第1章信息安全概述.ppt

信息安全技术与应用 信息安全技术与应用 教学目的全面了解信息安全基本概念及国家信息安全保护相关政策 法津 法规和标准 初步掌握信息安全基础理论 工作原理与工程技术应用 根据信息安全保护等级需求 综合利用信息安全知识和技术构建安全解决方案 具备选择 集成 配置 评估 维护 管理和开发信息安全保障系统的工程技能 信息安全技术与应用 信息安全技术与应用 教学要求在成本 环境 风险及技术等约束条件下 依据国家信息安全保护相关政策 法津 法规和标准 综合应用信息安全知识和技术 分析 构造 设计 实施和运行信息安全保障系统的工程技能 信息安全技术与应用 第1章信息安全概述 信息安全技术与应用 1 1信息安全基本概念 信息安全定义信息安全是为防范计算机网络硬件 软件 数据偶然或蓄意破环 篡改 窃听 假冒 泄露 非法访问和保护网络系统持续有效工作的措施总和 信息安全保护范围信息安全 网络安全 计算机系统安全和密码安全涉及的保护范围不同 信息安全技术与应用 信息安全保护范围 信息安全技术与应用 信息安全侧重点 研究关注从理论上采用数学方法精确描述安全属性 工程技术成熟的信息安全解决方案和新型信息安全产品 评估与测评关注信息安全测评标准 安全等级划分 安全产品测评方法与工具 网络信息采集以及网络渗透技术 网络或信息安全管理关心信息安全管理策略 身份认证 访问控制 入侵检测 网络与系统安全审计 信息安全应急响应 计算机病毒防治等安全技术 信息安全技术与应用 信息安全侧重点 公共安全熟悉熟悉国家和行业部门颁布的常用信息安全监察法律法规 信息安全取证 信息安全审计 知识产权保护 社会文化安全等技术军事关心信息对抗 信息加密 安全通信协议 无线网络安全 入侵攻击 网络病毒传播等信息安全综合技术 信息安全技术与应用 信息安全目标 最终目标通过各种技术与管理手段实现网络信息系统的可靠性 保密性 完整性 有效性 可控性和拒绝否认性 可靠性指信息系统能够在规定的条件与时间内完成规定功能的特性 可控性指信息系统对信息内容和传输具有控制能力的特性 拒绝否认性指通信双方不能抵赖或否认已完成的操作和承诺 信息安全技术与应用 保密性 保密性指信息系统防止信息非法泄露的特性 信息只限于授权用户使用 保密性主要通过信息加密 身份认证 访问控制 安全通信协议等技术实现 信息加密是防止信息非法泄露的最基本手段 信息安全技术与应用 完整性和有效性 完整性指信息未经授权不能改变的特性 完整性强调信息在存储和传输过程中不能被偶然或蓄意修改 删除 伪造 添加 破坏或丢失 信息在存储和传输过程中必须保持原样 只有完整的信息才是可信任的信息 有效性指信息资源容许授权用户按需访问的特性 信息安全技术与应用 信息安全模型 安全解决方案一个涉及法律 法规 管理 技术和教育等多个因素的复杂系统工程 安全只具有相对意义 绝对的安全只是一个理念 任何安全模型都不可能将所有可能的安全隐患都考虑周全 理想的信息安全模型不存在 信息安全技术与应用 PPDR信息安全模型 信息安全技术与应用 信息安全策略 信息安全策略是保障机构信息安全的指导文件 信息安全策略包括总体安全策略和安全管理实施细则 总体安全策略包括分析安全需求 分析安全威胁 定义安全目标 确定安全保护范围 分配部门责任 配备人力物力 确认违反策略的行为和相应的制裁措施 安全管理细则规定了具体的实施方法和内容 信息安全技术与应用 信息安全策略总则 均衡性原则在安全需求 易用性 效能和安全成本之间保持相对平衡 时效性原则影响信息安全的因素随时间变化 信息安全问题具有显著的时效性 最小化原则系统提供的服务越多 安全漏洞和威胁也就越多 关闭安全策略中没有规定的网络服务 以最小限度原则配置满足安全策略定义的用户权限 信息安全技术与应用 安全策略内容 硬件物理安全网络连接安全操作系统安全网络服务安全数据安全安全管理责任网络用户安全责任 信息安全技术与应用 1 2信息安全漏洞与威胁 软件漏洞指在设计与编制软件时没有考虑对非正常输入进行处理或错误代码而造成的安全隐患 软件漏洞是任何软件存在的客观事实 软件产品通常在正式发布之前 一般都要相继发布 版本 版本和 版本供反复测试使用 目的就是为了尽可能减少软件漏洞 信息安全技术与应用 软件漏洞与攻击事件趋势 信息安全技术与应用 网络协议漏洞 指网络通信协议不完善而导致的安全隐患 Internet使用的TCP IP协议族所有协议都发现存在安全隐患 截止到2012年6月 专门从事安全漏洞名称标准化的公共漏洞披露机构CVE commonvulnerabilityandexposures 已发布了53623个不同的安全漏洞 新的安全漏洞仍在不断披露 信息安全技术与应用 安全管理漏洞 安全技术只是保证信息安全的基础 信息安全管理才是发挥信息安全技术的根本保证 信息安全问题不是一个纯技术问题 从安全管理角度看 信息安全首先是管理问题 如常见的系统缺省配置 脆弱性口令和信任关系转移等 信息安全是相对的 是建立在信任基础之上的 绝对的信息安全不存在 信息安全技术与应用 信息安全威胁来源 指事件对信息资源的可靠性 保密性 完整性 有效性 可控性和拒绝否认性可能产生的危害 自然因素 硬件故障 软件故障 电源故障 电磁干扰 电磁辐射和自然灾害人为因素意外损坏 删除文件 格式化硬盘 带电拔插 系统断电等各种操作失误 蓄意攻击 网络攻击 计算机病毒 特洛伊木马 网络窃听 邮件截获 滥用特权等 信息安全技术与应用 信息安全威胁来源 信息安全技术与应用 信息安全威胁来源 主动攻击主要来自网络黑客 hacker 敌对势力 网络金融犯罪分子和商业竞争对手 黑客指独立思考 智力超群 精力充沛 热衷于探索软件奥秘和显示个人才干的计算机迷 白帽黑客协助厂商解决安全问题 灰帽黑客发现安全漏洞后 在群体内发布的同时也通知厂商 黑帽黑客无视国家法律和法规 针对安全漏洞研究漏洞利用攻击机制 并遵守漏洞利用共享规范 信息安全技术与应用 1 3信息安全评价标准 中国国家质量技术监督局颁布的 计算机信息系统安全保护等级划分准则 美国国防部颁布的 可信计算机系统评价标准 欧洲德国 法国 英国 荷兰四国联合颁布的 信息技术安全评价标准 加拿大颁布的 可信计算机产品评价标准 美国 加拿大 德国 法国 英国 荷兰六国联合颁布的 信息技术安全评价通用标准 信息安全技术与应用 美国可信计算机系统评价标准 TCSEC根据计算机系统采用的安全策略 提供的安全功能和安全功能保障的可信度将安全级别划分为D C B A四大类七个等级 其中D类安全级别最低 A类安全级别最高 无安全保护D类自主安全保护C类强制安全保护B类验证安全保护A 信息安全技术与应用 美国可信计算机系统评价标准 安全功能 无保护D级 自主保护C1级 TCSEC标准各安全等级关系 安全功能保障 控制保护C2级 标记保护B1级 结构保护B2级 区域保护B3级 验证保护A级 信息安全技术与应用 国际通用信息安全评价标准 评价的信息系统或技术产品及其相关文档在CC中称为评价目标TOE targetofevaluation CC标准采用类 class 族 family 组件 component 层次结构化方式定义TOE的安全功能 CC标准定义安全保证 securityassurance 同样采用了类 族和组件层次结构 信息安全技术与应用 CC标准定义的安全功能类 信息安全技术与应用 CC标准定义的安全保证类 信息安全技术与应用 国家信息安全评价标准 CC及国家标准与TCSEC标准的对应关系 信息安全技术与应用 1 4国家信息安全保护制度 信息安全技术标准的实施必须通过信息安全法规来保障 1994年2月18日 中华人民共和国国务院发布了第147号令 中华人民共和国计算机信息系统安全保护条例 信息系统建设和应用制度应当遵守法律 行政法规和国家其他有关规定 无论是扩建 改建或新建信息系统 还是设计 施工和验收 都应当符合国家 行业部门或地方政府制定的相关法律 法规和技术标准 信息安全技术与应用 信息安全等级保护制度 计算机信息系统实行安全等级保护 信息系统安全保护等级定级指南 信息系统安全等级保护实施指南 信息系统安全等级保护基本要求 信息系统安全等级保护测评要求 信息系统安全等级保护测评过程指南 信息系统等级保护安全设计技术要求 信息安全技术与应用 国际联网备案与媒体进出境制度 进行国际联网的计算机信息系统 由计算机信息系统的使用单位报省级以上人民政府公安机关备案 运输 携带 邮寄计算机信息媒体进出境的 应当如实向海关申报 中国互联网络协会和各地公安机关相继建立了不良信息公众举报网站 例如 公安部网络违法案件举报网站 中国互联网络协会主办的违法和不良信息举报中心 信息安全技术与应用 安全管理与计算机犯罪报告制度 计算机信息系统的使用单位应当建立健全安全管理制度 负责本单位计算机信息系统的安全保护工作 中华人民共和国刑法 非法侵入计算机信息系统罪 破坏计算机信息系统罪 打击计算机犯罪的关键是获取真实 可靠 完整和符合法律规定的电子证据 计算机取证目前已成为网络安全领域中的研究热点 信息安全技术与应用 计算机病毒与有害数据防治制度 计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据 影响计算机使用 并能自我复制的一组计算机指令或者程序代码 2011年全国信息网络安全状况与计算机及移动终端病毒疫情调查分析报告 计算机病毒感染率为48 87 计算机病毒主要通过电子邮件 网络下载或浏览 局域网及移动存储介质等途径传播 有67 43 的移动终端感染过病毒 信息安全技术与应用 安全专用产品销售许可证制度 国家对计算机信息系统安全专用产品的销售实行许可证制度 计算机信息系统安全专用产品检测和销售许可证管理办法 安全专用产品的生产者在其产品进入市场销售之前 必须申领 计算机信息系统安全专用产品销售许可证 我国的测评认证体系由国家信息安全测评认证管理委员会 国家信息安全测评认证中心 和授权分支机构组成 信息安全技术与应用 1 5信息安全等级保护法规和标准 信息安全等级保护工作是我国为保障国家安全 社会秩序 公共利益以及公民 法人和其他组织合法权益强制实施的一项基本制度 信息系统安全等级保护法规 关于信息安全等级保护工作的实施意见 信息安全等级保护管理办法 关于开展全国重要信息系统安全等级保护定级工作的通知 信息安全等级保护备案实施细则 公安机关信息安全等级保护检查工作规范 关于开展信息安全等级保护安全建设整改工作的指导意见 信息安全技术与应用 信息安全等级保护的实施 信息安全等级保护意义 信息安全等级保护原则 对信息安全分等级 按标准进行建设 管理和监督 信息安全等级保护内容第一级至第五级分别称为自主保护 指导保护 监督保护 强制保护和专控保护等级信息安全等级保护职责分工 信息安全技术与应用 信息安全等级保护划分 第一级 信息系统受到破坏后 会对公民 法人和其他组织的合法权益造成损害 但不损害国家安全 社会秩序和公共利益 第二级 会对公民 法人和其他组织的合法权益产生严重损害 或者对社会秩序和公共利益造成损害 但不损害国家安全 第三级 会对社会秩序和公共利益造成严重损害 或者对国家安全造成损害 第四级 会对社会秩序和公共利益造成特别严重损害 或者对国家安全造成严重损害 第五级 信息系统受到破坏后 会对国家安全造成特别严重损害 信息安全技术与应用 信息安全等级保护测评 依据 信息系统安全等级保护测评要求 技术标准 定期对信息系统安全等级状况开展等级测评 第三级信息系统要求每年至少进行一次等级测评 第四级信息系统要求每半年至少进行一次等级测评 第五级信息系统要求依据特殊安全需求进行等级测评 第三级以上信息系统必须选择具有我国自主知识产权 取得国家信息安全产品认证机构颁发的认