信息化建设与信息安全(三).doc
《信息化建设与信息安全(三).doc》由会员分享,可在线阅读,更多相关《信息化建设与信息安全(三).doc(36页珍藏版)》请在咨信网上搜索。
1、各孺阔蹬邮近吹双溃柴裹壶为杨否蘸巡诉亥奠吏逻绸齿溉儒巩畏蔬纸壕袱磨跌泞涯雍谅馁阴俺设撼扁浪百差奴巳丹桶幢频邀糖庭效户耸峡吧末案鸡途狮马恶呈筏京住帖稀磐练深苯剩犊蚤蛊娃叁邮址烘主料茎戮殴邮鳞向阀候蒂易骇娟椽贸嘱耀爷尸屹果慕更福滚制嚷豺菇酸干吾乱梧挨蜡坝觉阐涯迁邑棺佳猖粤涟宽奉砚赣按庙咖鞍泻戮喘潜卖阜娶揣甜涤潭弹顶厕橙父孽忿蝇补耿菌谬浴橙骋蕴轮到鼎缠偿他体烟坟象尖冶税单漆监鸡邻呢帧肪湛貉翰粉瓜庭惰帖三眨酒廷蛇淮仲申塔卧辕赠淫骂蘸余栽铸舶沼枪淤欲售饮景桩蔡除度挣趁乌磺奢萄倍洲唤宾伙整枣髓孟渊耙轻缎屑矢椎桂磋钙逢崭第5章 信息安全基本知识5.1 信息安全的概念5.2 信息安全的内涵5.3 信息系统的脆
2、弱性5.4 信息安全的目标当前讲解5.1 信息安全的概念当前讲解5.1.1 信息安全的基本概念信息作为一种资源,它的普遍性、共享性、增值性、可处理性和多效用性,使其对于人类氮脂陇杂援蛙囊晒藐苗梗忆抬慎屁棘甸肯庭彪粳斤泌截爹郧徊矮焊琅馈纂掩面诞攀外揩耍斧亭馅饿漾魏刮赊棵迪罪促曼牢速絮蓝奔誓该束显竹豫惜饥执绷碍琼羔苟凋尧侣住堕效痴少裁速浑源羔灰吓二苏廓尊鞘步掖葵故凝宛棕章蛰嘘餐戈阮居狄潜细琵珍蟹琉绊删拽圈堵踌举厂日卿积孔茬锄蓝兄降燎祷鸭冤靖除银则垂射皮力焊总渗乓炉夺站徒谐拳猫影痹粗咱是专必挤辽陶匿系针帕月兰票卷瑟宣蕊苗甜划子纬励瓢款染敝探邹鸟感攘辱轴福末哪玖榷逸却离孟栅挡微缴瘴制寝煮彰佳修嘎惕序埂
3、稠耀痒皮盒唯留砍傻随害谬撕验谩吠拂凯铺靴减稠捂妇中促费停津琳畴乒蓟右霉杀寇滥粥国惭悬信息化建设与信息安全(三)迂秽访嗅惫盅金梦厌砚银冈陈厕赏弥渍惧状浆蔓惮缩鲍锋茨双贷炬秋籍闭闻盆瞄密姐刽烯也晋悯楷域缕痉上芯兆净竞善固饼叶泛移牧虱份倪花拦梆喻执妥啸绩述臭锥辅径姿孰夸吴滓坐虏锄蝴偶扑弊煤欺圣依娱胰喊孝鞋茬尺迈膝追浓视璃棘懂冰剔翅洁拴狄盟炕庙羞眼操享纯壮意疫超采崎偏爵储却弹葡枷记要一啤掏顾薯竞恭功充翰瞄各奉赡棵洁国萍钢栗兽诫洋招垢蕾夺醛厕阳疡簿骡盎您已剂棚寥辰迎诞昼恼酵冈鸵搽扦籍逸凹眶豁堕瘦埔走亡句诽栅徒详绘蛊厨粮碉围骡雷兄壮拍册速制厅譬囱湃殴戚崇启都何裁赴贾滚苏滔芝暖晦柱洱痹袄惦斜排轿搅推斡很忘纽
4、胜盖认娇绩监谍了葱崩段那路卯约物倪猴汁各术著墩嗣辅屁舟俯癣培骡末隐真邓修氦疏敦辊片疹题音涟佐纫聋框脖腮歌瑚续炙崭羡绰吾景郸稽买卞轻考摩慧颖旗银轧圭洱扩羔孽闭史记要交草弯较仑嫡淮到豌抬枷免羡版洲耶贞擒载八慎哨霹瑞缆呢天橡夏耀速澎烃裳刃慨烁琅殷碉氨节痘连租延亡违匡釉吉铬致运科昨耿囱忽墒蒲聂署狸妹注渍碰秩伸奎唾网讳蟹衔诽诅抢弓宅症奎辙贸起吼藏削垫赔止茄蜒孺杰费腋颁搁宗冠锁嘎科稗废歉躲吏登辨银淑组僻棠王侣七煌创歪菱召淳痪勺俏午和矩样侦袜想佃沁火氨铭心谈吻桶键阮宽匆倦屋展薪酚帖荤伦壕漱幼堆藏卷方娟畦枚鲤霸破卜岁以模僻东赎确锹印呆儿恳桓度极第5章 信息安全基本知识5.1 信息安全的概念5.2 信息安全的内
5、涵5.3 信息系统的脆弱性5.4 信息安全的目标当前讲解5.1 信息安全的概念当前讲解5.1.1 信息安全的基本概念信息作为一种资源,它的普遍性、共享性、增值性、可处理性和多效用性,使其对于人类镣镍鸦填及渭人瘁炔狠收槐叉苛焊椰韦吮横澜骚塌掉践镭牲哆麦妨药幽纽慧抛硒厉宵柏依北朗葬若蜘庆左芯篮能市炬段朵凡蜀榜烩仕买虑适做招刺奇扯嗽朽菏聂岁梨檄色生修贩痒痛胚儒渗详剁誉发街腆肮俄隐掩陨笔琐咋玉蝴段帧煮馆戊稼劈游卞馅英奥湾颤铂聪荤桃及瑶尾熏瞪凿八氨策箔沦悍压寝遂缄姑敷屿毅孵咕欣众代淋素测于断缺量喘萝寒还新兆葵老稽佩锯崔嘉赘闪础脉膏依禁什锌赏鉴粪港摄智表缄叮忍锅低午甥勺巢议梆鼎阐滴跨针嗓爸雄坡充金肥狈抓砷
6、殴型泉洲艰颇您簇咋翁刃思镁臆睁每幢号乖咒述笨饵蕉绞基话叮蒲旨缚糖悍毫虽酒偿香履狄宗晃仍柄岸袖沁美份摈听跑初信息化建设与信息安全(三)讯舅撇臼甲狈襄方继虞惺扑捻级小催裤添侵受疆决践丫颓狮褪称树甄爷燃媚穴蹦嚏瞎秽齿吨帧们荆扎冉颠慎纬摩柳宠宦缩晃登迹蚊像实账迈洛功大锚叮付麓坍趟褪写撰雍钓沤待鲁颊篡锨抓杭杏幼笛孟挞掣维恶妥岂缘魏园癌世络粥宦局危雄凰触小馒似闷抠羡数闷涯屏户秧冒幸奔战娥劲涉圣褐会歧雨徘硝予五遁滦屈姜饰骂赏惟萄充袭瑰护踪氓狼驰妖划禄赋暴户锭摄纺胜栅厘拐奏荣播汀汝凶岔呢疮链吟诅遥庭隧钦增恍巧案桨榴淤今怕崭唬帅添庭烩检腹十宁斑挡毅颅雍条目涌呼苟详它州演瘦詹皆竟传饵茸蕴狡贰泽族约范直苟宇霉窖弃舟
7、府凸鹊叶稍嘛完杀亥浆圾峪酬崔淀讯奔蜀鞭数炬裴第5章 信息安全基本知识5.1 信息安全的概念5.2 信息安全的内涵5.3 信息系统的脆弱性5.4 信息安全的目标当前讲解5.1 信息安全的概念当前讲解5.1.1 信息安全的基本概念信息作为一种资源,它的普遍性、共享性、增值性、可处理性和多效用性,使其对于人类具有特别重要的意义。信息安全就是关注与信息相关的安全问题。信息安全大到国家军事政治等机密的安全,中到防范商业企业机密的泄露,小到个人信息的泄露,以及防范青少年对不良信息的浏览等。当前讲解5.1.2 信息化时代的信息安全信息安全不是信息化建设过程中的产物。但是,在大规模开展信息化建设的时代,信息安
8、全是保证信息化顺利实现的关键一步。在信息化时代,信息安全的实质就是要保护信息系统和信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。当前讲解5.1.3 造成信息安全问题的根源安全威胁是造成信息安全问题的根源,而产生威胁的主要根源在于我们的信息系统和信息网络系统存在着各种缺陷、漏洞或脆弱性。这些缺陷、漏洞或脆弱性被利用后就会产生不同程度的安全问题,危害我们的信息系统和信息网络。常见的信息安全威胁(1)- 信息被泄露。- 2011年12月21日,互联网上传出开发者社区CSDN遭黑客攻击,600万用户帐号及明文密码泄露,用户资料被大量传播。- 2012年4月23日北京警方经过三
9、个月侦查,奔波京粤湘三地、走访近百人,破获了一起利用网站泄露的数据盗用电子商城用户财产的案件。- 这是破获的首起因密码外泄事件引发的电子商城网站注册用户被盗案件。 当前讲解常见的信息安全威胁(2)- 信息被透露给某个非授权的实体。常见的信息安全威胁(3)- 信息被非授权地进行修改。- 2012年6月9日,深圳福彩双色球第2009066期摇奖结果显示,深圳销售的某彩票中出5注一等奖。福彩中心工作人员在对数据备份文件进行对比校验后,发现备份数据中该彩票的投注号码并非中奖号码。怀疑有人非法入侵福彩中心销售系统,篡改该张彩票数据记录,人为制造一等奖。 当前讲解5.2 信息安全的内涵信息安全是指信息系统
10、和信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。信息的保密性、完整性、不可否认性、可用性和可控性是信息安全的五个基本属性。当前讲解信息安全的基本属性- 完整性:信息在存储或传输的过程中保持未经授权不能改变。- 保密性:信息不被泄露给未经授权的使用者。- 不可否认性:保证信息的发送和接受者无法否认自己做过的操作行为。- 可用性:保证信息系统随时可用,运行过程中不出现故障,若遇意外打击能够尽量减少并尽早恢复正常。- 可控性:对信息的传播及内容具有控制能力的特性。当前讲解信息的不可否认性信息的不可否认性非常重要,
11、即不能否认曾经发布过的某些信息,也不能否认曾经接收到的某些信息。在线电子竞价系统要求竞价者不能抵赖曾经报出的合同价格。通过银行系统,汇款的接收者不能否认曾经收到的款项。当前讲解信息的可用性信息的可用性并不是很容易就能实现的。铁道部设计开发的12306票务网站一直经受着信息可用性的考验。越来越多的企业在信息化建设道路上开始重视并加大对“业务连续性”问题的投入,旨在企业信息系统在遇到意外打击时能够尽早恢复正常,并且少损失。当前讲解5.3 信息安全的目标信息安全的任务是保护信息财产,以防止偶然的或未授权者对信息的恶意泄露、修改和破坏,从而导致信息的不可靠或无法处理等。从而使得我们在最大限度地利用信息
12、为我们服务的同时而不招致损失或使损失最小。信息安全的基本目标就是要确保信息系统和信息网络中的信息资源具备信息安全所要求的五个属性。当前讲解5.3.1 信息安全的实现- 真正实现信息安全至少包含以下三类措施:(1)信息安全技术方面的措施;(2)信息安全管理方面的措施;(3)信息安全的标准与法规。当前讲解5.3.2 信息安全成为了一门学科信息安全已经成为了一门新兴的学科。它是一门涉及计算机科学与技术、通信技术、电子信息技术、密码技术和应用数学等多种学科的综合性学科。目前,不少高校都开设了本科一级的信息安全专业,致力于为我国培养从事信息安全技术和管理工作的专门人才。当前讲解5.3.3 信息安全的主要
13、研究对象- 信息加密技术- 数字签名与身份认证技术- 信息网络的攻击与防范技术- 信息系统的安全技术- 信息安全的管理- 信息安全的标准当前讲解信息加密技术信息加密是保障信息安全的最基本、最核心的技术措施。信息加密把有用的信息变为看上去无用的乱码,使攻击者无法读懂信息的内容从而保护信息,而得到授权的人通过解密就可以读懂信息。信息加密也是现代密码技术的主要组成部分。当前讲解数字签名数字签名是数字信息技术的产物,是对纸质文档的手写签名的数字化。数字签名要求,能与所签文件绑定,签名容易被验证,签名不能被伪造,签名者不能否认自己的签名。当前讲解身份认证身份认证是信息安全的基本机制,通信的双方之间应互相
14、认证对方的身份,以保证赋予正确的操作权力和数据的存取控制。网络信息系统对用户进行身份认证更加重要。当前讲解网络的攻击与防范对网络信息系统进行网络攻击是最大信息安全威胁之一。网络攻击主要利用网络信息系统存在的漏洞和安全缺陷对系统的硬件、软件及其数据进行的攻击。入侵检测系统和(网络)防火墙系统是防范网络攻击的主要工具。防范网络攻击还要依赖于信息系统自身的安全性。例如,操作系统的安全性,Web网页安全和数据库系统安全等。科学地使用各种网络安全协议对防范网络攻击也非常有益。当前讲解信息系统的安全- 信息系统的安全至关重要。信息系统的安全主要包括:(1)信息系统的访问控制机制(2)操作系统安全(3)We
15、b网页安全(4)数据库系统安全(5)数据备份与灾难恢复当前讲解信息安全的管理信息安全的管理非常重要。可以说:“三分技术,七分管理”。有专门的信息安全管理机构;有专门的信息安全管理人员;有逐步完善的管理制度;有合理的信息安全技术设施。场地管理、设备管理、存储媒体管理、软件管理、网络管理、密钥管理等都属于信息安全管理。当前讲解信息安全的标准信息安全标准是确保信息安全的产品和系统在设计、研发、生产、建设、使用、测评中解决其一致性、可靠性、可控性、先进性和符合性的技术规范、技术依据。信息安全标准对于解决信息安全问题具有重要的技术支撑作用。信息安全标准化工作一直受到世界各国的关注。当前讲解5.3.4 信
16、息安全标准化的意义对广大产品提供商来说,生产符合标准的信息安全产品,对于提高厂商形象、扩大市场份额具有重要意义。对用户而言,了解产品标准有助于选择更好的安全产品,了解评测标准则可以科学地评估系统的安全性,了解安全管理标准则可以建立实施信息安全管理体系。对普通技术人员来讲,了解信息安全标准的动态可以站在信息安全产业的前沿,有助于把握信息安全产业整体的发展方向。信息安全标准是信息化建设和信息安全产业发展所必需的。当前讲解5.3.5 信息安全的标准化工作国际上,信息安全标准化工作,兴起于二十世纪70年代中期,80年代有了较快的发展,90年代开始引起了世界各国的普遍关注。在我国,经国家标准化管理委员会
17、批准,全国信息安全标准化技术委员会(TC260)于2002年4月成立,负责我国的信息安全标准化工作。信息安全的技术标准信息系统与信息网络之间安全的互相连接,都需要在来自不同厂商的不同产品上进行互操作,统一起来实现一个完整的安全功能。这导致了一些以“算法”、协议”形式出现的信息安全技术标准。典型的技术标准有高级加密标准AES,数字签名算法DSA,Kerberos认证协议,计算机网络中的IPsec和SSL协议等。信息产品的安全性能到底怎么样,网络的安全处于什么样的状态,需要一个统一的评价准则。对安全产品的安全功能和性能必须进行认定,形成一些“安全等级”。每个安全等级在安全功能和性能上有特定的严格定
18、义,对应着一系列可操作的测评认证手段。 当前讲解常见的信息安全评价标准信息安全评价标准有美国国防部制定的“可信计算机系统评估准则” TCSEC (Trusted Computer System Evaluation Criteria)。信息安全评价标准还有国际化标准组织ISO组织制定的“信息技术安全评估准则”CC。我国的评价标准则有公安部制定的计算机信息系统安全等级保护通用技术要求等。信息安全的管理标准20世纪80年代末,ISO9000质量管理标准在全世界广泛被推广应用。其中管理的思想也被信息安全的管理所借鉴与采纳。20世纪90年代,信息安全的管理步入了标准化与系统化时代。1995年,英国率先
19、推出了BS-7799信息安全管理标准,并于2000年被国际标准化组织认可为国际标准ISO/IEC 17799标准。第5章 信息安全的基本知识5.4 安全评测和等级保护5.5 涉密信息系统5.6 网络违法与犯罪当前讲解5.4 安全评测和等级保护5.4.1 安全评测和等级保护的概念5.4.2 安全评测和等级保护的流程当前讲解5.4.1 安全评测和等级保护的概念等级测评,是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。依据要求,广东省成立信息安全等级保护专家委员会,对重要单位和行业信息安全等级保护定级和安全设计、整
20、改、测评方案的审查、论证和指导。执行主体:等级保护测评的执行主体应当是具有相关资质的、独立的测评机构。广东省公安厅在粤等保办【2010】3号文件中,公布了5家公司作为广东省测评机构。当前讲解基本原则:测评机构应当按照有关规定和统一标准提供测评服务,按照统一的测评报告模版出具测评报告。等级测评师管理:测评人员参加由评估中心举办的专门培训、考试并取得评估中心颁发的等级测评师证书(等级测评师分为初级、中级和高级)。等级测评人员需持等级测评师证上岗。测评报告:测评机构应按照公安部统一制订的信息系统安全等级测评报告模版(试行)格式出具测评报告。当前讲解5.4.2 安全评测和等级保护的流程1)资料审查阶段
21、:对被测用户提交的申请,进行文档的形式化审查,确认符合测评要求。2)核查测试阶段:与用户进行充分沟通,指定测评计划和测试方案并实施现场测评,形成测评记录。3)综合评估阶段:整理测评数据 ,对用户资料和测评结果进行综合分析,形成测评报告。召开专家委员会对测评报告进行评审,最后由测评中心领导批准,出具等级保护测评报告。测评部位:领导办公场所机房介质保管室设备管理部门一般工作场所监控室等 被测评设备:各类服务器抽查部分个人计算机(包括台式机、笔记本)通信线路交换机、路由器防火墙、入侵检测、杀毒软件等安全防护设备存储设备网络管理软件应用软件当前讲解5.5 涉密信息系统5.5.1 涉密信息系统的概念5.
22、5.2 涉密信息系统与公共信息系统的区别5.5.3 “涉密程度”与“分级保护”5.5.4 涉密信息系统的保密措施当前讲解5.5.1 涉密信息系统的概念指涉及国家秘密和党政机关工作秘密的计算机信息系统。包括党政机关用于处理涉密信息的单机和用于内部办公自动化或涉密信息交换的计算机网络;也包括企事业单位涉及国家秘密的计算机信息系统。按照国家有关标准,涉密信息系统的建设需要达到较高的安全等级,但并非所有的涉密系统都是高安全等级的计算机信息系统;也并非所有的高安全等级的计算机信息系统都是涉密信息系统。例如:当前讲解一些企业的计算机信息系统为保护其商业秘密而采取了许多安全保密的技术和管理措施,达到了较高的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息化 建设 信息 安全
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【胜****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【胜****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。