《信息安全概》PPT課件

1、.,1,第一講 信息安全概述,趨勢(shì)科技（中國(guó)）有限公司高職技,能教育系列教材,.,2,本講概要,本講介紹信息安全的定義、安全網(wǎng)絡(luò)的基本特征以及計(jì) 算機(jī)網(wǎng)絡(luò)面臨的威脅。本講內(nèi)容包含以下幾部分：, 信息安全的現(xiàn)狀 信息安全的定義, 信息安全面臨的威脅 信息安全的CIA模型 信息安全的體系結(jié)構(gòu),趨勢(shì)科技（中國(guó)）有限公司高職技能教育系列教材,.,3,本講學(xué)習(xí)目標(biāo),通過(guò)本章的學(xué)習(xí)，學(xué)員應(yīng)能夠：, 了解信息安全的現(xiàn)狀 了解信息安全面臨威脅 了解信息安全體系結(jié)構(gòu),趨勢(shì)科技（中國(guó)）有限公司高職技能教育系列教材,.,4,在我們的生活中，經(jīng)?？梢月?tīng)到下面的報(bào)道：, XX網(wǎng)站受到黑客攻擊, XX計(jì)算機(jī)系統(tǒng)受到攻擊，

2、造成客戶數(shù)據(jù)丟失 目前又出現(xiàn)XX計(jì)算機(jī)病毒，已擴(kuò)散到各大洲 手機(jī)越來(lái)越成為黑客攻擊的對(duì)象 ARP病毒幾乎使得公司網(wǎng)絡(luò)癱瘓 ,網(wǎng)絡(luò)安全的背景,計(jì)算機(jī)網(wǎng)絡(luò)在帶給我們便利的同時(shí)已經(jīng)體現(xiàn)出了它的脆弱性,趨勢(shì)科技（中國(guó)）有限公司高職技能教育系列教材,.,5,57,205,799,1,484,2007,2009,2011,2013,2015,每小時(shí)預(yù)計(jì)增加的惡意程序數(shù)量,病毒指數(shù)級(jí)增長(zhǎng) 26,598 16,438 10,160 6,279 3,881 2,397,數(shù)據(jù)來(lái)源：AV-T 趨勢(shì)科技（中國(guó)）有限公司高職技能教育系列教材,.,6,國(guó)際信息安全事件大事記,Gary McKinnon于 2

3、002 年11 月間在 英國(guó)被指控非法 侵入美國(guó)軍方 90 多個(gè)電腦系統(tǒng),年僅15歲的MafiaBoy 在2000年2月6日到2 月14日情人節(jié)期間成 功侵入包括eBay，,Amazon 和Yahoo在內(nèi) 的大型網(wǎng)站服務(wù)器， 他成功阻止了服務(wù)器 向用戶提供服務(wù)。,趨勢(shì)科技（中國(guó)）有限公司高職技能教育系列教材,.,7,網(wǎng)絡(luò)病毒全球范圍內(nèi)高速擴(kuò)散,趨勢(shì)科技（中國(guó)）有限公司高職技能教育系列教材,.,8,黑客攻擊與網(wǎng)絡(luò)病毒日趨融合,趨勢(shì)科技（中國(guó)）有限公司高職技能教育系列教材,.,9,攻擊者需要的技能日趨下降,攻擊工具,復(fù)雜性,攻擊者所,需技能,趨勢(shì)科技（中國(guó)）有限公司高職技能教育系列教材,.,10,

4、企業(yè)內(nèi)部的破壞更加危險(xiǎn),盡管企業(yè)外部的攻擊可以對(duì)企業(yè)網(wǎng)絡(luò)造成巨大威脅，企業(yè) 內(nèi)部員工的不正確使用和惡意破壞是一種更加危險(xiǎn)的因素。,摘自ICSA/FBI,2001,統(tǒng)計(jì)顯示：來(lái)自企業(yè)內(nèi)部的網(wǎng)絡(luò)破 壞更加危險(xiǎn)。,員工的不正常使用也是企業(yè)內(nèi)網(wǎng)的一 個(gè)重要不安全因素。,趨勢(shì)科技（中國(guó)）有限公司高職技能教育系列教材,.,11,計(jì)算 病毒感染率,73%,74.06%,85.50% 70.51%,91.47%,80.00%,87.93%,85.57%,83.98%,0%,2002,2003,2004,2005,2006,2007,2008,2009,感染率,0%,5% 2001,50% 25% 40% 20

5、% 30% 20% 10% 10%,100% 90% 40% 80% 35% 70% 30% 60%,密碼、帳號(hào)被盜,受到非法遠(yuǎn)程控制 系統(tǒng)(網(wǎng)絡(luò))無(wú)法使用 瀏覽器配置被修改,其他,我國(guó)當(dāng)前信息安全的現(xiàn)狀 1.計(jì)算機(jī)系統(tǒng)遭受病毒感染和破壞的情況相當(dāng)嚴(yán)重。 2009年計(jì)算機(jī)病毒造成的主要危害,趨勢(shì)科技（中國(guó)）有限公司高職技能教育系列教材,.,12,總部,黑客,我國(guó)當(dāng)前信息安全的現(xiàn)狀 2. 電腦黑客活動(dòng)已形成重要威脅。 Internet 下屬機(jī)構(gòu) 信息泄密 信息被篡改,趨勢(shì)科技（中國(guó)）有限公司高職技能教育系列教材,.,13,合法用戶,我國(guó)當(dāng)前信息安全的現(xiàn)狀 3. 信息基礎(chǔ)設(shè)施面臨網(wǎng)絡(luò)安全的挑戰(zhàn)。

6、非法登錄 非法用戶 計(jì)算機(jī)網(wǎng)絡(luò) 企業(yè)網(wǎng)絡(luò) 越權(quán)訪問(wèn), 信息被越權(quán)訪問(wèn) 信息被非授權(quán)訪問(wèn) 趨勢(shì)科技（中國(guó)）有限公司高職技能教育系列教材,.,14,我國(guó)當(dāng)前信息安全的現(xiàn)狀,4. 網(wǎng)絡(luò)政治顛覆活動(dòng)頻繁。,趨勢(shì)科技（中國(guó)）有限公司高職技能教育系列教材,.,15,什么是信息, 通過(guò)在數(shù)據(jù)上施加某些約定而賦予這些數(shù)據(jù)的特殊含義 ,（GMITS）, 通常我們把信息理解為消息、信號(hào)、數(shù)據(jù)、情報(bào)和知識(shí)等 信息是無(wú)形的，可借助多種介質(zhì)存儲(chǔ)和傳遞 對(duì)現(xiàn)代企業(yè)而言，信息是寶貴的資源和資產(chǎn), 信息是一種資產(chǎn)，像其他的業(yè)務(wù)資產(chǎn)一樣對(duì)企業(yè)具有價(jià)值，因此,要妥善加以保護(hù) （BS7799）,趨勢(shì)科技（中國(guó)）有限公司高職技能教育

7、系列教材,.,16,哪些是信息, ,網(wǎng)絡(luò)上的數(shù)據(jù) 紙質(zhì)文件 軟件 物理環(huán)境 人員 設(shè)備 公司形象和聲譽(yù) ,趨勢(shì)科技（中國(guó)）有限公司高職技能教育系列教材,.,17,信息的分類, ,按照人、組織結(jié)構(gòu)劃分 按照信息媒體劃分 按照信息內(nèi)容劃分 按照直接處理系統(tǒng)劃分 趨勢(shì)科技（中國(guó)）有限公司高職技能教育系列教材,.,18,信息的處理方式,趨勢(shì)科技（中國(guó)）有限公司高職技能教育系列教材,.,19,系統(tǒng),物理 風(fēng)險(xiǎn) 管理 風(fēng)險(xiǎn),網(wǎng)絡(luò)安全面臨的威脅 設(shè)備防盜，防毀 鏈路老化人為破壞,信息傳輸安全 信息訪問(wèn)安全,計(jì)算機(jī)病毒 外部攻擊 內(nèi)部破壞 其他風(fēng)險(xiǎn) 軟件弱點(diǎn) 身份鑒別 訪問(wèn)授權(quán) 機(jī)密性 完整性 不可否認(rèn)性 可

8、用性,有無(wú)制定相應(yīng)的安 全制度,安全拓?fù)?安全路由 其它 風(fēng)險(xiǎn) 應(yīng)用 風(fēng)險(xiǎn) 信息存儲(chǔ)安全,網(wǎng)絡(luò)的 風(fēng)險(xiǎn) Internet 信息 風(fēng)險(xiǎn),網(wǎng)絡(luò)設(shè)備自身故障 停電導(dǎo)致無(wú)法工作 機(jī)房電磁輻射 其他 自主版權(quán)的安全操作系統(tǒng) 安全數(shù)據(jù)庫(kù) 操作系統(tǒng)是否安裝最新補(bǔ)丁 風(fēng)險(xiǎn) 系統(tǒng)配置安全 系統(tǒng)中運(yùn)行的服務(wù)安全 是否存在管理方面 的風(fēng)險(xiǎn)需,其他 趨勢(shì)科技（中國(guó)）有限公司高職技能教育系列教材,.,20,國(guó)際標(biāo)準(zhǔn)化組織對(duì)具體的威脅定義 ：, ,偽裝(pseudonym)： 非法連接(illegal association)： 非授權(quán)訪問(wèn)(no-authorized access)： 重放(replay) 拒絕服務(wù)(d

9、enial of service)： 抵賴(repudiation)： 信息泄露(leakage of information)： 業(yè)務(wù)流量分析(traffic analysis) 改變信息流(invalid message sequencing) 篡改或破壞數(shù)據(jù)(data modification or destruction) 推斷或演繹信息(deduction of information)： 非法篡改(illegal modification of programs)： 趨勢(shì)科技（中國(guó)）有限公司高職技能教育系列教材,.,21,磁盤(pán)意外損壞,光盤(pán)意外損壞,磁帶被意外盜走, 導(dǎo)致數(shù)據(jù)丟失,

10、 導(dǎo)致數(shù)據(jù)無(wú)法訪問(wèn),信息系統(tǒng)的弱點(diǎn),信息存儲(chǔ)的弱點(diǎn),趨勢(shì)科技（中國(guó)）有限公司高職技能教育系列教材,.,22,總部,黑客,信息系統(tǒng)的弱點(diǎn) 信息傳輸?shù)娜觞c(diǎn) Internet 下屬機(jī)構(gòu) 信息泄密 信息被篡改,趨勢(shì)科技（中國(guó)）有限公司高職技能教育系列教材,.,23,合法用戶,信息系統(tǒng)的弱點(diǎn) 信息被非法訪問(wèn) 非法登錄 非法用戶 計(jì)算機(jī)網(wǎng)絡(luò) 企業(yè)網(wǎng)絡(luò) 越權(quán)訪問(wèn), 信息被越權(quán)訪問(wèn) 信息被非授權(quán)訪問(wèn) 趨勢(shì)科技（中國(guó)）有限公司高職技能教育系列教材,.,24,云計(jì)算平臺(tái)的弱點(diǎn) 技術(shù)層面, ,基礎(chǔ)架構(gòu) 虛擬化技術(shù) 云存儲(chǔ) , 社會(huì)層面 法律法規(guī) 信任和信譽(yù)機(jī)制 趨勢(shì)科技（中國(guó)）有限公司高職技能教育系列教材,.,25

11、,什么是信息安全,信息安全I(xiàn)nfoSec:,信息安全I(xiàn)nfoSec(Information Security)的任務(wù)，就是要 采取措施(技術(shù)手段及有效管理)讓這些信息資產(chǎn)免遭威脅，或者 將威脅帶來(lái)的后果降到最低程度，以此維護(hù)組織的正常運(yùn)作。,趨勢(shì)科技（中國(guó)）有限公司高職技能教育系列教材,.,26,信息安全CIA模型,趨勢(shì)科技（中國(guó)）有限公司高職技能教育系列教材,.,27,安全管理周期,趨勢(shì)科技（中國(guó)）有限公司高職技能教育系列教材,.,28,短板效應(yīng)原則, 任何薄弱環(huán)節(jié)都可能帶來(lái)安全隱患,趨勢(shì)科技（中國(guó)）有限公司高職技能教育系列教材,.,29,完善的整體防衛(wèi)技術(shù)架構(gòu),防火墻,防病毒,入侵檢測(cè),虛

12、擬專用網(wǎng),訪問(wèn)控制 漏洞評(píng)估,趨勢(shì)科技（中國(guó)）有限公司高職技能教育系列教材,.,30,信息安全管理標(biāo)準(zhǔn),TCSEC / CC (可信賴系統(tǒng)評(píng)估準(zhǔn)則 / 信息技術(shù)安全評(píng)估通用標(biāo)準(zhǔn)),高,可 信 賴 性 低,類別,評(píng)估標(biāo)準(zhǔn),等級(jí),評(píng)估準(zhǔn)則概要,范例,A,具有經(jīng)認(rèn)可之 系統(tǒng)保護(hù)措施,A1,具有經(jīng)認(rèn)可之系統(tǒng) 安全設(shè)計(jì),最高防護(hù) 例：國(guó)家安全,B3,須具備進(jìn)入管制表 之功能,獨(dú)立系統(tǒng)安全模組， 特級(jí)防護(hù),例：高層管理系 統(tǒng),B C D,強(qiáng)制系統(tǒng)保護(hù) 措施 使用者可自行 決定資料保護(hù) 措施 無(wú)保護(hù)措施,B2 B1 C2 C1 D,結(jié)構(gòu)化系統(tǒng)保護(hù)設(shè) 計(jì) 強(qiáng)制進(jìn)入管制及資 料安全表示 依需求系統(tǒng)管理者 的對(duì)使用者實(shí)行稽 核追蹤 可由使用者自行決 定其所需之