信息安全概述
信息安全主要内容
• • • • 实体安全 运行安全 数据安全 管理安全
法律 合规 业务 连续 事件 管理 安全 策略 安全 组织 资产 管理 人员 安全 网络 安全 物理 安全
信息安全
开发 安全
访问 控制
信息安全体系
信息安全体系框架 技术体系 技术机制 技术管理 审计 安 全 策 略 与 服 务 组织机构体系 管理体系
防火墙(FireWall)
入侵检测(IDS)、入侵防御(IPS)
上网认证/日志
上网行为审计
网络安全——VPN
虚拟的网:即没有固定的物理连接,网络 只有用户需要时才建立; 利用公众网络设施构成。
VPN设备 公共网络
VPN设备
公司总部
VPN设备 办事处/SOHO
VPN通道
网络安全——防火墙
网 络 信 息 远 程 监 控 系 统
审 计 与 网 情 分 析 系 统
绝对的安全是不存在的
• 绝对的零风险是不存在的,要想实现零风险,也 是不现实的;
• 计算机系统的安全性越高,其可用性越低,需要 付出的成本也就越大,一般来说,需要在安全性 和可用性,以及安全性和成本投入之间做一种平 衡。
在计算机安全领域有一句名言: “真正安全的计算机是拔下网线,断掉 电源,放置在地下掩体的保险柜中,并 在掩体内充满毒气,在掩体外安排士兵 守卫。” 显然,这样的计算机是无法使用的。
信息系统是信息安全技术的对象、手段 物理安全、网络安全、系统安全、应用 安全、终端安全
典型信息系统构架
运行环境安全
国标:GB/T 21052-2007 信息系统物理安全 技术要求 安防、消防、防水、防震 防雷 供电、温度、湿度
防鼠
……
网络安全 IT工具
ARP欺骗、ARP攻击 私设DHCP服务器 VPN
信息安全概述
什么是信息?
香 农:信息是用来消除不确定性的东西 钟义信:信息是事物运动的状态及其变化方式
什么是信息安全?
ISO:在技术上和管理上为数据处理系统建立的安全 保护,保护计算机硬件、软件和数据不因偶然和恶 意的原因而遭到破坏、更改和泄露
信息安பைடு நூலகம்基本属性
机密性 信息的授权访问 完整性 信息不能丢失、错误、篡改 可用性 授权用户在需要时访问性保障 不可否认性 原发不可否认和接受不可否认 可控性 用户使用信息资源的方式可控
数 字 证 书 管 理 系 统
用 户 安 全 认 证 卡
智 能 IC 卡
鉴 别 与 授 权 服 务 器
安 全 操 作 系 统
安 全 数 据 库 系 统
防 火 墙 与 系 统 隔 离 产 品
网 络 病 毒 检 查 预 防 和 清 除 产 品
网 络 安 全 隐 患 扫 描 检 测 工 具
网 络 安 全 监 控 及 预 警 设 备
防火墙是用于将信任网络与非信任网络隔离的一种技术,它通过
单一集中的安全检查点,强制实施相应的安全策略进行检查,防止对
重要信息资源进行非法存取和访问,以达到保护系统安全的目的。
Internet
非信任网络
防火墙 信任网络
网络安全——防火墙基本功能
数据包过滤 网络地址转换 应用级代理 虚拟专用网 状态检测
运行环境 及系统安 全技术
OSI 安全技术 密 钥 管 理
系 统 安 全
物 理 安 全
O S I 安 全 管 理
安 全 服 务 安 全 机 制
状 态 检 测
入 侵 监 控
机 构
岗 位
人 事
制 度
培 训
法 律
网络环境信息安全威胁
IT工具
特洛伊木马
黑客攻击
后门、隐蔽通道
计算机病毒
网络
信息丢失、 篡改、销毁
计算机信息系统安全保护等级划分准则 (GB 17859-1999)
• • • • • 第一级:用户自主保护级 第二级:系统审计保护级 第三级:安全标记保护级 第四级:结构化保护级 第五级:访问验证保护级
信息安全核心——密码技术
加密技术: RC4、3DES、AES 数字签名: RSA、ECC
信息窃取
安全是一种平衡
高
安全事件的损失
安 全 成 本
安全控制的成本
/
损 失
最小化的总成本 所提供的安全水平 高
低
关键是实现成本利益的平衡
安全是不断改善的过程
预警W 技术 策略 反击C 人员 检测D 保护P
恢复R
响应R
信息安全等级保护
• 第一级,信息系统受到破坏后,会对公民、法人和其他 组织的合法权益造成损害,但不损害国家安全、社会秩 序和公共利益 • 第二级,信息系统受到破坏后,会对公民、法人和其他 组织的合法权益产生严重损害,或者对社会秩序和公共 利益造成损害,但不损害国家安全 • 第三级,信息系统受到破坏后,会对社会秩序和公共利 益造成严重损害,或者对国家安全造成损害 • 第四级,信息系统受到破坏后,会对社会秩序和公共利 益造成特别严重损害,或者对国家安全造成严重损害 • 第五级,信息系统受到破坏后,会对国家安全造成特别 严重损害
网络安全——防火墙不足
不能防范不通过防火墙的连接
防火墙防外不防内
配置复杂,容易造成安全漏洞
无法防范病毒,抵御数据驱动式攻击
拒绝服务攻击
逻辑炸弹
蠕虫
内部、外部泄密
信息安全威胁因素
天灾 人祸 自身缺陷(脆弱性)
信息安全技术体系
安全集成技术
备 份 与 恢 复 技 术
防 病 毒 技 术
防 火 墙 技 术
V P N 技 术
入 侵 检 测 技 术
安 全 评 估 技 术
审 计 分 析 技 术
主 机 安 全 技 术
身 份 认 证 技 术
访 问 控 制 技 术
密 码 技 术
安全管理技术
信息安全产品
IT工具
信息安全产品类型
信息保密 产品
用户授权 认证产品
安全 平台/系统
安 全 路 由 器 与 虚 拟 专 用 网 络 产 品
网络安全检测 与监控产品
密 码 加 密 产 品
密 钥 管 理 产 品
高 性 能 加 密 芯 片 产 品
数 字 签 名 产 品
信息篡改
完整性技术: MD5、SHA1
信息抵赖
信息冒充
认证技术: 数字证书、PKI
信息系统安全 IT工具
信息系统与信息安全 物理安全 网络安全 服务器硬件安全 系统安全
数据库安全
中间件、应用服务安全
信息系统与信息安全 IT工具
信息系统是信息的承载者
信息系统安全保障了信息安全