Presentation is loading. Please wait.

Presentation is loading. Please wait.

信息安全概述.

Similar presentations


Presentation on theme: "信息安全概述."— Presentation transcript:

1 信息安全概述

2 什么是信息? 什么是信息安全? 香 农:信息是用来消除不确定性的东西 钟义信:信息是事物运动的状态及其变化方式
香 农:信息是用来消除不确定性的东西 钟义信:信息是事物运动的状态及其变化方式 什么是信息安全? ISO:在技术上和管理上为数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露

3 信息安全基本属性 机密性 信息的授权访问 完整性 信息不能丢失、错误、篡改 可用性 授权用户在需要时访问性保障 不可否认性
原发不可否认和接受不可否认 可控性 用户使用信息资源的方式可控

4 信息安全主要内容 实体安全 运行安全 数据安全 管理安全 信息安全 安全组织 安全策略 法律合规 资产管理 业务连续 事件管理 人员安全
物理安全 事件管理 安全策略 法律合规 开发安全 安全组织 资产管理 业务连续 网络安全 访问控制

5 信息安全体系

6

7 IT工具 网络环境信息安全威胁 网络 黑客攻击 后门、隐蔽通道 特洛伊木马 计算机病毒 信息丢失、篡改、销毁 拒绝服务攻击 逻辑炸弹 蠕虫
内部、外部泄密

8 信息安全威胁因素 天灾 人祸 自身缺陷(脆弱性)

9 信息安全技术体系 安全集成技术 防 病 毒 技 术 火 墙 V P N 入 侵 检 测 安 全 评 估 审 计 分 析 主 机 身 份 认
访 安全管理技术

10 信息安全产品 IT工具

11 绝对的安全是不存在的 绝对的零风险是不存在的,要想实现零风险,也是不现实的;
计算机系统的安全性越高,其可用性越低,需要付出的成本也就越大,一般来说,需要在安全性和可用性,以及安全性和成本投入之间做一种平衡。 在计算机安全领域有一句名言:“真正安全的计算机是拔下网线,断掉电源,放置在地下掩体的保险柜中,并在掩体内充满毒气,在掩体外安排士兵守卫。” 显然,这样的计算机是无法使用的。

12 安全是一种平衡 安全事件的损失 安全成本/损失 安全控制的成本 最小化的总成本 所提供的安全水平 关键是实现成本利益的平衡

13 安全是不断改善的过程 预警W 保护P 技术 策略 反击C 检测D 人员 恢复R 响应R

14 信息安全等级保护 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害

15 计算机信息系统安全保护等级划分准则 (GB 17859-1999)
第一级:用户自主保护级 第二级:系统审计保护级 第三级:安全标记保护级 第四级:结构化保护级 第五级:访问验证保护级

16 信息安全核心——密码技术 加密技术: RC4、3DES、AES 数字签名: RSA、ECC 完整性技术: MD5、SHA1 认证技术:
信息窃取 信息篡改 完整性技术: MD5、SHA1 信息抵赖 信息传递 认证技术: 数字证书、PKI 信息冒充

17

18

19 IT工具 信息系统安全 信息系统与信息安全 物理安全 网络安全 服务器硬件安全 系统安全 数据库安全 中间件、应用服务安全

20 IT工具 信息系统与信息安全 信息系统是信息的承载者 信息系统安全保障了信息安全 信息系统是信息安全技术的对象、手段
物理安全、网络安全、系统安全、应用安全、终端安全

21 典型信息系统构架

22 运行环境安全 国标:GB/T 信息系统物理安全技术要求 安防、消防、防水、防震 防雷 供电、温度、湿度 防鼠 ……

23 IT工具 网络安全 ARP欺骗、ARP攻击 私设DHCP服务器 VPN 防火墙(FireWall) 入侵检测(IDS)、入侵防御(IPS)
上网认证/日志 上网行为审计

24 网络安全——VPN 虚拟的网:即没有固定的物理连接,网络只有用户需要时才建立; 利用公众网络设施构成。 公共网络 公司总部 VPN设备
办事处/SOHO

25 网络安全——防火墙 防火墙是用于将信任网络与非信任网络隔离的一种技术,它通过单一集中的安全检查点,强制实施相应的安全策略进行检查,防止对重要信息资源进行非法存取和访问,以达到保护系统安全的目的。 非信任网络 防火墙 信任网络

26 网络安全——防火墙基本功能 数据包过滤 网络地址转换 应用级代理 虚拟专用网 状态检测

27 网络安全——防火墙不足 不能防范不通过防火墙的连接 防火墙防外不防内 配置复杂,容易造成安全漏洞 无法防范病毒,抵御数据驱动式攻击
不能防止利用网络协议缺陷、系统漏 洞进行的攻击 自身安全漏洞的威胁

28 入侵检测与安全审计 通过网络、系统中若干关键点收集信息 利用特征识别、模式匹配、统计分析、 数据挖掘等手段进行分析,检测异常、误 用
发现网络或系统中有违反安全策略的行 为和被攻击的迹象并记录、报警 对历史数据进行分析、处理、追踪,调 整安全政策,堵住出现的漏洞

29 服务器硬件安全 威胁:硬件故障 措施:冗余 ECC 内存 冗余电源 网卡、HBA卡… 冗余磁盘阵列(RAID) 双机冷备、双机热备
存储虚拟化、服务器虚拟化

30 IT工具 服务器操作系统安全 威胁 措施 系统漏洞 黑客攻击:端口扫描、DDOS、IP欺骗…… 计算机病毒 配置错误
打补丁(ServicePack) 主机防护软件(防火墙、IDS、文件…) 安全配置

31 IT工具 数据库安全 威胁 措施 系统漏洞(BUG) 黑客攻击:SQL注入、权限提升、数据篡改…… 配置错误 打补丁 数据库防护审计系统
安全配置

32 应用服务安全 威胁 系统漏洞 黑客攻击:权限提升、跨站攻击、数据篡改…… 配置错误 措施 打补丁 应用防护系统 安全配置

33 最少服务+最小权限=最大安全 安全配置一般原则 取消不必要用户 关闭不必要服务 关闭不必要端口 只安装必需的软件 只进行必要的操作
开启安全审计日志

34 信息安全的救命稻草——备份与恢复 备份 再备份 备份

35 为什么Web攻击众多? Web应用系统与客户端间的交互逻辑越来越复杂 频繁变动以满足业务发展的需要,增加引入漏洞的概率
为满足web应用交互,大量使用了Cookie、JavaScript、Activex、iFrame等各类小程序或交互技术,带来安全隐患 Web交互对象、对象中的参数、参数中的合法值越来越复杂,缺乏有效验证机制,或有一定的验证,但不全面,很容易被绕过 交互式提交表单页面,易遭受表单滥用 因交互逻辑太复杂,整改代码变得较难实施或者需要较长时间的整改期 频繁变动以满足业务发展的需要,增加引入漏洞的概率 往往是某个机构独有的业务应用,没有通用补丁可用 攻击工具的广泛传播 大量简单易用的攻击工具通过网络快速传播

36 现有Web安全架构的缺陷 ? 75%的攻击,现有投资无法解决! 75%的攻击特征:通过80端口、无特征码、攻击动态网页
适合静态网页,无法恢复动态网页 事后恢复没有解决问题,网站可能再次被黑 如果被篡改页面已经传播出去,则无法修复影响 无法满足合规性检查要求 网页防篡改 特征库保护操作系统、数据库、IIS、Apache等通用服务器 但Web网站是自己编写的,其漏洞没有相应特征码可以识别 IDS/IPS 防火墙 无法防御通过80端口的HTTP攻击 75%的攻击特征:通过80端口、无特征码、攻击动态网页 事后恢复没有解决问题,需要进行事前保护

37 Web应用防火墙——WAF 防御网页篡改 合规性检查 防止网站挂马 保护Web服务器 内置防病毒网关 网站运维平台 易部署

38 信息安全体系——意识 信息安全不止是产品、技术:三分技术、七分 管理 绝对的安全是不存在的 备份很重要 安全是一种平衡 安全是不断改善的过程

39 谢 谢!


Download ppt "信息安全概述."

Similar presentations


Ads by Google