搜索
1信息安全基础2006年6月2安全威胁Bob假冒BankCustomerDeposit$1000Deposit$100完整性CPU拒绝服务窃听telnetfoo.bar.orgusername:danpassword:m-y-p-a-s-s-w-o-r-dd-a-nI’mBob,SendMeallCorporateCorrespondencewithCisco3安全挑战•平台的开放性导致被侵害的可能性增大InternetNTW2KNovellLINUXDBNotesExchange4安全挑战•破坏者可以在网络中任意位置发起攻击•不仅以破坏文件系统为目的,同时也破坏网络资源,如网络带宽•破坏者采取的手段越来越智能、灵活-采用木马程序-自带口令字典5安全:一项巨大的挑战!新成员;合作伙伴网上访问;无线局域网;远程雇员访问崭新动态安全威胁IT预算的限制安全缺陷:网络瘫痪,利润损失,企业声誉受影响专用安全资源有限6•财政损失•知识产权损失•时间消耗•由错误使用导致的生产力消耗•责任感下降•内部争执网络攻击后果可见的网络攻击影响利润攻击发生(财政影响)Q1Q2Q3Q47百分之百的安全?•木桶原理•简单化原理–过分繁杂的安全政策将导致比没有安全政策还要低效的安全。–需要考虑一下安全政策给合法用户带来的影响在很多情况下如果你的用户所感受到的不方便大于所产生的安全上的提高,则执行的安全策略是实际降低了你公司的安全有效性。8网络信息安全的目标身份认证完整性机密性不可否认可用性什么是安全的信息系统安全的计算机信息系统应包含以下几层含义:•保证数据的完整性:保证计算机系统上的数据和信息处于一种完整和未受损害的状态,只能由许可的当事人更改。•保证系统的保密性:保证系统远离危险的状态和特性,既为防止蓄意破坏、犯罪、攻击而对数据进行未授权访问的状态或行为,只能由许可的当事人访问。•保证数据的可获性:不能阻止被许可的当事人使用。•信息的不可抵赖性:信息不能被信息提供人员否认.•信息的可信任性:信息不能被他人伪冒•……10进不来拿不走改不了跑不了看不懂信息安全的目的可审查威胁数据完整性的五大因素•人员因素•环境因素•逻辑问题•网络故障•硬件故障人的威胁(!!!)•意外事故:由于缺乏责任心、工作中粗心大意•缺乏经验:未经系统专业和业务培训匆匆上岗•压力/恐慌:营业部繁忙的日常工作,使操作失去条理•通讯不畅:•蓄意报复:•内部欺诈:13安全意识----永恒性所有的程序都有缺陷(摩菲定理)14INSIDE拨号接入服务器政府内部网络WANINTERNET政府广域网络WebServerMailServerDNSServerAAAServer合作伙伴网络Internet出口PSTNINTERNET政府部门数据中心数据库服务器数据库服务器木桶原理安全意识----全面性15保护(Protection)检测(Detection)响应(Response)备份(Recovery)策略(Policy)时间Time安全意识----动态性P2DR2模型16“安全是一个过程,而不是一个产品”BruceSchneier17灾难因素•火灾•水灾•风暴•工业事故•蓄意破坏18逻辑问题(!!!)•软件错误:没有任何软件开发机构有能力测试使用中的每一种可能性。•文件损坏:不仅是物理或网络问题会导致文件损坏,系统控制和逻辑问题也会导致问题发生。•数据交换:在进行数据格式转换时,很容易发生的问题。•容量错误:将系统用到极限可以省钱,但太危险。•操作系统错误:所有的操作系统都有自己的错误。•不恰当需求:硬件故障•磁盘故障:最常见的故障。•I/O控制器故障:不常发生,但的确会发生。•电源故障:外部电源故障和内部电源故障•存储器故障:受射线、腐蚀或磁场影响。•介质、设备和其他备份故障•芯片和主版故障:Pentium的除法错误网络故障•网卡或驱动程序问题•交换器堵塞•网络连接问题:网络设备和线路•辐射问题21威胁系统保密性的五大因素•直接威胁(物理威胁)•线缆连接•身份鉴别•编程•系统漏洞22直接威胁•偷窃:不要低估以最直接方法获取所需资料的办法。•废物收寻:在废弃的打印纸或软盘中有许多有用信息。•间谍行为:观看他人从键盘上敲入的密码。•身份鉴别错误:虽然需要高超的技巧,但威胁巨大。23线缆连接•窃听:工具软件、电磁辐射为其提供了条件。•拨号进入:凡是有调制解调器和一个电话号码就可尝试登录你的网络。•冒名顶替:在Internet上构成巨大威胁。24身份鉴别•口令圈套:用一个模仿的程序代替真正的程序登录界面,以窃取口令。•口令破解:高手有很多技巧来提高其成功率。•算法漏洞:以超长字符串使算法失效并非天方夜潭。•编辑口令:内部漏洞为其提供了便利条件。•敞开大门:今天太常见了,许许多多不设口令的帐户为其提供了快速通道。25编程•病毒:CIH已使人们充分认识到其危害性。•代码炸弹:国外有大量的程序员将代码炸弹写入机器的案例发生,国内已经出现。•特洛伊木马:•更新和下载:BO26系统漏洞•乘虚而入:微软已承认其屏幕保护程序的漏洞,就是很好的案例。•不安全服务:谁能保证操作系统提供的服务没有绕过安全系统,否则不会有著名的“蠕虫”发生。•配置和初始化:在你更改配置时,同时对安全配置做了相应的调整吗?•CPU与防火墙中的后门27导致12小时以上停机的主要原因与电源相关暴风雨洪水、水管爆裂火灾、爆炸地震其他28制度建设是安全建设的重要开始•完整的公司安全政策•明确的操作守则•完善并及时更新的技术文档•切实可行的灾难恢复计划•人员的道德标准29完整的公司安全政策(1)•要保护那些信息资源•允许PC机上存放那些软件•当发现未批准的程序和数据时应该怎么办•内部处罚准则•谁可影响安全政策•谁开发准则•谁审批准则•谁确切地拥有什么权限和特权30完整的公司安全政策(2)•谁来授予权限和特权•报告安全违法或犯罪活动的奖励和规程•造成安全问题的具体管理人和当事人的责任•谁执行这些准则以及他们如何执行•…...31明确的操作准则(1)•机房管理准则•电源管理准则•设备安装/维修/定期检查准则•软件安装准则•业务处理流程准则•业务日志记录准则•数据备份准则•软件开发准则32明确的操作准则(2)•可移动介质访问准则•病毒检查准则•空闲机器守则•废品处理守则•口令守则•…...33什么样的准则是好的准则•好的准则是切实可行的•好的准则要经常检查•好的准则是经过了测试•好的准则不广为人知:任何规范都存在漏洞,所以要尽量保密。34完善并及时更新的技术文挡•技术文档是及时解决问题的主要依据•技术文档不随着系统的变化及时更新,则只能带来更大的风险因素35切实可行的灾难恢复计划(1)制定切实可行的灾难恢复计划是为最坏情况做准备•谋求高层管理人员的支持•向专家寻求帮助•周密的风险分析和风险评估–通过分析找出公司核心业务的IT资源–根据公司的环境和地理位置来确定面临的典型自然灾害36切实可行的灾难恢复计划(2)•管理支持–制定详细而灵活的计划,明确所有人的职责–选择一个恢复方案(冗余系统、备用站点、移动设备或迅速获得新系统)–恢复计划要涵盖所有IT资源,包括通讯设备和局域网)–选择可以迅速提供服务的设备供应商–注意记录供应商的信息37切实可行的灾难恢复计划(3)•保证计划可被正确执行–一年至少按计划演习一次•要保证一个具有一定实力的技术支持队伍,及时更换陈旧设备•确定恢复工作的优先级别•在明确自己不具备相应技术实力的状况下,可考虑外包计划。38计算机安全中不容忽视的道德问题•安全系统的道德责任:公司和个人都有道德义务来保护信息。•黑客是还否具有道德标准•美国计算机联合会(ACM)制定的伦理建议指出:–一名ACM会员应该使用他的专业技巧促进人类幸福。–一名ACM会员在进行他的工作时,应考虑公众的健康、保密和总福利。–一名ACM会员,无论何时处理涉及私人的数据,都应该始终考虑个人隐私原则。包括:最大程度减小收集的数据;限制对数据的授权访问;提供适当的数据保密;保证对数据的适当使用。•建议证券行业内建立类似执业规范,增强每名从业工作人员的责任心。39风险分析与安全计划•风险分析•安全计划•成本因素40进行风险分析•明确资源:硬件、软件、数据、人、文本文件、消耗品•确定资源的弱点:发挥想象力,以便预测这些资源可能发生那些损失以及来源何在。•预测发生的可能性:确定每个暴露可被利用的频繁程度。(采用Delphi方法)•计算未列入的年开销(年度损失期望值)•考察新的控制(前面讨论的技术措施)•计算节余(=控制代价-因使用控制而导致年度损失期望值的减少)41建立安全计划•安全计划确定并系统规定用于一计算机系统的安全行动,它详细描述当前的状态,也要描述改变的计划,包含六个问题:•描述目标和策略策略:关于安全的目标、责任所在及为此所承担的义务。•描述当前安全状态•风险分析和有关控制的建议•列出负责实现安全机制各方面人员与责任•实现的时间表•对安全需要不断重审的计划42成本因素•费用与风险–你负担的起吗?–该措施能改善现有情况吗?–它会导致什么其他的问题?–该措施物有所值吗?•Pareto原理:80/20准则•数据库的例外:全部或没有43建立安全系统的技术措施在系统开始建立时必须树立安全概念•网络设计阶段的安全计划书•软件设计阶段的安全计划书•应建议系统集成商、软件开发商提供相应的安全计划书44信息安全=风险管理风险接受,风险转移,风险避免安全性风险性安全水平高高低安全风险支出平衡点风险管理=信息安全服务+信息安全管理45实施安全解决方案:---就是为了把企业的风险降到可接受的程度风险RISK风险漏洞漏洞资产资产威胁威胁基本的威胁采取措施后剩余的威胁46建立安全系统的陷阱•C2级是美国国防部计算机安全中心的“可信任的计算机安全评估标准”(TCSEC)一书中七个安全等级的第四级,需要满足“自主存取控制”、“标识的鉴别”和“审计”。•TCSEC标准是针对产品,不是针对系统。•由C2产品组成的系统不会是C2级别的。•对安全产品和参数的实施必须经过充分的实验后,才可逐步投入使用。•技术永远不能解决一切问题。47提高数据完整性的技术措施•备份•镜像技术•归档•转储•分级存储管理•奇偶校验•灾难恢复计划•故障前兆分析•电源供应系统•系统安全程序48减少安全威胁的技术措施•修补系统漏洞•加密•执行身份鉴别•Internet防火墙•捕捉闯入者•病毒检查•直接安全•空闲机器守则•废品处理守则•口令守则49其他措施•数据库的在线备份、冷备份和逻辑备份•服务器的保护机制–电源、环境、寿命/更换、双机容错•客户机的保护机制•网络传输保密机制:链路层、传输层、应用层的选择。50高可用系统的建立•容错:硬件容错和软件容错–空闲备件、热可交换模块、负载平衡、镜像–冗余系统配件、存储子系统冗余、系统冗余–容错系统的不可能性:系统只能够容忍一些种类的错误•网络冗余–双主干、智能集线器、通讯中件51应用软件的控制问题52建立安全系统的技术措施•口令与权限管理•前台与后台分离•操作系统安全性参数•网络设备安全特性•病毒防范53口令与权限管理(1)•用户权限的设置必须遵循最小化原则•用户组的权限必须是组成员的最小权限。•登录限制包括站点限制、登录时间限制和最大连接数限制。•定期更换用户口令;•及时删除离职人员所用帐号;•关闭(DISABLE)或删除暂时不用的系统帐号;•严格控制用户权限等效的分配使用;54口令与权限管理(2)•操作系统、数据库系统和柜台系统的管理员用户口令的管理办法;•防止登录或使用过程中的非法中断:–DOS中F5、F8、Ctrl-C、Ctrl-Break的屏蔽:Switches=/F/N屏蔽中断驻留程序–Novell的盘符屏蔽:使用NetWare的menu实用程序55前台与后台分离(1)•采用三层结构,使用中间处理机实现:–自助委托系统(热自助、小键盘)–电话委托–远程交易–客户管理(如开户、修改资料等)*–........要求:用户端程序不允许直接访问后台数据库和交易所等重要通信接口数据