[详细完整版]网络安全信息.pdf_千图网素材解析资源-CSDN文库

版权申诉

文档资料

161 浏览量 2022-07-09 12:48:25 上传评论 2 收藏 635KB PDF 举报

资源推荐

资源详情

资源评论

“信息安全导论”课程

教学大纲与学习指导

参考书目：

1、《信息安全导论》（科学出版社翟健宏编著）

2、《密码编码学与信息安全——原理与实践（第三版）》（电子工业出版社

William Stillings 著刘玉珍等译）

一、课程的性质和任务

信息安全导论课程是介绍信息安全的现状及其发展，探讨信息安全的主要技

术发展及趋势。课程主要内容包括：网络安全的体系结构及网络信息安全技术发

展情况，网络威胁与攻击分析，数据对称加密算法，公钥密码算法，硬件安全，

软件安全，操作系统安全，物理安全技术，运行安全技术，数据安全技术，内容

安全技术，以及信息安全管理等。

通过本课程的学习，让学生了解信息安全学科性质，知识体系，目前信息安

全领域存在的威胁，掌握经典的信息安全原理与当今的网络安全技术及最新发

展，并能够独立完成一些简单的安全技术设计。

二、课程基本要求

学习本课程，重点掌握：信息安全体系结构，经典密码学基础理论，身份认

证和访问控制基本原理，网络攻防技术中的防火墙、入侵检测以及病毒木马防治

等，IPSec、SSL、SET 等网络安全协议，数字版权控制以及内容监管技术，风

险管理、CC 及 BS7799 等信息安全标准，法律法规以及道德规范等内容。

学习本课程，要求学生保质保量地完成课后作业，撰写一篇综述性论文，最

后参加结课考试。其中综述性论文应由学员本人认真、独立完成，在阅读五篇相

同信息安全研究方向的五篇论文的基础上，对这五篇论文进行综述分析点评，论

文格式严格按哈工大学报格式规范要求。

三、课程基本内容

（注：课程内容主要参考《信息安全导论》科学出版社翟健宏编著）

第一章绪论

一、本章学习要点

! 了解信息安全的意义及发展

! 了解目前存在的主要安全威胁和互联网安全现状

! 了解信息安全体系结构，重点掌握相关概念

二、教学内容和重点知识解析

主要讲授：信息安全理解，信息安全威胁，互联网安全性，信息安全体系

结构等内容。

重点知识解析：

1! 信息安全理解

在讨论信息安全之前，先了解一下信息的概念。目前，对信息最普遍的定义

是“事物运动的状态与方式”，国际标准化组织 ISO 对于信息（Information）给

出如下解释：“信息是通过施加于数据上的某些约定而赋予这些数据的特定含

义”。通常我们可以把消息、信号、数据、情报和知识等都看作信息。信息本身

是无形的，借助信息介质以多种形式存在或传播。

国际标准化组织 ISO 对信息安全的定义是“在技术上和管理上为数据处理

系统建立的安全保护，保护信息系统的硬件、软件及相关数据不因偶然或者恶意

的原因遭到破坏、更改及泄露”。

在信息时代，信息安全的目的是“确保以电磁信号为主要形式的、在计算机

网络化系统中进行获取、处理、存储、传输和应用的信息内容在各个物理及逻辑

区域中的安全存在，并不发生任何侵害行为”。

在信息安全领域的流行观点是信息安全的发展大致分为通信安全

（COMSEC），信息安全（INFOSEC），信息保障（IA：Information Assurance）

三个阶段，即保密 → 保护 → 保障发展阶段。

20 世纪 90 年代以前，通信技术还不发达，面对电话、电报、传真等信息交

换过程中存在的安全问题，人们强调的主要是信息的保密性，对安全理论和技术

的研究也只侧重于密码学，这一阶段的信息安全可以简单称为通信安全，主要目

的是保障传递的信息安全，防止信源、信宿以外的对象查看信息。

20 世纪 90 年代以后，半导体和集成电路技术的飞速发展推动了计算机软硬

件的发展，计算机和网络技术的应用进入了实用化和规模化阶段，人们对安全的

关注已经逐渐扩展为以保密性、完整性和可用性为目标的信息安全阶段

((INFOSEC ，Information Security)，具有代表性的成果就是美国的 TCSEC 和欧

洲的 ITSEC 测评标准。同时出现了防火墙、入侵检测、漏洞扫描及 VPN 等网络

安全技术，这一阶段的信息安全可以归纳为对信息系统的保护，主要保证信息的

机密性、完整性、可用性、可控性、不可否认性。

1996 年美国国防部提出了信息保障的概念，标志着信息安全进入了一个全

新的发展阶段。随着互联网的飞速发展，信息安全不再局限于对信息的静态保护，

而需要对整个信息和信息系统进行保护和防御。美国人提出了信息保障主要包括

保护（Protect）、检测（Detect）、反应（React）、恢复（Restore）四个方面，其

目的是动态地、全方位地保护信息系统。

在信息保障的概念中，人、技术和管理被称为信息保障三大要素。人是信息

保障的基础，信息系统是人建立的，同时也是为人服务的，受人的行为影响。因

此，信息保障依靠专业知识强、安全意识高的专业人员。技术是信息保障的核心，

任何信息系统都势必存在一些安全隐患，因此，必须正视威胁和攻击，依靠先进

的信息安全技术，综合分析安全风险，实施适当的安全防护措施，达到保护信息

系统的目的。管理是信息保障的关键，没有完善的信息安全管理规章制度及法律

法规，就无法保障信息安全。每个信息安全专业人员都应该遵守有关的规章制度

及法律法规，保证信息系统的安全；每个使用者同样需要遵守相关制度及法律法

规，在许可的范围内合理地使用信息系统，这样才能保证信息系统的安全。

2! 信息安全威胁

信息资产（有价值的信息）的存在形式多种多样，有书籍、文件、硬件、软

件、代码、服务等形式，总体上可分为有形和无形两类，都具有一定的价值属性。

安全威胁主要源于对信息资产的直接或间接的、主动或被动的侵害企图。

信息的安全属性主要包括机密性、完整性、可用性、可控性、不可否认性等。

信息安全威胁也是针对这些属性而存在的。

（1）信息泄露

信息被有意或无意泄露给某个非授权的实体。此项威胁主要破坏了信息的机

密性，例如利用电磁泄露或者其他窃听方式截获信息，破解传输或存储的密文信

息，通过谍报人员直接得到敌方的情报等行为均属于信息泄露。

（2）信息伪造

某个未授权的实体冒充其他实体发布信息，或者从事其他网络行为。此项威

胁主要破坏信息的真实性和不可否认性，例如在网络上冒充他人发布假消息，盗

用他人身份进行网络资源访问。

（3）完整性破坏

以非法手段窃取信息的控制权，未经授权对信息进行修改、插入、删除等操

作，使信息内容发生不应有的变化。此项攻击主要破坏信息的完整性，例如篡改

电子文档、伪造图片、伪造签名等行为。

（4）业务否决或拒绝服务

攻击者通过对信息系统进行过量的、非法的访问操作使信息系统超载或崩

溃，从而无法正常进行业务或提供服务，简单地讲，当一个实体的非法操作妨碍

了其他的实体完成其正当操作的时候便发生服务拒绝。此项攻击主要破坏信息系

统的可用性，例如大量的垃圾邮件会使邮件服务器无法正常合法用户提供服务。

（5）未经授权访问

某个未经授权的实体非法访问信息资源，或者授权实体超越其权限访问信息

资源。此项攻击主要破坏信息的可控性，例如有意避开信息系统的访问控制，对

信息资源进行非法操作；通过非法手段擅自提升或扩大权限，越权访问信息资源。

对于信息来说，面临的威胁可能来自针对物理环境、通信链路、网络系统、

操作系统、应用系统以及管理系统等方面的破坏，一般与环境密切相关，其危险

性随环境的变化而变化。下面给出一些常见的信息安全威胁。

" 攻击原始资料

" 破坏基础设施

" 攻击信息系统

" 攻击信息传输

" 恶意伪造

" 自身失误

" 内部攻击

3! 互联网安全性

从广义上看，互联网安全不仅影响普通网民的信息和数据的安全性，而且全

面渗透到国家的政治、经济、军事、社会稳定等各个领域，严重的影响一个国家

的健康发展。

（1）网络安全与政治

政府网络发展迅速，国家的电子政务工程也在全国启动，网络已经成为我国

政府的重要业务平台，政府网站已经成为国家形象代表的组成部分。而近几年政

府网站多次遭受到了黑客攻击。

（2）网络安全与经济

一个国家越发达、信息化程度越高，整个国民经济对信息资源和信息基础设

施的依赖程度也越高。然而，随着信息化的发展，计算机病毒、网络攻击、垃圾

邮件、系统漏洞、网络窃密、虚假有害信息和网络违法犯罪等问题也日渐突出，

如应对不当就会给国家经济安全带来严重的影响。

（3）网络安全与军事

随着军事信息化的不断深入，信息网络技术在军事上越来越受到重视，同时

也赋予了军事战争一个全新理念。从古代到今天，战争形态产生 4 次较大的变革，

从冷兵器、热兵器、机械化，发展到现在的信息化战争，新军事变革的核心是信

息化，新军事化变革的思维概念是系统集成和技术融合，要通过较少的投入获得

最大的效益。

（4）网络安全与社会稳定

由于互联网具有虚拟性、隐蔽性、发散性、渗透性和随意性等特点，越来越

多的网民乐意通过这种渠道来表达观点、传播思想。同时，互连网的这些特点又

被一些别有用心的人加以充分利用，目前已经成为影响社会稳定的重灾区。

通过上面对互联网发展现状及安全性综述，可以发现互联网的安全问题已经

非常严重，那么究其根源，可以从三个方面来进行安全性分析和理解。

（1）互联网的设计原始背景

互联网最初是在 5 个科研教育服务超级计算机中心互连的基础上建立起来，

其总体架构和其所使用的 TCP/IP 协议的设计均在基于可信环境的前提下完成，

因此缺乏安全措施考虑也可以理解。

（2）网络传输的安全性

互联网的安全性问题不仅源于其开放性，而且与 TCP/IP 协议族的设计缺乏

安全性考虑有很大关系。

（3）信息系统的安全性

信息系统作为网络服务的提供者，它的安全性实际上是互联网络的核心问

题，各种网络安全威胁事件均以控制各个信息系统为的最终目的。对信息系统的

威胁主要源自以下三个方面。

首先，基础网络应用成为黑客及病毒的攻击重点。

其次，系统漏洞带来的安全问题异常突出。漏洞是在硬件、软件、协议的具

体实现或系统安全策略上存在的缺陷，它可以使攻击者能够在未授权的情况下访

问或破坏系统。漏洞会影响到很多软硬件设备，包括操作系统本身及其支撑软件、

网络客户和服务器软件，网络路由器和安全防火墙等。

再次，Web 程序安全漏洞愈演愈烈。由于 Web 程序员的疏漏，存在代码注

入漏洞的网站越来越多，这也成为当前入侵者入侵服务器的主要途径。

此外，社会工程学攻击也越来越多地引起人们的关注。所谓“社会工程学攻

击”就是利用人类的心理弱点，骗取网络使用者的信任，获取机密信息及系统设

置等机密资料，为黑客攻击和病毒感染创造有利条件。

4! 信息安全体系结构

（1）面向目标的知识体系结构

信息安全通常强调所谓 CIA 三元组实际上是信息安全的三个最基本的目标，

即机密性（Confidentiality）、完整性（Integrity）和可用性（Availability）。CIA 概

念的阐述源自信息技术安全评估标准（Information Technology Security Evaluation

Criteria，ITSEC），它也是信息安全的基本要素和安全建设所应遵循的基本原则。

围绕这三个基本目标逐步展开，可以完成对信息安全知识领域的涵盖。

除了 CIA，信息安全还有一些其他原则，包括可追溯性（Accountability）、

抗抵赖性（Non-repudiation）、真实性（Authenticity）、可控性（Controllable）等，

这些都是对 CIA 原则的细化、补充或加强。

与 CIA 三元组相反的有一个 DAD 三元组的概念，即泄漏（Disclosure）、篡

改（Alteration）和破坏（Destruction），实际上 DAD 就是信息安全面临的最普

遍的三类风险，是信息安全实践活动最终应该解决的问题。

（2）面向应用的层次型技术体系架构

信息系统的基本要素为人员、信息、系统，也可以看作三个组成部分。如图

1.4 所示，针对三个不同部分存在五个的安全层次与之对应，分别为系统部分对

应物理安全和运行安全，信息部分对应数据安全和内容安全，而人员部分的安全

需要通过管理安全来保证。如图 1.4 所示，五个层次存在着一定的顺序关系，每

个层次均为其上层提供基础安全保证，没有下层的安全，上层安全无从谈起。同

时，各个安全层次均依靠相应的安全技术来提供保障，这些技术从多角度全方位

人

员

信

息

系

统

管

理

安

全

内

容

安

全

数

据

安

全

运

行

安

全

物

理

安

全

图1.4 面向应用的层次型信息安全技术体系结构

基

础

剩余28页未读，继续阅读

评论收藏

内容反馈

版权申诉

是空空呀

粉丝: 170
资源: 3万+

[详细完整版]网络安全信息.pdf

(完整word版)网络信息安全规划方案.pdf

[详细完整版]网络安全.pdf

[详细完整版]网络安全手册.pdf

[详细完整版]网络安全技术.pdf

网络信息内容安全.pdf

安全认证cisp教材全套

OpenSSL*与网络*信息安全--完整版

[详细完整版]信息安全技术.pdf

信息安全系列报告-量子通信.pdf

OpenSSL与网络信息安全——基础、结构和指令.pdf

(完整版)网络安全加固最新解决方案.pdf

网络安全应急处置工作流程完整优秀版 (2).pdf

(完整版)三级等保,安全管理制度,信息安全管理策略.pdf

(完整版)网络与信息安全保障措施(完整版).pdf

信息安全管理.pdf

信息安全与务实pdf

1.信息安全基础知识.pdf

密码学与信息安全(pdf格式)

2019年5月信息安全.pdf

信息安全-信息系统安全等级保护基本要求1.0.pdf

西电网络与信息安全学院《信息安全数学基础》专业课完整课件

中国信息安全2018年第1期.pdf

信息安全工程 (中文第1版)

信息安全技术

[详细完整版]网络安全管理.pdf

(完整版)网络安全等级保护2.0-通用要求-表格版.pdf

[详细完整版]网络空间安全.pdf

[详细完整版]网络安全作业.pdf

网络信息安全评估报告完整版.pdf

最新资源

OpenSSL与网络信息安全--完整版