广东继续教育公需课-信息化与信息安全（三）讲义.docx

第5章 信息安全基本知识5.1 信息安全的概念5.2 信息安全的内涵5.3 信息系统的脆弱性5.4 信息安全的目标5.1 信息安全的概念5.1.1 信息安全的基本概念信息作为一种资源，它的普遍性、共享性、增值性、可处理性和多效用性，使其对于人类具有特别重要的意义信息安全就是关注与信息相关的安全问题信息安全大到国家军事政治等机密的安全，中到防范商业企业机密的泄露，小到个人信息的泄露，以及防范青少年对不良信息的浏览等5.1.2 信息化时代的信息安全信息安全不是信息化建设过程中的产物但是，在大规模开展信息化建设的时代，信息安全是保证信息化顺利实现的关键一步在信息化时代，信息安全的实质就是要保护信息系统和信息网络中的信息资源免受各种类型的威胁、干扰和破坏，即保证信息的安全性5.1.3 造成信息安全问题的根源安全威胁是造成信息安全问题的根源，而产生威胁的主要根源在于我们的信息系统和信息网络系统存在着各种缺陷、漏洞或脆弱性这些缺陷、漏洞或脆弱性被利用后就会产生不同程度的安全问题，危害我们的信息系统和信息网络常见的信息安全威胁（1）- 信息被泄露 2011年12月21日，互联网上传出开发者社区CSDN遭黑客攻击，600万用户帐号及明文密码泄露，用户资料被大量传播。

2012年4月23日北京警方经过三个月侦查，奔波京粤湘三地、走访近百人，破获了一起利用ＣＳＤＮ网站泄露的数据盗用电子商城用户财产的案件 这是破获的首起因ＣＳＤＮ密码外泄事件引发的电子商城网站注册用户被盗案件　　常见的信息安全威胁（2）- 信息被透露给某个非授权的实体常见的信息安全威胁（3）- 信息被非授权地进行修改 2012年6月9日，深圳福彩双色球第2009066期摇奖结果显示，深圳销售的某彩票中出5注一等奖福彩中心工作人员在对数据备份文件进行对比校验后，发现备份数据中该彩票的投注号码并非中奖号码怀疑有人非法入侵福彩中心销售系统，篡改该张彩票数据记录，人为制造一等奖5.2 信息安全的内涵信息安全是指信息系统和信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断信息的保密性、完整性、不可否认性、可用性和可控性是信息安全的五个基本属性信息安全的基本属性- 完整性：信息在存储或传输的过程中保持未经授权不能改变 保密性：信息不被泄露给未经授权的使用者 不可否认性：保证信息的发送和接受者无法否认自己做过的操作行为。

可用性：保证信息系统随时可用，运行过程中不出现故障，若遇意外打击能够尽量减少并尽早恢复正常 可控性：对信息的传播及内容具有控制能力的特性信息的不可否认性信息的不可否认性非常重要，即不能否认曾经发布过的某些信息，也不能否认曾经接收到的某些信息电子竞价系统要求竞价者不能抵赖曾经报出的合同价格通过银行系统，汇款的接收者不能否认曾经收到的款项信息的可用性信息的可用性并不是很容易就能实现的铁道部设计开发的12306票务网站一直经受着信息可用性的考验越来越多的企业在信息化建设道路上开始重视并加大对“业务连续性”问题的投入，旨在企业信息系统在遇到意外打击时能够尽早恢复正常，并且少损失5.3 信息安全的目标信息安全的任务是保护信息财产，以防止偶然的或未授权者对信息的恶意泄露、修改和破坏，从而导致信息的不可靠或无法处理等从而使得我们在最大限度地利用信息为我们服务的同时而不招致损失或使损失最小信息安全的基本目标就是要确保信息系统和信息网络中的信息资源具备信息安全所要求的五个属性5.3.1 信息安全的实现- 真正实现信息安全至少包含以下三类措施：（1）信息安全技术方面的措施；（2）信息安全管理方面的措施；（3）信息安全的标准与法规。

5.3.2 信息安全成为了一门学科信息安全已经成为了一门新兴的学科它是一门涉及计算机科学与技术、通信技术、电子信息技术、密码技术和应用数学等多种学科的综合性学科目前，不少高校都开设了本科一级的信息安全专业，致力于为我国培养从事信息安全技术和管理工作的专门人才5.3.3 信息安全的主要研究对象- 信息加密技术- 数字签名与身份认证技术- 信息网络的攻击与防范技术- 信息系统的安全技术- 信息安全的管理- 信息安全的标准信息加密技术信息加密是保障信息安全的最基本、最核心的技术措施信息加密把有用的信息变为看上去无用的乱码，使攻击者无法读懂信息的内容从而保护信息，而得到授权的人通过解密就可以读懂信息信息加密也是现代密码技术的主要组成部分数字签名数字签名是数字信息技术的产物，是对纸质文档的手写签名的数字化数字签名要求，能与所签文件绑定，签名容易被验证，签名不能被伪造，签名者不能否认自己的签名身份认证身份认证是信息安全的基本机制，通信的双方之间应互相认证对方的身份，以保证赋予正确的操作权力和数据的存取控制网络信息系统对用户进行身份认证更加重要网络的攻击与防范对网络信息系统进行网络攻击是最大信息安全威胁之一。

网络攻击主要利用网络信息系统存在的漏洞和安全缺陷对系统的硬件、软件及其数据进行的攻击入侵检测系统和（网络）防火墙系统是防范网络攻击的主要工具防范网络攻击还要依赖于信息系统自身的安全性例如，操作系统的安全性，Web网页安全和数据库系统安全等科学地使用各种网络安全协议对防范网络攻击也非常有益信息系统的安全- 信息系统的安全至关重要信息系统的安全主要包括：（1）信息系统的访问控制机制（2）操作系统安全（3）Web网页安全（4）数据库系统安全（5）数据备份与灾难恢复信息安全的管理信息安全的管理非常重要可以说：“三分技术，七分管理”有专门的信息安全管理机构；有专门的信息安全管理人员；有逐步完善的管理制度；有合理的信息安全技术设施场地管理、设备管理、存储媒体管理、软件管理、网络管理、密钥管理等都属于信息安全管理信息安全的标准信息安全标准是确保信息安全的产品和系统在设计、研发、生产、建设、使用、测评中解决其一致性、可靠性、可控性、先进性和符合性的技术规范、技术依据信息安全标准对于解决信息安全问题具有重要的技术支撑作用信息安全标准化工作一直受到世界各国的关注5.3.4 信息安全标准化的意义对广大产品提供商来说，生产符合标准的信息安全产品，对于提高厂商形象、扩大市场份额具有重要意义。

对用户而言，了解产品标准有助于选择更好的安全产品，了解评测标准则可以科学地评估系统的安全性，了解安全管理标准则可以建立实施信息安全管理体系对普通技术人员来讲，了解信息安全标准的动态可以站在信息安全产业的前沿，有助于把握信息安全产业整体的发展方向信息安全标准是信息化建设和信息安全产业发展所必需的5.3.5 信息安全的标准化工作国际上，信息安全标准化工作，兴起于二十世纪70年代中期，80年代有了较快的发展，90年代开始引起了世界各国的普遍关注在我国，经国家标准化管理委员会批准，全国信息安全标准化技术委员会（TC260）于2002年4月成立，负责我国的信息安全标准化工作信息安全的技术标准信息系统与信息网络之间安全的互相连接，都需要在来自不同厂商的不同产品上进行互操作，统一起来实现一个完整的安全功能这导致了一些以“算法”、协议”形式出现的信息安全技术标准典型的技术标准有高级加密标准AES，数字签名算法DSA，Kerberos认证协议，计算机网络中的IPsec和SSL协议等信息产品的安全性能到底怎么样，网络的安全处于什么样的状态，需要一个统一的评价准则对安全产品的安全功能和性能必须进行认定，形成一些“安全等级”。

每个安全等级在安全功能和性能上有特定的严格定义，对应着一系列可操作的测评认证手段　　常见的信息安全评价标准信息安全评价标准有美国国防部制定的“可信计算机系统评估准则” TCSEC (Trusted Computer System Evaluation Criteria)信息安全评价标准还有国际化标准组织ISO组织制定的“信息技术安全评估准则”CC我国的评价标准则有公安部制定的《计算机信息系统安全等级保护通用技术要求》等信息安全的管理标准20世纪80年代末，ISO9000质量管理标准在全世界广泛被推广应用其中管理的思想也被信息安全的管理所借鉴与采纳20世纪90年代，信息安全的管理步入了标准化与系统化时代1995年，英国率先推出了BS-7799信息安全管理标准，并于2000年被国际标准化组织认可为国际标准ISO/IEC 17799标准5.4 安全评测和等级保护5.4.1 安全评测和等级保护的概念5.4.2 安全评测和等级保护的流程5.4.1 安全评测和等级保护的概念等级测评，是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。

依据要求，广东省成立信息安全等级保护专家委员会，对重要单位和行业信息安全等级保护定级和安全设计、整改、测评方案的审查、论证和指导执行主体：等级保护测评的执行主体应当是具有相关资质的、独立的测评机构广东省公安厅在粤等保办【2010】3号文件中，公布了5家公司作为广东省测评机构基本原则：测评机构应当按照有关规定和统一标准提供测评服务，按照统一的测评报告模版出具测评报告等级测评师管理：测评人员参加由评估中心举办的专门培训、考试并取得评估中心颁发的《等级测评师证书》（等级测评师分为初级、中级和高级）等级测评人员需持等级测评师证上岗测评报告：测评机构应按照公安部统一制订的《信息系统安全等级测评报告模版（试行）》格式出具测评报告5.4.2 安全评测和等级保护的流程1）资料审查阶段：对被测用户提交的申请，进行文档的形式化审查，确认符合测评要求2）核查测试阶段：与用户进行充分沟通，指定测评计划和测试方案并实施现场测评，形成测评记录3）综合评估阶段：整理测评数据 ，对用户资料和测评结果进行综合分析，形成测评报告召开专家委员会对测评报告进行评审，最后由测评中心领导批准，出具等级保护测评报告测评部位：　　领导办公场所　　机房　　介质保管室　　设备管理部门　　一般工作场所　　监控室等被测评设备：　　各类服务器　　抽查部分个人计算机（包括台式机、笔记本）　　通信线路　　交换机、路由器　　防火墙、入侵检测、杀毒软件等安全防护设备　　存储设备　　网络管理软件　　应用软件5.5 涉密信息系统5.5.1 涉密信息系统的概念5.5.2 涉密信息系统与公共信息系统的区别5.5.3 “涉密程度”与“分级保护”5.5.4 涉密信息系统的保密措施5.5.1 涉密信息系统的概念指涉及国家秘密和党政机关工作秘密的计算机信息系统。

包括党政机关用于处理涉密信息的单机和用于内部办公自动化或涉密信息交换的计算机网络；也包括企事业单位涉及国家秘密的计算机信息系统按照国家有关标准，涉密信息系统的建设需要达到较高的安全等级，但并非所有的涉密系统都是高安全等级的计算机信息系统；也并非所有的高安全等级的计算机信息系统都是涉密信息系统例如：一些企业的计算机信息系统为保护其商业秘密而采取了许多安全保密的技术和管理措施，达到了较高的安全等级，但由于其中没有涉及国家秘密的信息，就不能算是。