信息安全基础培训课件

信息安全基础培训-安全普及知识,提纲,信息安全的严峻形势信息安全概述如何提升我们的信息安全水平合规性要求日常工作中我们需要注意的事项,提纲,信息安全的严峻形势信息安全概述如何提升我们的信息安全水平合规性要求日常工作中我们需要注意的事项,美国近年来日益重视网络安全,奥巴马公布的网络安全报告认为：美国主要建立在互联网基础上的数字基础设施目前并不安全,现状不可接受“把确保网络安全列为国家安全战略最重要的组成部分之一,安全事件回放,空军一号事件运营商泄密事件车险公积金,安全事件回放,数据泄露事件,“大小姐”盗号木马案,某运营商充值卡被盗,运营商典型安全事件回放,运营商典型安全事件回放,某运营商门户网站被黑,运营商典型安全事件回放,2007年重庆大雨水淹移动营业厅,11,预攻击,内容：获得域名及IP分布获得拓扑及OS等获得端口和服务获得应用系统情况跟踪新漏洞发布,目的：收集信息，进行进一步攻击决策,黑客入侵的一般过程,12,常见黑客攻击手段,隐藏自身扫描探测社会工程,预攻击阶段,暴力猜解SQLinjection攻击拒绝服务攻击缓冲区溢出攻击网络嗅探攻击网络欺骗攻击,特洛伊木马消灭踪迹,攻击阶段,后攻击阶段,13,以已经取得控制权的主机为跳板攻击其他主机,隐藏自身,常见黑客攻击手段,14,相关命令获取手工获取banner漏洞扫描技术,预攻击探测,常见黑客攻击手段,15,SQLInjection木马缓冲区溢出攻击DDOS攻击XSS（跨站攻击）Cookie中毒,常见攻击简介,SQL注入,什么是SQL注入程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。入侵者可以通过恶意SQL命令的执行，获得想得知的数据SQl注入过程本质：入侵后台服务器攻击后果攻击者拥有Web的最高权限，可以篡改页面、数据，在网页中添加恶意代码,缺少对输入的合法性判断,返回数据库信息,获得数据库信息,17,SQLInjection漏洞原理,漏洞原理：在数据库应用的编程过程中，由于程序员没有对用户输入数据进行规范检查，导致攻击者能够通过构造恶意输入数据，操作数据库执行，甚至能直接攻击操作系统SQLInjection（SQL注入），就是利用某些数据库的外部应用把特定的数据命令插入到实际的数据库操作语言当中，从而达到入侵数据库乃至操作系统的目的。,18,防范SQLInjection,从根本上避免出现SQLInjection漏洞，必须提高WEB程序员的安全意识和安全编程技能来解决程序本身的漏洞；代码中必须对所有用户输入进行严格的过滤，对单引号、双引号以及“-”等符号、非指定的数据类型及数据长度进行过滤；合理设置数据库应用程序的权限；对数据库系统进行必要的安全配置。,跨站脚本(XSS)攻击,什么是跨站脚本攻击通过在网页中加入恶意代码，当访问者浏览网页时恶意代码会被执行，从而获得访问者机密信息，如果访问者是管理人员则可以控制整个网站攻击危害窃取网页访问者保存在终端的各种帐号、网站管理员帐号，破坏网页访问者终端数据,“跨站脚本攻击是到目前为止最受关注的、威胁最高的攻击手段”,20,木马,木马由两个程序组成，一个是客户端，一个服务器端（被攻击的机器上运行），通过在宿主机器上运行服务器端程序，在用户毫无察觉的情况下，可以通过客户端程序控制攻击者机器、删除其文件、监控其操作等。,21,木马攻击,安全背景趋势,控制我国计算机境外ip分布,信息安全背景趋势,攻击工具体系化黑客网站螃蟹集团社会工程学,安全，难啊,潜在性,复杂性,模糊性,动态性,提纲,信息安全的严峻形势信息安全概述如何提升我们的信息安全水平合规性要求日常工作中我们需要注意的事项,什么是信息？,ISO27001中的描述“Informationisanassetwhich,likeotherimportantbusinessassets,hasvaluetoanorganizationandconsequentlyneedstobesuitablyprotected.”“Informationcanexistinmanyforms.Itcanbeprintedorwrittenonpaper,storedelectronically,transmittedbypostorusingelectronicmeans,shownonfilms,orspokeninconversation.强调信息：是一种资产同其它重要的商业资产一样对组织具有价值需要适当的保护以各种形式存在：纸、电子、交谈等,信息安全的特征（CIA）,ISO27001中的描述Informationsecurityischaracterizedhereasthepreservationof:ConfidentialityIntegrityAvailability信息在安全方面三个特征：机密性：确保只有被授权的人才可以访问信息；完整性：确保信息和信息处理方法的准确性和完整性；可用性：确保在需要时，被授权的用户可以访问信息和相关的资产。,什么是信息安全,欧共体对信息安全的定义：网络与信息安全可被理解为在既定的密级条件下，网络与信息系统抵御意外事件或恶意行为的能力。这些事件和行为将危及所存储或传输达到数据以及经由这些网络和系统所提供的服务的可用性、真实性、完整性和保密性。我国安全保护条例的安全定义：计算机信息系统的安全保护，应当保障计算机及其相关的和配套的设备、设施（含网络）的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。,信息安全的定义,第一阶段：通信保密,上世纪40年代70年代重点是通过密码技术解决通信保密问题，保证数据的保密性与完整性主要安全威胁是搭线窃听、密码学分析主要保护措施是加密,第二阶段：计算机安全,上世纪7080年代重点是确保计算机系统中硬件、软件及正在处理、存储、传输的信息的机密性、完整性和可控性主要安全威胁扩展到非法访问、恶意代码、脆弱口令等主要保护措施是安全操作系统设计技术（TCB）,第三阶段：信息系统安全,上世纪90年代以来重点需要保护信息，确保信息在存储、处理、传输过程中及信息系统不被破坏，强调信息的保密性、完整性、可控性、可用性。主要安全威胁发展到网络入侵、病毒破坏、信息对抗的攻击等,第四阶段：信息安全保障,人，借助技术的支持，实施一系列的操作过程，最终实现信息保障目标。,进不来,拿不走,改不了,跑不了,看不懂,可审查,信息安全的目的,信息安全的相对性,安全没有100%完美的健康状态永远也不能达到；安全工作的目标：将风险降到最低,提纲,信息安全的严峻形势信息安全概述如何提升我们的信息安全水平合规性要求日常工作中我们需要注意的事项,如何提升我们的信息安全水平,技术方面管理方面,小问题：你们公司的Knowledge都在哪里？,信息在哪里？,结构性安全,脆弱性永远存在，突破任何防御只是时间问题注重结构安全的动态信息安全模型，P.D.RPtDt+Rt（防护的时间检测的时间响应的时间）一个结构性安全的例子：银行金库的防护,静态脆弱性安全相对被动，而动态的结构性安全防患未然,缓冲的观点,基于时间的安全，其时间难于计算看两个实际的安全保障的例子2008年奥运网络安全保障2009年2月胡锦涛主席在线回答网民问题缓冲包括冗余、重复、纵深、延缓预警、抑制、丢车保帅、局部和整体响应、恢复、反击缓冲思想的基本立足点就是原理上攻击是可以成功的，在实际中是可以解决的,信息安全技术,防病毒和恶意代码技术防火墙技术与VPN技术防非法访问行为技术密码技术和PKI技术安全域间的访问控制,入侵检测技术漏洞扫描技术安全审计跟踪技术,防火墙技术具有阻断功能的所有技术灾难备份恢复技术反击技术,一种解决方案,VPN虚拟专用网,防火墙,内容检测,安全评估防病毒,安全审计入侵探测,防火墙技术,定义一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。防火墙的作用：1、过滤进出网络的数据包2、封堵某些禁止的访问行为3、记录通过防火墙的信息内容和活动4、对网络攻击进行检测和告警,防火墙技术,防火墙的体系结构,主流防火墙技术：简单包过滤技术状态检测包过滤技术应用网关技术目前市场上主流产品的形态：集成了状态检测包过滤和应用代理的混合型产品,入侵检测技术,入侵是对信息系统的非授权访问及（或）未经许可在信息系统中进行操作,威胁计算机或网络的安全机制（包括机密性、完整性、可用性）的行为。入侵可能是来自互联网的攻击者对系统的非法访问，也可能是系统的授权用户对未授权的内容进行非法访问。入侵检测系统是从多种计算机系统及网络中收集信息，再通过这些信息分析入侵特征的网络安全系统。,入侵检测系统（IDS）,为什么需要IDS,防范透过防火墙的入侵利用应用系统漏洞实施的入侵利用防火墙配置失误实施的入侵防范来自内部网的入侵内部网的攻击占总的攻击事件的70%没有监测的内部网是内部人员的“自由王国”对网络行为的审计，防范无法自动识别的恶意破坏入侵很容易入侵教程随处可见各种工具唾手可得安全漏洞日益暴露,入侵检测系统的架构,基于网络的NIDS基于主机的HIDS管理中心客户端代理客户端代理和管理中心之间的通信加密,IDS规则,网络异常检测网络误用检测规则的一些元素可以制定一个需要保护的主机范围需要做日志纪录的和禁止的主机实施策略的时间段事件描述对于事件的响应,入侵检测技术的关键指标,误报漏报,监控室=控制中心,入侵检测系统的作用,监控前门和保安,监控屋内人员,监控后门,监控楼外,入侵检测技术,IDS的作用*监控网络和系统*发现入侵企图或异常现象*实时报警*主动响应*审计跟踪,防病毒系统是用来实时检测病毒、蠕虫及后门的程序，通过不断更新病毒库来清除上述具有危害性的恶意代码。网络防病毒具有-全方位、多层次防病毒-统一安装，集中管理-自动更新病毒定义库的特点,防病毒技术,防病毒技术,身份认证技术是对进入系统或网络的用户身份进行验证，防止非法用户进入。身份认证技术的实现有-智能卡-基于对称密钥体制的Keberos身份认证协议-基于非对称密钥体制证书机制,身份认证技术,身份认证技术,漏洞扫描技术,漏洞扫描是对网络和主机的安全性进行风险分析和评估的软件，是一种能自动检测远程或本地主机系统在安全性方面弱点和隐患的程序包。,漏洞扫描技术,加密技术,加密技术,加密技术是为保证数据的保密性和完整性通过特定算法完成的明文与密文的转换。,签名技术,签名技术,数字签名技术为确保数据不被篡改而做的签名，不能保证数据的保密性。,VPN-虚拟专用网络,信息传输加密身份验证专有性受控的可信安全域（访问控制）安全的远程接入,不同的VPN技术,SSLVPN应用、认证、访问、加密层次MPLSVPN网络基础设施数据专线，保证带宽和服务质量IPSecVPN基于Internet,远程访问,Internet,VPN的典型应用,VPN即虚拟专用网，利用因特网实现数据在传输过程中的保密性和完整性而双方建立的安全通道。,单位资产，员工私产资产管理失控：网络中终端用户随意增减调换，每个终端硬件配备（CPU、硬盘、内存等）肆意组装拆卸、操作系统随意更换、各类应用软件胡乱安装卸载，各种外设（软驱、光驱、U盘、打印机、Modem等）无节制使用；,网络无限，自由无限网络资源滥用：IP地址滥用，流量滥用，甚至工作时间聊天、游戏、赌博、疯狂下载、登陆色情反动网站等行为影响工作效率，影响网络正常使用；,门户大开，长驱直入外部非法接入：移动设备（笔记本电脑等）和新增设备未经过安全检查和处理违规接入或者入侵内部网络，带来病毒传播、黑客入侵等不安全因素；,外贼好治，家贼难防内部非法外联：内部网络用户通过调制解调器、双网卡、无线网卡等设备进行在线违规拨号上网、违规离线上网等，或违反规定将专网专用计算机带出网络进入到其他网络；,蠕虫泛滥，业务瘫痪病毒蠕虫入侵：由于补丁不及时、网络滥用、非法接入等因素导致网络内病毒蠕虫泛滥、网络阻塞、数据损坏丢失，而且无法找到灾难的源头以迅速采取隔离等处理措施，从而为正常业务带来灾难性的持续的影响；,脆弱防线，外强中干终端安全隐患：每个终端漏洞密布、口令简陋且经年不改，管理员无法时刻检查、提醒、或强制解决，为蠕虫、泄密等灾难埋下了各种隐患；,网络无界，一损俱损重要信息泄密：因系统漏洞、病毒入侵、非法接入、非法外联、网络滥用、外设滥用等各种原因与管理不善导致组织内部重要信息泄露或毁灭，造成不可弥补的重大损失；,千里之堤，毁于蚁穴补丁管理混乱：终端用户不了解系统补丁状态，不及时打补丁，也没有办法统一进行补丁的下载、分析、测试和分发，从而为蠕虫与黑客入侵保留了通道；,内网安全管理解决的八个问题,90%以上的问题来自终端,安全=最少服务最小权限,公理：所有的程序都有缺陷（摩菲定理）大程序定律：大程序的缺陷甚至比它包含的内容还多推理：一个安全相关程序有安全性缺陷定理：只要不运行这个程序，那么这个程序有缺陷，也无关紧要推理：只要不运行这个程序，那么这个程序有安全性漏洞，也无关紧要定理：对外暴露的计算机，应尽可能少地运行程序，且运行的程序也尽可能地小,新技术,统一威胁管理（UTM）入侵防御系统（IPS）内网管理系统防垃圾邮件系统。,三分技术，七分管理,信息安全问题，不仅仅是技术问题，更重要的是内部自己人安全意识薄弱的问题。要推广信息安全,要全员参与,增强安全意识是理所当然的.,信息安全管理内容,1.风险评估2.安全策略3.物理安全4.设备管理运行管理软件安全管理,7.信息安全管理8.人员安全管理9.应用系统安全管理10.操作安全管理11.技术文档安全管理12.灾难恢复计划13.安全应急响应,信息安全管理的制度,IP地址管理制度防火墙管理制度病毒和恶意代码防护制度服务器上线及日常管理制度口令管理制度开发安全管理制度应急响应制度制度运行监督。,全员参与,信息安全不仅仅是IT部门的事；,让每个员工明白随时都有信息安全问题；,每个员工都应具备相应的安全意识和能力；,让每个员工都明确自己承担的信息安全责任；,信息安全管理原则,文件的作用：有章可循，有据可查,文件的类型：手册、规范、指南、记录,信息安全管理原则,沟通意图，统一行动重复和可追溯提供客观证据用于学习和培训,文件的作用：有章可循，有据可查,持续改进,信息安全管理原则,提纲,信息安全的严峻形势信息安全概述如何提升我们的信息安全水平合规性要求日常工作中我们需要注意的事项,合规性要求,等级保护我国法律,信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。,受侵害的客体：,一是公民、法人和其他组织的合法权益；二是社会秩序、公共利益；三是国家安全。,对客体的侵害程度：,一是造成一般损害；二是造成严重损害；三是造成特别严重损害。,信息系统安全保护等级的定级要素,第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害,五个等级的划分,定级要素与等级的关系,信息系统安全包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同，因此，信息系统定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称业务信息安全等级。从系统服务安全角度反映的信息系统安全保护等级称系统服务安全等级。,信息系统定级,侵害的客观方面：对客体的侵害外在表现为对定级对象的破坏，其危害方式表现为对信息安全的破坏和对信息系统服务的破坏，其中信息安全是指确保信息系统内信息的保密性、完整性和可用性等，系统服务安全是指确保信息系统可以及时、有效地提供服务，以完成预定的业务目标。由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同，在定级过程中，需要分别处理这两种危害方式。,信息安全和系统服务安全受到破坏后，可能产生以下危害后果：影响行使工作职能；导致业务能力下降；引起法律纠纷；导致财产损失；造成社会不良影响；对其他组织和个人造成损失；其他影响。,信息系统定级,等级矩阵表,刑法（一）,刑法第二百八十五条违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。,刑法（二）,第二百八十六条违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。,刑法（三）,第二百八十七条利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。,刑法修正案（七）,九、在刑法第二百八十五条中增加两款作为第二款、第三款：“违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。“提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。”,提纲,信息安全的严峻形势信息安全概述如何提升我们的信息安全水平合规性要求日常工作中我们需要注意的事项,日常安全习惯建议,不打开来历不明的邮件或附件不要随意浏览黑客、色情网站警惕“网络钓鱼”移动设备的安全禁止p2p下载,不打开来历不明的邮件或附件,不下载来路不明的软件及程序。几乎所有上网的人都在网上下载过共享软件（尤其是可执行文件），在给你带来方便和快乐的同时，也会悄悄地把一些你不欢迎的东西带到你的机器中，比如病毒。因此:1.应选择信誉较好的下载网站下载软件，2.将下载的软件及程序集中放在非引导分区的某个目录，3.在使用前最好用杀