计算机信息安全概述.ppt

信息系统安全 中国信息安全战略与对策 信息安全重要性与严峻性我们国家要实现信息化与信息化带动工业化 信息安全的保障是基础性的工作 是国家安全的问题 每个国家都非常重视信息安全 像美国发表了保护计算机空间的国家保障计划 其它国家都有很多的法律或者是规划 在保障自己国家的信息化安全 我们国家起步比较晚 党和国家领导人非常重视 研究层面 生产层面都进行了一系列努力 重要的问题是我们没能全面解决信息安全自主知识产权的产品 多数还是要利用人家的技术 或者是系统 如何认识信息安全 信息安全要站在信息战争 国与国之间的角度 恐怖与犯罪这个层面考虑 重点应该在信息社会里 保证国家基础设施 经营 国计民生有关重大的问题 信息安全保障绝不是某个信息丢不丢 人家偷不偷的事 而是一个总体的 整体的系统工程 信息安全是一个社会系统工程 有几个层面涉及这个事 重点是保证国家信息基础设施的正常运行发挥作用 靠什么呢 靠信息安全平台以及安全基础设施来保障的 这个保障是靠信息安全保障体系 产生信息安全的平台 信息安全基础设施 三分技术 七分管理 技术通过管理才能起作用 以信息安全法律为依据 进行严格的组织管理 使信息安全保障体系起作用 使得整个信息社会 稳定的 健康的发展 中国信息安全战略与对策 我国信息安全现状和发展趋势 为适应信息安全的发展形势 我国政府制定了一系列基本的管理办法 中华人民共和国计算机安全保护条例中华人民共和国商用密码管理条例中华人民共和国计算机信息网络国际联网管理暂行办法于对国际联网的计算机信息系统进行备案工作的通知计算机信息网络国际联网安全保护管理办法在刑法的修订中 增加了有关计算机犯罪的条款关于信息安全的立法和法规的逐步完善 促进了信息安全产业的发展 中国信息安全战略与对策 可喜的一面信息发展的大环境日臻完善政府重视有一批致力于我国信息安全事业的研究机构与公司在从事信息安全基础研究 技术开发与技术服务工作 一批学校成立了研究所 系科和教研室我国的信息安全研究毕竟已具备了一定的基础和条件 尤其是在密码学研究方面积累多 基础较好 只要国家重视 加大投入 恰当组织 可以取得实质性进展 不仅能构筑我国信息与网络安全防线 而且在国际上也能占领一席之地 中国信息安全战略与对策 存在的问题整体安全防范技术水平低下对引进的信息技术和设备缺乏保护信息安全所必不可少的有效管理和技术改造 基础信息产业薄弱 严重依赖国外 技术创新不够 安全技术 安全产品低水平重复缺乏技术创新 安全产品处于水平重复状态 缺乏足够的资金投入 支持信息安全基础研究与关键技术研究 缺乏市场需求 市场需求是影响我国信息安全产业发展的关键 法制建设不健全 依法管理力度不够 立法不够 严重滞后 有法不依 执法不严 国家信息安全管理机构缺乏权威 协调不够 多重领导 缺乏权威 信息安全基础设施建设不够 信息安全意识缺乏 中国信息安全战略与对策 信息安全对国家信息化的综合影响电子商务安全属于信息安全的范畴 信息安全对我们国家信息化发展有综合的影响 它会影响到我们的政治 经济 社会 军事方方面面 对政治安全的影响简单地说 信息化就是传媒革命 对文化和文明提出了新的挑战 互联网络上有西方文化 有东方文化 有儒家文化 有伊斯兰文化 这些文化之间 客观上是存在着冲突的 信息化发达国家 很容易对信息欠发达的国家行使信息霸权 通过信息的传递 传播和扩散 对一个国家的舆论构成压力和威胁 对经济安全的影响现在金融业的特点就是网络化 信息化 证券 炒股票是最典型的网络化经济模式 金融网络系统的这个特点极易成为攻击目标 中国信息安全战略与对策 对社会稳定的影响由于现代信息网络是现代社会的一个基础设施 就像民航系统出了问题 成千上万的旅客就要滞留在机场 银行出了问题 我们的提款 支付 消费行为就会受到影响 所以 我们把它叫做重要的应用系统 这方面一旦出了问题 就会直接影响到社会的稳定 对军事国防的影响以前我们讲武装到牙齿 那么现在呢 是武装到眼睛 也就是说所有东西都信息化了 前线的战士不用直接用眼睛看敌人 看的是一个仪器 这个仪器替你去侦查 给你提供完整的信息 甚至给你提出下一步行动的建议 信息安全问题的可能后果总结这种综合的影响 我们会得到这样的结论 信息安全问题如果处理不好 就可能给社会带来综合性的后果 比如说舆论失控 政治上的被动 经济上的损失 社会动乱 军事的失利以及道德文化的沦丧 正因为这样 我们国家从中央政府到各地方政府 到普通的老百姓都要高度关注信息安全问题 中国信息安全战略与对策 信息安全的国家战略目标保证国民经济基础设施的信息安全 抵御有关国家 地区 集团可能对我实施 信息战 的威胁和打击以及国内外的高技术犯罪 保障国家安全 社会稳定和经济发展 信息安全战略防御的重点任务国民经济中的国家关键基础设施 包括金融 银行 税收 能源生产储备 粮油生产储备 水电汽供应 交通运输 邮电通信 广播电视 商业贸易等国家关键基础设施 重中之重是支持这些设施运作的信息安全基础设施建设 中国信息安全战略与对策 信息安全保证体系六大要素我国信息安全保障应具备信息安全防护能力 安全隐患发现能力 安全事故发生后的应急反应能力 安全攻击发生时的对抗能力 具备这四种能力 是我国信息安全保证体系建设所要达到的目标 要达到这一目标 我们要从以下六个方面加以努力 组织建设 组织管理体系的建设 是信息化安全保障体系的建设的重点 有一套从领导管理 技术实现的个各层次人员 犹如信息化安全保障的基础建设 标准规范和法律建设 这也是信息安全保障体系建设的一个重要方面 我国第一部信息化法律 电子签名法 于2005年出台 目前 保密法 正在修改之中 国家信息安全法 个人数据保护法 网上知识产权保护法 等一系列法律法规正在制定之中 中国信息安全战略与对策 技术保障 技术保障是信息安全保障体系的重要环节 重点应做到以下几点 在重点 核心技术上通过技术创新 拥有自主知识产权的产品 做到信息关键技术可控 强调建立基础性技术体系 重视系统的物理安全技术的研究 关注具有前瞻性的高新技术的发展 产业支撑环境的发展 我国的信息安全保障体系 必须搭建在我国自主知识产权产品的基础之上 强大的产业支撑是安全的根本保障 中国信息安全战略与对策 重视信息安全的基础设施建设 数字证书的认证体系假设 信息安全产品和信息评测残品的开发 信息安全的应急支援体系 信息系统的灾难恢复的建设 病毒及网络攻击的防范体系建设 网络监控和预警机制的建设 人才教育和培养 信息安全保障体系的建设 人才是关键因素 我们需要大量的高技术复合型人才 中国信息安全战略与对策 主要内容 主要内容 目前计算机信息系统面临的威胁 1 威胁计算机信息安全的因素 自然环境人为失误人为恶意破坏软件设计等不完善 2 计算机信息安全研究的内容 计算机外部安全 计算机外部安全包括计算机设备的物理安全 与信息安全有关的规章制度的建立和法律法规的制定等 它是保证计算机设备的正常运行 确保系统信息安全的前提 1 安全规章制度安全规章制度是计算机安全体系的基础 2 设备的物理安全包括对计算机设备和工作环境的防护措施 如防火 防盗 防水 防尘 防地震等措施 3 防电磁波辐射 1 计算机系统受到外界电磁场的干扰 使得计算机系统不能正常工作 2 计算机系统本身向外界所产生的包含有用信号的电磁波 造成信息泄漏 为攻击者提供了信息窃取的可能性 2 2计算机内部安全 计算机内部安全是计算机信息在存储介质上的安全 包括计算机软件保护 软件安全 数据安全等 研究的内容包括软件的防盗版 操作系统的安全性问题 磁盘上的数据防破坏 防窃取以及磁盘上的数据恢复与拯救技术等问题 计算机的信息安全还可以从信息的完整性 可用性 保密性等属性加以说明 1 完整性技术是保护计算机系统内软件和数据不被偶然或人为蓄意地破坏 篡改 伪造等 2 可用性技术是在用户授权的条件下 信息必须是可用的 3 保密性技术是防止信息失窃和泄露的技术 信息必须按照信息拥有者的要求保持一定的秘密性 2 3计算机网络安全 1 边界防卫技术通常将安全边界设在需要保护的信息周边 重点阻止诸如病毒入侵 黑客攻击等试图 越界 的行为 2 入侵检测技术是对网络系统运行状态进行监视 发现各种企图攻击行为和攻击结果 并及时作出反应的技术 3 安全反应技术是将破坏所造成的损失降低到最小限度的技术 3 OSI信息安全体系 安全服务1 鉴别服务2 访问控制服务3 数据保密性4 数据完整性5 抗抵赖服务 3 OSI信息安全体系 安全机制1 加密机制2 数字签名机制3 访问控制机制4 数据完整性机制5 鉴别交换机制6 业务填充机制7 路由控制机制8 公证机制 4 计算机系统的安全策略 安全策略人 制度和技术之间的关系 计算机系统的安全策略是指在特定的环境下 为保证一定级别的安全要求所提出的一系列条例 规则和方法 安全策略可分为政策法规层 安全管理层 安全技术层三个层次 1 政策法规层是为建立安全规章制度和合理使用安全技术提供的法律保护 同时通过立法和政策导向来提高人的职业道德 对人进行伦理教育 净化社会环境 2 安全管理层将涉及到具体单位和个人 为实施安全技术提供具体保护 包括组织管理机构 人事管理和计算机系统管理 3 安全技术层可以通过物理方法和逻辑方法 或软件方法 来实现 1 物理安全策略是保护计算机等硬件实体免受破坏和攻击 2 逻辑方法是通过访问控制 加密 防火墙等方法以阻挡非法侵入 人 制度和技术之间的关系规章制度是计算机安全体系的基础 是安全的最重要的因素 第二个重要因素就是人 任何保护措施没有人的参与都是毫无意义的 从这个意义上来说 人是对计算机信息安全最大的威胁 安全技术的本身实际上只是用来帮助人们实现安全防护的手段 提高安全防护的能力 它确实没有比强化规章制度执行 提高人们的安全防范意识 提高人们的道德水准更重要 5 计算机系统的可靠性 平均无故障时间MTBF指两次故障之间能正常工作的平均值平均修复时间MTRF指从故障发生到修复故障使系统恢复正常运行平均所需要的时间系统平均利用率 MTBF MTBF MTRF 提高可靠性的两种方法避错 容错容错设计硬件冗余 信息冗余 软件冗余故障恢复策略前向恢复 后向恢复 提高计算机系统的可靠性可以采取避错和容错两项措施 避错是由产品的生产商通过元器件的精选 严格的工艺和精心的设计来提高产品的硬件的质量 减少故障的发生 容错是指在计算机系统内部出现故障的情况下 利用冗余的资源 使计算机系统仍能正确地运行 提供可靠的服务 容错系统工作过程包括自动检测 自动切换和自动恢复部分 容错主要依靠冗余资源设计来实现系统的可靠性 冗余设计技术分为 1 硬件冗余设计通过增加硬件资源来获得容错能力的 2 信息冗余设计在数据中外加一部分信息位来检测或纠正信息在运算或传输中的错误而达到容错功能 3 软件冗余设计用多个不同软件 采用不同的算法 执行同一功能 及时发现程序设计错误 提高系统的可靠性 故障恢复策略有前向恢复和后向恢复两种 前向恢复是指在发生故障时 当前的任务继续进行 同时把系统恢复成连贯的正确状态 弥补当前状态的不连贯情况 这种方法适合实时处理 后向恢复是指在发生故障时 系统恢复到前一个正确状态 再继续执行 这种方法不能用于实时处理 总结 1 了解计算机信息系统面临的威胁和产生的原因 2 掌握计算机信息安全技术研究的内容 3 了解OSI信息安全服务机制 4 知道计算机系统的安全策略 5 知道提高计算机系统可靠性的方法 Thankyou