文档介绍:信息安全基础知识
目录
信息安全概述
信息安全风险
黑客攻击
协议层安全
安全体系架构
安全技术和产品
一些安全建议
信息安全概述
信息技术及其应用的发展
A、通信--电报/电话
B、计算机
C、网络
D、网络化社会的崛起--社会技术系统
(人—网系统)
什么是信息?
ISO17799中的描述
“Information is an asset which, like other important business assets, has value to anization and consequently needs to be suitably protected. ”
“Information can exist in many forms. It can be printed or written on paper, stored electronically, transmitted by post or using electronic means, shown on films, or spoken in conversation.
强调信息:
是一种资产
同其它重要的商业资产一样
对组织具有价值
需要适当的保护
以各种形式存在:纸、电子、影片、交谈等
信息系统是有目的、和谐地处理信息的主要工具,它把所有形态(原始数据、已分析的数据、知识和专家经验)和所有形式(文字、视频和声音)的信息进行收集、组织、存储、处理和显示。
——《大英百科全书》
信息系统的概念
信息安全的定义
安全的定义
基本含义:客观上不受威胁;主观上不存在恐惧。
一种能够识别和消除不安全因素的能力,是一个持续的过程。
信息安全的定义
狭义:具体的信息技术体系或某一特定信息系统的安全。
广义:一个国家的社会信息化状态不受外来的威胁和伤害,一个国家的信息技术体系不受外来的威胁和侵害。
ISO的定义:为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、更改和显露。
从历史看信息安全
SEC)
pSEC)
信息安全(INFOSEC)
信息保障(IA)
第一阶段:通信保密
上世纪40年代-70年代
重点是通过密码技术解决通信保密问题,保证数据的保密性与完整性
主要安全威胁是搭线窃听、密码学分析
主要保护措施是加密
重要标志
1949年Shannon发表的《保密系统的通信理论》
1977年美国国家标准局公布的数据加密标准(DES)
1976年由Diffie与Hellman在“New Directions in Cryptography”一文中提出了公钥密码体制
第二阶段:计算机安全
上世纪70-80年代
重点是确保计算机系统中硬件、软件及正在处理、存储、传输信息的机密性、完整性
主要安全威胁扩展到非法访问、恶意代码、脆弱口令等
主要保护措施是安全操作系统设计技术(TCB)
主要标志是1985年美国国防部(DoD)公布的可信计算机系统评估准则(TCSEC,橘皮书)将操作系统的安全级别分为四类七个级别(D、C1、C2、B1、B2、B3、A1),后补充红皮书TNI(1987)和紫皮书TDI(1991)等,构成彩虹(Rainbow)系列。