hc120115026 信息安全综述

1、信息安全综述版权所有 2019 华为技术有限公司前言 随着计算机技术的不断普及，信息安全的重要性日渐突显。无论是 还是企业， 乃至更多的普通Internet使用者，都面临着如何应对日益严峻的网络攻击、信息泄密、信息丢失等信息安全问题的考验。世界各国 以及众多信息安全产品厂家在信息安全规范的制定和相关产品的研发方面投入了巨大的人力和财力。 本课程主要介绍信息安全管理和网络攻击防范所应采取的基本原则和措施。版权所有 2019 华为技术有限公司第46页目标 学完本课程后，您将能够：p 了解为什么需要信息安全p 了解怎么保证信息安全p 掌握网络所面临的安全问题和风险p 掌握如何解决网络所面临的安全问题

2、目录1. 为什么需要信息安全2. 什么是信息安全3. 怎么保证信息安全4. 网络安全信息安全的目的：保护企业信息资产 对于企业来说，信息资产是维持企业持续运作和管理的必要资产，例如市场报告、科研数据、计划方案、竞争情报等信息可能从多个方面对企业的运营产生影响。企业竞争情报学目录1. 为什么需要信息安全2. 什么是信息安全3. 怎么保证信息安全4. 网络安全为信息资产提供CIA保护性Confidentiality私密的数据不能透露给非授权的个体。CIA完整性Integrity信息和程序不能受到故意或无意的非授权操纵。可用性Availability系统必须及时的提供服务，不能拒绝向授权用户提供服务

3、。性与泄密模型发送方接收方 泄密模型方 确保信息只能被授权访问方所接收的属性。完整性与篡改模型 防止数据被未授 意外修改、破坏或丢失。发送方接收方 篡改模型篡改方可用性与防破坏模型 保证信息和信息系统随时为授 提供服务的有效特性。发送方接收方防破坏模型攻击方目录1. 为什么需要信息安全2. 什么是信息安全3. 怎么保证信息安全4. 网络安全是什么威胁到了信息安全风险性完整性可用性自然灾害硬件故障软件缺陷未授权访问拒绝服务数据泄露假冒和线路计算机病毒特洛伊木马后门和陷阱电磁辐射通过信息安全技术来保障信息安全完整性服务可用性服务访问控制机制公开密钥技术完整性机制技术性服务加密机制对称密钥技术安全服

4、务 安全机制安全技术只用技术保证就够了吗 技术措施需要配合正确的使用方法才能发挥作用。通过信息安全管理来保障信息安全管理因素技术因 在信息安全问题上，要综合考虑人员与管理、技术与产品、流程与体系等因素。三种典型信息安全管理实施方法应用对象应用特点ISMS各种类型的组织（有体系建立需求）完全以市场化需求为主，不具备强制性。以风险管理方法为基础，如果实施体系认证，必须完全满足27001标准要求等级保护国家基础网络和重要信息系统作为我国的一项基础制度加以推行，有一定强制性。主要目标是有效地提高我国信息和信息系统安全建设的整体水平，重点保障基础信息网络和重要信息系统的安全NIST SP 800 与FI

5、PS不同，是非强制性的。但 机构应采纳FIPS中要求使用的NIST SP以及OMB要求的特定NIST SP。以风险管理方法为基础，应用时有一定的灵活性信息安全管理体系中的风险管理获得高层批准制定适用声明（SOA）选择处置风险的控制目标和措施识别并评价处置风险的各类措施评估风险识别风险定义系统的风险评估方法定义ISMS确定ISMS范围信息安全管理的内容信息安全管理体系控制领域（ISO/IEC 27001-2013）A.5 信息安全策略A.6 信息安全组织A.7 人力资源安全A.8 资产管理A.9 访问控制A.10 A.11 物理和环境安全A.12 运行安全A.13 通信安全A.14 系统获取、开

6、发和维护A.15 供应商关系A.16 信息安全管理A.17业务连续性管理的信息安全方面A.18 符合性信息安全管理 - 控制子域 (1)控制域控制子域A.5 信息安全策略A.5.1 信息安全管理指导A.6 信息安全组织A.6.1 内部组织A.6.2 移动设备和远程工作A.7 人力资源安全A.7.1 任用前A.7.2 任用中A.7.3 任用的终止和变更A.8 资产管理A.8.1有关资产的责任A.8.2 信息分级A.8.3 介质处理A.9 访问控制A.9.1访问控制的业务要求A.9.2用户访问管理A.9.3 用户责任A.10A.10.1控制A.11 物理和环境安全A.11.1 安全区域A.11.2

7、 设备A.12 运行安全A.12.1 运行规程和责任A.12.2恶意软件防范信息安全管理 - 控制子域 (2)控制域控制子域A.12 运行安全A.12.3 备份A.12.4 日志和监视A.12.5 运行软件控制A.12.6 技术脆弱性管理A.12.7 信息系统审计的考虑A.13 通信安全A.13.1 网络安全管理A.13.2 信息传输A.14 系统获取、开发和维护A.14.1信息系统的安全要求A.14.2开发和支持过程中的安全A.14.3 测试数据A.15 供应商关系A.15.1 供应商关系中的信息安全A.15.2 供应商服务交付管理A.16 信息安全管理A.16.1 信息安全的管理和改进A.

8、17业务连续性管理的信息安全方面A.17.1 信息安全的连续性A.17.2 冗余A.18 符合性A.18.1 符合法律和合同要求A.18.2 信息安全评审目录1. 为什么需要信息安全2. 什么是信息安全3. 怎么保证信息安全4. 网络安全n 网络为什么面临安全问题p 网络面临哪些安全风险p 如何解决网络的安全问题TCP/IP协议栈 - IPv4安全隐患缺乏性保障机制TCP/IP（IPv4）缺乏完整性验证机制缺乏数据源验证机制目录1. 为什么需要信息安全2. 什么是信息安全3. 怎么保证信息安全p 通过信息安全技术来保障信息安全p 通过信息安全技术来保障信息安全4. 网络安全p 网络为什么面临安

9、全问题n 网络面临哪些安全风险p 如何解决网络的安全问题TCP/IP协议栈常见安全风险漏洞、缓冲区溢出攻击、WEB应用的攻击、病毒及木马、应用层TCP欺骗、TCP拒绝服务、UDP拒绝服务、端口扫描、传输层IP欺骗、Smurf攻击、ICMP攻击、地址扫描、 网络层MAC欺骗、MAC泛洪、ARP欺骗、数据链路层设备破坏、线路侦听物理层物理层 - 线路侦听 物理层网络设备：p 集线器；p 中继器。 无线网络。 对线路侦听的防范：侦听者p 对于网络中使用集线器，中继器之类的，有条件的话置换设备为交换机等。p 对于无线网络，使用强的认证及加密机制，这样 者即使能获取到传输信号，也很难把原始信息还原出来。

10、链路层 - MAC欺骗 MAC欺骗是一种非常直观的攻击，攻击者将自己的MAC地址更改为受信任系统的地址。 对于MAC攻击的防范措施：p 在交换机上配置静态条目，将特定的MAC地址始终与特定的端口绑定。E0E1F0-DE-F1-33-7F-DA我也是：F0-DE-F1-33-7F-DA仿冒者网络层 - Smurf 攻击ICMP Echo request, src= dest = 55ICMP Echo repliesAttacker con

11、trols this hostVictim: 传输层 - TCP欺骗攻击主机 C主机Aspoofed packet from C to Aspoofed packet from B to A拒绝服务攻击from C to BA 信任 B主机 B11001540031ackseqACK110015400211ackseqACKSYN0110001ackseqSYN非授权连接传输层 - UDP Flood攻击 攻击者通过向服务器发送大量的UDP报文，占用服务器的链路带宽，导致服务器负担过重而不能正常向外提供服务。UDP攻击者Server应用层 - 缓冲区溢出攻击Stack

12、 攻击软件系统的行为中，最常见的一种方法。 可以从本地实施，也可以从远端实施。DataCode 利用软件系统（操作系统，网络服务，程序库）实现中对内存操作的缺陷，以高操作权限运行攻击代码。 漏洞与操作系统和体系结构相关，需要攻击者有较高的知识/技巧。目录1. 为什么需要信息安全2. 什么是信息安全3. 怎么保证信息安全p 通过信息安全技术来保障信息安全p 通过信息安全技术来保障信息安全4. 网络安全p 网络为什么面临安全问题p 网络面临哪些安全风险n 如何解决网络的安全问题功能层OSITCP/IP认证服务访问控制数据完整性数据保密性抗抵赖加密机制访问控制机制数据完整性机制数字签名机制认证交换机

13、制业务流填充机制安全机制路由控制机制普机性制机制适表示层应用层传输层会话层应用层OSI安全体系结构网络层链路层物理层传输层网络层网络接口层安全服务和安全机制的关系加密数字签名访问控制数据完整认证交换防流量分析路由控制对象认证访问控制数据保密数据完整防抵赖性功能层和安全机制的关系OSI机制物理层链路层网络层传输层会话层表示层应用层加密数字签名访问控制数据完整认证交换防流量分析路由控制安全协议分层协议层针对的实体安全协议主要实现的安全策略应用层应用程序S-HTTP信息加密、数字签名、数据完整性验证SET信息加密、身份认证、数字签名、数据完整性验证PGP信息加密、数字签名、数据完整性验证S/MIME

14、信息加密、数字签名、数据完整性验证Kerberos信息加密、身份认证SSH信息加密、身份认证、数据完整性验证传输层端进程SSL/TLS信息加密、身份认证、数据完整性验证SOCKS访问控制、穿透 网络层主机IPSec信息加密、身份认证、数据完整性验证网络接口层端系统PAP身份认证CHAP身份认证PPTP传输隧道L2F传输隧道L2TP传输隧道WEP信息加密、访问控制、数据完整性验证WPA信息加密、身份认证、访问控制、数据完整性验证信息安全技术 - 网络安全网络安全网络协议安全网络安全设备网络架构安全开放式系统互联安全体系结构 入侵检测系统其他网络安全设备 网络安全区域网络IP地址、Vlan设计路由交换设备安全网络边界访问控制策略网络冗余配置入侵防御系统IPS安全管理平台SOC统一威胁管理网络准系统入控制UTMNAC 网络安全管理是信息安全管理体系的一个重要组成部分。物理安全：智能门禁、视频监控、UPS电源安全设计需求与安全设备数据安全防护应用安全防护主机安全防护网络安全防护物理安全防护完整性、 性、备份和恢复身份鉴别、访问控制、安全审计身份鉴别、访问控制、安全审计、入侵和恶意代码防范结构安全、访问控制、安全审计、入侵和恶意代码防范、边界完整性检查物理访问控制、电源、防火、防水传输及数据安全：VPN安全审计：网络安全审计系统、