计算机导论 课件 ch09 信息安全技术基础

信息安全技术基础第九章计算机导论职业教育计算机类专业系列教材01PARTONE信息安全技术概述信息安全的概念信息安全是指信息系统（包括硬件、软件、数据、物理环境及其基础设施等）受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，保障信息服务不中断，系统能够连续、可靠、正常地运行。信息安全技术是保障用户的计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、泄露，从技术上对数据处理系统采取的安全保护措施。信息安全学科可分为狭义安全与广义安全两个层次。狭义信息安全学科是研究以密码学为基础，辅以计算机技术、通信网络技术与编程等方面的内容；广义信息安全是一门综合性学科，对狭义信息安全技术进行了延伸，信息安全不再是单纯的技术问题，而是将其与管理、法律等相结合，希望培养能够从事计算机、通信、电子商务、电子政务、电子金融等领域的信息安全高级专门人才。信息安全的研究内容信息安全本身包括的范围很广，如包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。简要而言，信息安全主要包括以下五方面的内容：信息的保密性、真实性、完整性、未授权复制和信息系统的安全性。构建网络环境下的信息安全体系是保证信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制（数字签名、消息认证、数据加密等），以及安全系统，如UniNAC、DLP等，只要存在安全漏洞便可能威胁全局安全。信息安全的目标与原则信息安全的目标所有的信息安全技术都是为了保证信息免受各种威胁，其核心包括保密性、完整性、可用性、可控性和不可否认性五个安全目标。保密性（Confidentiality）是指阻止非授权的用户阅读信息，它是信息安全一诞生就具有的特性，也是信息安全主要的研究内容之一。

更通俗地讲，保密性就是指未获取阅读资格的用户不能够浏览敏感信息。

对于纸质文档信息，人们只需要保护好文件，不被非授权者接触即可；而对于计算机中存储的信息

和网络环境中的信息，不仅要制止非授权者对信息的阅读，还要阻止授权者将其访问的信息传递给

非授权者，防止信息泄露。完整性（Integrity）是指信息在传输、交换、存储和处理的过程中防止信息被未经授权的用户篡改，保障信息保持原始的状态，使其保持真实性。

如果信息被蓄意地修改、插入、删除，则形成的虚假信息将带来严重的后果。信息安全的目标与原则可用性（Availability）是指授权主体在需要信息时能及时得到服务的能力。可用性是在信息安全保护阶段对信息安全提出的新要求，也是在网络化空间中必须满足的一项信息安全要求。可控性（Controlability）是指对信息和信息系统实施安全监控管理，防止非法利用信息和信息系统。不可否认性（Non-repudiation）是指在网络环境中，信息交换的双方不能否认其在交换过程中发送信息或接收信息的行为。信息安全的目标所有的信息安全技术都是为了保证信息免受各种威胁，其核心包括保密性、完整性、可用性、可控性和不可否认性五个安全目标。计算机网络简介信息安全的原则为了达到信息安全的目标，各种信息安全技术的使用必须遵守一些基本原则。01受保护的敏感信息只能在一定范围内被共享，履行工作职责和职能的安全主体在法律和相关安全策略允许的前提下，为满足工作需要，仅被授予其访问信息的适当权限，称为最小化原则。最小化原则对敏感信息的“知情权”加以限制，只在“满足工作需要”的前提下限制性地开放“知情权”。最小化原则可以细分为知所必须（NeedtoKnow）和用所必须（NeedtoUse）的原则。最小化原则计算机网络简介02在信息系统中，对所有权限应该进行适当地划分，使每个授权主体只能拥有其中的一部分权限，使他们之间相互制约、相互监督，共同保证信息系统的安全。如果一个授权主体分配的权限过大，无人监督和制约，就隐含了“滥用权力”“一言九鼎”的安全隐患。分权制衡原则03隔离和控制是实现信息安全的基本方法，而隔离是进行控制的基础。信息安全的一个基本策略就是将信息的主体与客体分离，按照一定的安全策略，在可控和安全的前提下实施主体对客体的访问。安全隔离原则信息安全的原则为了达到信息安全的目标，各种信息安全技术的使用必须遵守一些基本原则。我国信息安全的发展历程我国的信息安全行业起步较晚，自20世纪末以来我国的信息安全行业经历了三个重要的发展阶段。012005年以前，国内企业用户刚刚接触信息安全，不知如何入手，属于有意识地学习和沉淀数据信息安全知识的阶段。在这一时期，一些企业、部门开展了规模较小的、零星的数据信息安全建设，但并未实现规模化和系统化。政府部门对于数据信息安全在宏观政策上的体现是呼吁较多，而具体的推进事务则比较少。凭借自身的经营和国家的重点扶持，一批较早投身于信息安全行业的代表企业在这个阶段成长起来，主要服务以防火墙、入侵检测、身份认证为主。萌芽期我国信息安全的发展历程022005—2010年，国内各行业、部门对于信息安全建设的需求由“自发”走向“自觉”。在基本了解信息安全的建设内容与重要意义的基础上，很多行业部门开始对内部信息安全建设展开规划与部署，企业领导高度重视，投资力度不断加大。由此，信息安全成为这一阶段企业信息化建设的重中之重。成长期032010年以后，我国信息安全技术已经从单纯的防御阶段发展到防护结合阶段，产业规模逐步扩张，市场对信息安全产品和服务的需求持续增长。政府重视和政策扶持不断推动我国信息安全产业的快速发展。在这个阶段，出现了一批专门从事信息安全基础研究、技术开发与技术服务工作的研究机构与高科技企业，形成了我国信息安全产业的雏形。但是，我国专门从事信息安全工作的技术人才严重短缺，阻碍了我国信息安全事业的发展。近年来，在国家政策的激励下，这种情况正在逐步改善。成熟期我国的信息安全行业起步较晚，自20世纪末以来我国的信息安全行业经历了三个重要的发展阶段。2PARTTWO安全威胁主动攻击主动攻击是指更改信息和拒绝用户使用资源的攻击，其会导致某些数据流的篡改和虚假数据流的产生。主动攻击可以细分为篡改信息、伪造信息数据和拒绝服务。01篡改信息是指一个合法信息的某些部分被改变、删除，信息被延迟或改变顺序，通常用以产生一个未授权的效果。例如，修改传输信息中的数据，将“允许甲执行操作”改为“允许乙执行操作”就是一种典型的篡改行为。篡改信息02伪造信息数据指的是某个实体（人或系统）发出含有其他实体身份信息的数据信息，假扮成其他实体与目标对象进行对话，从而以欺骗方式获取一些合法用户的权利和特权的行为。伪造信息数据03拒绝服务即常说的DoS（DenialofService），其会导致对通信设备正常使用或管理被无条件地中断。通常，DoS是对整个网络实施破坏，以达到耗费资源、降低性能、中断服务的目的。DoS可能有一个特定的目标，如发送到某一特定目的地（如安全审计服务结点）的所有数据包都被拒绝执行。拒绝服务被动攻击被动攻击是指攻击者不对数据信息做任何修改，在未经用户同意和认可的情况下，截获信息或相关数据的行为。其通常包括流量分析、窃听、破解弱加密的数据流等攻击方式。01攻击者通过观察截取的数据包的方式，分析出通信双方的位置、通信的次数及消息的长度，获知相关敏感信息，这种攻击方式称为流量分析。流量分析攻击方式一般应用于一些特殊场合，如敏感信息都是加密信息，攻击者无法从截获的信息中得到信息的真实内容，但是可以通过流量分析获知通信方的位置。流量分析02窃听又称截取，是最常用的被动式攻击手段。目前应用广泛的局域网是通过广播方式进行数据传输的，而广播方式使一台主机有可能收到本子网上传输的所有信息。当计算机的网卡工作在接收模式时，它就可以将网络上传输的所有信息传输到网络层，以便进一步分析。即使有时不能通过电磁信号全部恢复数据信息，还是可能得到极有价值的情报的。窃听3PARTTHREE常用信息安全技术计算机网络简介身份认证身份认证是在计算机网络中确认操作者身份而产生的有效解决方法，是证实主体的真实身份与其所声称的身份是否相符的过程。身份认证可分为用户与主机间的认证和主机与主机之间的认证。身份认证技术用于确保以数字身份进行操作的操作者即为这个数字身份的合法拥有者，也就是说，保证操作者的物理身份与数字身份相对应。作为保护网络资源的第一道关卡，身份认证有着举足轻重的作用。在真实世界，对用户进行身份认证的基本方法可以分为以下三种。01基于信息秘密的身份认证。根据所知道的信息来证明身份（whatyouknow，你知道什么）。02基于信任物体的身份认证。根据所拥有的东西来证明身份（whatyouhave，你有什么）。03基于生物特征的身份认证。直接根据独一无二的身体特征来证明身份（whoyouare，你是谁），如指纹、面貌等。加解密技术加解密技术包括两部分：密钥和算法。密钥是用来对数据进行编码和解密的一串数字，而算法是将普通的信息或者可以理解的信息与密钥结合，产生不可理解的密文的步骤。在安全保密中，可通过适当的密钥加密技术和管理机制来保证网络的信息通信安全。01对称加密算法采用了对称密码编码技术，它的特点是文件加密和解密使用相同的密钥，即加密密钥也可以用作解密密钥。对称加密算法具有算法公开、计算量小、加密速度快、加密效率高且破译困难等优点，常见的对称加密算法主要有DES、三重DES和AES。对称加密算法02与对称加密算法不同，非对称加密算法需要两个密钥：公开密钥（PublicKey）和私有密钥（PrivateKey）。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法称为非对称加密算法。非对称加密算法4PARTFOUR信息安全防范原则加解密技术实现信息安全，保证信息不受到非法的侵害，不能只依靠先进的技术，还要依靠严格的安全管理、法律约束和安全教育。为此，人们需要制定一系列的信息安全防范原则。01能够自动识别计算机所运行的涉密数据，并自动强制地对所有涉密数据进行加密操作，而不需要人的参与，体现了安全面前人人平等，从根源解决信息泄密问题。文档加密02用户对自身面临的威胁进行风险评估，决定其所需要的安全服务种类，选择相应的安全机制，然后集成先进的安全技术，形成一个全方位的安全系统。先进的信息安全技术03各计算机网络使用机构、企业和单位应建立相应的网络安全管理办法，加强内部管理，建立合适的网络安全管理系统，加强用户管理和授权管理，建立安全