中国评测培训教程信息安全基础知识.ppt

信息安全基础 June 2008 2 议程 ISO七层模型风险分析原理BS7799 3 信息安全的一般性定义 信息安全是防止对知识 事实 数据或能力非授权使用 误用 篡改或拒绝使用所采取的措施 量度 计算机网络的定义 计算机网络是地理上分散的多台自主计算机互联的集合 自主计算机这一概念排除了网络系统中主从关系的可能性 互联必须遵循约定的通信协议 由通信设备 通信链路及网络软件实现 计算机网络可实现信息交互 资源共享 协同工作及在线处理等功能 网络信息安全与计算机网络 4 OSI七层参考模型功能 5 数据传递过程 发送时每往下传递一层 对数据附加一个协议控制信息 即封装 接收时 每往上传递一层 自下层向上层逐层去掉协议控制信息 即拆封 6 计算机网络协议的体系结构 OSI7层协议结构 TCP IP协议 一般网络模型 5层 7 TCP IP参考模型 网络接口层 网络层 传输层 应用层 OSI与TCP IP的比较 8 网络安全基础知识 信息安全的含义信息安全从其本质上来讲就是网络传输处理过程中的信息安全 它涉及的领域相当广泛 这是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁 从广义来说 凡是涉及到网络上信息的保密性 完整性 可用性 真实性和可控性的相关技术和理论 都是网络安全所要研究的领域 下面给出网络安全的一个通用定义 信息安全是指网络系统的硬件 软件及其系统中的数据受到保护 不受偶然的或者恶意的原因而遭到破坏 更改 泄露 系统连续可靠正常地运行 网络服务不中断 9 网络安全基础知识 l 运行系统安全 即保证信息处理和传输系统的安全 2 网络上系统信息的安全 3 网络上信息传播的安全 即信息传播后果的安全 4 网络上信息内容的安全 即我们讨论的狭义的 信息安全 10 网络安全基础知识 网络安全的特征 1 保密性 信息不泄露给非授权的用户 实体或过程 或供其利用的特性 2 完整性 数据未经授权不能进行改变的特性 即信息在存储或传输过程中保持不被修改 不被破坏和丢失的特性 3 可用性 可被授权实体访问并按需求使用的特性 即当需要时应能存取所需的信息 网络环境下拒绝服务 破坏网络和有关系统的正常运行等都属于对可用性的攻击 4 可控性 对信息的传播及内容具有控制能力 2007网络安全事件统计 12 网络安全基础知识 网络安全的威胁 1 非授权访问 unauthorizedaccess 一个非授权的人的入侵 2 信息泄露 disclosureofinformation 造成将有价值的和高度机密的信息暴露给无权访问该信息的人的所有问题 3 拒绝服务 denialofservice 使得系统难以或不可能继续执行任务的所有问题 4 木马 病毒 扰乱系统正常运作 造成数据的不可判损坏 5 恶意 间谍软件 窃取操作用户密码和相关机密信息 实施商业欺诈或恶意信息泄露 13 网络安全基础知识 网络安全的关键技术 主机安全技术 身份认证技术 访问控制技术 密码技术 防火墙技术 安全审计技术 安全管理技术 防病毒技术 反垃圾邮件技术 入侵检测技术 14 网络安全基础知识 网络安全的安全策略 网络用户的安全责任 该策略可以要求用户每隔一段时间改变其口令 使用符合一定准则的口令 执行某些检查 以了解其账户是否被别人访问过等 重要的是 凡是要求用户做到的 都应明确地定义 系统管理员的安全责任 该策略可以要求在每台主机上使用专门的安全措施 登录标题报文 监测和记录过程等 还可列出在连接网络的所有主机中不能运行的应用程序 15 网络安全基础知识 正确利用网络资源 规定谁可以使用网络资源 他们可以做什么 他们不应该做什么等 如果用户的单位认为电子邮件文件和计算机活动的历史记录都应受到安全监视 就应该非常明确地告诉用户 这是其政策 检测到安全问题时的对策 当检测到安全问题时应该做什么 应该通知谁 这些都是在紧急的情况下容易忽视的事情 16 网络安全分类 根据中国国家计算机安全规范 计算机的安全大致可分为三类 1 实体安全 2 网络与信息安全 3 应用安全 机房 线路 主机 网络的连通及信息传输安全 程序开发运行 I O 数据库 17 网络安全分类 基本安全类基本安全类包括访问控制 授权 认证 加密以及内容安全 管理与记账类管理与记账类安全包括安全的策略的管理 实时监控 报警以及企业范围内的集中管理与记账 网络互联设备安全类网络互联设备包括路由器 通信服务器 交换机等 网络互联设备安全正是针对上述这些互联设备而言的 它包括路由安全管理 远程访问服务器安全管理 通信服务器安全管理以及交换机安全管理等等 18 网络安全解决方案 连接控制类连接控制类包括负载均衡 可靠性以及流量管理等 由于网络安全范围的不断扩大 如今的网络安全不再是仅仅保护内部资源的安全 还必须提供附加的服务 例如 用户确认 通过保密 甚至于安全管理传统的商务交易机制 如订货和记账等 网络信息安全模型一个完整的网络信息安全系统至少包括三类措施 社会的法律政策 企业的规章制度及网络安全教育 技术方面的措施 如防火墙技术 防病毒 信息加密 身份确认以及授权等 审计与管理措施 包括技术与社会措施 19 网络安全解决方案 20 网络安全解决方案 安全策略设计依据在制定网络安全策略时应当考虑如下因素 对于内部用户和外部用户分别提供哪些服务程序 初始投资额和后续投资额 新的硬件 软件及工作人员 方便程度和服务效率 复杂程度和安全等级的平衡 网络性能 21 网络安全解决方案 网络安全解决方案 1 信息包筛选 22 网络安全解决方案 2 应用中继器 23 网络安全解决方案 24 网络安全解决方案 3 保密与确认 保密 可以保证当一个信息被送出后 只有预定的接收者能够阅读和加以解释 它可以防止窃听 并且允许在公用网络上安全地传输机密的或者专用的信息 确认 意味着向信息 邮件 数据 文件等 的接收者保证发送是该信息的拥有者 并且意味着 数据在传输期间不会被修改 25 网络安全解决方案 网络安全性措施要实施一个完整的网络安全系统 至少应该包括三类措施 社会的法律 法规以及企业的规章制度和安全教育等外部软件环境 技术方面的措施 如网络防毒 信息加密 存储通信 授权 认证以及防火墙技术 审计和管理措施 这方面措施同时也包含了技术与社会措施 26 网络安全解决方案 为网络安全系统提供适当安全的常用的方法 修补系统漏洞 病毒检查 加密 执行身份鉴别 防火墙 捕捉闯入者 直接安全 空闲机器守则 废品处理守则 口令守则 27 网络安全解决方案 可以采取的网络安全性措施有 选择性能优良的服务器 服务器是网络的核心 它的故障意味着整个网络的瘫痪 因此 要求的服务应具有 容错能力 带电热插拔技术 智能I O技术 以及具有良好的扩展性 采用服务器备份 服务器备份方式分为冷备份与热备份二种 热备份方式由于实时性好 可以保证数据的完整性和连续性 得以广泛采用的一种备份方式 对重要网络设备 通信线路备份 通信故障就意味着正常工作无法进行 所以 对于交换机 路由器以及通信线路最好都要有相应的备份措施 28 网络安全解决方案 Internet安全管理 1 应解决的安全问题 2 对Internet网的安全管理措施 安全保密遵循的基本原则 根据所面临的安全问题 决定安全的策略 根据实际需要综合考虑 适时地对现有策略进行适当的修改 每当有新的技术时就要补充相应的安全策略 构造企业内部网络 在Intranet和Internet之间设置 防火墙 以及相应的安全措施 完善管理功能 加大安全技术的开发力度 29 网络安全解决方案 网络安全的评估 确定单位内部是否已经有了一套有关网络安全的方案 如果有的话 将所有有关的文档汇总 如果没有的话 应当尽快制订 对已有的网络安全方案进行审查 确定与网络安全方案有关的人员 并确定对网络资源可以直接存取的人或单位 部门 确保所需要的技术能使网络安全方案得以落实 确定内部网络的类型 因为网络类型的不同直接影响到安全方案接口的选择 30 风险分析原理 31 风险评估与管理工具 基于信息安全标准的风险评估与管理工具依据标准或指南的内容为基础 开发相应的评估工具 完成遵循标准或指南的风险评估过程 如ASSET CCToolbox等 基于知识的风险评估与管理工具并不仅仅遵循某个单一的标准或指南 而是将各种风险分析方法进行综合 并结合实践经验 形成风险评估知识库 以此为基础完成综合评估 如COBRA MSAT RISK等 基于模型的风险评估与管理工具对系统各组成部分 安全要素充分研究的基础上 对典型系统的资产 威胁 脆弱性建立量化或半量化的模型 根据采集信息的输入 得到评价的结果 如RA CORA等 32 常用风险评估与管理工具对比 33 评估工具举例 COBRA COBRA ConsultativeObjectiveBi FunctionalRiskAnalysis由C ASystemsSecurityLtd推出的自动化风险管理工具 COBRA采用调查表的形式 在PC机上使用 基于知识库 类似专家系统的模式 COBRA不仅具有风险管理功能 还可以用于评估是否符合BS7799标准 是否符合组织自身制定的安全策略 34 COBRA的风险定性分析方法 35 网络安全解决方案 如果需要接入互联网 则需要仔细检查联人互联网后可能出现的影响网络安全的事项 确定接入互联网的方式 是拔号接入 还是低速的专线 是一条T1中速专线 还是一条T3高速专线 确定单位内部能提供互联网访问的用户 并明确互联网接入用户是固定的还是移动的 是否需要加密 如果需要加密 必须说明要求的性质 比如 是对国内的还是对国外的 以便使安全系统的供应商能够做出正确的反应 BS7799 BS7799标准是由英国标准协会 BSI BritainStandardInstitute 制定的信息安全管理标准 是国际上具有代表性的信息安全管理体系标准 该标准包括以下两部分 BS7799