《网络与信息安全基本概念介绍培训教材》由会员分享,可在线阅读,更多相关《网络与信息安全基本概念介绍培训教材(53页珍藏版)》请在金锄头文库上搜索。
1、.,网络与信息安全概述,目录,安全基本概念 安全事件分类分级 安全事件监控和处理流程 安全监控工作思路 信息安全基础知识 安全事件案例,安全的相关属性,安全的相关属性,通俗地说,安全就是,进不来,拿不走,改不了,跑不了,看不懂,面向人的威胁,网络与信息安全的重要性,网络与信息安全是国家安全的需要 威胁国家安全 直接经济损失 网络与信息安全是组织持续发展的需要 名誉、信誉受损 正常工作中断或受到干扰 效率下降 网络与信息安全是保护个人隐私与财产的需要 威胁信息私秘性 直接影响对信息交互的信任度,网络与信息安全的基本特征,没有绝对安全的系统,新的漏洞与攻击方法不断被发现,日常管理中的不同配置会引入
2、新的问题,新的系统组件会引入新的问题(安全评测只能证明特定环境与特定配置下的安全),攻击发起的时间、攻击者、攻击目标和攻击发起的地点都具有不确定性,信息安全是一项系统工程,需要技术的和非技术的手段,涉及到安全管理、教育、培训、立法、国际合作与互不侵犯协定、应急恢复等,相对性,实效性,相关性,不确定性,复杂性,网络与信息安全的目标,“Information security protects information from a wide range of threats in order to ensure business continuity, minimize business dama
3、ge and maximize return on investments and business opportunities.”,国际标准化组织ISO发布的信息安全管理标准 ISO/IEC 17799:2005 Code of practice for information security management (信息安全管理实用规则) 中做了如下定义:,网络与信息安全的思考,威胁永远不会消失!,漏洞/脆弱性客观存在!,客观上无法避免的因素 技术发展的局限,系统在设计之初不能认识到所有问题,如Tcp/ip协议 人类的能力有限,失误和考虑不周在所难免,如在编码会引入Bug 主观上没有避免
4、的因素 采用了默认配置而未定制和安全优化 新的漏洞补丁跟踪、使用不及时 组织、管理和技术体系不完善 技术发展和环境变化的动态性,国家间的竞争与敌对势力永远不会消失 企业间谍、攻击者、欺诈与偷窃 内部系统的误用、滥用问题长期存在 新的威胁不断出现使原有防护措施失效或新的威胁产生 ,随着信息化建设,信息资产的价值在迅速增长 资产的无形价值,如商业情报、声誉、品牌等等已远远超过了购买价格 ,资产价值多样化增长!,目录,安全基本概念 安全工作范畴 安全事件分类分级 安全事件监控和处理流程 安全事件案例 安全监控工作思路,恶意软件类:指蓄意制造、传播恶意软件,或是因受到恶意软件的影响而导致的告警事件。包
5、括计算机病毒、木马和蠕虫等。 网络攻击类:包括拒绝服务攻击,是指利用信息系统缺陷、或通过暴力攻击的手段,以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源,从而影响信息系统正常运行为目的的信息安全事件,漏洞攻击等子类。 信息破坏类 :是指通过网络或其他技术手段,造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的安全告警 ,包括网页篡改,钓鱼网站等子类。 信息内容安全类:是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容而导致的安全告警,包括垃圾邮件等子类。 安全设备故障类:是指由于安全设备自身故障或外围保障设施故障而导致的安全告警,包括硬件告警和软件告警子类,也可以归
6、入通信网元类告警事件。,安全事件告警分类,安全告警的级别可参考下列三个要素:系统的重要程度、系统损失和社会影响指蓄意,安全事件告警级别定义,安全告警的分级需要考虑的因素包括:安全告警的原始告警级别、资产的重要等级以及实际安全告警本身相关的信息要素如(告警源和目的IP、事件发生的频率、事件的实际影响程度等等)。 实际安全告警级别设定,需要在此基础上,结合实际的网络情况和告警信息相关要素综合考虑,对安全事件重要等级进行相应调整。 具体级别调整可以根据(但不局限)下列几个条件进行: 安全告警发生的频度 告警事件本身的影响和破坏程度 时间敏感型的安全事件 ,安全事件告警级别调整,目录,安全基本概念 安
7、全事件分类分级 安全事件监控和处理流程 安全事件案例 安全监控工作思路 信息安全基础知识,安全事件监控:负责本省通信网、业务系统和网管系统的安全告警监控,及时发现安全事件并上报,并派单和督促解决。 安全投诉受理:负责本省范围的安全投诉的受理,及时受理并派单和督促解决,及时反馈处理省内处理结果。,安全监控工作,安全事件应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全属性的活动 。 一般包括6个阶段(PDCERF):准备、检测、抑制、根除、恢复和跟进。,安全事件应急响应流程(1),准备阶段:即在事件真正发生前为事件响应做好准备,如应急预案的准备和监控人员和手段的
8、准备。 检测阶段:检测是指以适当的方法确认在系统/网络中是否出现了恶意代码、文件和目录是否被篡改等异常活动/现象。如果可能的话同时确定它的影响范围和问题原因。在操作的角度来讲,事件响应过程中所有的后续阶段都依赖于检测,如果没有检测,就不会存在真正意义上的事件响应。检测阶段是事件响应的触发条件。 抑制阶段:抑制阶段是事件响应的第三个阶段,它的目的是限制攻击/破坏所波及的范围,如对蠕虫病毒传播端口的封堵。 根除阶段:即在准确的抑制事件后,找出事件的根源并彻底根除它,以避免攻击者再次使用相同手段攻击系统,引发安全事件。在根除阶段中将需要利用到在准备阶段中产生的结果,如病毒的根除。 恢复阶段:将事件的
9、根源根除后,将进入恢复阶段。恢复阶段的目标是把所有被攻破的系统或网络设备还原到它们正常的任务状态。 跟进阶段:最后一个阶段是跟进阶段,其目标是回顾并整合发生事件的相关信息。跟进阶段也是6个阶段中最可能被忽略的阶段。但这一步也是非常关键的,如总结如何防范事件的发生等。,安全事件应急响应流程(2),安全事件监控的流程举例如下,应通过电子工单流转并形成闭环 。,安全事件监控流程,目录,安全基本概念 安全事件分类分级 安全事件监控和处理流程 安全监控工作思路 信息安全基础知识 安全事件案例,2007年,总部组织全网开展了以“风险管理”为核心的安全监控。 按照网络与信息安全“风险管理”的本质,对风险进行
10、有效的控制,要着眼损失和影响,首要保护高价值的资产,关注危害较高的威胁。 围绕“重要资产,重要告警,重点监控”的工作目标,以安全告警和资产的关联为重点开展工作。 整理资产基础信息,列出资产的重要程度,包括IP地址等信息。制定资产信息收集和更新的流程。 制定告警预处理手册、安全事件处理及上报流程、安全监控作业计划,优化安全系统的告警配置。将安全告警分类分级,手册标准化。 将告警信息与资产信息进行关联,实现对重要系统,重要告警的重点监控。 实现了具备安全监控手段的一干和省网重要系统58小时的重点安全监控,有效提升了全网安全监控能力。,安全监控工作思路(1),目前,多数省还存在以下问题: 大多数省份
11、由维护人员分别对自己负责维护的网络和系统的进行安全监控,或者由1名安全专业技术人员负责监控,未实现由网管中心监控室实施集中安全监控。 上述方式下,各省做到了58小时的安全监控,但大多数难以开展724小时的安全监控; 各类安全监控手段较为分散,未实现安全监控手段的集中化。 2008年为奥运之年,网络工作会上,公司领导对奥运期间安全监控工作的要求为: “网络安全的攻防人员要建立起来,特别是奥运期间有24小时值班,要保证我们的网络处在可以管理、可以监控的情况下。” 按照上述要求,2008年在全网推行集中化的724小时安全监控的工作势在必行。,安全监控工作思路(2),总部正组织各省开展集中化的724小
12、时网络与信息安全监控工作。 对具备基础安全监控手段的一干和省网重要系统实现集中化的724小时安全监控,重要系统中实现集中化安全监控的比例要达到80%,保证网络在可管、可控的情况下安全运营。 奥运期间加强安全监控,重点监控奥运产品和奥运专项网络保障所涉及的网络和系统发生的重要事件,及时处理安全问题。 制定标准化的集中化安全监控工作流程,操作手册,针对奥运保障完善预处理手册,制定7*24小时安全监控作业计划,安全告警派单的模板。 对于不具备集中化安全监控手段的省公司,应采用将各类基础安全监控手段的操作终端集中、分别查看各终端安全事件的过度方式,开展集中化安全监控;省公司应通过集中化安全监控手段开展
13、集中安全监控,实现高效的一站式安全监控。 各省公司也要组织必要的培训,确保安全监控岗位人员具备安全监控技能,熟悉掌握监控工作手册,并可熟练执行安全监控作业。,安全监控工作思路(3),目录,安全基本概念 安全事件分类分级 安全事件监控和处理流程 安全监控工作思路 信息安全基础知识 安全事件案例,防火墙,防火墙是在不同安全区域之间进行访问控制的一种措施。,什么是防火墙,防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能
14、力。它是提供信息安全服务,实现网络和信息安全的基础设施。 在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和 Internet 之间的任何活动,保证了内部网络的安全。,防火墙工作原理,对IP地址和某些端口进行过滤,防火墙不是万能的,防火墙仅仅是网络安全体系的一个组件 防火墙通常是抵御攻击的第一道防线,经常被有经验的入侵者绕过 防火墙中的“开放”策略通常被利用 防火墙不能安全过滤应用层的非法攻击,如unicode攻击; 防火墙对不通过它的连接无能为力,如内网攻击等; 防火墙采用静态安全策略技术,因此自身无法动态防御新的非法攻击。,入侵检测系统,入侵检测(Intrusi
15、on Detection),顾名思义,是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测的软件与硬件的组合便是入侵检测系统。 (Intrusion Detection System,简称IDS)。 假如说防火墙是一幢大楼的门锁,那入侵监测系统就是这幢大楼里的监视系统。,IDS工作流程示意,数据采集,数据过滤,事件报警/响应,攻击检测/分析,主机,网络,数据采集:网络入侵检测系统(NIDS)或者主机入侵检测系统(HIDS)利用处于混杂模式的网卡来获得通过网络的数据,采集必要的数据用于入侵分析
16、。 数据过滤:根据预定义的设置,进行必要的数据过滤,从而提高检测、分析的效率。 攻击检测/分析:根据定义的安全策略,来实时监测并分析通过网络的所有通信业务,使用采集的网络包作为数据源进行攻击辨别,通常使用模式、表达式或字节匹配、频率或穿越阀值、事件的相关性和统计学意义上的非常规现象检测这四种技术来识别攻击。 事件报警/响应:当IDS一旦检测到了攻击行为,IDS的响应模块就提供多种选项以通知、报警并对攻击采取相应的反应,通常都包括通知管理员、记录在数据库。,IDS部署,传感器可以被放置在业 网络中的任何可能存安 全隐患的网段。 在这些网段中,根据络 流量和监控数据的需来 决定部署不同型号的传 感器。,防火墙与IDS协同工作,00000000000000000000000000000 000000000000000000000000000 00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000,00000000
