课件：第章网络安全概述

课件2第一章信息安全概述第一章信息安全概述一、信息安全的需求1、一些概念（不讨论严格定义）数据：对对象属性的真实度量、刻划、编码或描述。如‘张三，男，1.75米，1970.2出生，博士，副教授，计算机专业’就是对张三的具体描述，我们把它称为有关张三的数据。数据可以是多种形式的，如text，语音、图形、图象、视频等多媒体形式。信息:词海解释说‘泛指消息、信号所包含的意义’。本课程中将信息解释为数据的含义。例如，张三的数据包含‘张三是一个青年计算机专家’。在本课中将不区分‘数据’与‘信息’。在计算机系统中，所有的文件，包括各类程序文件和数据文件、资料文件、数据库文件，甚至也包括硬件系统的品牌、结构、指令系统等都属于我们所说的计算机系统信息。安全——“远离危险、威胁的状态或特性”和“为防范间谍活动或蓄意破坏、犯罪、攻击等而采取的措施”。信息安全：防止对数据进行未授权访问的措施或防止信息的有意无意泄露、破坏、篡改、丢失等破坏信息完整性的有关措施。对信息安全的威胁来自：用户操作的有意无意的破坏；来自硬件、网络和软件的故障、缺陷和内部的陷门；来自各种天灾与人为灾害来自入侵者的恶意攻击。2、信息安全的需求保密性：对信息资源开放范围的控制，不让不应涉密的人知道秘密。保密性措施：信息加密、解密；信息划分密级，对用户分配不同权限，对不同权限的用户访问的对象进行访问控制；防止硬件辐射泄露、网络截获、窃听等。信息安全的需求（续）完整性：使信息保持完整、真实或未受损状态，任何中断、窃取、篡改和伪造信息应用特性或状态等行为都是破坏信息的完整性的。完整性措施：严格控制对系统中数据的写访问。只允许许可的当事人进行更改。信息安全的需求（续）可用性：意味着资源只能由合法的当事人使用，保证合法用户对信息的合法利用。可用性措施：在坚持严格的访问控制机制的条件下，为用户提供方便和快速的访问接口。提供安全性的访问工具。信息安全的需求（续）不可否认性：信息的发送者无法否认已发出的信息，信息的接收者无法否认已经接收的信息。不可否认性措施：数字签名，可信第三方认证技术。3、网络信息安全的层次应用系统数据库操作系统硬件层次实用程序FTP、EmailTCP/IP二、信息对对抗概念与与发展信息对抗是伴随人类类社会中不不同利益的的个人、组组织或国家家之间的竞竞争、对抗抗或战争等等活动而产产生的一种种社会现象象，都是通通过争夺对对信息的控控制权和使使用权达到到在对抗中中获胜而展展开的斗争争。由于军事斗斗争的需要要，各个时时期开发的的信息对抗抗手段一般般都最先应应用于军事事，因此，，信息对抗抗在军事斗斗争中，尤尤其是战争争中的应用用是最广泛泛的和最鲜鲜明的。1、信息息对抗的概概念在信息对抗抗过程中，，对抗的一一方会采取取各种机制制（方法、、技术、手手段与措施施）来确保保己方的信信息安全，，对抗的另另一方则是是通过破解解对方的机机制获取对对方的秘密密信息。信信息对抗的的目的则是是确保己方方信息的保保密性、完完整性和对对信息利用用的能力，，获取信息息的优势，，达到对抗抗胜利的目目的，同时时设法不让让对手拥有有同样的能能力。2、信息对对抗的主要要表现形式式宣传战：敌对双方或或利益竞争争的双方通通过电视广广播进行；；心理战：从心理上稿稿垮对方，，失去抵抗抗意志；情报战：通过侦察、、间谍等手手段进行；；网络对抗：：在计算机网络络空间进行行。电子对抗：：在电磁空间间进行的等等等。光电对抗：：利用光学电电子原理对对抗。目前国内外外关于信息息对抗的资资料与著作作甚多，相相关概念不不尽一致，，如信息战战、信息对对抗、信息息斗争、信信息作战、、信息运作作等，我们们不想研究究它们的概概念定义与与区分，或或试图给出出一个全面面定义，但但可能在适适当的场合合用到它们们。3、信息对对抗的阶段段性根据信息科科学原理，，信息是有有生命期的的(时效性性)。其生生命期包括括：信息的的产生、传传输、存储储、处理、、利用、废废弃或公开开等阶段。。例如，从情情报的获取取一直到情情报的废弃弃，就体现现了上述各各个阶段。。在上述各个个阶段双方方对信息的的争斗都体体现为信息息对抗。且且不同阶段段使用的手手段、方法法是不同的的。1）信息获获取阶段形态：情报战，利利用侦察卫卫星、飞机机或无人飞飞行器、雷雷达、传感感器或人工工侦察与获获取信息对抗方式：侦察与反侦侦察、欺骗骗与反欺骗骗、伪装与与反伪装对抗目的：防止对方获获取实时正正确的战场场态势感知知能力2）信息传传输阶段形态：在数字化战战场（战术术）一级是无线线信道，电电子对抗形形式；在战战略一级主主要是有线线信道，硬硬摧毁。方式：干扰与抗干干扰、截获获与反截获获、窃取与与反窃取、、硬攻击与与防破坏目的：破坏有线信信道，迫使使敌方使用用无线信道道，降低信信息传输速速度，使信信息在传输输途中易受受攻击3）信息存存贮阶段形态：破坏与保护护数据库和和数据文件件中的数据据完整性。。方式：对数据库系系统及其应应用系统的的攻击与防防护，数据据文件的加加密与解密密、数据库库的访问控控制与反访访问控制、、数据窃取取与反窃取取、病毒攻攻击与防护护等目的：保护数据文文件或数据据库的完整整性、保密密性与可用用性。4）决策利利用阶段形态：对战场指挥挥控制能力力的争夺，，体现为双双方指挥员员及指挥控控制系统之之间的对抗抗。方式：病毒攻击与与防护、黑黑客攻击与与防护、对对网络系统统的控制与与反控制，，争夺对信信息的使用用权，C4I系统的攻击击与防护等等。目的：破坏对方指指控系统的的正常运行行，争夺对对方指控系系统的控制制权、瘫痪痪对方网络络系统，妨妨碍对方对对信息的利利用，不能能进行正确确决策与指指挥。5）信息作作用控制阶阶段形态：作战部队之之间对抗，，武器平台台之间的对对抗。方式：干扰、破破坏、弄弄假与更更改指挥挥控制信信息流；；对作战战部队与与武器平平台的控控制与反反控制；；目标：消灭对方方的作战战部队的的作战能能力，妨妨碍对方方对武器器平台的的控制，，降低对对方精导导武器的的作用，，甚至不不能发挥挥作用。。6）信息息的废弃弃或公开开在废弃信信息上也也可能有有对抗，，一方认认为信息息已失去去时效性性可以废废弃或将将其公开开作为档档案资料料；另一一方则有有可能从从这些废废弃信息息中获取取有价值值的情报报信息。。为了获取取对方被被销毁的的信息，，有的在在碎纸机机内安装装木马软软件或复复制软件件，把对对方要销销毁的文文件内容容窃取下下来。有有的通过过被切碎碎的文件件纸片中中获取有有用信息息。上述六个个阶段上上信息对对抗在实实际中并并不是互互相分隔隔的，有有时是几几个阶段段的对抗抗是混合合在一起起的，如如，若能能瘫痪对对方的网网络系统统，则对对方的数数据传输输与指挥挥控制系系统都不不能正常常工作；；但有时是是可以单单独进行行的，如如情报战战，战场场上的感感知与反反感知，，如敌方方侦察机机欲侦察察我方雷雷达的位位置及其其信号参参数，我我方可以以采取静静默或故故意暴露露在另一一地点仿仿真的雷雷达信号号欺骗敌敌机。三、电子子对抗的的主要内内容电子对抗抗是敌我我双方在在电磁频频谱领域域内展开开的斗争争，西方方国家称称为电子子战，俄俄罗斯称称之为““电子斗斗争”。。它是随随军用电电子装备备（电台台、雷达达、通信信设备、、计算机机、制导导系统等等）一起起诞生和和发展的的。1、电子子战的定定义电子战(EW)：：使用电磁磁能和定定向能控控制电磁磁频谱或或攻击敌敌军的任任何军事事行动。。电子战战包括3个主要要部分：：电子攻攻击、电电子防护护和电子子支援。。电子攻击击(EA)：：以削弱、、抵消或或摧毁敌敌方战斗斗力为目目的，使使用电磁磁能攻击击其人员员、设施施或装备备。电子防护护(EP)：：为保护人人员、设设施和装装备在己己方实施施电子战战或敌方方运用电电子战削削弱、抵抵消或摧摧毁乙方方战斗能能力时不不受任何何影响而而采取的的各种行行为。电子支援援(ES)：：由作战指指挥官分分派或在在其直接接控制下下，为搜搜索、截截获、识识别和定定位有意意或无意意电磁辐辐射源，，以达立立即辨认认威胁之之目的而而实施的的各种行行动。以上定义义仅限于于作战过过程，实实际上电电子战在在和平时时期也是是广泛使使用的。。2、电子子战的发发展简史史电子战发发展的大大致历程程：第一一次世界界大战产产生通信信对抗；；第二次次世界大大战：预预警雷达达对抗；；越南战战争，制制导雷达达对抗；；中东战战争，反反辐射攻攻击；海海湾战争争，综合合电子战战。当无线电电通信刚刚刚在舰舰队上安安装使用用不久，，在1905年年发生的的日、俄俄海军舰舰队在日日本海附附近展开开的大海海战中，，就出现现了无线线电对抗抗。日军军利用无线电侦侦察发现俄舰舰队动向向，结果果日军大大获全胜胜。1914年8月月开始的的一战，，无线电电台大量量装备电电台，当当时电子子战活动动主要集集中在无无线电通通信领域域，对抗抗形式是是通信对抗抗。二战期间间，德军军利用无无线电导导航引导导轰炸机机夜间轰轰炸伦敦敦，英德德之间展展开了一一场无线电导导航战。后来雷雷达投入入实战，，使其防防空探测测和火炮炮控制的的有力武武器，同同时雷达对抗抗也成为电电子对抗抗的重点点。雷达达对抗的的成功之之作是诺诺曼底战战役中的的应用。。该时期期的电子子战称为为“无线电对对抗”越战期间间，北越越军队使使用苏制制SA-2/SA-7地空导弹弹对付美美军飞机机，美军军利用激激光制导导炸弹轻轻易地炸炸毁了越越军重点点防守的的清化桥桥和杜美美桥，引引发了光电对抗抗，此后利用用红外、、激光和和电视制制导的导导弹、炸炸弹、炮炮弹等精精确制导导武器开开始成为为主战兵兵器；为了压制制北越地地面防空空系统，，美国空空军研制制出AGM-45““百舌鸟””反辐射导导弹，并组建建了特种种航空兵兵部队“野鼬鼠鼠”，专门攻攻击带辐辐射源(如雷达达)的目目标，开开创了一一种电子对抗抗的新途途径(硬硬杀伤)。美空军为为了保护护战机的的安全，，增强了了自卫电子子战能力。在在飞机上上加装了了雷达告告警接收收机，有有源干扰扰机和无无源干扰扰投放器器等组成成的自卫卫电子战战系统。。为了增强强电子战战能力，，美军在在越战期期间还大大力发展展专用电子干扰扰飞机，如EB-66，EA-6A等既可侦侦察又可可干扰，，每次作作战中一一架专用用电子干干扰机可可掩护10~15架飞飞机突防防。整体而言言，在1965~1975年年越战和和第3、、4次中中东战争争中，雷雷达与光光电制导导的精确确制导武武器成为为飞机、、军舰等等主战武武器平台台的主要要威胁，，这一时时期电子子战的主主要目标标转向对导弹制制导系统统的对抗抗，形成了了电子战战发展的的第二次次高潮。。1975年以后后的中东东战争、、马岛战战争，特特别是1982年6月月的贝卡卡谷地之之战，以以色列把把电子战战发挥到到出神入入化、淋淋漓尽致致的地步步。以色色列把电电子战作作为主导导战斗力力的要素素，重点点攻击叙叙利亚C3I系系统和SA-6导弹阵阵地，实实施强烈烈的电子子干扰和和反辐射射导弹攻攻击，摧摧毁了叙叙利亚19个防防空导弹弹阵地和和81架架飞机，，而以色色列战机机无一损损失。1991年初的的海湾战战争，多多国部队队把电子子战推向向更高级级阶段。。按照综合电子子战的思想，，实施电电子战信信息的综综合利用用，电子子战资源源的综合合控制与与和管理理，对敌敌方作战战指挥系系统的关关键性薄薄弱环节节实施系系统对抗抗和体系系对抗，，全面瘫瘫痪了伊伊拉克的的作战指指挥系统统和战略略防空体体系，以以最小的的代价获获取了战战争的胜胜利。美美军在战战争中使使用了隐隐形飞机机和微波波炸弹等等新电子子战手段段，增加加了电子子战的威威力。现在，电电子战已已发展到到综合电子子战阶段。3、电子子战分类类分为电子子侦察、、电子攻攻击和电电子防护护。1）电子子侦察：：用于获取取战略、、战术电电磁情报报，是实实施电子子攻击与与防护的的前提。。情报包包括信号号情报、、威胁告告警和测测向定位位。信号情报报包括电电子情报报与通信信情报，，前者了了解敌电电磁辐射射源的参参数、位位置等；；后者获获取通信信电台的的参数与与位置等等信息。。威胁告警警：包括雷达达告警和和光电告告警，用用于实时时收集、、测量、、处理对对作战平平台有威威胁的雷雷达或光光电照射射信号，，并及时时向平台台操作人人员发射射报警信信息，以以便及时时采取措措施规避避。测向定位位：包括雷达达、通信信和光电电测向定定位，用用于支援援电子干干扰的角角度引导导和反辐辐射攻击击引导。。2）电子子进攻用于阻止止敌人有有效利用用电磁频频谱，使使敌方不不能有效效地获取取、传输输和利用用电子信信息，影影响、延延缓或破破坏其指指挥决策策过程和和精确制制导武器器的运用用。电子子攻击分分为自卫性电电子战和进攻性电电子战。自卫性电电子战应用于自自卫电子子干扰、、电子欺欺骗和隐隐身技术术，保护护平台或或军事目目标免遭遭敌精确确制导武武器的攻攻击。后者应用用支援电电子干扰扰、反辐辐射武器器和定向向能武器器，攻击击敌方的的防御体体系。电子干扰扰：发射或反反射特定定的电子子信号，，扰乱或或破坏敌敌方电子子设备的的工作，，包含雷雷达干扰扰、通信信干扰、、光电干干扰和对对其他电电子装备备的干扰扰措施。。反辐射武武器和定定向能武武器：摧毁敌方方的电子子设备或或武器平平台。电子欺骗骗：向敌方接接收设备备传送错错误的电电磁信息息。包括括电子伪伪装、模模拟和假假冒。反隐身：：反隐身是是针对隐隐身目标标的特点点，采用用低波段段雷达、、多基雷雷达、无无源探测测等手段段探测隐隐身目标标。3）电子防护护是保证己方电电子设备有效效利用电磁频频谱的行动，，保障己方指指挥和武器不不受敌方电子子进攻的影响响。包括电子子抗干扰、电电磁加固、频频谱管理、信信号保密、反反隐身及其他他电子防护技技术与方法。。电子抗干扰：：包括雷达、通通信等各种专专用的抗干扰扰技术与方法法。电磁加固：采采用电磁屏蔽蔽，大功率保保护等措施来来防止敌方高高能武器对我我方电子设备备的毁伤。频率分配(频频谱管理)：：协调己方电电子设备与电电子战设备的的工作频率，，防止己方设设备之间互相相干扰或被己己方电子战设设备干扰。信号保密：跳跳频、扩频和和加密等措施施。隐身：包括有有源和无源隐隐身其他电子防护护技术：如诱诱饵诱骗反辐辐射导弹，无无线电静默，，组网反点源源干扰等。电子战内容小小结电子进攻：电子干扰、反反辐射攻击、、定向能攻击击、电子欺骗骗，反隐身电子侦察：信号情报，威威胁告警，测测向定位；电子防护：抗干扰，电磁磁加固，频率率分配(管理理)，信号保保密，反隐身身，其他电子子防护技术等等。四、信息安全全领域的发展展1、单机安全全与数据保密密阶段2、网络信息息安全阶段3、信息保障障阶段信息安全的最最根本属性是是防御性的，主要目的是是防止己方信信息的完整性性、保密性与与可用性遭到到破坏。信息安全的概概念与技术是是随着人们的的需求、随着着计算机、通通信与网络等等信息技术的的发展而不断断发展的。1、单机安全全与数据保密密阶段几千年前，人人类就会使用用加密的办法法传递信息。。1988年莫莫里斯“蠕虫虫”事件是分分界线信息保密技术术的研究成果果主要有两类类：1)发展各各种密码算法法及其应用，，2)信息安安全理论、安安全模型和安安全评价准则则。主要开发的密密码算法有：：DES：1977年美国国家标标准局采纳的的分组加密算算法DES（数据加密标准准）。DES是密码学历史史上的一个创创举，也是运运用最广泛的的一种算法。。IDEA：国际数据加密密算法，是对对DES的改进算法。。RSA：双密钥的公开开密钥体制，，该体制是根根据1976年Diffie，Hellman在“密码学新新方向”开创创性论文中提提出来的思想想由Rivest，Shamir，Adleman三个人创造的的1985年N.koblitz和V.Miller提出了椭圆曲曲线离散对数数密码体制（（ECC）。该体制的优点点是可以利用用更小规模的的软件、硬件件实现有限域域上同类体制制的相同安全全性。还创造出一批批用于实现数数据完整性和和数字签名的的杂凑函数。。如，数字指指纹、消息摘摘要（MD）、安全杂凑算法法（SHA——用于数字签名名的标准算法法）等，当然然，其中有的的算法是90年代中提出出的。在七、八十年年代期间，重重点研究：单机信息系统统安全理论保护系统安全全模型安全性评价准准则安全操作系统统设计与实现现信息系统安全全理论安全控制理论论：三大控制制理论1）访问控制制：基于访问问矩阵与访问问监控器2）信息流控控制：基于数数学的格理论论3）推理控制制：基于逻辑辑推理，防数数据库泄漏安全操作系统统的设计方法法：安全核技术，，分层结构，，环型结构信息系统安全全模型访问矩阵与监监控器模型信息流多级安安全模型，基基于格理论。。1）保密性模模型（BLP模型）2）完整性模模型（Biba模型）3）军用安全全模型：适用用于军事部门门与政府部门。安全性评估准准则1985年美美国开发了可可信计算机系系统评估准则则（TCSEC））把计算机安全全划分为7个个等级：D，，C1，，C2，，B1，，B2，，B3，，A1为信信息息系系统统的的安安全全性性评评价价提提供供了了概概念念、、方方法法与与思思路路，，是是开开创创性性的的。。为后后来来的的通通用用评评估估准准则则（（CC标准准））打打下下基基础础2、、网网络络信信息息安安全全阶阶段段1988年年11月月3日日莫莫里里斯斯““蠕蠕虫虫””事事件件引引起起了了人人们们对对网网络络信信息息安安全全的的关关注注与与研研究究，，并并与与第第二二年年成成立立了了计计算算机机紧紧急急事事件件处处理理小小组组负负责责解解决决Internet的安安全全问问题题，，从从而而开开创创了了网网络络信信息息安安全全的的新新阶阶段段。。在该该阶阶段段中中，，除除了了采采用用和和研研究究各各种种加加密密技技术术外外，，还还开开发发了了许许多多针对对网网络络环环境境的的信信息息安安全全与与防防护护技技术术，这这些些防防护护技技术术是是以被被动动防防御御为为特特征征的的。主要要防防护护技技术术网络络安安全全扫扫描描器器。。用于于检检测测网网络络信信息息系系统统存存在在的的各各种种漏漏洞洞，，并并提提供供相相应应的的解解决决方方案案。。安全路由由器。路由器内内包含安安全性过过滤机制制，增加加认证与与与防瘫瘫痪性攻攻击的各各种措施施。安全全路由器器完成在在网络层层与传输输层的报报文过滤滤功能。。防火墙。。在内部网网与外部部网的入入口处安安装的堡堡垒主机机，在应应用层利利用代理理功能实实现对信信息流的的过滤功功能。入侵检测测系统（（IDS））。根据已知知的各种种入侵行行为的模模式判断断网络是是否遭到到入侵的的一类系系统，IDS一般也同同时具备备告警、、审计与与简单的的防御功功能。网络监控控与审计计系统。。监控内部部网络中中的各种种访问信信息流，，并对指指定条件件的事件件做审计计记录。。各种防攻攻击技术术。其中包括括漏洞防防堵、网网络防病病毒、防防木马、、防口令令破解、、防非授授权访问问等技术术当然在这这个阶段段中还开开发了许许多网络络加密、、认证、、数字签签名的算算法和信信息系统统安全评评价准则则（如CC通用评价价准则））。但这一阶阶段的主主要特征征是对于于自己部部门的网网络采用用各种被被动的防防御措施施与技术术，目的的是防止止自己内内部网络络受到攻攻击，保保护内部部网络的的信息安安全。3、信息息保障阶阶段信息保障障（IA--InformationAssurace））这一概念念最初是是由美国国国防部部长办公公室提出出来的，，后被写写入命令令《DoDDirectiveS-3600.1：InformationOperation》中，在1996年12月9日日以国防防部的名名义发表表。3、信息息保障阶阶段在这个命命令中信信息保障障被定义义为：通过确保保信息和和信息系系统的可可用性、、完整性性、可验验证性、、保密性性和不可可抵赖性性来保护护信息系系统的信信息作战战行动，，包括综综合利用用保护、、探测和和反应能能力以恢恢复系统统的功能能。1998年1月月30日日美国防防部批准准发布了了《国防防部信息息保障纲纲要》（（DIAP），并要求DoD各单位对对自己单单位的DIAP活动负责责。根据据命令的的精神，，信息保保障工作作是持续不不间断的的，它贯穿穿与平时时、危机机、冲突突及战争争期间的的全时域域。信息息保障不不仅能支支持战争争时期的的国防信信息攻防防，而且且能够满满足和平平时期国国家信息息的安全全需求。。1998年5月月美国公公布了由由国家安安全局NSA起草的1.0版版本《信信息保障障技术框框架》IATF，并要求全全国以““信息保保障”的的要求衡衡量各项项信息安安全防护护工作。。1999.8.31IATF论坛发布布了IATF2.0版本2000.9.22又又推出出了IATF3.0版本。其中定义义了对一一个系统统进行信信息保障障的过程程以及系系统中软软硬部件件的安全全需求。。遵循这些些原则，，就可以以对信息息基础设设施做到到多重保保护,实实施“纵深防卫卫策略””DiD（Defense-in-DepthStrategy），，其内涵已已经超出出了被动动的信息息安全保保密，而而是保护（Protection）、检测（Detection））、反应（Reaction）、、恢复（Restore）的有机结结合，这这就是所所谓的PDRR模型PDRR模型具有有信息安安全主动防御御的概念

恢复

反应

检测

保护信息保障PDRR模型信息保障障的技术术框架IATF信息保障障（IA）依赖于人人、技术术及运作作三者去去完成使使命（任任务），，还需要要掌握技技术与信信息基础础设施。。要获得得鲁棒（（既健壮壮）的信信息保障障状态，，需要通通过组织织机构的的信息基基础设施施的所有有层次的的协议去去实现策策略、程程序与技技术。IATF主要包含含：说明明IATF的目的与与作用（（帮助用用户确定定信息安安全需求求和实现现他们的的需求））；说明信息息基础设设施及其其边界、、IA框架的范范围及威威胁的分分类和纵纵深防御御策略DiD；；DiD的深入介介绍；信信息系统统的安全全工程过过程（ISSE）的主要内内容；各各种网络络威胁与与攻击的的反制技技术或反反措施；；信息基基础设施施、计算算环境与与飞地的的防御；；信息基础础设施的的支撑（（如密钥钥管理/公钥管管理，KMI/PKI）、检测与响响应以及及战术环环境下的的信息保保障问题题。限于于篇幅，，本节简简要介绍绍IA框架的区区域划分分和纵深深防御的的目标，，在本文文的第三三部分介介绍ISSE的主要内内容，第第四部分分介绍信信息安全全技术的的反制措措施。信息基础础设施信息基础础设施的的要素包包括网络络连接设设施和各各单位内内部包括括局域网网在内的的计算设设施。网网络连接接设施包包括由传传输服务务提供商商TSP提供专用用网（其其中还可可能包括括密网））公众网网（Internet）和通过Internet服务提供供商ISP提供信息息服务的的公用电电话网与与移动电电话网IA框架建筑筑在信息息基础设设施上IA划分为四四类区域域：1)本地计算算环境：：单位内内部的计计算机系系统或局局域网，，为用户户提供信信息处理理的平台台。2)飞地地边界：：“飞地地”是指指单位内内部某个个独立的的本地计计算环境境，这些些计算环环境的边边界称为为飞地边边界。飞飞地分为为与内部部网连接接的内部部飞地、、与专用用网连接接的专用用飞地和和与Internet连接的公公众飞地地。3）网络络及其基基础设施施：包括括专用网网、Internet和公用电电话网及及其它们们的基础础设施。。4）基础础设施的的支撑：：包括密密钥管理理/公钥钥管理（（KMI/PKI），检测与响响应等功功能。纵深防御御的策略略包括对三三种因素素的要求求与控制制人的因素素：包括培训训、了解解、物理理安全、、人员安安全、系系统安全全和行政政管理等等内容技术因素素：包括纵深深防御技技术、框框架的四四个领域域、安全全准则、、IT/IA采购、风风险评估估和确证证与认可可；操作因素素：包括评估估、监视视、入侵侵检测、、告警、、应急响响应和系系统恢复复。纵深防御御的目标标就是要解解决