安全體系基礎(chǔ)（44頁)ppt課件

1、電子政務(wù)處理方案培訓(xùn)(二)-平安體系根底知識主要內(nèi)容信息系統(tǒng)平安體系傳統(tǒng)的平安手段平安體系構(gòu)造平安保證體系的組成信息系統(tǒng)的平安分析V弱點(diǎn)分析T要挾分析R風(fēng)險分析C對策分析信息平安的要挾蓄意或無意蓄意的要挾：企圖破解系統(tǒng)平安無意的要挾：系統(tǒng)管理不良自動或被動被動的要挾行為：不會更改計(jì)算機(jī)系統(tǒng)資料自動的要挾行為：計(jì)算機(jī)系統(tǒng)上資料會被篡改實(shí)體或邏輯實(shí)體的要挾對象：實(shí)踐存在之硬設(shè)備邏輯的要挾對象：計(jì)算機(jī)系統(tǒng)上的資料平安需求層次物理平安網(wǎng)絡(luò)平安系統(tǒng)主機(jī)平安運(yùn)用數(shù)據(jù)平安管理平安業(yè)務(wù)系統(tǒng)internet勞動局民政局物理平安環(huán)境平安設(shè)備實(shí)體平安媒體介質(zhì)平安人員管理平安物理平安評價與建議業(yè)務(wù)系統(tǒng)internet

2、勞動局民政局環(huán)境平安計(jì)算機(jī)機(jī)房環(huán)境不良溫度：20OC - 25OC濕度：40% - 60% 落塵：停電、雷擊機(jī)房位置規(guī)劃不當(dāng)火災(zāi)地震水患設(shè)備實(shí)體平安計(jì)算機(jī)系統(tǒng)缺點(diǎn)預(yù)防重于保養(yǎng)、保養(yǎng)重于修繕設(shè)備復(fù)原：Cold Site、Hot Site容錯系統(tǒng) (Fault Tolerance)網(wǎng)絡(luò)斷線媒體介質(zhì)平安軟件程序平安管理操作系統(tǒng)(Operation System)公用程序(Utility)或工具(Tool) 管理信息運(yùn)用系統(tǒng)敏感媒體的處置 碎紙機(jī)磁性數(shù)據(jù)的去除運(yùn)用者資料備份(Backup)周期備份(Revolving Backup)選擇備份(Selective Backup)儲存?zhèn)浞葙Y料的位置應(yīng)遠(yuǎn)離計(jì)

3、算機(jī)機(jī)房人員管理平安非法侵入者會呵斥三種問題：盜竊機(jī)器或資料破壞機(jī)器閱讀資料防止非法侵入者入侵：防止盜竊防止攜出外出檢測人員進(jìn)出控制物理平安評價與建議建筑物場所位置的思索：所處樓層能否遠(yuǎn)離發(fā)電廠或變電所；所處樓層能否不易蒙受水患。行政管理方面：對進(jìn)出主機(jī)房人員的控制方式及身份的限制方式。在維護(hù)廠商進(jìn)展維護(hù)時陪伴人員的身份。對于superuser密碼持有人的身份。信息中心人員有意見時反響的管道的方式。信息中心成員離任時的處置程序。信息中心人員職務(wù)代理人員制度。對系統(tǒng)維護(hù)的措施。對資源的保險措施能否有明確制度。物理平安評價與建議續(xù)系統(tǒng)管理及軟件平安方面：操作系統(tǒng)能否有專人管理。系統(tǒng)之備份(back

4、 up)多久執(zhí)行一次。對于計(jì)算機(jī)病毒如何處置。計(jì)算機(jī)操作及資料平安方面：對計(jì)算機(jī)設(shè)備操作訓(xùn)練及信息平安相關(guān)課程。對計(jì)算機(jī)設(shè)備操作程序能否有闡明文件。操作人員、值班人員的安排方式。文件、磁盤、磁帶的報(bào)銷及銷售控制。計(jì)算機(jī)系統(tǒng)各設(shè)備及通訊網(wǎng)絡(luò)設(shè)備的檢查測試。對于運(yùn)用的資源信息的各級分類情況。 網(wǎng)絡(luò)平安網(wǎng)絡(luò)平安的需求分析網(wǎng)絡(luò)平安的平安技術(shù)對策網(wǎng)絡(luò)平安的處理方案與建議業(yè)務(wù)系統(tǒng)internet勞動局民政局網(wǎng)絡(luò)平安要挾截?cái)鄶r截篡改偽裝重放阻撓效力(Denial of service )網(wǎng)絡(luò)平安要挾正常流程截?cái)?Interruption)攔截(Interception)偽裝(Fabrication)篡改(M

5、odification)嗅探(sniff)ABCsrc:B dest:A payload偽裝(spoof)ABCsrc:B dest:A payload阻撓(DDOS)ABCSYNSYNSYNSYNSYNSYNSYN網(wǎng)絡(luò)平安的平安技術(shù)對策通訊鏈路平安訪問控制與平安邊境管理網(wǎng)絡(luò)行為管理網(wǎng)絡(luò)信息監(jiān)控與入侵證據(jù)管理網(wǎng)絡(luò)平安的處理方案與建議采用通訊嚴(yán)密技術(shù)實(shí)現(xiàn)鏈路平安采用防火墻技術(shù)，控制訪問權(quán)限建立入侵檢測和網(wǎng)絡(luò)行為追蹤體系，防止非法訪問與攻擊運(yùn)用網(wǎng)絡(luò)平安掃描技術(shù)，自動探測網(wǎng)絡(luò)平安破綻，進(jìn)展網(wǎng)絡(luò)平安評價設(shè)立主頁監(jiān)視系統(tǒng)，防止主頁被篡改建立網(wǎng)絡(luò)防病毒體系系統(tǒng)主機(jī)平安系統(tǒng)平安的需求分析系統(tǒng)平安的平安技術(shù)對

6、策系統(tǒng)平安的處理方案與建議業(yè)務(wù)系統(tǒng)internet勞動局民政局操作系統(tǒng)的平安要挾非法運(yùn)用者的入侵及存取授權(quán)運(yùn)用者蓄意的破壞及泄密惡意的軟件 惡意的軟件計(jì)算機(jī)病毒(Virus) 特性：激活、傳播、感染、寄居 種類： 開機(jī)型、檔案型、宏型寄生蟲(Worm) 復(fù)制、傳播病毒(阻斷效力)、不會破壞系統(tǒng)特洛依木馬(Trojan Horse) 將一段程序代碼偷藏在普通程序、不會復(fù)制邏輯炸彈(Logic Bomb) 一旦條件吻合就執(zhí)行特洛依木馬上偷藏之程序代碼暗門(Trapdoor)偽裝(Spoofing) 冒充系統(tǒng)所產(chǎn)生之訊息系統(tǒng)平安的平安技術(shù)對策平安操作系統(tǒng)技術(shù)操作系統(tǒng)平安加強(qiáng)技術(shù)弱點(diǎn)破綻與風(fēng)險管理個人

7、桌面系統(tǒng)平安病毒防治系統(tǒng)平安的處理方案與建議采用國家答應(yīng)的平安操作系統(tǒng)和操作系統(tǒng)平安加強(qiáng)技術(shù)運(yùn)用系統(tǒng)平安掃描技術(shù)，自動探測操作系統(tǒng)平安破綻，進(jìn)展平安評價建立主機(jī)防病毒體系運(yùn)用平安運(yùn)用平安的需求分析運(yùn)用平安的平安技術(shù)對策運(yùn)用平安的處理方案與建議運(yùn)用平安需求認(rèn)證身份鑒別、數(shù)據(jù)鑒別性完好性授權(quán)不可否認(rèn)運(yùn)用平安的平安技術(shù)對策運(yùn)用系統(tǒng)平安數(shù)據(jù)與數(shù)據(jù)庫平安用戶權(quán)限管理運(yùn)用平安的處理方案與建議建立基于PKI的身份認(rèn)證體系建立基于PKI的密碼效力體系建立基于PKI的信任效力體系管理平安平安規(guī)章制度平安管理中心平安培訓(xùn)教育平安管理機(jī)構(gòu)主要內(nèi)容信息系統(tǒng)平安體系傳統(tǒng)的平安手段傳統(tǒng)的平安防御手段虛擬公用網(wǎng)防火墻訪問控

8、制破綻掃描入侵檢測病毒防治防火墻1網(wǎng)絡(luò)邊境平安防火墻是網(wǎng)絡(luò)層的平安訪問控制產(chǎn)品，做為內(nèi)部網(wǎng)絡(luò)平安的屏障，其主要目的是維護(hù)內(nèi)部網(wǎng)絡(luò)資源，強(qiáng)化網(wǎng)絡(luò)訪問平安戰(zhàn)略；防止內(nèi)部信息泄露和外部入侵；提供對網(wǎng)絡(luò)資源的訪問控制；提供對網(wǎng)絡(luò)活動的審計(jì)、監(jiān)視等功能。2防火墻與社保系統(tǒng)平安社保系統(tǒng)網(wǎng)絡(luò)主要分為內(nèi)部中心業(yè)務(wù)和對外公眾效力兩類網(wǎng)絡(luò)；對外公眾效力與INTERNET直接銜接，作為網(wǎng)絡(luò)邊境平安的平安控制產(chǎn)品的防火墻，主要安裝在社保網(wǎng)與外部網(wǎng)絡(luò)的物理或邏輯銜接的接口上，用來維護(hù)網(wǎng)絡(luò)的平安。入侵檢測網(wǎng)絡(luò)入侵檢測系統(tǒng)是實(shí)時的網(wǎng)絡(luò)違規(guī)自動識別和呼應(yīng)系統(tǒng)。它運(yùn)轉(zhuǎn)于敏感數(shù)據(jù)需求維護(hù)的網(wǎng)絡(luò)上，經(jīng)過實(shí)時監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)流，識別，記

9、錄入侵和破壞性代碼流，尋覓網(wǎng)絡(luò)違規(guī)方式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)方式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試時，網(wǎng)絡(luò)入侵檢測系統(tǒng)可以根據(jù)系統(tǒng)平安戰(zhàn)略作出反響。當(dāng)發(fā)生以下情況時，尤其需求采用網(wǎng)絡(luò)入侵檢測系統(tǒng)技術(shù)來保證網(wǎng)絡(luò)的平安。當(dāng)來自網(wǎng)絡(luò)外部的攻擊穿透防火墻進(jìn)入內(nèi)部網(wǎng)時，防火墻的維護(hù)功能曾經(jīng)不復(fù)存在。當(dāng)攻擊來自網(wǎng)絡(luò)內(nèi)部時，防火墻無法對攻擊進(jìn)展呼應(yīng)或阻斷。IDS破綻掃描針對系統(tǒng)與網(wǎng)絡(luò)平安性脆弱性進(jìn)展分析和評價，提供掃描效力和系列工具的網(wǎng)絡(luò)平安檢測設(shè)備，主要是利用目前所發(fā)現(xiàn)和國內(nèi)外公布的危害系統(tǒng)和網(wǎng)絡(luò)方法，對網(wǎng)絡(luò)目的掃描分析，檢查并報(bào)告系統(tǒng)存在的平安脆弱性和破綻所在，描畫這些平安脆弱問題對網(wǎng)絡(luò)系統(tǒng)的危害程

10、度，對相關(guān)聯(lián)的多個結(jié)果進(jìn)展分析比較，并對平安脆弱分布情況進(jìn)展統(tǒng)計(jì)，并且提出相應(yīng)的平安防護(hù)措施和應(yīng)實(shí)施的平安戰(zhàn)略，以最終到達(dá)加強(qiáng)網(wǎng)絡(luò)平安性的目的。Internal Network Scanner防病毒計(jì)算機(jī)病毒與網(wǎng)絡(luò)病毒的檢測、去除與預(yù)防是網(wǎng)絡(luò)系統(tǒng)平安要素的一個很重要的方面。目前，計(jì)算機(jī)病毒的種類與傳播媒介日益繁多，病毒更主要是經(jīng)過網(wǎng)絡(luò)共享文件、電子郵件及Internet/Intranet進(jìn)展傳播。計(jì)算機(jī)病毒防護(hù)曾經(jīng)成為計(jì)算機(jī)系統(tǒng)平安戰(zhàn)略中的重要內(nèi)容。結(jié)合現(xiàn)有網(wǎng)絡(luò)構(gòu)造和層次構(gòu)造，建立集中控管方式下的全方位病毒防護(hù)系統(tǒng)： 網(wǎng)關(guān)防病毒，快速掃描，實(shí)時監(jiān)控 對一切病毒的侵入點(diǎn)設(shè)置防毒軟件電子郵件查毒與

11、內(nèi)容掃描結(jié)合與防火墻的整合 分布式防病毒，集中控管 告警的多樣化、集中化 virus ScannerEvent Logger平安審計(jì)實(shí)時監(jiān)視保證信息的完好性和可控性，記錄網(wǎng)絡(luò)中的各類操作，綜合分析網(wǎng)絡(luò)中發(fā)生的平安事件，根據(jù)設(shè)置的規(guī)那么，智能地判別出違規(guī)行為，并對違規(guī)行為進(jìn)展記錄、報(bào)警和阻斷?？梢詫τ脩敉该鬟\(yùn)用，將用戶對操作系統(tǒng)和網(wǎng)絡(luò)的一切訪問都忠實(shí)的記錄下來進(jìn)展事后分析，并且可以進(jìn)展實(shí)時平安預(yù)警，從而有效的管理內(nèi)部人員的平安運(yùn)用和對外部的黑客入侵行為進(jìn)展實(shí)時報(bào)警和阻斷，有效的保證需求高平安性系統(tǒng)的平安，防止信息被未授權(quán)的人篡改。PBXTelcoTelcoModem PoolPolicyPoli

12、cyPolicyPolicyPolicyPolicyPolicyPolicyPolicyInternal Network ScannerPolicyEvent LoggerOffice Work-stationModem ScannerExternal Network ScannerDSL & Cable ModemsInternetAdmin Computing Web FTPDormsIDSDMZPolicyDept. ConnectionsPolicy傳統(tǒng)平安模型傳統(tǒng)平安手段的局限傳統(tǒng)的平安手段是被動的、“捍衛(wèi)科式的平安傳統(tǒng)的平安手段是處理某一個單一層面的、片面的平安傳統(tǒng)的平安手段無法實(shí)現(xiàn)信息本身的完好性、性維護(hù)傳統(tǒng)的平安手段無法支持抗抵賴性PKI, DS, and CAPBXTelcoTelcoModem PoolPolicyPolicyPolicyPolicyPolicyPolicyPolicyPolicyPolicyPolicyInternal Network Sc