信息安全培訓.ppt.ppt

1、信息安全的簡介,一、什么是信息安全,信息安全本身包括的范圍很大，大到國家軍事政治等機密安全，小范圍的當然還包括如防范商業(yè)企業(yè)機密泄露，防范青少年對不良信息的瀏覽，個人信息的泄露等。網絡環(huán)境下的信息安全體系是保證信息安全的關鍵，包括計算機安全操作系統(tǒng)、各種安全協(xié)議、安全機制（數字簽名，信息認證，數據加密等），直至安全系統(tǒng)，其中任何一個安全漏洞便可以威脅全局安全。信息安全服務至少應該包括支持信息網絡安全服務的基本理論，以及基于新一代信息網絡體系結構的網絡安全服務體系結構。,一、什么是信息安全,信息安全是指信息網絡的硬件、軟件及其系統(tǒng)中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，

2、系統(tǒng)連續(xù)可靠正常地運行，信息服務不中斷。 信息安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。 從廣義來說，凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。,二、信息安全的實現(xiàn)目標, 真實性：對信息的來源進行判斷，能對偽造來源的信息予以鑒別。 保密性：保證機密信息不被竊聽，或竊聽者不能了解信息的真實含義。 完整性：保證數據的一致性，防止數據被非法用戶篡改。 可用性：保證合法用戶對信息和資源的使用不會被不正當地拒絕。,二、信息安全的實現(xiàn)目標, 不可抵賴性：建立有效的責任機制，防

3、止用戶否認其行為，這一點在電子商務中是極其重要的。 可控制性：對信息的傳播及內容具有控制能力。 可審查性：對出現(xiàn)的網絡安全問題提供調查的依據和手段,三、主要的信息安全威脅, 竊?。悍欠ㄓ脩敉ㄟ^數據竊聽的手段獲得敏感信息。 截取：非法用戶首先獲得信息，再將此信息發(fā)送給真實接收者。 偽造：將偽造的信息發(fā)送給接收者。 篡改：非法用戶對合法用戶之間的通訊信息進行修改，再發(fā)送給接收者。 拒絕服務攻擊：攻擊服務系統(tǒng)，造成系統(tǒng)癱瘓，阻止合法用戶獲得服務。,三、主要的信息安全威脅, 行為否認：合法用戶否認已經發(fā)生的行為。 非授權訪問：未經系統(tǒng)授權而使用網絡或計算機資源。 傳播病毒：通過網絡傳播計算機病毒，其破

4、壞性非常高，而且用戶很難防范。,四、信息安全威脅的主要來源, 自然災害、意外事故； 計算機犯罪； 人為錯誤，比如使用不當，安全意識差等； 黑客 行為； 內部泄密； 外部泄密； 信息丟失； 電子諜報，比如信息流量分析、信息竊取等； 信息戰(zhàn)； 網絡協(xié)議自身缺陷缺陷，例如TCP/IP協(xié)議的安全問題等等。,五、信息安全策略,信息安全策略是指為保證提供一定級別的安全保護所必須遵守的規(guī)則。實現(xiàn)信息安全，不但靠先進的技術，而且也得靠嚴格的安全管理，法律約束和安全教育： DG圖文檔加密:能夠智能識別計算機所運行的涉密數據，并自動強制對所有涉密數據進行加密操作，而不需要人的參與。體現(xiàn)了安全面前人人平等。從根源解

5、決信息泄密 先進的信息安全技術是網絡安全的根本保證。用戶對自身面臨的威脅進行風險評估，決定其所需要的安全服務種類，選擇相應的安全機制，然后集成先進的安全技術，形成一個全方位的安全系統(tǒng)；,五、信息安全策略, 嚴格的安全管理。各計算機網絡使用機構，企業(yè)和單位應建立相應的網絡安全管理辦法，加強內部管理，建立合適的網絡安全管理系統(tǒng)，加強用戶管理和授權管理，建立安全審計和跟蹤體系，提高整體網絡安全意識； 制訂嚴格的法律、法規(guī)。計算機網絡是一種新生事物。它的許多行為無法可依，無章可循，導致網絡上計算機犯罪處于無序狀態(tài)。面對日趨嚴重的網絡上犯罪，必須建立與網絡安全相關的法律、法規(guī)，使非法分子懾于法律，不敢輕

6、舉妄動。 安全操作系統(tǒng)：給系統(tǒng)中的關鍵服務器提供安全運行平臺，構成安全WWW服務，安全FTP服務，安全SMTP服務等，并作為各類網絡安全產品的堅實底座，確保這些安全產品的自身安全。, 網絡攻擊與攻擊檢測、防范問題 安全漏洞與安全對策問題 信息安全保密問題 系統(tǒng)內部安全防范問題 防病毒問題 數據備份與恢復問題、災難恢復問題,六、信息安全涉及的主要問題,本標準規(guī)定了計算機信息系統(tǒng)安全專用產品分類原則。 本標準適用于保護計算機信息系統(tǒng)安全專用產品，涉及實體安全、運行安全和信息安全三個方面。 實體安全包括環(huán)境安全，設備安全和媒體安全三個方面。 運行安全包括風險分析,審計跟蹤，備份與恢復，應急四個方面。

7、 信息安全包括操作系統(tǒng)安全，數據庫安全，網絡安全，病毒防護，訪問控制，加密與鑒別七個方面。,七、信息安全產品分類原則,目前，在市場上比較流行，而又能夠代表未來發(fā)展方向的安全產品大致有以下幾類： 防火墻：防火墻在某種意義上可以說是一種訪問控制產品。它在內部網絡與不安全的外部網絡之間設置障礙，阻止外界對內部資源的非法訪問，防止內部對外部的不安全訪問。主要技術有：包過濾技術，應用網關技術，代理服務技術。防火墻能夠較為有效地防止黑客利用不安全的服務對內部網絡的攻擊，并且能夠實現(xiàn)數據流的監(jiān)控、過濾、記錄和報告功能，較好地隔斷內部網絡與外部網絡的連接。但它其本身可能存在安全問題，也可能會是一個潛在的瓶頸。

8、,八、目前主流安全產品,八、目前主流安全產品, 安全路由器：由于WAN連接需要專用的路由器設備，因而可通過路由器來控制網絡傳輸。通常采用訪問控制列表技術來控制網絡信息流。 虛擬專用網(VPN)：虛擬專用網（VPN）是在公共數據網絡上，通過采用數據加密技術和訪問控制技術，實現(xiàn)兩個或多個可信內部網之間的互聯(lián)。VPN的構筑通常都要求采用具有加密功能的路由器或防火墻，以實現(xiàn)數據在公共信道上的可信傳遞。 安全服務器：安全服務器主要針對一個局域網內部信息存儲、傳輸的安全保密問題，其實現(xiàn)功能包括對局域網資源的管理和控制，對局域網內用戶的管理，以及局域網中所有安全相關事件的審計和跟蹤。, 電子簽證機構-CA和

9、PKI產品：電子簽證機構（CA）作為通信的第三方，為各種服務提供可信任的認證服務。CA可向用戶發(fā)行電子簽證證書，為用戶提供成員身份驗證和密鑰管理等功能。PKI產品可以提供更多的功能和更好的服務，將成為所有應用的計算基礎結構的核心部件。 用戶認證產品：由于IC卡技術的日益成熟和完善，IC卡被更為廣泛地用于用戶認證產品中，用來存儲用戶的個人私鑰，并與其它技術如動態(tài)口令相結合，對用戶身份進行有效的識別。同時，還可利用IC卡上的個人私鑰與數字簽名技術結合，實現(xiàn)數字簽名機制。隨著模式識別技術的發(fā)展，諸如指紋、視網膜、臉部特征等高級的身份識別技術也將投入應用，并與數字簽名等現(xiàn)有技術結合，必將使得對于用戶身

10、份的認證和識別更趨完善。,八、目前主流安全產品,八、目前主流安全產品, 安全管理中心：由于網上的安全產品較多，且分布在不同的位置，這就需要建立一套集中管理的機制和設備，即安全管理中心。它用來給各網絡安全設備分發(fā)密鑰，監(jiān)控網絡安全設備的運行狀態(tài)，負責收集網絡安全設備的審計信息等。 入侵檢測系統(tǒng)（IDS）：入侵檢測，作為傳統(tǒng)保護機制（比如訪問控制，身份識別等）的有效補充，形成了信息系統(tǒng)中不可或缺的反饋鏈。 入侵防御系統(tǒng)（IPS）：入侵防御，入侵防御系統(tǒng)作為IDS很好的補充，是信息安全發(fā)展過程中占據重要位置的計算機網絡硬件。, 安全數據庫：由于大量的信息存儲在計算機數據庫內，有些信息是有價值的，也是

11、敏感的，需要保護。安全數據庫可以確保數據庫的完整性、可靠性、有效性、機密性、可審計性及存取控制與用戶身份識別等。 安全操作系統(tǒng)：給系統(tǒng)中的關鍵服務器提供安全運行平臺，構成安全WWW服務，安全FTP服務，安全SMTP服務等，并作為各類網絡安全產品的堅實底座，確保這些安全產品的自身安全。 DG圖文檔加密:能夠智能識別計算機所運行的涉密數據，并自動強制對所有涉密數據進行加密操作，而不需要人的參與。體現(xiàn)了安全面前人人平等。從根源解決信息泄密,八、目前主流安全產品,九、信息安全服務,（一）信息安全培訓 信息安全教育和培訓是本網站的首要目的，所以我們將毫無保留地提供信息系統(tǒng)安全管理和技術方面的信息，其中包

12、括具體的操作方法和步驟。我們希望信息系統(tǒng)用戶通過本網站了解信息系統(tǒng)的安全知識，并且能夠自主地將這些安全知識應用到信息系統(tǒng)中去，采取具有成本效益的安全解決方案以全面和有效地提高信息系統(tǒng)的整體安全防護水平。,（二）系統(tǒng)缺陷評估 使用自動化缺陷掃描工具對目標信息技術系統(tǒng)進行掃描以發(fā)現(xiàn)目標系統(tǒng)中所存在的技術缺陷和設置錯誤。結合目標信息技術系統(tǒng)的應用需求和安全需求對缺陷掃描的結果進行分析，得出目標系統(tǒng)缺陷評估結論和目標系統(tǒng)加固建議報告書。 （三）系統(tǒng)加固建議 根據目標系統(tǒng)缺陷評估結論和目標系統(tǒng)加固建議報告書的要求，制定各種需要加固的子系統(tǒng)的加固說明和詳細的加固規(guī)程。,九、信息安全服務,（四）安全方案建議

13、 根據目標信息技術系統(tǒng)的應用需求和安全需求，結合目標用戶的具體要求、行業(yè)特點和市場當前所具備的產品等情況提出目標系統(tǒng)的技術解決方案。 （五）安全技術支持 根據目標用戶的要求，對目標信息技術系統(tǒng)的加固、安全方案的部署、安全設備的配置、管理以及安全事件的分析處理提供遠程或現(xiàn)場技術支持和操作,九、信息安全服務,（六）安全風險提醒 在目標信息技術系統(tǒng)被可靠加固的基礎上，根據其應用需求和安全需求，在目標系統(tǒng)中所應用的技術被發(fā)現(xiàn)存在新的缺陷或者出現(xiàn)了新的必要的更新時，對目標用戶進行主動提醒并為目標用戶提供具體的修改或更新建議和詳細的操作規(guī)程。在目標信息技術系統(tǒng)的應用需求和安全需求發(fā)生變化時，響應目標用戶的

14、要求對這些變化進行評估并為目標用戶提供具體的建議和詳細的操作規(guī)程。,九、信息安全服務,十、2009年信息安全八大預測,（一）惡意軟件即服務 2008年剛被賽門鐵克收購的MessageLabs，近日做出了關于惡意軟件發(fā)展趨勢的預測，MessageLabs認為，“2009年惡意軟件將作為一項服務出現(xiàn)。” 回顧2008，惡意軟件及其大量變種一直在與各種反惡意軟件解決方案進行殊死較量。我們注意到一些黑客組織在2009年中將把病毒木馬等惡意軟件的制作商業(yè)化，通過讓需求者定購個性化的惡意軟件并自動發(fā)送，來保證惡意軟件數量和變種的要求，實現(xiàn)MAAS(malware as a service，惡意軟件即服務)

15、。,十、2009年信息安全八大預測,SAAS(軟件即服務)的理念已經被惡意軟件傳播者如此快速的借用。但要想實現(xiàn)惡意軟件的商業(yè)化運作也并非易事，畢竟傳播惡意軟件是不被法律所容許的。,十、2009年信息安全八大預測,（二）UTM大勢所趨 作為一家率先實現(xiàn)萬兆UTM的廠商Fortinet預測，“由于受金融海嘯的影響，企業(yè)IT預算緊縮將給各種威脅攻以可趁之機，從而不可避免地提升市場對UTM(Unified Threat Management，統(tǒng)一威脅管理)設備的需求?！?十、2009年信息安全八大預測,UTM作為企業(yè)解決一體化邊界安全防護、降低運維成本的希望，一直由于其性能瓶頸飽受爭議。2008年隨著

16、多核技術的成熟，UTM有望真正實現(xiàn)統(tǒng)一安全管理。IT專家網認為受到金融危機的影響，在今后一兩年中，節(jié)省開支將成為公司選購產品或者開發(fā)產品的前提，因此2009年UTM將受到越來越多的企業(yè)用戶關注。當然，國外的UTM是否是最省錢的解決方案，筆者并不好直接回答，可以肯定的是2009年國內信息安全市場將會更多的看到天融信、啟明星辰、聯(lián)想網御等國產品牌的身影。,十、2009年信息安全八大預測,（三）信譽危機 另外，不斷增長的“信譽危機”，不得不讓企業(yè)在2009年繃緊神經，特別是當DNS的漏洞攻擊問題迅猛增加的今天。2008年，DNS漏洞已經引起業(yè)內的廣泛關注這，一些惡意軟件(如DNS Changer等)

17、能夠將惡意DNS服務器替代為合法的DNS服務器向用戶提供服務，當用戶輸入合法網址時就會被鏈接到惡意網站。IT專家網不得不警告您，2009年很可能成為DNS漏洞滿天飛的一年。,十、2009年信息安全八大預測,（四）漏洞帶來的定向攻擊將會增加 ScanSafe預測，有針對性的專業(yè)攻擊將會增加，這個預測也是很有意義的。2008年中出現(xiàn)了大量的安全漏洞，筆者曾經在08年安全市場回顧中提到過，隨著漏洞挖掘技術及漏洞提交機制的完善，將會有更多的安全漏洞將會公布于眾。更為嚴重的是，網絡攻擊技術的門檻不斷降低，這種針對特殊漏洞的攻擊行為幾乎每時每刻都會發(fā)生，再加上經濟利益的影響，所以針對漏洞的攻擊防不勝防。,

18、十、2009年信息安全八大預測,（五）CAPTCHA帶來的郵件隱患 2008年2月，黑客首次成功破解了郵件驗證碼系統(tǒng)CAPTCHA，一眼之間基于Web證明的垃圾郵件威脅劇增。事實證明CAPTCHA還不足以保護帳戶申請過程，雖然CAPTCHA攻擊所波及面積還不是很大大，但2009年必將越演越烈，攻擊者的速度總是快于防御系統(tǒng)。不過，對于大家對于這個預測卻持不同意見，有人預測改進后的CAPTCHA將讓攻擊者無計可施。CAPTCHA最總將何去何從，我們將拭目以待。,十、2009年信息安全八大預測,（六）針對基礎設施的攻擊行為將增加 Secure Computing最新的調查顯示，能源等行業(yè)關鍵基礎設施易受網絡攻擊。專家指出，除了金融服務業(yè)外，大多數行業(yè)對于網絡攻擊幾乎毫無準備，包括：水利、電力、石油天然氣行業(yè)、電信、運輸、服務業(yè)、化工和物流業(yè)?；A設施的網絡安全防護將成為2009年，行業(yè)用戶關注的焦點。,十、2009年信息安全八大預測,（七）網絡戰(zhàn)爭將越演越烈 這聽起來仿佛和企業(yè)安全關系甚微，然而網絡戰(zhàn)爭的目的即是破壞或干擾敵對國家網絡通信、截取關鍵信息、擾亂對方網絡正常秩序，其危害是巨大的，