信息安全保障体系
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
11
网络安全产品的自控权
• 安全产品(出厂.分销.安装.升级):
隐通道、嵌入病毒、缺陷、可恢复密钥、恶意代码
• 大量外购安全产品缺少自控权
• 我国缺少配套的安全产品控制政策和机制
• 我国安全产业还比较稚嫩
• 是重大安全隐患之一
12
信息战与网络恐怖活动
• 有组织、大规模的网络攻击预谋行为:
网络恐怖活动——恐怖集团行为 信息战争——国家行为 针对信息要害目标的恶性破坏
Solaris:34漏洞/99年,W2000有上万个Bug、TCP/IP
• 网络的扩展与业务负荷澎涨:
信息量半年长一倍,网民年增涨30% 网络带宽瓶颈和信息拥挤
• 社会与经济对网络的巨大依赖性:
US:30%股市、25%产品、30%金融、50%人口
• 灾难恢复的脆弱性
“AOL”96年10小时系统故障影响700万用户 2000年2.7事件8大网站瘫痪24~72小时
加速信息化步伐
4
互联网的崛起
• 互联网推动企业(部门)信息平台的重构
Intranet/Extranet/Internet
• 互联网将成为国家重要的基础设施
美国:40%网民、30%金融、25%产品、30%股市
• 互联网刺激了信息产业的迅速发展
软件业、硬件制造业、信息服务业 网络经济是新经济的集中表现
• 互联网是新兴数字化业务的摇篮
EC、EG、DE、DM、NM、CW、AM
5
互联网存在的六大问题
• 无主管的自由王国:
有害信息、非法联络、违规行为
• 不设防的网络空间:
国家安全、企业利益、个人隐私
• 法律约束脆弱
黑客犯罪、知识侵权、避税
• 跨国协调困难
过境信息控制、跨国黑客打击、关税
• 民族化和国际化的冲突
文化传统、价值观、语言文字
• 网络资源紧缺
IP地址、域名、带宽
6
网上黑客与计算机犯罪
• • • • • 网上攻击事件每年以10倍速度增涨(一次/20秒) 黑客攻击手段1000~1500种 98年黑客攻击美国防部的Analiza案件 99年40家银行的电子购物账户密码曝光 2000年2月7日攻击美国知名网站案件:
构建信息安全保障 体系的思考
曲成义
研究员
2003年9月
1
全球信息化发展
信息化成为经济发展的重要推动力 信息化引发全球的产业革命 信息化成为国际经济竞争的焦点 信息化成为国力和经济增长力的重要标志 信息化是全球经济和社会发展的大趋势
2
全球信息化动向
•1993:美国提出“信息高速公路”(NII) •1994:ITU会议戈尔提出GII •1995:G7会议支持GII •1996:日本“电子信息技术开发计划” •1997:欧盟提出“信息社会计划” •1998:马来西亚“多媒体走廊” •1999:新加坡实施“智慧岛”(IT-2000)
制订ICT-21
•2000:全球信息社会宪章(G8)
影响—动力、知识—潜能、挑战—机遇
3
中央关于国家十五计划的建议
(中央十五届五次全会公报)
• 大力推进国民经济和社会信息化 • 信息化是覆盖现代化建设全局的战略举措
• 信息化带动工业化,发挥后发优势,跨越
式发展
• 政府行政管理要运用数字化、网络化技术,
• 互联网威胁给社会带来巨大冲击
CNN的100万网民阅读网络新闻受阻 Amason的820万注册用户无法购书 3天总损失高达$12亿
• 互联网安全问题正在进入国家战略层
9
机要信息流失与信息间谍潜入
• 国家机密信息、企业关键信息、个人隐私
• Web发布、电子邮件、文件传送的泄漏
• 予谋性窃取政治和经济情报 • CIA统计入侵美国要害系统的案件
年增长率为30%
wenku.baidu.com
• 14%部门出现过网上失密 • 网上失密占总量的70% ,年增长100%
10
网络自身的脆弱性
• 网络系统的安全脆弱点
• 消费权纠纷(延误、差错、否认、风险)
• 网上避税(5亿英磅/年,流失、转移)
• 网上非法赌博 • 网上非法联络(密码邮件、P2P、信息隐藏)
14
美2.7黑客案件的攻击方式
分布式拒决服务(DDoS)
Hacker (黑客)
M
M
M
Master (主攻手) Zombie (僵尸)
z z z
漏洞 方案 用户权
• 无硝烟的战争:
跨国界、隐蔽性、低花费、跨领域 高技术性、情报不确定性
• 要害目标:
金融支付中心、证券交易中心 空中交管中心、铁路调度中心 电信网管中心、军事指挥中心 电力调度中心、关键信息基础设施
13
网上权益纠纷和违规行为
• 知识产权侵犯(内容产品转发、盗用、赚钱)
• 名誉权侵犯
• 隐私权侵犯(10个数据库/个人,隐私成为非法商品)
z z
控制权
z z z
木马注入 清痕迹
留后门
15
美2.7黑客案件的攻击方式
分布式拒决服务(DDoS) Hacker (黑客)
M
M
M
Master (主攻手) Zombie (僵尸)
z z z
z z
z z z
Target (目标机)
16
美国2.7黑客事件的启示
• 互联网正在成为国家重要基础设施
一亿多网民(50%) 3000万人参予网上购物,$1000亿元交易额 30%的股市交易、30%金融、25%产品
损失$12亿,影响百万网民 Yahoo、Amazon、CNN、Buy、eBay、Etrade
• 网上勒索:CDUniverse 用户信用卡被曝光 • 美国网络安全造成损失$170亿/年 • 美国金融界计算机犯罪损失$100亿/年
7
有害信息污染
• 黄色信息:涉及1%网站,10亿美元年营业额 • 邪教信息:法轮功80个反宣传网站 • 虚假新闻:美校园炸弹恐吓事件、网上股市欺诈 • 宣扬暴力:炸药配方 • 政治攻击:政治演变论
•
垃圾邮件:1000件/人年、损失几百亿美元
8
网络病毒的蔓延和破坏
• • • • • • • • • 活体计算机病毒达14000种(4万种、10/天) 网络病毒有更大的破坏性(占52%) 1988年莫里斯事件(UNIX/Email):6000台、$9000万 1998年的CIH病毒(系统程序和硬盘数据):2000万台计算机 1999年的梅利莎案件(Window/Email):$8000万 2000年的爱虫病毒:1200万台、$几十亿 2001年的红色代码、尼姆达病毒:蠕虫/木马/黑客 2002年的求职信病毒 2003年的冲击波病毒
网络安全产品的自控权
• 安全产品(出厂.分销.安装.升级):
隐通道、嵌入病毒、缺陷、可恢复密钥、恶意代码
• 大量外购安全产品缺少自控权
• 我国缺少配套的安全产品控制政策和机制
• 我国安全产业还比较稚嫩
• 是重大安全隐患之一
12
信息战与网络恐怖活动
• 有组织、大规模的网络攻击预谋行为:
网络恐怖活动——恐怖集团行为 信息战争——国家行为 针对信息要害目标的恶性破坏
Solaris:34漏洞/99年,W2000有上万个Bug、TCP/IP
• 网络的扩展与业务负荷澎涨:
信息量半年长一倍,网民年增涨30% 网络带宽瓶颈和信息拥挤
• 社会与经济对网络的巨大依赖性:
US:30%股市、25%产品、30%金融、50%人口
• 灾难恢复的脆弱性
“AOL”96年10小时系统故障影响700万用户 2000年2.7事件8大网站瘫痪24~72小时
加速信息化步伐
4
互联网的崛起
• 互联网推动企业(部门)信息平台的重构
Intranet/Extranet/Internet
• 互联网将成为国家重要的基础设施
美国:40%网民、30%金融、25%产品、30%股市
• 互联网刺激了信息产业的迅速发展
软件业、硬件制造业、信息服务业 网络经济是新经济的集中表现
• 互联网是新兴数字化业务的摇篮
EC、EG、DE、DM、NM、CW、AM
5
互联网存在的六大问题
• 无主管的自由王国:
有害信息、非法联络、违规行为
• 不设防的网络空间:
国家安全、企业利益、个人隐私
• 法律约束脆弱
黑客犯罪、知识侵权、避税
• 跨国协调困难
过境信息控制、跨国黑客打击、关税
• 民族化和国际化的冲突
文化传统、价值观、语言文字
• 网络资源紧缺
IP地址、域名、带宽
6
网上黑客与计算机犯罪
• • • • • 网上攻击事件每年以10倍速度增涨(一次/20秒) 黑客攻击手段1000~1500种 98年黑客攻击美国防部的Analiza案件 99年40家银行的电子购物账户密码曝光 2000年2月7日攻击美国知名网站案件:
构建信息安全保障 体系的思考
曲成义
研究员
2003年9月
1
全球信息化发展
信息化成为经济发展的重要推动力 信息化引发全球的产业革命 信息化成为国际经济竞争的焦点 信息化成为国力和经济增长力的重要标志 信息化是全球经济和社会发展的大趋势
2
全球信息化动向
•1993:美国提出“信息高速公路”(NII) •1994:ITU会议戈尔提出GII •1995:G7会议支持GII •1996:日本“电子信息技术开发计划” •1997:欧盟提出“信息社会计划” •1998:马来西亚“多媒体走廊” •1999:新加坡实施“智慧岛”(IT-2000)
制订ICT-21
•2000:全球信息社会宪章(G8)
影响—动力、知识—潜能、挑战—机遇
3
中央关于国家十五计划的建议
(中央十五届五次全会公报)
• 大力推进国民经济和社会信息化 • 信息化是覆盖现代化建设全局的战略举措
• 信息化带动工业化,发挥后发优势,跨越
式发展
• 政府行政管理要运用数字化、网络化技术,
• 互联网威胁给社会带来巨大冲击
CNN的100万网民阅读网络新闻受阻 Amason的820万注册用户无法购书 3天总损失高达$12亿
• 互联网安全问题正在进入国家战略层
9
机要信息流失与信息间谍潜入
• 国家机密信息、企业关键信息、个人隐私
• Web发布、电子邮件、文件传送的泄漏
• 予谋性窃取政治和经济情报 • CIA统计入侵美国要害系统的案件
年增长率为30%
wenku.baidu.com
• 14%部门出现过网上失密 • 网上失密占总量的70% ,年增长100%
10
网络自身的脆弱性
• 网络系统的安全脆弱点
• 消费权纠纷(延误、差错、否认、风险)
• 网上避税(5亿英磅/年,流失、转移)
• 网上非法赌博 • 网上非法联络(密码邮件、P2P、信息隐藏)
14
美2.7黑客案件的攻击方式
分布式拒决服务(DDoS)
Hacker (黑客)
M
M
M
Master (主攻手) Zombie (僵尸)
z z z
漏洞 方案 用户权
• 无硝烟的战争:
跨国界、隐蔽性、低花费、跨领域 高技术性、情报不确定性
• 要害目标:
金融支付中心、证券交易中心 空中交管中心、铁路调度中心 电信网管中心、军事指挥中心 电力调度中心、关键信息基础设施
13
网上权益纠纷和违规行为
• 知识产权侵犯(内容产品转发、盗用、赚钱)
• 名誉权侵犯
• 隐私权侵犯(10个数据库/个人,隐私成为非法商品)
z z
控制权
z z z
木马注入 清痕迹
留后门
15
美2.7黑客案件的攻击方式
分布式拒决服务(DDoS) Hacker (黑客)
M
M
M
Master (主攻手) Zombie (僵尸)
z z z
z z
z z z
Target (目标机)
16
美国2.7黑客事件的启示
• 互联网正在成为国家重要基础设施
一亿多网民(50%) 3000万人参予网上购物,$1000亿元交易额 30%的股市交易、30%金融、25%产品
损失$12亿,影响百万网民 Yahoo、Amazon、CNN、Buy、eBay、Etrade
• 网上勒索:CDUniverse 用户信用卡被曝光 • 美国网络安全造成损失$170亿/年 • 美国金融界计算机犯罪损失$100亿/年
7
有害信息污染
• 黄色信息:涉及1%网站,10亿美元年营业额 • 邪教信息:法轮功80个反宣传网站 • 虚假新闻:美校园炸弹恐吓事件、网上股市欺诈 • 宣扬暴力:炸药配方 • 政治攻击:政治演变论
•
垃圾邮件:1000件/人年、损失几百亿美元
8
网络病毒的蔓延和破坏
• • • • • • • • • 活体计算机病毒达14000种(4万种、10/天) 网络病毒有更大的破坏性(占52%) 1988年莫里斯事件(UNIX/Email):6000台、$9000万 1998年的CIH病毒(系统程序和硬盘数据):2000万台计算机 1999年的梅利莎案件(Window/Email):$8000万 2000年的爱虫病毒:1200万台、$几十亿 2001年的红色代码、尼姆达病毒:蠕虫/木马/黑客 2002年的求职信病毒 2003年的冲击波病毒