計算機系統(tǒng)安全 上海交通大學(xué)銅陵掛職團博士生論壇姚清耘 2 上海交通大學(xué) 系統(tǒng)安全是安全的關(guān)鍵 單點產(chǎn)品無法保證安全 確保安全需要系統(tǒng)級方法 尤其是當(dāng)應(yīng)用和計算資源在網(wǎng)絡(luò)中日益分散時更是如此 JohnChambers思科公司首席執(zhí)行官 安全問題仍是核心 只有當(dāng)客戶能夠安全地部署解決方案 且整個社區(qū)協(xié)同抵御黑客和犯罪份子攻擊時 才能發(fā)揮技術(shù)的全部潛能 BillGates微軟公司總裁 3 上海交通大學(xué) 進不來 拿不走 改不了 跑不了 看不懂 信息安全的目的 可審查 信息安全的目的是保障信息安全 主要目的有 4 上海交通大學(xué) 信息安全大事件 5 上海交通大學(xué) 網(wǎng)絡(luò)安全目前存在的威脅 6 上海交通大學(xué) Happy99 7 上海交通大學(xué) W32 Cervivec A 8 上海交通大學(xué) 2004年度十大惡性病毒 網(wǎng)絡(luò)天空 Worm Netsky 愛情后門 Worm lovegate SCO炸彈 Worm Mydoom 小郵差 Worm Mimail 垃圾桶 Worm lentin m 惡鷹 Worm BBeagle 求職信 Worm kle z 高波 Worm Agobot 3 震蕩波 Worm sasser 瑞波 Backdoor Rbot 9 上海交通大學(xué) DDOS 分布式拒絕服務(wù)攻擊 10 上海交通大學(xué) 計算機犯罪 網(wǎng)絡(luò)垃圾 虛假信息 11 上海交通大學(xué) 入侵者知識 12 上海交通大學(xué) 傳統(tǒng)安全解決方案 防火墻 Firewall 入侵檢測 IDS VPN防病毒 13 上海交通大學(xué) 防火墻的概念 信任網(wǎng)絡(luò) 防火墻 非信任網(wǎng)絡(luò) 防火墻是用于將信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò)隔離的一種技術(shù) 它通過單一集中的安全檢查點 強制實施相應(yīng)的安全策略進行檢查 防止對重要信息資源進行非法存取和訪問 以達到保護系統(tǒng)安全的目的 14 上海交通大學(xué) 入侵檢測的概念和作用 入侵檢測即通過從網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵節(jié)點收集并分析信息 監(jiān)控網(wǎng)絡(luò)中是否有違反安全策略的行為或者是否存在入侵行為 它能夠提供安全審計 監(jiān)視 攻擊識別和反攻擊等多項功能 對內(nèi)部攻擊 外部攻擊和誤操作進行實時監(jiān)控 在網(wǎng)絡(luò)安全技術(shù)中起到了不可替代的作用 15 上海交通大學(xué) 防火墻的不足 防火墻并非萬能 防火墻不能完成的工作 源于內(nèi)部的攻擊不通過防火墻的連接完全新的攻擊手段不能防病毒 16 上海交通大學(xué) 隱形飛機躲過雷達發(fā)現(xiàn) 17 上海交通大學(xué) 依靠恢復(fù)不能滿足關(guān)鍵應(yīng)用 高射炮系統(tǒng)正在恢復(fù) 18 上海交通大學(xué) 木桶原理 我們部門最短的那塊木板在哪里 19 上海交通大學(xué) 安全桎梏 20 上海交通大學(xué) 概念的提出 信息安全管理 ISM 為何要建設(shè)信息安全管理 21 上海交通大學(xué) 目前存在的問題 空口令 簡單口令 默認口令設(shè)置 長期不更換 點擊進入危險的網(wǎng)站或鏈接 接收查看危險的電子郵件附件 系統(tǒng)默認安裝 從不進行補丁升級 撥號上網(wǎng) 給個人以及整個公司建立了后門 啟動了眾多的不用的服務(wù) 個人重要數(shù)據(jù)沒有備份 兼職的安全管理員物理安全保護基本的安全產(chǎn)品簡單的系統(tǒng)升級機房安全管理制度資產(chǎn)管理制度 超過70 的信息安全事件 如果事先加強管理 都可以得到避免 22 上海交通大學(xué) 信息安全管理現(xiàn)狀 傳統(tǒng)的信息安全管理基本上還處在一種靜態(tài)的 局部的 少數(shù)人負責(zé)的 突擊式 事后糾正式的管理方式不能從根本上避免 降低各類風(fēng)險 也不能降低信息安全故障導(dǎo)致的綜合損失 23 上海交通大學(xué) 概念的進一步提出 信息安全管理體系 ISMS 24 上海交通大學(xué) 信息安全管理體系 ISMS 由于許多信息系統(tǒng)并非在設(shè)計時充分考慮了安全 依靠技術(shù)手段實現(xiàn)安全很有限 必須依靠必要的管理手段來支持 信息安全管理就是通過保證信息的機密性 完整性和可用性來管理和保護組織的所有信息資產(chǎn)的一項體制 通過合理的組織體系 規(guī)章制度和控管措施 把具有信息安全保障功能的軟硬件設(shè)施和管理以及使用信息的人整合在一起 以此確保整個組織達到預(yù)定程度的信息安全 稱為信息安全管理體系 ISMS 25 上海交通大學(xué) 如何構(gòu)建 如何構(gòu)建信息安全管理體系 26 上海交通大學(xué) 信息安全管理體系的基本構(gòu)成 27 上海交通大學(xué) 建立信息安全管理體系的步驟 28 上海交通大學(xué) 安全評估系統(tǒng)工作原理 遠程掃描分析 目標(biāo)設(shè)備 1 發(fā)送帶有明顯攻擊特征的數(shù)據(jù)包 2 等待目的主機或設(shè)備的響應(yīng) 3 分析回來的數(shù)據(jù)包的特征 4 判斷是否具有該脆弱性或漏洞 29 上海交通大學(xué) 信息系統(tǒng)的風(fēng)險管理 30 上海交通大學(xué) 安全審計系統(tǒng) 31 上海交通大學(xué) 制度簡單 內(nèi)容不全交叉重復(fù) 混亂無章厚厚一本 無針對性懸掛墻壁 應(yīng)付檢查鎖在柜中 無人知曉 信息安全管理體系執(zhí)行常見現(xiàn)象 建立完善的信息安全管理組織體系建立信息安全巡檢制制定可操作性的管理規(guī)范制定針對性的管理規(guī)范與組織文化結(jié)合的管理方式從松到嚴 從少到多的管理要求制度 規(guī)范等的定期維護安全管理平臺的集中監(jiān)控安全服務(wù)商的定期安全服務(wù) 信息安全管理體系執(zhí)行建議 信息安全管理體系重在落實 32 上海交通大學(xué) 安全體系 33 上海交通大學(xué) 溫馨小提示 是否正確配置了防火墻 防病毒網(wǎng)絡(luò)版軟件 IDS 郵件過濾系統(tǒng)等網(wǎng)絡(luò)安全產(chǎn)品 業(yè)務(wù)數(shù)據(jù)庫是否有定期備份 事務(wù)日志是否維護是否有跟進最新安全資訊 是否及時為服務(wù)器系統(tǒng)打補丁是否關(guān)閉了不必要的功能及端口機房物理安全措施是否得當(dāng)是否存在弱口令是否有循環(huán)檢查系統(tǒng)日志以及動態(tài)監(jiān)控網(wǎng)絡(luò)狀況是否對于大規(guī)模攻擊方式做出應(yīng)對響應(yīng)是否制定內(nèi)部安全準則 并對內(nèi)部人員定期培訓(xùn)遠程管理服務(wù)器的時候 你是否采用了安全的協(xié)議 如SSH 而沒有采用Telnet FTP等 個人密碼是否安全防病毒軟件客戶端是否配置正確是否啟用了自動更新個人重要文件 數(shù)據(jù)是否加密 備份是否有隨便點擊可疑郵件附件 網(wǎng)上可疑鏈接是否有使用不安全協(xié)議的軟件一旦感染病毒 是否知曉一般的應(yīng)對措施 34 上海交通大學(xué) 信息安全的事實 廣泛 安全是一個廣泛的主題 它涉及到許多不同的區(qū)域 物理 網(wǎng)絡(luò) 系統(tǒng) 應(yīng)用 管理等 每個區(qū)域都有其相關(guān)的風(fēng)險 威脅及解決方法 動態(tài) 相對 絕對的信息安全是不存在的 信息安全問題的解決只能通過一系列的規(guī)劃和措施 把風(fēng)險降低到可被接受的程度 同時采取適當(dāng)?shù)臋C制使風(fēng)險保持在此程度之內(nèi) 當(dāng)信息系統(tǒng)發(fā)生變化時應(yīng)當(dāng)重新規(guī)劃和實施來適應(yīng)新的安全需求 人 信息系統(tǒng)的安全往往取決于系統(tǒng)中最薄弱的環(huán)節(jié) 人 人是信息安全中最關(guān)鍵的因素 同時也應(yīng)該清醒的認識到人也是信息安全中最薄弱的環(huán)節(jié) 僅僅依賴于安全產(chǎn)品的堆積來應(yīng)對迅速發(fā)展變化的各種攻擊手段是不能持續(xù)有效的 信息安全建設(shè)是一項復(fù)雜的系統(tǒng)工程 要從觀念上進行轉(zhuǎn)變 規(guī)劃 管理 技術(shù)等多種因素相結(jié)合使之成為一個可持續(xù)的動態(tài)發(fā)展的過程 35 上海交通大學(xué) 上海交通大學(xué)銅陵掛職團博士生論壇 謝謝