信息系统安全PPT课件

第15章信息安全 信息系统安全人与信息的保护 15 1信息系统安全 15 1 1系统的易损和滥用随着计算机网络技术的发展和互联网的广泛应用 信息的公开和共享性大大提高 使安全问题成为当前信息系统需要解决的最为紧迫的问题之一 系统自身容易受到破坏恶意软件 病毒 蠕虫 木马和间谍软件黑客和计算机犯罪欺骗和嗅探器 拒绝服务攻击 计算机犯罪 身份盗窃 点击诈骗 软件缺陷 来自员工的内部威胁 2007年 国内著名游戏厂商联众世界遭受了一次有组织的大型分布式拒绝服务 DDoS 攻击 经济损失惨重 2009年5月19日 暴风影音 服务器遭受DDoS攻击引发了多省大规模网络故障事件 7月 美 韩两国政府诸多商务网站和军事网站频频遭受DDoS攻击 造成近30个网站访问延迟甚至崩溃 2013年8月25日0时6分 国家CN域名解析系统主节点服务器遭受大规模分布式拒绝服务攻击 造成网络链路拥塞 服务器性能下降 部分CN域名网站访问缓慢或中断 15 1 2安全和控制的商业价值安全和监管上的不足会导致承担严厉的法律责任 企业不仅要保护企业的信息 还要保护企业客户 员工和合作伙伴的信息 如果不能做到这一点 企业将会卷入泄露数据的复杂诉讼 如果企业没有采取一定的措施防止泄露机密信息 数据毁损 侵犯隐私 企业将长期处于纠纷之中 2011年12月21日下午 微博爆料称 国内最大的程序员网站 CSDN的数据库遭到黑客攻击 涉及600余万用户的信息被泄露 众多用户账号密码赤裸裸地被公开 立即引发了互联网业界一片哗然 此后 陆续又有多家公司的账号被泄露 在这其中 安全软件公司金山毒霸的用户数据库赫然在列 2014年3月22日 国内知名漏洞报告平台乌云网公布了 携程安全支付日历导致用户银行卡信息泄露 的相关信息 漏洞发现者指出 携程将用于处理用户支付的服务接口开启了调试功能 使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器 而该信息加密级别并不够高 可以被骇客轻易获取 泄露的信息包括用户的 持卡人姓名 身份证 所持银行卡类别 比如 招商银行信用卡 中国银行信用卡 卡号 CVV码 信用卡背后的一组数字 以及用于支付的6位密码 暴露出的 隐私泄露 问题并非携程一个企业存在 7天等连锁酒店去年就被曝出存在系统安全漏洞 导致2000万用户身份证 手机 住址及开房时间等信息遭到泄露 据中国电子商务研究中心监测数据显示 5亿手机网民对软件商搜集个人信息的风险浑然不知 65 5 的网站存在安全漏洞 2013年中国网民在网上损失近1500亿元 74 1 的网民在过去半年时间内遇到过信息安全问题 总人数达4 38亿 全国因信息安全事件而造成的个人经济损失达到了196 3亿元 因网上购物遇到过安全问题的网民达2010 6万人 其中因网购遭遇个人信息泄露和账号密码被盗分别为42 9 23 8 电脑网络支付时 资金被盗 被骗和账号密码被盗的比例达32 1 15 1 3安全与控制基本框架的建立除非知道问题在哪里及知道如何抵御 否则 即使有最好的安全工具 信息系统也不是绝对可靠和安全的 所以 有必要建立一种安全措施和计划来维持商业运营 1 信息系统控制信息系统控制是手工的也是自动化的 由一般性控制和应用性控制构成 一般性控制 应用控制应用控制是与其他信息化应用不同的特殊控制 如工资表和订单处理 它们通过自动和手动的方法来确保只有认可的数据才能得到精确地处理 应用控制可以分为输入控制 过程控制和输出控制 2 风险评估企业在投资实施安全控制措施之前 应该了解哪些信息资源需要保护 需要什么程度的保护 风险评估可以帮助回答这些问题 协助企业找到安全控制最有成本效益 最合算的方法 实际上 风险评估就是确定信息系统存在的潜在风险的等级的 不是所有的风险都可以得到预计和测量的 但大部分公司能够有着对所面临的风险的知识 风险评估由管理者和信息系统专家一起确定组织信息资产的价值 易受攻击点 问题可能出现故障的频率及潜在的损失 3 安全措施一旦确认了系统内最主要的风险 就要建立安全措施保护公司的财产 安全措施由分类风险报表 可接受的安全目标及达成这些目标的机制构成 什么是公司最重要的信息财产 已经有哪些安全措施来保护这些信息 对于每种财产 什么等级的风险管理是可接受的 4 信息系统运行的连续性保障业务持续计划是一套用来降低组织的重要营运功能遭受未料到中断风险的作业程序 它可能是人工的或系统自动的 业务持续计划的目的是使一个组织及其信息系统在灾难事件发生时仍可继续运作 业务持续性的基础是充分的数据备份和恢复 以及信息系统的灾难恢复计划 数据恢复是信息系统恢复和持续的保障 而对信息系统支持关键业务的组织而言 信息系统的恢复更是业务恢复和持续的前提 5 审核角色管理层怎么知道信息系统的安全和控制是有效的 为了回答这个问题 企业必须组织广泛的 系统的审核 管理信息系统审核检查公司全面的安全环境 以及控制单独的信息系统 如果用合适的自动审核软件 审核应当通过系统和执行测试样本 安全审核检查技术 程序 记录 培训和个人信息 彻底审核甚至会模拟袭击或灾难来测试技术 信息系统和公司员工的反应 15 1 4保护信息资源的技术和工具1 访问限制访问限制由一系列的策略构成 这些策略被公司用来限制非授权内部和外部人员的不合法进入 要想访问 用户需要得到授权和认证 所谓认证是指确定那个人是不是他自己所描述的那样 设计访问限制软件 是为了让被授权用户使用系统 或者接近认证所需要的某种方法的数据 除了使用密码的一般认证实现外 还有口令 智能卡 机器鉴定等认证技术 2 网络防火墙技术 入侵检测系统IDS和杀毒软件如果没有对抗入侵者的保护系统 联网是很危险的 网络防火墙 入侵检测系统IDS及杀毒软件和反间谍软件已经成为非常重要的商业工具 网络防火墙 Firewall 网络防火墙技术是保证企业计算机网络不受 黑客 攻击的一种控制性质的网络安全措施 防火墙是隔离系统网络内外的一道屏蔽 它的特点是在不妨碍正常信息流通的情况下 对内保护某一确定范围的网络信息 对外防范来自保护网络范围以外的威胁与攻击 防火墙技术措施的原理是在比较明确的网络边界上 最大限度地对外攻击屏蔽来保护信息和结构的安全 但它对来自网络内部的安全威胁不具备防范作用 入侵检测系统IDS入侵检测系统 IntrusionDetectionSystem IDS 的特征是全天候监控 通常会将IDS放在系统最为脆弱或是最被关注的地方 侦察和阻止入侵者进入 当发现可疑的或者异常的事件 就会发出警报 通常入侵检测系统分为两种 一种是基于特征的入侵检测系统 另一种是基于异常的入侵检测系统 杀毒软件和反间谍软件防护技术必须包含反病毒保护系统 杀毒软件是为了检查计算机系统并将计算机病毒驱逐出去 但是 大多数杀毒软件只在对抗软件本身知道的病毒时才有效 为确保有效性 杀毒软件要不断升级 3 保护无线网络为用户的SSID ServiceSetIdentifier 服务集标识 网络注册一个独一无二的名称 并指令用户的服务器不要泄露出去 阻止黑客进入用户的网络 当进入公司内部数据库时 公司可以通过利用安全无线网络同虚拟的私人网络技术进行交流 以此来进一步提高Wi Fi的安全性 4 加密和公钥基础设施加密系统是一种将普通的文字变成密码文字的程序 加密后 除了编者和加密者本身 任何人都看不到这篇文字 数据通过利用不被人知道的数字码加密 将明文变成密文 人们将这种把普通文字变成密码文字的数字码称为加密密钥 接收者收到密文后要利用解密密钥进行解密获得明文 网上的两种网络加密协议 安全套接字层协议SSL和传输层安全协议TLS 可以使客户机和服务器能够在一个秘密的网站上互相交流 SSL和TLS能为计算机间提供秘密的交流平台 15 2人与信息的保护 15 2 1信息社会内的道德道德是人们应遵循的原则和标准 道德是关于个人的选择 当面对行动的选择路径时 什么是正确的道德选择 什么是正确道德的选择原则 负责 责任 法律责任道德分析道德选择的原则行为的专业道德准则现实世界的道德窘境 15 2 2隐私权1 互联网时代的隐私和自由联网时代提供给用户更多的自由 同时也对个人隐私提出挑战 信息经过网络从一个计算机系统到另一个计算机系统 要通过许多的计算机系统 那么这些计算机系统均能监视 捕获和存储个人信息 如计算机系统记录许多用户的在线活动 包括用户查找什么内容 访问哪些网站或网页 存取什么在线内容 个人通过网络购买了什么东西 这些监视和跟踪网站大多无须访问者的背景 2 解决方案除法律外 新技术也能在用户和网站互动时保护用户的隐私 许多工具可以加密电子邮件 使电子邮件或者上网匿名 保护用户的计算机不接收Cookie 或检测出并删除间谍软件等 现在也有工具能够帮助用户确定可能被网站抽取的个人数据 如P3P P3P是一种被称为个人隐私安全平台项目 thePlatformforPrivacyPreferences 的标准 能够保护在线隐私