返回
信息系统安全引论

信息系统安全引论

ID:41351254

大小:1.99 MB

页数:51页

时间:2019-08-22

信息系统安全引论_第1页
信息系统安全引论_第2页
信息系统安全引论_第3页
信息系统安全引论_第4页
信息系统安全引论_第5页
资源描述:

《信息系统安全引论》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、张基温编著信息系统安全教程基本内容引论数据保密认证——数据认证、身份认证访问控制入侵与攻击网络防卫安全管理引论信息系统安全风险信息系统安全概念信息系统安全体系0.1信息系统风险系统风险是指系统遭受意外损失的可能性,它主要来自系统可能遭受的各种威胁、系统本身的脆弱性以及系统对于威胁的失策。信息已经有种多的解释认识论:把信息看作不确定性的减少或传递中的知识差(degreeofknowledge)哲学界:信息是以传递知识差的形式来减少不确定性、增加系统有序度的资源。0.1.1信息系统及其重要性信息系统信息系统就是一种减少不确定性、减少风险的工具。信息系统就是一种开发

2、信息资源的工具,是信息以及用于信息的采集、传输、存储、管理、检索和利用等工具的有机整体。0.1.2信息系统安全的威胁信息系统安全威胁(thread)是指对于信息系统的组成要素及其功能造成某种损害的潜在可能。按照来源的信息系统威胁(1)自然灾害威胁(2)滥用性威胁(3)有意人为威胁按照作用对象的信息系统威胁(1)针对信息的威胁机密性(confidentiality)完整性(integrity)可用性(availability)真实性(authenticity)因此,针对信息(资源)的威胁可以归结为三类:信息破坏:非法取得信息的使用权,删除、修改、插入、恶意添加或

3、重发某些数据,以影响信息正常用户的正常使用。信息泄密:故意或偶然地非法侦收、截获、分析某些信息系统中的信息,造成系统数据泄密。假冒或否认:假冒某一可信任方进行通信或者对发送的数据事后予以否认。(2)针对系统的威胁包括对系统硬件的威胁和对系统软件的威胁。按照手段的信息系统威胁(1)信息泄露·在传输中被利用电磁辐射或搭接线路的方式窃取;·授权者向未授权者泄露·存储设备被盗窃或盗用;·未授权者利用利用特定的工具捕获网络中的数据流量、流向、通行频带、数据长度等数据进行分析,从中获取敏感信息。(2)扫描(scan)扫描是利用特定的软件工具向目标发送特制的数据包,对响应进

4、行分析,以了解目标网络或主机的特征。(3)入侵(intrusion)·旁路控制·假冒·口令破解·合法用户的非授权访问(4)拒绝服务(denialofservice,DoS)DoS指系统可用性因服务中断而遭到破坏。DoS攻击常常通过用户进程消耗过多的系统资源造成系统阻塞或瘫痪。(5)抵赖(否认)·发方事后否认自己曾经发送过的某些消息;·收方事后否认自己曾经收到过的某些消息;·发方事后否认自己曾经发送过的某些消息的内容;·收方事后否认自己曾经收到过的某些消息的内容。(6)滥用(misuse)·传播恶意代码·复制/重放·发布或传播不良信息0.1.3信息系统安全的脆弱

5、性信息系统脆弱性的根源(1)基于信息属性的本源性脆弱(2)基于系统复杂性的结构性脆弱(3)基于攻防不对称性的普通性脆弱基于信息属性的本源性脆弱依附性和多质性:依附于物质及其运动过程,随着它所依附的物质及其运动方式的不同,形成信息的信息的多媒体性质——多质性。非消耗性:不像物质和能量那样会在传输、存储和使用中被消耗。可共享性/可重用性:信息不像物质和能量那样具有独占性,它容易被复制、被共享。聚变性和增殖性:信息对于不确定性的减少,具有1+1不等于2的性质,即多个相关信息的一起作用可能会大于(也可能小于)单个信息被分别获取所起的作用,而且在信息的使用过程中,不仅不

6、会被消耗,还会被增殖,形成消除更多不确定性的信息。易伪性:由于多质性,使信息很容易被伪造、被篡改、被破坏。基于系统复杂性的结构性脆弱技术综合性应用的结果,使信息系统不断趋于复杂。信息系统除了技术上的复杂性外,功能的扩充和需求的扩展,使其规模也越来越大。这就是人们常说的80%的人只使用其中20%的功能。一般说来,系统规模越大、越复杂,设计、建造和管理的难度就越大,所包含漏洞就越多,系统就越脆弱。例如,一个Windows操作系统,尽管推出已经有十几年之久,但其漏洞还不断被发现。信息技术信息安全是一个多种要素的复杂集成,是一种“互动关联性”很强的安全。按照木通原理,

7、整体的脆弱性等于最薄弱处和最薄弱时刻的脆弱性,只要有一处存在安全隐患,系统就存在安全隐患;只要有1%的不安全,就等于100%的不安全;只要某个时刻表现出脆弱,系统就是全程的脆弱。基于攻防不对称性的普通性脆弱攻击可以在任意时刻发起,防御必须随时警惕;攻击可以选择一个薄弱点进行,防御必须全线设防;攻击包含了对未知缺陷的探测,防御只能对已知的攻击防御;攻击常在暗处,具隐蔽性,防御常在明处,表面看起来完美,使人容易疏忽,丧失警惕;攻击可以肆意进行,防御必须遵循一定的规则。基于网络的开放和数据库共享的应用性脆弱现代信息系统是基于信息处理和信息传输技术的。现代信息处理重要

8、支撑技术是数据库技术,现代通信技术的支

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。