信息安全导论(1-信息安全概述).ppt

1,信息安全概述,信息安全导论（模块1信息安全概述）,2,提纲,1、前言2、信息、信息安全的概念3、信息安全的发展过程4、信息安全的主要特征5、信息安全的威胁6、信息安全的目标7、信息安全的体系结构8、信息安全的实现9、信息安全存在的问题,3,1、前言,随着互联网的飞速发展，信息作为一种无形的资源，被广泛应用于政治、军事、经济、科研等各行各业，其重要性与日俱增随之而来的安全性问题也越来越多,4,据联邦调查局统计，美国每年因网络安全造成的损失高达75亿美元据美国金融时报报道，每20秒就发生一次计算机安全事件，1/3的防火墙被突破美国联邦调查局计算机犯罪组负责人称：给我精选10名“黑客”，90天内，我将使美国趴下,前言,5,1988年11月2日，美国康奈尔大学的学生罗伯特莫里斯释放多个蠕虫病毒，造成因特网上近6000台主机瘫痪，据称损失高达几千万美元1989年3月2日凌晨，3名德国黑客因涉嫌向前苏联出售机密情报被捕，他们在两年多的时间内，闯入了许多北约和美国的计算机系统，窃取了许多高度机密的信息。1996年9月，美国中央情报局的主页被一群远在瑞典的少年黑客改为中央笨蛋局（CentralStupidityAgency）,前言,6,2000年10月，黑客入侵微软公司并获取微软新开发产品的机密源代码，震动了微软公司高层。有的媒体冠以“黑客太黑，微软太软”的大标题，讽刺微软这样的著名公司都无法挡住黑客凶猛的攻击在海湾战争中，美国特工将伊拉克从德国进口的一批计算机打印设备中换上含有可控“计算机病毒”的芯片，导致伊拉克的计算机系统在战争初期就陷入全面瘫痪美国已生产出第一代采用“病毒固化”技术的芯片，并开始嵌入出口的计算机产品中。一旦需要，便可遥控激活,前言,7,信息安全事件,美国成数据黑市大本营金融信息安全堪忧各类银行卡已经为越来越多的人所接受。可银行卡的安全漏洞却是一个极大的隐患，美国这样金融系统高度发达的国家，动辄几千万人的卡资料外泄，让消费者心惊胆战。2007年，美国有史以来最大客户资料劫案美国零售业巨头TJX公司4570万张信用卡和借记卡资料遭黑客窃取，成为美国迄今最严重的一次金融信息安全事件。,8,TJX公司事件,作为T.J.Maxx、玛莎百货(Marshalls)和另几家折扣零售连锁店的母公司，TJX公司的年营业额达到170亿美元2006年12月，TJX公司向执法机关举报说，4500多万名客户的个人资料被黑客盗走,9,TJX公司事件,公司及调查人员没有公布事件细节。据已透露的细节得知黑客可能的手段：店内电脑看管不严很多TJX零售店内的电脑没有防火墙的保护，可以直接连上公司网络。黑客用USB盘把黑客软件装到电脑上，TJX公司承认在电脑系统中发现了“可疑软件”。盗贼们可以控制这些电脑，把它们变成连接到TJX公司网络的远程终端,10,TJX公司事件,黑客可能的手段：无线接入黑客们开着车在店铺林立的商业区逡巡，车里有一台笔记本电脑、一个望远镜天线和一个802.11的无线网卡。TJX公司也许并不是他们的头号目标，但他们发现居然可以连接上TJX公司的内部网，而且还能利用得到的信息进一步深入TJX公司的IT系统,11,TJX公司事件,黑客可能的手段：密码输入器盗贼们进入一家商店，其中一个人吸引收银员的注意力，其他人乘机偷偷将收银台上的密码输入器换成事先改装好的同样设备，这个动作只需要12秒就能完成。几天后，盗贼们回到商店，将原来的密码输入器换回去，就能获得改装设备上存储的账户信息了,12,TJX公司事件,2007年3月，一些被盗数据出现在佛罗里达州。盗贼们用被盗的TJX公司的客户信息伪造信用卡，然后在佛罗里达州50个县的沃尔玛超市疯狂消费，诈骗了大约800万美元的购物卡。2007年7月，美国特勤局宣布，另一起南佛罗里达州的诈骗团伙案也使用了被盗的TJX公司的客户信息。,13,TJX公司事件,黑客直接攻破了TJX的加密软件，“等于拿到了大门钥匙进去偷东西”。发生如此严重的信息安全事故，说明很多保管有消费者数据的公司，尤其是那些客户群庞大的零售巨头，信息安全系统漏洞百出。公司老总们总结出最重要的教训是：“找到你的公司或机构中的虚弱环节，如果你自己不发现的话，别人会找到它们的”,14,信息安全事件,2006年下半年，信息安全公司赛门铁克（Symantec）发现大约有600万台电脑被“可疑软件”感染。赛门铁克说，现在俨然已经形成地下的“网络经济”，黑客们已经从单兵作战变为有组织的犯罪团体，窃取来的数据资料通过一条“地下网络链”进行交易。比如：获取一个Skype帐号，大约12美元，就可以花别人的钱打免费的网络电话；获取一个里面仍存有余额的支付账号，要价10美元到500美元不等，可以用他人账号进行网络购物,15,信息安全事件,赛门铁克报告说：仅2006年下半年，他们就“监测”到有4943张信用卡资料被非法交易，由此导致的欺诈消费等损失可达数百万美元。赛门铁克的调查显示，全球33的黑客攻击活动源自美国、46的欺诈性“钓鱼”网页设在美国，44的垃圾邮件发自美国。美国无疑是黑客攻击的最大“毒窝”，于是也就成了数据黑市交易的“大本营”。,16,信息安全事件,近期电视报道在国内POS机上刷境外信用卡伪造的境外信用卡，收缴大量空白的信用卡，从境外非法购买用户信用卡信息，制成卡境外信用卡只签字，不使用密码,17,信息化与国家安全经济,一个国家信息化程度越高，整个国民经济和社会运行对信息资源和信息基础设施的依赖程度也越高。我国计算机犯罪的增长速度超过了传统的犯罪97年20几起，98年142起，99年908起，2000年上半年1420起。利用计算机实施金融犯罪已经渗透到了我国金融行业的各项业务。近几年已经破获和掌握100多起。涉及的金额几个亿。,18,黑客攻击事件造成经济损失,99年4月26日，台湾人编制的CIH病毒的大爆发，有统计说我国大陆受其影响的PC机总量达36万台之多。有人估计在这次事件中，经济损失高达近12亿元。,19,信息化与国家安全社会稳定,互连网上散布一些虚假信息、有害信息对社会管理秩序造成的危害，要比现实社会中一个造谣要大的多。99年4月，河南商都热线一个BBS，一张说交通银行郑州支行行长协巨款外逃的帖子，造成了社会的动荡，三天十万人上街排队，挤提了十个亿。网上治安问题，民事问题，进行人身侮辱。,20,对社会的影响,针对社会公共信息基础设施的攻击严重扰乱了社会管理秩序2001年2月8日正是春节，新浪网遭受攻击，电子邮件服务器瘫痪了18个小时。造成了几百万的用户无法正常的联络。网上不良信息腐蚀人们灵魂色情资讯业日益猖獗1997年5月进入色情网站浏览的美国人，占了美国网民的28.2%。河南郑州刚刚大专毕业的杨科、何素黄，在商丘信息港上建立了一个个人主页，用五十多天的时间建立的主页存了一万多幅淫秽照片的网站。100多部小说，小电影。不到54天的时间，访问的人到了30万。网上赌博盛行,21,信息化与国家安全信息战,“谁掌握了信息，控制了网络，谁将拥有整个世界。”（美国著名未来学家阿尔温托尔勒）“今后的时代，控制世界的国家将不是靠军事，而是信息能力走在前面的国家。”（美国前总统克林顿）“信息时代的出现，将从根本上改变战争的进行方式。”（美国前陆军参谋长沙利文上将）,22,CNCERT/CC,国家计算机网络应急技术处理协调中心NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina（CNCERT/CC）是在信息产业部互联网应急处理协调办公室的直接领导下，负责协调我国各计算机网络安全事件应急小组（CERT），共同处理国家公共互联网上的安全紧急事件，为国家公共互联网、国家主要网络信息应用系统以及关键部门提供计算机网络安全的监测、预警、应急、防范等安全服务和技术支持，及时收集、核实、汇总、发布有关互联网安全的权威性信息，组织国内计算机网络安全应急组织进行国际合作和交流的组织,23,CNCERT/CC,CNCERT/CC于2000年10月成立，在近些年发生的红色代码、SQL杀手、尼姆达蠕虫、震荡波蠕虫等重大网络安全事件处理过程中，CNCERT/CC协调各骨干网运营商、CERT组织，共同采取有效控制手段，及时遏制蠕虫和恶意程序在我国公共互联网上的大面积传播，保障了我国公共互联网的运行安全,24,CNCERT/CC,2003年，CNCERT/CC在全国31个省成立了分中心，形成了覆盖全国的信息共享、技术协同的应急协调中心，并与骨干网运营商、各级CERT组织等共同组成了我国公共互联网应急体系。CNCERT/CC已成为我国国家级、非政府层次互联网安全应急体系的中心,25,CNCERT/CC,CNCERT/CC同时还作为与国际CERT组织之间交流和联系的渠道。CNCERT/CC及时与国外应急小组和其他相关组织进行交流与合作，是中国处理网络安全事件的对外窗口。,26,国家互联网应急中心（CNCERT/CC）2008年5月份网络安全通报木马与僵尸网络监测通过对木马与僵尸网络监测分析，发现我国大陆地区66908个IP地址所对应的主机被通过木马程序秘密控制，我国大陆地区95个IP地址对应的主机被利用作为僵尸网络控制服务器,前言,27,僵尸网络：采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序），从而在控制者和被感染主机之间所形成的一个可一对多控制的网络僵尸网络是互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等，同时黑客控制的这些计算机所保存的信息，譬如银行帐户的密码与社会安全号码等也都可被黑客随意“取用”,前言,28,国家互联网应急中心（CNCERT/CC）2008年5月份网络安全通报被篡改网站5月份，我国大陆地区6951个网站被篡改。网站被篡改的数量为265个，约占被篡改网站的3.83%恶意代码捕获5月份，平均每日捕获恶意代码4350次，平均每日捕获新样本680个,前言,29,国家互联网应急中心（CNCERT/CC）2009年6月份网络安全通报木马与僵尸网络监测我国大陆地区21125个IP地址所对应的主机被通过木马程序秘密控制。最多的地区分别为广东省（13.96%）、北京市（10.52%）和吉林省（7.64%）境外控制者来自10932个IP地址，秘密控制我国大陆计算机的IP主要来自美国、我国台湾和韩国我国大陆地区368个IP地址对应的主机被利用作为僵尸网络控制服务器。控制服务器最多的地区分别是广东省（18.75%）、浙江省（10.60%）和北京市（8.97%）僵尸网络控制服务器在境外的国家和地区分布情况，其中控制服务器主要分布在美国（43.37%）我国被木马控制的主机数量与上月相比下降13%，感染僵尸网络的主机数量则增长24.3%。,前言,30,国家互联网应急中心(CNCERT/CC)2009年6月份网络安全通报,被篡改网站监测我国大陆地区有3455个网站被篡改，其中网站的被篡改数量为161个，占大陆地区被篡改网站总量的4.66%恶意代码捕获日均捕获恶意代码2109次，新样本116个。捕获恶意代码次数比上月增长了约59.4%，所捕获的新样本较上月增长了115%。,31,事件接收与处理CNCERT/CC收到国内外通过电子邮件、热线电话、传真等方式报告的网络安全事件共计1828件，国外报告1801件在接收的事件报告中，垃圾邮件事件仍占多数，但比例有所下降网络仿冒和漏洞报告数量有所上升。漏洞报告数量为33个，高危漏洞16个网页恶意代码事件有所减少CNCERT/CC总部及各省分中心根据事件影响范围、涉及用户性质以及事件危害性等，选择处理了其中的67件，主要涉及网络仿冒和网页篡改，恶意代码网站类事件也是处置的重点,国家互联网应急中心(CNCERT/CC)2009年6月份网络安全通报,32,事实说明，在信息时代，信息系统的安全性已经成为非常重要的研究课题。利用计算机进行信息犯罪已经侵入到政府机关、军事部门、商业、企业等单位。,前言,33,2、信息、信息安全的概念,信息（Information）：信息是通过在数据上施加某些约定而赋予这些数据的特殊含义通常情况下，可以把信息理解为消息、信号、数据、情报和知识信息本身是无形的，借助于信息媒体以多种形式存在或传播，它可以存储在计算机、磁带、纸张等介质中，也可以记忆在人的大脑里，还可以通过网络等方式进行传播,34,随着计算机网络的迅速发展，人们对信息的存储、处理和传递过程中涉及的安全问题越来越关注，信息领域的安全问题变得非常突出,2、信息、信息安全的概念,35,建立在网络基础之上的现代信息系统，其安全定义较为明确，那就是：保护信息系统的硬件、软件及相关数据，使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行,2、信息、信息安全的概念,36,3、信息安全发展的过程,信息安全在其发展过程中经历了3个阶段第一阶段：20世纪初期，通信技术还不发达，人们强调的主要是信息的保密性，对安全理论和技术的研究也只侧重于密码学，这一阶段的信息安全可以简单称为通信安全，即COMSEC（CommunicationSecurity）,37,第二阶段：20世纪60年代后，计算机和网络技术的应用进入了实用化和规模化阶段，人们对安全的关注已经逐渐扩展为以保密性、完整性和可用性为目标的信息安全阶段，即INFOSEC（InformationSecurity）,3、信息安全发展的过程,38,第三阶段：20世纪80年代开始，由于互联网技术的飞速发展，由此产生的信息安全问题跨越了时间和空间，信息安全的焦点已经不仅仅是传统的保密性、完整性和可用性3个原则了，由此衍生出了诸如可控性、抗抵赖性、真实性等其他的原则和目标，信息安全也从单一的被动防护向全面而动态的防护、检测、响应、恢复等整体体系建设方向发展，即所谓的信息安全保障体系（InformationAssurance）,3、信息安全发展的过程,39,4、信息安全的主要特征,保密性：确保信息只被授权人访问。防被动攻击。保证信息不被泄漏给未经授权的人。完整性：防主动攻击。防止信息被未经授权的篡改。可用性：保证信息及信息系统在任何需要时可为授权者所用。可控性：对信息及信息系统实施安全监控不可否认性：防抵赖,40,5、信息安全的威胁,目前还没有统一的方法来对各种威胁进行分类信息安全所面临的威胁与环境密切相关，不同威胁的存在及重要性是随环境的变化而变化的常见的安全威胁,41,非授权访问信息泄漏和丢失数据完整性破坏拒绝服务攻击,信息安全的威胁,42,信息安全的威胁,服务干扰：以非法手段窃得对信息的使用权，恶意添加、修改、插入、删除或重复某些无关信息，不断对网络信息服务系统进行干扰，使系统响应减慢甚至瘫痪，影响用户的正常使用，如一些不法分子在国外干扰我国正常卫星通信等。恶意访问：没有预先经过授权同意，就使用网络或计算机资源被看作恶意访问，如有意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息等。,43,信息安全的威胁,自身失误：网络管理员或网络用户都拥有相应的权限，利用这些权限破坏网络安全的可能性也是存在的。如操作口令被泄露，磁盘上的机密文件被人利用及未将临时文件删除导致重要信息被窃取，都有可能使网络安全机制失效，从内部遭受严重破坏。信息泄露：信息被泄露或透露给某个非授权的实体。破坏信息的完整性：数据被非授权地进行增删、修改或破坏而受到损失。,44,信息安全的威胁,窃听：用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。业务流分析：通过对系统进行长期监听，利用统计分析方法对诸如通信频度、通信问题的变化等参数进行研究，从中发现有价值的信息和规律。假冒：通过欺骗通信系统达到非法用户冒充成为合法用户，或者权限小的用户冒充成权限大的用户的目的。,45,信息安全的威胁,旁路控制：攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如，攻击者可以绕过防线守卫者侵入到系统的内部。内部攻击：被授权以某一目的的使用某一系统或资源的某个个人，却将此权限用于其他非授权的目的。特洛伊木马：软件中含有一个察觉不出的或者无害的程序段，当其被执行时，会破坏用户的安全。陷阱：在某个系统或某个部件中设置的“机关”，使得在特定的数据输入时，允许违反安全策略。,46,信息安全的威胁,抵赖：这是一种来自用户的攻击，比如：否认自己曾经发布过的某条消息，伪造一份对方来信等。重放：出于非法目的，将所截获的某次合法的通信数据进行复制，并重新发送。电脑病毒：它可以在计算机系统运行过程中实现传染和侵害功能。它可以通过电子邮件、软件下载、文件服务器、防火墙等侵入网络内部，删除、修改文件，导致程序运行错误、死机，甚至毁坏硬件。网络的普及为病毒检测与消除带来很大的难度。,47,信息安全的威胁,员工泄露：某个授权的人，为了金钱或某种利益，或由于粗心，将信息泄露给某个非授权的人。介质废弃：信息被从废弃的磁盘、光盘或纸张等存储介质中获得。物理侵入：侵入者绕过物理控制而获得对系统的访问。窃取：重要的安全物品(如身份卡等)被盗用。业务欺骗：某一伪系统或系统部件欺骗合法的用户或系统自愿放弃敏感信息等。,48,信息安全的威胁,通常各种威胁之间是相互联系的。如窃听、业务流分析、员工泄露、旁路控制等可造成信息泄露，而信息泄露、窃取、重放可造成假冒，而假冒又可造成信息泄露等等。对于信息系统来说，威胁可以针对物理环境、通信链路、网络系统、操作系统、应用系统以及管理系统等方面。无论采取何种防范措施都不能保证信息的绝对安全。安全是相对的，不安全才是绝对的,49,6、信息安全的目标,进不来,拿不走,改不了,逃不掉,看不懂,打不跨,50,6、信息安全的目标,“进不来”访问控制机制“拿不走”授权机制“看不懂”加密机制“改不了”数据完整性机制“逃不掉”审计/监控/签名机制“打不跨”数据备份与灾难恢复机制,51,7、信息安全的体系结构,物理安全机房，屏蔽，门锁，防电磁辐射网络安全服务器，入侵检测，防毒，备份信息安全加密，完整性，防抵赖，数据库安全管理多人原则，任期有限，职责分离,52,8、信息安全的实现,物理安全技术：环境安全、设备安全、介质安全。系统安全技术：操作系统及数据库系统的安全性。网络安全技