搜索
信息安全基础知识培训2010年7月15日8/17/20202目录一、信息安全基础知识二、证券行业面临的安全威胁三、公司安全防护体系四、公司信息安全标准一、信息安全基础知识信息安全发展史信息安全的内涵信息系统安全保障体系的基本内容等级保护有关背景情况介绍8/17/20203信息安全发展史初级阶段:通信保密阶段•上世纪八十年代前,人们认为信息安全就是通信保密,采用的保障措施就是加密和基于计算机规则的访问控制中级阶段:计算机系统安全阶段(静态信息防护)•本世纪前,对主机安全的关注及网络攻击的防护是信息安全的核心内容现阶段:信息安全保障阶段•人们关心的是信息及信息系统的保障,如何建立完整的保障体系,以便保障信息及信息系统的正常运行8/17/20204初级阶段——通信保密40~70年代•重点是通过密码技术解决通信保密,保证数据的保密性与完整性•主要安全威胁是搭线窃听、密码学分析•主要保护措施是加密重要标志:•1949年shannon发表的《保密通信的信息原理》•1977年美国国家标准局公布的数据加密标准(DES),对称算法•1976年由Diffie、Hellman提出公钥密码体制,非对称算法8/17/20205中级阶段——计算机系统安全70~80年代•重点是确保计算机系统中硬件、软件及正在处理、存储、传输信息的机密性、完整性和可控性•主要安全威胁扩展到非法访问、恶意代码、弱口令等•主要保护措施是安全操作系统涉及技术(TCB)主要标志1985年美国国防部公布的可信计算机系统评估准则(TCSEC)8/17/20206TCSEC标准系列TCSEC系列标准需要采取的各类硬件、软件本身具备一定的安全强度需要由软硬件组成的系统具备一定的安全程度为了评价对“信息的安全”的保护程度,需要对产品的安全强度、系统的安全强度进行评估。主要表现为:产品安全强度分级:A1B1B2B3C1C2D18/17/20207现阶段——信息安全保障重点需要保护信息,确保信息在产生、存储、处理、传输过程中及信息系统不被破坏,确保合法用户的服务和限制非授权用户的服务,以及必要的防御攻击的措施。强调信息的保密性、完整性、可用性主要安全威胁是人为破坏、网络入侵、病毒破坏、信息对抗主要保护措施包括防火墙、防病毒软件、漏洞扫描、入侵检测、PKI、VPN等特点:涉及与信息系统相关的各类要素。8/17/20208现阶段——信息安全保障提出了“信息安全保障”的概念和要求,是一种立体的保障8/17/20209信息安全的内涵信息安全经典模型(CIA模型)C保密性ConfidentialityI完整性IntegrityA可用性Availability8/17/202010信息安全的内涵保密性(C)•保证没有经过授权的用户、实体或进程无法窃取信息•泄密的表现形式•组织信息给未授权的人获取•系统被未授权的人进入•个人信息被不相关的人获知8/17/202011信息安全的内涵完整性(I)•保证没有经过授权的用户不能改变或者删除信息,从而信息在传送的过程中不会被偶然或故意破坏,保持信息的完整、统一•保护信息及处理方法的准确性和完备性;•不因人为的因素改变原有的内容,保证不被非法改动和销毁。•分成•系统完整性•数据完整性8/17/202012信息安全的内涵可用性(A)•保证合法用户的正常请求能及时、正确、安全地得到服务或回应,确保授权使用者需要时能够访问信息及相关资产•当授权用户要求时,即可使用信息和相关资产•不因系统故障或误操作使资源丢失•对响应时间有一定要求,并且在局部故障下实现持续运行•分成•系统通信可用性•系统的可用性•数据的可用性8/17/202013信息安全的内涵随着信息技术、安全技术以及信息化应用的不断发展,信息安全的定义在某些领域已有所拓展,在原来三性的基础上,增加了:可控性和不可否认性•可控性:对信息和信息系统实施安全监控管理,防止为非法者所用。规模较大的信息系统已建成或着手建设实现“大集中”安全管理方式的安全监管中心•不可否认性:保证信息行为人不能否认自己的行为,比较常见的应用是:使用数字签名实现交易操作的抗抵赖(不可否认)8/17/202014信息安全指保护信息和信息系统不被未经授权的访问、使用、泄露、中断、修改和破坏,为信息和信息系统提供保密性、完整性、可用性、可控性和不可否认性。信息安全保障是保证信息与信息系统的保密性、完整性、可用性、可控性和不可否认性的信息安全保护和防御过程。它要求加强对信息和信息系统的保护,加强对信息安全事件和各种脆弱性的检测,提高应急反应能力和系统恢复能力。信息安全保障体系是实施信息安全保障的法制、组织管理和技术等层面有机结合的整体,是信息社会国家安全的基本组成部分,是保证国家信息化顺利进行的基础。几个基本概念8/17/202015信息系统安全保障体系的基本内容8/17/202016信息安全保障中的几个概念信息技术系统:作为信息系统一部分的执行组织机构信息功能的用于采集、创建、通信、计算、分发、处理、存储和/或控制数据或信息的计算机硬件、软件和/或固件的任何组合。信息系统•信息系统用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组件的总和。信息系统是在信息技术系统的基础上,综合考虑了人员、管理等系统综合运行环境的一个整体。8/17/202017信息安全保障的含义信息安全保障的对象:整个信息系统!8/17/202018信息系统安全保障模型Pt代表防护时间;或者理解为入侵者攻击安全目标所花费的时间。Dt代表从入侵者开始发动入侵开始,系统能够检测到入侵行为所花费的时间。Rt代表从发现入侵行为开始,系统能够做出足够的响应。公式:PtDt+Rt。重点:防护时间大于检测时间加上响应时间,那么系统是安全的。P2DR模型8/17/202019信息系统安全保障模型实时监测安全策略安全防护应急响应灾难恢复风险评估P2DR3模型8/17/202020信息系统安全保障模型要素之一安全策略•根据风险评估的结果来设计系统安全的整体保障方案•按照等级保护的要求,确定系统的防护等级•根据信息安全保障强度,合理划分网络与系统中不同的信息安全域•按照分级、分域、分层的思想确定相应的防护措施8/17/202021安全策略的重要性ISO9000质量管理ISO27000安全管理8/17/202022安全策略各种细化的安全策略1、身份鉴别策略5、安全管理策略2、访问控制策略6、安全传输策略3、数据加密策略7、备份恢复策略4、安全审计策略等等。。。8/17/202023信息系统安全保障模型要素之二安全防护•在统一的安全策略的指导下,进行有针对性的防护:•使用网闸进行物理隔离•使用防火墙对外部进行访问控制•使用入侵检测分析网内的数据包•使用安全审计监控记录用户的行为操作•采用认证技术对用户进行身份鉴别(PKI)•部署防病毒软件来防范恶意代码的传播•使用漏洞扫描技术对系统进行安全加固•使用防水墙防止内部信息的泄漏•采用防篡改软件保障网页安全•采用容错软件来保障系统的高可用性8/17/202024防火墙防火墙技术的基本功能•控制信息的出入•保护内部网络免遭某些基于路由的攻击•对网络存取和访问进行监控审计•防止内部网络信息的泄漏防火墙技术的其他功能•强化网络安全策略•隐藏内部网络结构细节•保密通信功能8/17/202025身份鉴别身份验证(Identification)是用户向系统出示自己身份证明的过程。口令认证、数字证书认证是比较普遍采用的身份验证方式提供的内容:你有什么?你知道什么?你是什么?•一是只有该主体了解的秘密,如口令、密钥•二是主体携带的物品,如智能卡和令牌卡•三是只有该主体具有的独一无二的特征或能力,如指纹、声音、视网膜或签字等鉴别的方式:口令、数字证书、Keberos、动态密码8/17/202026身份鉴别两种高安全强度的鉴别机制•智能卡:访问不但需要口令,也需要使用物理智能卡。在允许其进入系统之前检查是否允许其访问系统•智能卡大小形如信用卡,一般由微处理器、存储器及输入、输出设施构成。微处理器可计算该卡的一个唯一数(ID)和其它数据的加密形式•为防止智能卡遗失或被窃,许多系统需要卡和身份识别码(PIN)同时使用•生物特征鉴别:利用个人特征进行鉴别,具有很高的安全性。目前已有的设备包括:视网膜扫描仪、声音验证设备、手型识别器8/17/202027安全审计根据审计对象,安全审计可以分成三个层次•网络层安全审计•系统安全审计•信息内容安全审计,属高层审计安全审计的主要功能•通过事后的安全审计来检测和调查安全策略执行的情况以及安全遭到破坏的情况•监督可疑用户,取消可疑用户的权限,调用更强的保护机制,去掉或修复故障网络以及系统的某个或某些失效部件8/17/202028安全审计网络的安全审计•在网络的边界设置信息审计系统,通过对进出网络通信内容的还原、备份与审计,可在一定程度上防止网内机密信息的流出和网外不良信息的流入,并为网上泄密事件的追查提供有力的技术手段•同时根据系统设定的规则,对违规行为进行智能分析和判断并对其采取相应的动作•例如:防火墙、入侵检测的审计功能。8/17/202029安全审计系统的安全审计:主要是利用各种操作系统和应用软件系统的审计功能实现。包括•用户访问时间•操作记录•系统运行信息•资源占用•系统事件8/17/202030安全审计内容的安全审计通过定义的审计规则,如关键字、语句等,对信息的内容进行审核根据审计规则,监视、记录或阻断通信的内容如邮件审查,对所有邮件及附件内容进行控制。8/17/202031PKI公共密钥体系公共密钥基础设施(PublicKeyInfrastructure)•是应用公钥概念和公钥密码技术提供信息安全及信任服务的基础设施利用PKI/CA可以实现•加密传输•数字认证•数字签名•抗抵赖基于非对称算法8/17/202032PKI公共密钥体系功能•认证(鉴别)•我不认识你!--你是谁?•我怎么相信你就是你?--要是别人冒充你怎么办•授权•我能干什么?--我有什么权利?•你能干这个,不能干那个。•保密性•我与你说话时,别人能不能偷听?•完整性•收到的传真不太清楚?•传送过程中别人篡改过没有?•抗抵赖•我收到货后,不想付款,想抵赖,怎么样?•我将钱寄给你后,你不给发货,想抵赖,如何?8/17/202033PKI公共密钥体系数字证书:用户身份的表征•数字证书:内容包括用户的公钥,用户姓名及用户的其他信息•数字证书解决了公钥发放问题,公钥的拥有者是身份的象征,对方可以据此验证身份•CA中心对含有公钥的证书进行数字签名,使证书无法伪造8/17/202034PKI公共密钥体系验证数字证书的合法性证书目录服务B的证书有效性检查数字签名验证8/17/202035防病毒计算机病毒:编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码计算机病毒的特点•影响面广、危害大。•病毒产生速度快(已经出现病毒制造机)•数量巨大(已经达到数万种)•传播速度快(通过Internet)•技术手段越来越先进8/17/202036漏洞扫描漏洞扫描,就是对重要网络信息系统进行检查,发现其中可能被攻击者利用的漏洞。系统安全漏洞扫描是一种事先检查型安全工具扫描设定网络内的服务器、路由器、交换机、防火墙等安全设备的漏洞,并可设定模拟攻击,以测试系统的防御能力从操作系统的角度监视专用主机的整个安全性。如password文件,目录和文件权限,共享文件系统,敏感服务,软件,系统漏洞等8/17/202037信息系统安全保障模型要素之三实时监测•安全防护无法百分之百有效•网络与信息系统架构和应用不断变化•新的技术和威胁不断出现•实时监测和及时整改才能保障防护措施的长期有效•众多“点”上的实时监测信息为“面”上的预警提供信息渠道8/17/202038入侵检测IDS(IntrusionDetectionSystem)就是入侵检测系统,它通过抓取网络上的所有报文,分析处理后,报告异常