什么是信息安全,怎么保障信息安全?
1.信息安全简介
勒索病毒----2013年9月CryptoLocker
“永恒之蓝”:主要是利用Windows系统的共享漏洞:445端口等。
“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主,受 害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩 包等各类资料都无法正常打开,只有支付赎金才能解密恢复。
挖矿
2018年WannerMine挖矿,导致很多主机存在蓝屏和卡顿现象
信息安全:防止任何对数 据进行未授权访问的措施 ,或者防止造成信息有意 无意泄漏、破坏、丢失等 问题的发生,让数据处于 远离危险、免于威胁的状 态或特性。
网络安全:计算机网络环 境下的信息安全。
2.信息安全的脆弱性及常见的安全攻击
2.1 网络环境的开放性
网络环境的一大特点 开放性 对于每个人之间互相连接
2.2 协议栈本身的脆弱性
1.缺乏数据源验证机制
2.缺乏完整性验证
3.缺乏机密性保障机制
常见的安全风险
2.2.1 网络的基本攻击模式
被动威胁:
截获
1.嗅探(sniffing)
2.监听(eavesdropping) •
主动威胁:
篡改
数据包篡改(tampering)
中断
拒绝服务(dosing)
伪造
欺骗(spoofing)
(1)物理层
物理设备破坏
指攻击者直接破坏网络的各种物理设施,比如服务器设施,或者 网络的传输通信设施等
设备破坏攻击的目的主要是为了中断网络服务
物理设备窃听
光纤监听
红外监听
(2)链路层—ARP欺骗
当A与B需要通讯时:
➢ A发送ARP Request询问B的MAC地址
➢ Hacker冒充B持续发送ARP Reply给A(此时,A会以为接收到的 MAC地址是B的,但是实际上是Hacker的)
➢ 之后A发送给B的正常数据包都会发给Hacker
(3)网络层—ICMP攻击
(4)传输层—TCP SYN Flood攻击
SYN报文是TCP连接的第一个报文,攻击者通过大量发送SYN 报文,造成大量未完全建立的TCP连接,占用被攻击者的资源
(5)应用层
—缓冲区溢出攻击
攻击软件系统的行为中,最常见的 一种方法
可以从本地实施,也可以从远端实 施
利用软件系统(操作系统,网络服 务,应用程序)实现中对内存操作 的缺陷,以高操作权限运行攻击代 码
漏洞与操作系统和体系结构相关, 需要攻击者有较高的知识/技巧
—web攻击
常见的WEB攻击
- 对客户端
含有恶意代码的网页,利用浏览器的漏洞,威胁本地系统- 对Web服务器
利用Apache/IIS…的漏洞 利用CGI实现语言(PHP/ASP/Perl…)和实现流程的漏洞 XSS/SQL/CSRF/上传漏洞/解析漏洞…- 通过Web服务器,入侵数据库,进行横向渗透
2.3 操作系统的自身漏洞
人为原因
在程序编写过程中,为实现不可告人的目的,在程序代码的隐藏 处保留后门。
** 客观原因**
受编程人员的能力,经验和当时安全技术所限,在程序中难免会 有不足之处,轻则影响程序效率,重则导致非授权用户的权限提 升。
硬件原因
由于硬件原因,使编程人员无法弥补硬件的漏洞,从而使硬件的 问题通过软件表现。
2.4 人为因素
操作失误
• 恶意的行为
➢ 出于政治的、经济的、商业的、或者个人的目的
➢ 病毒及破坏性程序、网络黑客
➢ 在Internet上大量公开的攻击手段和攻击程序
3.信息安全的要素
信息安全的五要素
• 保密性—confidentiality
• 完整性—integrity
• 可用性—availability
• 可控性—controllability
• 不可否认性—Non-repudiation
3.1保密性
保密性:确保信息不暴露给未授权的实体或进程。 • 目的:即使信息被窃听或者截取,攻击者也无法知晓信息的真 实内容。可以对抗网络攻击中的被动攻击。
举例说明:通过加密技术保障信息的保密性
3.2完整性
只有得到允许的人才能修改实体或进程,并且能够判别出实体 或进程是否已被修改。完整性鉴别机制,保证只有得到允许的 人才能修改数据 。可以防篡改。
3.3可用性
得到授权的实体可获得服务,攻击者不能占用所有的资源而阻 碍授权者的工作。用访问控制机制,阻止非授权用户进入网络 。使静态信息可见,动态信息可操作,防止业务突然中断。
3.4可控性
可控性主要指对危害国家信息(包括利用加密的非法通信活动 )的监视审计。控制授权范围内的信息流向及行为方式。使用 授权机制,控制信息传播范围、内容,必要时能恢复密钥,实 现对网络资源及信息的可控性
3.5不可否认性
不可否认性:对出现的安全问题提供调查的依据和手段。使用 审计、监控、防抵赖等安全机制,使得攻击者、破坏者、抵赖 者“逃不脱",并进一步对网络出现的安全问题提供调查依据和 手段,实现信息安全的可审查性
4.网络安全法解读
网络安全法的六大亮点
4.1要求
(1)网络运营者
遵守法律、行政法 规,履行网络安全 保护义务
接受政府和社会的监 督,承担社会责任
保障网络安全、稳定 运行、维护网络数据 的完整性、保密性、 可用性
及时处置系统漏洞、计算机病毒 、网络攻击、网络侵入等安全风 险
不得泄露、篡改、毁损其收集的 个人信息,并确保安全;履行等 保制度
应急预案、主动向主管部门报告
(2)关键基础信息设施保护
安全建设要求
业务运行稳定可靠,安全技术措施同步规划、 同步建设、同步使用
安全保护
明确责任人;安全教育、培训、考核;容 灾备份;应急预案、定期演练
安全审查
采购网络产品和服务,应当通过国家安全审查
保密要求
签订安全保密协议
境内存储
个人信息和重要数据应当在境内存储
检测评估
每年至少进行一次检测评估,报送检测评估情况和改进措施
(3)检测、预警、处置
(4)个人信息保护
(5)面向网络产品和服务提供者
网络产品和服务提供者即网络产品厂商比如思科、华为、深信服等。
◼ 可要求网络产品和服务
• 符合相关国家标准的强制性要求
• 不得设置恶性程序,及时告知安全缺陷、漏洞等风险
• 持续提供安全维护服务,不得自行终止
◼ 要求网络关键设备和网络安全专用设备
• 应当按照相关国家标准的强制性要求,由具备资格的机构安 全认证合规或者安全检测符合要求后,方可销售或者提供
5.信息安全的整体解决方案
深信服安全解决方案:
什么是信息安全,怎么保障信息安全?相关推荐
- CISP-信息安全保障-信息安全保障基础
CISP-信息安全保障-信息安全保障基础 信息安全定义 ISO(国际化标准组织)给出的定义:为数据处理系统建立和采取技术.管理的安全保护,保护计算机硬件.软件.数据不因偶然的或恶意的原因而受到破坏.更 ...
- 学校教育机构如何利用国密SSL证书保障信息安全
近年来,我国个人信息泄露事件频发,使大批公众饱受隐私侵犯和钱款诈骗之苦.尤其令人担忧的是,教育行业正在成为信息泄露的"重灾区".学生是国家的未来,有效保护学生个人信息已是一件刻不容 ...
- 非银机构网络支付新规实施 实名制难在保障信息安全
今天起,央行颁布的<非银行支付机构网络支付业务管理办法>将正式实施.办法将个人支付账户分为3类,并规定了各类账户的功能.额度和信息认证标准.记者从支付宝.财付通等支付机构了解到,对支付宝等 ...
- 为什么政府网站要用SSL证书来保障信息安全?
SSL证书有两个重要作用:数据加密和认证.SSL证书已经成为网站安全建设必不可少的一部分.是近年来,政府网站更加重视网站信息安全,具体原因如下. 1,由于政府网站的特殊性,受到社会各阶层的关注,被攻击 ...
- 计算机的信息安全教学反思,信息安全 教学设计 教学反思.doc
文档介绍: 第六章 6.1网络安全 一.教学目标:(一)知识与能力1.了解信息安全的含义.2.了解网络应用中的安全隐患.3.知道一些互联网络应用的好****惯.(二)过程与方法1.通过学****互联网 ...
- NISP一级备考知识总结之信息安全概述、信息安全基础
参加每年的大学生网络安全精英赛通过初赛就可以嫖一张 nisp(国家信息安全水平考试) 一级证书,nisp 一级本身没啥考的价值,能白嫖自然很香 1.信息安全概述 信息与信息技术 信息概述 信息奠基人香 ...
- 计算机信息安全四大要素,信息安全四大要素-信息安全包括四大要素
1.-精选财经经济类资料- -最新财经经济资料-感谢阅读- 1 信息安全四大要素-信息安全包括四大要素信息素养的三个层面包括(A)信息素养的三个层面包括. A.文化素养.信息意识.信息 技能 B.信息 ...
- 应用软件暗藏猫腻,信息安全咋保障
"大数据时代""信息社会"这些词,常被描述为反映了互联网的便捷与先进.但在网络带给我们极大便捷的同时,信息泄露,早已成为一个普遍现象.据<中国网民权益保护 ...
- 保障信息安全不违规,App应满足哪些法律规定
近日,工信部发布"关于App侵害用户权益整治"回头看"发现问题的通报".在组织第三方检测机构对违规推送弹窗信息.App过度索取权限等问题进行重点抽测,共发现38 ...
- 量子通信,究竟是怎样保障信息安全的?
日前,中国科学技术大学合肥微尺度物质科学国家实验室潘建伟院士.陆朝阳教授等完成的"多自由度量子隐形传态"名列2015年度国际物理学领域的十项重大突破榜首. 而北京到上海的2000公 ...
最新文章
- 【IntelliJ IDEA】中文乱码问题 ( 代码乱码 | 编译乱码 | 控制台乱码 )
- 简谈TCP的八个特性
- 网络编程—网络基础概览、socket,TCP/UDP协议
- Java设计模式(六)----适配器模式
- mysql数据库 day06
- android 图片拍照,Android获取图片拍照时间
- “出道” 5 年采用率达 78%,Kubernetes 为何如此成功?
- 如何强制gradle重新下载依赖项?
- 浪漫星空python
- 2021Java面经:史上最全的《Java面试题及解析》
- VS软件设置中的宏定义
- EEPROM存储电路(M24C64芯片)
- linux基础篇读书笔记
- word自带参考文献标注功能—以word2013为例
- 海思3518E开发笔记1.2——海思SDK脚本学习
- 千兆以太网测试仪什么牌子好
- Flutter省市区的三级联动
- VTK交互系统 1 交互模式入门
- java hashmap hash算法,jdk1.8 中 HashMap 的 hash 算法和数组寻址
- Vue3 学习总结笔记 (十四)
热门文章
- 阴阳师维护服务器,阴阳师3月3日服务器维护更新内容公告
- Android dp方式的屏幕适配工具使用(Android Studio插件方式)
- 简单爬取网易云音乐评论(新手报到)
- stm32 定时器_基于STM32定时器ETR信号的应用示例
- 微信小程序 自定义控件 数字键盘
- Win10安装.msi文件出现问题
- qt 3d迷宫游戏_鲨话游戏史FPS游戏竟然40年前就有了?暴露年龄系列,慎入!
- 计蒜客 Rock Paper Scissors Lizard Spock.
- 聚焦新生代 戮默科技创造正向价值
- 联想拯救者u盘安装linux系统,联想拯救者Y7000 U盘装系统win8教程