第一章信息安全要点解析.pptVIP

版权所有，盗版必纠 1.4 信息的安全威胁 信息系统的安全威胁是永远存在的，下面从信息安全体系的五个层次，来介绍信息安全中的信息的安全威胁。 版权所有，盗版必纠 1.4.1 物理层安全风险分析 信息系统物理层安全风险主要包括以下方面： 地震、水灾、火灾等环境事故造成设备损坏。 电源故障造成设备断电以至操作系统引导失败或数据库信息丢失。 设备被盗、被毁造成数据丢失或信息泄漏。 电磁辐射可能造成数据信息被窃取或偷阅。 监控和报警系统的缺乏或者管理不善可能造成原本可以防止的事故。 版权所有，盗版必纠 1.4.2 网络层安全风险分析 1. 数据传输风险分析 数据在传输过程中，线路搭载，链路窃听可能造成数据被截获、窃听、篡改和破坏，数据的机密性、完整性无法保证。 2. 网络边界风险分析 如果在网络边界上没有强有力的控制，则其外部黑客就可以随意出入企业总部及各个分支机构的网络系统，从而获取各种数据和信息，那么，泄露问题就无法避免。 3. 网络服务风险分析 一些信息平台运行Web服务、数据库服务等，如不加防范，各种网络攻击可能对业务系统服务造成干扰、破坏，如最常见的拒绝服务攻击DoS，DDoS。 版权所有，盗版必纠 1.4.3 操作系统层安全风险分析 系统安全通常指操作系统的安全，操作系统的安装以正常工作为目标，在通常的参数、服务配置中，缺省地开放的端口中，存在很大安全隐患和风险。 而操作系统在设计和实现方面本身存在一定的安全隐患，无论是Windows还是UNIX操作系统，不能排除开发商留有后门（Back-Door）。 ?Back-Door的原因：1，开发商刻意；2，程序Bug 系统层的安全同时还包括数据库系统以及相关商用产品的安全漏洞。(SQL Server 的SP4补丁) 病毒也是系统安全的主要威胁，病毒大多利用了操作系统本身的漏洞，通过网络迅速传播。 版权所有，盗版必纠 1.4.4 应用层安全风险分析 1. 业务服务安全风险 2. 数据库服务器的安全风险 ?非授权的用户访问或口令猜测获取管理员权限 ?数据库服务器本身存在的漏洞(SP4补丁) ?假冒合法用户非法访问 3. 信息系统访问控制风险(权限管理) ?非法用户非法访问 ?合法用户非授权访问 ?假冒合法用户非法访问 版权所有，盗版必纠 1.4.5 管理层安全风险分析 管理层安全是网络中安全得到保证的重要组成部分，是防止来自内部网络入侵必须的部分。 ?责权不明 ?管理混乱 ?安全管理制度不健全 ?缺乏可操作性 信息系统无论从数据的安全性，业务服务的保障性和系统维护的规范性等角度，需要严格的安全管理制度，从业务服务的运营维护和更新升级等层面加强安全管理能力。 版权所有，盗版必纠 1.5 信息安全的需求与实现 1.5.1 信息安全的需求 信息安全研究涵盖多样内容： ?网络自身的可用性 ?网络的运营安全 ?信息传递的机密性 ?有害信息传播控制等问题。 然而通信参与的不同实体对网络安全关心的内容不同，对网络与信息安全又有不同的需求。 版权所有，盗版必纠 1.5.1 信息安全的需求 国家对网络与信息安全的需求 ?可靠性和生存性要求 ?合法的信息监听 ?必要的法律法规 ?可知性要求(信息筛选) 1.5.1 信息安全的需求 用户(企业用户，个人用户)对网络与信息安全需求 ?通信内容机密性要求 ?用户信息隐身性要求 ?网络与应用系统可信任要求 ?网络与应用系统可用性要求 1.5.1 信息安全的需求 运营商（ISP、ICP等）对网络与信息安全需求 (中国移动，中国联通，中国电信，中国网通) ?满足国家安全需求 ?满足用户安全需求 ?网络和应用系统可管理和可运营需求 其他实体对网络与信息安全的需求 版权所有，盗版必纠 1.5.2 信息安全的实现 信息安全的实现需要有一定的信息安全策略，它是指为保证提供一定级别的安全保护所必须遵守的规则。实现信息安全，不但靠先进的技术，而且也得靠严格的安全管理，法律约束和安全教育。 ?先进的信息安全技术是网络安全的根本保证。 ?严格的安全管理。 ?制订严格的法律、法规。 版权所有，盗版必纠 1.6 信息安全发展过程 信息安全自古以来就是受到人们关注的问题，但在不同的发展时期，信息安全的侧重点和控制方式是有所不同的。大致说来，信息安全在其发展过程中经历了三个阶段： 第一阶段：通信安全COMSEC 20 世纪初期，通信技术还不发达，面对电话、电报、传真等信息交换过程中存在的安全问题，