1、2020/11/4第一讲第一讲 信息安全概述信息安全概述2 本讲介绍信息安全的定义、安全网络的基本特征以及计本讲介绍信息安全的定义、安全网络的基本特征以及计算机网络面临的威胁。本讲内容包含以下几部分:算机网络面临的威胁。本讲内容包含以下几部分:q 信息安全的现状;信息安全的现状;q 信息安全的定义;信息安全的定义;q 信息安全面临的威胁;信息安全面临的威胁;q 信息安全的信息安全的CIA模型;模型;q 信息安全的体系结构;信息安全的体系结构;3通过本章的学习,学员应能够了解:通过本章的学习,学员应能够了解:q 了解信息安全的现状;了解信息安全的现状;q 了解信息安全面临威胁;了解信息安全面临威
2、胁;q 了解安全的计算机及网络的基本特征。了解安全的计算机及网络的基本特征。4在我们的生活中,经常可以听到下面的报道:在我们的生活中,经常可以听到下面的报道:q XX网站受到黑客攻击网站受到黑客攻击q XX计算机系统受到攻击,造成客户数据丢失计算机系统受到攻击,造成客户数据丢失q 目前又出现目前又出现XX计算机病毒,已扩散到各大洲计算机病毒,已扩散到各大洲q 计算机网络在带给我们便利的同时已经体现出计算机网络在带给我们便利的同时已经体现出了它的脆弱性了它的脆弱性5572057991,4842,3973,8816,27910,16016,43826,59820072009201120132015
3、每小时每小时预计增加的恶意程序数量预计增加的恶意程序数量数据来源:AV-Test.org6恶意程序为了获取客户机密信息或金钱而层出不穷逐利性多变性复杂性SpamSpywareBotnetsWormsWeb总量达到总量达到15001500万左右万左右单月增长超过单月增长超过6464万支万支78 尽管企业外部的攻击可以对企业网络造成巨大威胁,企业内部员工的不正确使用和恶意破坏是一种更加危险的因素。摘自ICSA/FBI,2001 统计显示:来自企业内部的网络破统计显示:来自企业内部的网络破坏更加危险。坏更加危险。员工的不正常使用也是企业内网的一员工的不正常使用也是企业内网的一个重要不安全因素。个重要
4、不安全因素。910攻击工具攻击工具复杂性复杂性攻击者所攻击者所需技能需技能11Gary McKinnon于 2002年11月间在英国被指控非法侵入美国军方90多 个 电 脑 系 统 年仅15岁的MafiaBoy在2000年2月6日到2月14日情人节期间成功侵入包括eBay,Amazon 和Yahoo在内的大型网站服务器,他成功阻止了服务器向用户提供服务。12v 2005年6月18日,为万事达、维萨和美国运通卡等主要信用卡服务的一个数据处理中心网络被黑客程序侵入,约万账户的号码和有效期信息已被恶意黑客截获。v 江苏省徐州市某银行软件维护员孙某,只存入10元,却先后取出33.8万元,因为他写了一个
5、自动增加存款余额的程序。v 英国一特工在火车上睡着,丢失了机密公文包。13政府教育银行保险交通电力医疗制造2003年34522620712.983.546282432004年40224522814.71005935287 计世咨询 20042003-04六大行业信息化状况 单位:亿元 CNNIC发布第十七次中国互联网络发展状况统计报告,截至2005年12月31日,我国网民人数达到1.11亿 2007年行业信息化IT投入将达到4236亿 今年来我国几大行业IT投入情况:141.计算机系统遭受病毒感染和破坏的情况相当严重。计算机系统遭受病毒感染和破坏的情况相当严重。15搭线窃听信息Internet
6、2.电 脑 黑 客 活 动 已 形 成 重 要 威 胁。电 脑 黑 客 活 动 已 形 成 重 要 威 胁。163.信 息 基 础 设 施 面 临 网 络 安 全 的 挑 战信 息 基 础 设 施 面 临 网 络 安 全 的 挑 战。计算机网络计算机网络174.网络政治颠覆活动频繁。网络政治颠覆活动频繁。18 通过在数据上施加某些约定而赋予这些数据的特殊含义 (GMITS)通常我们把信息理解为消息、信号、数据、情报和知识等 信息是无形的,可借助多种介质存储和传递 对现代企业而言,信息是宝贵的资源和资产 信息是一种资产,像其他的业务资产一样对企业具有价值,因此要妥善加以保护 (BS7799)19
7、 网络上的数据 纸质文件 软件 物理环境 人员 设备 公司形象和声誉 20 按照人、组织结构划分 按照信息媒体划分 按照信息内容划分 按照直接处理系统划分 2122信息存储的弱点信息存储的弱点23信息传输的弱点信息传输的弱点搭线窃听信息Internet24物理风险 系统风险信息风险应用风险其它风险网络的风险管理风险 Internet25伪装(pseudonym):非法连接(illegal association):非授权访问(no-authorized access):重放(replay)拒绝服务(denial of service):抵赖(repudiation):信息泄露(leakage
8、of information):业务流量分析(traffic analysis)改变信息流(invalid message sequencing)篡改或破坏数据(data modification or destruction)推断或演绎信息(deduction of information):非法篡改(illegal modification of programs):26计算机网络计算机网络信息被非法访问信息被非法访问27信息安全信息安全InfoSec:信息安全信息安全InfoSec(Information Security)的任务,就是要的任务,就是要采取措施采取措施(技术手段及有效管理
9、技术手段及有效管理)让这些信息资产免遭威胁,或者让这些信息资产免遭威胁,或者将威胁带来的后果降到最低程度,以此维护组织的正常运作。将威胁带来的后果降到最低程度,以此维护组织的正常运作。28TCSEC/CC (可信赖系统评估准则/信息技术安全评估通用标准)高高可可信信賴賴性性低低类别评估标准等级评估准则概要范例A具有经认可之系统保护措施A1具有经认可之系统安全设计最高防护例:国家安全B强制系统保护措施B3独立系统安全模组,须具备进入管制表之功能特级防护例:高层管理系统B2结构化系统保护设计特别防护例:银行B1强制进入管制及资料安全表示正规防护例:电子公文C使用者可自行决定资料保护措施C2依需求系统管理者的对使用者实行稽核追踪一般防护例:电子邮件C1可由使用者自行決定其所需之資料保護措施最少防护例:个人使用D无保护措施D无保护措施无防护29Unix、Linux和Windows NT都是C2级的产品 Dos、Windows 95/98是D1级的产品。3031人人 制度制度技术技术安全防护体系安全防护体系q 人人q 制度制度q 技术技术32防火墙防火墙访问控制访问控制防病毒防病毒入侵检测入侵检测漏洞评估漏洞评估
