《陕西省财政系统信息安全培训》由会员分享,可在线阅读,更多相关《陕西省财政系统信息安全培训(193页珍藏版)》请在金锄头文库上搜索。
1、单击此处编辑母版标题样式单击此处编辑母版副标题样式*1陕西省财政系统 信息安全培训1内容提纲 国家信息安全产业概述 财政行业安全发展情况 信息安全 信息安全管理2内容提纲 国家信息安全产业概述 财政行业安全发展情况 信息安全 信息安全管理3国家信息安全产业概述 我国信息化安全产业大致可以划分三个发 展阶段:4 第一阶段:1995年以前,以通信保密和依照TCSEC的计 算机安全标准开展计算机的安全工作,其主要的服务对 象是政府保密机构和军事机构。 主要从事这方面的工作的是一些科研机构和军事机构5 第二阶段:在原有基础上,1995年开始,一批从事信息 化安全企业的诞生为标志的创业发展阶段,主要从事
2、计 算机与互联网的网络安全。 从1999年起,将信息安全的工作重点逐步转移到银行与 电信信息化安全建设上。2000年我国第一个行业性质的 银行计算机系统安全技术规范出台,为我国信息化 安全建设奠定了基础和树立了示范。 这个时期主要提供的是隔离、防护、检测、监控、过滤 等中心的局域网安全服务技术与产品,其主要面对病毒 、黑客和非法入侵等威胁。到2001年,一时间全国成立 近千家从事信息化安全的企业。6第三阶段:以2002年成立中国信息产业商会信息安全产业分会为标志的有 序发展阶段。这个阶段不仅从事互联网的信息与网络安全,而且开始对国 家基础设施信息化安全开展工作,产生了许多自有知识产权的信息与网
3、络 安全产品。 2002年法论功对我国广电和信息基础设施的攻击,从反面促使了我国信息 安全产业的发展。与此同时,我国电子政务、银行、证券、保险、电信、 电力、铁路、交通、民航、海关、税收、工商、公安、安全、保密、机要 和军队都相应开展了信息化安全建设,信息化安全建设已经在信息化全方 位领域中进行,信息化安全得到了普遍的重视。 在这个阶段,有大批的信息安全企业创立,同时也有大批的信息安全企业 倒闭或者改做其他,一些优秀企业更加强大,企业资产得到了较大增加。 与此同时,一些国内重要的IT企业或许多上市公司开始积极介入信息安全 产业,推动了信息安全产业规模扩大。这个时期的技术与产品逐步走向产 品芯片
4、化、客户化、平台化和高技术化,并促进了信息安全管理平台的研 究与开发。信息化安全的品牌和知识产权的工作得到更多的重视和加强。 在企业的呼吁下,相关部门的推动下,我国信息安全产业出台了中国信 息安全产业反不正当公约,为建立“遵纪守法、诚信自律、公平竞争和 共同监督”的市场秩序,奠定了基础。7目前,信息安全产业正在进入新的发展时期这个时期表现在对十年来信息化安全建设进行总结与分析,树立信 息化安全新认识,并在此基础上奠定信息化安全的新起点,从而开 辟信息化安全的新领域,积极培养新的发展增长点将发挥重要作用 。这个时期主要受到未来信息化安全自主保障、监管、应急和威慑体 系建设巨大需求的牵引而逐步展开
5、的,积极推动以多代理技术、标 签技术、无第三方认证技术、监管技术、对抗技术等适合于大范围 网络环境、针对超海量数据对象和满足高智能应用与管理的新型技 术与产品研发工作的开展上。推出了可信网络平台(TNP)、可信 应用平台(TAP)和可信计算平台(TCP)的新型市场理念上。8内容提纲 国家信息安全产业概述 财政行业安全发展情况 信息安全 信息安全管理9财政行业安全发展情况 财政监管现代化系统是保持国家财政稳定 、规避和化解财政风险以及确保财政信息 化安全发挥效益的最重要的建设。 10财政行业安全发展情况目前实施的“金财工程”(也称之为国家财政管理信息系统,英文 缩写为GFMIS)是财政部领导根据
6、党中央国务院对财政部要求的指 挥、决策和管理政府财政系统体系。GFMIS是利用先进的信息技术 ,支持以预算编制、国库集中收付和宏观经济预测为核心应用的政 府财政管理信息综合系统,覆盖各级政府财政管理部门和财政资金 使用部门,全面支持部门预算管理、国库单一账户集中收付、宏观 经济预测和办公自动化等方面的应用需求。为了支撑部门预算管理 和国库集中收付制度改革,按照建立我国公共财政系统框架的总体 要求,建设先进的政府财政管理信息系统,有利于预算管理的规范 化,提高国库资金的使用效率,提高政府财政管理决策的科学性, 增大财政管理的透明度,有利于加强廉政建设。GFMIS系统体系结 构依然属于传统联机事务
7、处理(OLTP)和联机分析处理(OLAP) 可视化管理信息系统。 11财政行业安全发展情况 GFMIS安全威胁包括敌对国家和国内外组织、敌对犯罪 分子以及黑客的攻击,造成政府财政管理信息的泄露、 篡改和删节,造成政府财政管理信息需要使用时不可用 等。GFMIS实施了信息保障技术框架防护措施。在信息 化安全建设方面做了较多的考虑,但是由于信息化安全 的观念依然是建立在“数据与系统(软硬件、网络等) 安全保障”之上,整个信息化安全理念依然是在上世纪 90年代中期发展起来的局域网安全观念。对于网络与系 统的虚拟世界的“行为与内容的监管”和“大范围的网 络环境的安全问题”基本上没有考虑。金财工程的风险
8、 观念和安全问题应当进行调整,在新起点和新高度上, 进行补充总体规划。实现可信网络平台(TNP)建设。 12内容提纲 国家信息安全产业概述 财政行业安全发展情况 信息安全 信息安全管理13信息安全什么是信息安全 信息安全的目标 信息安全的内容 信息资产的安全属性 为什么需要信息安全 如何建立安全需求 评估安全风险 选择控制措施 信息安全起点 关键的成功因素 风险评估和处理 术语和定义14信息安全-什么是信息安全 信息安全是通过实施一组合适的控制措施 而达到的,包括策略、过程、规程、组织 结构以及软件和硬件功能。在需要时需建 立、实施、监视、评审和改进这些控制措 施,以确保满足该组织的特定安全和
9、业务 目标。这个过程应与其他业务管理过程联 合进行。15信息安全-信息安全的目标 信息安全是保护信息免受各种威胁的损害 ,以确保业务连续性,业务风险最小化, 投资回报和商业机遇最大化。16信息安全-信息安全的目标 信息安全是保证信息的一系列安全属性从 而达到对组织业务盈利能力的支撑作用; 这个目标是通过一系列的控制措施来实现 的,这些措施应该覆盖信息安全相关的各 个方面,包括信息、信息处理措施、信息 处理者和衍生出来的信息的安全利用。17信息安全-信息安全的内容 信息传输的安全 信息存储的安全 信息内容的审计18信息安全-信息安全的内容 鉴别 鉴别:对网络中的主体进行验证的过程。 鉴别主体身份
10、的方法: A主体的口令、密钥等 B主体携带的智能卡和令牌卡等 C只有该主体具有的独一无二的特征和能力 :指纹、声音、视网膜、签名等19信息安全-信息安全的内容 信息传输的安全 数据传输安全系统 A.数据传输加密技术该技术的目的是对传输中的数据流加密,以防止 通信线路上的窃听、泄露、篡改和破坏等不良 操作;实现方式:链路加密,位于OSI网络层以下的加 密;节点加密,端到端加密,传输前对文件加 密,位于OSI网络层以上的加密。20信息安全-信息安全的内容 信息传输的安全 A.1链路加密侧重通信链路而不考虑信源和信宿,是对保密信息通过 各链路采用不同的加密密钥提供安全保护。此加密是面向节点的,对于网
11、络高层的主体是透明的, 对高层的协议信息(地址、检错、帧头、帧尾)都加密 ,中间节点必须解密得到明文信息。21信息安全-信息安全的内容 信息传输的安全 A.2端到端加密信息由发送端自动加密,并进入TCP/IP数据包封装,进 入不可阅读和不可识别的数据的数据在网络上传输;这些信息一旦到达目的地,将自动重组、解密,成为明 文可读数据。端到端加密是面向网络高层主体的,它不对下层协议进 行加密,协议信息可以以明文形式传输,用户数据在中 间节点不需解密。22信息安全-信息安全的内容 信息传输的安全 B数据完整性鉴别传统的动态传输的信息,许多协议确保信 息完整性的方法大多是收错重传、丢弃后 续包的办法,但
12、黑客的攻击可以改变信息 包内部的内容,需采取有效的措施进行数 据完整性的控制。23信息安全-信息安全的内容信息 信息传输的安全 数据完整性鉴别的方法: 1、报文鉴别 2、校验和 3、加密校验和 4、消息完整性编码MIC(Message Integrity Code)24信息安全-信息安全的内容信息 信息传输的安全5、防抵赖技术包括对源和目的地双方的证明,常用的方法是数字签名 。数字签名采用一定的数据交换协议,使得通信双方能够 满足两个条件:接收方能够鉴别发送方所宣称的身份;发送方以后不能否认他发送 过数据这一事实,反之亦然。其他防抵赖的途径:采用可信的第三方的权标、使用时 间戳、采用在线的第三
13、方、数字签名与时间戳相结合等 。25信息安全-信息安全的内容 信息存储的安全 数据存储安全系统在信息系统中存储的信息主要包括纯粹的数据 信息和各种功能文件信息两大类。纯粹的数据信息,以数据库信息的保护最为典 型;各种功能文件的保护,终端安全很重要。其他:纸质的各种文件,移动存储的数据信息等 等。26信息安全-信息安全的内容 信息存储的安全 A数据库安全 a.1物理方面:数据能够免于物理方面的破坏(电、火灾等) a.2逻辑方面:能够保持数据库的结构,如对一个字段的修改不 至于影响其他字段 a.3元素方面:包括在每个元素中的数据是准确的 a.4数据的加密:数据库内容的安全性 a.5用户鉴别:确保每
14、个用户被正确识别,避免非法用户入侵 a.6可获得性:指用户一般可访问数据库和所授权访问的数据 a.7可审计性:能够跟踪到谁访问过数据库,做过什么,操作成功与 否27信息安全-信息安全的内容 信息存储的安全 B终端安全b.1基于口令或(密码)算法的身份认证,防止非法使用机器 b.2自主和强制存取控制,防止非法访问文件 b.3多级权限管理,防止越权操作 b.4存储设备的安全,防止非法软/硬盘拷贝和启动 b.6数据和程序代码机密存储,防止信息被窃 b.7预防病毒 b.8审计跟踪,便于追查事故28信息安全-信息安全的内容 信息内容的审计 信息内容的审计实时对进出网络的信息进行内容审计,以防止或 追查可
15、能的泄密行为和非法信息 进行内容审计的前提条件:必须对网上流动的数据包进行内容还原,然 后再根据设定的条件,如关键字进行内容管 理29信息安全-信息安全的内容 信息内容的审计 内容审计管理的重点技术 解密 信息插入主要是对各类应用协议进行内容还原30信息安全-信息安全的内容 信息内容的审计 信息内容审计的过程 1.网络数据的捕获技术方法:网络监听,透明网关,网络代理等 2.协议还原技术网络协议还原:在高效传输的网络过程中包含 了大量的协议,需要从有效信息中剔出协议数 据。 内容审计领域主要分析的协议有: HTTP、FTP 、SMTP 、POP3 、TELNET 、 IM31信息安全-信息安全的
16、内容 信息内容的审计3.内容分析技术过滤技术是针对网上不良信息进行阻断的技术。从实现的方法上来看信息过滤技术有两类: 旁路阻断 存储转发阻断32信息安全-信息安全的内容 信息内容的审计旁路阻断采用旁路侦听的手段来获取网络上的数据包,然 后在进行协议还原,根据内容进行阻断。优缺点:不影响网络访问速度,对用户来说没有特殊的设 置要求。比较适合TCP应用的封堵,如网页访问等。对于 特殊的应用如邮件应用,彻底阻断有一定的苦 难。33信息安全-信息安全的内容 信息内容的审计存储转发阻断就是通常所说的通过代理网关或透明网关来实现对网络 数据的控制。优缺点:可以根据审定条件对存储转发的多种协议进行过滤,可 以实现对邮件(SMTP、POP3协议)应用的过滤。网络访问有延迟,控制策略越复杂延迟越大,对于时间 较为敏感的应用影响较大,可能会影响稳定性,有些时 候需要更改终端用户的配
