信息安全技术概述(省直)
更新时间:2023-04-24 09:56:01 阅读量: 实用文档 文档下载
- 信息安全技术概述推荐度:
- 相关推荐
信息安全技术概述李文兢631413906@
广东计安信息网络培训中心
本课程的目的 了解和掌握网络与信息安全的基本原理和相 关技术 关注国内外最新研究成果和发展动态
具有网络与信息安全的理论基础和基本实践能力
目 录信息安全的基本概念
信息安全技术发展介绍
信息安全模型与安全技术框架
信息安全管理体系
信息安全未来发展趋势
信息安全概述
什么是信息? 消息、信号、数据、情报和知识 信息本身是无形的,借助于信息媒体以多种形式存在或传播: 存储在计算机、磁带、纸张等介质中 记忆在人的大脑里 通过网络、打印机、传真机等方式进行传播 信息借助媒体而存在,对现代企业来说具有价值,就成为信息资产: 计算机和网络中的数据 硬件、软件、文档资料 关键人员 组织提供的服务 具有价值的信息资产面临诸多威胁,需要妥善保护4
信息安全概述
企业信息安全管理关注的信息类型
内部信息组织不想让其竞争 对手知道的信息
客户信息顾客/客户不想让组 织泄漏的信息
共享信息需要与其他业务伙 伴分享的信息
信息安全概述
信息的处理方式
创建 使用 存储
传递6
更改
销毁
信息安全概述
什么是信息安全?采取措施保护信息资产, 使之不因偶然或者恶意侵犯而 遭受破坏、更改及泄露,保证 信息系统能够连续、可靠、正 常地运行,使安全事件对业务 造成的影响减到最小,确保组 织业务运行的连续性。
信息安全概述
信息安全的发展历史20世纪80年代末以后 互联网技术飞速发展,信 息无论是对内还是对外都 得到极大开放 信息安全从CIA中又衍生 出可控性、抗抵赖性、真 实性等特性,并且从单一 的被动防护向全面而动态 的防护、检测、响应、恢 复发展 信息保障(Information Assurance),从整体角度 考虑安全体系建设 美国的IATF规范
60年代到80年代 计算机软硬件极大发展
20世纪60年代前 电话、电报、传真 强调的是信息的保密性
关注保密性、完整性和可 用性目标 信息安全,即INFOSEC 代表性成果是美国的 TCSEC和欧洲的ITSEC测 评标准
对安全理论和技术的研究 只侧重于密码学 通信安全,即COMSEC 8
信息安全概述
信息安全基本目标
C OnfidentialityI ntegrity A vailability信息资产分别具有不同的安全属性,保密性、完整性和可用性分别反映了资产在三个不同方 面的特性。安全属性的不同通常也意味着安全控制、保护功能需求的不同。通过考察三种不 同安全属性,可以得出一个能够基本反映资产价值的数值。对信息资产进
行赋值的目的是为 了更好地反映资产的价值,以便于进一步考察资产相关的弱点、威胁和风险属性,并进行量 化。
信息安全概述
C.I.A.和D.A.D.
C I A泄 漏
保密性(Confidentiality)—— 确保信息在存储、使用、传输过程 中不会泄漏给非授权用户或实体。 完整性(Integrity)—— 确保信息在存储、使用、传输过程中不会 被非授权篡改,防止授权用户或实体不恰当地修改信息,保持信息 内部和外部的一致性。 可用性(Availability)—— 确保授权用户或实体对信息及资源的正 常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。
CIA三元组是信息安全的目标,也是基本原则,与之相反的是DAD三元组:
D
isclosure
篡 改
A
lteration
破 坏
D
estruction
信息安全概述
安全目标通俗的说法进不来 拿不走 看不懂 改不了 跑不掉
为什么会有信息安全的问题一个巴掌拍不响
根源: 计算机系统的复杂性和脆弱性(内因) 自然灾害与利益矛盾(外因)
安全威胁及脆弱性类型冒名顶替 拨号进入 窃听 废物搜寻 偷窃 间谍行为 身份识别错误 不安全服务 配置 随意口令 安全威胁 身份鉴别 系统漏洞 初始化 乘虚而入 口令圈套 病毒 代码炸弹
算法考虑不周
线缆连接
物理威胁
口令破解
编程
特洛伊木马2013年7月27日12时 24分
更新或下载13
网络攻击形式
按网络服务分:E-Mail、FTP、Telnet、IIS
按技术途径分:口令攻击、Dos攻击、种植木马
按攻击目的分:数据窃取、伪造滥用资源、篡改数据2013年7月27日12时 24分 14
主要安全威胁——十大攻击手段1.Dos:使目标系统或网络无法提供正常服务网络Flooding:syn flooding、 ping flooding 、DDos 系统Crash: Ping of death、泪滴、 land 、WinNuke 应用Crash/Overload:利用应用程序缺陷,如长邮件,CC
2.扫描探测:系统弱点探察SATAN、ISS 、Cybercop Scanner 、 ping (嗅探加 密口令,口令文件)
2013年7月27日12时 24分
十大攻击手段3.口令攻击: 弱口令口令窃取:嗅探器、偷窥、社会工程(垃圾、便条、伪装查询) 口令猜测:常用字—无法获得加密的口令-强力攻击 口令Crack:字典猜测、字典攻击—可获得加密的口令(嗅探加 密口令,口令文件)
4.获取权限,提升权限(root/administrator)猜/crack root口令、缓冲区溢出、利用NT注册表、访问和利用 高权限控制台、利用启动文件、利用系统或应用Bugs
5. 插入恶意代码:病毒、特洛伊木马(BO)、后门、恶意Applet
2013年7月27日12时 24分
十大攻击手段6.网络破坏:主页篡改、文件删除、毁坏OS 、格式化磁盘
7. 数据窃取:敏感数据拷贝、监听敏感数据传输---
共享媒介/服务器监听/远程监 听RMON
8.伪造、浪费与滥用资源:违规使用
9.篡改审计数据:删除、修改、权限改变、使审计进程失效
10. 安全基础攻击:防火墙、路由、帐户修改,文件权限修改。2013年7月27日12时 24分 17
人是最关键的威胁因素
对威胁来源的定位,其实是综合了人为因素和系统自身逻辑与物理上诸多因 素在一起的,但归根结底,还是人在起着决定性的作用,无论是系统自身的缺陷, 还是配置管理上的不善,都是因为人的参与(访问操作或攻击破坏),才给网络 的安全带来了种种隐患和威胁。HR R&D Intranet Marketing
恶意者 Internet
外部人员威胁远程办公 Extranet
DMZ
内部人员威胁
Finance
其他人员的威胁供应商 商业伙伴
目 录信息安全的基本概念
信息安全技术发展介绍
信息安全模型与安全技术框架
信息安全管理体系
信息安全未来发展趋势
正在阅读:
信息安全技术概述(省直)04-24
150期《全员生发》 - 基层笔记04-05
歌舞快板定稿 夸夸我们的好学校08-30
第二章用户与权限12-05
灵活处理跟感应电动势相关的问题07-18
审计师强制轮换的经济效果分析论文(doc 10页)(正式版)01-03
天蝎座男生和什么座最配02-18
2016-2021年中国甲磺酸帕拉德福韦片行业市场研究及投资战略预测报告11-27
写人的四字词语04-02
- 教学能力大赛决赛获奖-教学实施报告-(完整图文版)
- 互联网+数据中心行业分析报告
- 2017上海杨浦区高三一模数学试题及答案
- 招商部差旅接待管理制度(4-25)
- 学生游玩安全注意事项
- 学生信息管理系统(文档模板供参考)
- 叉车门架有限元分析及系统设计
- 2014帮助残疾人志愿者服务情况记录
- 叶绿体中色素的提取和分离实验
- 中国食物成分表2020年最新权威完整改进版
- 推动国土资源领域生态文明建设
- 给水管道冲洗和消毒记录
- 计算机软件专业自我评价
- 高中数学必修1-5知识点归纳
- 2018-2022年中国第五代移动通信技术(5G)产业深度分析及发展前景研究报告发展趋势(目录)
- 生产车间巡查制度
- 2018版中国光热发电行业深度研究报告目录
- (通用)2019年中考数学总复习 第一章 第四节 数的开方与二次根式课件
- 2017_2018学年高中语文第二单元第4课说数课件粤教版
- 上市新药Lumateperone(卢美哌隆)合成检索总结报告
- 省直
- 概述
- 安全
- 技术
- 信息
- 申请入党积极分子培养考察登记表(已全填)
- 转基因食品安全研究-研究性学习过程记录手册(生物)
- 玻璃纤维熔窑钢结构的施工工艺
- 中国节能环保汽车奥运城市绿色行环保形象大使选拔活动
- 超级商务英语常用缩略语表(完整版)
- 尔雅通识课 儒学与生活全部答案
- 2015开题报告答辩开场白
- 施工场地治安保卫管理计划
- apfree(wifidog)接口描述
- 保险学原理期末复习资料重点整理
- 惠阳发电厂电气运行规程
- 儿童水墨画教案(奇妙课程)
- 机构改革需勇气 名称简化顺民意-2013陕西公务员考试时政新闻
- 九年级历史下册 俄国的改革教案与教学反思
- 多人公司变一人公司原股东会决议
- 超全水浒传主要人物情节概括
- HCC-10四路嵌入式硬盘录像机设计方案设计报告书
- 2022年同济大学法学院857法学综合二(含法理学、刑法学)之国际经
- 职业病危害事故应急救援预案
- 2015年普通高等学校招收内地新疆班高中毕业生计划和专业安排表