《信息安全与信息系统保护.ppt》由会员分享,可在线阅读,更多相关《信息安全与信息系统保护.ppt(41页珍藏版)》请在三一文库上搜索。
1、信息安全与信息系统保护Beijing Challenger 2009,信息化安全解决之道,今日议题,信息化系统面对的风险 信息化安全体系框架 等级保护介绍 密码学简介,信息化面对的风险,信息化面对的风险,信息与信息载体,信息在一种情况下能减小或降低不确定性的任何事物 (克劳德香农) 信息同物质、能源一样重要,是人类生存和社会发展的三大基本资源之一,克劳德香农,贝尔实验室和MIT都尊崇香农为信息论及数字通信时代的奠基人。,信息安全与计算机网络安全,计算机网络与信息的关系 计算机网络是信息的重要载体,计算机网络在其规模和应用上的发展是信息化的集中体现,同时也不断深化信息化的进程 信息安全必然包括但
2、不限于计算机网络安全 人的因素,网络安全意义,网络安全问题一直是阻碍网络应用发展的一个重要因素 网络安全问题影响到一个国家的政治、经济和社会稳定 网络安全问题影响到行业、企业经济运行 研究网络安全问题对于我们具有重要的意义,!信息化面对的风险来自诸多方面,物理安全风险,运行环境 防盗、防毁 机房、设备 介质 废弃介质 供电、防水 电磁防护 自然灾害,物理安全 涉及在物理层面上保护企业资源和敏感信息所遭遇的威胁 企业资源: 员工及其赖以工作的设施、数据、设备、支持系统、介质 人员管理及监视,系统安全,操作系统及补丁 病毒 系统入侵 数据备份 系统非计划停机 系统崩溃,网络安全,网络攻击 漏洞扫描
3、 网络窃听 网络远程访问 无线网络接入 网络非法连接,网络攻击的方式,主导攻击方式 Server Side 被动攻击方式 Client Side 中间人攻击方式,用户,恶意服务器,攻击者,服务器,攻击者,服务器,客户程序,网络攻击常见过程,信息收集 获取用户权限 安装后门 扩大影响 清除痕迹,利用公开信息服务 主机扫描与端口扫描 操作系统探测与应用程序类型识别 口令攻击 SQL注入 缓冲区溢出 脚本攻击 ,以目标系统为“跳板”,对目标所属网络的其它主机进行攻击,最大程度地扩大攻击的效果。,攻击趋势一:更加自动化,自动化的攻击通常包含四个阶段 扫描潜在有漏洞的机器。 威胁攻击有漏洞的主机。 传播
4、攻击。 攻击工具的并发管理。,趋势二:攻击工具的混和,抗犯罪取证 动态的行为 早期的攻击工具按照预定好的单一顺序执行攻击步骤。 攻击工具的模块化 不像早期的攻击实现了一种类型的攻击,现在的工具可以通过升级或者替换工具的某个部分来快速的改变。,趋势三:漏洞更新更快,0 Day Exploit的概念 Private Exploit和Underground的交易行为 自动化分析工具的出现,趋势四:防火墙攻击,防火墙不是网络安全的最终解决方案; 移动代码,例如ActiveX控件,java& JavaScript等。 安全软件自身也存在着漏洞,趋势五:被动攻击的增加,微软公布了60多个IE浏览器的漏洞。
5、 Symantec网络安全分析报告:攻击者的注意力更多地转向Web以及其它客户端程序。 SANS Top20:20类中有8大类是与客户端程序漏洞相关的。,趋势六:趋于非对称性,因为攻击技术的进步,单个的攻击者可以很容易的利用大量的分布式系统对一台主机发起破坏性的攻击。由于攻击工具的自动配置和组合管理的提高,威胁的非对称本质将继续增加。,趋势七:基础设施的威胁,分布式拒绝服务 蠕虫 Internet域名服务器的攻击 攻击或者利用路由器,网络安全参考,中文站点 安全焦点:http:/ 绿盟科技:http:/ 英文站点 SecurityFocus:http:/ PacketStorm:http:/p
6、acketstormsecurity.org/ Sysinternals:http:/ 弱口令、多口令(单口令) 权限控制 文件加密与破解 电子单据法律效力 被动攻击“钓鱼”,常用攻击工具 L0phtcrack NTSweep NTCrack PWDump ,管理安全,系统运维制度 紧急预案 保密协议 外包管理 变更管理,设备环境 设备资产安保 电力可靠 自然灾害风险,账户身份识别 弱口令,多口令 应用权限 多角色,跨系统 文件加密 法律效力,系统崩溃 数据库文件损坏 计划外停机 病毒发作 版本差异、系统补丁 正在受到攻击吗?,信息化面临的安全挑战,网络攻击,漏洞扫描 网络链路窃听 网络远程访
7、问 无线接入 网络非法连接,系统运维制度紧急预案 系统事件记录 运行运维工作手册 厂商、服务商技术人员 保密协议,信息安全技术体系保障平台模型,信息化安全保障模型 如何应用? 应用范围及深度,如何实施安全措施,明确保护对象 明确保护策略 明确保护措施 明确投入成本,落实信息系统等级保护工作,什么是等级保护,信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。 开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障,是信息安全保障工作中国家意志的体现。,烟草行业等级保护工作,国家烟草专卖局办公室关于做好烟草行业信息系统安全等级保护定级工作的通知(国烟办综2008358
8、号),信息系统等级保护的15级,第一级:自主保护级 适用于一般的信息系统,其受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利 第二级:指导保护级 适用于一般的信息系统,其受到破坏后,会对社会秩序和公共利益造成轻微损害,但不损害国家安全 第三级:监督保护级 适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成损害 第四级:强制保护级 适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害 第五级:专控保护级 适用于涉及国家安全、社会秩序和公共利益
9、的重要信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成特别严重损害,各级等级保护中要求框架,某级系统,物理安全,技术要求,管理要求,基本要求,网络安全,主机安全,应用安全,数据安全,安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运维管理,等级保护过程(实施过程生命周期),等级保护定级示例银行系统,等级保护定级示例电子政务,等级保护与整体防护烟草网站,评估 定级、备案 规划设计 安全实施 安全运维、调整 系统紧急预案,采用了UTM设备,等级保护3级核心要求,物理安全,网络安全,主机安全,应用安全,数据安全及备份恢复,安全管理制度,人员管理制度,系统监视管理,
10、系统运维管理,物理位置的选择 物理访问控制 防盗和放破坏 放雷击 防火 防水和防潮 放静电 温湿度控制 电力供应 电磁防护,身份鉴别 访问控制 安全审计 剩余信息保护 通信完整性 通信保密性 抗抵赖 软件容错 资源控制,结构安全 访问控制 安全审计 边界完整性检查 入侵防范 恶意代码防范 网络设备防护,身份鉴别 访问控制 安全审计 剩余信息保护 入侵防范 恶意代码防范 资源控制,数据完整性 数据保密性 备份和恢复,第二部分:应用安全需求,应用安全需求 身份如何认证 通讯、信息如何安全传递 信息如何具有法律效力 应用权限如何实现 秘密强度与记忆的矛盾 ,从密码术说起,换位密码,公元前5世纪,古希
11、腊斯巴达出现原始的密码器,用一条带子缠绕在一根木棍上,沿木棍纵轴方向写好明文,解下来的带子上就只有杂乱无章的密文字母。解密者只需找到相同直径的木棍,再把带子缠上去,沿木棍纵轴方向即可读出有意义的明文。这是最早的换位密码术。,单字替代密码,公元前1世纪,著名的恺撒(Caesar)密码被用于高卢战争中,这是一种简单易行的单字母替代密码。,武王的阴符与阴书,中国周朝兵书六韬龙韬也记载了密码学的运用,其中的阴符和阴书便记载了周武王问姜子牙关于征战时与主将通讯的方式,改变历史的密码事件,苏格兰玛丽女王的密码 公元16世纪晚期,英国的菲利普斯(Philips)利用频度分析法成功破解苏格兰女王玛丽的密码信,信中策划暗杀英国女王伊丽莎白,这次解密将玛丽送上了断头台。,第一次世界大战 英国解密齐默尔曼电报,美国参战,第二次世界大战 波兰三杰,潜艇u571 恩格玛(Enigma) 风语者,近代密码学,信息系统商业化 1975年1月15日,DES 1976年,公开密钥密码的新思想 1977年,公钥密码体制RSA体制 2005年11月, MD5碰撞发现,谢谢!,Thank You! 谢谢,