信息安全培训课件.ppt

电子邮件发送容易、成本低， 普及面大，从而带来高额利润，而且难于追查来源，此为垃圾邮件盛行的根本原因。而病毒、木马、蠕虫的泛滥又是垃圾邮件发送者的天堂。 据统计，全球60%以上的垃圾邮件都是通过特洛伊木马、蠕虫和病毒控制的电脑发送的。因此，如果以传统的封IP的方法来抵制垃圾邮件，不知道会有多少服务器和终端被封掉。 我国《互联网电子邮件服务管埋办法》中规定，“对于有商业目的并可从垃圾邮件中获的违法收入的，则可最高处以3万元的罚款。” 日本的《反垃圾邮件法》规定“任何违反该法的企业最高可罚款256万关元，个人可判处最高两年的有期徒刑”。 韩国《促进信息通信网利用以及信息保护等修正法案》规定。凡是对青少年发送成人广告性质 电子邮件者，将被判处最高两年徒刑或1000万韩元罚款。, 金融信息化使金融机构(如银行、证券公司)能够打破时空的限制，在任何时间、任何地点为顾客提供金融服务，它一万面给用户提供不便捷的服务，但另一方面，由于其安全性的隐患。犹如打开了潘多拉魔盒，各种麻烦甚至灾难接踊而至。 据其《2006中国网上银行调查报告》显示，目前国内网上银行用户数量接近4000万，为2005年的两倍。但是，受网银大盗影响，高达61%的网民不敢使用网上银行。 网络暴力、色情、赌博等不良信息与服务，被称为网络毒品。有些网民的辨别能力和控制能力较差，往往在不知不觉中成为污染对象，沦为电子鸦片吸食者。许多网民尤其是青少年染上了网络成瘾症，在网络上毫无节制地花费时间、精力和金钱，由此对其身心健康和成长成才造成了严重损害。网毒猛于虎，并非是危言耸听。 1.物理安全问题 物理安全是其他安全的基础。不能保障物理安全，其他的安全就无从谈起。 1)物理设备的存放位置，防盗和访问控制措施. 2)物理设备的环境安全威胁,做好防火、防静电、防雷击等防护措施。 3)防电磁泄露，屏蔽是防电磁泄露的有效措施，屏蔽主要有电屏蔽、磁屏蔽和电磁屏蔽。 1.4.2 方案设计的缺陷 为了实现异构网络信息系统间信息的通信，往往要牺牲一些安全机制的设置和实现，从而提出更高的网络开放性的要求。开放性与安全性正是一对相生相克的矛盾。 1.4.3 系统的安全漏洞 无论是Windows，还是UNIX几乎都存在或多或少的安全漏洞，众多的各类服务器(最典型的如微软的IIS服务器)、测览器、数据库、一些桌面软件等都被发现存在安全隐患。可以说任问一个软件系统都可能会因为程序员的一个疏忽、设计中的一个缺陷等原因而存在漏洞，这也是信息系统安金问题的主要根源之一。 1.4.4 人的因素 信息系统的运行是依靠人员来具体实施的，他们既是信息系统安全的主体，也是系统安全管理的对象。 1.人为的无意失误 2.人为的恶意攻击 一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性； 另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。 3.疏于安全方面的管理 1.物理安全技术 （1）环境安全技术:技术规范是对场地和机房的约束，强调对于地震、水灾、火灾等自然灾害的预防措施。 （2）设备安全找术: 是指保障构成信息网络的各种设备、网络线路、供电连接、各种媒体数据本身以及其存储介质等安全的技术。主要是应对可用性的要求。如防盗、防电磁辐射。 2.基础安全技术 信息系统的各个层次都会用到的、依赖的故术，如加密技术和PKI技术等。 （1）操作系统安全 一是操作系统的自身安全，包括硬件安全机制和软件安全机制;二是操作系统提供给用庐和上层应用的安全措施。 硬件安全机制 存储保护 运行保护 I/O保护 软件安全机制 标识与鉴别 存取控制 最小特权原则 可信通路 审计 安全管理机制 口令管理 权限管理 服务原则 系统升级 备份与恢复 Windows系列的操作系统提的安全措施包括用户、组、域和权限，文件资源，注册表，网络服务等;UNIX/Linux操作系统提供的安全措施包括用户组、用户口令、用户权限、文件系统管理、审计等。 （2）数据库系统安全 数据库系统的安全技术目的是保证数据库能够正确地操作数据，实现数据读写、存储的安全。由于数据库系统在操作系统下都是以文件形式进行管理的，因此，可以将数据库中的数据等资源作为操作系统中的普通对象对待，利用攻击操作系统的方法间接攻击数据库。 4. 网络安全技术 网络的分类:局域网、城域网、广域网等。同时，我们还可以对网络本身进行分解。例如，开放系统互连0SI标准将网络分为物理层、链路层、网络层 (IP层)、传输层(TCP层)、会话层、表示层和应用层7个层次。 网络安全技术，是指保护信息网络依存的网络环境的安全保障技