信息系统安全学习笔记

一绪论基本概念：信息系统安全：重点关注信息安全和信息系统安全的区别信息系统安全的三个角度：基于通信保密、基于系统防护、基于信息保障信息系统安全的构成要素信息系统面临的安全威胁信息系统自身的脆弱性基本原

一绪论 基本概念： 信息系统安全：重点关注信息安全和信息系统安全的区别 信息系统安全的三个角度：基于通信保密、基于系统防护、基于信息保障 信息系统安全的构成要素 信息系统面临的安全威胁 信息系统自身的脆弱性 基本原理： 信息系统的架构模型 信息系统安全体系 信息系统：是提供数据密集型用途的硬件和软件 信息系统的构成要素 一主体包括各类用户、支持人员以及技术管理和行政管理人员，人既是管理者，也是被管 I 理者 I 一客体以计算机、网络互联设备、传输介质、信息内容及其操作系统、通信 协议和应用程序所构成的物理的、逻辑的完整体系 是被管理、被控制的对象 I —环境系统稳定、•靠运行所需的保障体系，包括建筑物、机房、动力保障与备份及应急 恢复体系 nJ 系统风险主要来自 是指对于信息系统的组成要素及其功能造成某种损害的潜在 可能。 系统可能遭受的各种威胁 I— ＞＞按照来源：自然灾害威胁滥用性威胁有意人为威胁 123 ＞〉按照作用对象一 一针对信息信息破坏 I 信息泄密 假冒或否认 针对系统对硬件和软件 I- ＞＞按照手段：信息泄露，入侵，抵赖，扫描，拒绝服务攻击，滥用 一系统本身的脆弱性 I 基于信息属性的本源性脆弱（依附性和多质性，非消耗性，可共享性/可重用性， 聚变性和增殖性，易伪性） 基于系统复杂性的结构性脆弱 基于攻防不对称性的普通性脆弱 基于网络的开放和数据库共享的应用性脆弱 系统对于威胁的失策 I— 信息系统脆弱性的表现 一硬件组件多来源于设计，主要表现为物理安全方面问题。 I 一软件组件 I 网络和通信协议协议族本身的缺陷 I—TCP/IP （缺乏对用户身份的鉴别，缺乏对路由协议的鉴别认证，的缺陷） TCP/LDP