《网络信息安全概述与信息系统风险分析讲座课件》由会员分享,可在线阅读,更多相关《网络信息安全概述与信息系统风险分析讲座课件(163页珍藏版)》请在金锄头文库上搜索。
1、2022/7/120河北师范大学信息技术学院 2019.9.28赵冬梅Email:zhaodongmei666126网络信息安全概述与网络信息安全概述与信息系统风险分析信息系统风险分析河北师范大学信息技术学院.2022/7/121网络信息安全概述与信息系统风险分析网络信息安全概述与信息系统风险分析1网络信息网络信息安全状况安全状况2网络信息网络信息安全概述安全概述3信息安全信息安全风险分析风险分析河北师范大学信息技术学院.2022/7/122网络信息安全状况l2019年十大安全事件l2019年信息网络安全状况l计算机病毒感染状况河北师范大学信息技术学院.2022/7/1232019年十大安全事
2、件l苹果苹果iOS 6.1.3修复版发现另一个锁屏旁路漏洞修复版发现另一个锁屏旁路漏洞河北师范大学信息技术学院.2022/7/1242019年十大安全事件lMega用户:一次被黑,则终生被黑用户:一次被黑,则终生被黑河北师范大学信息技术学院.2022/7/1252019年十大安全事件l著名黑客、积极行动主义者著名黑客、积极行动主义者Aaron Swartz自杀自杀身亡身亡河北师范大学信息技术学院.2022/7/1262019年十大安全事件l美国国家安全局丑闻的背后是新闻的真实性缺美国国家安全局丑闻的背后是新闻的真实性缺失失河北师范大学信息技术学院.2022/7/1272019年十大安全事件l美
3、国众议院通过网络情报共享与保护法案:是美国众议院通过网络情报共享与保护法案:是否表示美国宪法第四修正案走向终结否表示美国宪法第四修正案走向终结?河北师范大学信息技术学院.2022/7/1282019年十大安全事件l美国国土安全部提醒用户禁用美国国土安全部提醒用户禁用Java应对零日攻应对零日攻击击河北师范大学信息技术学院.2022/7/1292019年十大安全事件l匿名黑客组织公开匿名黑客组织公开4000多位美国银行家登录账多位美国银行家登录账户和证书等信息户和证书等信息河北师范大学信息技术学院.2022/7/12102019年十大安全事件l在在Windows和和Mac操作系统上,如何禁用浏览
4、操作系统上,如何禁用浏览器器Java控件控件河北师范大学信息技术学院.2022/7/12112019年十大安全事件l脸谱网脸谱网“shadow profiles”出现漏洞出现漏洞 公众表示愤公众表示愤怒怒河北师范大学信息技术学院.2022/7/12122019年十大安全事件l匿名黑客组织开展匿名黑客组织开展“Operation Last Resort”黑客行动黑客行动 美国联邦政府无力招架美国联邦政府无力招架河北师范大学信息技术学院.2022/7/12132019年信息网络安全状况l恶意程序增速明显放缓恶意程序增速明显放缓河北师范大学信息技术学院.2022/7/12142019年信息网络安全状
5、况河北师范大学信息技术学院.2022/7/12152019年信息网络安全状况l木马攻击更加精准和隐蔽木马攻击更加精准和隐蔽河北师范大学信息技术学院.2022/7/12162019年信息网络安全状况lAPT攻击瞄准高价值情报信息攻击瞄准高价值情报信息 lAPT(AdvancedPersistentThreat)攻击是指针对特定组织或目标进行的高级持续性渗透攻击,是多方位的系统攻击。极光行动、夜龙攻击、震网病毒(超级工厂病毒)、暗鼠行动等都是APT攻击的著名案例。河北师范大学信息技术学院.2022/7/12172019年信息网络安全状况l网络存储和共享成为木马新兴渠道网络存储和共享成为木马新兴渠道
6、 河北师范大学信息技术学院.2022/7/12182019年信息网络安全状况l钓鱼网站呈现快速增长势头钓鱼网站呈现快速增长势头河北师范大学信息技术学院.2022/7/12192019年信息网络安全状况河北师范大学信息技术学院.2022/7/12202019年信息网络安全状况河北师范大学信息技术学院.2022/7/12212019年信息网络安全状况l虚假购物占钓鱼网站总量的虚假购物占钓鱼网站总量的33.3%河北师范大学信息技术学院.2022/7/12222019年信息网络安全状况l企业面临多种安全风险企业面临多种安全风险 河北师范大学信息技术学院.2022/7/12232019年信息网络安全状况
7、l网站安全性问题迫在眉睫网站安全性问题迫在眉睫 河北师范大学信息技术学院.2022/7/12242019年信息网络安全状况l网站安全性问题迫在眉睫网站安全性问题迫在眉睫 河北师范大学信息技术学院.2022/7/12252019年信息网络安全状况l拖库风险与篡改现象日益加剧拖库风险与篡改现象日益加剧 l由于大量网站存在高危安全漏洞,就为黑客入侵网站提供了可乘之机。2019年,网站遭遇黑客攻击的事件频频发生,拖库与篡改的案例时有发生。所谓拖库,是指黑客入侵网站后将网站数据库中的数据导出。而黑客拖库的主要目标就是窃取用户的帐号、Email和密码。河北师范大学信息技术学院.2022/7/1226201
8、9年信息网络安全状况l流量攻击威胁中小网站生存流量攻击威胁中小网站生存河北师范大学信息技术学院.2022/7/12272019年信息网络安全状况l网站安全将成为安全服务新焦点网站安全将成为安全服务新焦点 l对于拖库风险和数据篡改,最有效的防范措施就是尽快修补系统漏洞,提高网站自身的安全性。特别是对于普遍存在的,黑客攻击也比较集中的跨站脚本漏洞、SQL注入漏洞和WEB后门漏洞,网站开发者应当及时检测并予以修补。河北师范大学信息技术学院.2022/7/1229网络安全管理情况河北师范大学信息技术学院.2022/7/1230河北师范大学信息技术学院.2022/7/1231我国计算机用户病毒感染情况河
9、北师范大学信息技术学院.2022/7/1233我国计算机病毒传播的主要途径河北师范大学信息技术学院.2022/7/1234网民中计算机安全问题发生的比率河北师范大学信息技术学院.2022/7/1235网民发生帐号或密码被盗的场所河北师范大学信息技术学院.2022/7/1236发生网民帐号或个人信息被盗改的诱因河北师范大学信息技术学院.2022/7/1237发生网民进入到仿冒网站的诱因河北师范大学信息技术学院.2022/7/1238网民发现电脑出现计算机安全问题的方式河北师范大学信息技术学院.2022/7/1239网民感染电脑病毒后采取的首要措施河北师范大学信息技术学院.2022/7/1240网
10、民的计算机安全行为习惯河北师范大学信息技术学院.2022/7/1241网民通常网络帐号和密码设计方式河北师范大学信息技术学院.2022/7/1242网民网上帐号通常的口令/密码是几位河北师范大学信息技术学院.2022/7/1243计算机病毒造成的主要危害情况河北师范大学信息技术学院.2022/7/1244黑客的职业化之路l不再是小孩的游戏,而是与¥挂钩l职业入侵者受网络商人或商业间谍雇佣l不在网上公开身份,不为人知,但确实存在!l攻击水平通常很高,精通多种技术l攻击者对自己提出了更高的要求,不再满足于普通的技巧而转向底层研究河北师范大学信息技术学院.2022/7/1246网络信息安全概述信息与
11、网络安全的本质和内容计算机网络的脆弱性信息安全的六大目标网络安全的主要威胁网络安全的攻击手段网络攻击过程河北师范大学信息技术学院.2022/7/1247信息与网络安全的本质和内容网络安全从其本质上来讲就是网络上的信息安全。网络安全就是保护计算机系统,使其没有危险,不受威胁,不出事故。网络安全指信息系统的硬件、软件及其系统中的数据受到保护,不会遭到偶然的或者恶意的破坏、更改、泄漏,系统能连续、可靠、正常的运行,服务不中断。河北师范大学信息技术学院.2022/7/1248进进进进不不不不来来来来拿拿拿拿不不不不走走走走改改改改不不不不了了了了跑跑跑跑不不不不了了了了看看看看不不不不懂懂懂懂信息安全
12、的目的可可可可审审审审查查查查信息安全的目的是保障信息安全,主要目的有信息安全的目的是保障信息安全,主要目的有河北师范大学信息技术学院.2022/7/1249信息安全概念与技术的发展信息安全的概念与技术是随着人们的需求,随着计算机、通信与网络等信息技术的发展而不断发展的。河北师范大学信息技术学院.2022/7/1250网络信息安全阶段该阶段中,除了采用和研究各种加密技术外,还开发了许多针对网络环境的信息安全与防护技术(被动防御):安全漏洞扫描技术、安全路由器、防火墙技术、入侵检测技术、网络攻防技术、网络监控与审计技术等。河北师范大学信息技术学院.2022/7/1251信息保障阶段信息保障(IA
13、)概念与思想是20世纪90年代由美国国防部长办公室提出。定义:通过确保信息和信息系统的可用性、完整性、可控性、保密性和不可否认性来保护信息系统的信息作战行动,包括综合利用保护、探测和反应能力以恢复系统的功能。美国国家安全局制定的信息保障技术框架IATF,提出“纵深防御策略”DiD(Defense-in-DepthStrategy)。信息保障阶段不仅包含安全防护的概念,更重要的是增加了主动和积极的防御观念。河北师范大学信息技术学院.2022/7/1252计算机网络的脆弱性体系结构的脆弱性。体系结构的脆弱性。网络体系结构要求上层调用下层的服务,上层是服务调用者,下层是服务提供者,当下层提供的服务出
14、错时,会使上层的工作受到影响。网络通信的脆弱性。网络通信的脆弱性。网络安全通信是实现网络设备之间、网络设备与主机节点之间进行信息交换的保障,然而通信协议或通信系统的安全缺陷往往危及到网络系统的整体安全。网络操作系统的脆弱性。网络操作系统的脆弱性。目前的操作系统,无论是Windows、UNIX还是Netware都存在安全漏洞,这些漏洞一旦被发现和利用将对整个网络系统造成巨大的损失。网络应用系统的脆弱性。网络应用系统的脆弱性。随着网络的普及,网络应用系统越来越多,网络应用系统也可能存在安全漏洞,这些漏洞一旦被发现和利用将可能导致数据被窃取或破坏,应用系统瘫痪,甚至威胁到整个网络的安全。网络管理的脆
15、弱性。网络管理的脆弱性。在网络管理中,常常会出现安全意识淡薄、安全制度不健全、岗位职责混乱、审计不力、设备选型不当和人事管理漏洞等,这种人为造成的安全漏洞也会威胁到整个网络的安全。河北师范大学信息技术学院.2022/7/1253信息安全的六大目标信信 息息 安安 全全可靠性可用性真实性保密性完整性不可抵赖性河北师范大学信息技术学院.2022/7/1254网络安全的主要威胁主主 要要 威威 胁胁内部窃密和破坏窃听和截收非法访问(以未经授权的方式使用网络资源)破坏信息的完整性(通过篡改、删除和插入等方式破坏信息的完整性)冒充(攻击者利用冒充手段窃取信息、入侵系统、破坏网络正常通讯或欺骗合法主机和合
16、法用户。)流量分析攻击(分析通信双方通信流量的大小,以期获得相关信息。)其他威胁(病毒、电磁泄漏、各种自然灾害、战争、失窃、操作失误等)河北师范大学信息技术学院.2022/7/1255信息与网络安全的攻击手段物理破坏窃听数据阻断攻击数据篡改攻击数据伪造攻击数据重放攻击盗用口令攻击中间人攻击缓冲区溢出攻击分发攻击野蛮攻击SQL注入攻击跨站点脚本计算机病毒蠕虫后门攻击欺骗攻击拒绝服务攻击特洛伊木马河北师范大学信息技术学院.2022/7/1256网络信息系统网络信息系统内部人员威胁内部人员威胁拒绝服务攻击拒绝服务攻击逻辑炸弹逻辑炸弹特洛伊木马特洛伊木马黑客攻击计算机病毒计算机病毒信息泄漏、篡信息泄漏、篡改、破坏改、破坏后门、隐蔽通道后门、隐蔽通道蠕虫蠕虫社会工程社会工程天灾天灾系统系统Bug河北师范大学信息技术学院.2022/7/1257社会工程社会工程l我们通常把基于非计算机的欺骗技术叫做社会工程社会工程。社会工程社会工程中,攻击者设法设计让人相信它是其他人。这就像攻击者在给人打电话时说自己是某人一样的简单。因为他说了一些大概只有那个人知道的信息,所以受害人相信他。l社会工程社会工程的核心
