网络信息安全概述与信息系统风险分析讲座
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2019/10/30
25
河北师范大学信息技术学院.
2019年信息网络安全状况
流量攻击威胁中小网站生存
2019/10/30
26
河北师范大学信息技术学院.
2019年信息网络安全状况
网站安全将成为安全服务新焦点 对于拖库风险和数据篡改,最有效的防范措施
就是尽快修补系统漏洞,提高网站自身的安全 性。特别是对于普遍存在的,黑客攻击也比较 集中的跨站脚本漏洞、SQL注入漏洞和WEB后 门漏洞,网站开发者应当及时检测并予以修补。
威
冒充(攻击者利用冒充手段窃取信息、入侵系统、破坏
胁
网络正常通讯或欺骗合法主机和合法用户。)
流量分析攻击(分析通信双方通信流量的大小,以期获 得相关信息。)
其他威胁(病毒、电磁泄漏、各种自然灾害、战争、失
2019/10/30
窃、操作失误等)
54
河北师范大学信息技术学院.
信息与网络安全的攻击手段
物理破坏 窃听 数据阻断攻击 数据篡改攻击 数据伪造攻击 数据重放攻击 盗用口令攻击 中间人攻击 缓冲区溢出攻击
网络攻防技术、网络监控与审计技术等。
2019/10/30
50
河北师范大学信息技术学院.
信息保障阶段
信息保障(IA)概念与思想是20世纪90年代由 美国国防部长办公室提出。
定义:通过确保信息和信息系统的可用性、完整性、可控性、 保密性和不可否认性来保护信息系统的信息作战行动,包括综 合利用保护、探测和反应能力以恢复系统的功能。
2019/10/30
47
河北师范大学信息技术学院.
信息安全的目的
信息安全的目的是保障信息安全,主要目的有
进
拿
改
不
不
不
来
走
了
2019/10/30
河北师范大学信息技术学院.
看
跑
可
不
不
审
懂
了
查
48
信息安全概念与技术的发展
信息安全的概念与技术是随着人们的需求,随着计算 机、通信与网络等信息技术的发展而不断发展的。
职业入侵者受网络 商人或商业间谍雇 佣
不在网上公开身份, 不为人知,但确实 存在!
攻击水平通常很高, 精通多种技术
44
攻击者对自己提出
网络信息安全概述
信息与网络安全的本质和内容 计算机网络的脆弱性 信息安全的六大目标 网络安全的主要威胁 网络安全的攻击手段 网络攻击过程
2019/10/30
2019/10/30
21
河北师范大学信息技术学院.
2019年信息网络安全状况
企业面临多种安全风险
2019/10/30
22
河北师范大学信息技术学院.
2019年信息网络安全状况
网站安全性问题迫在眉睫
2019/10/30
23
河北师范大学信息技术学院.
2019年信息网络安全状况
网站安全性问题迫在眉睫
2019/10/30
27
河北师范大学信息技术学院.
网络安全管理情况
2019/10/30
29
河北师范大学信息技术学院.
2019/10/30
30
河北师范大学信息技术学院.
我国计算机用户病毒感染情况
2019/10/30
31
河北师范大学信息技术学院.
我国计算机病毒传播的主要途径
2019/10/30
33
系统Bug
内部人员威胁
社会工程
56
社会工程
我们通常把基于非计算机的欺骗技术叫做社会工程。 社会工程中,攻击者设法设计让人相信它是其他人。 这就像攻击者在给人打电话时说自己是某人一样的简 单。因为他说了一些大概只有那个人知道的信息,所 以受害人相信他。
社会工程的核心是,攻击者设法伪装自己的身份并 设计让受害人泄密私人信息。这些攻击的目标是搜集 信息来侵入计算机系统的,通常通过欺骗某人使之泄 露出口令或者在系统中建立个新帐号。
针对特定组织或目标进行的高级持续性渗透攻 击,是多方位的系统攻击。极光行动、夜龙攻 击、震网病毒(超级工厂病毒)、暗鼠行动等 都是APT攻击的著名案例。
2019/10/30
16
河北师范大学信息技术学院.
2019年信息网络安全状况
网络存储和共享成为木马新兴渠道
2019/10/30
17
河北师范大学信息技术学院.
网络通信的脆弱性。网络安全通信是实现网络设备之间、网络设备与主机节点之间进行信息交换 的保障,然而通信协议或通信系统的安全缺陷往往危及到网络系统的整体安全。
网络操作系统的脆弱性。目前的操作系统,无论是Windows、UNIX还是Netware都存在安全漏 洞,这些漏洞一旦被发现和利用将对整个网络系统造成巨大的损失。
2019年十大安全事件
美国众议院通过网络情报共享与保护法案:是 否表示美国宪法第四修正案走向终结?
2019/10/30
7
河北师范大学信息技术学院.
2019年十大安全事件
美国国土安全部提醒用户禁用Java应对零日攻 击
2019/10/30
8
河北师范大学信息技术学院.
2019年十大安全事件
2019/10/30
24
河北师范大学信息技术学院.
2019年信息网络安全状况
拖库风险与篡改现象日益加剧 由于大量网站存在高危安全漏洞,就为黑客入
侵网站提供了可乘之机。2019年,网站遭遇黑 客攻击的事件频频发生,拖库与篡改的案例时 有发生。所谓拖库,是指黑客入侵网站后将网 站数据库中的数据导出。而黑客拖库的主要目 标就是窃取用户的帐号、Email和密码。
河北师范大学信息技术学院.
网民中计算机安全问题发生的比率
2019/10/30
34
河北师范大学信息技术学院.
网民发生帐号或密码被盗的场所
2019/10/30
ห้องสมุดไป่ตู้
35
河北师范大学信息技术学院.
发生网民帐号或个人信息被盗改的诱因
2019/10/30
36
河北师范大学信息技术学院.
发生网民进入到仿冒网站的诱因
篡改攻击
伪造攻击
拒绝服 务攻击
重放攻击
主动攻击可以检测,但难以防范
2019/10/30
59
河北师范大学信息技术学院.
物理破坏
攻击者可以直接接触到信息与网络系统的硬件、 软件和周边环境设备。通过对硬件设备、网络 线路、电源、空调等的破坏,使系统无法正常 工作,甚至导致程序和数据无法恢复。
2019/10/30
41
河北师范大学信息技术学院.
网民网上帐号通常的口令/密码是几位
2019/10/30
42
河北师范大学信息技术学院.
计算机病毒造成的主要危害情况
2019/10/30
43
河北师范大学信息技术学院.
黑客的职业化之路
2019/10/30
河北师范大学信息技术学院.
不再是小孩的游戏, 而是与 ¥ 挂钩
美国国家安全局制定的信息保障技术框架IATF,提出“纵深防 御策略”DiD(Defense-in-Depth Strategy)。
信息保障阶段不仅包含安全防护的概念,更重要的是增加了主 动和积极的防御观念。
2019/10/30
51
河北师范大学信息技术学院.
计算机网络的脆弱性
体系结构的脆弱性。网络体系结构要求上层调用下层的服务,上层是服务调用者,下层是服务提 供者,当下层提供的服务出错时,会使上层的工作受到影响。
2019/10/30
52
河北师范大学信息技术学院.
信息安全的六大目标
可靠性
信
可用性
息
真实性
安
保密性
全 完整性
不可抵赖性
2019/10/30
53
河北师范大学信息技术学院.
网络安全的主要威胁
内部窃密和破坏
窃听和截收
非法访问(以未经授权的方式使用网络资源)
主 要
破坏信息的完整性(通过篡改、删除和插入等方式破坏 信息的完整性)
2019/10/30
4
河北师范大学信息技术学院.
2019年十大安全事件
著名黑客、积极行动主义者Aaron Swartz自杀 身亡
2019/10/30
5
河北师范大学信息技术学院.
2019年十大安全事件
美国国家安全局丑闻的背后是新闻的真实性缺 失
2019/10/30
6
河北师范大学信息技术学院.
匿名黑客组织公开4000多位美国银行家登录账 户和证书等信息
2019/10/30
9
河北师范大学信息技术学院.
2019年十大安全事件
在Windows和Mac操作系统上,如何禁用浏览 器Java控件
2019/10/30
10
河北师范大学信息技术学院.
2019年十大安全事件
脸谱网“shadow profiles”出现漏洞 公众表示 愤怒
网络信息安全状况
2019年十大安全事件 2019年信息网络安全状况 计算机病毒感染状况
2019/10/30
2
河北师范大学信息技术学院.
2019年十大安全事件
苹果iOS 6.1.3修复版发现另一个锁屏旁路漏洞
2019/10/30
3
河北师范大学信息技术学院.
2019年十大安全事件
Mega用户:一次被黑,则终生被黑
网络信息安全概述与 信息系统风险分析
河北师范大学信息技术学院
2019.9.28 赵冬梅
Email: zhaodongmei666126
2019/10/30
0
网络信息安全概述与信息系统风险分析
1
网络信息 安全状况
2
网络信息 安全概述
3
信息安全 风险分析
2019/10/30
1
河北师范大学信息技术学院.
网络应用系统的脆弱性。随着网络的普及,网络应用系统越来越多,网络应用系统也可能存在安 全漏洞,这些漏洞一旦被发现和利用将可能导致数据被窃取或破坏,应用系统瘫痪,甚至威胁到 整个网络的安全。
网络管理的脆弱性。在网络管理中,常常会出现安全意识淡薄、安全制度不健全、岗位职责混乱、 审计不力、设备选型不当和人事管理漏洞等,这种人为造成的安全漏洞也会威胁到整个网络的安 全。
2019/10/30
57
河北师范大学信息技术学院.
网络攻击
被动攻击
窃听或者偷窥 流量分析
源
sniffer
目的
被动攻击非常难以检测,但可以防范
2019/10/30
58
河北师范大学信息技术学院.
网络攻击
主动攻击:指攻击者对某个连接的中的PDU进行各种处 理(更改、删除、迟延、复制、伪造等)
阻断攻击
2019/10/30
11
河北师范大学信息技术学院.
2019年十大安全事件
匿名黑客组织开展“Operation Last Resort” 黑客行动 美国联邦政府无力招架
2019/10/30
12
河北师范大学信息技术学院.
2019年信息网络安全状况
恶意程序增速明显放缓
2019/10/30
13
河北师范大学信息技术学院.
2019/10/30
37
河北师范大学信息技术学院.
网民发现电脑出现计算机安全问题的方式
2019/10/30
38
河北师范大学信息技术学院.
网民感染电脑病毒后采取的首要措施
2019/10/30
39
河北师范大学信息技术学院.
网民的计算机安全行为习惯
2019/10/30
40
河北师范大学信息技术学院.
网民通常网络帐号和密码设计方式
单机系统的信息保密阶段
网络信息安全阶段
信息保障阶段
2019/10/30
49
河北师范大学信息技术学院.
网络信息安全阶段
1988年莫里斯蠕虫爆发
对网络安全的关注与研究
CERT成立
该阶段中,除了采用和研究各种加密技术外,还开发 了许多针对网络环境的信息安全与防护技术(被动防 御):
安全漏洞扫描技术、安全路由器、防火墙技术、入侵检测技术、
46
河北师范大学信息技术学院.
信息与网络安全的本质和内容
网络安全从其本质上来讲就是网络上的信息安全。
网络安全就是保护计算机系统,使其没有危险,不受 威胁,不出事故。
网络安全指信息系统的硬件、软件及其系统中的数据 受到保护,不会遭到偶然的或者恶意的破坏、更改、 泄漏,系统能连续、可靠、正常的运行,服务不中断。
2019/10/30
河北师范大学信息技术学院.
分发攻击 野蛮攻击 SQL注入攻击 跨站点脚本 计算机病毒 蠕虫 后门攻击 欺骗攻击 拒绝服务攻击 特洛伊木马
55
黑客攻击 特洛伊木马
天灾
后门、隐蔽通道 计算机病毒
信息泄漏、篡 改、破坏
网络信息系统
拒绝服务攻击
逻辑炸弹
蠕虫
2019/10/30
河北师范大学信息技术学院.
2019年信息网络安全状况
2019/10/30
14
河北师范大学信息技术学院.
2019年信息网络安全状况
木马攻击更加精准和隐蔽
2019/10/30
15
河北师范大学信息技术学院.
2019年信息网络安全状况
APT攻击瞄准高价值情报信息 APT(Advanced Persistent Threat)攻击是指
2019年信息网络安全状况
钓鱼网站呈现快速增长势头
2019/10/30
18
河北师范大学信息技术学院.
2019年信息网络安全状况
2019/10/30
19
河北师范大学信息技术学院.
2019年信息网络安全状况
2019/10/30
20
河北师范大学信息技术学院.
2019年信息网络安全状况
虚假购物占钓鱼网站总量的33.3%