文档介绍:第十章��信息安全1——大学IT————大学IT——,我国信息化进程不断推进,信息系统在政府和大型行业、企业组织中得到了日益广泛的应用。随着各部门对其信息系统依赖性的不断增长,信息系统的脆弱性日益暴露。由于信息系统遭受攻击使得其运转及运营受负面影响事件不断出现,信息系统安全管理已经成为政府、行业、企业管理越来越关键的部分,信息系统安全建设成为信息化建设所面临的一个迫切问题。4/8/20193——大学IT——信息安全概述信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。国际标准化组织已明确将信息安全定义为“信息的完整性、可用性、保密性和可靠性”。从技术角度来讲,信息安全的技术特征主要表现在系统的可靠性、可用性、保密性、完整性、确认性、可控性等方面。同时,信息安全的综合性又表现在,它是一门以人为主,涉及技术、管理和法律的综合学科,同时还与个人道德、意识等方面紧密相关。4/8/20194——大学IT————大学IT——,信息产业的规模越来越大,网络基础设施越来越深入到社会的各个方面、各个领域,信息技术应用已成为我们工作、生活、学****国家治理和其他各个方面必不可少的关键的组件,信息安全的重要性也日益突出,这关系到企业、政府的业务能否持续、稳定地运行,关系到个人安全的保证,也关系到我们国家安全的保证。所以信息安全是我们国家信息化战略中一个十分重要的方面。4/8/20196——大学IT——信息安全意识信息安全包括四大要素:技术、制度、流程和人。合适的标准、完善的程序、优秀的执行团队,是一个企业单位信息化安全的重要保障。技术只是基础保障,技术不等于全部,很多问题不是装一个防火墙或者一个IDS就能解决的。制定完善的安全制度很重要,而如何执行这个制度更为重要。如下信息安全公式能清楚地描述出他们之间关系:信息安全=先进技术+防患意识+完美流程+严格制度+优秀执行团队+——大学IT——。这些威胁大致可分为自然威胁和人为威胁。自然威胁指那些来自于自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备自然老化等的威胁。自然威胁往往带有不可抗拒性,因此这里主要讨论人为威胁。信息安全意识4/8/20198——大学IT——1)人为攻击人为攻击是指通过攻击系统的弱点,以便达到破坏、欺骗、窃取数据等目的,使得网络信息的保密性、完整性、可靠性、可控性、可用性等受到伤害,造成经济上和政治上不可估量的损失。人为攻击又分为偶然事故和恶意攻击两种。偶然事故虽然没有明显的恶意企图和目的,但它仍会使信息受到严重破坏。恶意攻击是有目的的破坏。信息安全意识信息安全所面临的人为威胁4/8/20199——大学IT——人为攻击—恶意攻击恶意攻击又分为被动攻击和主动攻击两种。(1)被动攻击是指在不干扰网络信息系统正常工作的情况下,进行侦收、截获、窃取、破译和业务流量分析及电磁泄露等。(2)主动攻击是指以各种方式有选择地破坏信息,如修改、删除、伪造、添加、重放、乱序、冒充、制造病毒等。被动攻击因不对传输的信息做任何修改,因而是难以检测的,所以抗击这种攻击的重点在于预防而非检测。绝对防止主动攻击是十分困难的,因为需要随时随地对通信设备和通信线路进行物理保护,因此抗击主动攻击的主要措施是检测,以及对攻击造成的破坏进行恢复。信息安全意识4/8/201910——大学IT——