信息安全與信息系統(tǒng)保護(hù)課件

1、信息安全與信息系統(tǒng)保護(hù),信息安全與信息系統(tǒng)保護(hù)Beijing Challenger 2009,信息化安全解決之道,信息安全與信息系統(tǒng)保護(hù),今日議題,信息化系統(tǒng)面對(duì)的風(fēng)險(xiǎn) 信息化安全體系框架 等級(jí)保護(hù)介紹 密碼學(xué)簡(jiǎn)介,信息安全與信息系統(tǒng)保護(hù),信息化面對(duì)的風(fēng)險(xiǎn),信息化面對(duì)的風(fēng)險(xiǎn),信息安全與信息系統(tǒng)保護(hù),信息與信息載體,信息在一種情況下能減小或降低不確定性的任何事物 （克勞德香農(nóng)） 信息同物質(zhì)、能源一樣重要，是人類(lèi)生存和社會(huì)發(fā)展的三大基本資源之一,克勞德香農(nóng),貝爾實(shí)驗(yàn)室和MIT都尊崇香農(nóng)為信息論及數(shù)字通信時(shí)代的奠基人,信息安全與信息系統(tǒng)保護(hù),信息安全與計(jì)算機(jī)網(wǎng)絡(luò)安全,計(jì)算機(jī)網(wǎng)絡(luò)與信息的關(guān)系 計(jì)算機(jī)網(wǎng)

2、絡(luò)是信息的重要載體，計(jì)算機(jī)網(wǎng)絡(luò)在其規(guī)模和應(yīng)用上的發(fā)展是信息化的集中體現(xiàn)，同時(shí)也不斷深化信息化的進(jìn)程 信息安全必然包括但不限于計(jì)算機(jī)網(wǎng)絡(luò)安全 人的因素,信息安全與信息系統(tǒng)保護(hù),網(wǎng)絡(luò)安全意義,網(wǎng)絡(luò)安全問(wèn)題一直是阻礙網(wǎng)絡(luò)應(yīng)用發(fā)展的一個(gè)重要因素 網(wǎng)絡(luò)安全問(wèn)題影響到一個(gè)國(guó)家的政治、經(jīng)濟(jì)和社會(huì)穩(wěn)定 網(wǎng)絡(luò)安全問(wèn)題影響到行業(yè)、企業(yè)經(jīng)濟(jì)運(yùn)行 研究網(wǎng)絡(luò)安全問(wèn)題對(duì)于我們具有重要的意義,信息化面對(duì)的風(fēng)險(xiǎn)來(lái)自諸多方面,信息安全與信息系統(tǒng)保護(hù),物理安全風(fēng)險(xiǎn),運(yùn)行環(huán)境 防盜、防毀 機(jī)房、設(shè)備 介質(zhì) 廢棄介質(zhì) 供電、防水 電磁防護(hù) 自然災(zāi)害,物理安全 涉及在物理層面上保護(hù)企業(yè)資源和敏感信息所遭遇的威脅 企業(yè)資源: 員工及其賴(lài)

3、以工作的設(shè)施、數(shù)據(jù)、設(shè)備、支持系統(tǒng)、介質(zhì) 人員管理及監(jiān)視,信息安全與信息系統(tǒng)保護(hù),系統(tǒng)安全,操作系統(tǒng)及補(bǔ)丁 病毒 系統(tǒng)入侵 數(shù)據(jù)備份 系統(tǒng)非計(jì)劃停機(jī) 系統(tǒng)崩潰,信息安全與信息系統(tǒng)保護(hù),網(wǎng)絡(luò)安全,網(wǎng)絡(luò)攻擊 漏洞掃描 網(wǎng)絡(luò)竊聽(tīng) 網(wǎng)絡(luò)遠(yuǎn)程訪(fǎng)問(wèn) 無(wú)線(xiàn)網(wǎng)絡(luò)接入 網(wǎng)絡(luò)非法連接,信息安全與信息系統(tǒng)保護(hù),網(wǎng)絡(luò)攻擊的方式,主導(dǎo)攻擊方式Server Side 被動(dòng)攻擊方式Client Side 中間人攻擊方式,用戶(hù),惡意服務(wù)器,攻擊者,服務(wù)器,攻擊者,服務(wù)器,客戶(hù)程序,信息安全與信息系統(tǒng)保護(hù),網(wǎng)絡(luò)攻擊常見(jiàn)過(guò)程,信息收集 獲取用戶(hù)權(quán)限 安裝后門(mén) 擴(kuò)大影響 清除痕跡,利用公開(kāi)信息服務(wù) 主機(jī)掃描與端口掃描 操作系統(tǒng)探測(cè)

4、與應(yīng)用程序類(lèi)型識(shí)別 口令攻擊 SQL注入 緩沖區(qū)溢出 腳本攻擊,以目標(biāo)系統(tǒng)為“跳板”，對(duì)目標(biāo)所屬網(wǎng)絡(luò)的其它主機(jī)進(jìn)行攻擊，最大程度地?cái)U(kuò)大攻擊的效果,信息安全與信息系統(tǒng)保護(hù),攻擊趨勢(shì)一：更加自動(dòng)化,自動(dòng)化的攻擊通常包含四個(gè)階段 掃描潛在有漏洞的機(jī)器。 威脅攻擊有漏洞的主機(jī)。 傳播攻擊。 攻擊工具的并發(fā)管理,信息安全與信息系統(tǒng)保護(hù),趨勢(shì)二：攻擊工具的混和,抗犯罪取證 動(dòng)態(tài)的行為 早期的攻擊工具按照預(yù)定好的單一順序執(zhí)行攻擊步驟。 攻擊工具的模塊化 不像早期的攻擊實(shí)現(xiàn)了一種類(lèi)型的攻擊，現(xiàn)在的工具可以通過(guò)升級(jí)或者替換工具的某個(gè)部分來(lái)快速的改變,信息安全與信息系統(tǒng)保護(hù),趨勢(shì)三：漏洞更新更快,0 Day Ex

5、ploit的概念 Private Exploit和Underground的交易行為 自動(dòng)化分析工具的出現(xiàn),信息安全與信息系統(tǒng)保護(hù),趨勢(shì)四：防火墻攻擊,防火墻不是網(wǎng)絡(luò)安全的最終解決方案； 移動(dòng)代碼，例如ActiveX控件，java& JavaScript等。 安全軟件自身也存在著漏洞,信息安全與信息系統(tǒng)保護(hù),趨勢(shì)五：被動(dòng)攻擊的增加,微軟公布了60多個(gè)IE瀏覽器的漏洞。 Symantec網(wǎng)絡(luò)安全分析報(bào)告：攻擊者的注意力更多地轉(zhuǎn)向Web以及其它客戶(hù)端程序。 SANS Top20:20類(lèi)中有8大類(lèi)是與客戶(hù)端程序漏洞相關(guān)的,信息安全與信息系統(tǒng)保護(hù),趨勢(shì)六：趨于非對(duì)稱(chēng)性,因?yàn)楣艏夹g(shù)的進(jìn)步，單個(gè)的攻擊者可

6、以很容易的利用大量的分布式系統(tǒng)對(duì)一臺(tái)主機(jī)發(fā)起破壞性的攻擊。由于攻擊工具的自動(dòng)配置和組合管理的提高，威脅的非對(duì)稱(chēng)本質(zhì)將繼續(xù)增加,信息安全與信息系統(tǒng)保護(hù),趨勢(shì)七：基礎(chǔ)設(shè)施的威脅,分布式拒絕服務(wù) 蠕蟲(chóng) Internet域名服務(wù)器的攻擊 攻擊或者利用路由器,信息安全與信息系統(tǒng)保護(hù),網(wǎng)絡(luò)安全參考,中文站點(diǎn) 安全焦點(diǎn)：安全網(wǎng)站/網(wǎng)絡(luò)安全焦點(diǎn)自由的信息安全、黑客攻防和漏洞研究組織.htm 綠盟科技：安全網(wǎng)站/綠盟科技.htm 英文站點(diǎn) SecurityFocus：安全網(wǎng)站/SecurityFocus Home Page.htm PacketStorm:安全網(wǎng)站/packet storm.htm Sysint

7、ernals,信息安全與信息系統(tǒng)保護(hù),應(yīng)用安全,賬戶(hù)身份 弱口令、多口令（單口令） 權(quán)限控制 文件加密與破解 電子單據(jù)法律效力 被動(dòng)攻擊“釣魚(yú),常用攻擊工具 L0phtcrack NTSweep NTCrack PWDump,信息安全與信息系統(tǒng)保護(hù),管理安全,系統(tǒng)運(yùn)維制度 緊急預(yù)案 保密協(xié)議 外包管理 變更管理,信息安全與信息系統(tǒng)保護(hù),設(shè)備環(huán)境 設(shè)備資產(chǎn)安保 電力可靠 自然災(zāi)害風(fēng)險(xiǎn),賬戶(hù)身份識(shí)別 弱口令，多口令 應(yīng)用權(quán)限 多角色，跨系統(tǒng) 文件加密 法律效力,系統(tǒng)崩潰 數(shù)據(jù)庫(kù)文件損壞 計(jì)劃外停機(jī) 病毒發(fā)作 版本差異、系統(tǒng)補(bǔ)丁 正在受到攻擊嗎,信息化面臨的安全挑戰(zhàn),網(wǎng)絡(luò)攻擊，漏洞掃描 網(wǎng)絡(luò)鏈路竊聽(tīng)

8、 網(wǎng)絡(luò)遠(yuǎn)程訪(fǎng)問(wèn) 無(wú)線(xiàn)接入 網(wǎng)絡(luò)非法連接,系統(tǒng)運(yùn)維制度緊急預(yù)案 系統(tǒng)事件記錄 運(yùn)行運(yùn)維工作手冊(cè) 廠商、服務(wù)商技術(shù)人員 保密協(xié)議,信息安全與信息系統(tǒng)保護(hù),信息安全技術(shù)體系保障平臺(tái)模型,信息化安全保障模型 如何應(yīng)用？ 應(yīng)用范圍及深度,信息安全與信息系統(tǒng)保護(hù),如何實(shí)施安全措施,明確保護(hù)對(duì)象 明確保護(hù)策略 明確保護(hù)措施 明確投入成本,落實(shí)信息系統(tǒng)等級(jí)保護(hù)工作,信息安全與信息系統(tǒng)保護(hù),什么是等級(jí)保護(hù),信息安全等級(jí)保護(hù)是國(guó)家信息安全保障的基本制度、基本策略、基本方法。 開(kāi)展信息安全等級(jí)保護(hù)工作是保護(hù)信息化發(fā)展、維護(hù)國(guó)家信息安全的根本保障，是信息安全保障工作中國(guó)家意志的體現(xiàn),信息安全與信息系統(tǒng)保護(hù),煙草行業(yè)等

9、級(jí)保護(hù)工作,國(guó)家煙草專(zhuān)賣(mài)局辦公室關(guān)于做好煙草行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知（國(guó)煙辦綜2008358號(hào),信息安全與信息系統(tǒng)保護(hù),信息系統(tǒng)等級(jí)保護(hù)的15級(jí),第一級(jí)：自主保護(hù)級(jí) 適用于一般的信息系統(tǒng),其受到破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生損害,但不損害國(guó)家安全、社會(huì)秩序和公共利 第二級(jí)：指導(dǎo)保護(hù)級(jí) 適用于一般的信息系統(tǒng),其受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成輕微損害,但不損害國(guó)家安全 第三級(jí)：監(jiān)督保護(hù)級(jí) 適用于涉及國(guó)家安全、社會(huì)秩序和公共利益的重要信息系統(tǒng),其受到破壞后,會(huì)對(duì)國(guó)家安全、社會(huì)秩序和公共利益造成損害 第四級(jí)：強(qiáng)制保護(hù)級(jí) 適用于涉及國(guó)家安全、社會(huì)秩序和公共利益的重要

10、信息系統(tǒng),其受到破壞后,會(huì)對(duì)國(guó)家安全、社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害 第五級(jí)：專(zhuān)控保護(hù)級(jí) 適用于涉及國(guó)家安全、社會(huì)秩序和公共利益的重要信息系統(tǒng)的核心子系統(tǒng),其受到破壞后,會(huì)對(duì)國(guó)家安全、社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害,信息安全與信息系統(tǒng)保護(hù),各級(jí)等級(jí)保護(hù)中要求框架,某級(jí)系統(tǒng),物理安全,技術(shù)要求,管理要求,基本要求,網(wǎng)絡(luò)安全,主機(jī)安全,應(yīng)用安全,數(shù)據(jù)安全,安全管理機(jī)構(gòu),安全管理制度,人員安全管理,系統(tǒng)建設(shè)管理,系統(tǒng)運(yùn)維管理,信息安全與信息系統(tǒng)保護(hù),等級(jí)保護(hù)過(guò)程（實(shí)施過(guò)程生命周期,信息安全與信息系統(tǒng)保護(hù),等級(jí)保護(hù)定級(jí)示例銀行系統(tǒng),信息安全與信息系統(tǒng)保護(hù),等級(jí)保護(hù)定級(jí)示例電子政務(wù),信息安全與信息系

11、統(tǒng)保護(hù),等級(jí)保護(hù)與整體防護(hù)煙草網(wǎng)站,評(píng)估 定級(jí)、備案 規(guī)劃設(shè)計(jì) 安全實(shí)施 安全運(yùn)維、調(diào)整 系統(tǒng)緊急預(yù)案,采用了UTM設(shè)備,信息安全與信息系統(tǒng)保護(hù),等級(jí)保護(hù)3級(jí)核心要求,物理安全,網(wǎng)絡(luò)安全,主機(jī)安全,應(yīng)用安全,數(shù)據(jù)安全及備份恢復(fù),安全管理制度,人員管理制度,系統(tǒng)監(jiān)視管理,系統(tǒng)運(yùn)維管理,物理位置的選擇 物理訪(fǎng)問(wèn)控制 防盜和放破壞 放雷擊 防火 防水和防潮 放靜電 溫濕度控制 電力供應(yīng) 電磁防護(hù),身份鑒別 訪(fǎng)問(wèn)控制 安全審計(jì) 剩余信息保護(hù) 通信完整性 通信保密性 抗抵賴(lài) 軟件容錯(cuò) 資源控制,結(jié)構(gòu)安全 訪(fǎng)問(wèn)控制 安全審計(jì) 邊界完整性檢查 入侵防范 惡意代碼防范 網(wǎng)絡(luò)設(shè)備防護(hù),身份鑒別 訪(fǎng)問(wèn)控制 安全審

12、計(jì) 剩余信息保護(hù) 入侵防范 惡意代碼防范 資源控制,數(shù)據(jù)完整性 數(shù)據(jù)保密性 備份和恢復(fù),信息安全與信息系統(tǒng)保護(hù),第二部分：應(yīng)用安全需求,應(yīng)用安全需求 身份如何認(rèn)證 通訊、信息如何安全傳遞 信息如何具有法律效力 應(yīng)用權(quán)限如何實(shí)現(xiàn) 秘密強(qiáng)度與記憶的矛盾,信息安全與信息系統(tǒng)保護(hù),從密碼術(shù)說(shuō)起,信息安全與信息系統(tǒng)保護(hù),換位密碼,公元前5世紀(jì)，古希臘斯巴達(dá)出現(xiàn)原始的密碼器，用一條帶子纏繞在一根木棍上，沿木棍縱軸方向?qū)懞妹魑?，解下?lái)的帶子上就只有雜亂無(wú)章的密文字母。解密者只需找到相同直徑的木棍，再把帶子纏上去，沿木棍縱軸方向即可讀出有意義的明文。這是最早的換位密碼術(shù),信息安全與信息系統(tǒng)保護(hù),單字替代密碼,公元前1世紀(jì)，著名的愷撒(Caesar)密碼被用于高盧戰(zhàn)爭(zhēng)中，這是一種簡(jiǎn)單易行的單字母替代密碼,信息安全與信息系統(tǒng)保護(hù),武王的陰符與陰書(shū),中國(guó)周朝兵書(shū)六韜龍韜也記載了密碼學(xué)的運(yùn)用，其中的陰符和陰書(shū)便記載了周武王問(wèn)姜子牙關(guān)于征戰(zhàn)時(shí)與主將通訊的方式,信息安全與信息系統(tǒng)保護(hù),改變歷史的密碼事件,蘇格蘭瑪麗女王的密碼 公元16世紀(jì)晚期，英國(guó)的菲利普斯(Philips)利用頻度分析法成功破解蘇格蘭女王瑪麗的密碼信，信中策劃暗殺英國(guó)女王伊