IT法规与信息化安全讲座.ppt

《IT法规与信息化安全讲座.ppt》由会员分享，可在线阅读，更多相关《IT法规与信息化安全讲座.ppt（47页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、重庆市信息安全技术中心重庆市信息安全技术中心胡海波胡海波技术保障部部长、技术保障部部长、CISPCISP、CASTECASTEITIT法规与信息化安全法规与信息化安全1IT法规与信息安全考试内容第一部分 1.信息安全及其威胁 2.信息安全的实施及风险评估 3.信息安全技术 4.信息安全的信任基础设施第二部分 5.与IT相关的法律 6.与IT相关的标准2IT法规与信息安全1.信息安全及其威胁WWW什么是信息安全？谁来保障信息安全？信息安全面临的威胁有哪些？3IT法规与信息安全信息时代?人网合一高度分布、边界模糊、层次欠清、动态演化 4IT法规与信息安全1.1 1.1 信息安全的含义信息安全的含义

2、1)信息安全的概念信息安全的概念信息安全概括地讲，根据保护目标的要求和环境的状况，信息网络和信息系统的硬件、软件及其数据需要受到可靠的保护，通信、交易、作业、访问得到有效保障和合理的控制，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不被中断。广义的信息安全”域“：信息安全（内容）网络安全（通信）物理安全（载体）人员安全（管理）5IT法规与信息安全1.1 1.1 信息安全的含义信息安全的含义2)信息安全的要素信息安全的要素机密性(Confidentiality)：信息内容的保密性和隐私权完整性(Integrity)：信息是完整的并未遭受破坏真实性(Authen

3、tication):信息是可信任的并不被篡改可用性(Availability)：信息和资源的正常可用状态可控性(Non-repudiation)：信息的收发可以监督和审查6IT法规与信息安全安全的信息资源安全的信息资源安全的信息资源安全的信息资源安全的信息资源安全的信息资源安全的信息资源安全的信息资源通信信道通信信道通信信道通信信道安全组件安全组件安全组件安全组件可信第三方可信第三方可信第三方可信第三方通用模型（最小化原则）7IT法规与信息安全基本原理（木桶原理）安全产品安全产品网络脆弱性分析网络脆弱性分析信息系统安全设计规范信息系统安全设计规范信息系统安全工程信息系统安全工程数据库防火墙ID

4、S网络陷阱操作系统8IT法规与信息安全1.1 1.1 信息安全的含义信息安全的含义3)信息安全的特殊性信息安全的特殊性安全无绝对：信息安全不是0与1的关系，在两个对立面的关系上要把握好“度”；“度”既包括比例关系，也包括结构和顺序。以人为本：把握“度”的问题就是组织管理和决策；组织管理、决策的核心是人，人的因素贯穿在所有的关系中。与时俱进：安全是一个过程，是动态演化的。中国工程院何德全院士9IT法规与信息安全1.1 1.1 信息安全的含义信息安全的含义4)信息安全涉及的内容信息安全涉及的内容系统运行的安全（可生存性、容错性、抗毁性、鲁棒性）信息处理和通信传输系统是安全的，系统可以正常运行，系统

5、破坏但信息仍可恢复，物理安全，抗电磁干扰和泄漏等。10IT法规与信息安全1.1 1.1 信息安全的含义信息安全的含义4)信息安全涉及的内容信息安全涉及的内容访问权限控制：防止未授权的人对各种信息资源（网络、硬件、软件、文件、数据等）的访问。访问控制策略：口令、身份认证、端口控制等。系统资源保护：通过技术和管理手段对系统的信息资源进行保护，如：身份认证、用户口令鉴别、安全审计、数据加密或隐藏、数据备份和恢复等。11IT法规与信息安全1.1 1.1 信息安全的含义信息安全的含义4)信息安全涉及的内容信息安全涉及的内容信息内容的安全：保护信息的保密性、真实性、完整性，所使用的技术手段如数据加密、数字

6、签名等。作业和交易的安全：网络中的两个实体之间的信息交流不被非法窃取、篡改和冒充，保证信息在通信过程中的真实性、完整性、保密性和不可否认性。12IT法规与信息安全1正常交易2阻断3窃听4篡改5冒充源源源源宿宿宿宿源源源源宿宿宿宿源源源源他他他他宿宿宿宿源源源源源源源源他他他他宿宿宿宿他他他他宿宿宿宿作业和交易的安全13IT法规与信息安全1.1 1.1 信息安全的含义信息安全的含义4)信息安全涉及的内容信息安全涉及的内容安全管理：包括人员安全和安全的规章制度保障。业界的“28原则”认为，20的安全事件来自组织的内部，但可能会造成80比重的威胁。包括人员的培训、权责、聘用等一系列管理问题。安全防御

7、与应急响应：信息系统的建设需要考虑安全防御体系，以及在出现重大安全事件时进行应急相应的能力。14IT法规与信息安全1.1 1.1 信息安全的含义信息安全的含义5)我国信息安全面临的突出问题我国信息安全面临的突出问题(1)国家和地方政府法律和法规问题法律和规范不健全，跟不上信息化发展的需要（与西方国家相比）趋势：逐渐完善15IT法规与信息安全与信息安全相关的法律、法规法律：宪法、人民警察法、刑法、治安管理处罚条例、刑事诉讼法、国家安全法、保守国家秘密法、行政处罚法、行政诉讼法、行政复议法、国家赔偿法、立法法、全国人大常委会关于维护互联网安全的决定等。行政法规：国务院令147号中华人民共和国计算机

8、信息系统安全保护条例、国务院令195号中华人民共和国计算机信息网络国际联网管理暂行规定、公安部令33号 计算机信息网络国际联网安全保护管理办法、国务院令273号商用密码管理条例、国务院令291号中华人民共和国电信条例、国务院令292号互联网信息服务管理办法、国务院令339号计算机软件保护条例等。16IT法规与信息安全1.1 1.1 信息安全的含义信息安全的含义5)我国信息安全面临的突出问题我国信息安全面临的突出问题(2)领导阶层信息化安全管理问题组织建设薄弱，权责不分明制度不健全，领导程度不够重技术轻管理：7分技术 vs.3分管理缺乏系统管理的思想，治标不治本17IT法规与信息安全1.1 1.

9、1 信息安全的含义信息安全的含义5)我国信息安全面临的突出问题我国信息安全面临的突出问题(3)工作人员安全意识淡薄轻易地打开匿名邮件和附件下载不可信的软件从来不更改口令和密码.18IT法规与信息安全1.1 1.1 信息安全的含义信息安全的含义5)我国信息安全面临的突出问题我国信息安全面临的突出问题(4)信息产业基础设施建设落后硬件不硬：核心的交换设备、芯片（Cisco、Intel.）软件太软：重要的软件系统（Office、DBMS、中间件、OS.）19IT法规与信息安全1.1 1.1 信息安全的含义信息安全的含义5)信息化安全中的信息化安全中的“5710失误失误”(1)终端用户的5个失误打开来

10、历不明的电子邮件没有及时打安全补丁下载并安装来历不明的软件没有生成备份或测试备份没有很好地进行网络隔离.20IT法规与信息安全1.1 1.1 信息安全的含义信息安全的含义5)信息化安全中的信息化安全中的“5710失误失误”(2)单位用户的7大失误缺乏培训（安全意识、技术）重视物理安全而忽略了信息安全和网络安全（渗透是无孔不入的）没有对需要保护的资源进行评估（知识产权、商业品牌）认为防火墙是万能的（防”火”不防”水”）治标不治本（比如只杀毒而不打补丁）不注重防范于未然存在侥幸心理（不出事就好）.21IT法规与信息安全1.1 1.1 信息安全的含义信息安全的含义5)信息化安全中的信息化安全中的“5

11、710失误失误”(3)IT技术人员的10大失误赤膊上阵（不设防、防御弱，但仍连接到互联网）懒惰1（使用缺省的用户名和密码、不定期更换等等）懒惰2（不定期检查更新漏洞）懒惰3（不及时查杀病毒和更新病毒库）技术单一（只侧重某一方面，没有整体的解决方案）社会工程（密码记在纸张上、通过电话泄漏信息等）备份策略不足，应急机制薄弱（出现问题后手忙脚乱）没有达到最小化原则（开放不必要的服务和端口）对防火墙等设备的策略不严格没有对用户进行相关培训（根源）22IT法规与信息安全“没有安全的工程就是豆腐渣工程”中国工程院院长徐匡迪23IT法规与信息安全谁来保障信息安全？（1）国家机关：公、保、机、盯、军.公安局：

12、立法、执法、监察保密局：监察机要局：监察国安局：国家信息安全解放军：信息对抗密码委：密码、算法的管理（2）机构和组织内部 主管领导、信息主管：政策落实、组织落实、措施到位（帅）信息安全主管：技术保障、人员培训、应急响应 （将）安全技术人员：维护、更新、支持、协作 （士）单位普通用户：安全意识 （兵）（3）个人法律意识、安全意识24IT法规与信息安全1.2 1.2 信息安全的威胁信息安全的威胁1)威胁和攻击威胁和攻击(1)威胁具有足够的能力和机会的实施者对一个目标系统的脆弱性的窥视和破坏。”黎叔“：威胁着口袋里的钱“黑客”：威胁者信息系统(2)攻击法律：入侵行为完成、入侵者已经在目标网络内。现实

13、：实施者开始在目标上采取行动，即已经开始了攻击 扫描、嗅探、渗透权限、窃密、破坏25IT法规与信息安全1.2 1.2 信息安全的威胁信息安全的威胁2)攻击者的种类攻击者的种类有哪些敌人？有哪些敌人？(1)兴趣驱使者Hacker：职业人员和技术高手，钻研技术或挑战自我，带来精神的满足Cracker：准职业人员，带有恶意企图，善于利用社会工程学Script Guys：业余人员，使用工具兴风作浪，为数众多他们没有明显的界限，多为民间个人或组织，可能长期潜伏在系统中，伺机而动。26IT法规与信息安全1.2 1.2 信息安全的威胁信息安全的威胁2)攻击者的种类攻击者的种类有哪些敌人？有哪些敌人？(2)间

14、谍、非法组织商业间谍：以窃取商业机密为主要目的国家间谍：多为情报人员，窃取国家机密、破坏重要设施非法组织：破坏信息设施、窃取情报、谋取私利、散布有害信息对社会的政治、经济稳定造成威胁，后果严重、影响恶劣。27IT法规与信息安全1.2 1.2 信息安全的威胁信息安全的威胁2)攻击者的种类攻击者的种类有哪些敌人？有哪些敌人？(3)内部人员心理、道义上：对单位、组织或领导怀有不满，被解聘等（损人不利己）利益驱使：被敌方收买（损人利己）无意破坏：由于内部人员和用户的操作不当、意识薄弱而造成的危害。37原则（28原则）：30或20的威胁来自内部，但是由于内部人员更容易接触敏感信息，往往会造成70或80的

15、危害。从机构和组织来讲，往往注重防止外界的攻击，而忽略了对内部人员的管理。28IT法规与信息安全1.2 1.2 信息安全的威胁信息安全的威胁3)信息安全的威胁信息安全的威胁(1)威胁的根源：互联网最初的”君子“协议：忽略了安全互联网本身的特性：高度开放、高度互联、边界模糊、动态演化软件本身的漏洞：设计开发的时候存在缺陷，易被利用而造成安全威胁系统后门：安装、调试的方便，但是却容易被利用人（最重要）：利益趋势、兴趣所然、遭受不公等29IT法规与信息安全1.2 1.2 信息安全的威胁信息安全的威胁3)信息安全的威胁信息安全的威胁(2)威胁的主要内容：人为的失误：安全配置不当、安全意识不强、误操作、

16、弱口令等恶意攻击：主动攻击，中断、篡改、冒充、破坏 被动攻击，窃听、嗅探软件漏洞和后门：开发设计时留下隐患，易被利用 Unicode、RPC缓冲区溢出等非授权访问：访问控制策略不当（冒充、身份攻击、非法进入）信息泄漏或丢失：传输介质、存储介质、社会工程数据的完整性遭到破坏：数据被篡改、删除等30IT法规与信息安全1.2 1.2 信息安全的威胁信息安全的威胁3)信息安全的威胁信息安全的威胁(2)威胁的主要内容（续）：拒绝服务攻击：利用网络协议的漏洞，对网络和服务器提供干扰，使合法用户不能取得正常的服务。DOS/DDOD攻击恶意代码：病毒、蠕虫、木马、垃圾邮件等。可能会破坏信息资源、影响系统正常工

17、作、泄密、干扰人的工作等等。破坏网络、硬件设备、软件的可用性：序列号问题、DDOS攻击、后门、恶意删除文件和数据等。31IT法规与信息安全小结小结信息安全的域：内涵和外延信息安全的问题所在信息安全的起因32IT法规与信息安全考试内容第一部分 1.信息安全及其威胁 2.信息安全的实施及风险评估 3.信息安全技术 4.信息安全的信任基础设施第二部分 5.与IT相关的法律 6.与IT相关的标准33IT法规与信息安全2.信息安全的实施及风险评估HH如何实施信息化安全？风险评估的作用和意义？34IT法规与信息安全2.1 2.1 信息化安全的实施信息化安全的实施1)信息化安全实施的含义 信息化安全的实施，

18、需要建立信息化安全管理体系，对信息化安全进行风险评估，决策选择一种合适的安全策略和安全解决方案，构建安全防范队伍和规章制度，搭建安全体系的基本框架，保持监察、响应、维护和脆弱性测试处于正常状态，形成完整的人、制度、技术相结合的信息化安全防范体系，它是一个长期的、持续改进的过程。基本要素管理体系：信息安全是一项工程，其实施需要建立健全管理体系；（战略）风险评估：量体裁衣，有的放矢。确定需要保的信息资产及策略；（战局）安全策略：分析各种可能性，制定应对策略；（战术）解决方案：从技术的角度出发，提出完整的解决方案和措施；（布阵）队伍建设：构建安全防范队伍，作为人员保障；（练兵）制度建设：制定完善的管

19、理制度和控制、约束机制，保障安全；（军法）应急响应：在出现问题时保证能及时响应并解决问题。（战备）35IT法规与信息安全2.1 2.1 信息化安全的实施信息化安全的实施2)信息安全实施的长期性信息安全的特殊性决定了其实施过程是一个”持久战“、”全民战”。信息安全工程实施的目标是不出安全问题，但安全问题总是可能发生。观点1：挂在楼道里的灭火器有用吗？没有火灾就一点儿用都没有；火灾发生的概率总归很小，所以灭火器确实“没什么用”观点2：即便火灾并不一定常发生，但是一旦发生就是灾难所以灭火器不是摆设，即便它一辈子没有被用过，仍然是必不可少的。点评：不要忽视安全感，尽管只是一种心理的安慰。安全无绝对：道

20、高一尺，魔高一丈。技术在不断更新、形势在不断变化安装了防火墙、IDS就安全了吗？如果不及时更新策略，可能它们形同虚设。36IT法规与信息安全2.1 2.1 信息化安全的实施信息化安全的实施3)信息化安全实施的原则究竟是三分技术七分管理，还是七分技术三分管理？重要的不在论定“几分”，更要把握规范相关的规范：信息安全管理：BS7799/ISO17799，帮助企业构建信息安全管理框架的标准通用评估准则：CC/ISO15408/GB18336安全等级保护：桔皮书/GB17859安全工程：SSECMM（系统安全工程能力成熟度模型）风险分析评估：信息安全风险评估指南、信息安全风险管理指南（草案）风险评估方

21、法：OCTAVE方法(自主型信息安全风险评估方法，卡耐基梅隆）信息安全技术管理：ISO1335537IT法规与信息安全2.1 2.1 信息化安全的实施信息化安全的实施3)信息化安全实施的原则一般原则：制定总的方针(指导思想)风险评估为依据(杀鸡不用牛刀)成本控制和风险平衡(投入产出比)预防为主(灭火器效应)保持事业的持续性(可生存性)全员参与(木桶原理)动态管理(与时俱进)循环模式(PDCA:计划、执行、检查、改进)38IT法规与信息安全2.2 2.2 信息化安全风险评估与管理信息化安全风险评估与管理1)风险和风险评估风险：威胁发生的可能性及造成的影响。风险评估：确认风险及其大小，为风险管理提

22、供依据。内容如下：(1)分析哪些地方会出问题？出什么问题？(2)分析问题发生后可能造成的最坏后果是什么？(3)分析问题发生的可能性有多大？(4)评估对以上问题的分析(5)制定响应的措施，来消除或降低风险，使其可以接受(6)风险控制的成本有多高？(7)评估成本和效果的关系。39IT法规与信息安全2.2 2.2 信息化安全风险评估与管理信息化安全风险评估与管理2)风险评估的基本步骤为风险评估做准备 取得领导支持、组织团队、确定对象、制定计划确定需要保护的信息资产 什么是信息资产？不是所有的信息资产都来重点保护，成本高，人力多。按照等级保护的思想，应该对认为是重要的信息资产进行保护脆弱点分析和威胁评

23、估 系统基础组件的脆弱点在哪里？可以被利用的程度有多高？所造成的危害有多大制定安全策略 制定减小风险的策略40IT法规与信息安全考试内容第一部分 1.信息安全及其威胁 2.信息安全的实施及风险评估 3.信息安全技术 4.信息安全的信任基础设施第二部分 5.与IT相关的法律 6.与IT相关的标准41IT法规与信息安全3.信息安全技术概述网络安全技术信息安全技术信息安全管理42IT法规与信息安全第一节第一节 概述概述最初的互联网用户很少，相互友好，根本不需要信息化安全技术当今互联网，世界上最大的虚拟社区，信息化安全技术茁壮成长43IT法规与信息安全第二节第二节 网络安全技术网络安全技术互联网存在诸

24、多不安全因素，为了保证通信服务的安全性，网络使用者必须采取相应的网络安全技术来堵塞安全漏洞，基本上包括：网络加密技术防火墙技术网络地址转换技术操作系统安全内核技术身份验证技术网络防病毒技术检测审计技术备份技术44IT法规与信息安全一、网络加密技术一、网络加密技术加密是将可读信息转化为不可读信息，只能由掌握密钥和算法的人才能解密得到原文。加密技术可分为：对称加密技术，也称常规密码，影响最大的是DES密码非对称加密技术，也称公钥密码，最有影响的是RSA密码45IT法规与信息安全在通信上三个层次的数据加密：链接加密节点加密端到端加密二、防火墙技术二、防火墙技术什么是防火墙？文。46IT法规与信息安全谢谢！47IT法规与信息安全