性、有效性、可控性和拒绝否认性。侧重强调网络信息的保密性、完整性、有效性。
模型:PPDR
策略:(原则)均衡性原则、时效性原则、最小化原则;(内容)硬件物理安全、网络连接安全、操作系统安全、网络服务安全、数据安全、安全管理原则、网络用户安全责任。
软件漏洞(脆弱性、隐错):是指在设计与编制软件时没有考虑对非正常输入进行处理或错误代码而造成安全隐患。有时效性特点
网络协议漏洞:网络通信协议不完善而导致的安全隐患。
安全管理漏洞:人为的,只要提高安全管理意识完全可以避免。(故障、性能、配置、记账、安全管理)
信息安全威胁:对事件对信息资源的可靠性、保密性、完整性、有效性、可控性和拒绝否认性可能产生的危害。
TCSEC:
国际通用信息安全评价标准:
《信息技术安全评价公共标准》(CC)能够对信息技术领域中的各种安全措施进行安全评价,但信息系统和产品的物理安全、行政管理、密码强度等间接安全措施不在评价范围之内,重点考虑人为因素导致的安全威胁。
采用类(class).族(family)ponent)层次化方式定义TOE(评价目标)的安全功能。定义了7个评价保证等级。
国家信息安全评价标准:
中国国家质量技术监督局1999年颁布的《计算机信息系统安全保护等级划分准则》国家标准GB17859-1999,划分为用户自主保护、系统审计保护、安全标记保护、结构化保护和访问验证保护,对应TCSEC 的C1~B3。《信息技术-安全技术-信息技术安全性评估准则》GB/T18336-2001等同于iso/iec 15408
信息系统安全等级保护法规和标准:
信息安全等级保护工作是我国为保障国家安全、社会秩序、公民利益以及公民、法人和其他组织合法权益强制实施的一项基本制度,根据信息和信息系统的重要程度以及遭受到破坏后对国家安全、社会秩序、公共利益以及合法权益的危害程度分5个等级。
密码系统与加密标准
1) 密码系统的基本概念
密码系统是某种加密算法(密码)在密钥控制下实现的从明文到密文的映射目的是接受数据作为输入,产生密文件作为输出,以便隐藏数据的原始意义,使信息在传输过程中即便被窃取或被截获,窃取者也不能了解信息的内容从而保证信息传输的安全。密码系统由明文、密文、密码和密钥4个部分组成,应该具备机密性、完整性、认证性3个基本特征。
2) 信息加密方式
加密系统对信息加密方式按密钥方式划分分为对称加密和非对称加密,非对称加密也称公钥加密,加密和解密使用不同密钥,分别称为“公钥”和“私钥”,且必须配对使用,具有良好的保密性和完整性。
保密程度划分:理论上保密的加密和实际上保密的加密
按文明形态划分:模拟信息加密和数字信息加密
数字签名是公钥加密的一种应用,在加密系统管理中实现身份认证。网络信息加密可分为链路加密和端点加密,链路加密有效,但安全漏洞和资源开销大影响了它的发展。目前,应用较为广泛的是端点加密。
3) 信息加密标准
对与加密标准而言,无论对存储数据的加密还是对传输数据的加密,采用先进的加密标准和对称加密与