《信息安全与息系统保护》由会员分享,可在线阅读,更多相关《信息安全与息系统保护(41页珍藏版)》请在金锄头文库上搜索。
1、信息安全与信息系统保护Beijing Challenger 2009信息化安全解决之道今日议题信息化系统面对的风险信息化安全体系框架等级保护介绍密码学简介信息化面对的风险信息化面对的风险信息与信息载体信息在一种情况下能减小或降低不确定性的任何事物 (克劳德香农)信息同物质、能源一样重要,是人类生存和社会发展的三大基本资源之一 克劳德香农贝尔实验室和MIT都尊崇香农为信息论及数字通信时代的奠基人。 信息安全与计算机网络安全计算机网络与信息的关系计算机网络是信息的重要载体,计算机网络在其规模和应用上的发展是信息化的集中体现,同时也不断深化信息化的进程信息安全必然包括但不限于计算机网络安全 人的因素
2、网络安全意义网络安全问题一直是阻碍网络应用发展的一个重要因素网络安全问题影响到一个国家的政治、经济和社会稳定网络安全问题影响到行业、企业经济运行研究网络安全问题对于我们具有重要的意义!信息化面对的风险来自诸多方面物理安全风险运行环境 防盗、防毁 机房、设备介质废弃介质供电、防水 电磁防护自然灾害物理安全涉及在物理层面上保护企业资源和敏感信息所遭遇的威胁企业资源:员工及其赖以工作的设施、数据、设备、支持系统、介质人员管理及监视 系统安全操作系统及补丁病毒系统入侵数据备份系统非计划停机系统崩溃网络安全网络攻击漏洞扫描网络窃听网络远程访问无线网络接入网络非法连接网络攻击的方式主导攻击方式Server
3、 Side 被动攻击方式Client Side中间人攻击方式用户用户恶意服务器恶意服务器攻击者攻击者服务器服务器攻击者攻击者服务器服务器客户程序客户程序网络攻击常见过程信息收集获取用户权限安装后门扩大影响清除痕迹利用公开信息服务主机扫描与端口扫描操作系统探测与应用程序类型识别口令攻击SQL注入缓冲区溢出脚本攻击以目标系统为“跳板”,对目标所属网络的其它主机进行攻击,最大程度地扩大攻击的效果。攻击趋势一:更加自动化自动化的攻击通常包含四个阶段扫描潜在有漏洞的机器。威胁攻击有漏洞的主机。传播攻击。攻击工具的并发管理。趋势二:攻击工具的混和抗犯罪取证动态的行为早期的攻击工具按照预定好的单一顺序执行攻
4、击步骤。攻击工具的模块化不像早期的攻击实现了一种类型的攻击,现在的工具可以通过升级或者替换工具的某个部分来快速的改变。趋势三:漏洞更新更快0 Day Exploit的概念Private Exploit和Underground的交易行为自动化分析工具的出现趋势四:防火墙攻击防火墙不是网络安全的最终解决方案;移动代码,例如ActiveX控件,java& JavaScript等。安全软件自身也存在着漏洞趋势五:被动攻击的增加微软公布了60多个IE浏览器的漏洞。Symantec网络安全分析报告:攻击者的注意力更多地转向Web以及其它客户端程序。SANS Top20:20类中有8大类是与客户端程序漏洞相
5、关的。趋势六:趋于非对称性因为攻击技术的进步,单个的攻击者可以很容易的利用大量的分布式系统对一台主机发起破坏性的攻击。由于攻击工具的自动配置和组合管理的提高,威胁的非对称本质将继续增加。趋势七:基础设施的威胁分布式拒绝服务蠕虫Internet域名服务器的攻击攻击或者利用路由器网络安全参考中文站点安全焦点:http:/ 设备环境 设备资产安保 电力可靠 自然灾害风险 账户身份识别 弱口令,多口令 应用权限 多角色,跨系统 文件加密 法律效力系统崩溃 数据库文件损坏 计划外停机 病毒发作 版本差异、系统补丁 正在受到攻击吗?信息化面临的安全挑战网络攻击,漏洞扫描 网络链路窃听 网络远程访问 无线接
6、入 网络非法连接系统运维制度紧急预案 系统事件记录 运行运维工作手册厂商、服务商技术人员 保密协议信息安全技术体系保障平台模型信息安全技术体系保障平台模型信息化安全保障模型如何应用?应用范围及深度如何实施安全措施明确保护对象明确保护策略明确保护措施明确投入成本落实信息系统等级保护工作什么是等级保护信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障,是信息安全保障工作中国家意志的体现。 烟草行业等级保护工作国家烟草专卖局办公室关于做好烟草行业信息系统安全等级保护定级工作的通知(国烟办综2008358号) 信息系统
7、等级保护的15级第一级:自主保护级适用于一般的信息系统,其受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利第二级:指导保护级适用于一般的信息系统,其受到破坏后,会对社会秩序和公共利益造成轻微损害,但不损害国家安全第三级:监督保护级适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成损害第四级:强制保护级适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害 第五级:专控保护级适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统,其受
8、到破坏后,会对国家安全、社会秩序和公共利益造成特别严重损害 各级等级保护中要求框架某级系统某级系统物物理理安安全全技术要求技术要求管理要求管理要求基本要求基本要求网网络络安安全全主主机机安安全全应应用用安安全全数数据据安安全全安安全全管管理理机机构构安安全全管管理理制制度度人人员员安安全全管管理理系系统统建建设设管管理理系系统统运运维维管管理理等级保护过程(实施过程生命周期)信息系统等级保护实施生命周期内的主要活动规划设计阶段安全实施/实现阶段安全运行管理阶段等级化风险评估安全总体设计安全建设规划安全方案设计 安全产品采购安全控制集成测试与验收管理机构的设置管理制度的建设人员配置和岗位培训安全
9、建设过程的管理操作管理和控制变更管理和控制安全状态监控安全事件处置和应急预案安全评估和持续改进监督检查定级阶段系统调查和描述子系统划分/分解子系统边界确定安全等级确定定级结果文档化等级保护定级示例银行系统等级保护定级示例电子政务中央节点中央节点直属节点直属节点等级保护与整体防护烟草网站评估定级、备案规划设计安全实施安全运维、调整系统紧急预案采用了UTM设备等级保护3级核心要求物理安全物理安全网络安全主机安全应用安全应用安全数据安全及备份恢复安全管理制度安全管理制度人员管理制度人员管理制度系统监视管理系统监视管理系统运维管理系统运维管理物理位置的选择物理访问控制防盗和放破坏放雷击防火防水和防潮放
10、静电温湿度控制电力供应电磁防护身份鉴别访问控制安全审计剩余信息保护通信完整性通信保密性抗抵赖软件容错资源控制结构安全访问控制安全审计边界完整性检查入侵防范恶意代码防范网络设备防护身份鉴别访问控制安全审计剩余信息保护入侵防范恶意代码防范资源控制数据完整性数据保密性备份和恢复第二部分:应用安全需求应用安全需求身份身份如何认证通讯、信息如何安全传递安全传递信息如何具有法律效力法律效力应用权限权限如何实现秘密强度与记忆记忆的矛盾 从密码术说起换位密码 公元前5世纪,古希腊斯巴达出现原始的密码器,用一条带子缠绕在一根木棍上,沿木棍纵轴方向写好明文,解下来的带子上就只有杂乱无章的密文字母。解密者只需找到相
11、同直径的木棍,再把带子缠上去,沿木棍纵轴方向即可读出有意义的明文。这是最早的换位密码术。 单字替代密码公元前1世纪,著名的恺撒(Caesar)密码被用于高卢战争中,这是一种简单易行的单字母替代密码。 武王的阴符与阴书中国周朝兵书六韬龙韬也记载了密码学的运用,其中的阴符和阴书便记载了周武王问姜子牙关于征战时与主将通讯的方式改变历史的密码事件苏格兰玛丽女王的密码公元16世纪晚期,英国的菲利普斯(Philips)利用频度分析法成功破解苏格兰女王玛丽的密码信,信中策划暗杀英国女王伊丽莎白,这次解密将玛丽送上了断头台。 第一次世界大战英国解密齐默尔曼电报,美国参战第二次世界大战波兰三杰,潜艇u571恩格玛(Enigma) 风语者 近代密码学信息系统商业化1975年1月15日,DES1976年,公开密钥密码的新思想 1977年,公钥密码体制RSA体制2005年11月, MD5碰撞发现谢谢!Thank You! 谢谢谢谢
