01第一节 信息安全概述.ppt

信息安全个人防护 主讲:梁晓琦 系统的安全漏洞 软件总是存在bug，系统管理员和开发人员永远无法发现和解决所有的可能漏洞，侵入者只要发现一个漏洞就可以入侵系统。 口令解密 真正脆弱的口令 字典攻击：字典攻击可以利用重复的登陆或者收集加密的口令并且试图同加密后的字典中单词匹配。 强力攻击(Brute force attacks): 同字典攻击类似，侵入者可能尝试所有的字符组合方式。 人的因素 人为的无意过失 人为的恶意攻击 管理上的因素 系统配置 缺省配置：许多系统交付给客户的时候采用的缺省的易用的配置。 懒惰的系统管理员：惊人的数字的主机被配置成没有系统管理员口令。 生成的漏洞：事实上所有的程序可能被配置成一个非安全的模式。 信任的关系：侵入者常用“跳板”的方法利用信任关系攻击网络。一个互相信任主机的网络和他们最脆弱的环节一样安全。 网络安全工作的目的 信息安全技术体系架构 物理安全技术 环境安全技术 设备安全技术 基础安全技术 基础安全技术并不能简单地归入上述的任何一个层次，而是信息系统的各个层次都会用到的。如： 密码技术 PKI技术 系统安全技术 操作系统的安全 操作系统的自身安全，即遵循什么样的原则构建操作系统才是安全的，包括硬件安全机制和软件安全机制 操作系统提供给用户和上层应用的安全措施 数据库的安全 OS层 DBMS内核层 DBMS外层 网络安全技术 应用层 表示层 会晤层 传输层 网络层 数据链路层 物理层 应用层 表示层 会晤层 传输层 网络层 数据链路层 物理层 网络层攻击 数据链路攻击 应用层攻击 SET SSL IPSEC-VPN/防火墙 VLAN，L2TP 信道加密 安全协议 应用安全技术 应用安全技术，是指以保护特定应用为目的的安全技术，如反垃圾邮件技术、网页防篡改技术、内容过滤技术等。 信息安全层次模型 数据安全层 加密 访问 控制 授权 应用安全层 用户安全层 用户/组 管理 单机登录 身份认证 系统安全层 反病毒 审计 分析 入侵检测 风险评估 通信安全 防火墙 网络安全层 入侵、病毒检测 安全通信 访问控制 身份验证 信息安全技术体系架构 密码算法 信息安全系统实施方案 信息安全管理 组织建立、实施与保持信息安全管理体系的意义 1、强化员工的信息安全意识； 2、规范组织信息安全行为； 3、对组织的关键信息资产进行全面系统的保护 4、维持竞争优势； 5、在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度； 信息安全管理的标准演变 BS7799 BS7799-1：1999《信息安全管理实施细则》 ISO/IEC 17799：2000 ISO/IEC 17799： 准ISO/IEC 27001：2005 信息安全法律法规 1988 年，《中华人民共和国保守国家秘密法》 1993 年，《中华人民共和国国家安全法》 1994 年，《中华人民共和国计算机信息系统安全保护条例》 1996 年，《中华人民共和国计算机信息网络国际联网管理暂行规定》 1999 年，《商用密码管理条例》 2000 年，《计算机病毒防治管理办法》 2000 年，《全国人民代表大会常务委员会关于维护互联网安全的决定》 2000 年，《计算机信息系统国际联网保密管理规定》 2003 年，《国家信息化领导小组关于加强信息安全保障工作的意见》 2004 年，《电子签名法》 个人防护 ——形成良好的习惯 日常维护的注意事项 自己的文件数据不要存放在系统盘上 保证你的操作系统是最新的 保持你的杀毒软件是最新的 备份自己的重要文件 避免你的IE 浏览器被更改 谨防“网络钓鱼”欺骗——网络钓鱼的常见手段 1、通过电子邮件，以虚假信息引诱用户中圈套 2、建立假冒网上银行、网上证券网站，骗取用户帐号密码 3、利用虚假的电子商务进行诈骗 4、利用木马和黑客技术等手段窃取用户信息 5、利用用户弱口令等漏洞破解、猜测用户帐号和密码不法分子利用部分用户贪图方便设置弱口令的漏洞 “网络钓鱼”防范措施 ——针对电子邮件欺诈 伪造发件人信息； 邮件内容多为传递紧迫的信息； 索取个人信息，要求用户提供密码、帐号等信息。还有一类邮件是以超低价或海关查没品等为诱饵诱骗消费者。 “网络钓鱼”防范措施 ——针对假冒网上银行、网上证券网站的欺诈 核对网址，看是否与真正网址一致； 选妥和保管好密码； 做好交易记录，对网上银行、网上证券等平台办理的转账和支付等业务做好记录，定期查看“历史交易明细”和打印业务对账单，如发现异常交易或差错，立即与有关单位联系； 管好数字证书，避免在公用的计算机上使用网上交易系统； 对异常动态提高警惕，如不小心在陌生的网址上输入了账户和密码，并