信息系统安全概述.pdf

信息系统安全 信息系统安全 李文婧 在线交易系统安全成为黑客攻击“重灾区” 。《经济 参考报》记者日前从2014 中国计算机网络安全年 会上获悉，2013年银行、证券等行业联网信息系 统的安全漏洞、网站后门、网页篡改等各类安全 事件超过500起，存在交易信息被篡改、投资信息 被泄露等诸多高危风险。 与此同时，地方政府网站也正面临安全考 验。据国家互联网应急中心监测发现，2013年， 我国境内被篡改网站数量为24034个，其中政府 网站被篡改数量为2430个；我国境内被植入后门 的网站数量为76160个，其中政府网站2425个。 网络支付成黑客攻击“重灾区” 事件简介编辑 英国《卫报》和美国《华盛顿邮报》2013年6月6 日报道，美国国家安全局 （NSA）和联邦调查局 （FBI）于2007年启动了一个代号为“棱镜”的秘 密监控项目[1] ，直接进入美国网际网路公司的中 心服务器里挖掘数据、收集情报，包括微软、雅 虎、谷歌、苹果等在内的9家国际网络巨头皆参 与其中。[2] 第一章 信息系统安全概述 第一章 信息系统安全概述  主要内容 1.信息系统安全的发展 2.需求的来源与问题的困境 3.信息系统安全的基本概念 4.信息系统安全体系  信息系统安全的发展 1.单机单用户 一台机器-一个用户-一个进程  这样的计算机存在什么安全问题？ 安全简介 安全简介  计算机安全问题不存在  只有物理安全问题  计算机体积巨大  物理保护，偷盗，破坏，电磁干扰  考虑不同进程的保护，防止进程出错 2.单机多用户（1960-1980） 一台机——多用户 共用操作系统，共用CPU 思考存在哪些安全问题？  偷看、篡改、复制  主要由操作系统保护数据  信息安全=计算机安全  家用个人计算机 3.多机多用户（1980~至今） 网络的快速发展，内容扩充 安全隐患有哪些？ 信息安全 信息系统安全 组织安全 业务安全 由技术问题上升为管理问题  2013年国内外重大互联网安全事件盘点  根据信息系统要满足的安全目标而来的  安全目标由机构和业务的管理目标而来的  思考：  企业的电子商务系统和国家部门的电子政务系 统之间安全需求有哪些区别？  业务处理系统和数据存储系统在安全需求上 有哪些区别？ 信息系统安全需求的来源 信息系统安全需求的来源  信息安全理论研究涉及：机密性，完整性，真实 性，抵抗抵赖性等基本属性。  安全需求分类，分析等等  思考，安全需求分析面临的问题有哪些，难点在 哪里？  企业体系结构（Enterprise Architecture）  解决理解机构的业务目标、信息需求、技术环境 现状、解决方案等信息。 EA EA 监听和篡改  现代网络开放，缺少集中管理  传输协议开放，网络媒质物理开放  不同机器不同管理，安全机制不同无法保证信任 关系 信息系统安全问题的困境（分布式） 信息系统安全问题的困境（分布式） 假冒身份和擅自泄露信息  在用户身份假冒攻击中，攻击者与受害者有两种简单的关系：熟知和 不知。熟知关系的攻击者可以轻易的盗取受害者的登录凭证(如：卡 号、密码、USBKEY等)，从而假冒受害者身份进行网上银行操作;不 知关系的攻击者要进行攻击需要一定的攻击场景，如：处于同一个局 域网环境，包括办公局域网、公共WIFI网络等，攻击者利用ARP或 代理拦截等技术攻击获取用户登录凭证，假冒受害者身份进行网上银 行操作  2012年5月，1号店90万用户信息被500元叫卖。有媒体 从90万全字段的用户信息资料上进行了用户信息验证， 结果表明大部分用户数据属真实信息。个人信息的泄露将 会导致诈骗、勒索甚至威胁人身安全的事件发生频率增 高，让人心悸  程序模块运行在不同机器上，信息必须在开放网 络间传输 网上银行 客户操作 PC 业务操作 银行 数据存储 服务器  系统资源由特定的服务器管理 