信息安全风险及分析教材.ppt

信息安全风险及分析;个人介绍 高显嵩;主要内容;信息安全重要性;当前我国网络信息安全的状况;CERT有关信息安全的统计 ;CERT有关信息安全的统计 ;CERT有关信息安全的统计 ;网络病毒传播泛滥;黑客离我们很近;FBI计算机犯罪调查报告;全球信息安全损失数额： ;中国已成为全球黑客的第三大来源地 ;2003年黑客事件;2003年黑客事件;2003年黑客事件;2004年黑客事件;2004年黑客事件;2005年黑客事件频繁;2005年黑客事件;2006年黑客事件;07年第一黑客事件;例子：得到本地登录密码;例子：记录本地登录密码;例子得到远程计算机的密码;例子：更改本地管理员密码;例子：ERD COMMANDER;例子： ERD COMMANDER;例子：得到他人的邮件密码;通过监听得到密码;通过监听得到密码;通过监听得到密码;例子：内网渗透 ZXARPS.EXE;ARP协议工作原理;ARP欺骗交换机;ARP欺骗计算机;例子：内网U盘感染;例子：查看网络内任何人的上网记录;;例子：查看MSN密码;例子：察看星号密码;例子：读取缓存密码;例子：控制他人计算机;;;例子：打开对方摄像头和语音;SQL INJECTION 针对网站的攻击;SQL INJECTION 针对网站的攻击;SQL INJECTION 针对网站的攻击;SQL INJECTION 针对网站的攻击;SQL INJECTION 针对网站的攻击;SQL INJECTION 针对网站的攻击;SQL INJECTION 针对网站的攻击;SQL INJECTION 针对网站的攻击;SQL INJECTION 针对网站的攻击;XSS 跨站脚本;构造SQL登陆语句;其他例子;信息安全管理概述;;;;;;;信息安全管风险管理;风险; 资产（Asset）—— 对组织具有价值的信息资产，包括计算机硬件、通信设施、数据库、文档信息、软件、信息服务和人员等，所有这些资产都需要妥善保护。 威胁（Threat）—— 可能对资产或组织造成损害的某种安全事件发生的潜在原因，需要识别出威胁源（Threat source）或威胁代理（Threat agent）。 弱点（Vulnerability）—— 也被称作漏洞或脆弱性，即资产或资产组中存在的可被威胁利用的缺点，弱点一旦被利用，就可能对资产造成损害。 风险（Risk）—— 特定威胁利用资产弱点给资产或资产组带来损害的潜在可能性。 可能性（Likelihood）—— 对威胁发生几率（Probability）或频率（Frequency）的定性描述。 影响（Impact）—— 后果??Consequence），意外事件发生给组织带来的直接或间接的损失或伤害。 安全措施（Safeguard）—— 控制（control）或对策（countermeasure），即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、方法和措施。 残留风险（Residual Risk）—— 在实施安全措施之后仍然存在的风险。;;;;; 降低风险（Reduce Risk）—— 实施有效控制，将风险降低到可接受的程度，实际上就是力图减小威胁发生的可能性和带来的影响，包括： 减少威胁：例如，实施恶意软件控制程序，减少信息系统受恶意软件攻击的机会 减少弱点：例如，通过安全意识培训，强化职员的安全意识与安全操作能力 降低影响：例如，制定灾难恢复计划和业务连续性计划，做好备份 规避风险（Avoid Risk）—— 或者Rejecting Risk。有时候，组织可以选择放弃某些可能引来风险的业务或资产，以此规避风险。例如，将重要的计算机系统与互联网隔离，使其免遭来自外部网络的攻击。 转嫁风险（Transfer Risk）—— 也称作Risk Assignment。将风险全部或者部分地转移到其他责任方，例如购买商业保险。 接受风险（Accept Risk）—— 在实施了其他风险应对措施之后，对于残留的风险，组织可以选择接受。;;信息安全人员管理; 人是信息安全的关键因素，人员管理不善会给组织带来非常大的安全威胁和风险。 有调查显示，大多数重大信息安全事件通常都来自组织内部，例如，员工受利益驱使将公司技术图纸出卖给竞争对手，利用内部系统从事经济犯罪活动，或者由于缺乏安全意识或操作技能而导致误操作，引起信息系统故障等。 为降低内部员工所带来的人为差错、盗窃、欺诈及滥用设施的风险，并且避免引发法律风险，组织应该采取措施，加强内部人员的安全管理： 对工作申请者实施背景检查 签署雇用合同和保密协议 加强在职人员的安全管理 严格控制人员离职程序; 背景检查是工作