信息安全概述
信息:ISO(國際標準化組織)的定義爲:信息是通過施加在數據上的某些約定而賦予這些數據的特定含義。
信息安全的外延和內涵:
外延:在經濟和商業領域,主要強調削弱並控制風險。
內涵:在現代信息系統中,ISO的定義爲:在技術和管理上爲數據處理系統建立的安全保護,保護信息系統的硬件,軟件及相關數據不因偶然或惡意的原因被破壞。
信息安全的發展:
1.通信安全(COMSEC):側重密碼學,防止信源和信宿以外的對象查看信息。
2.信息安全(INFOSEC):對信息系統的保護,保證信息的機密,完整,有效,可控,抗抵賴性。
3.信息保障(information assurance):強調一種持續的動態的保護,預警,防禦和恢復。其三大要素是人,技術和管理。
信息安全威脅
1,基本類型:針對不同信息安全屬性的威脅:
(1) 信息泄露:破壞機密性
(2)信息僞造:破壞抗抵賴性
(3)完整性破壞:
(4)拒絕服務:破壞有效性
(5)未授權訪問:破壞可控性
信息安全威脅的具體表現:
(1)原始資料攻擊:竊取原始資料;人員泄露;廢棄的原始資料;
(2)基礎設施破壞:破壞網絡;破壞設備;破壞場所;破壞電力系統(。。。。。)
(3)信息系統攻擊:病毒;木馬;服務干擾;
(4)信息傳輸攻擊:竊聽,重放;業務流分析(不針對具體信息,而是監聽信息的頻率,流量等來統計分析,獲取信息和規律)
(5)僞造:欺騙;釣魚;抵賴
(6)自身失誤:自身信息的泄露;誤操作
(7)內部攻擊:授權實體從事意料外的非法活動(防不勝防);
互聯網安全:
網絡是現在信息的主要載體,其安全性很有必要考慮。
互聯網發展:
1.1969,美國國防部開發出ARPAnet,意味着網絡時代的到來。後加入TCP/IP協議,誕生出Internet。
2.1986年,美國國家科學基金會建立起NSFnet,後替代ARPAnet,成爲Internet的骨幹網之一。
3.1987年,中國幾個網絡與Internet直連,融入國際互聯網的時代。
互聯網安全威脅的根源:
1.最初設計缺陷:最初的設計是建立在5個科研超算中心的可信環境前提下的,其協議和架構都是安全性較弱的。現在IPv6的使用開始有所改觀。
2.網絡傳輸的相關協議族設計:網絡層IP協議缺乏安全認證和保密機制;傳輸層,TCP的三次握手也有被欺騙的可能,UDP易於收到源路由和拒絕服務攻擊。
應用層,傳統的HTTP,STMP,POP,DNS,TELNET,FTP等都缺乏安全認證,保密和完整性。總而言之,協議族設計存在漏洞。
3.信息系統自身設計:信息系統自身的安全保護做得不到位,服務器被入侵就是很多威脅的目的。
信息安全體系:
1.面向目標的體系:目標主要指CIA這個三元目標組:即機密性,完整性,可用性;而密碼學是這三個目標的基礎。
2.面向應用的層次型技術體系:保護各信息系統的安全,並將信息系統分爲人,信息,系統,將安全分爲物理安全,運行安全,數據安全,內容安全,管理安全5個層次。
3.面向過程的信息安全保障體系:將信息安全的保護擴展至保障,不只是之前的被動防禦的保護,而變成了動態的保護,檢測,反應,恢復等四個過程。