版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
信息安全技術(shù)信息安全防范策略四什么是信息安全一為什么需要信息安全二典型信息安全案例三計算機(jī)安全防護(hù)五內(nèi)容信息安全發(fā)展趨勢六一什么是信息安全什么是信息安全?信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運行,信息服務(wù)不中斷。信息安全是一門涉及計算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。從廣義說,凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。一什么是信息安全信息安全的重要性信息作為一種資源,對于人類具有特別重要的意義。信息安全的實質(zhì)就是要保護(hù)信息系統(tǒng)或信息網(wǎng)絡(luò)中的信息資源免受各種類型的威脅、干擾和破壞,即保證信息的安全性。根據(jù)國際標(biāo)準(zhǔn)化組織的定義,信息安全性的含義主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何國家、政府、部門、行業(yè)都必須十分重視的問題,是一個不容忽視的國家安全戰(zhàn)略。但是,對于不同的部門和行業(yè)來說,其對信息安全的要求和重點卻是有區(qū)別的。一什么是信息安全相關(guān)的國家法律法規(guī)
《中華人民共和國計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》《計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》一什么是信息安全信息安全的實現(xiàn)目標(biāo)真實性:對信息的來源進(jìn)行判斷,能對偽造來源的信息予以鑒別。保密性:保證機(jī)密信息不被竊聽,或竊聽者不能了解信息的真實含義。完整性:保證數(shù)據(jù)的一致性,防止數(shù)據(jù)被非法用戶篡改。可用性:保證合法用戶對信息和資源的使用不會被不正當(dāng)?shù)鼐芙^。不可抵賴性:建立有效的責(zé)任機(jī)制,防止用戶否認(rèn)其行為,這一點在電子商務(wù)中是極其重要的。可控制性:對信息的傳播及內(nèi)容具有控制能力??蓪彶樾?對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。一什么是信息安全主要的信息安全威脅竊取:非法用戶通過數(shù)據(jù)竊聽的手段獲得敏感信息。截取:非法用戶首先獲得信息,再將此信息發(fā)送給真實接收者。偽造:將偽造的信息發(fā)送給接收者。篡改:非法用戶對合法用戶之間的通訊信息進(jìn)行修改,再發(fā)送給接收者。拒絕服務(wù)攻擊:攻擊服務(wù)系統(tǒng),造成系統(tǒng)癱瘓,阻止合法用戶獲得服務(wù)。行為否認(rèn):合法用戶否認(rèn)已經(jīng)發(fā)生的行為。非授權(quán)訪問:未經(jīng)系統(tǒng)授權(quán)而使用網(wǎng)絡(luò)或計算機(jī)資源。傳播病毒:通過網(wǎng)絡(luò)傳播計算機(jī)病毒,其破壞性非常高,而且用戶很難防范。一什么是信息安全信息安全威脅的主要來源自然災(zāi)害、意外事故;計算機(jī)犯罪;人為錯誤,比如使用不當(dāng),安全意識差等;“黑客”行為;內(nèi)部泄密;外部泄密;信息丟失;電子諜報,比如信息流量分析、信息竊取等;信息戰(zhàn);網(wǎng)絡(luò)協(xié)議自身缺陷缺陷,例如TCP/IP協(xié)議的安全問題。一什么是信息安全信息安全涉及的主要問題網(wǎng)絡(luò)攻擊與攻擊檢測、防范問題安全漏洞與安全對策問題信息安全保密問題系統(tǒng)內(nèi)部安全防范問題防病毒問題數(shù)據(jù)備份與恢復(fù)問題、災(zāi)難恢復(fù)問題一什么是信息安全企事業(yè)單位面臨的主要信息安全問題人員問題:信息安全意識薄弱的員工誤操作、誤設(shè)置造成系統(tǒng)宕機(jī)、數(shù)據(jù)丟失,信息泄漏等問題特權(quán)人員越權(quán)訪問,如:系統(tǒng)管理員,應(yīng)用管理員越權(quán)訪問、傳播敏感數(shù)據(jù)內(nèi)部員工和即將離職員工竊取單位秘密,尤其是企業(yè)骨干員工流動、集體流動等技術(shù)問題:病毒和黑客攻擊越來越多、爆發(fā)越來越頻繁,直接影響正常的業(yè)務(wù)運作法律方面:網(wǎng)絡(luò)濫用:員工發(fā)表政治言論、訪問非法網(wǎng)站法制不健全,行業(yè)不正當(dāng)競爭(如:竊取機(jī)密,破壞企業(yè)的業(yè)務(wù)服務(wù))二為什么需要信息安全網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬黑客攻擊計算機(jī)病毒信息丟失、篡改、銷毀后門、隱蔽通道蠕蟲信息安全面臨的威脅類型二為什么需要信息安全對信息安全問題產(chǎn)生過程的認(rèn)識環(huán)境威脅方資產(chǎn)系統(tǒng)漏洞管理漏洞物理漏洞威脅(破壞或濫用)利用工具通過三典型信息安全案例分析攻擊的目的純粹為了個人娛樂我能想到最浪漫的事,就是入侵你的電腦-----黑客語錄為了利益間諜,商業(yè)間諜,國防,犯罪三典型信息安全案例分析全國最大的網(wǎng)上盜竊通訊資費案某合作方工程師,負(fù)責(zé)某電信運營商的設(shè)備安裝。獲得充值中心數(shù)據(jù)庫最高系統(tǒng)權(quán)限從2005年2月開始,復(fù)制出了14000個充值密碼。獲利380萬。2005年7月16日才接到用戶投訴說購買的充值卡無法充值,這才發(fā)現(xiàn)密碼被人盜竊并報警。無法充值的原因是他最后盜取的那批密碼忘記了修改有效日期反思:目前是否有類似事件等待進(jìn)一步發(fā)現(xiàn)對第三方的有效安全管理規(guī)范缺失三典型信息安全案例分析北京ADSL斷網(wǎng)事件2006年7月12日14:35左右,北京地區(qū)互聯(lián)網(wǎng)大面積斷網(wǎng)。事故原因:路由器軟件設(shè)置發(fā)生故障,直接導(dǎo)致了這次大面積斷網(wǎng)現(xiàn)象。事故分析:操作設(shè)備的過程中操作失誤或軟件不完善屬于“天災(zāi)”,但問題出現(xiàn)后不及時恢復(fù)和彌補(bǔ),這就涉及人為的因素了,實際上這也是可以控制的。需制定實施的業(yè)務(wù)連續(xù)性管理體系三典型信息安全案例分析希臘總理手機(jī)被竊聽,沃達(dá)豐總裁遭傳喚早在2004年雅典奧運會之前,希臘高官們的手機(jī)便已開始被第三方竊聽,2006年3月份才被發(fā)現(xiàn)。事故原因:沃達(dá)豐(希臘)公司的中央服務(wù)系統(tǒng)被安裝了間諜軟件制定嚴(yán)格的核心操作系統(tǒng)訪問控制流程三典型信息安全案例分析電信員工事件兩名電信公司員工利用職務(wù)上的便利篡改客戶資料,侵吞ADSL寬帶用戶服務(wù)費76.7萬余元事故原因:內(nèi)部安全管理缺失缺乏有效的內(nèi)控措施和定期審計三典型信息安全案例分析其他信息安全事件網(wǎng)絡(luò)廣告:移動大客戶資料,低價出售!有意者聯(lián)系QQ:305410928網(wǎng)絡(luò)廣告:移動金卡銀卡大客戶資料7萬客戶投訴移動內(nèi)部人員泄漏客戶資料某運營商員工利用工作便利散布反動政治言論關(guān)鍵信息的保密性機(jī)制三典型信息安全案例分析釣魚欺騙事件頻頻發(fā)生,給電子商務(wù)和網(wǎng)上銀行蒙上陰影三典型信息安全案例分析安全威脅舉例--熊貓燒香這是一波電腦病毒蔓延的狂潮。在兩個多月的時間里,數(shù)百萬電腦用戶被卷將進(jìn)去,那只憨態(tài)可掬、頷首敬香的“熊貓”除而不盡。反病毒工程師們將它命名為“尼姆亞”。它還有一個更通俗的名字—“熊貓燒香”。三典型信息安全案例分析日常工作中安全威脅沒有及時更新安全補(bǔ)丁沒有安裝殺毒軟件或者沒有及時升級病毒庫代碼打開可疑的郵件和可疑的網(wǎng)站用戶名密碼過于簡單薄弱把機(jī)密數(shù)據(jù)(如財務(wù)數(shù)據(jù))帶回家辦公任意將自己筆記本電腦帶入公司使用隨便把自己的用戶名密碼告訴他人…….四信息安全防范策略信息安全策略信息安全策略是指為保證提供一定級別的安全保護(hù)所必須遵守的規(guī)則。實現(xiàn)信息安全,不但靠先進(jìn)的技術(shù),而且也得靠嚴(yán)格的安全管理,法律約束和安全教育:先進(jìn)的信息安全技術(shù)是網(wǎng)絡(luò)安全的根本保證。用戶對自身面臨的威脅進(jìn)行風(fēng)險評估,決定其所需要的安全服務(wù)種類,選擇相應(yīng)的安全機(jī)制,然后集成先進(jìn)的安全技術(shù),形成一個全方位的安全系統(tǒng);嚴(yán)格的安全管理。各計算機(jī)網(wǎng)絡(luò)使用機(jī)構(gòu),企業(yè)和單位應(yīng)建立相應(yīng)的網(wǎng)絡(luò)安全管理辦法,加強(qiáng)內(nèi)部管理,建立合適的網(wǎng)絡(luò)安全管理系統(tǒng),加強(qiáng)用戶管理和授權(quán)管理,建立安全審計和跟蹤體系,提高整體網(wǎng)絡(luò)安全意識;制訂嚴(yán)格的法律、法規(guī)。計算機(jī)網(wǎng)絡(luò)的許多行為無法可依,無章可循,導(dǎo)致網(wǎng)絡(luò)上計算機(jī)犯罪處于無序狀態(tài)。面對日趨嚴(yán)重的網(wǎng)絡(luò)上犯罪,必須建立與網(wǎng)絡(luò)安全相關(guān)的法律、法規(guī),使非法分子懾于法律,不敢輕舉妄動。四信息安全防范策略安全的基本原則可用性 確保授權(quán)用戶在需要時可以訪問信息并使用相關(guān)信息資產(chǎn)完整性 保護(hù)信息和信息的處理方法準(zhǔn)確而完整機(jī)密性 確保只有經(jīng)過授權(quán)的人才能訪問信息其次你不希望突然有一天發(fā)現(xiàn)自己的錢少了,原來有多少錢現(xiàn)在還是多少錢首先你的錢你不希望別人知道,因為那是你的你肯定希望自己隨時都能隨心所欲的用這筆錢保密性可用性完整性四信息安全防范策略四信息安全防范策略四信息安全防范策略四信息安全防范策略系統(tǒng)加固仿單實訓(xùn)指導(dǎo)方法加強(qiáng)系統(tǒng)登錄帳戶和密碼的安全取消遠(yuǎn)程協(xié)助和遠(yuǎn)程桌面連接禁用危險的系統(tǒng)服務(wù)啟動系統(tǒng)審核策略關(guān)閉137、138、139和445端口禁用系統(tǒng)默認(rèn)共享五計算機(jī)安全防護(hù)五計算機(jī)安全防護(hù)互聯(lián)網(wǎng)安全軟件系統(tǒng)安裝安裝防病毒軟件使用正版防病毒軟件打開文件實時監(jiān)控功能打開郵件實時監(jiān)控功能定時升級病毒庫定期全盤掃描開啟防火墻功能開啟網(wǎng)頁實施監(jiān)控功能開啟木馬監(jiān)控功能設(shè)置系統(tǒng)漏洞自動安裝設(shè)置阻止網(wǎng)頁彈出插件功能禁止自啟動軟件安裝新版本的操作系統(tǒng)斷網(wǎng)安裝操作系統(tǒng)設(shè)置administrator密碼安裝防護(hù)軟件安裝系統(tǒng)補(bǔ)丁1及時進(jìn)行系統(tǒng)補(bǔ)丁更新每日升級病毒庫郵件的附件、QQ或MSN上傳遞的文件先殺毒再打開2移動存儲如U盤、MP3、MP4等使用前先掃描病毒使用網(wǎng)銀,股票等軟件前檢查URL地址是否以http開頭;網(wǎng)址是否完整正確3瀏覽網(wǎng)頁時不要隨便安裝Active插件定期對硬盤進(jìn)行全盤掃描,查殺病毒不要輕易點擊網(wǎng)頁上及彈出窗口的中獎廣告五計算機(jī)安全防護(hù)五計算機(jī)安全防護(hù)檢查是否受到攻擊現(xiàn)象1:QQ、MSN的異常登錄提醒。現(xiàn)象2:網(wǎng)絡(luò)游戲登錄時發(fā)現(xiàn)裝備丟失或和你上次下線時的位置不符,甚至用正確的密碼無法登錄?,F(xiàn)象3:有時會突然發(fā)現(xiàn)你的鼠標(biāo)不聽使喚,在你不動鼠標(biāo)的時候,鼠標(biāo)也會移動,并且還會點擊有關(guān)按鈕進(jìn)行操作。現(xiàn)象4:正常上網(wǎng)時,突然感覺很慢,硬盤燈在閃爍,就象平時在COPY文件。現(xiàn)象5:當(dāng)你準(zhǔn)備使用攝像頭時,系統(tǒng)提示,該設(shè)備正在使用中?,F(xiàn)象6:在你沒有使用網(wǎng)絡(luò)資源時,你發(fā)現(xiàn)網(wǎng)卡燈在不停閃爍。六信息安全發(fā)展趨勢國內(nèi)信息安全現(xiàn)狀分為4級。大部分單位的信息安全處于1.2級別,少部分達(dá)到3級,極少到4級。
第一級別:主要針對外部威脅,采用防火墻、網(wǎng)絡(luò)隔離、防病毒等手段進(jìn)行一些簡單防護(hù);沒有專門的信息安全人員,安全系統(tǒng)管理一般由網(wǎng)絡(luò)管理人員兼任;信息安全僅僅有部分IT人員參與,安全實現(xiàn)的重點在于技術(shù)、物理手段防護(hù)。六信息安全發(fā)展趨勢國內(nèi)信息安全現(xiàn)狀
第二級別:
主要針對外部威脅,在第一級別基礎(chǔ)上增加了對操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)庫等安全防護(hù)手段,例如策略優(yōu)化,定期進(jìn)行補(bǔ)丁更新等;有專門的安全管理員崗位,負(fù)責(zé)各種安全系統(tǒng)的維護(hù);信息安全僅僅有部分IT人員參與,安全實現(xiàn)的重點在于技術(shù)、物理手段防護(hù)。六信息安全發(fā)展趨勢國內(nèi)信息安全現(xiàn)狀
第三級別:
不再限定于外部威脅,開始進(jìn)行內(nèi)部的安全防護(hù),在前兩個級別的基礎(chǔ)上針對一些重要系統(tǒng)增加了一些內(nèi)部防護(hù)、審計手段;有專門的安全部門負(fù)責(zé)公司的信息安全工作,實施了一些安全管理手段,例如安全審批、安全檢查、安全規(guī)范等;不再僅限于IT人與參與,業(yè)務(wù)部門也部分參與到安全工作中。六信息安全發(fā)展趨勢國內(nèi)信息安全現(xiàn)狀
第四級別:
內(nèi)外部同時進(jìn)行防護(hù),更加注重來自內(nèi)部的安全威脅;根據(jù)信息安全標(biāo)準(zhǔn)建立完整的防護(hù)體系,從各個層面上進(jìn)行安全防護(hù),并有專門的安全設(shè)備、安全規(guī)范進(jìn)行約束;有專門的安全部門負(fù)責(zé)信息安全工作并得到領(lǐng)導(dǎo)的有力支持,信息安全工作進(jìn)一步劃分為安全審計、建設(shè)、管理等多種職責(zé);不再僅限于IT人員參與,全部人員均不同程度的參與信息安全工作,例如安全培訓(xùn)、安全建議、信息安全獎懲等。六信息安全發(fā)展趨勢信息安全發(fā)展趨勢主要呈現(xiàn)四大趨勢??偟膩碚f,現(xiàn)在的信息安全技術(shù)是基于網(wǎng)絡(luò)的安全技術(shù),這是未來信息安全技術(shù)發(fā)展的重要方向。
可信化:這個趨勢是指從傳統(tǒng)計算機(jī)安全理念過渡到以可信計算理念為核心的計算機(jī)安全。近年來計算機(jī)安全問題愈演愈烈,傳統(tǒng)安全理念很難有所突破,人們試圖利用可信計算的理念來解決計算機(jī)安全問題,其主要思想是在硬件平臺上引入安全芯片,從而將部分或整個計算平臺變?yōu)椤翱尚拧钡挠嬎闫脚_。目前還有很多問題需要研究和探索,如基于TCP的訪問控制、安全操作系統(tǒng)、安全中間件、安全應(yīng)用等。六信息安全發(fā)展趨勢信息安全發(fā)展趨勢網(wǎng)絡(luò)化:由網(wǎng)絡(luò)應(yīng)用和普及引發(fā)的技術(shù)和應(yīng)用模式的變革,正在進(jìn)一步推動信息安全關(guān)鍵技術(shù)的創(chuàng)新發(fā)展,并誘發(fā)新技術(shù)和應(yīng)用模式的出現(xiàn)。如安全中間件,安全管理與安全監(jiān)控都是網(wǎng)絡(luò)化發(fā)展的帶來的必然的發(fā)展方向;網(wǎng)絡(luò)病毒和垃圾信息防范都是網(wǎng)絡(luò)化帶來的一些安全性問題;網(wǎng)絡(luò)可生存性;網(wǎng)絡(luò)信任都是要繼續(xù)研究的領(lǐng)域……六信息安全發(fā)展趨勢信息安全發(fā)展趨勢標(biāo)準(zhǔn)化:安全技術(shù)也要走向國際,也要走向應(yīng)用,我國政府、產(chǎn)業(yè)界、學(xué)術(shù)界等
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2025標(biāo)準(zhǔn)農(nóng)田建設(shè)合同管理的任務(wù)和方法
- 2025員工個人勞動合同
- 2025年度房屋置換增值服務(wù)全新房屋置換對方房屋置換及增值合同3篇
- 2025農(nóng)村合作建房項目施工臨時用電安全合同2篇
- 二零二五年度公司股權(quán)轉(zhuǎn)讓及后續(xù)管理服務(wù)合同3篇
- 二零二五年度房地產(chǎn)項目合作合同解除協(xié)議2篇
- 二零二五年度農(nóng)產(chǎn)品批發(fā)市場租賃合作合同3篇
- 二零二五年度智能家居產(chǎn)品開發(fā)合作協(xié)議書3篇
- 二零二五年度辦公室租賃合同模板:含員工激勵及福利計劃3篇
- 2025年度互聯(lián)網(wǎng)企業(yè)精英招聘與股權(quán)激勵服務(wù)合同3篇
- 部編人教版四年級數(shù)學(xué)上冊期末考試卷(可打印)
- 一例阿爾茨海默病患者的護(hù)理查房
- 農(nóng)貿(mào)市場安全生產(chǎn)工作方案
- 咸陽租房合同
- 《鋼筋保護(hù)層檢測》課件
- YJ-T 27-2024 應(yīng)急指揮通信保障能力建設(shè)規(guī)范
- 合伙人協(xié)議書決策機(jī)制
- 西藏畜牧獸醫(yī)知識培訓(xùn)課件
- 護(hù)理專業(yè)人才培養(yǎng)方案論證報告
- 我的家鄉(xiāng)武漢
- 眼鏡制造業(yè)灌膠機(jī)市場前景與機(jī)遇分析
評論
0/150
提交評論