技术分享-信息安全分解.pptx

主题列表 信息安全基本概念 安全的定义 安全的边界 安全的服务 ISO27001安全标准 团队安全建设方向 1 安全基本概念 安全基本概念－三要素 1. 信息与安全框架（Archi Frame） 行为主体 1）用户 2）黑客 行为载体 1）系统 2）设备 行为对象 1）数据文件 2）图文声像 人 计算机 信息 安全三要素 安全基本概念－定义 ISO的定义 为进行数据处理而建立和采取的技术和管理保护措施，以保护计算机硬件、软件、数据不因偶然的和恶意的原因而遭受破坏、篡改和泄露。 安全基本概念－绝对安全 绝对安全？ 安全基本概念－有限安全 无穷域中给出一个限定解问题 安全是需要根据具体的应用、具体的需求、具体的客户、具体的实现能力，进行实施的 没有完美的安全，但要做到“最安全” 安全是手段，管理是根本 1分技术，9分管理 安全基本概念－策略 发现：掌握信息安全风险状态和分布情况的变化规律，提出安全需求，建立起具有自适应能力的信息安全模型，从而驾驭风险，使信息安全风险被控制在可接受的最小限度内，并渐近于零风险。 实施：安全与实现的方便性是矛盾的对立。必须牺牲方便性求得安全，我们必须在这两者之间找出平衡点，在可接受的安全状况下，尽力方便用户的使用。 安全基本概念－安全屏障 安全基本概念－技术体系ISO 7498-2 安全基本概念－整体安全机制 技术体系 1）物理安全技术。信息系统的建筑物、机房条件及硬件设备条件满足信息系统的机械防护安全；通过对电力供应设备以及信息系统组件的抗电磁干扰和电磁泄露性能的选择性措施达到相应的安全目的。物理安全技术运用于物理保障环境(含系统组件的物理环境)。 2）系统安全技术。通过对信息系统与安全相关组件的操作系统的安全性选择措施或自主控制，使信息系统安全组件的软件工作平台达到相应的安全等级，一方面避免操作平台自身的脆弱性和漏洞引发的风险，另一方面阻塞任何形式的非授权行为对信息系统安全组件的入侵或接管系统管理权。 安全基本概念－整体安全机制1 安全基本概念－整体安全机制2 组织机构体系 组织机构体系是信息系统安全的组织保障系统，由机构、岗位和人事三个模块构成一个体系。 机构的设置分为三个层次：决策层、管理层和执行层 岗位是信息系统安全管理机关根据系统安全需要设定的负责某一个或某几个安全事务的职位 人事机构是根据管理机构设定的岗位，对岗位上在职、待职和离职的雇员进行素质教育、业绩考核和安全监管的机构。 安全基本概念－整体安全机制3 管理体系 管理是信息系统安全的灵魂。信息系统安全的管理体系由法律管理、制度管理和培训管理三个部分组成。 1分技术，9分管理 1）法律管理是根据相关的国家法律、法规对信息系统主体及其与外界关联行为的规范和约束。 2）制度管理是信息系统内部依据系统必要的国家、团体的安全需求制定的一系列内部规章制度。 3）培训管理是确保信息系统安全的前提。 安全基本概念－安全技术层次 安全防范技术体系划分为物理层安全、系统层安全、网络层安全、应用层安全和管理层安全等五个层次 物理安全技术（物理层安全）。该层次的安全包括通信线路的安全、物理设备的安全、机房的安全等。 系统安全技术（操作系统的安全性）。该层次的安全问题来自网络内使用的操作系统的安全比如，缺陷，配置问题，病毒 网络安全技术（网络层安全）。包括网络层身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入的安全、域名系统的安全、路由系统的安全、入侵检测的手段、网络设施防病毒等。 应用安全技术（应用层安全）。主要由提供服务所采用的应用软件和数据的安全性产生，包括Web服务、电子邮件系统、DNS等。此外，还包括病毒对系统的威胁。 管理安全性（管理层安全）。技术，设备和人员的安全管理制度、部门与人员的组织规则等。 4.1 系统安全－常用安全技术1 防火墙，入侵检测和防御(IDS IPS)，VPN 4.1 系统安全－常用安全技术2 渗透性测试:评估整体系统的安全和漏洞。通常有第三方公司用自主或者开源检查工具，对整个系统做安全扫描，找出漏洞。也有一些非法分子通过这个渠道勒索企业。工具如：Nessus，第三方公司如：绿盟，360 反病毒软件: 客户端如：卡巴斯基，服务的如：ClamAV 4.1 系统安全－常用安全技术3 身份认证:电子证书，签名，u盾等 通信安全:HTTPS/ECDHE_RSA／PFS／HSTS 4.1 系统安全－常用安全技术4 帐户与登录口令控制 PBKDF2加密口令 基于服务的访问控制技术 JWT/RBAC 双通道一次性口令 SMS短信 复杂的验证码 12306 用户恶意行为分析 自建恶意行为规则 其他 2