网络与信息安全基础知识v5.pptVIP

网络与信息安全基础知识 安徽移动网络部 2013年5月 （一）基础知识 1、网络与信息安全概念及重要原则 2、通信网络安全防护要求（交换、传输、短彩信等重要系统） 3、网络安全防护知识（系统、服务器、终端） （二）规章制度 1、中国移动网络与信息安全总纲 2、安徽移动网络与信息安全相关管理制度 3、安全技术规范 引言 作为认证凭证的密码安全吗？ 中国版弱密码 TOP25 abc123 a1b2c3 aaa111 123qwe qwerty qweasd admin password p@ssword passwd iloveyou 5201314 000000 111111112233 123123 123321 123456654321 666666 888888 abcdef abcabc 不在弱密码中？密码字典 通常人们使用的密码都具有一些共同的规律，例如姓名缩写配数字，生日配手机号等等，密码字典根据这个规律来猜测密码。 个人密码不是弱密码，企业设备呢？ 国家计算机网络与信息安全管理中心（CNCERT）对中国移动统计风险中弱密码占60% 为什么办公密码要定期修改？ 为什么原则上不能使用无线网络接入网管网？ 为什么公司禁止使用无线键盘？ ……. 目录 网络与信息安全基础知识 信息安全基础 攻击方法 防护手段 网络与信息安全规章制度提要 什么是安全？ 国际标准化组织（ISO）引用ISO74982文献中对安全的定义是这样的，安全就是最大程度地减少数据和资源被攻击的可能性。 对于我们而言，安全的关键或者说安全计划的目的是保护公司和个人的财产。 安全的基本原则 可用性（availability） 保证经过认证的用户能够对数据和资源进行适时和可靠的访问。 完整性（integrity） 是指保证信息和系统的准确性和可靠性，并禁止对数据的非授权的修改。 机密性（confidentiality） 提供了保证在每一个数据处理和防止未经授权的信息泄漏的交叉点上都能够加强必要的安全级别的能力。 10 安全的基本原则 可用性 防止服务和工作能力的崩溃。 完整性 防止对系统和信息进行未经授权的修改。 机密性 防止未经授权而透露某些敏感信息。 简称AIC安全三原则:可用性（availability）、完整性（integrity）和机密性（confidentiality） 11 AIC安全三原则 安全对象 可用性 完整性 机密性 信息安全是将数据的可用性、完整性、机密性作为保护对象。 对信息安全的认识经历了数据安全阶段（强调必威体育官网网址通信）、网络信息安全时代（强调网络环境）和目前信息保障时代（强调不能被动地保护，需要有保护——检测——反应——恢复四个环节）。 信息安全各要素之间的关系 信息安全自顶向下的设计方法 安全策略是公司安全计划的蓝图，为上层建筑提供了必要的基础。如果安全计划以一个坚实的基础开头，并且随着时间的推移向着预定的目标发展，那么公司就不必在中间作出大的改动。 应用安全 感知能力 网络安全 内容安全 基础安全 安全标准 规范体系 安全目标体系 组织机构 人才培养 安全责任 安全需求 安全建设 安全规划 安全设计 安全准入 安全运维 安全研发 创新体系 技术支持体系 业务连续性（BCP） 入侵防范与恶意代码防护 应用程序安全 不良信息治理 信息防泄漏 信息安全专项工作 支撑 固化 入侵感知 综合预警 风险展示 安全监控 应急响应与事件处理 合规支撑 安全评估 安全检查考核 控制能力 管理能力 业务逻辑安全 业务合规管理 信息备份 入侵防范与恶意代码防护 网络报文识别与控制 网络路由、信令、协议安全 设备认证、授权与访问控制 设备日志审计 网络边界划分与隔离 网络安全策略管理 网络定位、溯源与日志审计 网络传输安全 策略安全管理 设备补丁管理 设备入侵防范与病毒防护 网络流控、质量保障 物理环境安全 构建国际一流信息安全体系 承担中国移动企业社会责任 专项研究 安全整改 重大保障 第三方安全 信息校验 安全测试 安全终止 安全策略 安全组织 安全运营 安全技术 流程运营管理 信息安全 执行体系 信息安全 管理机制 安全管控 与支撑 中国移动网络与信息安全实施框架 根据信息安全实施框架，落实系统与网络的信息安全等级保护要求。 信息安全基础知识 组织内部的安全角色 目录 网络与信息安全基础知识 信息安全基础 攻击方法 防护手段 网络与信息安全规章制度提要 什么是攻击行为？ 基本上任何一种危及到一台机器安全的行为都可以认为是一种攻击行为。 危及包括以下几个方面： 可以访问 使访问简单化 使一个系统脱机 使敏感信息的敏感度降低 什么是攻击行