资源描述
,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,黄石职业技术学院电子信息工程系,计算机网络安全,信息安全概述,课程导论,什么是信息,通过在数据上施加某些约定而赋予这些数据的特殊含义,(,GMITS,),通常我们把信息理解为消息、信号、数据、情报和知识等,信息是无形的,可借助多种介质存储和传递,对现代企业而言,信息是宝贵的资源和资产,信息是一种资产,像其他的业务资产一样对企业具有价值,因此要妥善加以保护,(,BS7799,),哪些是信息,网络上的数据,纸质文件,软件,物理环境,人员,设备,公司形象和声誉,信息的分类,按照人、组织结构划分,按照信息媒体划分,按照信息内容划分,按照直接处理系统划分,信息的处理方式,磁盘意外损坏,光盘意外损坏,磁带被意外盗走,导致数据丢失,导致数据无法访问,信息系统的弱点,信息存储的弱点,信息系统的弱点,信息传输的弱点,搭线窃听信息,总部,下属机构,黑客,信息泄密,信息被篡改,Internet,企业网络,非法用户,非法登录,合法用户,越权访问,信息系统的弱点,计算机网络,信息被越权访问,信息被非授权访问,信息系统的弱点,信息安全漏洞体现在以下几个方面:,a.,系统存在安全方面的问题。,b.,非法用户得以获得访问权。,c.,合法用户越级访问。,d.,系统受到攻击。,信息安全漏洞体现在以下几个方面,:,a.,网络协议的安全漏洞。,b.,操作系统的安全漏洞。,c.,应用程序的安全漏洞。,信息系统的弱点,漏洞的危害等级,A,级:允许恶意入侵者访问并可能破坏整个目标系统。,B,级:允许本地用户提高访问权限,并可能使其获得系统控制,的漏洞。,C,级:允许用户中断或阻断漏洞。,漏洞产生的原因,1.,系统或软件设计中存在缺陷。,2.,技术实现不充分。,3.,配置管理或使用不当。,ISO,对具体的威胁定义,伪装,(pseudonym),:,非法连接,(illegal association),:,非授权访问,(no-authorized access),:,拒绝服务,(denial of service),:,信息泄露,(leakage of information),:,改变信息流,(invalid message sequencing),篡改或破坏数据,(data modification or destruction),非法篡改,(illegal modification of programs),:,什么是信息安全,信息安全,InfoSec,:,信息安全,InfoSec(Information Security),的任务,就是要采取措施,(,技术手段及有效管理,),让这些信息资产免遭威胁,或者将威胁带来的后果降到最低程度,以此维护组织的正常运作。,信息安全,CIA,模型,信息安全体系结构,Action,plan,do,check,建立安全体系的过程,信息安全设计基本原则,木桶原则,也称“短板效应”,只重技术,轻管理也不能实现信息安全。,多重保护原则,注重安全层次和安全级别,动态化原则,预防为主的原则,企业安全防护体系,人,制度,技术,安全防护体系,人,制度,技术,
展开阅读全文