信息安全专业介绍 An Introduction to Specialty in Information Security 方贤进博土/教授 http://star.aust.edu.cn//xjfang/ Email:xifang@aust.edu.cn 2021年1月26日
信息安全专业介绍 An Introduction to Specialty in Information Security 方贤进 博士/教授 http://star.aust.edu.cn/~xjfang/ Email: xjfang@aust.edu.cn 2021年1月26日
什么是信息安全?
一、什么是信息安全?
什么是信息安全? 背景:无论在计算机上存储、处理和应用 还是在通信网络上传输,信息都可能被非授 权访问而导致泄密,被篡改破坏而导致不完 整,被冒充替换而导致否认也可能被阻塞 拦截而导致无法存取。这些破坏可能是有意 的,如黑客攻击、病毒崽染;也可能是无意 的,如误操作、程序错误等
什么是信息安全? 背景:无论在计算机上存储、处理和应用, 还是在通信网络上传输,信息都可能被非授 权访问而导致泄密,被篡改破坏而导致不完 整,被冒充替换而导致否认,也可能被阻塞 拦截而导致无法存取。这些破坏可能是有意 的,如黑客攻击、病毒感染;也可能是无意 的,如误操作、程序错误等
什么是信息安全? 从作用点角度看信息安全(层次): 口国标《计算机信息系统安全保护等级划分准则》 定义:“计算机信息人机系统安全的目标是着力于 实体安全、运行安全、信息安全和人员安全维护。 安全保护的直接对象是计算机信息系统,实现安全 保护的关键因素是人”。 口部标《计算机信息系统安全专用产品分类原则》 定是:“本标准适用于保护计算机信息系统安全 ,涉及实体安全、运行安全和信息安全三
什么是信息安全? 从作用点角度看信息安全(层次): 国标《计算机信息系统安全保护等级划分准则》 定义:“计算机信息人机系统安全的目标是着力于 实体安全、运行安全、信息安全和人员安全维护。 安全保护的直接对象是计算机信息系统,实现安全 保护的关键因素是人” 。 部标《计算机信息系统安全专用产品分类原则》 定义是:“本标准适用于保护计算机信息系统安全 专用产品,涉及实体安全、运行安全和信息安全三 个方面
什么是信息安全? 从目标保护角度看信息安全(属性): 口Iso17799定义:“信息安全是使信息避免一系 列威胁,保障商务的连续性,最大限度地减少商务 的损失,最大限度地获取投资和商务的回报,涉及 的是机密性、完整性、可用性。 口国际标准化委员会定义:“为数据处理系统而采 取的技术的和管理的安全保护,保护计算机硬件、 软件、数据不因偶然的或恶意的原因而遭到破坏 胜)、更改(完整性)、显露(机密性)
什么是信息安全? 从目标保护角度看信息安全(属性): ISO17799定义:“信息安全是使信息避免一系 列威胁,保障商务的连续性,最大限度地减少商务 的损失,最大限度地获取投资和商务的回报,涉及 的是机密性、完整性、可用性。 ” 国际标准化委员会定义:“为数据处理系统而采 取的技术的和管理的安全保护,保护计算机硬件、 软件、数据不因偶然的或恶意的原因而遭到破坏 (可用性)、更改(完整性)、显露(机密性)
什么是信息安全? 工TU-X.800给出的相关属性的定义: (1)机密性( Confidentiality): Prevent unauthorised disclosure of information 即使非授权用户得到信息也无法知晓信息內 容。可通过访问控制阻止非授权用户获得机 密信息,通过加密阻止非授权用户知晓信息 内容
什么是信息安全? ITU-X.800给出的相关属性的定义: (1)机密性(Confidentiality):Prevent unauthorised disclosure of information. 即使非授权用户得到信息也无法知晓信息内 容。可通过访问控制阻止非授权用户获得机 密信息,通过加密阻止非授权用户知晓信息 内容
什么是信息安全? 工TU-X.800给出的相关属性的定义: (2)完整性( ntegrity): Assurance that data received are exactly as sent by an authorized sender 通过访问控制阻止篡改行为,通过消息摘要 算法检验信息是否被篡改
什么是信息安全? ITU-X.800给出的相关属性的定义: (2)完整性(Integrity):Assurance that data received are exactly as sent by an authorized sender. 通过访问控制阻止篡改行为,通过消息摘要 算法检验信息是否被篡改
什么是信息安全? 工TU-X.800给出的相关属性的定义: (3)可用性( Availability): services should be accessible when needed and without delay 涉及物理、网络、系统、数据、应用和用户 等多方面因素
什么是信息安全? ITU-X.800给出的相关属性的定义: (3)可用性(Availability):services should be accessible when needed and without delay. 涉及物理、网络、系统、数据、应用和用户 等多方面因素
什么是信息安全? 工TU-X.800给出的相关属性的定义 (4)真实性( Authentication): assurance that the communicating entity is the one it claims to be apeer entity authentication aData-origin authentication
什么是信息安全? ITU-X.800给出的相关属性的定义: (4)真实性(Authentication): assurance that the communicating entity is the one it claims to be. peer entity authentication. Data-origin authentication
什么是信息安全? TTU-X.800给出的相关属性的定义: (5)不可抵赖性(Non- Repudiation): protection against denial by one of the parties in a communication oRigin non-repudiation: proof that the message was sent by the specified par a Destination non-repudiation: proof that the message was received by the specified party 通过数字签名( digital signature)来提供不 赖性服务
什么是信息安全? ITU-X.800给出的相关属性的定义: (5)不可抵赖性(Non-Repudiation): protection against denial by one of the parties in a communication. Origin non-repudiation:proof that the message was sent by the specified party. Destination non-repudiation:proof that the message was received by the specified party. 一般通过数字签名(digital signature)来提供不 可抵赖性服务