安全體系基礎（44頁)ppt課件

1、電子政務處理方案培訓(二)-平安體系根底知識主要內(nèi)容信息系統(tǒng)平安體系傳統(tǒng)的平安手段平安體系構(gòu)造平安保證體系的組成信息系統(tǒng)的平安分析V弱點分析T要挾分析R風險分析C對策分析信息平安的要挾蓄意或無意蓄意的要挾：企圖破解系統(tǒng)平安無意的要挾：系統(tǒng)管理不良自動或被動被動的要挾行為：不會更改計算機系統(tǒng)資料自動的要挾行為：計算機系統(tǒng)上資料會被篡改實體或邏輯實體的要挾對象：實踐存在之硬設備邏輯的要挾對象：計算機系統(tǒng)上的資料平安需求層次物理平安網(wǎng)絡平安系統(tǒng)主機平安運用數(shù)據(jù)平安管理平安業(yè)務系統(tǒng)internet勞動局民政局物理平安環(huán)境平安設備實體平安媒體介質(zhì)平安人員管理平安物理平安評價與建議業(yè)務系統(tǒng)internet

2、勞動局民政局環(huán)境平安計算機機房環(huán)境不良溫度：20OC - 25OC濕度：40% - 60% 落塵：停電、雷擊機房位置規(guī)劃不當火災地震水患設備實體平安計算機系統(tǒng)缺點預防重于保養(yǎng)、保養(yǎng)重于修繕設備復原：Cold Site、Hot Site容錯系統(tǒng) (Fault Tolerance)網(wǎng)絡斷線媒體介質(zhì)平安軟件程序平安管理操作系統(tǒng)(Operation System)公用程序(Utility)或工具(Tool) 管理信息運用系統(tǒng)敏感媒體的處置 碎紙機磁性數(shù)據(jù)的去除運用者資料備份(Backup)周期備份(Revolving Backup)選擇備份(Selective Backup)儲存?zhèn)浞葙Y料的位置應遠離計

3、算機機房人員管理平安非法侵入者會呵斥三種問題：盜竊機器或資料破壞機器閱讀資料防止非法侵入者入侵：防止盜竊防止攜出外出檢測人員進出控制物理平安評價與建議建筑物場所位置的思索：所處樓層能否遠離發(fā)電廠或變電所；所處樓層能否不易蒙受水患。行政管理方面：對進出主機房人員的控制方式及身份的限制方式。在維護廠商進展維護時陪伴人員的身份。對于superuser密碼持有人的身份。信息中心人員有意見時反響的管道的方式。信息中心成員離任時的處置程序。信息中心人員職務代理人員制度。對系統(tǒng)維護的措施。對資源的保險措施能否有明確制度。物理平安評價與建議續(xù)系統(tǒng)管理及軟件平安方面：操作系統(tǒng)能否有專人管理。系統(tǒng)之備份(back

4、 up)多久執(zhí)行一次。對于計算機病毒如何處置。計算機操作及資料平安方面：對計算機設備操作訓練及信息平安相關課程。對計算機設備操作程序能否有闡明文件。操作人員、值班人員的安排方式。文件、磁盤、磁帶的報銷及銷售控制。計算機系統(tǒng)各設備及通訊網(wǎng)絡設備的檢查測試。對于運用的資源信息的各級分類情況。 網(wǎng)絡平安網(wǎng)絡平安的需求分析網(wǎng)絡平安的平安技術(shù)對策網(wǎng)絡平安的處理方案與建議業(yè)務系統(tǒng)internet勞動局民政局網(wǎng)絡平安要挾截斷攔截篡改偽裝重放阻撓效力(Denial of service )網(wǎng)絡平安要挾正常流程截斷(Interruption)攔截(Interception)偽裝(Fabrication)篡改(M

5、odification)嗅探(sniff)ABCsrc:B dest:A payload偽裝(spoof)ABCsrc:B dest:A payload阻撓(DDOS)ABCSYNSYNSYNSYNSYNSYNSYN網(wǎng)絡平安的平安技術(shù)對策通訊鏈路平安訪問控制與平安邊境管理網(wǎng)絡行為管理網(wǎng)絡信息監(jiān)控與入侵證據(jù)管理網(wǎng)絡平安的處理方案與建議采用通訊嚴密技術(shù)實現(xiàn)鏈路平安采用防火墻技術(shù)，控制訪問權(quán)限建立入侵檢測和網(wǎng)絡行為追蹤體系，防止非法訪問與攻擊運用網(wǎng)絡平安掃描技術(shù)，自動探測網(wǎng)絡平安破綻，進展網(wǎng)絡平安評價設立主頁監(jiān)視系統(tǒng)，防止主頁被篡改建立網(wǎng)絡防病毒體系系統(tǒng)主機平安系統(tǒng)平安的需求分析系統(tǒng)平安的平安技術(shù)對

6、策系統(tǒng)平安的處理方案與建議業(yè)務系統(tǒng)internet勞動局民政局操作系統(tǒng)的平安要挾非法運用者的入侵及存取授權(quán)運用者蓄意的破壞及泄密惡意的軟件 惡意的軟件計算機病毒(Virus) 特性：激活、傳播、感染、寄居 種類： 開機型、檔案型、宏型寄生蟲(Worm) 復制、傳播病毒(阻斷效力)、不會破壞系統(tǒng)特洛依木馬(Trojan Horse) 將一段程序代碼偷藏在普通程序、不會復制邏輯炸彈(Logic Bomb) 一旦條件吻合就執(zhí)行特洛依木馬上偷藏之程序代碼暗門(Trapdoor)偽裝(Spoofing) 冒充系統(tǒng)所產(chǎn)生之訊息系統(tǒng)平安的平安技術(shù)對策平安操作系統(tǒng)技術(shù)操作系統(tǒng)平安加強技術(shù)弱點破綻與風險管理個人

7、桌面系統(tǒng)平安病毒防治系統(tǒng)平安的處理方案與建議采用國家答應的平安操作系統(tǒng)和操作系統(tǒng)平安加強技術(shù)運用系統(tǒng)平安掃描技術(shù)，自動探測操作系統(tǒng)平安破綻，進展平安評價建立主機防病毒體系運用平安運用平安的需求分析運用平安的平安技術(shù)對策運用平安的處理方案與建議運用平安需求認證身份鑒別、數(shù)據(jù)鑒別性完好性授權(quán)不可否認運用平安的平安技術(shù)對策運用系統(tǒng)平安數(shù)據(jù)與數(shù)據(jù)庫平安用戶權(quán)限管理運用平安的處理方案與建議建立基于PKI的身份認證體系建立基于PKI的密碼效力體系建立基于PKI的信任效力體系管理平安平安規(guī)章制度平安管理中心平安培訓教育平安管理機構(gòu)主要內(nèi)容信息系統(tǒng)平安體系傳統(tǒng)的平安手段傳統(tǒng)的平安防御手段虛擬公用網(wǎng)防火墻訪問控

8、制破綻掃描入侵檢測病毒防治防火墻1網(wǎng)絡邊境平安防火墻是網(wǎng)絡層的平安訪問控制產(chǎn)品，做為內(nèi)部網(wǎng)絡平安的屏障，其主要目的是維護內(nèi)部網(wǎng)絡資源，強化網(wǎng)絡訪問平安戰(zhàn)略；防止內(nèi)部信息泄露和外部入侵；提供對網(wǎng)絡資源的訪問控制；提供對網(wǎng)絡活動的審計、監(jiān)視等功能。2防火墻與社保系統(tǒng)平安社保系統(tǒng)網(wǎng)絡主要分為內(nèi)部中心業(yè)務和對外公眾效力兩類網(wǎng)絡；對外公眾效力與INTERNET直接銜接，作為網(wǎng)絡邊境平安的平安控制產(chǎn)品的防火墻，主要安裝在社保網(wǎng)與外部網(wǎng)絡的物理或邏輯銜接的接口上，用來維護網(wǎng)絡的平安。入侵檢測網(wǎng)絡入侵檢測系統(tǒng)是實時的網(wǎng)絡違規(guī)自動識別和呼應系統(tǒng)。它運轉(zhuǎn)于敏感數(shù)據(jù)需求維護的網(wǎng)絡上，經(jīng)過實時監(jiān)聽網(wǎng)絡數(shù)據(jù)流，識別，記

9、錄入侵和破壞性代碼流，尋覓網(wǎng)絡違規(guī)方式和未授權(quán)的網(wǎng)絡訪問嘗試。當發(fā)現(xiàn)網(wǎng)絡違規(guī)方式和未授權(quán)的網(wǎng)絡訪問嘗試時，網(wǎng)絡入侵檢測系統(tǒng)可以根據(jù)系統(tǒng)平安戰(zhàn)略作出反響。當發(fā)生以下情況時，尤其需求采用網(wǎng)絡入侵檢測系統(tǒng)技術(shù)來保證網(wǎng)絡的平安。當來自網(wǎng)絡外部的攻擊穿透防火墻進入內(nèi)部網(wǎng)時，防火墻的維護功能曾經(jīng)不復存在。當攻擊來自網(wǎng)絡內(nèi)部時，防火墻無法對攻擊進展呼應或阻斷。IDS破綻掃描針對系統(tǒng)與網(wǎng)絡平安性脆弱性進展分析和評價，提供掃描效力和系列工具的網(wǎng)絡平安檢測設備，主要是利用目前所發(fā)現(xiàn)和國內(nèi)外公布的危害系統(tǒng)和網(wǎng)絡方法，對網(wǎng)絡目的掃描分析，檢查并報告系統(tǒng)存在的平安脆弱性和破綻所在，描畫這些平安脆弱問題對網(wǎng)絡系統(tǒng)的危害程

10、度，對相關聯(lián)的多個結(jié)果進展分析比較，并對平安脆弱分布情況進展統(tǒng)計，并且提出相應的平安防護措施和應實施的平安戰(zhàn)略，以最終到達加強網(wǎng)絡平安性的目的。Internal Network Scanner防病毒計算機病毒與網(wǎng)絡病毒的檢測、去除與預防是網(wǎng)絡系統(tǒng)平安要素的一個很重要的方面。目前，計算機病毒的種類與傳播媒介日益繁多，病毒更主要是經(jīng)過網(wǎng)絡共享文件、電子郵件及Internet/Intranet進展傳播。計算機病毒防護曾經(jīng)成為計算機系統(tǒng)平安戰(zhàn)略中的重要內(nèi)容。結(jié)合現(xiàn)有網(wǎng)絡構(gòu)造和層次構(gòu)造，建立集中控管方式下的全方位病毒防護系統(tǒng)： 網(wǎng)關防病毒，快速掃描，實時監(jiān)控 對一切病毒的侵入點設置防毒軟件電子郵件查毒與

11、內(nèi)容掃描結(jié)合與防火墻的整合 分布式防病毒，集中控管 告警的多樣化、集中化 virus ScannerEvent Logger平安審計實時監(jiān)視保證信息的完好性和可控性，記錄網(wǎng)絡中的各類操作，綜合分析網(wǎng)絡中發(fā)生的平安事件，根據(jù)設置的規(guī)那么，智能地判別出違規(guī)行為，并對違規(guī)行為進展記錄、報警和阻斷?？梢詫τ脩敉该鬟\用，將用戶對操作系統(tǒng)和網(wǎng)絡的一切訪問都忠實的記錄下來進展事后分析，并且可以進展實時平安預警，從而有效的管理內(nèi)部人員的平安運用和對外部的黑客入侵行為進展實時報警和阻斷，有效的保證需求高平安性系統(tǒng)的平安，防止信息被未授權(quán)的人篡改。PBXTelcoTelcoModem PoolPolicyPoli

12、cyPolicyPolicyPolicyPolicyPolicyPolicyPolicyInternal Network ScannerPolicyEvent LoggerOffice Work-stationModem ScannerExternal Network ScannerDSL & Cable ModemsInternetAdmin Computing Web FTPDormsIDSDMZPolicyDept. ConnectionsPolicy傳統(tǒng)平安模型傳統(tǒng)平安手段的局限傳統(tǒng)的平安手段是被動的、“捍衛(wèi)科式的平安傳統(tǒng)的平安手段是處理某一個單一層面的、片面的平安傳統(tǒng)的平安手段無法實現(xiàn)信息本身的完好性、性維護傳統(tǒng)的平安手段無法支持抗抵賴性PKI, DS, and CAPBXTelcoTelcoModem PoolPolicyPolicyPolicyPolicyPolicyPolicyPolicyPolicyPolicyPolicyInternal Network Sc