《信息安全InforationSecurity》由会员分享,可在线阅读,更多相关《信息安全InforationSecurity(35页珍藏版)》请在金锄头文库上搜索。
1、信息信息信息信息安全安全安全安全(InformationInformation Security Security) - - 第五学习小组第五学习小组第五学习小组第五学习小组 左思成左思成 苏航苏航 陆星宇陆星宇 2015-10-272015-10-272024/7/24第五小组-信息安全2/35引入:一个案例引入:一个案例斯诺登曝光美国工业间谍活动斯诺登曝光美国工业间谍活动 警示云服务和社交监警示云服务和社交监听风险听风险 2014 2014年,美国中情局前特工爱德华年,美国中情局前特工爱德华斯诺登的人持续不斯诺登的人持续不断地向世人再次揭露美国国家安全局、英国国家通信总局断地向世人再次揭露
2、美国国家安全局、英国国家通信总局(GCHQ)(GCHQ)以及其他政府的监听计划,表明需要关注监听的不仅以及其他政府的监听计划,表明需要关注监听的不仅仅是那些大企业。仅是那些大企业。 今年今年1 1月,斯诺登再次曝光以民主堡垒自居的美国通过月,斯诺登再次曝光以民主堡垒自居的美国通过互联网监听从事工业间谍活动。斯诺登称,美国的工业间谍互联网监听从事工业间谍活动。斯诺登称,美国的工业间谍活动所针对的不仅限于国家安全问题,而且还包括任何可能活动所针对的不仅限于国家安全问题,而且还包括任何可能对美国有价值的工程和技术资料。此后,斯诺登相继又爆出对美国有价值的工程和技术资料。此后,斯诺登相继又爆出了使用云
3、服务、搜索引擎和社交媒体的有关风险,暗示谷歌了使用云服务、搜索引擎和社交媒体的有关风险,暗示谷歌和脸谱都与政府勾结进行监听和提供和脸谱都与政府勾结进行监听和提供“危险危险”服务。七月,服务。七月,斯诺登又指责斯诺登又指责DropboxDropbox公司公司“对隐私怀有敌意对隐私怀有敌意”, 并是美国政府棱镜窥探计划的帮凶。并是美国政府棱镜窥探计划的帮凶。2024/7/24第五小组-信息安全3/35 主要内容 目录主要威胁(负责:左思成)主要威胁(负责:左思成)安全策略(负责:苏航)安全策略(负责:苏航)相关技术(负责:陆星宇)相关技术(负责:陆星宇)信息安全信息安全 概述概述信息安全信息安全
4、概述概述5/351 信息安全信息安全 概述概述l信息安全是指信息系统(包括硬件、软件、数据、信息安全是指信息系统(包括硬件、软件、数据、信息安全是指信息系统(包括硬件、软件、数据、信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然人、物理环境及其基础设施)受到保护,不受偶然人、物理环境及其基础设施)受到保护,不受偶然人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统的或者恶意的原因而遭到破坏、更改、泄露,系统的或者恶意的原因而遭到破坏、更改、泄露,系统的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息
5、服务不中断,最终实现连续可靠正常地运行,信息服务不中断,最终实现连续可靠正常地运行,信息服务不中断,最终实现连续可靠正常地运行,信息服务不中断,最终实现业务连续性。业务连续性。业务连续性。业务连续性。l信息安全主要包括以下五方面的内容,信息安全主要包括以下五方面的内容,信息安全主要包括以下五方面的内容,信息安全主要包括以下五方面的内容,即需保证信即需保证信即需保证信即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄息的保密性、真实性、完整性、未授权拷贝和所寄息的保密性、真实性、完整性、未授权拷贝和所寄息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。生系统的安全性。生系统的安全性
6、。生系统的安全性。l信息安全本身包括的范围很大,其中包括如何防范信息安全本身包括的范围很大,其中包括如何防范信息安全本身包括的范围很大,其中包括如何防范信息安全本身包括的范围很大,其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、商业企业机密泄露、防范青少年对不良信息的浏览、商业企业机密泄露、防范青少年对不良信息的浏览、商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。个人信息的泄露等。个人信息的泄露等。个人信息的泄露等。l网络环境下的信息安全体系是保证信息安全的关键,网络环境下的信息安全体系是保证信息安全的关键,网络环境下的信息安全体系是保证信息安全的关键,网络环境
7、下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机包括计算机安全操作系统、各种安全协议、安全机包括计算机安全操作系统、各种安全协议、安全机包括计算机安全操作系统、各种安全协议、安全机制(数字签名、消息证、数据加密等),制(数字签名、消息证、数据加密等),制(数字签名、消息证、数据加密等),制(数字签名、消息证、数据加密等), 直至安全系统,如直至安全系统,如直至安全系统,如直至安全系统,如UniNACUniNACUniNACUniNAC、DLPDLPDLPDLP等,只等,只等,只等,只 要存在安全漏洞便可以威胁全局安全。要存在安全漏洞便可以威胁全局安全。要存在安
8、全漏洞便可以威胁全局安全。要存在安全漏洞便可以威胁全局安全。主要威胁(负责:左思成)主要威胁(负责:左思成)技术安全风险因素技术安全风险因素 人为恶意攻击人为恶意攻击 信息安全管理薄弱信息安全管理薄弱 2024/7/24第五小组-信息安全7/35信息面临哪些安全威胁?信息面临哪些安全威胁?2024/7/24第五小组-信息安全8/352.1 技术安全风险因素技术安全风险因素基础信息网络和重要信息系统安全防护能力基础信息网络和重要信息系统安全防护能力不强这主要表现在:不强这主要表现在: 重视不够,投入不足。对信息安全基础设施投入重视不够,投入不足。对信息安全基础设施投入不够,信息安全基础设施缺乏有
9、效的维护和保养制不够,信息安全基础设施缺乏有效的维护和保养制度,设计与建设不同步。度,设计与建设不同步。 安全体系不完善,整体安全还十分脆弱。安全体系不完善,整体安全还十分脆弱。 关键领域缺乏自主产品,高端产品严重依赖国外,关键领域缺乏自主产品,高端产品严重依赖国外,无形埋下了安全隐患。无形埋下了安全隐患。 失泄密隐患严重。信息时代泄密途径日益增多,失泄密隐患严重。信息时代泄密途径日益增多,比如互联网泄密、手机泄密、电磁波泄密、移动存比如互联网泄密、手机泄密、电磁波泄密、移动存储介质泄密等新的技术发展也给信息安全带来新的储介质泄密等新的技术发展也给信息安全带来新的挑战。挑战。2024/7/24
10、第五小组-信息安全9/35我国基础信息网络系统安全防护问题我国基础信息网络系统安全防护问题我国的基础网络主要包括互联网、电信网、广播我国的基础网络主要包括互联网、电信网、广播电视网,重要的信息系统包括铁路、政府、银行、电视网,重要的信息系统包括铁路、政府、银行、证券、电力、民航、石油等关系国计民生的国家证券、电力、民航、石油等关系国计民生的国家关键基础设施所依赖的信息系统。然我们在这些关键基础设施所依赖的信息系统。然我们在这些领域的信息安全防护工作取得了一定的成绩,但领域的信息安全防护工作取得了一定的成绩,但是安全防护能力仍然不强。是安全防护能力仍然不强。我国计算机产品大都是国外的品牌,技术上
11、受制我国计算机产品大都是国外的品牌,技术上受制于人,如果被人预先植入后门,很难发现,届时于人,如果被人预先植入后门,很难发现,届时造成的损失将无法估量。造成的损失将无法估量。2.1 技术安全风险因素技术安全风险因素2024/7/24第五小组-信息安全10/352.2 人为恶意攻击人为恶意攻击人为恶意攻击可以分为主动攻击和被动攻击。主人为恶意攻击可以分为主动攻击和被动攻击。主动攻击的目的在于篡改系统中信息的内容,以各动攻击的目的在于篡改系统中信息的内容,以各种方式破坏信息的有效性和完整性。被动攻击的种方式破坏信息的有效性和完整性。被动攻击的目的是在不影响网络正常使用的情况下,进行信目的是在不影响
12、网络正常使用的情况下,进行信息的截获和窃取。息的截获和窃取。攻击者常用的攻击手段有木马、黑客后门、网页攻击者常用的攻击手段有木马、黑客后门、网页脚本、垃圾邮件等。脚本、垃圾邮件等。相对物理实体和硬件系统及自然灾害而言,精心相对物理实体和硬件系统及自然灾害而言,精心设计的人为攻击威胁最大。人的因素最为复杂,设计的人为攻击威胁最大。人的因素最为复杂,思想最为活跃,不能用静止的方法和法律、法规思想最为活跃,不能用静止的方法和法律、法规加以防护,这是信息安全所面临的最大威胁。加以防护,这是信息安全所面临的最大威胁。2024/7/24第五小组-信息安全11/35人为恶意攻击事件人为恶意攻击事件熊猫烧香案
13、2024/7/24第五小组-信息安全12/35百度被攻击百度被攻击域名被劫持域名被劫持2024/7/24第五小组-信息安全13/35黑客进清华官网假冒校长黑客进清华官网假冒校长 称称“中国大学中国大学教育就是往脑子灌屎教育就是往脑子灌屎”2024/7/24第五小组-信息安全14/352.3 信息安全管理薄弱信息安全管理薄弱(1) (1) 信息泄露:保护的信息被泄露或透露给某个信息泄露:保护的信息被泄露或透露给某个非授权的实体。非授权的实体。(2) (2) 破坏信息的完整性:数据被非授权地进行增破坏信息的完整性:数据被非授权地进行增删、修改或破坏而受到损失。删、修改或破坏而受到损失。(3) (3
14、) 拒绝服务:信息使用者对信息或其他资源的拒绝服务:信息使用者对信息或其他资源的合法访问被无条件地阻止。合法访问被无条件地阻止。(4) (4) 非法使用非法使用( (非授权访问非授权访问) ):某一资源被某个非:某一资源被某个非授权的人,或以非授权的方式使用。授权的人,或以非授权的方式使用。(5) (5) 授权侵犯:被授权以某一目的使用某一系统授权侵犯:被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其他非授权的或资源的某个人,却将此权限用于其他非授权的目的,也称作目的,也称作“内部攻击内部攻击”。2024/7/24第五小组-信息安全15/35(6) (6) 窃听:用各种可能的合法或
15、非法的手段窃取窃听:用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听,或者利用通信设备在工中传输的信号搭线监听,或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。作过程中产生的电磁泄露截取有用信息等。(7) (7) 业务流分析:通过对系统进行长期监听,利业务流分析:通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究,从中发现向、通信总量的变化等参数进行研究,从中发现有价值的信息和规律。有价值的信息和规律。(8
16、) (8) 假冒:通过欺骗通信系统或用户,达到非法假冒:通过欺骗通信系统或用户,达到非法用户冒充成为合法用户,或者特权小的用户冒充用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。我们平常所说的黑客成为特权大的用户的目的。我们平常所说的黑客大多采用的就是假冒攻击。大多采用的就是假冒攻击。2.3 信息安全管理薄弱信息安全管理薄弱2024/7/24第五小组-信息安全16/35(9) (9) 旁路控制:攻击者利用系统的安全缺陷或安全旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如:性上的脆弱之处获得非授权的权利或特权。例如:攻击者通过各种攻击手段发现
17、原本应保密,但是却攻击者通过各种攻击手段发现原本应保密,但是却又暴露出来的一些系统又暴露出来的一些系统“特性特性”,利用这些,利用这些“特性特性”,攻击者可以绕过防线守卫者侵入系统的内部。,攻击者可以绕过防线守卫者侵入系统的内部。(10)(10)抵赖:这是一种来自用户的攻击,涵盖范围比抵赖:这是一种来自用户的攻击,涵盖范围比较广泛,比如,否认自己曾经发布过的某条消息、较广泛,比如,否认自己曾经发布过的某条消息、伪造一份对方来信等。伪造一份对方来信等。(11)(11)信息安全法律法规不完善,由于当前约束操作信息安全法律法规不完善,由于当前约束操作信息行为的法律法规还很不完善,存在很多漏洞,信息行
18、为的法律法规还很不完善,存在很多漏洞,很多人打法律的擦边球,这就给信息窃取、信息破很多人打法律的擦边球,这就给信息窃取、信息破坏者以可趁之机。坏者以可趁之机。2.3 信息安全管理薄弱信息安全管理薄弱安全策略(负责:苏航)安全策略(负责:苏航)安全策略安全策略 定义定义 安全策略安全策略 原则原则 安全策略安全策略 目标目标 安全策略安全策略 制定制定安全策略安全策略 内容内容2024/7/24第五小组-信息安全18/35引入引入 一些问题一些问题敏感信息如何被处理?敏感信息如何被处理?如何正确地维护用户身份与口令,以及其他账如何正确地维护用户身份与口令,以及其他账 号信息?号信息?如何对潜在的
19、安全事件和入侵企图进行响应?如何对潜在的安全事件和入侵企图进行响应?如何以安全的方式实现内部网及互联网的连接如何以安全的方式实现内部网及互联网的连接? ?怎样正确使用电子邮件系统?怎样正确使用电子邮件系统? . .安全策略安全策略2024/7/24第五小组-信息安全19/353.1 安全策略安全策略 定义定义计算机安全研究组织计算机安全研究组织(SANS):“为了保护存为了保护存储在计算机中的信息,安全策略要确定必须做什储在计算机中的信息,安全策略要确定必须做什么,一个好的策略有足够多么,一个好的策略有足够多做什么做什么的定义,的定义,以便于执行者确定以便于执行者确定如何做如何做,并且能够进行
20、度,并且能够进行度量和评估。量和评估。”信息安全策略是一个组织关于信息安全的基本指信息安全策略是一个组织关于信息安全的基本指导规则。导规则。信息安全策略提供:信息保护的内容和目标,信信息安全策略提供:信息保护的内容和目标,信息保护的职责落实,实施信息保护的方法,事故息保护的职责落实,实施信息保护的方法,事故的处理。的处理。2024/7/24第五小组-信息安全20/353.2 安全策略安全策略 原则原则基本原则基本原则先进的网络安全技术是网络安全的根本保证先进的网络安全技术是网络安全的根本保证严格的安全管理是确保信息安全策略落实的基础严格的安全管理是确保信息安全策略落实的基础严格的法律、法规是网
21、络安全保障的坚强后盾严格的法律、法规是网络安全保障的坚强后盾具体原则具体原则起点进入原则起点进入原则 长远安全预期原则长远安全预期原则最小特权原则最小特权原则公认原则公认原则适度复杂与经济原则适度复杂与经济原则 2024/7/24第五小组-信息安全21/353.3 安全策略安全策略 目标目标 l信息安全策略必须有一定的透明度并得到高层管信息安全策略必须有一定的透明度并得到高层管理层的支持,这种透明度和高层支持必须在安全理层的支持,这种透明度和高层支持必须在安全策略中有明确和积极的反映。策略中有明确和积极的反映。 l信息安全策略要对所有员工强调信息安全策略要对所有员工强调“信息安全,人信息安全,
22、人人有责人有责”的原则,使员工了解自己的安全责任与的原则,使员工了解自己的安全责任与义务。义务。l(制定的目标)(制定的目标)减少减少风险,遵从法律和规则,确风险,遵从法律和规则,确保组织运作的连续性、信息完整性和机密性。保组织运作的连续性、信息完整性和机密性。2024/7/24第五小组-信息安全22/353.4 安全策略安全策略 制定制定2024/7/24第五小组-信息安全23/353.4 安全策略安全策略 制定制定理解组织业务特征理解组织业务特征 得到管理层的明确支持与承诺得到管理层的明确支持与承诺 组建安全策略制定小组组建安全策略制定小组 确定信息安全整体目标确定信息安全整体目标 确定安
23、全策略范围确定安全策略范围 风险评估与选择安全控制风险评估与选择安全控制 起草拟定安全策略起草拟定安全策略 评估安全策略评估安全策略 实施安全策略实施安全策略 政策的持续改进政策的持续改进具具体体步步骤骤2024/7/24第五小组-信息安全24/35设计范围设计范围系统安全策略系统安全策略口令管理策略口令管理策略身份认证及授权策略身份认证及授权策略补丁管理策略补丁管理策略灾难恢复策略灾难恢复策略系统变更控制策略系统变更控制策略事故处理、紧急响应策事故处理、紧急响应策略略 商业伙伴、客户关系策商业伙伴、客户关系策略略安全教育策略安全教育策略复查审计策略复查审计策略3.5 安全策略安全策略 内容内
24、容2024/7/24第五小组-信息安全25/35一个正式的信息安全策略应包括下列信息一个正式的信息安全策略应包括下列信息重新评审策略的时机。策略除了常规的评审时机,重新评审策略的时机。策略除了常规的评审时机,在下列情况下也需要重新评审:管理体系发生很在下列情况下也需要重新评审:管理体系发生很大变化、相关法律法规发生了变化、信息系统或大变化、相关法律法规发生了变化、信息系统或者信息技术发生大的变化、组织发生了重大的安者信息技术发生大的变化、组织发生了重大的安全事故。全事故。与其他相关策略的引用关系。与其他相关策略的引用关系。策略解释、疑问响应的人员或者部门。策略解释、疑问响应的人员或者部门。策略
25、的格式可以根据组织的惯例自行选择,所列策略的格式可以根据组织的惯例自行选择,所列举的项目也可以做适当的增删。举的项目也可以做适当的增删。3.5 安全策略安全策略 内容内容2024/7/24第五小组-信息安全26/353.5 安全策略安全策略 内容内容l通常一个组织可能会考虑开发下列主题的信息安通常一个组织可能会考虑开发下列主题的信息安全策略:全策略:l1.1.环境和设备的安全环境和设备的安全l2.2.信息资产的分级和人员责任信息资产的分级和人员责任l3.3.安全事故的报告与响应安全事故的报告与响应l4.4.第三方访问的安全性第三方访问的安全性l5.5.委外处理系统的安全委外处理系统的安全l6.
26、6.人员的任用、培训和职责人员的任用、培训和职责l7.7.系统策划、验收、使用和维护的安全要求系统策划、验收、使用和维护的安全要求2024/7/24第五小组-信息安全27/358.8.信息与软件交换的安全信息与软件交换的安全9.9.计算级和网络的访问控制和审核计算级和网络的访问控制和审核10.10.远程工作的安全远程工作的安全11.11.加密技术控制加密技术控制12.12.备份、灾难恢复和可持续发展的要求备份、灾难恢复和可持续发展的要求13.13.符合法律法规和技术指标的要求符合法律法规和技术指标的要求3.5 安全策略安全策略 内容内容相关技术(负责:陆星宇)相关技术(负责:陆星宇)信息安全行
27、业中的主流技术信息安全行业中的主流技术 2024/7/24第五小组-信息安全29/354 信息安全的相关技术信息安全的相关技术蓝盾蓝盾 “动立方动立方”2024/7/24第五小组-信息安全30/354 信息安全行业中的主流技术信息安全行业中的主流技术l安全审计技术安全审计技术日志审计:通过日志审计协助管理员在受到攻日志审计:通过日志审计协助管理员在受到攻击后察看网络日志,从而评估网络配置的合理击后察看网络日志,从而评估网络配置的合理性、安全策略的有效性,追溯分析安全攻击轨性、安全策略的有效性,追溯分析安全攻击轨迹,并能为实时防御提供手段。迹,并能为实时防御提供手段。行为审计:通过对员工或用户的
28、网络行为审计,行为审计:通过对员工或用户的网络行为审计,确认行为的合规性,确保信息及网络使用的合确认行为的合规性,确保信息及网络使用的合规性。规性。 2024/7/24第五小组-信息安全31/35l解密、加密技术解密、加密技术 在信息系统的传输过程或存储过程中进行信在信息系统的传输过程或存储过程中进行信息数据的加密和解密。息数据的加密和解密。4 信息安全行业中的主流技术信息安全行业中的主流技术2024/7/24第五小组-信息安全32/354 信息安全行业中的主流技术信息安全行业中的主流技术l身份认证技术身份认证技术 用来确定访问或介入信息系统用户或者设备身份用来确定访问或介入信息系统用户或者设
29、备身份的合法性的技术,典型的手段有用户名口令、身的合法性的技术,典型的手段有用户名口令、身份识别、份识别、PKI PKI 证书和生物认证等。证书和生物认证等。2024/7/24第五小组-信息安全33/354 信息安全行业中的主流技术信息安全行业中的主流技术l安全管理中心安全管理中心由于网上的安全产品较多,且分布在不同的位由于网上的安全产品较多,且分布在不同的位置,这就需要建立一套集中管理的机制和设备,置,这就需要建立一套集中管理的机制和设备,即安全管理中心。即安全管理中心。它用来给各网络安全设备分发密钥,监控网络它用来给各网络安全设备分发密钥,监控网络安全设备的运行状态,负责收集网络安全设备安全设备的运行状态,负责收集网络安全设备的审计信息等。的审计信息等。2024/7/24第五小组-信息安全34/35参考网站参考网站1 http:/ http:/ http:/ http:/ The END! Thank you! P.S. I hope you can give us a higher score!
