信息系统安全ppt课件

,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,WWW.HZTEC.ORG.CN,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,WWW.HZTEC.ORG.CN,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,WWW.HZTEC.ORG.CN,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,WWW.HZTEC.ORG.CN,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,WWW.HZTEC.ORG.CN,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,WWW.HZTEC.ORG.CN,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,WWW.HZTEC.ORG.CN,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,WWW.HZTEC.ORG.CN,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,*,可编辑,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,*,可编辑,*,信息系统安全,西南交通大学经济管理学院,2013.9,信息系统安全西南交通大学经济管理学院,学习目标,1,、为什么信息系统面对破坏、错误和滥用等问题时如此脆弱？,2,、信息系统安全和控制的商业价值是什么？,3,、信息系统安全和控制的组织框架有哪些要素？,4,、保护信息资源最重要的工具和技术有哪些？,学习本章，你将了解到：,学习目标1、为什么信息系统面对破坏、错误和滥用等问题时如此脆,主要内容,系统脆弱性与滥用,1,信息系统安全与控制的商业价值,2,建立安全与控制的管理框架,保护信息资源的技术与工具,4,3,MIS,实践,5,主要内容系统脆弱性与滥用1信息系统安全与控制的商业价值2建立,网站安全案例,2009,年全年中国大陆网站监测到被篡改数量,有,4.2,万个网站被黑客篡改,其中：政府网站被篡改,2765,个,2010,年,1-2,月中国大陆网站监测到被篡改数量,4185,个网站被黑客篡改,其中：政府网站被篡改,764,个,6,月份：大量高校网站被黑（包括北大、清华、浙大）,（依据“,国家计算机网络应急技术处理协调中心,”报告）,网站安全案例2009年全年中国大陆网站监测到被篡改数量,网站安全案例,简介,病毒作者李俊（男，,25,岁，武汉新洲区人）,编写日期：,2006,年,10,月,16,日,截至到,2,月底，,CNCERT/CC,监测发现,11,万个,IP,地址的主机被“熊猫烧香”病毒感染,销售给,120,余人，非法获利,10,万余元,被捕日期：,2007,年,2,月,12,日,被判刑,4,年,熊猫烧香,网站安全案例简介病毒作者李俊（男，25岁，武汉新洲区人）熊猫,网站安全案例,波士顿凯尔特人大败间谍软件,球队教练、员工的笔记本在几点和机场连接公共,Wi-Fi,，感染恶意间谍软件；,访问公司内部系统时，就可能将恶意间谍软件植入公司内部系统；,使用,Mi5 Networks Webgate,的安全应用程序阻止间谍软件侵入公司内部网络，并阻止被植入间谍软件的计算机将数据传输到间谍软件所连接的另一端。,网站安全案例波士顿凯尔特人大败间谍软件球队教练、员工的笔记本,系统脆弱性与滥用,未经授权的访问,访问,窃听,嗅探,篡改信息,盗窃和欺诈,辐射,黑客攻击,病毒和蠕虫,盗窃和欺诈,故意破坏,拒绝服务攻击,客户端,通信线路,企业服务器,企业系统,硬件,操作系统,软件,盗窃数据,复制数据,篡改数据,硬件鼓掌,软件故障,数据库,现代信息系统可能遭受的最常见威胁,基于,Web,的应用体系结构通常包括,Web,客户端、服务器以及连接到数据库的企业信息系统。每一个组成部分都可能面对安全挑战和漏斗。体系的任意缓解都有可能被水灾、火灾、停电或其他电力故障所干扰。,系统脆弱性与滥用未经授权的访问窃听黑客攻击客户端通信线路企业,系统脆弱性与滥用,现代信息系统可能遭受的最常见威胁,TCP,连接欺骗,IP,欺骗,实现数据监听,窃取、插入、删除,传输层,网络层,数据链路层,物理层,认证、访问控制、保密性,应用层,系统脆弱性与滥用现代信息系统可能遭受的最常见威胁TCP连接欺,系统脆弱性与滥用,互联网的脆弱性,通过电缆调制解调器或数字用户线路（,DSL,）接入网络的计算机更易被外接入侵，因为他们使用固定的互联网地址，跟容易被识别。,如果基于互联网技术的电话服务网络不再安全的专用网络上运行，那么它比交换语音网络更易遭受破坏。黑客可以通过入侵支持,VoIP,的服务器，窃听回话内容或关闭语音服务。,电子邮件、即时通信（,IM,）和对等文件共享的广泛使用也会使系统易遭破坏。,系统脆弱性与滥用互联网的脆弱性通过电缆调制解调器或数字用户线,系统脆弱性与滥用,无线网络的安全挑战,蓝牙和,Wi-Fi,网络很容易被黑客窃听。入侵者一般使用笔记本电脑，装有无线网卡、外接天线和黑客软件等。黑客利用这些工具寻找未受安全保护的网络，监控网络流量，并在某些情况下介入互联网或企业网络。,系统脆弱性与滥用无线网络的安全挑战蓝牙和Wi-Fi网络很容易,恶意软件,恶意软件,恶意软件,+,网络,网络的出现改变了病毒的传播方式；,扩大了危害范围；,增强了攻击的破坏力。,计算机病毒,程序后门,特洛伊木马,程序炸弹,细菌,蠕虫,恶意软件恶意软件 恶意软件+网络计算机病毒程序后门特洛伊木马,恶意软件,病毒,计算机病毒是指在用户不知晓或未允许的情况下，在计算机程序或数据文件中插入的可执行的一组计算机质量或者程序代码。,蠕虫,蠕虫不需要依赖其他程序，可独立存在，能通过网络在计算机之间实现自我复制和传播。这也是蠕虫比计算机病毒传播得更快的原因。蠕虫破坏数据和程序，干扰甚至阻塞网络。,2009.12,，北京某医院，内网服务器受蠕虫攻击，所有应用系统无法运行,木马,表面上没有什么破坏性，但是它所造成的后果会出乎意料。,Pushdo,木马，一旦该木马被执行，它便伪装成一个,Apache,服务器，并试图将可执行的恶意程序导入受感染的,Windows,系统计算机中。,间谍软件,某些间谍软件也表现为恶意软件，这些小程序自动安装在计算机上，监控用户的上网记录并为广告服务。,键盘记录器,可以记录用户的键盘操作，用以窃取软件序列号、发起互联网攻击、访问电子邮件账户、获取用户的计算机密码或者窃取用户个人信息。,恶意软件病毒计算机病毒是指在用户不知晓或未允许的情况下，在计,黑客,黑客活动,身份盗窃,计算机犯罪,拒绝服务,攻击,欺骗和嗅探,点击欺诈,黑客黑客活动身份盗窃计算机犯罪拒绝服务欺骗和嗅探点击欺诈,黑客,攻击步骤,信息,收集,获取用,户权限,安装,后门,扩大,影响,清除,痕迹,黑客攻击步骤信息获取用安装扩大清除,十大超级老牌黑客,电话大盗,约翰,德拉浦,十大超级老牌黑客电话大盗,十大超级老牌黑客,苹果电脑创始人,斯蒂芬,沃兹尼克,十大超级老牌黑客苹果电脑创始人,十大超级老牌黑客,Unix,之父,利奇和汤普生,十大超级老牌黑客Unix之父,十大超级老牌黑客,Linux,之父,李纳斯,托沃兹,好像是谈论梦想，又好像是,X,档案,中的一段情节。一个,21,岁的芬兰大学生，在学生宿舍里写了一个操作系统的内核,-Linux,，然后公布于众，吸引了成千上万的程序员为之增补、修改和传播，短短几年就拥有了,1000,多万的用户，成为地球上成长最快的软件。李纳斯,托沃兹（,Linus Torvalds,），当今世界最著名的电脑程序员、黑客。,Linux,内核的发明人及该计划的合作者。托瓦兹利用个人时间及器材创造出了这套当今全球最流行的操作系统内核之一。使自由软件从产业思想运动演变成为市场商业运动，从此改变了软件产业，乃至,IT,产业的面貌。,十大超级老牌黑客Linux之父 好像是谈论梦想，又好像,十大超级老牌黑客,Lotus,创始人,米切尔,卡普尔,自由软件理论旗手,埃里克,史蒂文,雷蒙德,十大超级老牌黑客Lotus创始人自由软件理论旗手,十大超级老牌黑客,罗伯特,莫里斯,Robert Morris,个人简介：,目前的状况：罗伯特,.,莫里斯现在是,MIT,的助理教授。他是,1988,年在这里发布他的蠕虫病毒的,(,从而掩饰是在康奈尔大学编制蠕虫病毒的这个事实,),。,鲜为人知的事实：,1990,年，当美国安全部门搜查“死亡兵团”成员,Erik Bloodaxe,家时，他们发现了莫里斯的网络蠕虫的源代码的拷贝。,自己独特的工具：少年莫里斯有一个贝尔实验室计算机网络的帐号，早期的黑客攻击使之拥有超级用户的权限。,第一次接触计算机：在家里。莫里斯的父亲曾从,NSA,带回把一台原始的神秘的密码机器到家里。它成为一家人的谈资。,主要成就：这位美国国家计算机安全中心（隶属于美国国家安全局,NSA,）首席科学家的儿子，康奈尔大学的高材生，在,1988,年的第一次工作过程中戏剧性地散播出了网络蠕虫病毒后，,Hacker,一词开始在英语中被赋予了特定的含义。在此次的事故中成千上万的电脑收到了影响，并导致了部分电脑崩溃。,圈内头衔,: rtm,十大超级老牌黑客罗伯特莫里斯Robert Morris个人,十大超级老牌黑客,凯文,.,米特尼克,Kevin Mitnick,十大超级老牌黑客凯文.米特尼克,身份盗窃案例,网络钓鱼,网络钓鱼即假装合法企业、设立虚假网站或发送电子邮件，向用户索取私密的个人资料。,亚马逊、沃尔玛和各类银行机构均为实施欺骗的首选公司。,新钓鱼技术,双面恶魔和域欺骗，很难被检测到。,身份盗窃案例网络钓鱼网络钓鱼即假装合法企业、设立虚假网站或发,身份盗窃案例,僵尸网络,攻击者往往利用几千台感染了恶意软件的“僵尸”计算机构成僵尸网络。,黑客感染了足够多的计算机，就可以利用僵尸网络所积累的资源发动攻击、网络钓鱼或随意散播“垃圾”软件。,身份盗窃案例僵尸网络攻击者往往利用几千台感染了恶意软件的“僵,木马,Pushdo,木马,一旦该木马被执行，它便伪装成一个,Apache,服务器，并试图将可执行的恶意程序导入受感染的,Windows,系统计算机中。,木马Pushdo木马,主要内容,系统脆弱性与滥用,1,信息系统安全与控制的商业价值,2,建立安全与控制的管理框架,保护信息资源的技术与工具,4,3,MIS,实践,5,主要内容系统脆弱性与滥用1信息系统安全与控制的商业价值2建立,THANK YOU,SUCCESS,2024/8/30,26,可编辑,THANK YOUSUCCESS2023/9/626,信息系统安全与控制的商业价值,1,2,3,4,公司的信息资产非常保护，需要保护,企业可能因信息系统缺乏安全和控制负法律责任,加强安全和控制也可提高员工效率并降低运营成本,案例：,研究估计,民生银行,政府出台了先关法规要求企业必须加强对安全和控制的重视，防止滥用、暴露和未经授权访问数据。法律规定企业有责任保留和存储电子记录并保密。,信息系统安全与控制的商业价值1234公司的信息资产非常保护，,主要内容,系统脆弱性与滥用,1,信息系统安全与控制的商业价值,2,建立安全与控制的管理框架,保护信息资源的技术与工具,4,3,MIS,实践,5,主要内容系统脆弱性与滥用1信息系统安全与控制的商业价值2建立,建立安全与控制的管理框架,一般控制：,指对计算机程序设计、安全和使用的控制以及对整个公司信息技术基础设施中数据文件总体安全的控制。,包括软件控制、硬件控制、计算机操作控制、数据安全控制、系统实施流程控制与管理控制,。,控制类型,应用控制：,针对特定的计算机应用程序，如薪资程序和订单处理程序,。,分为（,1,）输入控制；（,2,）处理控制；（,3,）输出控制。,信息系统的控制类型,建立安全与控制的管理框架一般控制：控制类型应用控制：信息系统,建立安全与控制的管理框架,风险评估,威胁,发生概率,损失范围,/,平均损失,预计年损失,电力故障,30%,5000200 000,（,102 500,）,30 750,盗用公款,5%,100050 000,（,25 000,）,1 275,操作失误,98%,20040 000,（,20 100,）,19 698,经过风险评估后，系统创建者就会集中控制最易受攻击和潜在损失最大指出。对于本案例而言，控制应集中在停电和操作失误上。,企业在对信息系统安全和控制投入资源之前，应该了解企业哪些资产需要保护和保护程度，风险评估可以协助企业找到性价比最高的安全控制方法。,建立安全与控制的管理框架风险评估威胁发生概率损失范围/平均损,建立安全与控制的管理框架,安全政策,可接受,使用政策,授权政策,规定不同级别的用户可访问的信息资产不同,AUP,，定义了企业的信息资源和计算设备可被谁使用,案例：联合利华,建立安全与控制的管理框架安全政策可接受授权政策规定不同级别的,建立安全与控制的管理框架,联合利华的安全政策中规定，已配备笔记本电脑的每位员工需要使用公司指定的设备，输入密码或通过其他认证方式登录公司内部网络,建立安全与控制的管理框架联合利华的安全政策中规定，已配备笔记,建立安全与控制的管理框架,灾害复原计划与业务连续性计划,灾害复原计划,业务连续性计划,是计算机和通信服务中断后的恢复计划，主要关注维持系统正常运行的技术问题,侧重于公司在灾害发生后如何恢复正常运营,案例：,备用数据中心,灾害复原公司,案例：,德意志银行,建立安全与控制的管理框架灾害复原计划与业务连续性计划灾害复原,建立安全与控制的管理框架,审计在安全控制中的角色,建立安全与控制的管理框架审计在安全控制中的角色,主要内容,系统脆弱性与滥用,1,信息系统安全与控制的商业价值,2,建立安全与控制的管理框架,保护信息资源的技术与工具,4,3,MIS,实践,5,主要内容系统脆弱性与滥用1信息系统安全与控制的商业价值2建立,访问控制,访问控制是企业用来防止未经授权的内部访问和外部访问的所有政策和程序。用户须在授权和认证后才可访问系统中的信息。,令牌,一种实体装置，用于单个用户身份的认证。,智能卡,内嵌包含可控制访问权限和其他数据的芯片。,生物认证,利用系统读取并识别人类的个体特征，如指纹、虹膜和声音等，以决定允许或拒绝访问。,访问控制访问控制是企业用来防止未经授权的内部访问和外部访问的,防火墙、入侵探测系统与杀毒软件,防火墙,企业防火墙,防火墙是由软件和硬件设备组合而成，控制进出网络的通信。防火墙一般设置在组织专用的内部网络和外部网络之间也可用于内部网络，把某个部分与其他部分分隔开来。,防火墙过滤茄红素包括静态包过滤、状态检测、网络地址转换和应用代理过滤等。,防火墙、入侵探测系统与杀毒软件防火墙企业防火墙防火墙是由软件,防火墙、入侵探测系统与杀毒软件,入侵探测系统,入侵探测系统对公司网络最脆弱的点或“热点”实施不间断的实时监控，即时发现和阻止入侵者。如果系统发现可以或异常事件，就会生成报警。,防火墙、入侵探测系统与杀毒软件入侵探测系统入侵探测系统对公司,防火墙、入侵探测系统与杀毒软件,杀毒软件和反间谍软件,杀毒软件检查计算机系统是否存在病毒并清除病毒。领先的杀毒软件生产商，如,Mc-Afee,、,Symantec,和,Trend Micro,。,反间谍软件工具对增强计算机安全非常有帮助，如,Ad-Aware,、,Spybot S,D,和,Spyware Doctor,。,防火墙、入侵探测系统与杀毒软件杀毒软件和反间谍软件杀毒软件检,保障无线网络的安全,2004,年,6,月，,Wi-Fi,联盟制定了,802.11i,规范（又名,Wi-Fi,保护访问或,WPA2,），取代,WEP,，成为更高的安全标准。,WEP,采用的是静态密钥，而新标准所采用的密钥更长且不断变化，更难破解。新标准的认证加密系统还包括中央认证服务器，以确保只有已授权的用户才可访问网络。,如何保障,Wi-Fi,的安全,保障无线网络的安全2004年6月， Wi-Fi联盟制定了80,加密和公共密钥基础构架,加密，即将文本或数据转换成密码文本的过程，除发送方和接收方，其他人无法阅读。,网络通信的加密方法有两种：,SSL,和,S-HTTP,。,加密有两种方法：对称密钥加密和公共密钥加密。,公共密钥加密，采用两个密钥，一个公钥一个私钥，两个密钥之间在数学上有关联，因此由一个密钥加密的信息只能用另一个解密。,加密,公共密钥加密：交流双方在发送和接收信息之前，首先要分别创建公开和私密的的密钥对。公钥保存在公开目录下，私钥则须用户秘密保存。信息的发送方用公钥加密信息，接收方收到信息后，使用他的私钥解密。,加密和公共密钥基础构架加密，即将文本或数据转换成密码文本的过,加密和公共密钥基础构架,数字证书是用来确认用户身份的数据文件和用于保护网上交易的电子文档。,数字证书系统委托可信赖的第三方，即证书授权中心（,CA,）验证用户身份。,案例：数字证书系统可以令信用卡用户和商家在交易前确认他们的数字证书是由授权且可信的第三方核发的。,公共密钥基础构架（,PKI,）将公钥密码系统与数字证书相结合，现已广泛应用于电子商务。,数字证书,加密和公共密钥基础构架数字证书是用来确认用户身份的数据文件和,保证系统的可用性,容错计算机系统,包含备用的硬件、软件和电力供应系统，确保系统可提供不间断的服务。,容错,与,高可用性计算,的目的均是为尽量减少停机时间，但二者并不相同。高可用性计算是帮助企业从系统崩溃中迅速复原；而容错是维持系统的持续运作，不涉及复原时间的问题。,高可用性计算需要有备份服务器、由多台服务器分担处理工作、高容量存储系统以及良好的灾害复原和业务连续性计划。,容错与高可用性计算,容错机系统故障切换示意图,保证系统的可用性容错计算机系统包含备用的硬件、软件和电力供应,保证软件质量,软件量度 软件测试,软件量度：以量化形式客观评估系统，如测试单位时间可处理的交易量、在线反应时间、每一百行程序代码的缺陷个数等。,软件测试：在规定的条件下对程序进行操作，以发现程序错误，衡量软件质量，并对其是否能满足设计要求进行评估的过程。,保证软件质量软件量度 软件测试软件量度：以量化形式客观,主要内容,系统脆弱性与滥用,1,信息系统安全与控制的商业价值,2,建立安全与控制的管理框架,保护信息资源的技术与工具,4,3,MIS,实践,5,主要内容系统脆弱性与滥用1信息系统安全与控制的商业价值2建立,管理决策问题,基于网络业务的安全分析,可能会面对的安全威胁？,安全威胁对业务会有什么影响？,公司应采取什么措施来预防网站被损害并维持正常经营？,平台,计算机数,高风险漏洞,中等风险漏洞,低风险漏洞,漏洞总数,Windows Server,企业版,1,11,37,19,Windows Vista,终结版,3,56,242,87,Linux,（电子邮件和打印服务）,1,3,154,98,Sun Solaris(UNIX),（电子商务和,Web,服务器）,2,12,299,78,Windows Vista,终结版，使用企业应用软件和内部网,195,14,16,1237,管理决策问题基于网络业务的安全分析平台计算机数高风险漏洞中等,优化决策,列出至少三个其他潜在威胁,计算每次威胁的年度损失,那个控制点最易受到攻击？,对该公司有何建议？,威胁,发生概率,%,平均损失,恶意软件攻击,60,75 000,数据丢失,12,70 000,盗用公款,3,30 000,操作失误,95,25 000,黑客攻击,95,90 000,员工使用不当,5,5 000,停电,15,300 000,利用电子表格软件进行安全风险评估,优化决策列出至少三个其他潜在威胁威胁发生概率%平均损失恶意软,优化决策,当今企业可以选择把信息安全业务外包给其他公司或由企业内部员工维护系统安全。,评估安全外包服务,优化决策当今企业可以选择把信息安全业务外包给其他公司或由企业,本章重点,1,、为什么信息系统面对破坏、错误和滥用等问题时如此脆弱？,2,、信息系统安全和控制的商业价值？,3,、信息系统安全和控制的组织框架有哪些要素？,4,、保护信息资源最重要的工具和技术有哪些？,本章重点1、为什么信息系统面对破坏、错误和滥用等问题时如此脆,本章重点,Thank you,！,本章重点Thank you！,THANK YOU,SUCCESS,2024/8/30,51,可编辑,THANK YOUSUCCESS2023/9/651,