信息安全技术基础方案.ppt

什么是信息安全？ 信息是一种资产，就像其它重要的商业资产一样，它对一个组织来说是有价值的，因此需要妥善进行保护。 信息安全保护信息免受多种威胁的攻击，保证业务连续性，将业务损失降至最少，同时最大限度地获得投资回报和利用商用机遇。信息存在的形式多种多样。它可以打印或写在纸上，以电子文档形式存储，通过邮寄或电子手段传播，以胶片形式显示或在交谈中表达出来。不管信息的形式如何，或通过什么手段进行共享或存储，都应加以妥善保护。 首先来看一个有关信息安全的真实案例 CHECK POINT的代理商专区密码验证漏洞 由于口令验证部分出现漏洞，任何人可以绕过 内部的机密资料可以被随意下载 同样的漏洞出现在CCTV的网站上 网络信息安全涉及方面 物理安全 系统安全 网络安全 应用安全 信息安全 文化安全 第一章节:什么是安全? 本章要点 安全定义 解释网络安全的必要性 识别哪些资源需要被保护 如何建立有效的安全矩阵 安全是什么？ 网络安全 一种能够识别和消除不安全因素的能力 安全是一个持续的过程 我们将讨论与网络有关的安全问题 黑客活动 CERT(Computer Emergency Response Team) 黑客攻击所造成的损失和危害 为什么我们不能杜绝攻击事件的发生 为什么我们不能杜绝攻击事件的发生 日趋精密的攻击以及以INTERNET为基础的技术快速发展 由于IT技术人员和资金的缺乏无法获得更多的资源 没有被充分保护的系统大量的快速的部署 理解风险 越来越多的黑客站点出现提供非常丰富的攻击代码和实用工具，它使得用户： ● 获得如何开始黑客活动的相当准确的建议 ● 扫描网络以确定那些目标被攻击 ● 使用虚假信息攻击e-mail，数据库，文件。 ● 摧毁和渗透路由器和其他的网络连接设备 ● 击败和摧毁认证和加密方法 Internet 技术的飞速增长 黑客漏洞的发展趋势 百分之百的安全？ 开发最少服务提供最小权限原则 安全既需求平衡 过分繁杂的安全政策将导致比没有安全政 策还要低效的安全。 需要考虑一下安全政策给合法用户带来的影响在很多情况下如果你的用户所感受到的不方便大于所产生的安全上的提高，则执行的安全策略是实际降低了你公司的安全有效性。 安全需求平衡为安全设计考虑的根本 建立一个有效的安全矩阵 安全距阵 一个安全矩阵由单个操作系统安全特征、日志服务和其他的装备包括防火墙，入侵检测系统，审查方案构成。 安全矩阵系统最主要的几个方面 允许访问控制 容易使用 合理的花费 灵活性和伸缩性 优秀的警报和报告 保护资源 终端用户资源 The workstations used by employees 威胁 : 病毒，黑客木马, Active X,applet 网络资源 Routers,switches,wiring closets, telephony 威胁: IP 欺骗,拒绝服务攻击 服务器资源 DNS,WEB, Email, FTP 等服务器 威胁: Unauthorized entry, D.O.S, trojans 信息存储资源 Human resources and e-commerce databases 威胁: Obtaining trade secrets,customer data 攻击者的分类 偶然的破坏者 坚定的破坏者 间谍 典型的攻击方式及安全规则 前门攻击和暴力破解法 BUG和后门 社会工程和非直接攻击 本章的小结 制定有效的安全矩阵应具备什么属性? 资源分类的重要性及其优点? 几种常见的安全标准的定义? 第二课：安全的基本元素 本章要点 阐述一个有效的安全基本策略 识别用户认证方法的关键 解释对访问控制方法的需要 Describe the function an ACL and an ECL 列举出三种在网络中常见的加密方法 解释审计的需要 安全基本元素 安全策略 the foundation of successful security system 建立一个有效的安全策略 为你的系统分类 指定危险因数 确定每个系统的安全优先级 定义可接受和不可接受的活动 决定在安全问题上如何教育所有员工 确定谁管理你的政策 加密 加密类型 对称加密 非对称加密 HASH加密 What encryption does? Data confidentiality Data integrity(Hash) Authentication(Digital signatures) Non-repudiation (Digital signatures) Three primary factors of encryption strength: Algorithm strength Th