信息系统安全的基本概念

信息系统安全

信息系统安全基本要素

信息系统安全的范畴

物理安全

系统安全

信息安全

信息系统安全的发展阶段

通信安全阶段(20世纪40年代)

计算机安全阶段(20世纪70年代)

因特网安全阶段(20世纪80年代)

物联网安全阶段（21世纪之初)

信息系统安全评价标准

TCSEC(桔皮书)

TCSEC等级划分

ITSEC（欧洲白皮书)

CC（通用评价准则)

CNITSEC

信息系统安全相关法律

美国

美国关于密码的相关法律

英国

三R安全规则(96.9.23 )

俄罗斯

中国

网络安全法

刑法

信息系统安全的基本概念

信息系统安全

计算机系统的硬件、软件及数据受到保护，不因偶然或者恶意的原因而遭到占用、破坏、更改、泄露，系统连续可靠正常地运行，系统服务不中断。

维护方式：漏洞修复、信息隐藏、防火墙、入侵检测（实时监控）、入侵躲避、蜜罐（以假乱真）、主动防御

信息系统安全基本要素

机密性(Confidentiality )

确保信息在传输过程或存储状态中，不暴露给未授权的实体或进程；

完整性(lntegrity )

数据未经授权不能进行改变，只有得到允许的人才能修改数据，并且能够判别出数据是否已被篡改；

可用性( Availability )

得到授权的实体在需要时可访问数据或使用系统服务.即攻击者不能占用所有的资源而阻碍授权者的工作。

可控性(Controllability )

可以控制授权范围内的信息流向及行为方式；

不可否认性(Non-repudiation )

对出现的网络安全问题提供调查的依据和手段，保证信息行为人不能抵赖自己的行为。

信息系统安全的范畴

物理安全

作用点：对计算机网络和系统物理装备的威胁，包括环境安全、设备安全、媒介安全三个方面。

表现行为：通信干扰、信号辐射、有害信息注入、恶劣环境、设备老化、毁损等。

防范措施：抗干扰、防辐射、隐身、加固、备份

特殊用途物理安全技术：电磁脉冲炸弹、嗜硅生物、远程电磁截获

系统安全

作用点：对计算机网络和计算机系统（如操作系统、应用软件等)可用性的威胁，主要表现在访问控制等方面。

表现行为：非授权或越权访问、拒绝服务、黑客行为、计算机病毒等方面。

防范措施：包括风险分析、身份鉴别、防火墙、病毒防范、漏洞扫描、入侵检测、系统恢复等。

信息安全

作用点：对所处理信息的机密性与完整性、可控性、不可否认性等的威胁，主要表现在加密方面。

表现行为：窃取信息、破坏信息、假冒信息、信息抵赖等方面。

防范措施：包括信息加密、认证、数字签名等。

信息系统安全的发展阶段

纵观信息安全技术的发展历程，可将信息安全划分为几个发展阶段：通信安全阶段、计算机安全阶段、因特网安全阶段、物联网安全阶段。

通信安全阶段(20世纪40年代)

标志性事件

1949年香农发表《保密通信的信息理论》，将密码学研究纳入科学轨道

该阶段关心的只是通信安全，重点是通过密码技术解决通信保密问题，保证数据的保密性和可靠

主要安全威胁：搭线窃听和密码分析

主要防护措施：数据加密

计算机安全阶段(20世纪70年代)

标志性事件

1970年，美国国防部提出《可信计算机系统评价准则》TCSEC，并于1985年正式发布（桔皮书)

1977年，美国国家安全局公布国家数据加密标准DES

该阶段关注如何确保计算机系统（单机）中的硬件、软件及信息的机密性、完整性及可用性。

主要安全威胁：非法访问、恶意代码、脆弱口令等；

主要保护措施：安全操作系统设计技术。

因特网安全阶段(20世纪80年代)

背景

计算机性能大幅度提高，应用范围不断扩大，不同的计算机相互连接形成局域网、城域网和广域网，因特网形成，因特网安全成为人们关注的新问题。

标志性事件：1988年11月"Morris蠕虫事件”

因特网安全阶段重点保护信息，强调信息的保密性、完整性、可控性、可用性和不可否认性，确保合法用户的服务和限制非授权用户的服务，以及必要的防御攻击措施。

主要安全威胁：网络入侵、病毒破坏和信息对抗；

主要防护措施：防火墙、漏洞扫描、入侵检测、PKI、VPN等。

物联网安全阶段（21世纪之初)

背景

移动计算、普适计算、传感网、物联网、无人驾驶的出现使得随时随地、无处不在的计算成为可能。

标志性事件：2010年，伊朗核电站遭受震网攻击。

主要安全威胁：智能家电、智能手机、智能汽车、工业控制系统、RFID卡、传感器、无人机，威胁无处不在...

物联网设备：摄像头、定位标签、传感器等。

信息系统安全评价标准

TCSEC(桔皮书)

美国国防部1985年公布《可信计算机安全评估准则》

Trusted Computer Security Evaluation Criteria

提出“严禁上读下写”( no read up, no write down )的访问控制原则，将安全分为7个安全级别(从低到高依次为D、C1、C2、B1、B2、B3和A级)。

TCSEC等级划分

D：MS-DOS、Win95/98

C1：早期Unix、Netware

C2： Unix/Linux、Netware后期版、WinNT/2K

B1：军方系统，强制存取控制

ITSEC（欧洲白皮书)

1991年，英、法、荷、德联合提出《信息技术安全评价标准》

吸收TCSEC的成功经验，并首次提出了信息安全的保密性、完整性、可用性的概念，把可信计算机的概念提高到可信信息技术的高度上来认识

ITSEC是欧盟信息安全计划的基础，并对国际信息安全的研究、实施带来深刻的影响

同样定义七个安全级别(Eo，E1，E2，E3， E4，E5，E6 )

CC（通用评价准则)

1991年1月宣布制定通用安全评价准则的计划，即Common Criteria for lT security Evaluation，制定的国家涉及到六国七方，他们是美国的国家标准及技术研究所（NIST )和国家安全局(NSA)，欧州的荷、法、德、英，北美的加拿大；

CC旨在建立一个通用的信息安全产品和系统安全性评估准则，使大部分基础性安全机制不再需要重复评估，从而大幅节省评价支出并迅速推向市场。96年推出1.0版，98年2.0版并成为ISO标准。

同样定义了七个安全级别（EAL1-2-3-4-5-6-7 )

CNITSEC

计算机信息系统安全保护等级划分准则，1999年公安部主持制定、国家质量技术监督局发布(GB17895-1999 )

5个等级：自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级

信息系统安全相关法律

数字化生存需要什么样的法规?

信息内容安全

网上交易安全

电子信息权利

如何规制信息内容?

如何规制网上行为?

美国

信息自由法、个人隐私法、反腐败行径法、伪造访问设备和计算机欺骗滥用法、电子通信隐私法、计算机欺骗滥用法、计算机安全法、正当通信法(一度确立，后又推翻)、电讯法

美国关于密码的相关法律

加密

本土可以使用强密码（密钥托管、密钥恢复)

等同为武器而禁止出口

可出口密钥长度不超过40位（后为128位)

认证

出口限制比加密相对宽松

2000年通过了数字签名法

英国

黄色出版物法、青少年保护法、录像制品法禁止滥用电脑法、刑事司法、与公共秩序修正条例

三R安全规则(96.9.23 )

英国第一个网络监管行业性法规

三R分别代表分级认定、举报、问责(Rating.Reporting、Responsibility )

俄罗斯

1995年颁布《联邦信息、信息化和信息保护法》

强调国家在建立信息资源和信息化中的责任是“旨在为完成俄联邦社会和经济发展的战略、战役任务，提供高效率、高质量的信息保障创造条件”。

明确界定信息资源开放和保密的范畴，提出了保护信息的法律责任。

中国

计算机软件保护条例(1991 )

中华人民共和国计算机信息系统安全保护条例(1994)

计算机信息系统安全专用产品检测和销售许可证管理办法(1997 )

计算机信息网络国际联网安全保护管理办法(1997)

商用密码管理条例(1999 )

计算机信息系统安全保护等级划分准则(2000 )

计算机信息系统国际联网保密管理规定（2000 )

计算机病毒防治管理办法(2000 )

全国人大常委会关于网络安全和信息安全的决定（2000 )

1999-2000是国内信息安全意识空前提高的年度

网络安全法

2017年6月1日正式生效

第二十七条 任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。

第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

刑法

第二百八十五条 违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。

第二百八十六条 违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役,后果特别严重的，处五年以上有期徒刑。违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。

第二百八十七条 利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。

总结：做守法公民，切勿用他人计算机做恶意攻击实验！

信息系统安全概述（课程笔记）相关推荐

【2017cs231n】课程笔记01：计算机视觉概述及历史背景
[2017cs231n]课程笔记01:计算机视觉概述及历史背景搜索微信公众号:'AI-ming3526'或者'计算机视觉这件小事' 获取更多算法.机器学习干货 csdn:https://blog.c ...
Coursera吴恩达《优化深度神经网络》课程笔记（1）-- 深度学习的实用层面
红色石头的个人网站:redstonewill.com Andrew Ng的深度学习专项课程的第一门课<Neural Networks and Deep Learning>的5份笔记我已经整 ...
Deeplearning.ai深度学习课程笔记-在线版
注意:请点击阅读原文课程概述课程视频离线版本可以到github:https://github.com/fengdu78/deeplearning_ai_books 查找下载. 课程地址:https ...
吴恩达老师的机器学习和深度学习课程笔记打印版
注意:下载笔记.视频.代码:请点击"阅读原文" 我和同学将吴恩达老师机器学习和深度学习课程笔记做成了打印版,放在github上,下载后可以打印. 公布了深度学习笔记的word和ma ...
CS231n课程笔记翻译系列之目录汇总
知乎上CS231n课程翻译系列翻译的笔记非常好,为了方便查看,这里把所有目录列于此,并给出链接. Python Numpy教程(全篇) Python 基本数据类型容器(列表, 字典, 集合, 元组 ...
【CS231n】斯坦福大学李飞飞视觉识别课程笔记（六）：线性分类笔记（上）
[CS231n]斯坦福大学李飞飞视觉识别课程笔记由官方授权的CS231n课程笔记翻译知乎专栏--智能单元,比较详细地翻译了课程笔记,我这里就是参考和总结. [CS231n]斯坦福大学李飞飞视觉识别课 ...
CS231n课程笔记翻译3：线性分类笔记
译者注 :本文智能单元首发,译自斯坦福CS231n课程笔记 Linear Classification Note ,课程教师 Andrej Karpathy 授权翻译.本篇教程由杜客翻译完成, ...
CS231n课程笔记翻译9：卷积神经网络笔记
译者注:本文翻译自斯坦福CS231n课程笔记ConvNet notes,由课程教师Andrej Karpathy授权进行翻译.本篇教程由杜客和猴子翻译完成,堃堃和李艺颖进行校对修改. 原文如下内容列 ...
千锋教育网络安全课程笔记
网络安全课程笔记 1.虚拟环境部署 1.1 虚拟机的运行架构寄居架构(适合用于学习) (这里的硬件就是我们的笔记本电脑) 虚拟机跟真实机是互相独立的,一些危险的程序放到虚拟机里面运行是不会影响到真实 ...
UCAS - AI学院 - 自然语言处理专项课 - 第7讲 - 课程笔记
UCAS-AI学院-自然语言处理专项课-第7讲-课程笔记形态分析.汉语分词与词性标注概述英语形态分析汉语自动分词概要性能评价方法未登录词识别现状和未来词性标注形态分析.汉语分词与词 ...

信息系统安全概述（课程笔记）

信息系统安全的基本概念

信息系统安全

信息系统安全基本要素

信息系统安全的范畴

物理安全

系统安全

信息安全

信息系统安全的发展阶段

通信安全阶段(20世纪40年代)

计算机安全阶段(20世纪70年代)

因特网安全阶段(20世纪80年代)

物联网安全阶段（21世纪之初)

信息系统安全评价标准

TCSEC(桔皮书)

TCSEC等级划分

ITSEC（欧洲白皮书)

CC（通用评价准则)

CNITSEC

信息系统安全相关法律

美国

美国关于密码的相关法律

英国

三R安全规则(96.9.23 )

俄罗斯

中国

网络安全法

刑法

信息系统安全概述（课程笔记）相关推荐

最新文章

热门文章