《信息安全InformationSecurity.ppt》由会员分享,可在线阅读,更多相关《信息安全InformationSecurity.ppt(35页珍藏版)》请在三一文库上搜索。
1、信息安全(Information Security),- 第五学习小组 左思成 苏航 陆星宇 2015-10-27,2019/5/27,第五小组-信息安全,2/35,引入:一个案例,斯诺登曝光美国工业间谍活动 警示云服务和社交监听风险 2014年,美国中情局前特工爱德华斯诺登的人持续不断地向世人再次揭露美国国家安全局、英国国家通信总局(GCHQ)以及其他政府的监听计划,表明需要关注监听的不仅仅是那些大企业。 今年1月,斯诺登再次曝光以民主堡垒自居的美国通过互联网监听从事工业间谍活动。斯诺登称,美国的工业间谍活动所针对的不仅限于国家安全问题,而且还包括任何可能对美国有价值的工程和技术资料。此后,
2、斯诺登相继又爆出了使用云服务、搜索引擎和社交媒体的有关风险,暗示谷歌和脸谱都与政府勾结进行监听和提供“危险”服务。七月,斯诺登又指责Dropbox公司“对隐私怀有敌意”, 并是美国政府棱镜窥探计划的帮凶。,2019/5/27,第五小组-信息安全,3/35,主要内容 目录,5/35,1 信息安全 概述,信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。 信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。 信
3、息安全本身包括的范围很大,其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。 网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、消息证、数据加密等), 直至安全系统,如UniNAC、DLP等,只 要存在安全漏洞便可以威胁全局安全。,技术安全风险因素,人为恶意攻击,信息安全管理薄弱,2019/5/27,第五小组-信息安全,7/35,信息面临哪些安全威胁?,2019/5/27,第五小组-信息安全,8/35,2.1 技术安全风险因素,基础信息网络和重要信息系统安全防护能力不强这主要表现在: 重视不够,投入不足。对信息
4、安全基础设施投入不够,信息安全基础设施缺乏有效的维护和保养制度,设计与建设不同步。 安全体系不完善,整体安全还十分脆弱。 关键领域缺乏自主产品,高端产品严重依赖国外,无形埋下了安全隐患。 失泄密隐患严重。信息时代泄密途径日益增多,比如互联网泄密、手机泄密、电磁波泄密、移动存储介质泄密等新的技术发展也给信息安全带来新的挑战。,2019/5/27,第五小组-信息安全,9/35,我国基础信息网络系统安全防护问题,我国的基础网络主要包括互联网、电信网、广播电视网,重要的信息系统包括铁路、政府、银行、证券、电力、民航、石油等关系国计民生的国家关键基础设施所依赖的信息系统。然我们在这些领域的信息安全防护工
5、作取得了一定的成绩,但是安全防护能力仍然不强。 我国计算机产品大都是国外的品牌,技术上受制于人,如果被人预先植入后门,很难发现,届时造成的损失将无法估量。,2.1 技术安全风险因素,2019/5/27,第五小组-信息安全,10/35,2.2 人为恶意攻击,人为恶意攻击可以分为主动攻击和被动攻击。主动攻击的目的在于篡改系统中信息的内容,以各种方式破坏信息的有效性和完整性。被动攻击的目的是在不影响网络正常使用的情况下,进行信息的截获和窃取。 攻击者常用的攻击手段有木马、黑客后门、网页脚本、垃圾邮件等。 相对物理实体和硬件系统及自然灾害而言,精心设计的人为攻击威胁最大。人的因素最为复杂,思想最为活跃
6、,不能用静止的方法和法律、法规加以防护,这是信息安全所面临的最大威胁。,2019/5/27,第五小组-信息安全,11/35,人为恶意攻击事件,熊猫烧香案,2019/5/27,第五小组-信息安全,12/35,百度被攻击域名被劫持,2019/5/27,第五小组-信息安全,13/35,黑客进清华官网假冒校长 称“中国大学教育就是往脑子灌屎”,2019/5/27,第五小组-信息安全,14/35,2.3 信息安全管理薄弱,(1) 信息泄露:保护的信息被泄露或透露给某个非授权的实体。 (2) 破坏信息的完整性:数据被非授权地进行增删、修改或破坏而受到损失。 (3) 拒绝服务:信息使用者对信息或其他资源的合
7、法访问被无条件地阻止。 (4) 非法使用(非授权访问):某一资源被某个非授权的人,或以非授权的方式使用。 (5) 授权侵犯:被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其他非授权的目的,也称作“内部攻击”。,2019/5/27,第五小组-信息安全,15/35,(6) 窃听:用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听,或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。 (7) 业务流分析:通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究,从中发现有价值的信息和规律。 (8
8、) 假冒:通过欺骗通信系统或用户,达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。我们平常所说的黑客大多采用的就是假冒攻击。,2.3 信息安全管理薄弱,2019/5/27,第五小组-信息安全,16/35,(9) 旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如:攻击者通过各种攻击手段发现原本应保密,但是却又暴露出来的一些系统“特性”,利用这些“特性”,攻击者可以绕过防线守卫者侵入系统的内部。 (10)抵赖:这是一种来自用户的攻击,涵盖范围比较广泛,比如,否认自己曾经发布过的某条消息、伪造一份对方来信等。 (11)信息安全法律法规不完善
9、,由于当前约束操作信息行为的法律法规还很不完善,存在很多漏洞,很多人打法律的擦边球,这就给信息窃取、信息破坏者以可趁之机。,2.3 信息安全管理薄弱,安全策略 定义,安全策略 原则,安全策略 目标,安全策略 制定,安全策略 内容,2019/5/27,第五小组-信息安全,18/35,引入 一些问题,敏感信息如何被处理? 如何正确地维护用户身份与口令,以及其他账 号信息? 如何对潜在的安全事件和入侵企图进行响应? 如何以安全的方式实现内部网及互联网的连接? 怎样正确使用电子邮件系统? ,安全策略,2019/5/27,第五小组-信息安全,19/35,3.1 安全策略 定义,计算机安全研究组织(SAN
10、S):“为了保护存储在计算机中的信息,安全策略要确定必须做什么,一个好的策略有足够多做什么的定义,以便于执行者确定如何做,并且能够进行度量和评估。” 信息安全策略是一个组织关于信息安全的基本指导规则。 信息安全策略提供:信息保护的内容和目标,信息保护的职责落实,实施信息保护的方法,事故的处理。,2019/5/27,第五小组-信息安全,20/35,3.2 安全策略 原则,基本原则 先进的网络安全技术是网络安全的根本保证 严格的安全管理是确保信息安全策略落实的基础 严格的法律、法规是网络安全保障的坚强后盾 具体原则 起点进入原则 长远安全预期原则 最小特权原则 公认原则 适度复杂与经济原则,201
11、9/5/27,第五小组-信息安全,21/35,3.3 安全策略 目标,信息安全策略必须有一定的透明度并得到高层管理层的支持,这种透明度和高层支持必须在安全策略中有明确和积极的反映。 信息安全策略要对所有员工强调“信息安全,人人有责”的原则,使员工了解自己的安全责任与义务。 (制定的目标)减少风险,遵从法律和规则,确保组织运作的连续性、信息完整性和机密性。,2019/5/27,第五小组-信息安全,22/35,3.4 安全策略 制定,2019/5/27,第五小组-信息安全,23/35,3.4 安全策略 制定,理解组织业务特征,得到管理层的明确支持与承诺,组建安全策略制定小组,确定信息安全整体目标,
12、确定安全策略范围,风险评估与选择安全控制,起草拟定安全策略,评估安全策略,实施安全策略,政策的持续改进,具体步骤,2019/5/27,第五小组-信息安全,24/35,设计范围,3.5 安全策略 内容,2019/5/27,第五小组-信息安全,25/35,一个正式的信息安全策略应包括下列信息 重新评审策略的时机。策略除了常规的评审时机,在下列情况下也需要重新评审:管理体系发生很大变化、相关法律法规发生了变化、信息系统或者信息技术发生大的变化、组织发生了重大的安全事故。 与其他相关策略的引用关系。 策略解释、疑问响应的人员或者部门。 策略的格式可以根据组织的惯例自行选择,所列举的项目也可以做适当的增
13、删。,3.5 安全策略 内容,2019/5/27,第五小组-信息安全,26/35,3.5 安全策略 内容,通常一个组织可能会考虑开发下列主题的信息安全策略: 1.环境和设备的安全 2.信息资产的分级和人员责任 3.安全事故的报告与响应 4.第三方访问的安全性 5.委外处理系统的安全 6.人员的任用、培训和职责 7.系统策划、验收、使用和维护的安全要求,2019/5/27,第五小组-信息安全,27/35,8.信息与软件交换的安全 9.计算级和网络的访问控制和审核 10.远程工作的安全 11.加密技术控制 12.备份、灾难恢复和可持续发展的要求 13.符合法律法规和技术指标的要求,3.5 安全策略
14、 内容,信息安全行业中的主流技术,2019/5/27,第五小组-信息安全,29/35,4 信息安全的相关技术,蓝盾 “动立方”,2019/5/27,第五小组-信息安全,30/35,4 信息安全行业中的主流技术,安全审计技术 日志审计:通过日志审计协助管理员在受到攻击后察看网络日志,从而评估网络配置的合理性、安全策略的有效性,追溯分析安全攻击轨迹,并能为实时防御提供手段。 行为审计:通过对员工或用户的网络行为审计,确认行为的合规性,确保信息及网络使用的合规性。,2019/5/27,第五小组-信息安全,31/35,解密、加密技术 在信息系统的传输过程或存储过程中进行信息数据的加密和解密。,4 信息
15、安全行业中的主流技术,2019/5/27,第五小组-信息安全,32/35,4 信息安全行业中的主流技术,身份认证技术 用来确定访问或介入信息系统用户或者设备身份的合法性的技术,典型的手段有用户名口令、身份识别、PKI 证书和生物认证等。,2019/5/27,第五小组-信息安全,33/35,4 信息安全行业中的主流技术,安全管理中心 由于网上的安全产品较多,且分布在不同的位置,这就需要建立一套集中管理的机制和设备,即安全管理中心。 它用来给各网络安全设备分发密钥,监控网络安全设备的运行状态,负责收集网络安全设备的审计信息等。,2019/5/27,第五小组-信息安全,34/35,参考网站,1 http:/ 2 http:/ 3 http:/ 4 http:/ 5http:/ END! Thank you! P.S. I hope you can give us a higher score!,