2005年12月22号信息安全体系及相关标准信息安全体系及相关标准报告人：报告人：王宝会信息产业部信息化专家信息的定义一般认为，信息是关于客观事实的可通讯的知识。这是因为：第一，信息是客观世界各种事物的特征的反映。这些特征包括事物的有关属性状态，如时间、地点、程度和方式等等。第二，信息是可以通讯的。大量的信息需要通过各种仪器设备获得。第三，信息形成知识。人们正是通过人类社会留下的各种形式的信息来认识事物、区别事物和改造世界的。信息是有价值的信息的价值=使用信息所获得的收益─获取信息所用成本所以信息具备了安全的保护特性信息安全的定义•国际标准化组织(ISO)的定义为：“为数据处理系统建立和采用的技术和管•理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭•到破坏、更改和泄露”。•从几个方面来考虑安全•本质上讲：保护——网络系统的硬件，软件，数据•防止——系统和数据遭受破坏，更改，泄露•保证——系统连续可靠正常地运行，服务不中断•广义上讲：领域——涉及到网络信息的保密性，完整性，可•用性，真实性，可控性的相关技术和理论•两个方面：技术方面——防止外部用户的非法入侵•管理方面——内部员工的教育和管理•提高人员的安全意识为什么研究信息安全?•“我们力图保护的是些什么资源？”答案并不总是明确的。•一个打算破坏或冒领一台主机的黑客通常将对该主机全部资源进行访问：•例如访问文件、存储设备、电话线等。•某些黑客最感兴趣的是滥用主机名，而对主机专门资源并不感兴趣，•他们利用这些主机名，暗渡陈仓，向外连接其他可能更感兴趣的目标。•有些人可能对机器中的数据感兴趣，不管它们是否是公司的敏感材料或•政府机密。为什么研究信息安全?•“计算机系统必须防范谁”？•使用调制解调器侵入我们的一般网络系统•增强口令安全性•搭线窃听和密码分析，监视计算机和电缆的电子发射，甚至瞄准•计算机房的“暗箱操作”侵入重要的情报部门网络系统•？为什么研究信息安全?•“你能在安全方面付出多大代价？”•安全问题的部分代价是直接的财政开支，诸如建立防火墙网关需要额外•的路由器和计算机。通常，容易忽视设置和运行网关的管理费用。而且•还有一些更微妙的开支：方便性、生产性甚至道德问题引起的开支。•过分的安全性可能像过低的安全性一样有害过度追求安全性可能在系统的•其它方面造成负面效应，例如使用的便利性。据联邦调...