《信息资源安全》由会员分享,可在线阅读,更多相关《信息资源安全(98页珍藏版)》请在金锄头文库上搜索。
1、8 信息资源安全主讲人:卢涛8 信息资源安全什么是信息资源安全?信息资源存在哪些安全隐患?如何保障信息资源的安全?讨论一下 为什么信息会面临安全威胁? 大家结合自己的认识和经历,谈谈信息安 全问题有哪些表现?信息安全面临的危胁无处不在CSDN密码泄露事件 2011年12月,中国最大的 程序员网络社区CSDN的安 全系统遭到黑客攻击,600 万用户的登录名、密码及邮 箱遭到泄漏。经排查,金山 毒霸员工疑为隐私泄露源头 ,金山深陷“泄密门”。随后 ,CSDN“密码外泄门“持续 发酵,天涯、世纪佳缘等网 站相继被曝用户数据遭泄密 。天涯网于12月25日发布 致歉信,称天涯4000万用 户隐私遭到黑客
2、泄露。 近日中国互联网发生大规模用户信息泄露 ,CSDN网600W用户数据遭到泄露,网友 从600W用户密码评选出最文艺的密码: ppnn13%dkstFeb.1st,网友纷纷评论认为 该密码:密码牛-人文艺。你能看懂这个密 码什么意思么?“娉娉袅袅十三余 豆蔻梢头二月初” 2009年12月13日,环球时报 报道: 一个参与中国海军潜艇 科研项目的军工科研所发生了重 大泄密事件。多份重要保密资料 和文件,甚至一些关键材料的绝 密技术资料,如潜艇新型隐身材 料、静音技术这样的军工技术机 密都被木马间谍程序从网上窃走 了,落入境外情报机关之手。 谍影憧憧,黑手何在?安全、保密等部门迅速查清了案情:
3、原来又是 境外间谍机构无孔不入的网络窃密攻击。隐藏在伪装外衣下的网络间 谍木马工具寻隙钻入一台违规上网的工作电脑,将其中存储的大量涉 及军工项目的文件资料搜出、下载、传回。难以估量的军事情报损失 就在看似平常的“小疏忽”中酿成了。 “中国潜艇项目曾重大泄密 境外网络间谍窥探机密”中国国防部网站开通第一个月遭230多万次攻击 人民日报2009年11月18日的报道:记者在采访中国 国防部网站()总编季桂林时,季透露中 国国防部网站自8月20日上线以来,网站开通首月即遭 黑客攻击230万次,不过攻击“均未奏效”。“少林寺网站被黑客篡改 贴出方丈悔过书” 2009年11月12日上午,网上各大论坛开始流
4、传所谓少林寺官网贴出的 方丈释永信“悔过书”,自称“对少林寺的现状感到羞愧、痛悔”,并表示“ 不要在商业化这条不归路上越走越远,成为少林寺和佛教的罪人”。据 悉,这是黑客攻击了网站,并篡改了少林寺网站主页所致。信息资源安全的重要意义 国家层面 企业和组织层面 个人层面什么是信息资源安全?信息资源安全的范畴比一般意义上的计算机 安全、软件安全、网络安全更广泛。从信息的层次来看信息的来源、去向和内容的真实无误,信息不会被非 法泄露、扩散以及信息的完整性和保密性保证。从硬件的层次来看包括硬件设备的的物理安全、设备备份、质量保证。什么是信息资源安全?从软件及网络的层次来看包括信息系统和网络随时可用,运
5、行过程中不出现故障 ,若遇意外打击能够尽量减少损失并尽早恢复正常,以 及信息的可靠性保证。从管理的层次来看包括人员的可靠性,安全管理的规章制度是否完善等。窃听什么是信息资源安全?信息资源安全是指在信息的采集、传输、加工、存 储、利用的全过程中,防止与这一过程相关的信息 及其载体、各类硬件设备和软件等被非法破坏、窃 取和使用。保密性( Confidentiality)完整性( Integrity)可用性( Availability)可控性( Controllability)不可否认性( Non-repudiation)可恢复性( Recoverability)可审计性(Auditability)
6、信息的保密性(Confidentiality) 信息的保密性(Confidentiality)是指确保数据 的机密性,保证机密信息不被窃听,或者窃听者 不能了解信息的真实含义,防止未授权的访问即 便被捕获也不会被解析。这是信息资源安全最重 要的,也是最基本的要求。 具体的讲,就是系统能否保证有价值的重要信息 对己方的高可靠性和对敌方的不可用性,同时可 对信息的来源进行判断,能对伪造来源的信息予 以鉴别。换句话说,保密性就是对抗对手的被动 攻击,保证信息不被泄露给未经授权的人。信息的完整性(Integrity) 信息的完整性(Integrity)是指信息在存储 、传输和使用过程中保持不被修改、不
7、被 破坏和不丢失。换句话说,完整性就是对 抗对手主动攻击,防止信息被未经授权的 篡改。保证信息的完整性是信息安全的基 本要求,破坏信息的完整性,则是对信息 安全发动攻击的目的之一。信息的可用性(Availability) 信息的可用性(Availability)是指保障信息无 论在何时、经过何种处理,当需要时能存取所需 信息,即保证信息系统确实为授权使用者所用, 防止由于计算机病毒或者其他人为因素所造成系 统的拒绝使用。另外,信息的可用性还包括具有 在某种不正常条件下继续运行的能力。 信息的可控性(Controllability)信息的可控性是指授权机构对信息及信息系统实施安 全监控,对信息内
8、容及传播具有控制能力,可以控制 授权访问内的信息流向及方向。 信息的不可否认性(Non-repudiation)信息的不可否认性是指确保参与方无法否认自己对数 据的特定操作(如授权、发送和接收等),即建立有 效的责任机制,防止用户否认其行为。 信息的可恢复性( Recoverability)信息的可恢复性是指建立和实施一些安全方案,确保 系统信息被破坏时还能有效获得原有信息资源。什么是信息资源安全?信息资源安全包括信息系统安全和信息资源内容安 全两个方面,并以信息资源内容安全为最终目标。 信息资源安全,通常可以从技术安全和管理安全两 个方面加以保证。技术安全是一种被动的安全保护措施,是在信息资
9、源受 到攻击的情况下发挥作用。管理安全是一种主动的安全预防措施,在信息资源的安 全保护体系中,往往占有更重要的地位。信息资源存在哪些安全隐患?英国政府和互联网安全机构“获 得在线安全”2009年1月26日发布的 调查报告显示,英国去年遭遇网络 欺诈的网民达到350万,占到英国网 民总量的12%。英国每日电讯援引这份报 告说,约170万人遭遇在线购物欺诈 ,占网民总数的6%;遭遇银行账户 或信用卡欺诈的人大约有120万,占 4%。所有遭欺诈网民中,平均每人 损失金额为875英镑(约合1700美元 )。尽管因特网安全越来越受到关注,但仅有48%的受访网民认为网 络安全应该从自身做起。 信息资源存在
10、哪些安全隐患?随着网上交易的日益发 展,3亿多中国网民越来越 多地在网络平台上交易,当 热钱在网络上流动时,黑客 们也在网络上布下“黑洞”吞 噬钱财。“2009江苏(南京)互联 网高峰论坛”发布报告显示 ,一个基于网络的地下黑色 产业链已逐渐形成,中国互 联网用户每年因为网络安全 损失被“黑掉”的钱财竟然高 达76亿! 信息资源存在哪些安全隐患?信息资源的安全问题既可以从客观存在 的角度来看,也可以从主观意识的角度 来看。从客观的角度来看,所看到的将是技术的层 面;从主观的角度来看,所看到的将是社会的层 面。从技术层面看信息资源面临的安全隐患 物理安全物理安全是指围绕网络和信息系统的物理硬件
11、设备及有关信息的安全。主要涉及信息及信息 系统的电磁辐射、抗恶劣工作环境等方面的问 题。面对的威胁主要有自然灾害(如地震、火 灾、水灾等)造成的整个系统的毁灭,电源故 障设备造成的设备断电以致操作系统引导失效 或数据库信息丢失,设备被盗、被毁造成数据 的丢失或信息泄露等。物理安全的主要保护方式有数据校验和系统备 份、电磁屏蔽、抗干扰、容错和冗余等。从技术层面看信息资源面临的安全隐患 运行安全运行安全是指围绕网络与信息系统的运行过程 和运行状态的安全。它主要涉及信息系统的正 常运行与有效访问控制等方面的问题。面对的 威胁包括非法使用资源、越权访问、网络攻击 、网络病毒、网络阻塞、系统安全漏洞利用
12、、 软件质量差和系统崩溃等。运行安全主要的保护方式有防火墙与物理隔离 、访问控制、病毒防治、应急响应、风险分析 、漏洞扫描、入侵检测、系统加固和安全审计 等。从技术层面看信息资源面临的安全隐患 数据安全数据安全是指围绕着数据(信息)的生成、处 理、传输和存储等环节中的安全。主要涉及数 据(信息)的泄露、破坏、伪造、否认等方面 的问题。面对的危胁主要包括对数据(信息) 的窃取、篡改、冒充、抵赖、伪造、密钥截获 和攻击密钥等。数据安全主要的保护方式有加密、认证、访问 控制、鉴别、电子签名、完整性验证和非对称 密钥加密等。从技术层面看信息资源面临的安全隐患 内容安全内容安全是指围绕非授权信息在网络上
13、进行传 播的安全。主要涉及对传播信息的有效控制。 面对的威胁主要包括通过网络迅速传播有害信 息、制造恶意舆论等。主要的保护方式有信息内容的监控和过滤等。从社会层面看信息资源面临的安全隐患 信息资源安全从社会层面的角度来看,反 映在网络空间中的舆论文化、社会行为与 技术环境3个方面。舆论文化社会行为技术环境信息资源存在哪些安全隐患?具体的安全威胁手段:(1)信息泄露信息被泄露或透露给某个非授权的实体。 (2)破坏信息的完整性数据被非授权地进行增删、修改或破坏而受到损失。 (3)拒绝服务对信息或其他资源的合法访问被无条件地阻止。(4)窃听用各种可能的合法或非法的手段窃取系统中的信息资 源和敏感信息
14、。例如对通信线路中传输的信号搭线监 听,或者利用通信设备在工作过程中产生的电磁泄露 截取有用信息等。信息资源存在哪些安全隐患?具体的安全威胁手段:(5)假冒通过欺骗通信系统(或用户)达到非法用户冒充成为 合法用户,或者特权小的用户冒充成为特权大的用户 的目的。黑客大多是采用假冒攻击。 (6)业务流分析通过对系统进行长期监听,利用统计分析方法对诸如 通信频度、通信的信息流向、通信总量的变化等参数 进行研究,从中发现有价值的信息和规律。 (7)授权侵犯 被授权以某一目的使用某一系统或资源的某个人,却 将此权限用于其他非授权的目的,也称作“内部攻击” 。信息资源存在哪些安全隐患?具体的安全威胁手段:
15、(8)旁路控制攻击者利用系统的安全缺陷或安全性 上的脆弱之处获得非授权的权利或特 权。例如,攻击者通过各种攻击手段 发现原本应保密,但是却又暴露出来 的一些系统“特性”,利用这些“特性”, 攻击者可以绕过防线守卫者侵入系统 的内部。 (9)非法使用(非授权访问)某一资源被某个非授权的人,或以非授权的方式使用。 信息资源存在哪些安全隐患?具体的安全威胁手段:(10)特洛伊木马软件中含有一个觉察不出的有害的 程序段,当它被执行时,会破坏用 户的安全。这种应用程序称为特洛 伊木马(Trojan Horse)。 (11)陷阱门 在某个系统或某个部件中设置的“机关”,使得在特定 的数据输入时,允许违反安
16、全策略。(12)抵赖这是一种来自用户的攻击,比如:否认自己曾经发 布过的某条消息、伪造一份对方发来的信息等。信息资源存在哪些安全隐患?具体的安全威胁手段:(13)计算机病毒一种在计算机系统运行过程中能够实现传染和侵害 功能的程序。(14)重放出于非法目的,将所截获的某次合法的通信数据进 行拷贝,而重新发送。(15)人员不慎 一个授权的人为了某种利益,或由于粗心,将信息 泄露给一个非授权的人。信息资源存在哪些安全隐患?具体的安全威胁手段:(16)媒体废弃 信息被从废弃的磁的或打印过的存储介质中获得。(17)物理侵入 侵入者绕过物理控制而获得对系统的访问。(18)窃取 重要的安全物品,如令牌或身份卡被盗。(19)业务欺骗某一伪系统或系统部件欺骗合法的用户或系统自愿 地放弃敏感信息等等 如何保障信息资源的安全?如何保障信息资
