信息安全概述形象面向非技术.pptVIP

信息安全概述 安氏中国网络安全专题 安全工作的两个方面 面向数据和信息的安全 面向访问（人）的安全 二、信息安全问题和威胁 安全事件及分析 安全问题及分析 安全威胁及分析 国内外安全事件实例（1） 2000年春节期间，以Yahoo等为代表的美国众多著名网站遭到黑客攻击 随之而来的席卷全球的大范围黑客攻击事件 我国的一些网站也未能幸免 国内外安全事件实例（2） 国际上，经常遭到攻击的站点 美国航空航天总署(NASA) 美国白宫 美国国防部五角大楼 北约 各种政府网站等 国内外安全事件实例（3） 国内一些典型黑客事件 1998年10月26日和12月1日，天津科技网主页，先后两次受到同一群黑客的攻击。 江西、重庆、贵州169(Web主页更改) 我国人权主页被黑客更改 国务院新闻办(遭到黑客组织“地下兵团”攻击) 国内外安全事件实例（4） 美国轰炸中国大使馆期间 海峡两岸黑客之间互相攻击 黑客对日本政府等站点的攻击 安全事件动机分析 自我表现 经济利益驱动 政治动机（个体） 信息犯罪的损失分析 花旗银行 ($14 Million) NASA (喷汽推进技术) Intel (Pentium 设计) 工商银行扬州案件涉案金额超过￥100万 中行某行案件涉案金额超过￥4000万 山东某银行案件涉案金额超过￥1亿 Yahoo等站点被攻击后损失超过10亿美金 国内外典型调查（1） Computer Security Institute分析收集的1000余个攻击实例发现 由于窃取研究成果造成的损失在$25 million-$50 million 72% 的受攻击者承受了损失，只有16%的人报告了他们的损失数量。总损失在$136 million 攻击主要来源 内部攻击 外部黑客 竞争对手 只有 17% 的攻击行为被报告给警方，超过80%由于公司形象问题没有报告 根据CSI和FBI的调查，计算机网络攻击事件的年增长率为22% 国内外典型调查（2） 根据中国人民银行保卫局统计 从1995年到1998年，银行系统计算机犯罪案件数目以平均每年38%的速度增长 根据公安部统计 目前我国计算机犯罪案件的增长率大于25% 信息犯罪手法分析 释放病毒 1998年计算机病毒感染事件比1997年增加1倍。 宏病毒入侵占60%，其种类有1300多种，而1996年只有40种 工商银行扬州案件（环境攻击和线路截获） 某银行站点（纯互联网攻击） 手机病毒的传言（移动通信技术和网络技术结合） 借助网络实施其它犯罪 网上敲诈达6亿美元 网上赌博达百亿美元 网上洗钱达千亿美元 信息安全威胁及分析 信息安全事件的模式 成为黑客的条件越来越简单 大量公开的黑客站点 www.1 www.r /warez.html www.m /home/claw/hackers.html www.g /~jester/court.html www.r www.2 .com www.f t/phrack.html 黑客技术越来越简单 获得黑客工具非常容易 SATAN IP Watcher Crack ANV (R) CRACKer 2.0 ZIP ZipCrack V1.0 Zip Microsoft Word Unprotect V1.2 Trinoo TFN “安全”（security）的独特内涵 “防范潜在的危机” “安全”与“性能”的对比 性能 容易量化 可以评价为：低、较低、较高、高 …… 看得见 信息安全的相对性 安全没有100% 安全只能将风险降到最低 脆弱性分布分析 环境脆弱性 协议脆弱性 网络脆弱性 操作系统脆弱性 数据库系统脆弱性 应用系统脆弱性 人员及管理脆弱性 常见的攻击手段 环境攻击 物理攻击, 实体攻击 系统攻击 试探攻击（侦察） 入侵攻击 拒绝服务攻击（DoS: Denial-of-Service） 信息安全概述 一、信息安全概念 二、信息安全问题和威胁 三、信息安全的特性 四、如何实现信息系统安全 三、信息安全的特性 三、信息安全的特性 潜在性 相对性 层次性 分布性 功能分散性和组合性 时效性/时代性 多样性/复杂性 管理特性 安全 很难量化 只有两个结果“出事”和“不出事” 容易被忽视 * * 信息安全概述 一、信息安全概念 二、信息安全问题和威胁 三、信息安全的特性 四、如何实现信息系统安全 一、信息安全概念 什么是“信息安全” ? 一、信息安全概念 信息安全的目标 信息系统中数据与信息的安全与保密 信息系统自身的安全 信息安全的目标 内容的安全 载体的安全 信息安全的三个方面(BS7799) 机密性（保密性） 完整性（一致性） 可用性（服务连续性） 信息安全的经典定义 不同行业、不同用户会有不同的侧