信息安全概述 - 教育技术与网络中心 —— 昆明理工 .ppt

威胁 系统漏洞 黑客攻击：权限提升、跨站攻击、数据篡改…… 配置错误 措施 打补丁 应用防护系统 安全配置 应用服务安全 最少服务+最小权限=最大安全 安全配置一般原则 取消不必要用户 关闭不必要服务 关闭不必要端口 只安装必需的软件 只进行必要的操作 开启安全审计日志 信息安全的救命稻草——备份与恢复 备份 备份 再备份 为什么Web攻击众多？ Web应用系统与客户端间的交互逻辑越来越复杂 为满足web应用交互，大量使用了Cookie、JavaScript、Activex、iFrame等各类小程序或交互技术，带来安全隐患 Web交互对象、对象中的参数、参数中的合法值越来越复杂，缺乏有效验证机制，或有一定的验证，但不全面，很容易被绕过 交互式提交表单页面，易遭受表单滥用 因交互逻辑太复杂，整改代码变得较难实施或者需要较长时间的整改期 频繁变动以满足业务发展的需要，增加引入漏洞的概率 往往是某个机构独有的业务应用，没有通用补丁可用 攻击工具的广泛传播 大量简单易用的攻击工具通过网络快速传播 现有Web安全架构的缺陷 ？ 网页防篡改 IDS/IPS 防火墙 75%的攻击，现有投资无法解决！ 适合静态网页，无法恢复动态网页 事后恢复没有解决问题，网站可能再次被黑 如果被篡改页面已经传播出去，则无法修复影响 无法满足合规性检查要求 特征库保护操作系统、数据库、IIS、Apache等通用服务器 但Web网站是自己编写的，其漏洞没有相应特征码可以识别 无法防御通过80端口的HTTP攻击 75%的攻击特征：通过80端口、无特征码、攻击动态网页 事后恢复没有解决问题，需要进行事前保护 Web应用防火墙——WAF 防御网页篡改 防止网站挂马 合规性检查 保护Web服务器 内置防病毒网关 网站运维平台 易部署 信息安全不止是产品、技术：三分技术、七分管理 绝对的安全是不存在的 备份很重要 安全是一种平衡 安全是不断改善的过程 信息安全体系——意识 谢 谢！ * 信息安全概述 什么是信息？ 什么是信息安全？ 信息安全基本属性 机密性 信息的授权访问 完整性 信息不能丢失、错误、篡改 可用性 授权用户在需要时访问性保障 不可否认性 原发不可否认和接受不可否认 可控性 用户使用信息资源的方式可控 信息安全主要内容 实体安全 运行安全 数据安全 管理安全 信息安全 人员安全 物理安全 事件管理 安全策略 法律合规 开发安全 安全组织 资产管理 业务连续 网络安全 访问控制 信息安全体系 IT工具 网络环境信息安全威胁 网络 内部、外部泄密 拒绝服务攻击 逻辑炸弹 特洛伊木马 黑客攻击 计算机病毒 信息丢失、篡改、销毁 后门、隐蔽通道 蠕虫 信息安全威胁因素 天灾 人祸 自身缺陷（脆弱性） 信息安全技术体系 安全管理技术 安全集成技术 防 病 毒 技 术 防 火 墙 技 术 V P N 技 术 入 侵 检 测 技 术 安 全 评 估 技 术 审 计 分析 技 术 主 机 安 全 技 术 身 份 认 证 技 术 访 问 控 制 技 术 密 码 技 术 备 份 与 恢 复 技 术 IT工具 信息安全产品 绝对的安全是不存在的 绝对的零风险是不存在的，要想实现零风险，也是不现实的； 计算机系统的安全性越高，其可用性越低，需要付出的成本也就越大，一般来说，需要在安全性和可用性，以及安全性和成本投入之间做一种平衡。 在计算机安全领域有一句名言：“真正安全的计算机是拔下网线，断掉电源，放置在地下掩体的保险柜中，并在掩体内充满毒气，在掩体外安排士兵守卫。” 显然，这样的计算机是无法使用的。 安全是一种平衡 安全控制的成本 安全事件的损失 最小化的总成本 低 高 高 安全成本/损失 所提供的安全水平 关键是实现成本利益的平衡 安全是不断改善的过程 人员 策略 技术 响应R 恢复R 保护P 预警W 检测D 反击C 信息安全等级保护 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害 计算机信息系统安全保护等级划分准则 （GB 17859-1999） 第一级：用户自主保护级 第二级：系统审计保护级 第三级：安全标记保护级 第四级：结构化保护级 第五级：访问验证保护级 信息窃取