1、陽(yáng)光培訓(xùn)課 程 內(nèi) 容第一章 信息安全概述第二章 信息安全管理基礎(chǔ)第三章 信息安全等級(jí)保護(hù)第四章 信息安全管理第五章 信息安全監(jiān)管第一章 信息安全概述信息安全現(xiàn)狀國(guó)內(nèi)大多數(shù)部門(mén)的IT系統(tǒng)已經(jīng)具有一定的規(guī)模，并且在支撐其正常運(yùn)營(yíng)和業(yè)務(wù)發(fā)展方面發(fā)揮著重要作用；缺乏成體系的信息安全管理，使得IT系統(tǒng)處于經(jīng)不起風(fēng)浪的“亞健康”狀態(tài)，難以承受突發(fā)安全問(wèn)題的影響，系統(tǒng)整體運(yùn)行在較高的信息安全風(fēng)險(xiǎn)水平。信息安全現(xiàn)狀分析存在信息安全問(wèn)題是合理和必然的，從唯物辨正的角度看待問(wèn)題，產(chǎn)生信息安全問(wèn)題也存在著對(duì)立統(tǒng)一的兩方面：在協(xié)議設(shè)計(jì)、系統(tǒng)實(shí)現(xiàn)、運(yùn)行維護(hù)過(guò)程中，總會(huì)存在著安全缺陷或者漏洞安全脆弱性Vulnerabi

2、lity，這是決定性的內(nèi)因。廣泛存在的各類(lèi)安全威脅，包括來(lái)自自然環(huán)境的威脅；國(guó)家、組織、個(gè)人之間的利益沖突導(dǎo)致的人為威脅；以及來(lái)自信息技術(shù)本身的威脅威脅Threat，這是外因。如何有效解決信息安全問(wèn)題所有的信息安全技術(shù)措施或者管理手段都能歸結(jié)為三個(gè)方面：彌補(bǔ)安全脆弱性，消除安全問(wèn)題產(chǎn)生的內(nèi)因，例如使用操作系統(tǒng)補(bǔ)丁管理，使得系統(tǒng)安全性得到保證，從根本上具備免疫能力；威懾安全威脅，遏制安全問(wèn)題產(chǎn)生的外因，例如增加計(jì)算機(jī)機(jī)房的監(jiān)控系統(tǒng)，威懾盜賊闖入機(jī)房進(jìn)行盜竊的動(dòng)機(jī)；切斷內(nèi)外因之間的聯(lián)系途徑，例如設(shè)置網(wǎng)絡(luò)防火墻，隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，阻止外部黑客對(duì)內(nèi)網(wǎng)服務(wù)器進(jìn)行攻擊。什么是信息？1.1 信息與信息

3、安全什么是信息安全？1.1 信息與信息安全什么是信息安全？1.1 信息與信息安全I(xiàn)SO關(guān)于信息安全的定義：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。信息安全保護(hù)的對(duì)象范圍信息安全的基本原則和最終目標(biāo)實(shí)現(xiàn)信息安全的途徑或者手段1.1 信息與信息安全通信保密階段（COMSEC）關(guān)注信息的保密性信息安全發(fā)展歷史1.1 信息與信息安全信息安全發(fā)展歷史計(jì)算機(jī)安全（COMPUSEC）和信息系統(tǒng)安全階段（INFOSEC）關(guān)注信息的保密性、完整性和可用性1.1 信息與信息安全信息安全發(fā)展歷史計(jì)算機(jī)安全（COMPUSEC）和信息系統(tǒng)安全階

4、段（INFOSEC）關(guān)注信息的保密性、完整性和可用性1.1 信息與信息安全信息保障階段（IA）保護(hù)和防御信息及信息系統(tǒng)，確保其可用性、完整性、保密性、鑒別、不可否認(rèn)性等特性。這包括在信息系統(tǒng)中融入保護(hù)、檢測(cè)、反應(yīng)功能，并提供信息系統(tǒng)的恢復(fù)功能。信息安全發(fā)展歷史信息安全的特征？1.1 信息與信息安全機(jī)密性Confidentiality確保信息在存儲(chǔ)、使用、傳輸過(guò)程中不會(huì)泄露給非授權(quán)的用戶(hù)或者實(shí)體完整性Integrity確保信息在存儲(chǔ)、使用、傳輸過(guò)程中不被非授權(quán)用戶(hù)篡改；防止授權(quán)用戶(hù)對(duì)信息進(jìn)行不恰當(dāng)?shù)拇鄹模槐ＷC信息的內(nèi)外一致性可用性Availability確保授權(quán)用戶(hù)或者實(shí)體對(duì)于信息及資源的正常使

5、用不會(huì)被異常拒絕，允許其可靠而且及時(shí)地訪問(wèn)信息及資源1.1 信息與信息安全信息安全三元組CIA1.1 信息與信息安全信息安全三元組CIA不同的行業(yè)對(duì)于信息安全CIA三個(gè)基本原則的需求側(cè)重不同政府及軍隊(duì)保密性銀行可用性和完整性電子商務(wù)網(wǎng)站可用性絕對(duì)的安全不存在 任何安全機(jī)制的作用，都是為了在既定的安全目標(biāo)和允許的投資規(guī)模下，有效地抑制和避免系統(tǒng)當(dāng)前所面臨的安全風(fēng)險(xiǎn)，而不是一勞永逸地解決所有的問(wèn)題。1.1 信息與信息安全信息安全的基本觀點(diǎn)1.1 信息與信息安全信息安全的基本觀點(diǎn)實(shí)現(xiàn)信息安全要依靠技術(shù)措施和管理措施的統(tǒng)一，甚至“三分技術(shù)、七分管理” 據(jù)統(tǒng)計(jì)，在所有的計(jì)算機(jī)安全事件中，約有52%是人為

6、因素造成的，25%由火災(zāi)、水災(zāi)等自然災(zāi)害引起，技術(shù)錯(cuò)誤占10%，組織內(nèi)部人員作案占10%，僅有3%左右是由外部不法人員的攻擊造成。簡(jiǎn)單歸類(lèi)，屬于管理方面的原因比重高達(dá)70%以上。1.1 信息與信息安全時(shí)間DtPTRt信息安全模型最著名的PDR模型保護(hù)Protect檢測(cè)Detect恢復(fù)Restore反應(yīng)React策略PolicyPPDRR模型1.1 信息與信息安全安全域保障，包括三個(gè)方面：域內(nèi)計(jì)算環(huán)境安全：安全域自身的內(nèi)部安全；域邊界與互聯(lián)安全：安全域與外部區(qū)域，或者安全域之間的邊界安全，以及它們進(jìn)行互聯(lián)、互通、互操作的安全；通信傳輸安全：安全域與外部區(qū)域，或者安全域之間的數(shù)據(jù)傳輸?shù)陌踩?安全

7、保障體系結(jié)構(gòu)設(shè)計(jì)1.1 信息與信息安全我國(guó)信息安全的內(nèi)涵 我國(guó)的信息安全，重點(diǎn)是保障基礎(chǔ)信息網(wǎng)絡(luò)、重要信息系統(tǒng)以及信息內(nèi)容的安全。基礎(chǔ)信息網(wǎng)絡(luò)，包括電信網(wǎng)、廣播電視網(wǎng)以及公共互聯(lián)網(wǎng)等網(wǎng)絡(luò)，重要信息系統(tǒng)是關(guān)系到國(guó)計(jì)民生的重要領(lǐng)域（銀行、民航、稅務(wù)、證券、海關(guān)、鐵路、電力等）所依賴(lài)的信息系統(tǒng)以及我國(guó)各級(jí)黨政機(jī)關(guān)的電子政務(wù)信息系統(tǒng)。1.2 信息安全政策1.2 信息安全政策信息化發(fā)展九大戰(zhàn)略1推進(jìn)國(guó)民經(jīng)濟(jì)信息化2推行電子政務(wù)3建設(shè)先進(jìn)網(wǎng)絡(luò)文化4推進(jìn)社會(huì)信息化5完善綜合信息基礎(chǔ)設(shè)施6加強(qiáng)信息資源的開(kāi)發(fā)利用7提高信息產(chǎn)業(yè)競(jìng)爭(zhēng)力8建設(shè)國(guó)家信息安全保障體系9提高國(guó)民信息技術(shù)應(yīng)用能力,造就信息化人才隊(duì)伍1.2

8、信息安全政策2019 年7 月22 日，國(guó)家信息化領(lǐng)導(dǎo)小組第三次會(huì)議中共中央 政治局常委、國(guó)務(wù)院總理、國(guó)家信息化領(lǐng)導(dǎo)小組組長(zhǎng)溫家寶主持關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)（中辦、國(guó)辦發(fā)2019 年27 號(hào)文）對(duì)下一時(shí)期的信息安全保障工作提出了九項(xiàng)要求針對(duì)規(guī)范和加強(qiáng)中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證工作，意見(jiàn)中專(zhuān)門(mén)提出“推進(jìn)信息安全的認(rèn)證認(rèn)可工作，規(guī)范和加強(qiáng)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證工作”意見(jiàn)中指出，“使用國(guó)家財(cái)政資金建設(shè)的信息化項(xiàng)目，要遵照中華人民共和國(guó)政府采購(gòu)法的規(guī)定采用國(guó)產(chǎn)軟件、設(shè)備和服務(wù)”.1.3 信息安全法律體系人大關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定中華人民共和國(guó)刑法治安管理處罰法 中華人民共和國(guó)電子簽名法中華人民共

9、和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法互聯(lián)網(wǎng)信息服務(wù)管理辦法計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定計(jì)算機(jī)病毒防治管理辦法信息系統(tǒng)安全專(zhuān)用產(chǎn)品的檢測(cè)和銷(xiāo)售許可證管理辦法互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定互聯(lián)網(wǎng)站從事登載新聞業(yè)務(wù)管理暫行規(guī)定第二章 信息安全管理基礎(chǔ).信息安全管理體系信息安全管理的總體原則主要領(lǐng)導(dǎo)負(fù)責(zé)原則規(guī)范定級(jí)原則以人為本原則適度安全原則全面防范、突出重點(diǎn)原則系統(tǒng)、動(dòng)態(tài)原則控制社會(huì)影響原則.信息安全管理體系信息安全管理的策略分權(quán)制衡最小特權(quán)選用成熟技術(shù)普遍參與.信息安全管理體系信息安全管理的目標(biāo)合規(guī)性流程規(guī)范性整體協(xié)調(diào)性執(zhí)行落實(shí)性變更可

10、控性責(zé)任性持續(xù)改進(jìn)計(jì)劃性.信息安全管理體系信息安全管理內(nèi)涵組織建立信息安全管理組織結(jié)構(gòu)，并明確責(zé)任制度建立健全的安全管理制度體系人員對(duì)人員進(jìn)行安全教育和培訓(xùn)，加強(qiáng)人員安全意識(shí).信息安全管理體系管理內(nèi)容基于信息系統(tǒng)各個(gè)層次的安全管理：環(huán)境和設(shè)備安全、網(wǎng)絡(luò)和通信安全、主機(jī)和系統(tǒng)安全、應(yīng)用和業(yè)務(wù)安全、數(shù)據(jù)安全基于信息系統(tǒng)生命周期的安全管理：信息系統(tǒng)投入使用之前的工程設(shè)計(jì)和開(kāi)發(fā)階段、系統(tǒng)的運(yùn)行和維護(hù)階段風(fēng)險(xiǎn)管理：資產(chǎn)鑒別、分類(lèi)和評(píng)價(jià)，威脅鑒別和評(píng)價(jià)，脆弱性評(píng)估，風(fēng)險(xiǎn)評(píng)估和評(píng)級(jí)，決策并實(shí)施風(fēng)險(xiǎn)處理措施。業(yè)務(wù)連續(xù)性管理符合性管理方針與策略管理風(fēng)險(xiǎn)管理數(shù)據(jù)/文檔/介質(zhì)管理應(yīng)用與業(yè)務(wù)管理主機(jī)與系統(tǒng)管理網(wǎng)絡(luò)與通

11、信管理環(huán)境與設(shè)備管理項(xiàng)目工程管 理運(yùn)行維護(hù)管 理合 規(guī) 性 管 理人 員 與 組 織 管 理業(yè)務(wù)連續(xù)性管理.信息安全管理體系信息安全管理體系構(gòu)成：.信息安全管理標(biāo)準(zhǔn)英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)國(guó)際標(biāo)準(zhǔn)化組織信息安全管理實(shí)施細(xì)則：信息安全管理體系規(guī)范：一、.信息安全管理標(biāo)準(zhǔn)1、發(fā)展歷程英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(British Standards Institute, BSI)制訂并發(fā)布2019年發(fā)布BS7799-1:2019，2019年發(fā)布BS7799-2:20192019年修訂和擴(kuò)展，發(fā)布完整的BS7799:20192000年，第一部分被采納為ISO/IEC 17799:20002019年對(duì)BS7799-2:2019再次

12、修訂，2019年發(fā)布新版本為BS7799-2:2019ISO/IEC 17799:2019和BS7799-2:2019發(fā)布BS7799稱(chēng)為安全管理事實(shí)上的標(biāo)準(zhǔn).信息安全管理標(biāo)準(zhǔn).信息安全管理標(biāo)準(zhǔn).信息安全管理標(biāo)準(zhǔn)、 BS7799-1(ISO/IEC17799)安全策略：包括信息安全策略的制訂和管理，例如復(fù)查和評(píng)估組織安全：包括建立信息安全管理組織機(jī)構(gòu)，明確信息安全責(zé)任，第三方和外包安全資產(chǎn)分類(lèi)與控制：包括建立資產(chǎn)清單、進(jìn)行信息分類(lèi)與分級(jí)人員安全：包括崗位安全責(zé)任和人員錄用安全要求，安全教育與培訓(xùn)，安全事件的響應(yīng).信息安全管理標(biāo)準(zhǔn)、 BS7799-1(ISO/IEC17799)物理與環(huán)境安全：包

13、括安全區(qū)域控制、設(shè)備安全管理等通信與操作管理：包括操作程序和責(zé)任，系統(tǒng)規(guī)劃和驗(yàn)收，防范惡意軟件，內(nèi)務(wù)管理，網(wǎng)絡(luò)管理，介質(zhì)安全管理，信息與軟件交換安全訪問(wèn)控制：包括訪問(wèn)控制策略，用戶(hù)訪問(wèn)控制，網(wǎng)絡(luò)訪問(wèn)控制，操作系統(tǒng)訪問(wèn)控制，應(yīng)用訪問(wèn)控制，監(jiān)控與審計(jì)，移動(dòng)和遠(yuǎn)程訪問(wèn).信息安全管理標(biāo)準(zhǔn)、 BS7799-1(ISO/IEC17799)系統(tǒng)開(kāi)發(fā)與維護(hù)：安全需求分析，安全機(jī)制設(shè)計(jì)（應(yīng)用系統(tǒng)安全，密碼控制，系統(tǒng)文件安全），開(kāi)發(fā)和支持過(guò)程的安全控制業(yè)務(wù)連續(xù)性管理：業(yè)務(wù)連續(xù)性計(jì)劃的制訂，演習(xí)，審核，改進(jìn)符合性管理：符合法律法規(guī)，符合安全策略等.信息安全管理標(biāo)準(zhǔn)、 BS7799-1(ISO/IEC17799)對(duì)控

14、制措施的描述不夠細(xì)致，導(dǎo)致缺乏可操作性1項(xiàng)控制措施未必適合全部的組織，應(yīng)當(dāng)有選擇的參考使用1項(xiàng)控制措施未必全面，可以根據(jù)實(shí)際情況進(jìn)行增補(bǔ).信息安全管理標(biāo)準(zhǔn).信息安全管理標(biāo)準(zhǔn).信息安全管理標(biāo)準(zhǔn).信息安全管理標(biāo)準(zhǔn).信息安全管理標(biāo)準(zhǔn).信息安全管理標(biāo)準(zhǔn).信息安全管理標(biāo)準(zhǔn).信息安全管理標(biāo)準(zhǔn).信息安全管理標(biāo)準(zhǔn)、 BS7799-2/ISO 27001（1）信息安全管理體系規(guī)范(Specification for Information Security Management System)說(shuō)明了建立、實(shí)施、維護(hù)，并持續(xù)改進(jìn)ISMS的要求指導(dǎo)實(shí)施者如何利用BS7799-1來(lái)建立一個(gè)有效的ISMSBSI提供依據(jù)

15、BS7799-2所建立ISMS的認(rèn)證.信息安全管理標(biāo)準(zhǔn)、 BS7799-2（）建立ISMS（PLAN）定義ISMS的范圍和策略識(shí)別和評(píng)估風(fēng)險(xiǎn)評(píng)估現(xiàn)有保證措施準(zhǔn)備適用性說(shuō)明取得管理層對(duì)殘留風(fēng)險(xiǎn)的認(rèn)可，并獲得實(shí)施ISMS的授權(quán).信息安全管理標(biāo)準(zhǔn)、 BS7799-2（）實(shí)施ISMS（DO）制訂并實(shí)施風(fēng)險(xiǎn)處理計(jì)劃實(shí)施安全控制措施實(shí)施安全意識(shí)和安全教育培訓(xùn)實(shí)施檢測(cè)和響應(yīng)安全機(jī)制.信息安全管理標(biāo)準(zhǔn)、 BS7799-2（）監(jiān)視和復(fù)查ISMS（CHECK）實(shí)施監(jiān)視程序和控制定期復(fù)審ISMS的效力定期進(jìn)行ISMS內(nèi)部審計(jì)復(fù)查殘留風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)的水平.信息安全管理標(biāo)準(zhǔn)、 BS7799-2（）改進(jìn)ISMS（ACT

16、）對(duì)ISMS實(shí)施可識(shí)別的改進(jìn)實(shí)施糾正和預(yù)防措施確保改進(jìn)成果滿(mǎn)足預(yù)期目標(biāo).信息安全管理標(biāo)準(zhǔn)、 BS7799-2（）強(qiáng)調(diào)文檔化管理的重要作用，文檔體系包括安全策略適用性聲明實(shí)施安全控制的規(guī)程文檔ISMS管理和操作規(guī)程與ISMS有關(guān)的其它文檔.信息安全管理標(biāo)準(zhǔn).信息安全策略安全策略包括：總體方針，指導(dǎo)性的戰(zhàn)略綱領(lǐng)文件，闡明了企業(yè)對(duì)于信息安全的看法和立場(chǎng)、信息安全的目標(biāo)和戰(zhàn)略、信息安全所涉及的范圍、管理組織構(gòu)架和責(zé)任認(rèn)定、以及對(duì)于信息資產(chǎn)的管理辦法等內(nèi)容針對(duì)特定問(wèn)題的具體策略，闡述了企業(yè)對(duì)于特定安全問(wèn)題的聲明、立場(chǎng)、適用辦法、強(qiáng)制要求、角色、責(zé)任認(rèn)定等內(nèi)容針對(duì)特定系統(tǒng)的具體策略，更為具體和細(xì)化，闡明了

17、特定系統(tǒng)與信息安全有關(guān)的使用和維護(hù)規(guī)則等內(nèi)容.信息安全風(fēng)險(xiǎn)管理安全策略的特點(diǎn)：力求全面和明確，不必過(guò)于具體和深入需要一個(gè)逐漸完善的過(guò)程，不可能一蹴而就應(yīng)當(dāng)保持適當(dāng)?shù)姆€(wěn)定性.信息安全風(fēng)險(xiǎn)管理1、所有活動(dòng)賬號(hào)都必須有口令保護(hù)。2、生成賬號(hào)時(shí)，系統(tǒng)管理員應(yīng)分配給合法用戶(hù)一個(gè)唯一的口令，用戶(hù)在第一次登錄時(shí)應(yīng)更改口令。3、口令必須至少要含有8個(gè)字符。4、口令必須同時(shí)含有字母和非字母字符。5、必須定期用監(jiān)控工具檢查口令的強(qiáng)度和長(zhǎng)度是否合格。6、口令不能和用戶(hù)名或者登錄名相同。7、口令必須至少60天更改一次。口令安全策略.信息安全風(fēng)險(xiǎn)管理8、禁止重用口令。9、必須保存至少12個(gè)歷史口令。10、口令不能通過(guò)明

18、文電子郵件傳輸。11、所有供應(yīng)商的默認(rèn)口令必須更改。12、用戶(hù)應(yīng)在不同的系統(tǒng)中使用不同的口令。13、當(dāng)懷疑口令泄漏時(shí)必須予以更改。14、應(yīng)該控制登錄嘗試的頻率。口令安全策略.信息安全風(fēng)險(xiǎn)管理1、應(yīng)當(dāng)建立全面網(wǎng)絡(luò)病毒查殺機(jī)制，實(shí)現(xiàn)全網(wǎng)范圍內(nèi)的病毒防治，抑止病毒的傳播。2、所有內(nèi)部網(wǎng)絡(luò)上的計(jì)算機(jī)在聯(lián)入內(nèi)部網(wǎng)絡(luò)之前，都應(yīng)當(dāng)安裝和配置殺毒軟件，并且通過(guò)管理中心進(jìn)行更新，任何用戶(hù)不能禁用病毒掃描和查殺功能。3、所有內(nèi)部網(wǎng)絡(luò)上的計(jì)算機(jī)系統(tǒng)都應(yīng)當(dāng)定期進(jìn)行完整的系統(tǒng)掃描。4、從外部介質(zhì)安裝數(shù)據(jù)和程序之前，或安裝下載的數(shù)據(jù)和程序之前，必須對(duì)其進(jìn)行病毒掃描，以防止存在病毒感染操作系統(tǒng)和應(yīng)用程序。5、第三方數(shù)據(jù)和程

19、序在安裝到內(nèi)部網(wǎng)絡(luò)的系統(tǒng)之前，必須在隔離受控的模擬系統(tǒng)上進(jìn)行病毒掃描測(cè)試。病毒防治策略.信息安全策風(fēng)險(xiǎn)管理病毒防治策略6、任何內(nèi)部用戶(hù)不能故意制造、執(zhí)行、傳播、或引入任何可以自我復(fù)制、破壞或者影響計(jì)算機(jī)內(nèi)存、存儲(chǔ)介質(zhì)、操作系統(tǒng)、應(yīng)用程序的計(jì)算機(jī)代碼7、應(yīng)當(dāng)指定專(zhuān)門(mén)的部門(mén)和人員，負(fù)責(zé)網(wǎng)絡(luò)病毒防治系統(tǒng)的管理維護(hù)。8、應(yīng)當(dāng)建立網(wǎng)絡(luò)病毒防治系統(tǒng)的管理規(guī)范，有效發(fā)揮病毒防治系統(tǒng)的安全效能。9、應(yīng)當(dāng)建立桌面系統(tǒng)病毒防治管理規(guī)范，約束和指導(dǎo)用戶(hù)在桌面系統(tǒng)上的操作行為，以及對(duì)殺毒軟件的配置和管理，達(dá)到保護(hù)桌面系統(tǒng)、抑止病毒傳播的目的。10、管理機(jī)構(gòu)應(yīng)當(dāng)定期對(duì)與病毒查殺有關(guān)安全管理制度的有效性和實(shí)施狀況進(jìn)行檢查

20、，發(fā)現(xiàn)問(wèn)題，進(jìn)行改進(jìn)。 安全教育與培訓(xùn)策略61可接受使用策略63一、物理安全技術(shù)概述 物理安全又叫實(shí)體安全（Physical Security），是保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施（網(wǎng)絡(luò)及通信線(xiàn)路）免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故（如電磁污染等）破壞的措施和過(guò)程。 實(shí)體安全技術(shù)主要是指對(duì)計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)的環(huán)境、場(chǎng)地、設(shè)備和通信線(xiàn)路等采取的安全技術(shù)措施。 物理安全技術(shù)實(shí)施的目的是保護(hù)計(jì)算機(jī)及通信線(xiàn)路免遭水、火、有害氣體和其他不利因素(人為失誤、犯罪行為 )的損壞。 第四節(jié) 信息安全技術(shù)物理安全技術(shù)概述 影響計(jì)算機(jī)網(wǎng)絡(luò)實(shí)體安全的主要因素如下： 1）計(jì)算機(jī)及其網(wǎng)絡(luò)系統(tǒng)自身存在的脆弱性因素。 2）各種

21、自然災(zāi)害導(dǎo)致的安全問(wèn)題。 3）由于人為的錯(cuò)誤操作及各種計(jì)算機(jī)犯罪導(dǎo)致的安全問(wèn)題。 影響物理安全的因素 物理安全包括：環(huán)境安全、電源系統(tǒng)安全、設(shè)備安全和通信線(xiàn)路安全。 物理安全技術(shù)概述 物理安全的內(nèi)容 1)環(huán)境安全：應(yīng)具備消防報(bào)警、安全照明、不間斷供電、溫濕度控制系統(tǒng)和防盜報(bào)警。 2)電源系統(tǒng)安全：電源安全主要包括電力能源供應(yīng)、輸電線(xiàn)路安全、保持電源的穩(wěn)定性等。 3)設(shè)備安全：要保證硬件設(shè)備隨時(shí)處于良好的工作狀態(tài)，建立健全使用管理規(guī)章制度，建立設(shè)備運(yùn)行日志。同時(shí)要注意保護(hù)存儲(chǔ)媒體的安全性，包括存儲(chǔ)媒體自身和數(shù)據(jù)的安全。 4)通信線(xiàn)路安全：包括防止電磁信息的泄漏、線(xiàn)路截獲，以及抗電磁干擾。 物理安

22、全包括以下主要內(nèi)容: 1）計(jì)算機(jī)機(jī)房的場(chǎng)地、環(huán)境及各種因素對(duì)計(jì)算機(jī)設(shè)備的影響。 2）計(jì)算機(jī)機(jī)房的安全技術(shù)要求。 3）計(jì)算機(jī)的實(shí)體訪問(wèn)控制。 4）計(jì)算機(jī)設(shè)備及場(chǎng)地的防火與防水。 5）計(jì)算機(jī)系統(tǒng)的靜電防護(hù)。 6）計(jì)算機(jī)設(shè)備及軟件、數(shù)據(jù)的防盜防破壞措施。 7）計(jì)算機(jī)中重要信息的磁介質(zhì)的處理、存儲(chǔ)和處理手續(xù)的有關(guān)問(wèn)題。 物理安全技術(shù)概述 物理安全的內(nèi)容(續(xù)) 物理安全技術(shù)概述 物理安全涉及的主要技術(shù)標(biāo)準(zhǔn) （1）GB/T 2887-2000 電子計(jì)算機(jī)場(chǎng)地通用規(guī)范 （2）GB/T 9361-1988 計(jì)算站場(chǎng)地安全要求 （3）GB/T 14715-1993 信息技術(shù)設(shè)備用UPS通用技術(shù)條件 （4）GB

23、50174-1993 電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范 計(jì)算機(jī)機(jī)房建設(shè)至少應(yīng)遵循國(guó)標(biāo)GB/T 2887-2000和GB/T 9361-1988，滿(mǎn)足防火、防磁、防水、防盜、防電擊、防蟲(chóng)害等要求，并配備相應(yīng)的設(shè)備。 鏈路加密是對(duì)通信線(xiàn)路上任何兩個(gè)LAN之間的通信鏈路上的數(shù)據(jù)進(jìn)行加密。 鏈路加密發(fā)生在OSI模型的第一層（物理層）或第二層（數(shù)據(jù)鏈路層），對(duì)用戶(hù)來(lái)說(shuō)是不可見(jiàn)的，實(shí)際上是由低級(jí)網(wǎng)絡(luò)協(xié)議層實(shí)現(xiàn)的傳輸服務(wù)。二、通信鏈路加密技術(shù)遠(yuǎn)程撥號(hào)安全協(xié)議Radius 遠(yuǎn)程接入驗(yàn)證服務(wù)器,也就是認(rèn)證用的 AAA 就是Radius服務(wù)器實(shí)現(xiàn)的功能:驗(yàn)證,計(jì)費(fèi)和授權(quán) 三、網(wǎng)絡(luò)安全技術(shù)1.防火墻 所謂防火墻指的是一個(gè)有軟

24、件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專(zhuān)用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障. 是一種獲取安全性方法的形象說(shuō)法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶(hù)的侵入。 防火墻的功能 防火墻對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過(guò)濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。 防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來(lái)自特殊站點(diǎn)的訪問(wèn)，從而防止來(lái)自不明入侵者的所有通信。 防火墻的局限性（一）不能防范惡意的知情者 防火墻可以禁止系統(tǒng)用戶(hù)經(jīng)過(guò)網(wǎng)絡(luò)連接發(fā)送專(zhuān)有的信息，但用戶(hù)

25、可以將數(shù)據(jù)復(fù)制到磁盤(pán)、磁帶上，放在公文包中帶出去。 如果入侵者已經(jīng)在防火墻內(nèi)部，防火墻是無(wú)能為力的。內(nèi)部用戶(hù)可以竊取數(shù)據(jù)，破壞硬件和軟件，并且巧妙地修改程序而不接近防火墻。對(duì)于來(lái)自知情者的威脅，只能要求加強(qiáng)內(nèi)部管理，如管理制度和保密制度等。不能防范不通過(guò)它的連接 防火墻能夠有效地防止通過(guò)它的傳輸信息，然而它卻不能防止不通過(guò)它而傳輸?shù)男畔ⅰ?例如，如果站點(diǎn)允許對(duì)防火墻后面的內(nèi)部系統(tǒng)進(jìn)行撥號(hào)訪問(wèn)，那么防火墻絕對(duì)沒(méi)有辦法阻止入侵者進(jìn)行撥號(hào)入侵。防火墻的局限性(二)不能防備全部的威脅 防火墻是被動(dòng)性的防御系統(tǒng)，用來(lái)防備已知的威脅，如果是一個(gè)很好的防火墻設(shè)計(jì)方案，就可以防備新的威脅，但沒(méi)有一扇防火墻能自

26、動(dòng)防御所有新的威脅。防火墻不能防范病毒 防火墻一般不能消除網(wǎng)絡(luò)上的病毒、木馬、廣告插件等。 2.網(wǎng)絡(luò)入侵檢測(cè) 對(duì)入侵行為的檢測(cè)。它通過(guò)收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。 入侵檢測(cè)作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。因此被認(rèn)為是防火墻之后的第二道安全閘門(mén)，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)。漏洞源自“vulnerability”（脆弱性）。一般認(rèn)為，漏洞是指硬件、軟件或策略上存在的的安全缺陷

27、，從而使得攻擊者能夠在未授權(quán)的情況下訪問(wèn)、控制系統(tǒng)。 3.網(wǎng)絡(luò)脆弱性分析信息安全的“木桶理論”對(duì)一個(gè)信息系統(tǒng)來(lái)說(shuō)，它的安全性不在于它是否采用了最新的加密算法或最先進(jìn)的設(shè)備，而是由系統(tǒng)本身最薄弱之處，即漏洞所決定的。只要這個(gè)漏洞被發(fā)現(xiàn)，系統(tǒng)就有可能成為網(wǎng)絡(luò)攻擊的犧牲品。漏洞的發(fā)現(xiàn) 一個(gè)漏洞并不是自己突然出現(xiàn)的，必須有人發(fā)現(xiàn)它。這個(gè)工作主要是由以下三個(gè)組織之一來(lái)完成的：黑客、破譯者、安全服務(wù)商組織。 每當(dāng)有新的漏洞出現(xiàn)，黑客和安全服務(wù)商組織的成員通常會(huì)警告安全組織機(jī)構(gòu)；破譯者也許不會(huì)警告任何官方組織，只是在組織內(nèi)部發(fā)布消息。根據(jù)信息發(fā)布的方式，漏洞將會(huì)以不同的方式呈現(xiàn)在公眾面前。 通常收集安全信息

28、的途徑包括：新聞組、郵件列表、Web站點(diǎn)、FTP文檔。 網(wǎng)絡(luò)管理者的部分工作就是關(guān)心信息安全相關(guān)新聞，了解信息安全的動(dòng)態(tài)。管理者需要制定一個(gè)收集、分析以及抽取信息的策略，以便獲取有用的信息。 漏洞對(duì)系統(tǒng)的威脅 漏洞對(duì)系統(tǒng)的威脅體現(xiàn)在惡意攻擊行為對(duì)系統(tǒng)的威脅，因?yàn)橹挥欣糜布④浖筒呗陨献畋∪醯沫h(huán)節(jié)，惡意攻擊者才可以得手。 目前，因特網(wǎng)上已有3萬(wàn)多個(gè)黑客站點(diǎn)，而且黑客技術(shù)不斷創(chuàng)新，基本的攻擊手法已多達(dá)800多種。 目前我國(guó)95的與因特網(wǎng)相連的網(wǎng)絡(luò)管理中心都遭到過(guò)境內(nèi)外攻擊者的攻擊或侵入，其中銀行、金融和證券機(jī)構(gòu)是黑客攻擊的重點(diǎn)。國(guó)內(nèi)乃至全世界的網(wǎng)絡(luò)安全形勢(shì)非常不容樂(lè)觀。1.主機(jī)入侵檢測(cè) HID

29、S全稱(chēng)是Host-based Intrusion Detection System，即基于主機(jī)型入侵檢測(cè)系統(tǒng)。作為計(jì)算機(jī)系統(tǒng)的監(jiān)視器和分析器，它并不作用于外部接口，而是專(zhuān)注于系統(tǒng)內(nèi)部，監(jiān)視系統(tǒng)全部或部分的動(dòng)態(tài)的行為以及整個(gè)計(jì)算機(jī)系統(tǒng)的狀態(tài)。 由于HIDS動(dòng)態(tài)地檢查網(wǎng)絡(luò)數(shù)據(jù)包這一特性，它可以檢測(cè)到哪一個(gè)程序訪問(wèn)了什么資源以及確保文字處理器不會(huì)突然的、無(wú)緣無(wú)故的啟動(dòng)并修改系統(tǒng)密碼數(shù)據(jù)庫(kù)。同樣的，不管是往內(nèi)存、文件系統(tǒng)、日志文件還是其它地方存儲(chǔ)信息，HIDS會(huì)一直監(jiān)控系統(tǒng)狀態(tài)，并且核對(duì)他們是否還預(yù)期相同。四、系統(tǒng)安全技術(shù) HIDS運(yùn)行依賴(lài)與這樣一個(gè)原理：一個(gè)成功的入侵者一般而言都會(huì)留下他們?nèi)肭值暮圹E

30、。這樣，計(jì)算機(jī)管理員就可以察覺(jué)到一些系統(tǒng)的修改，HIDS亦能檢測(cè)并報(bào)告出檢測(cè)結(jié)果。 一般而言，HIDS使用一個(gè)它們所監(jiān)視的目標(biāo)系統(tǒng)以及文件系統(tǒng)（非必需）的數(shù)據(jù)庫(kù)，HIDS也可以核對(duì)內(nèi)存中未被非法修改的區(qū)域。對(duì)于每一個(gè)正被處理的目標(biāo)文件來(lái)說(shuō)，HIDS會(huì)記錄下他們的屬性（如權(quán)限、大小、修改時(shí)間等）然后，如果該文件有其文件內(nèi)容的話(huà)，HIDS將會(huì)創(chuàng)建一個(gè)校驗(yàn)碼（如SHA1，MD5或類(lèi)似）。這個(gè)校驗(yàn)碼信息將儲(chǔ)存在一個(gè)安全的數(shù)據(jù)庫(kù)中，即校驗(yàn)碼數(shù)據(jù)庫(kù)，以便將來(lái)的核對(duì)。1.動(dòng)態(tài)口令認(rèn)證（1）口令 口令又稱(chēng)為密碼(Password), 被用來(lái)驗(yàn)證用戶(hù)對(duì)系統(tǒng)訪問(wèn)的身份。口令一般分為兩種，一種是一經(jīng)設(shè)置固定不變的靜態(tài)口令；一種是不確定隨機(jī)變化的動(dòng)態(tài)口令。靜態(tài)口令在使用