《信息安全概述形象面向非技术精.ppt》由会员分享,可在线阅读,更多相关《信息安全概述形象面向非技术精.ppt(46页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全概述形象面向非技术信息安全概述形象面向非技术第1页,本讲稿共46页信息安全概述信息安全概述一、信息安全概念一、信息安全概念二、信息安全问题和威胁二、信息安全问题和威胁三、信息安全的特性三、信息安全的特性四、如何实现信息系统安全四、如何实现信息系统安全一、信息安全概念一、信息安全概念第2页,本讲稿共46页什么是什么是“信息安全信息安全”?一、信息安全概念一、信息安全概念第3页,本讲稿共46页信息安全的目标信息安全的目标信息系统中数据与信息的安全与保密信息系统中数据与信息的安全与保密信息系统自身的安全信息系统自身的安全信息安全的目标信息安全的目标内容的安全内容的安全载体的安全载体的安全第4
2、页,本讲稿共46页信息安全的三个方面信息安全的三个方面(BS7799)机密性(保密性)机密性(保密性)完整性(一致性)完整性(一致性)可用性(服务连续性)可用性(服务连续性)信息安全的经典定义信息安全的经典定义不同行业、不同用户会有不同的侧重不同行业、不同用户会有不同的侧重第5页,本讲稿共46页安全工作的两个方面安全工作的两个方面面向数据和信息的安全面向数据和信息的安全面向访问(人)的安全面向访问(人)的安全客体安全客体安全主体安全主体安全第6页,本讲稿共46页信息安全概述信息安全概述一、信息安全概念一、信息安全概念二、信息安全问题和威胁二、信息安全问题和威胁三、信息安全的特性三、信息安全的特
3、性四、如何实现信息系统安全四、如何实现信息系统安全二、信息安全问题和威胁二、信息安全问题和威胁第7页,本讲稿共46页二、信息安全问题和威胁二、信息安全问题和威胁安全事件及分析安全事件及分析安全问题及分析安全问题及分析安全威胁及分析安全威胁及分析表象表象内涵内涵第8页,本讲稿共46页国内外安全事件实例(国内外安全事件实例(1)2000年春节期间,以Yahoo等为代表的美国众多著名网站遭到黑客攻击随之而来的席卷全球的大范围黑客攻击事件我国的一些网站也未能幸免以黑客攻击为代表的计算机犯罪的以黑客攻击为代表的计算机犯罪的影响越来越大影响越来越大第9页,本讲稿共46页国内外安全事件实例(国内外安全事件实
4、例(2)国际上,经常遭到攻击的站点国际上,经常遭到攻击的站点美国航空航天总署(NASA)美国白宫美国国防部五角大楼北约各种政府网站等第10页,本讲稿共46页国内外安全事件实例(国内外安全事件实例(3)国内一些典型黑客事件国内一些典型黑客事件1998年10月26日和12月1日,天津科技网主页,先后两次受到同一群黑客的攻击。江西、重庆、贵州169(Web主页更改)我国人权主页被黑客更改国务院新闻办(遭到黑客组织“地下兵团”攻击)第11页,本讲稿共46页国内外安全事件实例(国内外安全事件实例(国内外安全事件实例(国内外安全事件实例(4 4)美国轰炸中国大使馆期间美国轰炸中国大使馆期间海峡两岸黑客之间
5、互相攻击海峡两岸黑客之间互相攻击黑客对日本政府等站点的攻击黑客对日本政府等站点的攻击第12页,本讲稿共46页安全事件动机分析安全事件动机分析安全事件动机分析安全事件动机分析自我表现自我表现经济利益驱动经济利益驱动政治动机(个体)政治动机(个体)黑客攻击的动机越来越复杂多样黑客攻击的动机越来越复杂多样第13页,本讲稿共46页信息犯罪的损失分析信息犯罪的损失分析花旗银行花旗银行($14 Million)NASA(喷汽推进技术喷汽推进技术)Intel(Pentium 设计设计)工商银行扬州案件涉案金额超过¥工商银行扬州案件涉案金额超过¥100万万中行某行案件涉案金额超过¥中行某行案件涉案金额超过¥4
6、000万万山东某银行案件涉案金额超过¥山东某银行案件涉案金额超过¥1亿亿Yahoo等站点被攻击后损失超过等站点被攻击后损失超过10亿美金亿美金个案损失越来越大个案损失越来越大第14页,本讲稿共46页国内外典型调查(国内外典型调查(1)Computer Security Institute分析收集的1000余个攻击实例发现 由于窃取研究成果造成的损失在$25 million-$50 million72%的受攻击者承受了损失,只有16%的人报告了他们的损失数量。总损失在$136 million攻击主要来源内部攻击 外部黑客 竞争对手 只有 17%的攻击行为被报告给警方,超过80%由于公司形象问题没
7、有报告根据CSI和FBI的调查,计算机网络攻击事件的年增长率为22%第15页,本讲稿共46页国内外典型调查(国内外典型调查(2)根据中国人民银行保卫局统计从1995年到1998年,银行系统计算机犯罪案件数目以平均每年38%的速度增长根据公安部统计目前我国计算机犯罪案件的增长率大于25%信息犯罪越来越猖狂信息犯罪越来越猖狂第16页,本讲稿共46页信息犯罪手法分析释放病毒1998年计算机病毒感染事件比1997年增加1倍。宏病毒入侵占60%,其种类有1300多种,而1996年只有40种工商银行扬州案件(环境攻击和线路截获)某银行站点(纯互联网攻击)手机病毒的传言(移动通信技术和网络技术结合)借助网络
8、实施其它犯罪网上敲诈达6亿美元网上赌博达百亿美元网上洗钱达千亿美元信息犯罪的手法越来越丰富信息犯罪的手法越来越丰富第17页,本讲稿共46页信息安全威胁及分析信息安全威胁及分析第18页,本讲稿共46页信息安全事件的模式信息安全事件的模式攻击工具攻击命令攻击机制目标网络网络漏洞目标系统系统漏洞攻击者主体主体客体客体攻击事件和过程攻击事件和过程第19页,本讲稿共46页信息安全威胁主体信息安全威胁主体威胁来源内部人员(占绝大部分)内部人员(占绝大部分)准内部人员准内部人员外部个人和小组(所谓黑客)外部个人和小组(所谓黑客)竞争对手和恐怖组织竞争对手和恐怖组织敌对国家和军事组织敌对国家和军事组织自然和不
9、可抗力自然和不可抗力第20页,本讲稿共46页信息安全威胁的主体动机信息安全威胁的主体动机威胁主体动机种类好奇的黑客(好奇的黑客(Hacker)可耻的小偷(可耻的小偷(Phreaker)可恶的破坏者(可恶的破坏者(Cracker)第21页,本讲稿共46页成为黑客的条件越来越简单成为黑客的条件越来越简单大量公开的黑客站点大量公开的黑客站点www.1 www.r t.org/warez.htmlwww.m www.2 .comwww.f t/phrack.html第22页,本讲稿共46页黑客技术越来越简单黑客技术越来越简单获得黑客工具非常容易SATANIP WatcherCrackANV(R)CRA
10、CKer 2.0 ZIPZipCrack V1.0 ZipMicrosoft Word Unprotect V1.2Trinoo&TFN第23页,本讲稿共46页信息安全威胁的客体脆弱性信息安全威胁的客体脆弱性产生原因产生原因脆弱性分析脆弱性分析第24页,本讲稿共46页系统自身导致的脆弱性系统自身导致的脆弱性原理性原理性BUG有意(恶意)有意(恶意)管理不当导致的脆弱性管理不当导致的脆弱性环境安全脆弱性环境安全脆弱性客体脆弱性产生的原因客体脆弱性产生的原因第25页,本讲稿共46页脆弱性产生原因(脆弱性产生原因(1)原理性原理性TCP/IP协议本身协议本身(比如比如:TFTP,SNMP等等)操作系
11、统的动态链接技术操作系统的动态链接技术操作系统打补丁操作系统打补丁(Patch)OLE第26页,本讲稿共46页脆弱性产生原因(脆弱性产生原因(2)BUG从计算机科学的角度看不可避免从计算机科学的角度看不可避免很多很多BUG能够导致安全问题能够导致安全问题很多实际系统的边界情况没有得到处理很多实际系统的边界情况没有得到处理第27页,本讲稿共46页脆弱性产生原因(脆弱性产生原因(3)有意制造的有意制造的开发者留下的后门开发者留下的后门:为了方便系统的开发和调试为了方便系统的开发和调试忘记关闭忘记关闭犯罪分子恶意留下的后门犯罪分子恶意留下的后门有真实的案例(平帐模块后门)有真实的案例(平帐模块后门)
12、第28页,本讲稿共46页脆弱性产生原因(脆弱性产生原因(4)管理不当管理不当系统太庞大系统太庞大技术太复杂技术太复杂人员管理结构本身可能存在问题人员管理结构本身可能存在问题不可避免不可避免需要工具需要工具第29页,本讲稿共46页脆弱性产生原因(脆弱性产生原因(5)环境安全不可忽视环境安全不可忽视破门而入(工行扬州案)破门而入(工行扬州案)火灾火灾水灾、地震等水灾、地震等非技术威胁需要非技术手段协助解决非技术威胁需要非技术手段协助解决第30页,本讲稿共46页脆弱性分布分析脆弱性分布分析环境脆弱性环境脆弱性协议脆弱性协议脆弱性网络脆弱性网络脆弱性操作系统脆弱性操作系统脆弱性数据库系统脆弱性数据库系
13、统脆弱性应用系统脆弱性应用系统脆弱性人员及管理脆弱性人员及管理脆弱性第31页,本讲稿共46页常见的攻击手段常见的攻击手段环境攻击环境攻击物理攻击物理攻击,实体攻击实体攻击系统攻击系统攻击试探攻击(侦察)试探攻击(侦察)入侵攻击入侵攻击拒绝服务攻击(拒绝服务攻击(DoS:Denial-of-Service)第32页,本讲稿共46页信息安全概述信息安全概述一、信息安全概念一、信息安全概念二、信息安全问题和威胁二、信息安全问题和威胁三、信息安全的特性三、信息安全的特性四、如何实现信息系统安全四、如何实现信息系统安全三、信息安全的特性三、信息安全的特性第33页,本讲稿共46页三、信息安全的特性三、信息
14、安全的特性潜在性潜在性相对性相对性层次性层次性分布性分布性功能分散性和组合性功能分散性和组合性时效性时效性/时代性时代性多样性多样性/复杂性复杂性管理特性管理特性第34页,本讲稿共46页“安全安全”(security)的独特内涵)的独特内涵“防范潜在的危机防范潜在的危机”第35页,本讲稿共46页“安全安全”与与“性能性能”的对比的对比性能性能容易量化容易量化可以评价为:低、较低、较高、高可以评价为:低、较低、较高、高 看得见看得见安全安全很难量化很难量化只有两个结果只有两个结果“出事出事”和和“不出事不出事”容易被忽视容易被忽视第36页,本讲稿共46页信息安全的相对性信息安全的相对性安全没有安
15、全没有100%安全只能将风险降到最低安全只能将风险降到最低第37页,本讲稿共46页信息安全的层次性信息安全的层次性从多个层面解决安全问题从多个层面解决安全问题环境、物理、实体环境、物理、实体通信通信网络(网络协议、网络服务、网络设备等)网络(网络协议、网络服务、网络设备等)主机(操作系统)主机(操作系统)数据库管理系统(如:数据库管理系统(如:Oracle,Sybase,MS SQL Server等)等)应用系统应用系统人员、组织和管理人员、组织和管理第38页,本讲稿共46页信息安全的分布性信息安全的分布性信息系统的分布性决定了安全问题的分布性信息系统的分布性决定了安全问题的分布性水桶效应水桶
16、效应第39页,本讲稿共46页信息安全的多样性信息安全的多样性信息系统的功能多样性增加了安全的复杂性信息系统的功能多样性增加了安全的复杂性Web服务服务Ftp 服务服务Email服务服务第40页,本讲稿共46页信息安全的时效性和复杂性信息安全的时效性和复杂性飞速发展的信息技术要求安全技术和产品必飞速发展的信息技术要求安全技术和产品必须及时更新须及时更新信息系统有多复杂,信息系统安全问题就信息系统有多复杂,信息系统安全问题就有多复杂有多复杂第41页,本讲稿共46页信息安全的管理特性信息安全的管理特性信息安全问题归根结底是信息安全问题归根结底是管理问题管理问题第42页,本讲稿共46页信息安全概述信息
17、安全概述一、信息安全概念一、信息安全概念二、信息安全问题和威胁二、信息安全问题和威胁三、信息安全的特性三、信息安全的特性四、如何实现信息系统安全四、如何实现信息系统安全四、如何实现信息系统安全四、如何实现信息系统安全第43页,本讲稿共46页如何实现信息系统安全如何实现信息系统安全一般性步骤一般性步骤明确保护的对象明确保护的对象判断可能出现的安全问题,要防止的问题判断可能出现的安全问题,要防止的问题判断可能的威胁和攻击判断可能的威胁和攻击检查自身的脆弱性检查自身的脆弱性选择安全方案、技术、产品和服务等选择安全方案、技术、产品和服务等第44页,本讲稿共46页安全是相对的安全是相对的权衡权衡可用性与安全性可用性与安全性易用性与安全性易用性与安全性经济性与安全性经济性与安全性只有相对的安全,没有绝对的安全只有相对的安全,没有绝对的安全第45页,本讲稿共46页Web&E-Mail:http:/www.is-http:/jj_zengis-第46页,本讲稿共46页