《信息安全现状和发展》由会员分享,可在线阅读,更多相关《信息安全现状和发展(34页珍藏版)》请在金锄头文库上搜索。
1、 信息安全现状和发展1目录o引言o信息系统潜在威胁o安全需求和基本技术o信息安全保障体系o典型网络安全产品o信息安全发展o结语2引言o信息化快速发展,使信息化环境所面临的各种主动和被动攻击的情形越来越严峻,信息系统客观存在的大量漏洞,极易被敌对势力或黑客利用来对系统进行攻击。o美国在2007年9月成立网络司令部,核心任务是保证本国网络安全和袭击他国核心网络,有攻也有防,被外界称为“黑客”司令部,对我国信息安全形成了严重的威胁。 o我国信息化建设和反军事斗争准备的紧迫形势下,党政军各类信息系统和信息本身的安全问题已经成为积极防 御和体系对抗的重要环节。 3引言l2006年5月中办和国办发布200
2、6-2020年国家信息化发展战略,对未来我国信息化发展的目标、任务、战略重点以及措施等都做出了系统部署。l九大战略重点:推进国民经济信息化;推行电子政务;建设先进网络文化;推进社会信息化;完善综合信息基础设施;加强信息资源的开发利用;提高信息产业竞争力;建设国家信息安全保障体系;提高国民信息应用能力,造就信息化人才队伍。 4引言l2006年4月,国家信息化领导小组副组长曾培炎副总理对国家信息化专家咨询委员会提出的要求有四条:一是总结信息化发展的历史经验和教训,研究信息化发展的趋势规律,探索符合中国国情的信息化模式。二是研究信息领域的重大技术问题。如集成电路设计与制造、新一代移动通信、下一代互联
3、网、数字电视、信息安全等技术,实现关键领域的突破。三是研究推广应用信息技术的政策措施 。四是研究有利于推进信息化的体制机制。 5信息系统潜在威胁被动攻击:一般在信息系统的外部进行,对信息网络 本身一般不造成损坏,系统仍可正常运行,但有用的 信息可能被盗窃并被用于非法目的。o信息窃取:攻击者从传输信道、存储介质等处窃取 信息。o密码破译:对截获的已加密信息进行密码破译,从 中获取有价值的信息。o信息流量分析:对网络中的信息流量和信息流向进 行分析,得出有价值的情报。6信息系统潜在威胁主动攻击:直接进入信息系统内部,往往会影响系统 的运行,造成巨大的损失,并给信息网络带来灾难性 的后果。o入侵:利
4、用系统或网络漏洞,远程访问、盗取口令 ,借系统管理之名等方法进入系统,进行攻击。o假冒:假冒合法用户身份、执行与合法用户同样的 操作,行欺骗和攻击之实。o窜改、插入、重放、阻塞、施放病毒:进入被攻击 系统后的攻击手段。o抵赖:对发送或接收行为进行抵赖。7信息系统潜在威胁黑客攻击手法目标地址范围确定、名字 空间查询对目标系统的监听和评估 分析针对有效用户账号或共享 资源,进行更多入侵探询收集足够的信息,得以成 功访问目标从对用户级的访问权限到 对系统的完全控制信息进一步攫取,确定可 信系统的入侵机制和途径一旦目标系统已全部控制 ,掩踪灭迹 不同部位布置陷阱和后门 ,需要时获得特权访问如果入侵不成
5、功,可用漏 洞代码来使目标系统瘫痪打开源查询;whois;whois的Web接口;ARIN whois;DNA 区域传送Ping sweep;TCP/UDP端口扫描;OS检测列出用户账号;列出共享文件;确定各种应用密码窃听;共享文件的蛮力攻击;攫取密码;文件缓冲区 溢出密码破解;利用已知漏洞和脆弱点评估可信系统的坚固度;搜索明文密码清除日志记录;掩藏工具创建“无赖”账号;安排批处理作业;感染初启文件;置 入远程控制程序;安装监控机制;利用特洛伊木马替换应 用 SYN flood;ICMP技术;同一src/dst SYN请求;重叠 fragment/offset错误(bugs);Out of b
6、ounds TCP options(OOB);DDoS踩点扫描查点成功访问特权提升偷窃掩踪灭迹创建后门拒绝服务 攻击 8信息系统潜在威胁企图联网企图联网100 占攻击者百分比 注册保护注册保护95 注册入网取得部分权限注册入网取得部分权限13存取通用数据库存取通用数据库9 进入编程环境进入编程环境4进入系统管理员权限进入系统管理员权限29安全需求和基本技术o安全五性需求 真实性真实性 机密性机密性 完整性完整性 不可抵赖性不可抵赖性 可用性可用性安全基本技术身份认证身份认证加密保护加密保护数据完整性数据完整性数字签名数字签名访问控制访问控制安全管理安全管理10信息安全保障体系经历了三代:l通信
7、保密(COMSEC)时代: 19世纪70年代前,重点是通过密码技术解决通信保密问题,主要安全 威胁是搭线窃听和密码分析,采用的保障措施就是 加密,确保保密性和完整性。l其时代标志是1949年Shannon发表的保密通信 的信息理论和1977年美国国家标准局公布的数据 加密标准(DES)。11信息安全保障体系l信息安全(INFOSEC)时代:20世纪7090年代 ,重点是确保计算机和网络的硬件、软件和传输、 存储和处理的信息的安全。主要安全威胁是非法访 问、恶意代码、网络入侵、病毒破坏等。主要保障 措施是安全操作系统(TCB)、防火墙、防病毒软件 、漏洞扫描、入侵检测、PKI、VPN和安全管理等
8、。l其时代标志是1985美国国防部公布的可信计算机 系统评价准则(TCSEC)和ISO的安全评估准则CC( ISO 15408)。 12信息安全保障体系l信息安全保障(IA)时代:90年代后期至今, 不仅是对信息的保护,也包括信息系统的保护和 防御,包括了对信息的保护、检测、反应和恢复 能力。信息保障强调信息系统整个生命周期的防 御和恢复,同时安全问题的出现和解决方案也超 越了纯技术范畴。l典型标志是美国国家安全局制定的信息保障 技术框架(IATF)。13信息安全保障体系o信息保障(Information Assurance)概念最早由美国防部在1995年S-3600.1信息作战指令中提出:“
9、通过确保信 息和信息系统的可用性、完整性、鉴别性、保密性和不可抵 赖性来保护信息和信息系统的信息作战行动,包括综合利用 保护、探测和响应能力恢复系统的功能”。o信息保障概念很快被政府各部门和工业界广泛接受,1998 年5月22日,美国政府颁发了保护美国关键基础设施总统 令(PDD-63)。围绕“信息保障”成立了多个组织,其中包括全国信息保障委员会、全国信息保障同盟、关键基础设施保 障办公室、首席信息官委员会、联邦计算机事件响应能动组 等10多个全国性机构。14信息安全保障体系o美国国家安全局(NSA)在1998年发布了信息保 障技术框架(IATF),2002年9月发布了3.1版。15多层防护案
10、例信息安全保障体系骨干网骨干网骨干网骨干网帧中继 电路SDH信道IP局域网IP局域网IP局域网骨干节点ATM接入 交换机ATM 交换机节点路由器无ATM 交换机节点路由器路由器PSTN/ISDN拨号 服务器ATM接入 交换机广域网IP密码机IP密码机IP密码机 防火墙防火墙防火墙边界防护帧中继 密码机帧中继 密码机高速信道 密码机 高速信道 密码机广域防护PC+安全套件IDS、防病毒安全客户 应用IDS、防病毒IDS、防病毒安全服务器安全服务器安全客户 应用安全客户 应用局域防护16信息安全保障体系信息保障不只是依靠安全防护措施对信息 和信息系统进行静态的安全防护,而是基于整 个信息保障体系,
11、最终实现对于信息和信息系 统持续的动态的安全性保证。这个保障体系包 括由防护、检测、响应、恢复(PDRR)等四个 环节组成的信息保障体系。17信息安全保障体系PDRR:l防护(P):采用相关安全策略、机制、管理、服务 和安全产品,实现系统的安全防护。l检测(D):使用实时监控、入侵检测、漏洞扫描等 技术,对系统进行安全检测。 l响应(R):对安全事件作出快速反应,尽量减少和 控制对系统影响的程度。 l恢复(R):对遭受破坏的系统数据和系统服务进行 恢复和重建。 18信息安全保障体系信息安全保障体系是以往著名安全体系的发展:l信息系统安全工程(ISSE):信息保护系统的需求分析、 定义、设计、实
12、施和评估。l信息系统生命周期:系统的启动、建设、安装、评估、运 维、废弃六个阶段。l风险管理:调整和权衡影响安全保障的每一个因素的目标 ,从而获得适当的总体信息安全保障。l公共准则(CC):系统的安全功能要求(11类,保护轮廓 PP),和满足该要求的安全保证要求(7个等级,安全目标ST )19信息安全保障体系l2003年中共中央办公厅和国务院办公厅转发国家信息 化领导小组关于加强信息安全保障工作的意见的通知(中 办发200327号),第一次把信息安全提到了促进经济发展 、维护社会稳定、保障国家安全、加强精神文明建设的高度 ,并提出了“积极防御、综合防范”的信息安全管理方针。l2003年7月成立
13、了国家计算机网络应急技术处理协调中心 (CNCERT/ CC),协调全国的CERT组织对全国范围内计算机 应急处理有关的数据进行统计,协同处理大规模网络安全事 件,为国家重要部门提供应急处理服务。 20信息安全保障体系l2005年9月,国务院信息化工作办公室引发电子政务信息安全等级保护实施指南(试行),将我国信息安全分五级防护:自主保护级、指导保护级、监督保护级、强制保护级、专控保护级。l最近,中共中央办公厅、国务院办公厅印发了2006-2020年国家信息化发展战略,将建设国家信息安全保障体系列入我国信息化发展的战略重点。 21信息安全保障体系l国家计算机网络应急技术处理协调中心统计,今年上半
14、年监测到大陆地区1,000,372个IP地址的主机被植入木马,比去年全年的44,717个IP地址增加了20多倍。l据有关方面统计,美国每年由于网络安全问题而遭受的经济损失超过170亿美元,德国、英国也均在数十亿美元,法国为100亿法郎,日本、新加坡问题也很严重。l据国家计算机网络应急技术处理协调中心估计,我国网络犯罪形成的黑色产业链的年产值已超过2.38亿元,造成的经济损失超过了76亿元。 22信息安全保障体系l国防上的各类军事电子信息装备与系统,各类武器 平台电子信息装备,以及各种军用软件、电子基础产品 、国防电子信息基础设施的建设等都需要信息安全保障 。l国家的各种重大电子信息系统工程的建
15、设、党政网 络建设、政务系统建设等,还有商用、民用的电子信息 软件、组件、整机和系统等也都需要信息安全的保障。l只要有信息系统的存在,就一定有信息安全的需要 ,信息安全已经成为信息系统的一个必要的组成部分了 。 23信息安全保障体系信息安全系统组成国家保密局在2001年发布的“涉 及国家秘密的计算机信息系统安全 保密方案设计指南”,BMJ2- 2001 24信息安全保障体系l2005年,中国网络安全产品市场的总销售额达44.61亿元 ,比2004年增长了9.69亿元。l国家信息化安全市场分为五个安全领域:国家基础设施 信息化、电子政务、电子商务、产业信息化和城市信息化( 包括人民生活信息化)。
16、l国家信息基础设施包括国防、金融、电力、工业、商业 、政府等范畴内信息基础设施,其安全建设存在着巨大建设 空白,需要在国家信息化领导小组统一领导和各相关部门的 配合下,建立国家基础设施信息安全的专门防护、监管、应 急与威慑力量,建设提供国家基础设施安全装备与技术的产 业骨干企业体系。 25信息安全发展宽带无线移动通信安全:如何保证4G融合 的系统?3G、3G+WLAN WMAN2G短距离连接有线方式 xDSL、FTTx数字广播上行信道下行信道新的无线接口业务与应用基于IP的 核心网络26信息安全发展网络中心企业服务的安全lNCES是美军国防转型的一个重点,是为满足网络中 心战的需要,从公共运作环境(COE)演变而来的一种 新型分布式的服务架构。l以服务的可视、可访问、可理解、可信、可互 操作和可响应为目标。27信息安全发展网络中心企业服务的安全:IA是9个核心企业服务之一, 并嵌入到所有其它服务中用户后勤人员军务传感器武器系 统指挥控 制其它IA(安全)发现文电协同存
