信息安全概述

信息安全概述什么是信息？香农：信息是用来消除不确定性的东西钟义信：信息是事物运动的状态及其变化方式什么是信息安全？ISO：在技术上和管理上为数据处理系统建立的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露信息安全基本属性机密性信息的授权访问完整性信息不能丢失、错误、篡改可用性授权用户在需要时访问性保障不可否认性原发不可否认和接受不可否认可控性用户使用信息资源的方式可控信息安全主要内容•实体安全•运行安全•数据安全•管理安全信息安全人员安全物理安全事件管理安全策略法律合规开发安全安全组织资产管理业务连续网络安全访问控制信息安全体系系统安全OSI安全管理安全机制安全服务物理安全运行环境及系统安全技术OSI安全技术技术机制入侵监控安全策略与服务状态检测密钥管理审计技术管理机构岗位人事制度培训法律技术体系组织机构体系管理体系信息安全体系框架IT工具网络环境信息安全威胁网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道蠕虫信息安全威胁因素天灾人祸自身缺陷（脆弱性）信息安全技术体系安全管理技术安全集成技术防病毒技术防火墙技术VPN技术入侵检测技术安全评估技术审计分析技术主机安全技术身份认证技术访问控制技术密码技术备份与恢复技术IT工具信息安全产品网络安全隐患扫描检测工具网络安全监控及预警设备网络信息远程监控系统审计与网情分析系统安全操作系统安全数据库系统防火墙与系统隔离产品安全路由器与虚拟专用网络产品网络病毒检查预防和清除产品数字证书管理系统用户安全认证卡智能IC卡鉴别与授权服务器密码加密产品密钥管理产品高性能加密芯片产品数字签名产品信息安全产品类型信息保密产品用户授权认证产品安全平台/系统网络安全检测与监控产品绝对的安全是不存在的•绝对的零风险是不存在的，要想实现零风险，也是不现实的；•计算机系统的安全性越高，其可用性越低，需要付出的成本也就越大，一般来说，需要在安全性和可用性，以及安全性和成本投入之间做一种平衡。在计算机安全领域有一句名言：“真正安全的计算机是拔下网线，断掉电源，放置在地下掩体的保险柜中，并在掩体内充满毒气，在掩体外安排士兵守卫。”显然，这样的计算机是无法使用的。安全是一种平衡安全控制的成本安全事件的损失最小化的总成本低高高安全成本/损失所提供的安全水平关键是实现成本利益的平衡安全是不断改善的过程人员策略技术响应R恢复R保护P预警W检测D反击C信息安全等级保护•第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益•第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全•第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害•第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害•第五级，信息系统受到破坏后，会对国家安全造成特别严重损害计算机信息系统安全保护等级划分准则（GB17859-1999）•第一级：用户自主保护级•第二级：系统审计保护级•第三级：安全标记保护级•第四级：结构化保护级•第五级：访问验证保护级信息窃取信息冒充信息篡改信息抵赖加密技术：RC4、3DES、AES完整性技术：MD5、SHA1认证技术：数字证书、PKI数字签名:RSA、ECC信息安全核心——密码技术IT工具信息系统与信息安全物理安全网络安全服务器硬件安全系统安全数据库安全中间件、应用服务安全信息系统安全IT工具信息系统是信息的承载者信息系统安全保障了信息安全信息系统是信息安全技术的对象、手段物理安全、网络安全、系统安全、应用安全、终端安全信息系统与信息安全典型信息系统构架国标：GB/T21052-2007信息系统物理安全技术要求安防、消防、防水、防震防雷供电、温度、湿度防鼠……运行环境安全IT工具ARP欺骗、ARP攻击私设DHCP服务器VPN防火墙（FireWall）入侵检测（IDS）、入侵防御（IPS）上网认证/日志上网行为审计网络安全虚拟的网：即没有固定的物理连接，网络只有用户需要时才建立；利用公众网络设施构成。网络安全——VPN公司总部办事处/SOHO公共网络VPN通道VPN设备VPN设备VPN设备网络安全——防火墙IInntteerrnneett信任网络防火墙非信任网络防火墙是用于将信任网络与非信任网络隔离的一种技术，它通过单一集中的安全检查点，强制实施相应的安全策略进行检查，防止对重要信息资源进行非法存取和访问，以达到保护系统安全的目的。网络安全——防火墙基本功能数据包过滤网络地址转换应用级代理虚拟专用网状态检测网络安全——防火墙不足不能防范不通过防火墙的连接防火墙防外不防内配置复杂，容易造成安全漏洞无法防范病毒，抵御数据驱动式攻击不能防止利用网络协议缺陷、系统漏洞进行的攻击自身安全漏洞的威胁入侵检测与安全审计通过网络、系统中若干关键点收集信息利用特征识别、模式匹配、统计分析、数据挖掘等手段进行分析，检测异常、误用发现网络或系统中有违反安全策略的行为和被攻击的迹象并记录、报警对历史数据进行分析、处理、追踪，调整安全政策，堵住出现的漏洞服务器硬件安全威胁：硬件故障措施：冗余ECC内存冗余电源网卡、HBA卡…冗余磁盘阵列（RAID）双机冷备、双机热备存储虚拟化、服务器虚拟化IT工具威胁系统漏洞黑客攻击：端口扫描、DDOS、IP欺骗……计算机病毒配置错误措施打补丁（ServicePack）主机防护软件（防火墙、IDS、文件…）安全配置服务器操作系统安全IT工具威胁系统漏洞（BUG）黑客攻击：SQL注入、权限提升、数据篡改……配置错误措施打补丁数据库防护审计系统安全配置数据库安全威胁系统漏洞黑客攻击：权限提升、跨站攻击、数据篡改……配置错误措施打补丁应用防护系统安全配置应用服务安全最少服务+最小权限=最大安全安全配置一般原则取消不必要用户关闭不必要服务关闭不必要端口只安装必需的软件只进行必要的操作开启安全审计日志信息安全的救命稻草——备份与恢复备份备份再备份为什么Web攻击众多？•Web应用系统与客户端间的交互逻辑越来越复杂–为满足web应用交互，大量使用了Cookie、JavaScript、Activex、iFrame等各类小程序或交互技术，带来安全隐患–Web交互对象、对象中的参数、参数中的合法值越来越复杂，缺乏有效验证机制，或有一定的验证，但不全面，很容易被绕过–交互式提交表单页面，易遭受表单滥用–因交互逻辑太复杂，整改代码变得较难实施或者需要较长时间的整改期•频繁变动以满足业务发展的需要，增加引入漏洞的概率•往往是某个机构独有的业务应用，没有通用补丁可用•攻击工具的广泛传播–大量简单易用的攻击工具通过网络快速传播现有Web安全架构的缺陷？网页防篡改IDS/IPS防火墙75%的攻击，现有投资无法解决！适合静态网页，无法恢复动态网页事后恢复没有解决问题，网站可能再次被黑如果被篡改页面已经传播出去，则无法修复影响无法满足合规性检查要求特征库保护操作系统、数据库、IIS、Apache等通用服务器但Web网站是自己编写的，其漏洞没有相应特征码可以识别无法防御通过80端口的HTTP攻击75%的攻击特征：通过80端口、无特征码、攻击动态网页事后恢复没有解决问题，需要进行事前保护Web应用防火墙——WAF防御网页篡改防止网站挂马合规性检查保护Web服务器内置防病毒网关网站运维平台易部署信息安全不止是产品、技术：三分技术、七分管理绝对的安全是不存在的备份很重要安全是一种平衡安全是不断改善的过程信息安全体系——意识谢谢！