网络信息安全课件.pptxVIP

Network information secur网络信息安全共建网络安全 · 共建文明网络讲述人：目录35124网络攻击技术什么是网络安全网络安全威胁网络防护技术网络安全管理什么是网络安全为什么需要安全因特网VPN网便携机数据网视频网WEB服务器VOIP语音网互联网日常生活中的信息化计算机电子邮件银行业务VPN网网络生活办公工作中的信息化电子商务电子政务政府间的电子政务网上交易政府对企业的电子政务 网上售前售后服务政府对公民的电子政务对信息技术的极度依赖因特网本身的不安全安全各种威胁的存在不能接受的损失安全的定义 为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。Pay attention to network security安全的基本原则可用性完整性机密性确保授权用户在需要时可以访问信息并使用相关信息资产 保护信息和信息的处理方法准确而完整 确保只有经过授权的人才能访问信息 安全的基本原则可用性完整性机密性你肯定希望自己随时都能随心所欲的用这笔钱 你不希望突然有一天发现自己的钱少了，原来有多少钱现在还是多少钱 你的钱你不希望别人知道，因为那是你的 网络安全威胁安全威胁的定义有意/无意安全威胁是一种对系统、组织及其资产构成潜在破坏能力的可能性因素或者事件。安全威胁是提出安全需求的重要依据。安全威胁间接/直接安全威胁的定义环境因素意外事故或故障外部人员攻击第三方无恶意内部人员恶意内部人员外部人员利用计算机系统的脆弱性，对网络和系统的机密性、完整性和可用性进行破坏，以获取利益或炫耀能力。由于缺乏责任心，或者由于不关心和不专注，或者没有遵循规章制度和操作流程而导致计算机系统威胁的内部人员；由于缺乏培训，专业技能不足，不具备岗位技能要求而导致计算机系统威胁的内部人员。由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境条件和自然灾害；意外事故或由于软件、硬件、数据、通讯线路方面的故障。第三方合作伙伴和供应商，包括电信、移动、证券、税务等业务合作伙伴以及软件开发合作伙伴、系统集成商、服务商和产品供应商；包括第三方恶意的和无恶意的行为。不满的或有预谋的内部人员对计算机系统进行恶意破坏；采用自主的或内外勾结的方式盗窃机密信息或进行篡改，获取利益。信息安全面临的威胁类型后门、隐蔽通道黑客攻击计算机病毒特洛伊木马拒绝服务攻击内部、外部泄密逻辑炸弹蠕虫信息丢失、篡改、销毁安全威胁举例 – 钓鱼网站““钓鱼欺骗事件频频发生，给电子商务和网上银行蒙上阴影把机密数据（如财务数据）带回家办公任意将自己笔记本电脑带入公司使用用户名密码过于简单薄弱没有及时更新安全补丁打开可疑的邮件和可疑的网站没有安装杀毒软件或者没有及时升级病毒库代码随便把自己的用户名密码告诉他人……网络安全管理“安全”与“性能”的对比性能安全很难量化容易量化只有两个结果“出事”和“不出事”可以评价为：低、较低、较高、高 …看得见容易被忽视原先关注信息安全本身，关注出了事故，以后不要出事故…业务信息安全关注的是对信息系统的保障，对于信息数据的保护应该运用管理的、物理的和技术的控制手段来实施信息安全体系建设。技术控制物理控制管理控制风险管理、策略、标准规程、方针屏被人员、安全意识培训；公司数据和资产逻辑访问控制加密、鉴别认证、安全设备等；设备保护、安全防护、锁定、监控环境控制；安全策略是安全防护体系的基础保家卫国,人人有责我国有完善的法律法规,公民需要遵守国家相关的法律、法规来保证社会秩序的安定和平。人是安全防护体系中最薄弱的环节;加强员工安全教育、提高网络安全意识;法律法规 = 安全策略 国家 = 公司 风险管理识别、评估风险，并将这风险减少到一个可以接受的程度，并实行正确的机制以保持这种程度的风险的过程;安全没有百分之百 No 100% Security; 每个系统都有其脆弱性，承担一定程度的风险。安全威胁带来的损失代价 安全措施本身的费用 风险管理采取措施后剩余的风险基本的风险风险风险管理是为了把企业的风险降到可接受的程度网络防护技术安全技术是安全防护体系的基本保证信息安全信息传输安全（动态│安全)数据加密数据完整性鉴别防抵赖信息存储安全（静态安全)数据库安全终端安全信息的防泄密信息内容审计用户鉴别授权运行安全风险评估审计跟踪备份恢复应急响应。。。网络安全身份认证，访问控制、入侵检测、网络安全检测、VPN、审计技术......系统安全身份认证，访问控制，防病毒技术，漏洞扫描技术。。物理安全环境安全设备安全 媒体安全安全防护的目的漏洞评估防病毒内容检测入侵检测防火墙VPN 虚拟专用网 保护公司财产安全防护的目的防病毒产品（将士）入侵监测系统（嘹望哨)想方设法把发现的敌人消灭监视有无敌方或其他误入