信息系统安全保障PPT推荐.ppt
- 文档编号:15633113
- 上传时间:2022-11-09
- 格式:PPT
- 页数:64
- 大小:907.50KB
信息系统安全保障PPT推荐.ppt
《信息系统安全保障PPT推荐.ppt》由会员分享,可在线阅读,更多相关《信息系统安全保障PPT推荐.ppt(64页珍藏版)》请在冰豆网上搜索。
安全现状主要攻击目标WWW.HZTEC.ORG.CN安全现状安全漏洞v系统安全漏洞网络设备、操作系统、数据库、应用软件甚至是安全产品的高危漏洞越来越多,2009年,CNCERT整理和发布的高危漏洞公告133个,比2008年增加32%2010年仅以6月份的第2个礼拜为例:
周二微软发布10个安全补丁,修复34个安全漏洞,随后又发布一个0-Day攻击安全漏洞。
苹果为Safari浏览器推出了安全补丁,修复了48个安全漏洞。
星期五Adobe发布的补丁涉及32个安全漏洞v终端安全:
2009年我国计算机病毒感染率为70%,其中多次感染病毒的比率为43%WWW.HZTEC.ORG.CN安全现状本市安全现状v测评中心2009年安全评估结果93%的系统存在高风险安全漏洞;
43%的系统存在10个以上高风险安全漏洞85%的系统在网络边界安全控制上不符合安全评估要求85%的网站存在SQL注入漏洞,可直接修改、删除后台数据库数据14%网站存在黑客植入的后门WWW.HZTEC.ORG.CN安全形势卫生系统v医院医疗业务的开展对网络信息系统的依赖2009.12,北京某医院,内网服务器受蠕虫攻击,所有应用系统无法运行v医院信息系统在规模、复杂度上的快速提高HIS、LIS、PACS/RIS、麻醉系统、v新的外部信息安全威胁及挑战v各医院院领导及主管部门对信息安全建设工作的对信息安全建设工作的重视重视WWW.HZTEC.ORG.CN主要内容信息安全现状1信息系统安全保障体系2安全保障技术要求安全保障管理要求43WWW.HZTEC.ORG.CN面临的安全威胁地震地震地震地震偷窃偷窃偷窃偷窃洪水洪水洪水洪水雷电雷电雷电雷电火灾火灾火灾火灾恶意软件恶意软件恶意软件恶意软件窃听窃听窃听窃听硬件故障硬件故障硬件故障硬件故障电力供应故障电力供应故障电力供应故障电力供应故障非法软件非法软件非法软件非法软件环境环境环境环境软件安全缺陷软件安全缺陷软件安全缺陷软件安全缺陷通讯线路电缆损坏通讯线路电缆损坏通讯线路电缆损坏通讯线路电缆损坏病毒病毒病毒病毒网络组件故障网络组件故障网络组件故障网络组件故障维护错误维护错误维护错误维护错误黑客黑客黑客黑客WWW.HZTEC.ORG.CN信息系统安全保障体系管理制度管理制度应用系统应用系统网络平台网络平台系统平台系统平台物理环境物理环境运行维护运行维护WWW.HZTEC.ORG.CN信息系统安全保障体系v物理机房是否提供系统正常运行的场所,并保证硬件设备、通信链路、机房环境的物理安全v网络是否合理划分了不同的网络区域,并根据应用需求设置合理的访问控制策略,强化网络设备自身安全配置WWW.HZTEC.ORG.CN信息系统安全保障体系v系统平台是否对应用系统所依赖的操作系统、数据库及应用平台进行了合理的安全配置,以保障系统平台的安全v应用系统业务应用软件应根据安全需求开发各类安全功能,并有效启用安全功能,以达到保护应用信息的目的。
WWW.HZTEC.ORG.CN信息系统安全保障体系v运维是否建立了合理的恶意代码防范、数据备份、网络监控和系统冗余备份等安全运维机制,保障系统的运行安全v管理制度管理层应针对本单位应用状况建立合理的安全管理制度并有效执行,在统一的安全策略下对各类可能影响系统信息安全的行为进行有效管理。
WWW.HZTEC.ORG.CN信息系统安全保障体系v产品选择必须选用经国家主管部门许可、并经国家测评认证机构认可的安全产品。
v密码产品对非涉密信息进行加密保护或安全认证时所采用的技术或产品应符合商用密码管理条例的要求安全三原则(CIA)vConfidentiality保密性数据库数据泄漏、vIntegrity完整性网站篡改、vAvailability可用性局域网瘫痪、WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN主要内容信息安全现状1信息系统安全保障体系2安全保障技术要求安全保障管理要求43WWW.HZTEC.ORG.CN安全技术要求之物理安全物理环境机房建设应满足机房建设应满足:
GB/T2887GB/T2887电子计算电子计算机场地通用规范机场地通用规范GB/T9361GB/T9361计算机场计算机场地安全要求地安全要求WWW.HZTEC.ORG.CNv某信息中心机房消防安全隐患机房堆放了包装纸箱、文件柜及杂物,易燃未配备机房专用灭火设备,使用水喷淋灭火v某单位机房设备及线路安全机房拥挤,主机摆放随意:
地板上、桌子上设备无标签,布线凌乱,弱电/强电线路混合v某单位机房防盗、防尘机房临街,未安装防盗窗经常开窗,机房内存在较多灰尘物理环境安全案例物理环境安全案例WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CNv具体安全要求机房的外部环境条件、照明、接地、供电、建筑结构、介质存放、监视防护设备等应满足GB/T2887电子计算机场地通用规范4.34.9节的要求;
机房的选址、防火、供配电、消防设施、防水、防静电、防雷击应满足GB/T9361计算机场地安全要求48节的要求,在防火、防雷、防静电、安防监控等方面时,应经过相关专业机构的检测。
物理环境安全机房环境WWW.HZTEC.ORG.CNv其它具体要求提供合理的短期备用电力供应设备防盗、防毁措施;
通讯线路连接、设备标签、布线合理性;
机房出入口配置门禁系统及监控报警系统;
机房出入记录,记录内容包括人员姓名、出入日期和时间,操作内容,携带物品等。
物理环境安全设备及监控WWW.HZTEC.ORG.CN安全技术要求之网络结构安全网络结构内部结构应根据应用需求在划分内网/外网、终端接入区/服务器区等区域,并在相关网络设备中配置安全策略进行隔离;
外部边界应根据安全需求在系统与Internet、政务外网、业务专网等外部网络的互连处配置网关设备实施访问控制,并对通信及操作事件进行审计。
WWW.HZTEC.ORG.CNv典型案例某单位外网防火墙某单位外网防火墙:
将多台内部服务器的Oracle数据库服务端口、内部核心业务应用系统Web服务端口直接开放至Internet(1年前开发商调试遗留)某单位连接下属机构的专网防火墙某单位连接下属机构的专网防火墙:
将业务服务器的所有网络端口不加区分地全部向区县分局开放某单位基于某单位基于InternetInternet的的VPNVPN接入设备接入设备:
对VPN用户的认证口令易猜测(单位名称缩写),可轻易接入该单位局域网。
某单位内网某单位内网:
服务器区和终端接入区仅划分了不同VLAN,无访问控制规则,无法防止病毒及蠕虫的传播及内部非授权人员的访问。
网络结构安全案例WWW.HZTEC.ORG.CNv具体安全要求应对网络边界上部署的网络隔离设备中根据应用需求设置合理的访问控制规则,合理开放对外服务应对系统内部服务器区域进行划分及隔离,在终端计算机与服务器之间进行访问控制,建立安全的访问路径。
当有重要信息通过公共网络进行传输时,应在传输线路中配置加密设备,以保证信息传输的保密性;
禁止内部网络用户未授权与外部网络连接;
如提供远程拨号或移动用户连接,应在系统入口处配置鉴别与认证服务器。
禁止非授权设备接入内部网络,尤其是服务器区域。
网络结构安全要求WWW.HZTEC.ORG.CN安全技术要求之网络设备安全网络设备根据系统安全策略和维护需求设置合理的设备自身安全配置:
版本更新与漏洞修补版本信息保护身份鉴别链接安全配置备份安全审计WWW.HZTEC.ORG.CNv典型案例某单位某单位InternetInternet防火墙防火墙:
将防火墙所有管理界面(Web/Telnet/SSH)开放至Internet,且未修改出厂默认管理员密码(天融信:
superman/talnet)某单位某单位Cisco核心交换机核心交换机:
使用多年的Cisco交换机,IOS版本未升级,存在可遭受拒绝服务攻击的漏洞某单位所有某单位所有Cisco交换机交换机:
未在设备配置中对管理员密码进行加密;
且配置文件曾被多人拷贝,可通过配置文件破解管理员密码。
网络设备安全案例WWW.HZTEC.ORG.CNv具体安全要求(以路由器交换机为例)保持路由器/交换机软件版本的更新,修补高风险的漏洞;
(软件更新)禁止与应用无关的网络服务,关闭与应用无关的网络接口;
(最少服务)对登录的用户进行身份标识和鉴别,身份标识唯一,不反馈鉴别信息;
修改路由器/交换机默认用户的口令或禁止默认用户访问,用户口令应满足长度和复杂性要求,并对配置口令进行加密保护;
(用户管理,最小权限)当登录连接超时,应自动断开连接,并要求重新鉴别;
网络设备安全要求WWW.HZTEC.ORG.CNv具体安全要求对能够登录路由器/交换机的网络地址进行限制,关闭与应用无关的远程访问接口;
(访问控制)对登录提示信息进行设置,不显示路由器/交换机型号、引擎版本、部门信息等;
对路由器/交换机配置进行备份,且对备份文件的读取实施访问控制;
开启路由器/交换机日志功能,对修改访问控制列表、调整设备配置的操作行为进行审计记录。
(安全审计)网络设备安全要求WWW.HZTEC.ORG.CN安全技术要求之操作系统安全操作系统版本更新与漏洞修补身份鉴别用户权限分配口令质量鉴别失败处理默认服务开放终端限制安全审计WWW.HZTEC.ORG.CNv典型案例某单位内网某单位内网WindowsWindows服务器服务器:
内网和Internet隔离,需手工升级,超过6个月未进行系统安全补丁升级,2009年3月,因终端感染Worm.Win32.MS08-067蠕虫病毒,造成服务器中毒,服务异常。
某信息中心服务器某信息中心服务器:
不明人员通过猜测密码成功登录服务器远程桌面后,多次恶意关闭OA应用服务,但因未开启全面的登陆审计,无法追踪其来源。
操作系统安全案例WWW.HZTEC.ORG.CNv具体安全要求定期更新操作系统版本,修补漏洞;
关闭与应用无关的服务、启动脚本或网络功能;
对登录用户进行身份标识和鉴别;
用户的身份标识唯一;
身份鉴别如采用用户名/口令方式,应设置口令长度、复杂性和更新周期;
修改默认用户的口令或禁止默认用户访问,禁止匿名访问或限制访问的范围;
具有登录失败处理功能,当登录失败次数达到限制值时,应结束会话、锁定用户;
操作系统安全要求WWW.HZTEC.ORG.CNv具体安全要求实行特权用户的权限分离,按照最小授权原则,分别授予不同用户各自为完成自身承担任务所需的最小权限,并在他们之间形成相互制约的关系;
对系统内的重要文件(如启动脚本文件、口令文件、服务配置文件)、服务、环境变量、进程等实施访问控制;
系统管理员实施远程登录时,应使用强鉴别机制,且操作系统应记录详细的登录信息;
通过设定终端接入方式、网络地址范围等条件限制终端的登录;
操作系统安全要求WWW.HZTEC.ORG.CNv具体安全要求对安全事件进行审计,审计事件至少包括:
用户管理、审计功能启停及审计策略调整、权限变更、系统资源的异常使用、重要的系统操作、重要用户的各项操作进行审计;
审计记录应包括日期和时间、触发事件的主体与客体、事件的类型、事件成功或失败、事件的结果等;
审计记录应受到保护避免受到未
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息系统安全 保障