- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
>
Three primary factors of encryption strength:
Algorithm strength The secrecy of the key The length of the key
认证
>
标准的认证方法
what you know(password authentication) what you have(entry card、digital certificates) who you are(biometrics technology) where you are(rlogin,rsh)
百分之百的安全?
>
开发最少服务提供最小权限原则
>
安全既需求平衡
过分繁杂的安全政策将导致比没有安全政 策还要低效的安全。 需要考虑一下安全政策给合法用户带来的影响在很多情况下如果你的用户 所感受到的不方便大于所产生的安全上的提高,则执行的安全策略是实际 降低了你公司的安全有效性。
安全需求平衡为安全设计考虑的根本
Human resources and e-commerce databases 威胁: Obtaining trade secrets,customer data
攻击者的分类
>
偶然的破坏者
>
>
坚定的破坏者
间谍
典型的攻击方式及安全规则
>
前门攻击和暴力破解法
>
>
BUG和后门
社会工程和非直接攻击
本章的小结
电子交易 电子商务 电子政务
复杂程度
Intranet 站点 Web 浏览 Internet Email
时间
黑客漏洞的发展趋势
网络系统日益复杂,安全隐 脆 弱 性 患急剧增加
程 度
信息网络系统的复杂性增加
黑客攻击越来越容易实现,威胁程度越来越高
高 对攻击者技术知识和技巧 的要求
各种攻击者的综合威胁 程度 低 1980 1985 1990 1995 时间(年) 2001 2003
>
物理安全
>
> > > >
系统安全
网络安全 应用安全 信息安全 文化安全
文化安全
信息安全 系统安全 物理安全
第一章节: 什么是安全?
本章要点
安全定义
解释网络安全的必要性
识别哪些资源需要被保护 如何建立有效的安全矩阵
安全是什么?
>
网络安全
一种能够识别和消除不安全因素的能力 安全是一个持续的过程
>
制定有效的安全矩阵应具备什么属性?
>
>
资源分类的重要性及其优点?
几种常见的安全标准的定义?
第二课:安全的基本元素
本章要点
阐述一个有效的安全基本策略
识别用户认证方法的关键 解释对访问控制方法的需要 Describe the function an ACL and an ECL 列举出三种在网络中常见的加密方法 解释审计的需要
>
>
CHECK POINT的代理商专区密码验证漏洞
由于口令验证部分出现漏洞,任何人可以绕过
内部的机密资料可以被随意下载
内部的机密资料可以被随意下载
同样的漏洞出现在CCTV的网站上
任意人可以在网站上添加新栏目内容
也可以随意删除和修改现有的内容栏目
被修改后的CCTV的网站
网络信息安全涉及方面
安全需求平衡
建立一个有效的安全矩阵
>
安全距阵
一个安全矩阵由单个操作系统安全特征、日志服务和其他的装备 包括防火墙,入侵检测系统,审查方案构成。
>
安全矩阵系统最主要的几个方面
Байду номын сангаас
允许访问控制 容易使用 合理的花费 灵活性和伸缩性 优秀的警报和报告
保护资源
>
终端用户资源
The workstations used by employees 威胁 : 病毒,黑客木马, Active X,applet
>
网络资源
Routers,switches,wiring closets, telephony 威胁: IP 欺骗,拒绝服务攻击 DNS,WEB, Email, FTP 等服务器 威胁: Unauthorized entry, D.O.S, trojans
>
服务器资源
>
信息存储资源
加密
>
加密类型
对称加密 非对称加密 HASH加密
>
What encryption does?
Data confidentiality Data integrity(Hash) Authentication(Digital signatures) Non-repudiation (Digital signatures)
安全基本元素
审计 管理 加密 访问控制 用户验证 安全策略
安全策略
>
the foundation of successful security system
>
建立一个有效的安全策略
为你的系统分类 指定危险因数 确定每个系统的安全优先级 定义可接受和不可接受的活动 决定在安全问题上如何教育所有员工 确定谁管理你的政策
>
我们将讨论与网络有关的安全问题
黑客活动
>
CERT(Computer Emergency Response Team)
>
>
黑客攻击所造成的损失和危害
为什么我们不能杜绝攻击事件的发生
为什么我们不能杜绝攻击事件的发生
>
> >
日趋精密的攻击以及以INTERNET为基础的技术快速发展
由于IT技术人员和资金的缺乏无法获得更多的资源 没有被充分保护的系统大量的快速的部署
理解风险
>
越来越多的黑客站点出现提供非常丰富的攻击代码和实用工具,它使 得用户:
● 获得如何开始黑客活动的相当准确的建议 ● 扫描网络以确定那些目标被攻击 ● 使用虚假信息攻击e-mail,数据库,文件。 ● 摧毁和渗透路由器和其他的网络连接设备 ● 击败和摧毁认证和加密方法
Internet 技术的飞速增长
信息安全技术基础
什么是信息安全?
>
信息是一种资产,就像其它重要的商业资产一样,它对一个组织来说 是有价值的,因此需要妥善进行保护。 信息安全保护信息免受多种威胁的攻击,保证业务连续性,将业务损 失降至最少,同时最大限度地获得投资回报和利用商用机遇。信息存 在的形式多种多样。它可以打印或写在纸上,以电子文档形式存储, 通过邮寄或电子手段传播,以胶片形式显示或在交谈中表达出来。不 管信息的形式如何,或通过什么手段进行共享或存储,都应加以妥善 保护。 首先来看一个有关信息安全的真实案例
