IM15-信息安全管理-2012秋.ppt

管理科学与工程教研室,人文经管学院,信息管理概论,InformationManagement,涂庆,信息管理概论的主要内容,绪论信息管理的概念基础信息生命周期管理信息资源管理信息系统管理信息市场管理信息安全管理信息平台管理信息人文管理信息管理的发展前沿,7.3信息安全管理体系,俄罗斯作家克雷洛夫的著名寓言天鹅、梭子鱼和虾,一天，梭子鱼、虾和天鹅，想把一辆小车从大路上拖下来：三伙一齐负起沉重的担子。它们用足狠劲，身上青筋根根暴露；无论它们怎样地拖呀，拉呀，推呀，小车还是在老地方，一码也没有移动。倒不是小车重得动不了，而是另有缘故：天鹅使劲儿往上向天空直提，虾一步步向后拖，梭子鱼又朝着池塘拉去。,应用到信息安全管理上?,信息安全管理体系,7.3信息安全管理体系,水桶效应是指一只水桶想盛满水，必须每块木板都一样平齐且无破损，如果这只桶的木板中有一块不齐或者某块木板下面有破洞，这只桶就无法盛满水。是说一只水桶能盛多少水，并不取决于最长的那块木板，而是取决于最短的那块木板。也可称为短板效应。一个水桶无论有多高，它盛水的高度取决于其中最低的那块木板。“水桶定律”：这由许多块木板组成的“水桶”不仅可象征一个企业、一个部门、一个班组，也可象征某一个员工，而“水桶”的最大容量则象征着整体的实力和竞争力。木桶原理：信息安全是一个综合的解决方案，单靠任何一种安全产品，都不可能做到安全，OPSEC(OpenPlatformforSecurity)是由CheckPoint公司倡导和发起的，它的目的就是解决目前各种安全产品间的互操作性问题。,7.3信息安全管理体系,OPSEC目的就是解决目前各种安全产品间的联动互操作性问题：OPSEC解决了当前多厂商解决方案面临的最大难题互操作性和管理的复杂性，避免了选择多个厂商的产品带来的产品集成和灵活性的限制。OPSEC提供的开放平台，扩展了CheckPointSVN（SecureVirtualNetwork）的体系结构，对OPSEC合作伙伴来说，与SVN的集成无疑为参与市场竞争提供了较好的解决方案；对客户来说，用OPSEC集成意味着选择最好的产品和服务，而不用去担心它们之间的互操作性。,信息安全管理平台,7.3信息安全管理体系,OPSEC联盟成立于1997年向用户提供完整的、能够在多厂商之间进行紧密集成的网络安全解决方案，今天，它已经有了超过270个合作伙伴。OPSEC是以CheckPoint作为核心，力争向用户提供在网络安全方面最好的集成应用，力争向用户提供最好的安全性以及中央的、企业级的安全策略管理。OPSEC联盟分为两大部分：一部分提供集成的应用程序，它由许多IT厂商组成，这些厂商提供了被CheckPointOPSEC认可的、并且与OPSEC构架兼容的产品；另一部分提供基于CheckPoint平台的安全服务，这部分厂商向用户提供基于CheckPoint解决方案的市场领先的硬盒子产品（Appliance）以及互联网设备和服务器。保护信息和网络安全的关键在于建立一个完整的Internet安全架构：集成不同安全厂商的最优秀的产品来满足用户对多层次安全性的需求。集成和管理性是架构这样一个平台的关键。安全管理不仅要求能够提供网络整体的安全策略，而且能够将这些安全策略应用到多种安全技术中去，例如：防火墙、VPN、QoS服务、报表管理甚至合理的系统配置。Checkpoint的虚拟安全网络（SecureVirtualNetwork）体系和OPSEC提供了业界领先的Internet安全解决方案。真正地实现了客户网络安全需求，解决了客户网络安全中面临的各种挑战。,7.3信息安全管理体系,信息安全管理平台,OPSEC涉及到所有的业务保护,个人通讯服务,寄存器,指令,电话,代码,买卖,通过OPSEC，CheckPoint同业界领先的应用厂商和客户建立了良好的合作关系，并向最终用户提供在复杂网络环境中的开放式安全体系架构，实现用户端到端的安全。通过公开的API、工业标准的协议和高级编程语言，可以轻松实现OPSEC集成。OPSEC向第三方产品提供了一个单一的结构集成到CheckPointSVN的方方面面。第三方厂商可以通过以下途径来获得OPSEC的认证。OPSECSoftwareDevelopmentKit（SDK），它允许与CheckPoint业界领先的SVN体系集成在一起。SDK提供非常清楚的接口定义，帮助其他厂商轻松地实现同VPN-1/Firewall-1，FloodGate-1和MetaIP的集成。工业标准接口和协议，它提供详细的规范，保证多厂商产品之间的互操作性和认证标准。CheckPointINSPECT语言，它利用VPN-1/Firewall-1和FloodGate-1，增加应用来支持从通信到应用层的所有信息的截取、分析和控制。嵌入的CheckPointINSPECT虚拟机或完整的VPN-1/Firewall-1代码集，它允许第三方厂商将CheckPoint技术嵌入到其系统或硬盒子中（Appliance）。由于API隐藏了协议和网络中的复杂技术，使得编程工作变得较为简单。为了提供额外的安全性，使用OPSECSDK创建的应用还能够利用SSL对客户和服务器之间的所有OPSEC通信实施加密。,7.3信息安全管理体系,7.3信息安全管理体系,OPSEC与多项功能联动与内容安全联动内容安全允许用户扫描经过网络的所有数据包内容。例如：病毒、恶意Java或AcitveX程序等。CheckPoint提供的CVPAPI定义了异步接口将数据包转发到服务器应用程序，去执行内容验证，用户可以根据多种标准来验证内容的安全。与Web资源联动UFP（URLFilteringProtocol）定义了Client/Server异步接口来分类和控制基于特定URL地址的通信，防火墙上的UFP客户端将URL传送到UFP服务器上，UFP服务器使用动态分类技术将URL进行分类，防火墙则根据安全规则的定义对分类进行处理。对客户来说，通过中央的安全策略管理即可实现高效的Web资源管理。与入侵检测联动SAMP（SuspiciousActivityMonitorngProtocol）API定义了入侵检测应用同VPN-1/Firewall-1通信的接口。入侵检测引擎使用SAMP来识别网络中的可疑行为，并通知防火墙处理。另外SAMP应用可以使用其他OPSEC接口和API来发送日志、告警和状态信息到VPN-1/Firewall-1管理服务器。与认证联动CheckPoint提供了一个开放式集成环境，第三方的PKI能紧密地与CheckPoint集成在一起（VPN-1Gateway、VPN-1SecureClient）。开放的PKI使得管理员能够选择最大限度满足要求的PKI解决方案。,7.3信息安全管理体系,2003年，启明星辰推出了泰合信息安全运营中心系统（泰合SOC）启明星辰公司专门为中小型网络规模用户定制开发了泰合信息安全运营中心系统标准版，该版本SOC主要针对安全设备数量（Device数）在30台以下，主机数在500台以下，政府、军队、军工、能源等行业以及其他中小型网络规模用户，为用户提供了标准通用模块，包括事件收集模块、事件分析模块、域与资产管理模块、风险监控模块、脆弱性管理模块、报表模块、用户管理模块，这些都是大部分用户所需要的必备模块。泰合SOC实现了全新的信息安全风险管理方式。它将不同位置的不同安全系统中大量分散的安全事件进行汇总、过滤、收集和关联分析，针对全局得出安全风险事件，并统一地对安全事件进行响应和处理，帮助用户建立统一的管理平台，实现对安全的全局分析和动态监控。,7.3信息安全管理体系,泰合SOC由“四个中心、五个功能模块”组成,泰合信息安全管理体系框架,7.3信息安全管理体系,泰合SOC系统管理功能强大：脆弱性管理，可全面掌握全网各系统中存在的安全漏洞；综合分析与预警，采集资产基本信息，结合脆弱性信息和安全事件，进行综合的安全风险分析，分析企业所面临的威胁，确保这些威胁不会给企业造成不良后果；响应管理，根据网络安全状态，及时调动有关资源对安全事件做出响应，降低风险的负面影响；此外，安全策略管理、安全知识管理、资源管理、用户管理、显示管理等功能也是非常实用的功能。,7.3信息安全管理体系,7.3信息安全管理体系,泰合安全运营中心的价值体现针对技术人员统一管理网络中的安全设备，特别是不同厂商的设备。制定基于全局的安全策略和安全工作流程；对各安全设备产生的日志，尤其是监测类产品（如IDS、审计、Scanner等）的日志报警信息进行关联分析，提炼出有价值的信息，并能获取后续处理的建议和助；对安全设备的日志集中存储，并提交统一的报表。降低技术人员的工作烦琐度。对企业中的风险评估工作进行持续管理。通过SOC系统对评估结果进行管理，将业务资产评估的结果直接导入SOC中，成为资产管理的数据；将脆弱性评估的结果也导入SOC中，作为脆弱性管理的数据。,7.3信息安全管理体系,泰合安全运营中心的价值体现针对运营主管通过建立知识库、应急预案等体制，帮助技术人员提高自身的专业素质，并协助他们在出现重大安全事件时做出合理的决策，提高技术人员的工作效率。通过SOC系统对技术人员进行量化的绩效管理，可以进行纵向比较。对下属机构进行集中管理和监控。某个大中型企业有多个分支机构，当某一个点发生蠕虫病毒的时候，总部知道后会采取措施通知下面的点在网络设备上关闭一些端口，阻止蠕虫的泛滥，预防安全事件对全局的影响。实现对全网的统一监管，而不是分支机构局域网各自为政。,7.3信息安全管理体系,泰合安全运营中心的价值体现针对决策领导通过将安全事件跟业务风险关联，采用直观的界面，使决策领导能随时了解业务系统的信息安全状态。将风险量化，协助领导分析每次信息安全项目的投资回报率，为信息安全投资提供依据。,7.4信息安全机制,数据备份,DataBackup,离线备份很重要,频繁的备份可以帮助你免除灾难与错误,通过网络进行个人计算机数据备份,通过双机镜像服务器可提供高可靠性：在网上内容完全相同而且同步更新的两个或多个服务器,除主服务器外,其余的都被称为镜像服务器,UPS,Powercompany,中煤平朔信息化数据存储成功案例,中煤平朔公司服务器大约有40台，运行的生产系统有办公OA、档案管理系统、电子印章系统、门户系统、邮件系统、web系统、mail系统等多种系统，重要的数据库有sqlserver2008、oracle、db2、sybase等大型数据库。大部分系统和数据库运行在2008server上和少数linux系统。这些数据和生产息息相关，不得不进行有效地管理和备份，以免数据丢失造成巨大的损失。公司信息数据量大，涉及的系统种类较多，系统大部分和生产系统相关，不容有失，系统和数据在发生灾难或者丢失的时候必须保证在短时间内得到有效地恢复，避免造成损失或者停工。用户需求必须要有全面的系统备份，可以在原服务器坏掉的情况下，把系统备份到另外一个与备份服务器上进行临时的更换，保证系统恢复的可用性。原有系统文件数据和数据库数据要有定时的备份，确保数据零丢失，可以作为更换服务器、更新系统或者遇到不可避免的灾难性事故的保障。重要中的重要系统必须有一个实施备用服务器，保证第一时间接管原有山产系统和数据，不可间断。要求备份软件简单明了，图形化的操作，不占用本身的网络资源，尽量避开服务器繁忙时期，在空闲时期备份。,中煤平朔信息化数据存储成功案例,中科同向给客户提出SAN环境的备份结构：专为存储备份服务，称为最快、最安全的存储网络；难度也是最高的，该方案方便以后用户扩展，可以无限的扩展其服务器数量，没有局限性。方案选用HeartsOne备份软件，以HeartsOne备份软件为中心，实施整体存储备份方案，使用户的备份功能达到全面，可以实现实时备份、定时备份、容灾、系统恢复，满足用户全体系统的需求。产品选型：硬件：IBM服务器、Tandberg磁带库，可容纳24T数据容量，IBM磁盘阵列（8盘位）软件：HeartsOne备份软件相应功能组件。功能：可对上述系统实现定时备份；对重要系统实现系统备份，如oa、mail、门户、电子印章、财务系统；对重中之重的系统实现容灾功能。,7.4信息安全机制,生物识别：指纹读取器、手印读取器、视网膜扫描仪,生物识别,FAR：误判率FRR：拒判率,生物识别,虹膜是位于人眼表面黑色瞳孔和白色巩膜之间的圆环状区域，在红外光下呈现出丰富的纹理信息，如斑点、条纹、细丝、冠状、隐窝等细节特征。虹膜从婴儿胚胎期的第3个月起开始发育，到第8个月虹膜的主要纹理结构已经成形。除非经历危及眼睛的外科手术，此后几乎终生不变。中国生物特征识别行业：如北京艾迪沃德指纹科技（IDworld）、北大高科、中控电子在科刑侦和社保指纹门锁、指纹考勤等领域，都取得了一定优势。以中科院自动化所科研成果为依托的北京中科虹霸科技有限公司在虹膜识别产业化方面积极探索，2006年10月研发出国内第一款嵌入式网络化虹膜识别仪，其性能达到国际领先。部分企业在技术研发等领域也取得突破，如亚略特、银晨科技在人脸识别等技术上都取得了领先水平。,7.4信息安全机制,单钥加密：加密的人和解密的人使用相同的密钥,加密与解秘使用相同的密钥怎样安全地将密钥送出去？单钥系统速度快DES数据加密标准：通常自动取款机ATM三重DES进行三次加密AES美国政府的高级加密标准,解读文本信息,加密,密码:9837362,密码:9837362,AES,解密,解读文本信息,AES,AES,高级加密标准AES是美国联邦政府采用的一种区块加密标准，由美国国家标准与技术研究院（NIST）于2001年11月26日发布，在2002年5月26日成为有效的标准。2006年，AES已然成为对称密钥加密中最流行的算法之一。,7.4信息安全机制,双钥加密：使用两个密钥进行加密,安娜,王贵,消息,公钥安娜29王贵17,消息,加密,私钥13,私钥37,使用王贵的公钥,使用王贵的私钥,安娜发送只有王贵能读的消息给他,解密,7.4信息安全机制,双钥加密与身份认证,安娜,王贵,公钥安娜29王贵17,私钥13,私钥37,使用王贵的私钥,王贵发送消息给安娜：王贵的密钥保证了消息是从他那里发出来的安娜的密钥防止了其他人读取这个消息,消息,消息,加密+T,加密+T+M,加密+M,使用安娜的公钥,使用安娜的私钥,传送,使用王贵的公钥,7.4信息安全机制,密钥托管技术又称为密钥恢复（KeyRecovery），是一种能够在紧急情况下获取解密信息的技术。它用于保存用户的私钥备份，既可在必要时帮助国家司法或安全等部门获取原始明文信息，也可在用户丢失、损坏自己的密钥的情况下恢复明文。因此它不同于一般的加密和解密操作。现在美国和一些国家规定：必须在加密系统中加入能够保证法律执行部门可方便获得明文的密钥恢复机制，否则将不允许该加密系统推广使用。美国政府1993年颁布了EES标准，该标准体现了一种新思想,即对密钥实行法定托管代理的机制。如果向法院提供的证据表明,密码使用者是利用密码在进行危及国家安全和违反法律规定的事,经过法院许可,政府可以从托管代理机构取来密钥参数,经过合成运送,就可以直接侦听通信。其后,美国政府进一步改进并提出了密钥托管(KeyEscrow）政策,希望用这种办法加强政府对密码使用的调控管理。,托管密钥,加密,加密芯片解密谈话,7.4信息安全机制,拒绝服务攻击：黑客首先在个人计算机上安置隐藏程序，在信号指示下，所有的“僵尸”计算机都向服务器发出消息，服务器无法工作,家庭、学校和商业机构的“僵尸”个人计算机，安全性很差,插入洪水程序,协调一致的洪水攻击,攻击目标服务器,僵尸电脑,僵尸电脑（Zombiecomputer），简称“僵尸（zombie）”，有些人称之为“肉鸡”，接入互联网的计算机被病毒感染后，受控于黑客，可以随时按照黑客的指令展开拒绝服务（DoS）攻击或发送垃圾信息。通常，一部被侵占的电脑只是僵尸网络里面众多中的一环，而且会被用来去运行一连串的或远端控制的恶意程序。很多“僵尸电脑的拥有者”都没有察觉到自己的系统已经被“僵尸化”，就仿佛是没有自主意识的僵尸一般。僵尸电脑已被广泛用于传发垃圾电邮，在2005年，估计有50至80%的垃圾电邮是由僵尸电脑传送。这样发垃圾电邮的人就可以去避免被侦查，甚至可以减低连上网络所需的费用，因为用的是“僵尸电脑拥有人”的流量，所谓的“僵尸电脑的拥有人”才要付款。,7.4信息安全机制,防火墙：检查每一个数据包，并阻止某些类型的数据包，以限制公司网络与因特网的交互,公司的个人计算机,公司内部数据服务器,Internet,防火墙路由器,防火墙路由器,检查每一个数据包，滤除某些请求,阻止本地数据进入Web服务器,7.4信息安全机制,隐私：通过收集数据并建立关联，跟踪个人生活的方方面面,信用卡组织机构,货款及许可证,金融执照人口普查,传输数据,金融法规用工环境,用户教育,购买电话,犯罪记录抱怨指纹,医疗记录,杂货店扫描仪数据,7.4信息安全机制,美国国家安全局曾提出了一份“有条件加密标准”，希望通信和计算机行业遵守，设备制造厂将在设备上安装一块“剪刀芯片”(clipperchip)（通常称主加密芯片）作为标准加密器件，如此加密的信息要有两个90个数字的二进位数字作为解密码，标准规定一个解密码存储在国家标准技术研究所，另一个存储在财政部自动化系统局。联邦调查局及其他联邦政府人员可以“窃听”你认为因加密而安全的电子通信,引发了一场大的争论,7.5电子商务的安全性,消息传输,发送方,目标方,偷听者,中间机器,思考,作为一个信息型企业，信息安全管理重要性如何考虑？如果你是老板，当你的企业到了一定的规模之后，从哪几个角度去考虑信息安全性？,