•生物特征鉴别：利用个人特征进行鉴别，具有很高 的安全性。目前已有的设备包括：视网膜扫描仪、声 音验证设备、手型识别器
7/13/2013 27
安全审计
根据审计对象，安全审计可以分成三个层次 •网络层安全审计 •系统安全审计 •信息内容安全审计，属高层审计 安全审计的主要功能 •通过事后的安全审计来检测和调查安全策略执行的 情况以及安全遭到破坏的情况 •监督可疑用户，取消可疑用户的权限，调用更强的 保护机制，去掉或修复故障网络以及系统的某个或某 些失效部件

7/13/2013
8
现阶段——信息安全保障
提出了“信息安全保障”的概念和要求，是一种立体的保 障7Fra bibliotek13/2013
9
信息安全的内涵
信息安全经典模型（CIA模型）
保密性
C
Confidentiality
完整性
I
Integrity
可用性
A
Availability
7/13/2013 10
信息安全的内涵
7/13/2013
19
信息系统安全保障模型
P2DR3模型
安全防护 实时监测
安全策略
应急响应
风险评估
灾难恢复
7/13/2013
20
信息系统安全保障模型要素之一
安全策略 •根据风险评估的结果来设计系统安全的整体保障方 案
•按照等级保护的要求，确定系统的防护等级
•根据信息安全保障强度，合理划分网络与系统中不 同的信息安全域 •按照分级、分域、分层的思想确定相应的防护措施
证书目录服务
B的证书
数字签名验证 有效性检查
7/13/2013
35
防病毒
计算机病毒：编制或者在计算机程序中插入的破坏计算 机功能或者毁坏数据，影响计算机使用，并能自我复制 的一组计算机指令或者程序代码 计算机病毒的特点 •影响面广、危害大。
•病毒产生速度快（已经出现病毒制造机）
•数量巨大（已经达到数万种） •传播速度快（通过Internet）
初级阶段：通信保密阶段 • 上世纪八十年代前，人们认为信息安全就是通信保密 ，采用的保障措施就是加密和基于计算机规则的访问 控制
中级阶段：计算机系统安全阶段(静态信息防护) • 本世纪前，对主机安全的关注及网络攻击的防护是信 息安全的核心内容
现阶段：信息安全保障阶段 • 人们关心的是信息及信息系统的保障，如何建立完整 的保障体系，以便保障信息及信息系统的正常运行
23
信息系统安全保障模型要素之二
安全防护 •在统一的安全策略的指导下，进行有针对性的防护： •使用网闸进行物理隔离 •使用防火墙对外部进行访问控制 •使用入侵检测分析网内的数据包 •使用安全审计监控记录用户的行为操作 •采用认证技术对用户进行身份鉴别（PKI） •部署防病毒软件来防范恶意代码的传播 •使用漏洞扫描技术对系统进行安全加固 •使用防水墙防止内部信息的泄漏 •采用防篡改软件保障网页安全 •采用容错软件来保障系统的高可用性
7/13/2013
14
几个基本概念

信息安全指保护信息和信息系统不被未经授权的访问、使 用、泄露、中断、修改和破坏，为信息和信息系统提供保 密性、完整性、可用性、可控性和不可否认性。
信息安全保障是保证信息与信息系统的保密性、完整性、 可用性、可控性和不可否认性的信息安全保护和防御过程 。它要求加强对信息和信息系统的保护，加强对信息安全 事件和各种脆弱性的检测，提高应急反应能力和系统恢复 能力。 信息安全保障体系是实施信息安全保障的法制、组织管理 和技术等层面有机结合的整体，是信息社会国家安全的基 本组成部分，是保证国家信息化顺利进行的基础。
7/13/2013
29
安全审计
系统的安全审计：主要是利用各种操作系统和应用软件 系统的审计功能实现。包括 •用户访问时间 •操作记录 •系统运行信息 •资源占用 •系统事件
7/13/2013
30
安全审计
内容的安全审计 通过定义的审计规则，如关键字、语句等，对信息的内 容进行审核 根据审计规则，监视、记录或阻断通信的内容 如邮件审查，对所有邮件及附件内容进行控制。
•技术手段越来越先进
7/13/2013 36
漏洞扫描
漏洞扫描，就是对重要网络信息系统进行检查，发现其 中可能被攻击者利用的漏洞。系统安全漏洞扫描是一种 事先检查型安全工具 扫描设定网络内的服务器、路由器、交换机、防火墙等 安全设备的漏洞，并可设定模拟攻击，以测试系统的防 御能力 从操作系统的角度监视专用主机的整个安全性。如 password文件，目录和文件权限，共享文件系统，敏感 服务，软件，系统漏洞等
7/13/2013
21
安全策略的重要性
ISO 9000 质量管理 ISO 27000 安全管理
7/13/2013
22
安全策略
各种细化的安全策略 1、身份鉴别策略 2、访问控制策略 3、数据加密策略 4、安全审计策略 5、安全管理策略 6、安全传输策略 7、备份恢复策略 等等。。。
7/13/2013
7/13/2013
7
现阶段——信息安全保障
重点需要保护信息，确保信息在产生、存储、处理、传输 过程中及信息系统不被破坏，确保合法用户的服务和限制非 授权用户的服务，以及必要的防御攻击的措施。 强调信息的保密性、完整性、可用性 主要安全威胁是人为破坏、网络入侵、病毒破坏、信息对 抗 主要保护措施包括防火墙、防病毒软件、漏洞扫描、入侵 检测、PKI、VPN等 特点：涉及与信息系统相关的各类要素。
7/13/2013
28
安全审计
网络的安全审计 •在网络的边界设臵信息审计系统，通过对进出网络 通信内容的还原、备份与审计，可在一定程度上防止 网内机密信息的流出和网外不良信息的流入，并为网 上泄密事件的追查提供有力的技术手段 •同时根据系统设定的规则，对违规行为进行智能分 析和判断并对其采取相应的动作 •例如：防火墙、入侵检测的审计功能。
7/13/2013 24
防火墙
防火墙技术的基本功能 •控制信息的出入 •保护内部网络免遭某些基于路由的攻击 •对网络存取和访问进行监控审计 •防止内部网络信息的泄漏 防火墙技术的其他功能 •强化网络安全策略 •隐藏内部网络结构细节 •保密通信功能
7/13/2013 25
身份鉴别
身份验证（Identification）是用户向系统出示自己身份 证明的过程。口令认证、数字证书认证是比较普遍采用 的身份验证方式 提供的内容：你有什么？你知道什么？你是什么？ •一是只有该主体了解的秘密，如口令、密钥 •二是主体携带的物品，如智能卡和令牌卡 •三是只有该主体具有的独一无二的特征或能力，如 指纹、声音、视网膜或签字等 鉴别的方式：口令、数字证书、Keberos、动态密码
7/13/2013
5
中级阶段——计算机系统安全
70～80年代 •重点是确保计算机系统中硬件、软件及正在处理、存 储、传输信息的机密性、完整性和可控性 •主要安全威胁扩展到非法访问、恶意代码、弱口令等
•主要保护措施是安全操作系统涉及技术（TCB）
主要标志 1985年美国国防部公布的可信计算机系统评估准则（ TCSEC)
7/13/2013
4
初级阶段——通信保密
40～70年代 •重点是通过密码技术解决通信保密，保证数据的保密性 与完整性 •主要安全威胁是搭线窃听、密码学分析 •主要保护措施是加密 重要标志： •1949年shannon发表的《保密通信的信息原理》 •1977年美国国家标准局公布的数据加密标准（DES） ，对称算法 •1976年由Diffie、Hellman提出公钥密码体制，非对称 算法

7/13/2013
31
PKI公共密钥体系
公共密钥基础设施（Public Key Infrastructure） •是应用公钥概念和公钥密码技术提供信息安全及信 任服务的基础设施 利用PKI/CA可以实现 •加密传输 •数字认证 •数字签名 •抗抵赖 基于非对称算法
7/13/2013
32
PKI公共密钥体系
功能 •认证（鉴别） •我不认识你！ －－你是谁？ •我怎么相信你就是你？ －－要是别人冒充你怎么办 •授权 •我能干什么？ －－我有什么权利？ •你能干这个，不能干那个。 •保密性 •我与你说话时，别人能不能偷听？ •完整性 •收到的传真不太清楚？ •传送过程中别人篡改过没有？ •抗抵赖 •我收到货后，不想付款，想抵赖，怎么样？ •我将钱寄给你后，你不给发货，想抵赖，如何？
7/13/2013
26
身份鉴别
两种高安全强度的鉴别机制 •智能卡：访问不但需要口令，也需要使用物理智能 卡。在允许其进入系统之前检查是否允许其访问系统
•智能卡大小形如信用卡，一般由微处理器、存储 器及输入、输出设施构成。微处理器可计算该卡 的一个唯一数（ID）和其它数据的加密形式 •为防止智能卡遗失或被窃，许多系统需要卡和身 份识别码（PIN）同时使用
7/13/2013 33
PKI公共密钥体系
数字证书：用户身份的表征 •数字证书：内容包括用户的公钥， 用户姓名及用户 的其他信息 •数字证书解决了公钥发放问题，公钥的拥有者是身 份的象征，对方可以据此验证身份 •CA中心对含有公钥的证书进行数字签名，使证书无 法伪造
7/13/2013
34
PKI公共密钥体系 验证数字证书的合法性
信息安全基础知识培训
2010年7月15日
目录 一、信息安全基础知识 二、证券行业面临的安全威胁 三、公司安全防护体系 四、公司信息安全标准
7/13/2013
2
一、信息安全基础知识

信息安全发展史

信息安全的内涵 信息系统安全保障体系的基本内容
等级保护有关背景情况介绍


7/13/2013