安全生产_信息安全过程与最佳实践培训课件

信息安全过程与最佳实践 邹方波boris 广州嘉为计算机网络教育中心 议题 商业案例安全性风险管理准则深层防御安全事件应对攻击情形最佳做法十条永恒的安全法则 违反安全性所造成的影响 收入损失 投资者的信心受到重创 声誉受到损害 数据丢失或安全受到威胁 业务流程中断 客户的信心受到打击 法律后果 CSI FBI2003调查 实施各项安全措施的成本不低 但却是出现安全事件后减轻影响的成本的一小部分 议题 商业案例安全性风险管理准则深层防御安全事件应对攻击情形最佳做法十条永恒的安全法则 安全性风险管理准则 SRMD 过程 评估评估和评价资产确定安全性风险分析安全性风险并确定其重要性开发与实现开发安全补救措施测试安全补救措施获取安全知识实施重新评估新的和变更的资产及安全性风险稳定和部署新的或更改的对策 评估 评估和评价 资产重要性 等级从1到10 1 服务器提供基本功能 但不会给企业造成财务上的影响 3 服务器包含重要信息 但数据可以很容易地快速恢复 5 服务器包含重要数据 这些数据需要一些时间来恢复 8 服务器包含的信息对公司业务目标非常重要 失去该设备将对所有用户的工作效率造成重大影响 10 服务器对公司业务具有重大影响 失去该设备将导致竞争上的劣势 评估 确定安全性威胁 STRIDE 评估 分析安全性风险并确定其重要性 DREAD DREAD损害 Damage 再现性 Reproducibility 可利用性 Exploitability 受影响的用户 AffectedUsers 可发现性 Discoverability 风险 资产重要性x威胁等级 评估 跟踪 规划和调度安全性风险活动 安全策略 开发与实现 开发安全补救措施 开发与实现 测试安全补救措施 测试实验室 开发与实现 获取安全知识 测试实验室 实施 重新评估资产和风险 新的和变更的资产及安全性风险 新的Internet服务 测试实验室 实施 稳定和部署防范措施 新的或更改的防范措施 跟踪 计划 分析 控制 识别 1 2 3 5 4 风险评估 议题 商业案例安全性风险管理准则深层防御安全事件应对攻击情形最佳做法十条永恒的安全法则 安全性组织框架 使用分层的方法 增强对攻击者进行攻击的检测降低攻击者的成功几率 策略 过程和通告 操作系统强化 修补程序管理 身份验证 HIDS 防火墙 VPN隔离 警卫 锁 跟踪设备 网段 IPSec NIDS 应用程序强化 防病毒 ACL 加密 用户教育 物理安全性 边界网络 内部网络 主机 应用程序 数据 策略 过程和通告层介绍 我想我会使用我的名字作为密码 嗨 我需要配置一个防火墙 应该阻塞哪些端口 我想我会撬开计算机房的房门 这容易得多 他们封锁了我最喜爱的Web站点 幸好我有调制解调器 策略 过程和通告层失守 嘿 我也在网络上 你怎么配置你的防火墙 我总是想不到一个好的密码 那你用什么 嗨 你知道计算机机房在哪儿吗 哟 调制解调器不错啊 那条线的号码是多少 策略 过程和通告层保护 用户信息保密策略 设备请求过程 防火墙配置过程 物理访问安全策略 安全培训有助于用户支持安全策略 物理安全性层介绍 物理安全性层失守 安装恶意代码 移除硬件 损坏硬件 查看 更改或删除文件 物理安全层保护 锁门并安装警报 雇佣负责安全的人员 强制实施访问过程 监视访问情况 限制数据输入设备 使用远程访问工具增强安全性 边界网络层介绍 Internet分支机构商业伙伴远程用户无线网络Internet应用程序 网络周边包括到以下方面的连接 远程用户 Internet 边界网络层失守 攻击公司网络攻击远程用户来自商业伙伴的攻击来自分支机构的攻击攻击Internet服务来自Internet的攻击 网络周边失守可能导致 边界网络层保护 内部网络层介绍 市场推广 人力资源 财务 销售 无线网络 内部网络层失守 对系统未经授权的访问 通过网络探测数据包 意外的通讯端口 访问所有网络通信 对无线网络未经授权的访问 内部网络层保护 实施相互验证 网络分段 网络通讯加密 阻塞通讯端口 控制对网络设备的访问 对网络数据包签名 主机层描述 特定的网络角色操作系统配置术语 主机 既指工作站又指服务器 主机层失守 未设置安全机制的操作系统配置 不受监视的访问 利用操作系统漏洞 散布病毒 实施相互验证 主机层保护 加强操作系统的安全 安装安全更新程序 实施审核 禁用或删除不必要的服务 安装和维护防病毒软件 应用程序层的描述 用于创建和访问数据的应用程序 服务器应用程序 如ExchangeServer或SQLServer 特定于应用程序的安全问题功能必须得以维护 应用程序层失守 应用程序丢失恶意代码的执行应用程序的过度使用应用程序用作非正常目的 应用程序层保护 只启用必需的服务和功能 配置应用程序安全设置 安装应用程序的安全更新程序 安装和更新防病毒软件 以最低权限运行应用程序 数据层的描述 数据层失守 文档目录文件应用程序 查看 更改或修改信息 询问目录文件 替换或修改应用程序文件 数据层保护 用EFS对文件进行加密 用访问控制列表限制数据 从默认位置移动文件 创建数据备份和恢复计划 用WindowsRightsManagementServices保护文档和电子邮件 议题 商业案例安全性风险管理准则深层防御安全事件应对攻击情形最佳做法十条永恒的安全法则 事件应对检查列表 确定正在遭受攻击 确定攻击类型 发出有关攻击通知 遏制攻击 采取预防性措施 将攻击情况记录存档 遏制攻击带来的影响 关闭受影响的服务器 从网络中移除受影响的计算机 阻止入站和出站网络通信 采取预防措施保护尚未遭到破坏的计算机 保留证据 议题 商业案例安全性风险管理准则深层防御安全事件应对攻击情形最佳做法十条永恒的安全法则 攻击UDP端口135的蠕虫病毒 外围按照设计 网络防火墙应对此加以阻止 网络扫描找出或检测易受攻击的系统 关闭易受攻击的端口的网络开关使用RRASQuarantine确保拨入主机得到修补主机使用IPSec只在需要RPC的主机上启用传入的UDP135采用CF阻止不受欢迎的传入主机的通信 WindowsXP及更高版本支持 电子邮件蠕虫病毒 外围在SMTP网关上扫描所有附件网络使用RRASQuarantine检查路径级别和病毒签名应用程序MicrosoftOffice98确保已安装MicrosoftOutlook 98安全更新程序Office2000确保至少安装了ServicePack2OfficeXP和Office2003默认的安全区域设置是受限站点 而不是Internet 受限站点内的活动脚本在默认情况下也是禁用的用户要让用户知道 附件中可能有病毒 如果收到未经请求的附件 请在打开附件前给作者写信 确保该附件是作者本人发送的 我还没有修补就被 黑 了 外围启用或锁定防火墙网络断开网络电缆主机启动系统并登录如果关闭了缓存的凭据 则可能需要本地管理凭据打开ICF以阻止所有传入的通信重新连接网络电缆下载并安装修补程序重新启动根据策略关闭ICF 议题 商业案例安全性风险管理准则深层防御安全事件应对攻击情形最佳做法十条永恒的安全法则 安全最佳做法 深层防御设计成就安全最低权限从过去的错误中学习维持安全级别加强用户的安全意识开发和测试事件应对计划和过程 安全性检查列表 创建安全策略和过程文