《信息安全概述》课件

第二章信息平安概述2025/1/291企业资源管理研究中心(AMT)2.1信息与信息平安2025/1/292企业资源管理研究中心(AMT)

(2)信息资产2.1信息与信息平安分类示例数据存在电子媒介的各种数据资料，包括源代码、数据库数据，各种数据资料、系统文档、运行管理规程、计划、报告、用户手册等软件应用软件、系统软件、开发工具和资源库等硬件计算机硬件、路由器、交换机、硬件防火墙、程控交换机、布线、备份存储设备等服务操作系统、WWW、SMTP、POP3、FTP、MRPII、DNS、呼叫中心、内部文件服务、网络连接、网络隔离保护、网络管理、网络安全保障、入侵监控及各种业务生产应用等文档纸质的各种文件、传真、电报、财务报告、发展计划等设备电源、空调、保险柜、文件柜、门禁、消防设施等人员各级雇员和雇主、合同方雇员等其他企业形象、客户关系等2025/1/293企业资源管理研究中心(AMT)2.1信息与信息平安2025/1/294企业资源管理研究中心(AMT)2.1信息与信息平安2025/1/295企业资源管理研究中心(AMT)3.信息平安的根本属性信息平安包括了保密性、完整性和可用性三个根本属性：2.1信息与信息平安2025/1/296企业资源管理研究中心(AMT)2.1信息与信息平安〔1〕保密性——Confidentiality，确保信息在存储、使用、传输过程中不会泄露给非授权的用户或者实体。〔2〕完整性——Integrity，确保信息在存储、使用、传输过程中不被非授权用户篡改；防止授权用户对信息进行不恰当的篡改；保证信息的内外一致性。〔3〕可用性——Availability，确保授权用户或者实体对于信息及资源的正常使用不会被异常拒绝，允许其可靠而且及时地访问信息及资源。2025/1/297企业资源管理研究中心(AMT)4.信息平安模型(1)PDR模型2.1信息与信息平安2025/1/298企业资源管理研究中心(AMT)PDR模型中的P代表保护、D代表检测、R代表响应，该模型中使用了三个时间参数：①Pt，有效保护时间，是指信息系统的平安控制措施所能有效发挥保护作用的时间。②Dt，检测时间，是指平安检测机制能够有效发现攻击、破坏行为所需的时间。③Rt，响应时间，是指平安响应机制作出反响和处理所需的时间。2.1信息与信息平安

2025/1/299企业资源管理研究中心(AMT)PDR模型的时间关系表达式：①Pt>Dt+Rt：系统平安，即在平安机制针对攻击、破坏行为作出了成功的检测和响应时，平安控制措施依然在发挥有效的保护作用，攻击和破坏行为未给信息系统造成损失。②Pt<Dt+Rt：系统不平安，即信息系统的平安控制措施的有效保护作用，在正确的检测和响应作出之前就已经失效，破坏和攻击行为已经给信息系统造成了实质性破坏和影响。2.1信息与信息平安2025/1/2910企业资源管理研究中心(AMT)〔2〕PPDRR模型保护、检测、响应和恢复四个环节要在平安策略的统一指导下构成相互作用的有机整体。PPDRR模型从体系结构上给出了信息平安的根本模型。2.1信息与信息平安2025/1/2911企业资源管理研究中心(AMT)

2.1信息与信息平安2025/1/2912企业资源管理研究中心(AMT)2.1信息与信息平安信息平安保障体系的总体结构2025/1/2913企业资源管理研究中心(AMT)2025/1/2914企业资源管理研究中心(AMT)2025/1/2915企业资源管理研究中心(AMT)2.美国信息平安国家战略(1)主要内容2003年2月14日美国公布了?确保网络空间平安的国家战略?报告。该报告确定了在网络平安方面的三项总体战略目标和五项具体的优先目标。总体战略目标：阻止针对美国至关重要的根底设施的网络攻击减少美国对网络攻击的脆弱性在确实发生网络攻击时，使损害程度最小化、恢复时间最短化2025/1/2916企业资源管理研究中心(AMT)2025/1/2917企业资源管理研究中心(AMT)2025/1/2918企业资源管理研究中心(AMT)2025/1/2919企业资源管理研究中心(AMT)2.3信息平安法规体系2025/1/2920企业资源管理研究中心(AMT)2.3信息平安法律体系2025/1/2921企业资源管理研究中心(AMT)2.3信息平安法律体系(2)治安管理处分法相关内容治安管理处分法中第29条规定：有以下行为之一的，处五日以下拘留；情节较重的，处五日以上十日以下拘留：违反国家规定，侵入计算机信息系统，造成危害的；违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行的；违反国家规定，对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的；成心制作、传播计算机病毒等破坏性程序，影响计算机信息系统正常运行的。2025/1/2922企业资源管理研究中心(AMT)2.3信息平安法律体系2025/1/2923企业资源管理研究中心(AMT)2.3信息平安法律体系条例的适用对象：任何组织或者个人条例的主要内容〔1〕准确标明了平安保护工作的性质〔2〕科学界定了计算机信息系统的概念〔3〕系统设置了平安保护的制度〔4〕明确确定了平安监督的职权〔5〕全面规定了违法者的法律责任〔6〕定义了计算机病毒及计算机信息系统平安专用产品2025/1/2924企业资源管理研究中心(AMT)1.信息平安策略概述(1)信息平安策略的定义计算机平安研究组织SANS关于计算机平安策略的定义是：“为了保护存储在计算机中的信息，平安策略要确定必须做什么，一个好的策略有足够多做什么的定义，以便于执行者确定如何做，并且能够进行度量和评估〞。(2)信息平安策略的内容目标：描述了未来的信息平安状态；任务：定义了与信息平安有关的活动，比方分配和收回权限；限制：定义了在执行任务所规定的活动时为保证信息平安所必须遵守的规那么。2.4信息平安策略2025/1/2925企业资源管理研究中心(AMT)(3)制定信息平安策略的时间理想情况下，制定信息平安策略的最正确时间是在发生第一起网络平安事故以前。(4)信息平安策略开发流程确定信息平安策略的范围风险评估/分析或者审计信息平安策略的审查、批准和实施2.4信息平安策略2025/1/2926企业资源管理研究中心(AMT)2.4信息平安策略2025/1/2927企业资源管理研究中心(AMT)(2)信息平安策略的设计范围√物理平安策略√网络平安策略√数据加密策略√系统平安策略√补丁管理策略√系统变更控制策略√复查审计策略√数据备份策略√病毒防护策略√商业伙伴、客户关系策略√身份认证及授权策略√灾难恢复策略√事故处理、紧急响应策略√平安教育策略√口令管理策略2.4信息平安策略2025/1/2928企业资源管理研究中心(AMT)2.4信息平安策略2025/1/2929企业资源管理研究中心(AMT)4.信息平安策略的保护对象(1)信息系统的硬件与软件硬件和软件是支持商业运作进行的平台，它们应该受策略所保护。所以，拥有一份完整的系统软、硬件清单是非常重要的，并且包括网络结构图。(2)信息系统的数据计算机和网络所做的每一件事情都造成了数据的流动和使用。所以有的企业、组织和政府机构，不管从事什么工作，都在收集和使用数据。(3)人员重点应该放在谁在什么情况下能够访问资源。其次要考虑的就是强制执行制度和对未授权访问的惩罚制度。2.4信息平安策略2025/1/2930企业资源管理研究中心(AMT)5.主要信息平安策略(1)口令策略所有系统都需要口令，以拥有易于实现的第一级别的访问平安性。例如：网络效劳器口令的管理效劳器的口令：由部门负责人和系统管理员商议确定，必须两人同时在场设定,由系统管理员记录封存。口令要定期更换：更换后系统管理员要销毁原记录，将新口令记录封存。如发现口令有泄密迹象：系统管理员要立刻报告部门负责人，有关部门负责人报告平安部门，同时，要尽量保护好现场并记录，须接到上一级主管部门批示后再更换口令。2.4信息平安策略2025/1/2931企业资源管理研究中心(AMT)用户口令的管理对于要求设定口令的用户，由用户方指定负责人与系统管理员商定口令，由系统管理员登记并请用户负责人确认〔签字或通知〕之后系统管理员设定口令，并保存用户档案。在用户由于责任人更换或忘记口令时要求查询口令或要求更换口令的情况下，需向网络效劳管理部门提交申请单，由部门负责人或系统管理员核实后，对用户档案做更新记载。如果网络提供用户自我更新口令的功能，用户应自己定期更换口令，并设专人负责保密和维护工作。2.4信息平安策略2025/1/2932企业资源管理研究中心(AMT)2.4信息平安策略2025/1/2933企业资源管理研究中心(AMT)2.4信息平安策略2025/1/2934企业资源管理研究中心(AMT)(2)计算机病毒和恶意代码防治策略计算机病毒是一种能够通过改变其他程序而使它们“感染〞的程序。病毒防护策略必须具备以下准那么：拒绝访问能力病毒检测能力控制病毒传播的能力去除能力恢复能力替代操作2.4信息平安策略2025/1/2935企业资源管理研究中心(AMT)2.4信息平安策略2025/1/2936企业资源管理研究中心(AMT)2.4信息平安策略2025/1/2937企业资源管理研究中心(AMT)2025/1/2938企业资源管理研究中心(AMT)2025/1/2939企业资源管理研究中心(AMT)2025/1/2940企业资源管理研究中心(AMT)2025/1/2941企业资源管理研究中心(AMT)2025/1/2942企业资源管理研究中心(AMT)(2)网络入侵检测入侵是对信息系统的非授权访问及〔或〕未经许可在信息系统中进行操作,威胁计算机或网络的平安机制〔包括保密性、完整性、可用性〕的行为入侵检测就是对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程入侵检测系统〔英文简称IDS：IntrusionDetectionSystem〕是从多种计算机系统及网络中收集信息，再通过这些信息分析入侵特征的网络平安系统。2025/1/2943企业资源管理研究中心(AMT)2025/1/2944企业资源管理研究中心(AMT)2025/1/2945企业资源管理研究中心(AMT)2025/1/2946企业资源管理研究中心(AMT)基于主机的入侵检测系统可以解决以下平安问题：特权滥用：管理员未经授权就提升某人的权限，以便该人能安装应用程序；前雇员使用应被禁止的旧帐户；管理员创立后门帐户；增加新域时由于疏忽造成的特权扩散。关键数据的访问和修改：黑客去除平安事件日志；口令文件的非法修改；进行维护工作的负责人修饰活动记录。平安配置中的变化：部署的新系统没有禁止客人(Guest)帐户；仓促重建系统使得注册表对网