信息安全培训PPT文档

第一部分信息平安概念与分析连云港康达智连云港康达智信息平安基本概念连云港康达智为何要实现平安？1、疼惜企业现在的资产免遭破坏

2、保证企业的生产力连云港康达智平安探讨层次应用安全系统安全网络安全安全协议安全的密码算法连云港康达智平安的侧重点谈到信息平安时我们通常有三个主要的侧重点：网络平安，通常指的是我们的计算机所处的网络环境的平安问题系统平安，指我们的每台计算机系统自身的平安问题操作平安，指计算机运用者自身的平安意识问题连云港康达智网络架构与具体平安着力点连云港康达智攻击分析连云港康达智攻击者分析连云港康达智常见的攻击过程连云港康达智黑客攻击的缘由什么是黑客？对于计算机而言，黑客就是精通网络、系统以及软硬件技术的人。连云港康达智常见的攻击手段其次部分网络平安实现连云港康达智连云港康达智平安实现概述连云港康达智攻击应对方案连云港康达智进行弱弱点分析连云港康达智平安实施清单网络边界防火墙病毒防火墙网络设备平安强化物理平安设施和社会工程平安措施可移动设备管理无线设备管理操作系统平安强化主机防火墙防病毒软件数据疼惜连云港康达智实现深度防卫连云港康达智理解物理平安和社会工程平安连云港康达智物理平安概念物理平安是指通过一些物理防护手段，也就是非IT技术手段来确保信息平安的方法，通常包括以下几个便利：1、物理访问限制2、防盗窃、防破坏3、防火、放水、防潮4、防雷击5、温湿度限制6、电力系统连云港康达智社会工程学概念社会工程学是一种黑客攻击方法，通常是通过对受害者心理弱点、本能反应、新颖 心、信任、贪欲等心理陷阱进行诸如欺瞒、损害等攻击手段，获得情报连云港康达智社会工程平安考虑连云港康达智物理平安考虑禁用非必要PC的光驱、USB接口限制非公司人员运用公司局域网在机要部门安装门锁连云港康达智理解防火墙连云港康达智何为网络防火墙？将内部的网络与外部的担忧全网络进行隔离通过定义规则有限制的开放内部向外部网络的数据包流淌通过定义规则有限制的开放外部访问内部的数据包通过定义DMZ更有限的进行平安防护检测有害数据包并将其阻挡进行日志记录和统计连云港康达智何为DMZ?DMZ是在内部和外部网络之间的一个缓存区连云港康达智防火墙技术通常防火墙运用三个技术：包过滤状态过滤应用层过滤连云港康达智包过滤连云港康达智状态过滤连云港康达智应用层过滤连云港康达智配置访问规则连云港康达智监控防火墙和日志分析监控会话启用日志记录日志记录的统计和分析连云港康达智理解反恶意代码连云港康达智恶意代码概述代码是指计算机程序的代码，可以被执行完成特定的功能。任何事物都有正反两面，人类独创的工具既可以造福也可作孽，这完全取决于运用工具的人。计算机程序也不例外，软件工程师编写了大量的软件（操作系统，应用程序和数据库系统等）的同时，黑客们在编写扰乱社会和他人的计算机程序，这些代码统称为恶意代码（Maliciouscodes）。连云港康达智恶意代码类型在Internet平安事务中，恶意代码造成的经济损失占有最大的比例。恶意代码主要包括计算机病毒（Virus）、蠕虫（Worm）、木马程序（TrojanHorse）、后门程序（Backdoor)、逻辑炸弹（LoginBomb）等等。与此同时，恶意代码成为信息战、网络战的重要手段。日益严峻的恶意代码问题，不仅使企业及用户蒙受巨大的经济损失，而且使国家的平安面临着严峻威逼。连云港康达智网络蠕虫的定义网络蠕虫是一种智能化、自动化的计算机程序，综合了网络攻击、密码学和计算机病毒等技术，是一种无需计算机运用者干预即可运行的攻击程序或代码，它会扫描和攻击网络上存在系统漏洞的节点主机，通过局域网或者国际互联网从一个节点传播到另外一个节点。蠕虫具有主动攻击、行踪隐藏、利用漏洞、造成网络拥塞、降低系统性能、产生平安隐患、反复性和破坏性特征，网络蠕虫是无须计算机运用者干预即可运行的独立程序，它通过不停的获得网络中存在漏洞的计算机上的部分或全部限制权来进行传播。连云港康达智恶意代码的攻击机制恶意代码的行为表现各异，破坏程度千差万别，但基本作用机制大体相同，其整个作用过程分为5个部分：侵入系统。侵入系统是恶意代码实现其恶意目的的必要条件。恶意代码入侵的途径很多，如：从互联网下载的程序本身就含有恶意代码；接收已经感染恶意代码的电子邮件；从光盘、U盘等存储设备往系统上安装软件；黑客或攻击者有意将恶意代码植入系统等。维持或提升现有权限。恶意代码的传播与破坏必需盗用用户或者进程的合法权限。隐藏策略。为了不让系统发觉恶意代码已经入侵系统，恶意代码可能会改名、删除源文件或者修改系统的平安策略来隐藏自己。潜藏。恶意代码侵入系统后，等待确定的条件，并且有足够的权限时进行破坏活动。破坏。恶意代码是本质具有破坏性，其目的是造成信息丢失、泄密、破坏系统等。连云港康达智恶意代码防范方法首先应当从源头上尽可能的削减恶意代码的入侵，主要的措施有：对网页进行分析和预警，安装反病毒软件，对垃圾邮件进行过滤，防火墙过滤，限制及平安运用U盘其次在主机上安装防病毒软件，并刚好更新数据库最终应当强化操作系统，并做好备份。连云港康达智建立攻击反应支配连云港康达智何为攻击反应支配攻击反应支配包括：通过监控刚好发觉攻击行为进行刚好的应急处理通过备份复原系统功能与数据通过日志的分析找寻攻击源和攻击方式通过蜜罐技术误导攻击寻求法律手段连云港康达智理解网络设备强化连云港康达智何为网络设备强化由于网络是通过网络设备和计算器通过线路的互联构成的，因此可以启动网络设备的隔离功能强化网络的平安疼惜，特殊是针对内部的攻击。设备强化主要针对路由器和交换机。连云港康达智了解网络架构的模型连云港康达智交换机的工作过程地址学习转发/过滤推断二层环路连云港康达智通过交换机实现隔离可以通过交换机上启动的端口平安和VLAN技术实现平安隔离。连云港康达智通过路由器实现隔离可以通过路由器上定义规则实现计算机间的通信隔离，从而提高平安性。比如只让财务部门的员工能够访问财务数据库服务器，别的部门的员工被禁止。连云港康达智基础示例连云港康达智理解无线通信平安连云港康达智无线网络访问概述连云港康达智无线通讯协议IEEE802.11家族

802.11a54Mbit/s5GHz802.11b11Mbit/s2.4GHz802.11n475Mbit/s802.11ac1Gbit/s5GHz连云港康达智无线平安协议WIDS/WIPS（无线入侵防卫系统，WirelessIntrusionPreventionSystem）WEP（有线等效保密协议，WiredEquivalentPrivacy）WPA（WIFI平安访问协议，Wi-FiProtectedAccess）WAPI（无线局域网鉴别和保密基础结构，WirelessLANAuthenticationandPrivacyInfrastructure）连云港康达智理解数据疼惜连云港康达智数据疼惜概念数据疼惜指的是针对文件系统中存储的数据，以及通过网络传递的数据包的内容进行疼惜，确保其无法被非法窃取和篡改的技术数据疼惜的意义很明显是为了降低组织的敏感数据被泄露或者破坏的风险数据疼惜技术是运用数学上的算法（函数）和密钥（因子）通过计算过程实现的它的两个典型技术是加密和数字签名连云港康达智密码长度算法和密钥的困难程度共通确定疼惜的级别连云港康达智对称密钥与非对称密钥连云港康达智数字签名连云港康达智IPSec在网络中的地位IPSec是由IETF主持的标准的网络平安通讯协议，它可以确保在源与目的地进行通讯的网络链路上数据以平安的方式传输，同时能确保源与目的地的合法身份，以及保证数据在传输过程中没有经过篡改。IPSec当今在VPN环境中被广泛应用。IPSec能够解决的网络平安问题包括：网络监视，中间人，身份仿冒，地址欺瞒，数据篡改。第三部分操作系统平安设计与实现连云港康达智连云港康达智操作系统平安连云港康达智常用操作系统概述目前服务器常用的操作系统有三类：UnixLinuxWindows这些操作系统都是符合C2级平安级别的操作系统。但是都存在不少漏洞，假如对这些漏洞不了解，不实行相应的措施，就会使操作系统完全暴露给入侵者。连云港康达智UNIXUNXI操作系统经过20多年的发展后，已经成为一种成熟的主流操作系统，并在发展过程中逐步形成了一些新的特色，其中主要包括5个方面。牢靠性高极强的伸缩性网络功能强强大的数据库支持功能开放性好连云港康达智Linux典型的优点完全免费完全兼容POSIX1.0标准多用户、多任务良好的界面丰富的网络功能牢靠的平安、稳定性能支持多种平台连云港康达智Windows系统Windows分为桌面操作系统和服务器操作系统，分别适用于个人用户和企业用户Windows操作系统的特点是易于运用，功能全面，与微软公司的其他应用程序产品无缝集成，是现今世界上运用者最多的一种操作系统。连云港康达智操作系统平安体系谈到操作系统平安时我们通常有几个需求：确保操作系统自身的稳定正常确保只有合法的用户能够进入系统进入系统的用户只能做被允许的操作平安敏感的数据无法被非法窃取连云港康达智操作系统自身平安设计为了运用户更情愿运用自己的产品，供应操作系统的软件开发商们都默认在他们生产的系统中供应了一些平安技术，通常这些技术包括：身份验证授权加密策略或者规则主机防火墙审核连云港康达智身份验证与账户系统账户系统是操作系统中重要的子系统，它主要对被管理的主体进行映射。在日常的计算机管理环境中，常见的主体是用户和计算机，为了在操作系统中对用户进行区分管理，将其映射为用户账户。这两种账户用来实现身份证，权限和策略限制连云港康达智为什么运用用户账户我想限制什么样的人才能访问某些文件。(IT主管)将用户账户和相应文件的权限关联在一起实现限制访问我想提高公司网络的平安性。（IT主管）用户在登录时必需供应在公司的网络中合法的账户与相关口令在计算机应用环境中通过账户映射“人”这种实体，并将其和相关应用关联起来连云港康达智账户攻击连云港康达智何为资源访问限制？网络的实际作用在于能够让用户更便利更快捷的在很大的范围内共享数据，但这是否就意味着每个人都能够或者应当是自由的访问任何一台另外计算机上的文件呢答案在于用户可以去访问别人计算机上的文件，但前提是确保平安性与合法性所谓资源访问限制就是利用权限来限制哪些人可以访问资源，访问的级别又有多高可以利用共享权限限制远程访问权限，通过文件系统权限限制本地访问权限连云港康达智何为权限？权限用来定义合法的访问者在系统中做哪些操作是合法的。权限一般也分为多个层次，有本地权限，也有远程权限连云港康达智何为审核？审核和日志是操作系统中的一种跟踪技术，它可帮助管理员了解到如下的一些内部活动的相关信息通过审核我们刚好发觉系统中出现的一些平安问题，从而刚好的进行反应，进而配置防卫性措施我们也可以利用审核信息作为证据，威慑攻击者连云港康达智关闭不必要的服务通过系统中的管理工具将一些我们所不须要的功能进行关闭，或者修改默认端口号防止监听。连云港康达智应用程序平安连云港康达智应用程序平安确保企业关键的应用程序服务器不易遭遇到攻击确保应用程序本身的稳定运行安装经测试的反病毒和反木马软件定期进行应用程序的更新第四部分平安设计和平安评估连云港康达智连云港康达智平安设计连云港康达智平安设计与实现设计确保网络平安的方案是预见性的而不是被动的包含策略和过程包括了对操作系统，数据，账户，中立区，路由器，连接，计算机，移动设置，技术设施，操作者的平安规划实现通过所设计的平安方案进行环境配置额外考虑实现更高级别的平安并不总是带来好处意味着更高的投资连云港康达智网络平安方案的框架总体上说，一份平安解决方案框架涉及6大方面，可以依据实际需求取舍概要平安风险分析实际平安风险分析网络系统的平安原则平安产品风险评估平安服务连云港康达智平安评估连云港康达智平安准则只要企业的网络连接到Internet，确定要配置边界防火墙，病毒防火墙分析并确认企业的关键业务服务器，将这些关键服务器放置在指定的物理平安保障措施齐备的位置对于关键服务器的访问设备进行强化对于关键服务器的操作系统进行强化对于关键服务器的应用进行强化对于重要数据实行加密疼惜对全部的计算机进行刚好更新启动多层次的审核对移动设备的运用进行规范对存储设备的运用进行规范对用户进行培训提高其自身的平安意识问题并制定平安守则进行约束连云港康达智我国评价标准我国依据《计算机信息系统平安疼惜等级划分准则》GB17859-1999，1999年10月经过国家质量技术监督局批准发布准则将计算机平安疼惜划分为以下五个级别第一级为用户自主疼惜级：它的平安疼惜机制运用户具备自主平安疼惜的实力，疼惜用户的信息免受非法的读写破坏。其次级为系统审计疼惜级：除具备第一级全部的平安疼惜功能外，要求创建和维护访问的审计跟踪记录，使全部的用户对自己的行为的合法性负责。第三级为平安标记疼惜级：除继承前一个级别的平安功能外，还要求以访问对象标记的平安级别限制访问者的访问权限，实现对访问对象的强制疼惜。第四级为结构化疼惜级：在继承前面平安级别平安功能的基础上，将平安疼惜机制划分为关键部分和非关键部分，对关键部分干脆限制访问者对访问对象的存取，从而加强系统的抗渗透实力第五级为访问验证疼惜级：这一个级别特殊增设了访问验证功能，负责仲裁访问者对访问对象的全部访问活动。连云港康达智国际评价标准依据美国国防部开发的计算机平安标准——可信任计算机标准评价准则（TrustedCo