信息安全技术培训

信息安全技术培训2013.8内容摘要概念信息安全趋势信息安全体系信息安全管理信息安全技术信息安全审计概念什么是信息？有意义的内容敏感信息：对企业正常发展具有影响作用，不论是否属于有用信息。信息资产对企业具有价值的信息，称为信息资产包括商业秘密、文档、文件、图纸、数据专利、标准、管理制度等。信息是有等级的概念信息安全信息是一种资产，就如同其他的商业资产一样，对一个组织而言是具有价值的，因而需要妥善保护信息安全包括：应用安全和物理安全应用安全：操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密与鉴别物理安全：环境安全、设备安全、媒体安全概念信息安全的3要素：CIAConfidentiality,Integrity,Availability保密性、完整性、可用性概念保证信息只能够由得到授权的人访问。举例：公司产品代码不被恶意泄漏；商务合同、报价、客户信息不被披露保证信息的正确性及不被非授权篡改和删除。举例：计费纪录被恶意修改；交易信息被删除；公司主页被篡改；日志文件被删除保证经授权的用户当需要访问信息的时候就能够访问到。举例：如果公司的业务被拒绝服务造成网络中断，用户无法使用我们的业务。完整性保密性可用性信息安全信息安全趋势世界各国纷纷加强网络战备，网络空间剑拔驽张关键信息基础设施安全状况堪忧，国家安全面临挑战新兴技术应用范围日益拓展，安全威胁将持续加大移动互联网、下一代互联网、物联网和大数据网络犯罪技术方式不断革新，安全防范面临严峻挑战基于云服务器的自动化攻击、彩虹表、入侵Android、WIFI的MS-CHAPv2身份验证协议的攻击网络安全损失日趋严重，影响程度将进一步加剧2013年十大信息安全趋势预测1国家级网络信息安全战略有望出台2中国网络安全产业与国外差距缩小3运营商安全防护走向集中化4云计算安全防护方案逐步落地5云安全SaaS市场将爆发式增长6移动智能终端恶意程序逐渐增加7企业级移动安全市场进入“井喷期”8大数据与安全技术走向融合9社会工程攻击威胁增多10增值业务安全成新难点信息安全体系信息安全体系信息息安安全全管管理理三分分技技术术、、七七分分管管理理信息息安安全全管管理理对人人的的管管控控是是最最难难也也是是最最容容易易忽忽视视的的信息息安安全全管管理理－－全全民民皆皆兵兵以企业为目标的攻击威胁数字上升；

攻击工具的普及使网路罪行较以往变得更轻易；基于网站的攻击有增无减；针对个人身份资讯的安全威胁持续增长。垃圾邮件持续泛滥；信息安全就在我们身边！信息安全需要我们每个人的参与！物理安安全计算机机使用用的安安全网络访访问的的安全全社会工工程学学病毒和和恶意意代码码账号安全电子邮邮件安安全重要信信息的的保密密应急响响应文件分分类分分级使用过过的重重要文文件及及时销销毁，，不要要扔在在废纸纸篓里里，也也不要要重复复利用用不在电电话中中说工工作敏敏感信信息，，电话话回叫叫要确确认身身份不随意意下载载安装装软件件，防防止恶恶意程程序、、病毒毒及后后门等等黑客客程序序前来拜拜访的的外来来人员员应做做身份份验证证（登登记）），见见到未未佩戴戴身份份识别别卡的的人应应主动动询问问加强对对移动动计算算机的的安全全保护护，防防止丢丢失；；重要文文件做做好备备份如何实实现信信息安安全？？信息安安全管管理制制度和和法律律法规规原则上上外来来设备备不允允许接接入公公司内内部网网络，，如有有业务务需要要，需需申请请审批批通过过后方方可使使用。。外来来设备备包括括外部部人员员带到到公司司的笔笔记本本电脑脑、演演示机机、测测试机机等。。公司内内计算算机严严格限限制使使用包包括移移动硬硬盘、、U盘、MP3、带存存储卡卡的设设备等等的移移动存存储设设备，，除工工作必必须要要长期期使用用移动动存储储的可可申请请开通通外，，公司司内的的计算算机禁禁止使使用移移动存存储设设备。。公司内内严禁禁使用用盗版版软件件和破破解工工具，，如有有工作作需要要，应应通过过公司司采购购正版版软件件或使使用免免费软软件不经批批准，，严禁禁在公公司内内部架架设FTP，DHCP，DNS等服务务器研发用用机未未经批批准，，严禁禁转移移到公公司办办公网网络、、或将将办公公电脑脑转移移到研研发内内网使使用。。《研发规规定》任何部部门和和个人人不得得私自自将包包括HUB、交换换机、、路由由器等等的网网络设设备接接入公公司网网络中中。原则上上不得得使用用网络络共享享，如如因工工作原原因需需要使使用的的，必必须遵遵循最最小化化授权权原则则，删删除给给所有有人(everyone)的共享享权限限，只只共享享给需需要访访问的的人员员，并并且在在使用用后立立即关关闭。。信息安安全管管理制制度和和法律律法规规发现中中毒后后要断断开网网络，，并及及时报报告IT服务热热线，，等待待IT工程师师来处处理严禁使使用扫扫描工工具对对网络络进行行扫描描和在在网络络使用用黑客客工具具不得以以任何何方式式将公公司信信息（（包括括网络络拓扑扑、IP地址、、安全全策略略、帐帐号，，口令令等））告知知不相相关的的人员员内部计计算机机的操操作系系统、、IIS,数据库、FTP以及所有企企业应用（（如电子邮邮件系统、、即时通讯讯工具等））中，必须须设置用户户口令，严严禁使用空空口令、弱弱口令或缺缺省口令。。一经发现现将被行政政处罚。口令长度应应在8个字符以上上，还应包包括大小写写字母，特特殊符号和和数字。口口令应该在在三个月内内更换,重要的和使使用频繁的的口令视情情况缩短更更改周期。。不允许使使用前3次用过的口口令。严禁卸载或或关闭安全全防护软件件和防病毒毒软件，如如有系统补补丁必须及及时安装。。离开电脑要要锁屏。信息安全管管理制度和和法律法规规系统保护中华人民共共和国计算算机信息系系统安全保保护条例计算机信息息网络国际际联网安全全保护管理理办法安全产品商用密码管管理条例国家秘密中华人民共共和国保守守国家秘密密法计算机信息息系统国际际联网保密密管理规定定知识产权中华人民共共和国著作作权法最高人民法法院关于审审理涉及计计算机网络络著作权纠纠纷案件适适用法律若若干问题的的解释计算机软件件保护条例例中华人民共共和国专利利法计算机犯罪罪中华人民共共和国刑法法（摘录））网络犯罪的的法律问题题研究电子证据中华人民共共和国电子子签名法电子认证服服务管理办办法信息安全技技术信息保密技技术数字签名技技术密钥管理技技术信息隐藏技技术消息认证技技术计算机病毒毒物理安全操作系统安安全网络安全协协议应用层安全全技术网络攻击技技术网络防御技技术信息安全技技术密码学的发发展简史密码学中的的基本术语语古典密码对称密码体体制序列密码分组密码数据加密标标准——DES非对称密码码体制RSA密码算法Diffie-Hellman密钥交换算算法ElGamal加密算法信息安全技技术密码算法可可分为对称称密码算法法(SymmetricCryptographicAlgorithms)和非对称密密码算法(Public-KeyCryptographicAlgorithms)对称密码算算法的特点点是加密和和解密必须须是同一密密钥，如DES和IDEA等非对对称称密密码码算算法法将将加加密密密密钥钥与与解解密密密密钥钥区区分分开开来来，，且且由由加加密密密密钥钥事事实实上上求求不不出出解解密密密密钥钥。。这这样样一一个个实实体体只只需需公公开开其其加加密密密密钥钥(称公公钥钥，，解解密密密密钥钥称称私私钥钥)即可可，，实实体体之之间间就就可可以以进进行行秘秘密密通通信信，，而而不不象象对对称称密密码码算算法法似似的的在在通通信信之之前前先先得得秘秘密密传传递递密密钥钥。。信息息安安全全技技术术对称称密密码码技技术术具具有有加加密密速速度度快快、、运运行行时时占占用用资资源源少少等等特特点点。。但但需需要要在在一一个个受受限限组组内内共共享享密密钥钥并并同同时时维维护护其其保保密密性性非对称密码码技术加密密速度慢、、占用资源源多。一般般来说，并并不直接使使用非对称称加密算法法加密明文文，而仅用用它保护实实际加密明明文的对称称密钥，即即所谓的数数字信封（（DigitalEnvelope）技术。信息安全技技术非对称密码码技术，即即公开密钥钥密码体制制中，加密密密钥（即即公开密钥钥）PK是公开信息息，而解密密密钥（即即秘密密钥钥）SK是需要保密密的。加密密算法E和解密算法法D也都是公开开的。虽然然秘密密钥钥SK是由公开密密钥PK决定的，但但却不能根根据PK计算出SK。正是基于于这种理论论，1978年出现了著著名的RSA算法，它通通常是先生生成一对RSA密钥，其中中之一是保保密密钥，，由用户保保存；另一一个为公开开密钥，可可对外公开开。为提高高保密强度度，RSA密钥至少为为500位长，一般般推荐使用用1024位。这就使使加密的计计算量很大大。为减少少计算量，，在传送信信息时，常常采用传统统加密方法法与公开密密钥加密方方法相结合合的方式，，即信息采采用改进的的DES或IDEA对话密钥加加密，然后后使用RSA密钥加密对对话密钥和和信息摘要要。对方收收到信息后后，用不同同的密钥解解密并可核核对信息摘摘要。信息安全技技术数据加解密密（PKI传递密钥防防窃听）信息安全技技术数字签名（（PKI传递签名防防篡改伪造造）信息安全技技术PKI体系信息安全技技术PMI体系授权管理基基础设施PMI(PrivilegeManagementInfrastructure)是国家信息息安全基础础设施(NationalInformationSecurityInfrastructure，NISI)的一个重要要组成部分分，目标是是向用户和和应用程序序提供授权权管理服务务，提供用用户身份到到应用授权权的映射功功能，提供供与实际应应用处理模模式相对应应的、与具具体应用系系统开发和和管理无关关的授权和和访问控制制机制，简简化具体应应用系统的的开发与维维护。授权权管理基础础设施PMI是一个属性性证书、属属性权威、、属性证书书库等部件件构成的综综合系统，，用来实现现权限和证证书的产生生、管理、、存储、分分发和撤销销等功能。。PMI使用属性证证书表示和和容纳权限限信息，通通过管理证证书的生命命周期实现现对权限生生命周期的的管理。属属性证书的的申请，签签发，注销销，验证流流程对应着着权限的申申请，发放放，撤消，，使用和验验证的过程程。而且，，使用属性性证书进行行权限管理理方式使得得权限的管管理不必依依赖某个具具体的应用用，而且利利于权限的的安全分布布式应用。。PMI以资源管理理为核心，，对资源的的访问控制制权统一交交由授权机机构统一处处理，即由由资源的所所有者来进进行访问控控制。同公公钥基础设设施PKI相比，两者者主要区别别在于：PKI证明用户是是谁，而PMI证明这个用用户有什么么权限，能能干什么，，而且授权权管理基础础设施PMI需要公钥基基础设施PKI为其提供身身份认证。。PMI与PKI在结构上是是非常相似似的。信任任的基础都都是有关权权威机构，，由他们决决定建立身身份认证系系统和属性性特权机构构。在PKI中，由有关关部门建立立并管理根根CA，下设各级级CA、RA和其它机构构；在PMI中，由有关关部门建立立授权源SOA，下设分布布式的AA和其它机构构。信息安全技技术信息隐藏的的发展历史史信息隐藏的的基本原理理信息隐藏的的算法数字水印隐通道技术术匿名通信技技术匿名通信的的概念匿名通信技技术的分类类重路由匿名名通信系统统广播式和组组播式路由由匿名通信信信息安全技技术消息认证技技术Hash函数完整性检验验的一般方方法消息认证码码MD5算法SHA-1算法Hash函数的攻击击分析信息安全技技术物理安全环境安全机房安全设设计机房环境安安全措施设备安全访问控制技技术防复制技术术硬件防辐射射技术通信线路安安全技术媒体安全数据备份数据备份的的常用方法法磁盘阵列(RAID)技术简介信息安全技技术操作作系系统统安安全全系统统漏漏洞洞Windows系统统安安全全模模型型Windows注册册表表安安全全windows帐号号与与密密码码Windows2000安全全策策略略Windows系统统的的其其他他安安全全措措施施信息息安安全全技技术术网络络安安全全协协议议TCP/IP协议议簇簇网络络安安全全协协议议应用用层层的的安安全全协协议议传输输层层的的安安全全协协议议网络络层层的的安安全全协协议议网络络接接口口层层的的安安全全协协议议SSL协议议IPSec协议议信息息安安全全技技术术应用用层层安安全全技技术术Web安全全技技术术电子子邮邮件件安安全全技技术术身份份认认证证技技术术PKI技术术PKI技术术概概述述PKI的组成数字证书信息安全技术术网络攻击技术术信息收集技术术网络踩点网络扫描网络监听攻击实施技术术社会工程学攻攻击口令攻击漏洞攻击欺骗攻击拒绝服务攻击击隐身巩固技术术网络隐藏技术术设置代理跳板板清除日志留后门信息安全技术术网络防御技术术防火墙技术FW入侵检测技术术IDS(IntrusionDetectionSystems)计算机取证技技术蜜罐技术入侵防御技术术IPS(IntrusionPreventionSystem)防病毒网关AV(AntiVirus)统一威胁管理理(UnifiedThreatManagement)UTM安全网关信息安全技术术计算机病毒计算机病毒概概述计算机病毒的的发展历史计算机病毒的的特征计算机病毒的的基本结构计算机病毒的的基本原理引导型病毒文件型病毒宏病毒脚本病毒蠕虫病毒反病毒技术典型病毒的特特征及清除方方法信息安全技术术网络隔离技术术与网闸应用用网络隔离的技技术原理网络隔离的技技术分类网络隔离的安安全要点隔离网闸信息安全技术术漏洞检测技术术和微软系统统漏洞检测工工具MBSA入侵攻击可利利用的系统漏漏洞类型漏洞检测技术术分类漏洞检测的基基本要点微软系系统漏漏洞检检测工工具MBSA信息息安安全全技技术术访问问控控制制技技术术访问问控控制制的的功功能能访问问控控制制实实现现的的策策略略访问问控控制制的的类类型型基于于对对象象的的访访问问控控制制模模型型基于于任任务务的的访访问问控控制制模模型型基于于角角色色的的访访问问控控制制模模型型信息息安安全全技技术术准入入控控制制技技术术NAC网络络准准入入控控制制技技术术通通常常包包括括：：802.1x准入入控控制制DHCP准入入控控制制网关关型型准准入入控控制制ARP型准准入入控控制制portal型准准入入信息息安安全全技技术术上网网行行为为管管理理网页页访访问问过过滤滤网络络应应用用控控制制带宽宽流流量量管管理理信息息收收发发审审计计用户户行行为为分