信息安全战 企业信息安全建设之道 精选文档.ppt

安全现状总结（ 6 ） ? 缺乏一套充分、完善的应急体系和快速的响应流 程。公司并没有建立自己的应急体系，对于各种 可能发生的安全事故，没有定义负责处理的人员、 相应的最佳解决处理方案、可能造成的风险等。 另外，公司也缺乏一套有效、快速地安全问题响 应流程，特别是对于托管机房、下级组织业务系 统等远程网络的故障，总部不能快速进行本地支 持，更缺乏有一个有效的安全事件上报、传递、 沟通、响应的通道。历来的各种安全事件发生后， 公司都由于缺乏处理某些经常发生事件的能力事 事被动，从而延误了事件处理的时间，造成很多 不必要的损失。 安全现状总结（ 7 ） ? 缺乏安全产品的集中统一管理。由于网络系统的 扩大化，对安全产品的需求也越来越多，但是安 全管理岗位数量的有限性，必然导致放松对安全 产品的管理，安全管理员不可能实时登录查看各 种安全产品的应用状况和报警信息，某些安全产 品由于不能与互联网通信、甚至使用周期太长导 致不能定期在线更新，使其不能监控和查找最新 的安全问题，实现其最佳的安全功效。 统计数据 ? 在信息业高达发达的美国，在最近一次对 600 名 CIO 的调查表明： ? 将近三分之二（ 66% ）没有完整的安全政策； ? 只有不到三分之一（ 32% ）要求员工熟悉安 全政策与指南； ? 只有 23% 公司的员工得到过信息安全的培训。 ? 在国内， 50% 企业对信息安全的理解还只停留 在技术层面上，以为企业外部网建立了防火墙 能防黑客，内部网能杀病毒就达到安全要求了。 统计数据 ? 57% 疏忽造成的事故 ? 24% 外部的恶意攻击 ? 11% 设备故障 ? 3% 软件错误 ? 5% 其他 不容争辩的事实 ? 超过 70% 的信息安全事件，如果事先加强 管理，都可以得到避免； ? “三分技术，七分管理”。 管理 70% 技术 30% 信息系统的安全风险 面临的威胁 ? 合法用户的威胁：是指拥有合法授权的用户因在系 统管理方面的错误或疏忽造成系统破坏的可能性。 ? 滥用授权 ? 错误操作 ? 操作行为抵赖 信息安全战 企业信息安全建设之道 提纲 ? 信息安全的涵义和事实 ? 当前安全现状分析 ? 信息系统的安全风险 ? 常见黑客攻击方法 信息安全的涵义和事实 信息系统的广泛应用 ? 社会发展的必然 ? 业务的发展和扩张 ? 网络信息的共享 ? Internet 上网 ? 生产、销售、管理、办公自动化 可信网络系统的基本要求 ? 业务、应用功能的实现 ? 安全、可靠、稳定 信息安全三要素 ? Confidentiality ： 阻止未经授权的用户读取数据 ? Integrity ： 阻止未经授权的用户修改或删除数据 ? Availability ： 保证授权实体在需要时可以正常地使用系统 员工和客户访问资源 可用性 客户和业务信息的保护 机密性 客户和业务信息的可信赖性 完整性 信息安全定义 ? 经典定义 ? Confidentiality －保密性：阻止未经授权的用户读取数据 ? Integrity －完整性：阻止未经授权的用户修改或删除数据 ? Availability －可用性：保证授权实体在需要时可以正常地访问 和使用系统 ? 多样化定义 ? Accountability －负责性：确保一个实体的访问动作可以被惟一 的区别、跟踪和记录 ? Authenticity －确实性：确认和识别一个实体就是其所声称的， 被认证的可以是用户、进程、系统和信息等 ? Reliability －可靠性：保证预期的行为和结果的一致性 信息安全实际上是 …… ? 保护信息资产，防止不被窃取和破坏 资产 物理资产 软件资产 数据资产 信息安全的基本特征 ? 相对性 ? 只有相对的安全，没有绝对的安全系统 ? 时效性 ? 新的漏洞与攻击方法不断发现（ NT4.0 已 从 SP1 发展到 SP6 ） ? 配置相关性 ? 日常管理中的不同配置会引入新的问题 （安全测评只证明特定环境与特定配置下 的安全） ? 新的系统组件会引入新的问题 信息安全的基本特征 ? 攻击的不确定性 ? 攻击发起的时间、攻击者、攻击目标和攻击发起 的地点都具有不确定性 ? 复杂性 ? 信息安全是一项系统工程，需要技术的和非技术 的手段，涉及到安全管理、教育、培