计算机安全保密 课件

计算机安全保密基础第一章计算机安全与保密概述计算机安全的三大核心要素模型是信息安全领域最基础也最重要的理论框架它定义了信息安全保护的三个基本目标这三个要素相互关联、缺一不可共同构成了完整的安全保CIA,,障体系机密性Confidentiality完整性Integrity可用性Availability确保信息只能被授权用户访问防止敏感数据保证信息在存储、传输和处理过程中不被非,泄露给未授权人员通过加密、访问控制等法篡改、删除或破坏确保数据的准确性和技术手段保护信息隐私可信度维护信息的原始状态,计算机安全的五大设计原则这些原则是构建安全系统的基本指导思想贯穿于系统设计、开发、部署和运维的全生命周期,010203最小权限原则完整性保护访问控制用户和程序仅被授予完成任务所必需的最小权限通过数字签名、哈希校验等技术确保数据完整性建立严格的身份认证和授权机制控制用户对系统,,,有效降低安全风险和潜在危害范围防止未经授权的修改和破坏资源的访问权限0405审计追踪安全隔离记录所有关键操作和安全事件为事后分析、责任追溯提供可靠依据对不同安全级别的系统和网络实施物理或逻辑隔离防止威胁扩散,,计算机安全保密的重要性计算机安全保密事关国家安全、社会稳定和个人权益近年来涉密信息泄露事件频发造泄密危害,,成重大损失和严重后果加强安全保密工作刻不容缓国家秘密和核心信息损失•1208100%单位商业机密泄露•个人隐私权益受侵害•社会公共安全受威胁•2014年泄密事件法律责任法律后果党政机关涉密计算机发生泄露事件数量泄密行为将承担行政或刑事责任根据泄密严重程度责任人将面临行政处分、经济处罚直,至刑事追究国家机密保护的物理隔离涉密计算机与非涉密计算机必须严格实施物理隔离这是防止信息泄露的第一道防线物理隔离要求涉密系统与互联网及其他公共网络完全断开使用独,,立的网络环境和存储设备网络隔离设备隔离区域隔离涉密网络与互联网物理断开禁止任何形式涉密计算机专机专用不得混用存储介质设立专门的涉密机房实施门禁和监控管理,,,的连接第二章涉密计算机信息系统安全管理涉密计算机信息系统是处理国家秘密信息的专用系统其安全管理直接关系到国家安全,本章详细介绍涉密计算机的定义、管理职责、设备管理、文件管理和介质管理等核心内容为实际工作提供规范指导,涉密计算机定义与管理职责涉密计算机是指用于存储、处理、传输国家秘密信息的专用计算机设备这些设备具有特殊的安全要求和管理规范必须由专人负责、专项管理,涉密计算机定义安全责任人制度存储、处理国家秘密的专用设备包括台式机、笔记本、服务器等各类每台涉密计算机必须指定安全责任人负责日常管理和安全防护严格遵,,,计算设备及其配套设施守保密规定严禁的违规行为泄露登录密码或将密码告知他人私自安装未经审批的软件或游戏将涉密计算机接入互联网或其他公共网络在涉密与非涉密计算机间交叉使用存储介质涉密计算机设备管理要点物理防护措施•显示器朝向应避免无关人员窥视•机房环境控制:温度、湿度、防尘•安装防电磁泄漏装置•配备UPS不间断电源系统•设置视频监控和入侵报警系统设备登记制度建立完整的设备台账,记录设备编号、密级、责任人、使用地点等信息,实施全生命周期管理密级管理规范涉密电子文件管理涉密电子文件是国家秘密的重要载体其管理直接关系到保密安全必须建立严格的管理制度从文件的产生、流转、使用到销毁全过程实施有效控制,,文件标识使用控制所有涉密文件必须标注密级绝密、机密、秘密并注明严格按照需知原则控制文件访问权限记录所有查:,,保密期限和知悉范围阅、复制、传输操作1234存储管理安全销毁涉密文件必须存储在专用服务器或加密存储设备中严非工作需要的涉密文件应及时归档或按规定销毁确保,,禁存放在个人计算机彻底删除无法恢复重要提醒严禁私自持有涉密电子文档禁止将涉密文件通过电子邮件、即时通讯工具等方式传输:,涉密存储介质管理存储介质是信息泄露的高风险环节必须实施严格的全流程管理涉密存储介质包括盘、移动硬盘、光盘、磁带等各类可移动存储设备,U使用隔离原则涉密存储介质不得接入非涉密计算机非涉密介质不得接入涉密计算机建立红黑介质,分类管理制度物理区分涉密与非涉密介质,归档备份流程重要涉密信息应定期备份备份介质与原介质分开存放建立完整的借用登记制度记录,,介质流转情况介质使用完毕后及时归还集中保管,维修监督制度涉密存储介质送修前必须彻底清除涉密信息维修过程必须全程监督防止信息泄露,无法修复的介质应按规定进行物理销毁销毁处置规范涉密介质报废时必须采用专业设备进行物理销毁确保数据无法恢复销毁过程应有专,人监督并记录销毁后的残片应妥善处理,涉密机房安全环境标准化的涉密计算机机房展示了完善的物理隔离和监控设备配置机房采用门禁系统控制人员出入配备小时视频监控实施温湿度自动调节确保设备安全稳定运行电磁屏,24,,蔽措施有效防止信息通过电磁辐射泄露多重防护体系构筑起坚实的安全防线,第三章计算机安全技术防护措施技术防护是计算机安全保密的重要支撑本章系统介绍数据加密、身份认证、访问控制、病毒防治、漏洞防御、网络安全等关键技术帮助读者掌握构建安全防护体系的技术,手段和方法数据加密基础数据加密是保护信息机密性的核心技术通过数学算法将明文转换为密文确保只有拥有密钥的授权用户才能解密访问加密技术广泛应用于数据存储、,,网络传输、身份认证等领域对称加密非对称加密加密和解密使用相同密钥速度快适合大量数据加密典型算法包括使用公钥加密、私钥解密或私钥签名、公钥验证安全性高但速度较,,,高级加密标准和数据加密标准是目前最安全的对称慢常用于密钥交换和数字签名是最常用的非对称加密算法密AESDESAES,RSA,加密算法广泛用于文件加密和通信加密钥长度通常为位或更高,2048密钥管理的重要性密钥是加密系统的核心密钥管理的安全性直接决定整个加密系统的安全性必须建立完善的密钥生成、存储、分发、更新和销毁机制防止密钥泄露或,,被破解身份认证技术身份认证是确认用户身份真实性的过程是访问控制的基础现代系统通常采用多因素认证结合多,,种认证方式提高安全性用户名密码认证最基本的认证方式要求密码具有足够复杂度和长度建议使用位以上密码包含大小写字母、数字,8,和特殊字符定期更换,生物特征识别利用人体独特生物特征进行身份验证包括指纹识别、面部识别、虹膜识别、声纹识别等具有难以,伪造、使用方便的优点硬件令牌认证使用、智能卡等物理设备进行身份认证设备内置加密芯片存储用户证书和密钥安全性USB Key,,高适用于高安全级别场景,访问控制模型访问控制决定谁能访问什么资源以及如何访问是实现信息安全的关键机制不同的访问控制模型适用于不同的安全需求场景,基于角色的访问控制RBAC强制访问控制MAC根据用户在组织中的角色分配权限简化权,自主访问控制DAC系统根据安全策略强制实施访问控制,用户限管理用户权限通过角色间接获得,便于资源所有者自主决定谁能访问资源灵活性无法更改安全性最高,适用于军事和政府统一管理和审计广泛应用于企业信息系统高但安全性相对较低,适用于一般商业环等高安全需求场景主体和客体都有安全标中境Windows和Linux系统的文件权限即属签,根据标签等级决定访问权限于模型DAC病毒与恶意软件防治计算机病毒特征计算机病毒是一种能够自我复制并传播的恶意程序代码,具有隐蔽性、传染性、潜伏性和破坏性等特点主要传播方式•电子邮件附件和钓鱼链接•可移动存储介质U盘、移动硬盘•网络下载和共享文件•软件漏洞和系统后门•社交工程和欺骗手段典型案例:熊猫烧香病毒2006-2007年爆发的熊猫烧香病毒感染数百万台计算机,导致大量系统瘫痪,文件被破坏病毒会将所有可执行文件图标改为熊猫举香的形象,造成严重经济损失防护措施安装杀毒软件选择知名品牌杀毒软件,保持病毒库实时更新,开启实时防护功能配置防火墙启用操作系统防火墙,阻止未授权的网络连接和数据传输漏洞与入侵防御系统漏洞是安全防护的薄弱环节攻击者常利用漏洞实施入侵攻击及时发现和修复漏洞部署入侵检测防御系统是保障系统安全的重要措施,,,漏洞定义及危害后门攻击与防范入侵检测系统漏洞是系统设计、实现或配置中存在的缺后门是绕过正常认证机制的秘密通道通过监控网络流量和系统行为实IDS/IPS,陷或弱点攻击者利用漏洞可以绕过安全防范措施包括代码审计、安全扫描、时检测并阻止入侵攻击负责检测报:IDS机制非法访问系统、窃取数据、植入后门监控异常网络连接、最小化安装软件、警可主动阻断攻击两者结合提供全面,,IPS,或破坏系统定期安全检查防护网络安全防护技术网络是信息传输的通道也是安全威胁的主要来源构建多层次网络安全防护体系综合运用防火墙、、网络隔离等技术是保障网络安全的关键,,VPN,防火墙VPN安全通信网络隔离部署在网络边界根据安全策略过滤进出流量虚拟专用网络在公共网络上建立加密隧道实将不同安全级别的网络物理或逻辑隔离防止,,,,阻止非法访问包括包过滤、状态检测、应用现安全远程访问采用、等协议保威胁扩散涉密网络必须与互联网完全断开IPSec SSL,层防火墙等类型护数据传输安全实施物理隔离纵深防御策略采用多层次、多手段的防御体系包括边界防护、内网安全、终端防护、数据加密等形成完整的安全防护链条任何单一防护措施都可能被突破只有综,,,合防护才能有效抵御复杂攻击网络安全防护架构这张架构图展示了完整的网络安全防护体系包括多层防护组件的部署位置和相互关系,边界防护层内网安全层部署防火墙、入侵防御系统过滤外部威监控异常行为网络隔离控制访问,IDS,胁应用安全层数据安全层加密通信身份认证访问控制数据加密存储审计日志记录VPN,,第四章涉密计算机安全管理制度与法规完善的法律法规和管理制度是计算机安全保密工作的重要保障本章介绍相关法律法规体系详解安全管理制度要求明确安全责任和法律后果为实际工作提供制度依据和规范,,,指引相关法律法规我国已建立较为完善的网络安全和保密法律法规体系为计算机安全保密工作提供了明确的法律依据和行为准则,123《中华人民共和国网络安全法》《中华人民共和国保守国家秘密《国家秘密定密管理暂行规定》法》年月日起施行是我国网络安全领域细化定密权限、定密程序、密级标志等具体201761,的基础性法律明确了网络安全等级保护制规定国家秘密的确定、变更和解除,保密制规定,指导涉密信息的分类定级工作,确保国度、关键信息基础设施保护、网络运营者安度和保密措施,明确各级保密工作责任家秘密得到准确标识和有效保护全义务等重要内容2010年修订,进一步完善了保密法律制度法律责任与处罚违反保密规定造成泄密的根据情节轻重将承担行政处分、经济赔偿责任情节严重构成犯罪的依法追究刑事责任最高可处七年以上有期徒刑,,;,,信息安全保密管理制度案例以高校网络中心为例展示完善的涉密计算机管理制度体系这些制度涵盖人员管理、设备管理、操作规范等各个方面,涉密人员管理密码管理要求文件传输规范签订保密承诺书密码长度不少于位涉密文件禁止通过互联网传输••8•定期接受保密教育培训包含大小写字母、数字和符号内网传输必须使用加密通道•••离岗时移交涉密载体每个月强制更换一次传输前确认接收方身份和权限••3•保密审查和背景调查不得使用生日、姓名等简单密码传输后验证文件完整性•••制度落实关键制度的生命力在于执行必须加强监督检查定期开展保密检查和风险评估及时发现和整改安全隐患确保各项制度落到实处:,,,维修与报废管理涉密计算机设备的维修和报废是泄密风险的高发环节必须建立严格的管理流程实施全程监督,,,确保涉密信息不在维修和报废过程中泄露维修前准备评估维修必要性能自行修复的不外送确需外送的必须经过审批涉及存储部件,,的应提前备份并彻底清除涉密信息,维修过程监督维修必须在指定地点进行安排专人全程陪同监督维修人员不得单独接触设备禁,,止拆卸未经授权的部件详细记录维修过程和更换的部件维修后检查维修完成后进行全面安全检查确认系统完整性检测是否存在后门或恶意程序更,,换的旧部件按涉密介质进行管理和销毁报废销毁流程设备报废前必须将存储介质拆除并物理销毁使用专业消磁设备或物理粉碎设备确,保数据无法恢复销毁过程应有两人以上在场见证填写销毁记录,安全教育与意识提升技术手段只是安全保障的一个方面人的安全意识和行为规范同样重要加强安全教育培训提升全员安全意识是构建安全防线的基础工程,,,保密常识培训安全操作规范防范社会工程学定期组织保密法律法规学习普及保密基础知识制定详细的操作规程和安全手册明确各类操作的社会工程学攻击利用人性弱点获取信息培训员,,,讲解典型泄密案例增强保密责任感新员工入职安全要求通过实操演练使员工熟练掌握安全操工识别钓鱼邮件、电话诈骗等常见手法提高警惕,,,必须接受岗前保密培训作技能养成良好习惯性不轻信不明来源的信息,,保密教育培训的重要性定期开展保密教育培训是提升全员安全意识的有效途径图中展示了一场保密知识培训现场员工们正在认真学习保密法规和安全操作规范,100%80%4培训覆盖率知识掌握度年度培训次数所有涉密人员必须接受培训培训后考核合格率要求每季度至少组织一次通过持续的教育培训不断强化员工的保密意识和安全技能形成人人讲安全、处处重保密的良好氛围,,第五章典型案例分析与应急响应通过分析真实安全事件案例总结经验教训可以更好地认识安全威胁的现实危害本章,,以熊猫烧香病毒事件为例详细分析事件过程和影响并介绍应急响应和灾备恢复的方法,,,提升安全事件处置能力熊猫烧香病毒事件回顾病毒特征传播速度极快通过网络共享、移动存储设备快速扩散:感染范围广数百万台计算机遭到感染覆盖全国各地:,破坏性强感染可执行文件图标变成熊猫举香形象:,窃取信息盗取用户账号密码等敏感信息:事件影响造成大量企业、政府机关和个人用户的系统瘫痪重要数据丢失经济损失巨大许多单位业务停顿,,,网络几近崩溃事件概况年月至年月熊猫烧香病毒在全国范围内大规模爆发成为中国互20061020072,,联网历史上影响最严重的病毒事件之一经验教训12提高全民网络安全意识,加强安全教育培训及时更新系统补丁和杀毒软件病毒库34建立完善的应急响应机制快速处置安全事件重视数据备份定期备份重要信息,,应急响应与灾备恢复建立完善的应急响应机制和灾备恢复体系,是保障业务连续性、降低安全事件损失的重要措施快速有效的应急响应能力是衡量信息系统安全保障水平的重要标志分析评估监测发现判断事件性质、影响范围和严重程度7×24小时安全监控,及时发现异常响应处置启动应急预案,采取隔离、清除等措施总结改进分析事件原因,完善防护措施恢复重建从备份恢复数据,修复受损系统灾难恢复技术数据备份RAID技术容灾中心定期全量备份和增量备份,异地存储备份介质,确保数据可恢复磁盘阵列提供数据冗余,单个磁盘故障不影响数据完整性建设异地灾备中心,实现数据实时同步和业务快速切换构建坚实的计算机安全保密防线计算机安全保密是一项系统工程关系到国家安全、社会稳定和每个组织及个人的切身利益它不仅是技术问题更是管理问题和意识问题,,制度管理技术防护建立完善的安全管理制度和操作规范运用先进技术手段构建多层防护体系意识培养持续开展安全教育提升全员安全意识持续改进全员参与不断完善安全体系适应新的威胁每个人都是安全防护的重要一环网络安全为人民网络安全靠人民让我们共同努力防患于未然筑牢安全防线守护国家秘密保障信息安全共创安全可靠的网络空间,,,,,,。