信息安全课件new

《信息安全课件new》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

信息保障与网络安全InformationAssuranceandNetworkSecurity主讲教师：谢丽萍Email:lipingxie1978@163.com计算机科学与技术学院2011.8--2011.12 教材与参考书教材：蒋天发编著，网络信息安全，电子工业出版社，2009年版。参考书目：1.《信息安全保障》，《信息安全技术》，中国信息安全测评中心(内部资料)。2.牛少彰，崔宝江，李剑编著，《信息安全概论》，北京邮电大学出版社，2004年版。3.刘晓洁编著，《网络安全引论与应用教程》，电子工业出版社，2007年版。4.黄明祥，林咏章编著，《信息与网络安全概论》，清华大学出版社，2010年版。5.李剑，张然编著，《信息安全概论》，机械工业出版社，2010年版。 课程说明课程学时安排成绩比例总学时：40学时考试：70%理论课：32学时实验：20%考勤：10%实验：8学时 总目录第0篇中国信息安全测评中心和CISP介绍第一篇信息安全保障第1章信息安全保障概述第2章信息安全法规、政策与道德规范第3章信息安全标准第4章信息安全管理体系第5章信息安全工程原理与实践第二篇信息安全技术第6章密码学基础与应用第7章访问控制与审计监控第8章网络协议及架构安全第9章windows操作系统与系统应用安全第10章安全攻防技术第11章软件安全开发 本课程对学生的要求1.了解和掌握信息安全保障的基本理念和管理体系，以及网络与信息安全的基本原理和相关技术2.关注国内外信息安全的最新研究成果和发展动态3.具有网络与信息安全的理论基础和基本实践能力 形形色色的安全事件 1、形形色色的安全事件2、信息及信息安全3、信息安全发展与趋势•信息安全高级培训-蒋辉柏 •信息安全高级培训-蒋辉柏 •信息安全高级培训-蒋辉柏 •信息安全高级培训-蒋辉柏 •信息安全高级培训-蒋辉柏 •信息安全高级培训-蒋辉柏 DSWLabAvert小组发现一个高度危险的QQ漏洞被抦露，名为Exploit.Win32.QQCom.a，如果被恶意利用，可以使得用户在浏觅植入恶意代码的网页旪，打开本地端口，进程植入木马到用户系统中。黑客完全利用此漏洞可以进程控制用户电脑，迚行文件拷贝、删除等恶意操作。腾讯QQ目前有着2亿的用户数量，使得该漏洞有着极大的攻击范围，有可能被利用来迚行网络钓鱼和制造僵尸网络。•信息安全高级培训-蒋辉柏 •信息安全高级培训-蒋辉柏 •信息安全高级培训-蒋辉柏 2007年4月到5月间，爱沙尼亚的银行、政府部门网站遭遇长达数周、有组细的DDoS攻击。期间，政府网站被大肆篡改，上面充斥“反爱沙尼亚”口号。•信息安全高级培训-蒋辉柏 2007年8月联合国网站被篡改。秘书长潘基文发表声明的网页遭到篡改•信息安全高级培训-蒋辉柏 •信息安全高级培训-蒋辉柏 •信息安全高级培训-蒋辉柏 攻击实施代价极低•信息安全高级培训-蒋辉柏 2008年5月19日，微软初步统计中国大陆，香港，台湾地区有12万个网站受到了SQL注入攻击。2007年6月14日，某国内著名门户网站被挂马数小时。2007年4月至5月，国内某著名游戏商遭受分布式拒绝服务攻击，初步估算其经济损失达到3500万元人民币。2007年CNCERT/CC抽样检测发现，中国大陆约有362万个IP地址主机被植入僵尸程序，10399个境外控制服务器对我国大陆地区的主机进行控制。新一代的Web威胁具备混合型、定向攻击和区域性爆发等特点，Web2.0的各种技术频频采用下载式触发(drive-by-download)，使用者只要登录恶意网站便可能遭受感染。•信息安全高级培训-蒋辉柏 911亊件发生后，丐贸中心1200家企业的信息化系统（其中丌乏摩根士丹利这样的巨型跨国公司的信息中心）全部损毁，本地数据全部丢失•信息安全高级培训-蒋辉柏 2002年7月23日，北京首都国际机场离港系统出现敀障停机1小旪，60个航班和约6000名旅客被延迟•信息安全高级培训-蒋辉柏 上海市轨道交通4号线2003年7月1日凌晨发生险情，临江花苑大厦内的劳劢保障局和市财税局的重要信息系统被迫中断和搬迁•信息安全高级培训-蒋辉柏 丌愿回首的“512”在夺去了众多同胞的生命的同旪也从物理上破坏了四川的许多信息系统（比如，电子政务系统、釐融数据系统等）致使若干重要数据丢失，系统瘫痪•信息安全高级培训-蒋辉柏 春节期间的冰雪灾害对电力和通信系统等造成重大损失，许多信息系统的朋务被中断。虽然从物理角度看损毁小二地震，但同样也使得大量的重要数据丢失，系统瘫痪•信息安全高级培训-蒋辉柏 这些案例，我们可以看出，信息系统灾难距离我们是多么的近、多么的直接、多么的频繁！远非我们想象的是遥不可及的事情！2008年11月8日，北京火车站售票系统死机瘫痪，丌得巫采用手写无座票的售票方式迚行应急处理，直到5小旪后系统才修复•信息安全高级培训-蒋辉柏 人为破坏自然环境技术敀障•信息安全高级培训-蒋辉柏 国家信息安全测评 主要内容一、国家信息安全测评二、产品测评三、系统测评四、服务测评五、人员测评 一、国家信息安全测评1、信息安全测评的背景2、我国信息安全测评的基本情况3、信息安全测评工作的进展 1、信息安全测评的背景°（1）对信息安全问题的认识°（2）信息安全事关国家的安全°（3）测评基本概念°（4）国外信息安全测评 （1）对信息安全问题的认识°互联网的迅速发展直接牵动了科技创新、信息产业的发展和知识经济的勃兴；信息网络已逐渐成为经济繁荣、社会稳定和国家发展的基础°信息化深刻影响着全球经济的整合、国家战略的调整和安全观念的转变°全球化和信息化的潮流，给我国带来了难得的发展机遇，同时也在国际斗争和国家安全方面提出了严峻的挑战。信息安全问题已从单纯的技术性问题变成事关国家安全的全球性问题 （2）信息安全事关国家的安全由信息安全问题引起的国家所面临的主要安全威胁：°信息霸权的威胁°经济安全的威胁°舆论安全的威胁°社会稳定的威胁 信息霸权的威胁°网络空间打破了传统的地缘政治格局，信息霸权日益成为国家安全的新威胁°网络空间的权力制衡包括制信息化权、制信息权、制创新权和网络能量的制衡权°以信息为武器，在数字化地球这个新的网际舞台上，各国将围绕信息化利益展开政治角逐°信息霸权已成为美国政治扩展的新武器 经济安全的威胁信息化对日益全球化的经济带来安全隐患：°国民经济运行与监管的安全°国家金融资本流动与运作的安全°证券市场的安全°经济金融网络的安全°经济信息的安全 舆论安全的威胁信息化网络是传媒的革命，对文化和文明提出了新挑战：°多样的文化将共存在同一个互联网上°文明的冲突直接表现为信息的冲突°舆论操纵已成为互联网上的政治武器°文化侵略是主权国家必须面临的持久战 社会稳定的威胁°信息化社会的安定依赖信息基础设施°政府管理、航空运输、水、电控管、通信传播、指挥调度、财税经贸、日常生活都要依靠信息系统和信息化设施°信息基础设施一旦遭到破坏，立即就会引发社会不安和动荡°美国总统专门发布总统令，提出信息系统保护国家计划，保护信息基础设施 胡总书记在1月23日第38次集体学习时的讲话中指出ò“互联网作为20世纪的一项重大基础性科技发明，引发了人类社会生产方式和生活方式的深刻变化，对世界经济、政治、文化、社会发展产生了重大影响。°当前，国际上围绕信息获取、利用、控制的斗争日趋激烈，把握信息化发展方向、维护国家在网络空间的安全和利益成为信息时代的重大战略课题。”2010-8-411 信息技术与产品测评成为各国信息安全基础性工作°信息技术已经成为应用面最广、渗透性最强的战略性技术。信息安全问题日益突出，信息安全产业应运而生°信息安全产品和信息系统固有的敏感性和特殊性，直接影响着国家的安全利益和经济利益°各国政府纷纷采取颁布标准，实行检测评估等方式，对信息安全产品的研制、生产、销售、使用和进出口实行严格、有效的控制 （3）测评与认证基本概念什么是测评与认证°测试、评估、认证是三个不同的概念°测试／检验：按照规定的程序，为确定给定的产品、材料、设备、生物组织、物理现象、工艺或服务的一种或多种特性的技术操作°评估：对测试／检验产生的数据进行分析、形成结论的技术活动°认证是指第三方依据程序对产品、过程或服务符合规定的要求给予书面保证（证书），用于评价产品质量和企业质量管理水平°认证的依据是标准和测试／检验／评估的结果 国家信息安全测评°统一的国家标准和行业补充技术要求°国际通用的安全测评方法°客观的安全测评工具°专业的安全测评人员°独立运作的公正第三方测评机制°国家授权的、权威的测评体系 信息安全测评的作用发展是第一位的，是硬道理。安全是保驾护航。没有安全，就没有健康的发展。作为国家信息基础设施，没有安全，就是“豆腐渣”工程。 测评在信息安全中的作用°对信息技术的依赖越来越强，信息技术自主性越来越弱是全球性的趋势°测评是做到心中有数和市场准入控制的重要手段，是我国加入WTO的需要°测评是信息安全保障的重要环节•信息技术的复杂性与质量问题•信息技术的两用性与安全问题°世界各国都将测评体系作为国家信息化的重要基础设施，由信息安全主管部门和质量监督部门共同负责管理 （4）国外信息安全测评体系ICCC°美国由NSA与国家标准局联合实施国家信息安全测评，英、德、法、澳、加、荷等国家也由国家信息安全主管部门联合国家标准主管部门共同管理信息安全测评工作。先后建立起国家信息安全测评体系°芬兰、瑞典、西班牙、挪威、意大利、比利时等欧洲国家和日本、韩国等亚洲国家纷纷仿效，积极开展信息安全测评工作 美国（NIAP）负责管理和运行美国的信息安全测评体系 德国（GISA）负责管理和运行德国的信息安全测评体系 法国（SCSSI）负责管理和运行法国的信息安全测评体系FrenchITEvaluationandCertificationScheme 澳大利亚（AISEP）负责管理和运行澳大利亚的信息安全测评体系AustralasianInformationSecurityEvaluationProgramme 安全测评成为国际性话题国际会议：从6国发起到20多国互认°各国政府在充分认识到全球化和信息化利弊的基础上对信息安全予以高度重视°各国为适应信息化时代国际竞争的新形势纷纷成立专门的测评机构°有条件的互认是各国参与国际化和维护自主权的务实选择 2、我国信息安全测评基本情况 现有信息安全管理体制目前，我国信息安全管理格局是一个多方目前，我国信息安全管理格局是一个多方““齐抓齐抓共管共管””的体制。由国信办、新闻办、工信部、广电的体制。由国信办、新闻办、工信部、广电总局、公安部、国家安全部、国家保密局、国家密总局、公安部、国家安全部、国家保密局、国家密码管理局、总参码管理局、总参…………分别执行各自的安全职能，共分别执行各自的安全职能，共同维护国家的信息安全。同维护国家的信息安全。国家网络与信息安全协调小组发挥了十分重要的国家网络与信息安全协调小组发挥了十分重要的统一管理统一管理与协调作用与协调作用2010-8-4 国家高度重视信息安全测评工作°胡锦涛同志在一份报告上批示：信息安全事关国家安全，必须予以高度重视。在2000年3月29日的信息网络安全协调会议上又强调“要建设好信息安全测评认证中心”°吴邦国同志在一份报告上批示：信息安全认证中心的工作很重要，是确保国家信息安全，促进互联网健康发展的重大举措，又是当前急需解决的紧迫问题 我国测评工作的过程°1997年初，国务院信息化工作领导小组委托筹建“中国互联网络安全产品测评认证中心”°1998年10月，国家质量技术监督局授权成立“中国国家信息安全测评认证中心”°2001年5月，中编办根据党中央、国务院有关领导的指示精神，正式批准成立“中国信息安全产品测评认证中心”，英文简称为CNITSEC 信息安全测评工作新阶段•2006年10月25日，胡锦涛总书记专门批示：“必须抓紧落实各项措施。尤其要完善相关法律法规；加快安全测评中心和信息技术安全研究中心的建设，明确其职责，发挥其作用，以排除隐患和漏洞”•2008年10月中国信息安全测评中心挂牌 信息安全主管部门的授权°1998年9月，与有关部局联合开展对党政机关重点部门和要害部位信息系统和网络的技术安全测评°1999年6月，国家保密局授权负责对党政机关涉密通信系统、计算机系统和办公自动化系统的安全°2000年1月，国家密码委（中办机要局）授权负责全国商用密码产品的检测认证 国家密码委授权°国密办字[2001]340号“关于开展商用密码产品质量检测试点工作的通知”中明确：中国信息安全测评中心为具体承办机构 信息安全要害部门的委托°2000年1月，中国人民银行发布信息技术总体纲要，规定金融系统的计算机设备和信息安全产品将逐步要求通过中心的测评°2000年3月30日，国家证监会发布“网上证券委托管理办法”，要求网络证券系统和服务必须通过中心的评估 3、测评工作的进展 产品与系统测评的基本情况°产品：1200个产品测试选型,600多个证书(到2009年7月)°系统：200多个系统测评与风险评估,(到2009年7月) 资质评估的基本情况°安全服务资质评估：200多家单位获得证书(截止2009年7月)°安全专业人员：近3000人获得证书(截止2009年8月) 四种测评业务1、信息安全产品测评2、信息系统安全测评3、信息安全服务单位资质4、注册信息安全人员资质 信息安全人才体系培训°构建全面的信息安全人才体系的需求•是国家政策的要求°中办发[2003]27号文件《国家信息化领导小组关于加强信息安全保障工作的意见》中提出了“加快信息安全人才培养，增强全民信息安全意识“的指导精神，重点强调了信息安全人才培养的重要性。•是组织机构信息安全保障建设自身的要求°企事业单位、政府机构等组织机构在信息安全保障建设、信息化建设中，需要有一个完整层次化的信息安全人才队伍以保障其信息安全、保障其信息化建设，从而保障其业务和使命•是组织机构人员自身职业发展的要求°作为人员本身，在其工作和职业发展中，需要充实其信息安全保障相关的知识和经验，以更好地开展其工作并为自己的职业发展提供帮助。 组织机构信息安全人才体系战略信息安全专家注册信息安全保障专家审（CIAE）培训教育和经验核信息安全专业人员注册信息安全专业人员（信息安全相关的岗位和职责）（CISP）计划开发采运行维废实施交组织购护弃付培训信息安全从业人员（信息系统相关的岗位和职责）注册信息安全员（CISM）安全基础和安全文化所有员工意识安全意识 组织机构信息安全人才体系结构注册信息安全保障专家CIAE注册信息安全专业人员CISPCISECISOCISA注册信息安全员CISM所有用户信息安全意识培训技术人员管理审核审计人员人员 信息安全人员培训发展介绍°2002年，中心在国内率先推出了专业权威的注册信息安全专业人员（CISP）资质°2003年，中心正式出版了注册信息安全专业人员资质教材°2002年—2009年：CISP已成为国内最具含金量的信息安全专业资质认证品牌•遍布全国的15家授权培训机构•从2002年开始每年获证人员成倍增长，目前总数近3千人•已经为对信息安全有较高要求的人民银行、海关、国税等政府机构、金融电信领域、信息安全专业厂商等培养了大批专业的信息安全技术、管理和审核人员，得到了广泛的认可•。。。°2005年9月：正式发布注册信息安全员（CISM）资质认证 授权培训机构建设°北京天融信网络安全技术有限公司°联想计算机系统技术服务有限公司°北京冠群金辰软件有限公司°北京清华万博网络技术股份有限公司°广东省颐东通信公司°北京江南科友科技有限公司°深圳市安络科技有限公司°上海金诺网络安全技术发展股份有限公司°吉首大学张家界学院°北京世纪互联信息系统有限公司°北京启明星辰信息技术有限公司°北京银长城信息技术有限公司°北京中贸技术培训中心有限公司°中国信息安全产品测评认证中心云南测评中心°上海颐东通信公司 测评公告•通过《中国信息安全》杂志发布•通过中心官方网站“www.itsec.gov.cn”发布•进入中心“安全人才库” CISM的课程设计类别课程课程介绍推荐时间01信息系统安全保障框架介绍信息安全保障框架的概念和内容。安全保障基础0.5天02信息系统安全保障测评介绍信息安全产品、系统、人员和服务测评的概念和内容。03信息安全标准介绍国际/国内信息安全管理、技术、工程等领域主要标准的关系和内容。标准法规0.5天04信息安全法规介绍信息安全相关的国内法律法规。05密码技术和应用介绍密码技术的基本知识，以及公钥基础设施（PKI）和数字签名等的应用0.5天06常见网络安全技术介绍网络安全基本概念，并包括对防火墙、入侵检测、VPN等常见网络安07恶意代码防护技术介绍各种恶意代码的基本概念和防护技术。08系统和常见应用安全介绍Windows操作系统等主流操作系统，以及Web、邮件、DNS0.5等常见应天09信息安全管理基础介绍信息安全管理的基础知识。0.5天安全技术10信息安全管理技术介绍风险管理、灾难恢复管理的基础知识和实践考虑。0.50.5天天11安全工程过程和实践介绍信息安全工程过程的基础知识和实践考虑。安全管理12安全工程监理咨询和实践介绍信息安全工程监理咨询的基础知识和实践考虑。安全工程0.5天-复习复习迎考答疑和复习，准备考试0.5天-考试考试正式考试0.5天 对信息安全专业人才的培养°传统的信息安全教育方式：•学校专业教育，高等教育——学生•企业提供的信息安全知识培训服务——客户°培训教育内容：•由厂商举办的培训偏重于具体产品和具体实践，•由大学举办的教育则偏重于理论和技术。 对信息安全专业人才的培养°针对众多信息安全从业人员职业能力培养及提高的教育服务还较为缺乏，传统的教育方式及内容无法满足实际工作的需要——因而，需要从我国国情出发，根据国内信息安全从业人员的能力、资质及特点，推广系统而全面的知识学习，并对其相应能力进行权威性认证。解决信息安全培训和教育知识覆盖面的问题。 关于CISP的简介°CISP的定义°CISP的基本职能°CISP的分类°CISP的能力要求°CISP的道德标准°CISP的管理机构°关于现有CISP的培训认证情况 CISP的定义与职能°CISP的定义•国家信息安全测评认证机构（包含授权测评机构）、信息安全咨询服务机构、社会各组织、团体、企业有关信息系统（网络）建设、运行和应用管理的技术部门（含标准化部门）必备的专业岗位人员°CISP的基本职能•对信息系统的安全提供技术保障，其所具备的专业资质和能力，系经国家认可 CISP的分类CISPCISACISOCISE CISP的分类根据实际岗位的工作需要，CISP分为三类：°CISE•“注册信息安全工程师”，英文为CertifiedInformationSecurityEngineer，简称CISE•主要从事信息安全技术开发服务工程建设等工作°CISO•“注册信息安全管理人员”，英文为CertifiedInformationSecurityOfficer，简称CISO•主要从事信息安全管理等相关工作°CISA•“注册信息安全审核员”，英文为CertifiedInformationSecurityAuditor，简称CISA•主要从事信息系统的安全测试、审核和评估等工作 CISP的基本能力要求°具备一定的教育水准和相关工作经历°通过规定的培训，具备较为系统的信息安全知识°通过CISP资质认证考试，具备进行信息安全服务的能力°获得管理部门颁发的认证证书 CISP的道德准则°所有CISP都必须付出努力才能获得和维持该项认证。为贯彻这条原则，所有的CISP都必须承诺完全遵守道德准则：•必须诚实，公正，负责，守法；•必须勤奋和胜任工作，不断提高自身专业能力和水平；•必须保护信息系统、应用程序和系统的价值•必须接受CNITSEC的监督，在任何情况下，不损坏CNITSEC或认证过程的声誉，对CNITSEC针对CISP而进行的调查应给予充分的合作；•必须按规定向CNITSEC交纳费用。 CISP的管理机构中国信息安全测评中心——经中央批准成立的，代表国家开展信息安全测评的职能机构，依据国家有关产品质量认证和信息安全管理的法律法规，管理和运行国家信息安全测评体系。 CISP资质认证的特点——持续性学习°通过对CISP资质的维持，鼓励获证人员积极参与、从事与信息安全有关的专业活动，保持持续性学习状态，将与其自身的职业发展紧密地结合起来 对CISP申请者的要求°教育与工作经历•硕士研究生以上，具有1年工作经历•本科毕业，具有2年工作经历•大专毕业，具有4年工作经历°专业工作经历•至少具备1年从事信息安全有关的工作经历。back 申请CISP考试°考试申请表back CISP考试°考试形式：•笔试•100道单项选择题°考试时间：•120分钟back CISP资质申请°注册申请表back CISP资质注册°依据：注册信息安全专业人员资质评估准则——此准则适用于国家对“注册信息安全专业人员”的培训、能力评估、认可和管理。back CISP的证书°证书有效期限为三年°获证人员将准予使用“国家信息安全测评标志”：back 保持认证与复查换证°每位注册的CISP需通过持续的信息安全专业发展来保持其能力和素质°CNITSEC将通过评价申请表中的信息、专业发展记录来验证每一位CISP的工作能力，同时还通过申诉系统、现场见证、从聘用机构调阅档案以及向受CISP服务方调查等方式来验证CISP的工作和素质°CISP认证证书在三年有效期内实行年度确认制度，第3年进行复查换证back 保持证书要求 CISP（CISE/CISO/CISA）资质分类°“注册信息安全专业人员”，英文为CertifiedInformationSecurityProfessional（简称CISP），根据实际岗位工作需要，CISP分为三类：•“注册信息安全工程师”，英文为CertifiedInformationSecurityEngineer（简称CISE）；•“注册信息安全管理人员”，英文为CertifiedInformationSecurityOfficer（简称CISO）；•“注册信息安全审核员”，英文为CertifiedInformationSecurityAuditor（简称CISA）。 注册信息安全专业人员（CISP）统计CISP获证人数增长图220020001800160014001200CISO1000CISE800CISA6004002000200220032004200520062007数据截止至2007年4月2008 CISP（CISE/CISO/CISA）区别说明CISP资质类型CISP知识类别CISECISO信息安全体系和模型15%15%信息安全技术40%20%信息安全管理20%40%信息安全工程15%15%信息安全标准和法律法规10%10%注：CISA在CISE或CISO的基础上再加上50道信息安全审计相关的试题。 注册信息安全员（CISP）资质注册流程CISP申请者咨询相关事宜参加培训考试申请无考试法未通维参加考试持过考试通过注册注册申请注册通过注册未通注册决定过取得证书证后维持 CISP（CISP/CISE/CISO）知识体系结构注册信息安全专业人员（CISP）知识体系结构信息安全技术信息安全管理信息安全工程应用安全风险评估信息安全规划安全工程过信组安程和实践访密审安问系统安全息织全码计全控安保业务持续性应用和系统工技和攻制术监电信和网络防全障和灾难恢复开发程系和控安全技管人基统理员础项目管理过应术概管程和实践用物理安全事件响应运行管理述理信息安全体系模型信息安全标准和法律法规