信息安全I(xiàn)nformationSecurity1.ppt

信息安全（Information Security）,- 第五學(xué)習(xí)小組 左思成 蘇航 陸星宇 2015-10-27,2019/7/10,第五小組-信息安全,2/35,引入：一個(gè)案例,斯諾登曝光美國(guó)工業(yè)間諜活動(dòng) 警示云服務(wù)和社交監(jiān)聽風(fēng)險(xiǎn) 2014年，美國(guó)中情局前特工愛德華斯諾登的人持續(xù)不斷地向世人再次揭露美國(guó)國(guó)家安全局、英國(guó)國(guó)家通信總局(GCHQ)以及其他政府的監(jiān)聽計(jì)劃，表明需要關(guān)注監(jiān)聽的不僅僅是那些大企業(yè)。 今年1月，斯諾登再次曝光以民主堡壘自居的美國(guó)通過互聯(lián)網(wǎng)監(jiān)聽從事工業(yè)間諜活動(dòng)。斯諾登稱，美國(guó)的工業(yè)間諜活動(dòng)所針對(duì)的不僅限于國(guó)家安全問題，而且還包括任何可能對(duì)美國(guó)有價(jià)值的工程和技術(shù)資料。此后，斯諾登相繼又爆出了使用云服務(wù)、搜索引擎和社交媒體的有關(guān)風(fēng)險(xiǎn)，暗示谷歌和臉譜都與政府勾結(jié)進(jìn)行監(jiān)聽和提供“危險(xiǎn)”服務(wù)。七月，斯諾登又指責(zé)Dropbox公司“對(duì)隱私懷有敵意”， 并是美國(guó)政府棱鏡窺探計(jì)劃的幫兇。,2019/7/10,第五小組-信息安全,3/35,主要內(nèi)容 目錄,5/35,1 信息安全 概述,信息安全是指信息系統(tǒng)（包括硬件、軟件、數(shù)據(jù)、人、物理環(huán)境及其基礎(chǔ)設(shè)施）受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷，最終實(shí)現(xiàn)業(yè)務(wù)連續(xù)性。 信息安全主要包括以下五方面的內(nèi)容，即需保證信息的保密性、真實(shí)性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的安全性。 信息安全本身包括的范圍很大，其中包括如何防范商業(yè)企業(yè)機(jī)密泄露、防范青少年對(duì)不良信息的瀏覽、個(gè)人信息的泄露等。 網(wǎng)絡(luò)環(huán)境下的信息安全體系是保證信息安全的關(guān)鍵，包括計(jì)算機(jī)安全操作系統(tǒng)、各種安全協(xié)議、安全機(jī)制（數(shù)字簽名、消息證、數(shù)據(jù)加密等）， 直至安全系統(tǒng)，如UniNAC、DLP等，只 要存在安全漏洞便可以威脅全局安全。,技術(shù)安全風(fēng)險(xiǎn)因素,人為惡意攻擊,信息安全管理薄弱,2019/7/10,第五小組-信息安全,7/35,信息面臨哪些安全威脅？,2019/7/10,第五小組-信息安全,8/35,2.1 技術(shù)安全風(fēng)險(xiǎn)因素,基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全防護(hù)能力不強(qiáng)這主要表現(xiàn)在： 重視不夠，投入不足。對(duì)信息安全基礎(chǔ)設(shè)施投入不夠，信息安全基礎(chǔ)設(shè)施缺乏有效的維護(hù)和保養(yǎng)制度，設(shè)計(jì)與建設(shè)不同步。 安全體系不完善，整體安全還十分脆弱。 關(guān)鍵領(lǐng)域缺乏自主產(chǎn)品，高端產(chǎn)品嚴(yán)重依賴國(guó)外，無形埋下了安全隱患。 失泄密隱患嚴(yán)重。信息時(shí)代泄密途徑日益增多，比如互聯(lián)網(wǎng)泄密、手機(jī)泄密、電磁波泄密、移動(dòng)存儲(chǔ)介質(zhì)泄密等新的技術(shù)發(fā)展也給信息安全帶來新的挑戰(zhàn)。,2019/7/10,第五小組-信息安全,9/35,我國(guó)基礎(chǔ)信息網(wǎng)絡(luò)系統(tǒng)安全防護(hù)問題,我國(guó)的基礎(chǔ)網(wǎng)絡(luò)主要包括互聯(lián)網(wǎng)、電信網(wǎng)、廣播電視網(wǎng)，重要的信息系統(tǒng)包括鐵路、政府、銀行、證券、電力、民航、石油等關(guān)系國(guó)計(jì)民生的國(guó)家關(guān)鍵基礎(chǔ)設(shè)施所依賴的信息系統(tǒng)。然我們?cè)谶@些領(lǐng)域的信息安全防護(hù)工作取得了一定的成績(jī)，但是安全防護(hù)能力仍然不強(qiáng)。 我國(guó)計(jì)算機(jī)產(chǎn)品大都是國(guó)外的品牌，技術(shù)上受制于人，如果被人預(yù)先植入后門，很難發(fā)現(xiàn)，屆時(shí)造成的損失將無法估量。,2.1 技術(shù)安全風(fēng)險(xiǎn)因素,2019/7/10,第五小組-信息安全,10/35,2.2 人為惡意攻擊,人為惡意攻擊可以分為主動(dòng)攻擊和被動(dòng)攻擊。主動(dòng)攻擊的目的在于篡改系統(tǒng)中信息的內(nèi)容，以各種方式破壞信息的有效性和完整性。被動(dòng)攻擊的目的是在不影響網(wǎng)絡(luò)正常使用的情況下，進(jìn)行信息的截獲和竊取。 攻擊者常用的攻擊手段有木馬、黑客后門、網(wǎng)頁(yè)腳本、垃圾郵件等。 相對(duì)物理實(shí)體和硬件系統(tǒng)及自然災(zāi)害而言，精心設(shè)計(jì)的人為攻擊威脅最大。人的因素最為復(fù)雜，思想最為活躍，不能用靜止的方法和法律、法規(guī)加以防護(hù)，這是信息安全所面臨的最大威脅。,2019/7/10,第五小組-信息安全,11/35,人為惡意攻擊事件,熊貓燒香案,2019/7/10,第五小組-信息安全,12/35,百度被攻擊域名被劫持,2019/7/10,第五小組-信息安全,13/35,黑客進(jìn)清華官網(wǎng)假冒校長(zhǎng) 稱“中國(guó)大學(xué)教育就是往腦子灌屎”,2019/7/10,第五小組-信息安全,14/35,2.3 信息安全管理薄弱,(1) 信息泄露：保護(hù)的信息被泄露或透露給某個(gè)非授權(quán)的實(shí)體。 (2) 破壞信息的完整性：數(shù)據(jù)被非授權(quán)地進(jìn)行增刪、修改或破壞而受到損失。 (3) 拒絕服務(wù)：信息使用者對(duì)信息或其他資源的合法訪問被無條件地阻止。 (4) 非法使用(非授權(quán)訪問)：某一資源被某個(gè)非授權(quán)的人，或以非授權(quán)的方式使用。 (5) 授權(quán)侵犯：被授權(quán)以某一目的使用某一系統(tǒng)或資源的某個(gè)人，卻將此權(quán)限用于其他非授權(quán)的目的，也稱作“內(nèi)部攻擊”。,2019/7/10,第五小組-信息安全,15/35,(6) 竊聽：用各種可能的合法或非法的手段竊取系統(tǒng)中的信息資源和敏感信息。例如對(duì)通信線路中傳輸?shù)男盘?hào)搭線監(jiān)聽，或者利用通信設(shè)備在工作過程中產(chǎn)生的電磁泄露截取有用信息等。 (7) 業(yè)務(wù)流分析：通過對(duì)系統(tǒng)進(jìn)行長(zhǎng)期監(jiān)聽，利用統(tǒng)計(jì)分析方法對(duì)諸如通信頻度、通信的信息流向、通信總量的變化等參數(shù)進(jìn)行研究，從中發(fā)現(xiàn)有價(jià)值的信息和規(guī)律。 (8) 假冒：通過欺騙通信系統(tǒng)或用戶，達(dá)到非法用戶冒充成為合法用戶，或者特權(quán)小的用戶冒充成為特權(quán)大的用戶的目的。我們平常所說的黑客大多采用的就是假冒攻擊。,2.3 信息安全管理薄弱,2019/7/10,第五小組-信息安全,16/35,(9) 旁路控制：攻擊者利用系統(tǒng)的安全缺陷或安全性上的脆弱之處獲得非授權(quán)的權(quán)利或特權(quán)。例如：攻擊者通過各種攻擊手段發(fā)現(xiàn)原本應(yīng)保密，但是卻又暴露出來的一些系統(tǒng)“特性”，利用這些“特性”，攻擊者可以繞過防線守衛(wèi)者侵入系統(tǒng)的內(nèi)部。 (10)抵賴：這是一種來自用戶的攻擊，涵蓋范圍比較廣泛，比如，否認(rèn)自己曾經(jīng)發(fā)布過的某條消息、偽造一份對(duì)方來信等。 (11)信息安全法律法規(guī)不完善，由于當(dāng)前約束操作信息行為的法律法規(guī)還很不完善，存在很多漏洞，很多人打法律的擦邊球，這就給信息竊取、信息破壞者以可趁之機(jī)。,2.3 信息安全管理薄弱,安全策略 定義,安全策略 原則,安全策略 目標(biāo),安全策略 制定,安全策略 內(nèi)容,2019/7/10,第五小組-信息安全,18/35,引入 一些問題,敏感信息如何被處理？ 如何正確地維護(hù)用戶身份與口令，以及其他賬 號(hào)信息？ 如何對(duì)潛在的安全事件和入侵企圖進(jìn)行響應(yīng)？ 如何以安全的方式實(shí)現(xiàn)內(nèi)部網(wǎng)及互聯(lián)網(wǎng)的連接? 怎樣正確使用電子郵件系統(tǒng)？ ,安全策略,2019/7/10,第五小組-信息安全,19/35,3.1 安全策略 定義,計(jì)算機(jī)安全研究組織（SANS）：“為了保護(hù)存儲(chǔ)在計(jì)算機(jī)中的信息，安全策略要確定必須做什么，一個(gè)好的策略有足夠多做什么的定義，以便于執(zhí)行者確定如何做，并且能夠進(jìn)行度量和評(píng)估。” 信息安全策略是一個(gè)組織關(guān)于信息安全的基本指導(dǎo)規(guī)則。 信息安全策略提供：信息保護(hù)的內(nèi)容和目標(biāo)，信息保護(hù)的職責(zé)落實(shí)，實(shí)施信息保護(hù)的方法，事故的處理。,2019/7/10,第五小組-信息安全,20/35,3.2 安全策略 原則,基本原則 先進(jìn)的網(wǎng)絡(luò)安全技術(shù)是網(wǎng)絡(luò)安全的根本保證 嚴(yán)格的安全管理是確保信息安全策略落實(shí)的基礎(chǔ) 嚴(yán)格的法律、法規(guī)是網(wǎng)絡(luò)安全保障的堅(jiān)強(qiáng)后盾 具體原則 起點(diǎn)進(jìn)入原則 長(zhǎng)遠(yuǎn)安全預(yù)期原則 最小特權(quán)原則 公認(rèn)原則 適度復(fù)雜與經(jīng)濟(jì)原則,2019/7/10,第五小組-信息安全,21/35,3.3 安全策略 目標(biāo),信息安全策略必須有一定的透明度并得到高層管理層的支持，這種透明度和高層支持必須在安全策略中有明確和積極的反映。 信息安全策略要對(duì)所有員工強(qiáng)調(diào)“信息安全，人人有責(zé)”的原則，使員工了解自己的安全責(zé)任與義務(wù)。 （制定的目標(biāo)）減少風(fēng)險(xiǎn)，遵從法律和規(guī)則，確保組織運(yùn)作的連續(xù)性、信息完整性和機(jī)密性。,2019/7/10,第五小組-信息安全,22/35,3.4 安全策略 制定,2019/7/10,第五小組-信息安全,23/35,3.4 安全策略 制定,理解組織業(yè)務(wù)特征,得到管理層的明確支持與承諾,組建安全策略制定小組,確定信息安全整體目標(biāo),確定安全策略范圍,風(fēng)險(xiǎn)評(píng)估與選擇安全控制,起草擬定安全策略,評(píng)估安全策略,實(shí)施安全策略,政策的持續(xù)改進(jìn),具體步驟,2019/7/10,第五小組-信息安全,24/35,設(shè)計(jì)范圍,3.5 安全策略 內(nèi)容,2019/7/10,第五小組-信息安全,25/35,一個(gè)正式的信息安全策略應(yīng)包括下列信息 重新評(píng)審策略的時(shí)機(jī)。策略除了常規(guī)的評(píng)審時(shí)機(jī)，在下列情況下也需要重新評(píng)審：管理體系發(fā)生很大變化、相關(guān)法律法規(guī)發(fā)生了變化、信息系統(tǒng)或者信息技術(shù)發(fā)生大的變化、組織發(fā)生了重大的安全事故。 與其他相關(guān)策略的引用關(guān)系。 策略解釋、疑問響應(yīng)的人員或者部門。 策略的格式可以根據(jù)組織的慣例自行選擇，所列舉的項(xiàng)目也可以做適當(dāng)?shù)脑鰟h。,3.5 安全策略 內(nèi)容,2019/7/10,第五小組-信息安全,26/35,3.5 安全策略 內(nèi)容,通常一個(gè)組織可能會(huì)考慮開發(fā)下列主題的信息安全策略： 1.環(huán)境和設(shè)備的安全 2.信息資產(chǎn)的分級(jí)和人員責(zé)任 3.安全事故的報(bào)告與響應(yīng) 4.第三方訪問的安全性 5.委外處理系統(tǒng)的安全 6.人員的任用、培訓(xùn)和職責(zé) 7.系統(tǒng)策劃、驗(yàn)收、使用和維護(hù)的安全要求,2019/7/10,第五小組-信息安全,27/35,8.信息與軟件交換的安全 9.計(jì)算級(jí)和網(wǎng)絡(luò)的訪問控制和審核 10.遠(yuǎn)程工作的安全 11.加密技術(shù)控制 12.備份、災(zāi)難恢復(fù)和可持續(xù)發(fā)展的要求 13.符合法律法規(guī)和技術(shù)指標(biāo)的要求,3.5 安全策略 內(nèi)容,信息安全行業(yè)中的主流技術(shù),2019/7/10,第五小組-信息安全,29/35,4 信息安全的相關(guān)技術(shù),藍(lán)盾 “動(dòng)立方”,2019/7/10,第五小組-信息安全,30/35,4 信息安全行業(yè)中的主流技術(shù),安全審計(jì)技術(shù) 日志審計(jì)：通過日志審計(jì)協(xié)助管理員在受到攻擊后察看網(wǎng)絡(luò)日志，從而評(píng)估網(wǎng)絡(luò)配置的合理性、安全策略的有效性，追溯分析安全攻擊軌跡，并能為實(shí)時(shí)防御提供手段。 行為審計(jì)：通過對(duì)員工或用戶的網(wǎng)絡(luò)行為審計(jì)，確認(rèn)行為的合規(guī)性，確保信息及網(wǎng)絡(luò)使用的合規(guī)性。,2019/7/10,第五小組-信息安全,31/35,解密、加密技術(shù) 在信息系統(tǒng)的傳輸過程或存儲(chǔ)過程中進(jìn)行信息數(shù)據(jù)的加密和解密。,4 信息安全行業(yè)中的主流技術(shù),2019/7/10,第五小組-信息安全,32/35,4 信息安全行業(yè)中的主流技術(shù),身份認(rèn)證技術(shù) 用來確定訪問或介入信息系統(tǒng)用戶或者設(shè)備身份的合法性的技術(shù)，典型的手段有用戶名口令、身份識(shí)別、PKI 證書和生物認(rèn)證等。,2019/7/10,第五小組-信息安全,33/35,4 信息安全行業(yè)中的主流技術(shù),安全管理中心 由于網(wǎng)上的安全產(chǎn)品較多，且分布在不同的位置，這就需要建立一套集中管理的機(jī)制和設(shè)備，即安全管理中心。 它用來給各網(wǎng)絡(luò)安全設(shè)備分發(fā)密鑰，監(jiān)控網(wǎng)絡(luò)安全設(shè)備的運(yùn)行狀態(tài)，負(fù)責(zé)收集網(wǎng)絡(luò)安全設(shè)備的審計(jì)信息等。,2019/7/10,第五小組-信息安全,34/35,參考網(wǎng)站,1 /link?url=Mu-JK2FGfv9pStTQqdVxxTF4I7PfQG8PdMl-zhS7tkEWjyNFvraf9uLpgAh7CS28BYZ224Sy2Fv58RnTS3K4Ve65tZ4E_NCAwiZZxR6zxPa 2 /link?url=EPMZGcwW57KiBC-eQ3PrhhXqD8324mD8fH37SRkC-IB-hek_gCDhjVLNvzrKmjKfr3EIX-b9T-W8BICBIYC2_EsPL5Dg567Ta4ArrBz67si 3 /link?url=q7fuIf-zk-a9KoOzdYPSHxPZrhk1ZWmExc4XTlTyT1vGc53w-8AK64YIdux-X4D5XGTo3nd_dNbxAkBdH-IO6K 4 /link?url=ACSAMIenMr9-wV79CgrpE_xw53zqCcDg80b4ku23