信息安全技术基础讲义

信息安全技术基础

CollegeofInformationScienceandTechnology,ShijiazhuangTiedaoUniversity学习目的出发点：了解信息安全方向、使用信息安全技术、培养信息安全意识学习目的：熟悉信息安全的主要研究领域了解信息安全中的一些基本概念为今后进一步深入学习相关知识获得相关引导培养我们识别信息安全威胁、规避信息安全风险的能力提高我们基本的信息安全防护能力增强我们的信息安全道德伦理和法制观念参考用书通过图书馆信息安全概论信息安全技术网上资料课程考核评价考勤30%，点名次数num为1或2或3次，每次分数为30/num；课程报告：70%课程安排：1-12周周一这个时间段；课程安排我们面临的威胁和应对措施密码学基础

恶意代码

黑客攻防

上网安全

安全配置和管理

上课需要注意的一些问题请假不超过1次，否则无效，请假必须课前说清楚，点到时请假无效；每次课的课件有兴趣的同学可以copy走，我在课后不保留讲过的课件；上课三不准：不准出现铃声、不准讲话、不准来回走动；我们身边发生过哪些信息安全事件？第一部分信息安全及威胁分析.

主要内容

什么是信息与信息安全 信息面临哪些安全威胁 信息安全防护手段有哪些 一些典型的信息安全事件1.什么是信息与信息安全？以下哪些属于信息？我是石家庄铁道大学的一名学生手机上的一张私人相片与朋友的一张合影、一段视频教务系统中的选修课程及学生名单手机收到的天气预报短信：“今天晚上有雨”四六级考试试卷黑板上写着的一句话“本周老师出差，不上课！”移动硬盘中存放的一份绝密技术文件清华大学网站上的新闻与网友的一段QQ聊天记录…信息无处不在……什么是信息？1.1什么是信息？信息是客体相对于主体的变化这种变化是相对的，主体标准或客体本身的变化都可能产生信息客体要到主体接收到的时候，并经过分析认为有意义，才算是信息！举例气温23摄氏度考试试卷信息系统信息系统(IS，InformationSystem)是指利用计算机、网络、数据库等现代信息技术，处理组织中的数据、业务、管理和决策等问题，并为组织目标服务的综合系统。信息为什么存在安全问题？信息的主要特点

信息是有价值的

信息的价值是相对的

信息是流动的信源---信道-信宿信息的价值在哪些情况下会丧失？保密性（泄密…）可用性（被盗、损坏…）完整性（被恶意修改…）不可否认性（赖账…）…1.2什么是信息安全？

对信息的保密性、可用性和完整性的保持。

不可否认性+可控性Confidentiality

IAntegrityvailabilityCIA1.我们拥有的信息及其价值作为大学生，我们拥有哪些信息？该信息的价值有多大？可能面临哪些风险？为保护该信息需要付出多少成本？价值*风险>成本？为之付出成本值得吗？无处不在的信息我们的信息包括哪些？身份信息联系方式社会关系其他信息：数码相片/私人信件/口令/电子邮件/聊天记录/好友名单/上网记录/视频聊天/电话清单/协议/保密文件/课程作业/…2.信息面临哪些安全威胁？正常过程攻击模式主动攻击试图改变系统的资源或者伪装成系统中的合法用户进行操作。

被动攻击试图获取和使用系统中的信息，但是不会对系统的资源产生破坏。被动攻击和主动攻击被动攻击

被动攻击的两种形式：

消息内容泄露和流量分析

被动攻击具有偷听或者监控传输的性质,目的就是获取正在传输的信息.监视明文:监视网络的攻击者获取未加保护措施的拥护信息或数据;解密加密不善的通信数据消息内容泄露攻击电话交谈、电子邮件和传输文件中都有可能包含敏感或机密信息。我们需要防止攻击者获取这些消息。流量分析攻击即使做了加密保护，而攻击者仍然有可能观察到这些消息的模式，推测出通信双方的位置和身份并且观察到交换信息的频率和长度。主动攻击

正常的信息流动:1）中断：2）截取：3）修改：4）捏造：

信源信源 信源 信源 信源信宿 信宿 信宿 信宿 信宿主动攻击举例：修改传输中的数据会话劫持:未授权使用一个已经建立的会话;伪装成授权的用户和服务器,得以未授权访问资源利用主机或网络信任:通过操纵文件使虚拟/远方主机提供服务,从而利用或传输的信任插入或利用恶意代码(如特洛伊木马,病毒,蠕虫)拒绝服务ARP欺骗*攻击的一般过程预攻击内容：获得域名及IP分布获得拓扑及OS等获得端口和服务获得应用系统情况跟踪新漏洞发布目的：收集信息，进行进一步攻击决策攻击内容：获得远程权限进入远程系统提升本地权限进一步扩展权限进行实质性操作目的：进行攻击，获得系统的一定权限后攻击内容：植入后门木马删除日志修补明显的漏洞进一步渗透扩展目的：消除痕迹，长期维持一定的权限实施攻击的步骤第一步：隐藏自已的位置第二步：寻找目标主机并分析目标主机第三步：获取帐号和密码，登录主机第四步：获得控制权第五步：窃取网络资源和特权端口扫描httpftptelnetsmtp攻击过程示例：口令暴力攻击用户名:john口令:john1234攻击过程示例：用john登录服务器利用漏洞获得超级用户权限留后门隐藏用户更改主页信息攻击过程示例：思考

大家提到的各种安全威胁和攻击模式分别 破坏了信息的哪些性质？

1）中断：2）截取：3）修改：4）捏造：信源 信源 信源 信源信宿 信宿 信宿 信宿3.信息安全防护信息安全防护的目的？维持信息的价值。保持信息的各种安全属性。通过什么手段来保持信息安全？管理手段三铁，实时监控设备涉密计算机不联网，联网计算机不涉密给涉密文件标明密级涉密人员不允许随便出境…技术手段身份认证，访问控制，数据加密，数字签名…防火墙，杀毒软件…技术手段物理安全：环境安全、设备安全、媒体安全系统安全：操作系统及数据库系统的安全性网络安全：网络隔离、访问控制、VPN、入侵检测、扫描评估应用安全：Email安全、Web访问安全、内容过滤、应用系统安全数据加密：硬件和软件加密，实现身份认证和数据信息的CIA特性认证授权：口令认证、SSO认证（例如Kerberos）、证书认证等访问控制：防火墙、访问控制列表等审计跟踪：入侵检测、日志审计、辨析取证防杀病毒：单机防病毒技术逐渐发展成整体防病毒体系灾备恢复：业务连续性，前提就是对数据的备份信息保障（InformationAssurance）

美国国防部对信息保障的定义：

“通过确保信息的可用性、完整性、可识别性、 保密性和抗抵赖性来保护信息和信息系统，同 时引入保护、检测及响应能力，为信息系统提 供恢复功能。”PDRR=Protection+Detection+Reaction+ Restoration信息安全是研究在特定的应用环境下，依据特定的安全策略(Policy)，对信息及其系统实施保护(Protection)、检测(Detection)、响应(Reaction)和恢复(Restoration)的科学。关键点：信息安全管理

现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的三分技术，七分管理！安全贵在未雨绸缪因果关系（立体）4.典型的信息安全事件个人隐私泄露类泄密案类黑客入侵类恶意软件类国防科技类个人隐私泄露类2010年3月7日和8日两天，可谓是电子科大女生的狂欢日。女生们纷纷拿着笔，来到学校食堂门外的“心愿板”前，在贴好的便利贴上写下自己的心愿……泄密案黑客入侵类百度被攻击--域名劫持2010年1月12日上午7点钟开始，全球最大中文搜索引擎“百度”遭到黑客攻击，长时间无法正常访问。主要表现为跳转到一雅虎出错页面、伊朗网军图片，出现“天外符号”等，范围涉及四川、福建、江苏、吉林、浙江、北京、广东等国内绝大部分省市。黑客进清华官网假冒校长称“中国大学教育就是往脑子灌屎”武汉大学招生录取结果查询网页遭到电脑黑客攻击2007年7月31日，武汉大学招生录取结果查询网页遭到电脑黑客攻击，不法分子利用电脑黑客技术，篡改招生录取查询网页，删除正式录取名单中的11人，恶意添加8人，欺骗考生和家长。据调查，其中1个考生被骗取的金额就达十几万元。恶意软件类番茄花园—洪磊案熊猫烧香案国防科技类间谍案演讲完毕，谢谢观看！附录资料：不需要的可以自行删除企业信息化管理专业分析目标企业信息化概述企业信息化专业介绍企业信息化学习方法介绍个人期望企业信息化概述企业信息化专业介绍企业信息化学习方法介绍个人期望

什么是企业企业是从事生产、流通、服务等经济活动，以生产或服务满足社会需要，实行自主经营、独立核算、依法设立的一种盈利性的经济组织。你听过哪些企业？东风汽车中国银行百度新浪……等等什么是信息化定义一：信息化是指培养、发展以计算机为主的智能化工具为代表的新生产力，并使之造福于社会的历史过程。定义二：是指建立在IT产业发展与IT在社会经济各部门扩散的基础之上，运用IT改造传统的经济、社会结构的过程。什么是企业信息化企业信息化(Enterprisesinformatization)，企业信息化实质上是将企业的生产过程、物料移动、事务处理、现金流动、客户交互等业务过程数字化，通过各种信息系统网络加工生成新的信息资源，提供给各层次的人们洞悉、观察各类动态业务中的一切信息，以作出有利于生产要素组合优化的决策，使企业资源合理配置，以使企业能适应瞬息万变的市场经济竞争环境，求得最大的经济效益。企业为什么需要信息化生产与销售员工与管理库存与原材料管理市场竞争企业信息化主流平台SAP用友金蝶神舟数码Oracle企业信息化概述企业信息化专业介绍企业信息化学习方法介绍个人期望企业信息化管理专业介绍本专业培养能帮助企业进行信息化改造，帮助软件公司进行信息化软件售前和售后技术支持以及企业软件实施，或者作为资讯公司对企业业务流程进行设计与改造的高级管理人才。能胜任软件实施工程师、软件售前服务工程师，软件售后服务工程师，企业信息化咨询师，企业业务流程规划师。企业信息化职位CompanyLogo实施经理售前售后工程师产品咨询师企业信息分析师企业需求分析师企业信息化解决方案数据库维护售前工程师售后工程师系统策划师产品实施公司职位表企业信息化管理与其他专业对比研发管理营销企业信息化管理课程安排企业信息化概述企业信息化专业介绍企业信息化学习方法介绍个人期望学好企业信息化核心要素良好的心态开阔的思维组织协调能力团队精神专业知识个人形象口才良好的心态良好心态表现：激励性自信努力、上进如何提高心态：阅读一定管理书籍和管理视频阅读企业信息化管理学开阔的思维开阔视野阅读经典成功案例组织协调能力组织班级活动积极参与班级活动发挥班级力量，容纳好点子团队精神组建