版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
信息安全分析第1页,课件共49页,创作于2023年2月课程的目的提升信息安全风险评估意识强化信息安全保障体系建立第2页,课件共49页,创作于2023年2月信息安全面临的威胁网上黑客与计算机欺诈网络病毒的蔓延和破坏有害信息内容污染与舆情误导机要信息流失与“谍件”潜入内部人员误用、滥用、恶用IT产品的失控(分发式威胁)物理临近式威胁网上恐怖活动与信息战网络的脆弱性和系统漏洞第3页,课件共49页,创作于2023年2月网络突发事件正在引起全球关注
2000年2月7日美国网上恐怖事件造成巨大损失(DDos、八大重要网站、$12亿美元)2001年日本东京国际机场航管失灵,影响巨大(红色病毒、几百架飞机无法起降、千人行程受阻)2003年美国银行的ATM网遭入侵,损失惨重(Slammer、几十亿美元)2004年震荡波几天波及全球2005年CardSystem公司4000万张卡用户信息被盗(美国最大的窃密事件、植入特洛伊木马、假冒消费)网络正在成为恐怖组织联络和指挥工具(911、伦敦事件)9.11事件造成世贸中心1200家企业信息网络荡然无存(有DRP/NCP的400家企业能够恢复和生存)网络舆情的爆发波及到物理社会的稳定信息网络的失窃密事件层出不穷第4页,课件共49页,创作于2023年2月我国网络信息安全入侵事件态势严竣(CNCERT/CC05年度报告数据)
收到信息安全事件报告12万件(04年的2倍)监测发现2万台计算机被木马远程控制(04年的2倍)发现1.4万个网站遭黑客篡改,其中政府网站2千(04年的2倍)网络钓鱼(身份窃取)事件报告400件(04年的2倍)监测发现70万台计算机被植入谍件(源头主要在国外)发现僵尸网络143个(受控计算机250万台)第5页,课件共49页,创作于2023年2月互联网信息安全威胁的某些新动向
僵尸网络威胁兴起谍件泛滥值得严重关注网络钓鱼的获利动机明显网页篡改(嵌入恶意代码),诱人上当DDoS开始用于敲诈木马潜伏孕育着杀机获利和窃信倾向正在成为主流第6页,课件共49页,创作于2023年2月领导重视、管理较严、常规的系统和外防机制基本到位深层隐患值得深思
内控机制脆弱高危漏洞存在信息安全域界定与边控待探索风险自评估能力弱灾难恢复不到位用户自控权不落实
----------重要信息系统”安全态势与深层隐患(案例考察)第7页,课件共49页,创作于2023年2月国家信息化领导小组第三次会议
《关于加强信息安全保障工作的意见》
—中办发[2003]27号文—
坚持积极防御、综合防范全面提高信息安全防护能力重点保障信息网络和重要信息系统安全创建安全健康的网络环境保障和促进信息化发展、保护公众利益、维护国家安全立足国情、以我为主、管理与技术并重、统筹规划、突出重点发挥各界积极性、共同构筑国家信息安全保障体系
第8页,课件共49页,创作于2023年2月国家信息安全保障工作要点
实行信息安全等级保护制度:风险与成本、资源优化配置、安全风险评估
基于密码技术网络信任体系建设:密码管理体制、身份认证、授权管理、责任认定
建设信息安全监控体系:提高对网络攻击、病毒入侵、网络失窃密、有害信息的防范能力
重视信息安全应急处理工作:指挥、响应、协调、通报、支援、抗毁、灾备
推动信息安全技术研发与产业发展:关键技术、自主创新、强化可控、引导与市场、测评认证、采购、服务
信息安全法制与标准建设:信息安全法、打击网络犯罪、标准体系、规范网络行为
信息安全人材培养与增强安全意识:学科、培训、意识、技能、自律、守法
信息安全组织建设:信息安全协调小组、责任制、依法管理第9页,课件共49页,创作于2023年2月国家信息安全保障工作高层会议(2004.1.9)
信息安全的重要性:IT增长25%、GDP的6%、强烈依赖
信息安全的重大案例信息安全存在的问题
一个并重、两手抓、三个同步新思路、新眼光,建立信息安全保障体系
关键技术产品要自主可控认真落实中央27号文件第10页,课件共49页,创作于2023年2月《国家信息安全战略报告》
—国信[2005]2号文—
维护国家在网络空间的根本利益确保国家的经济、政治、文化和信息的安全三大信息基础设施、八大重要信息系统、信息内容信息安全基础支撑能力信息安全防护与对抗能力网络突发事件快速反应能力网络舆情驾驭能力综合治理、协调联动、群防群治政策、标准、管理、技术、产业、人材、理论
构筑国家信息安全保障体系信息安全长效机制信息安全战略的主动权------
第11页,课件共49页,创作于2023年2月《2006-2020年国家信息化发展战略》
—中办[2006]11号文—
第
(八)部分:“建设国家信息安全保障体系”实现信息化与信息安全协调发展增强信息基础设施和重要信息系统抗毁能力增强国家信息安全保障能力研究国际信息安全先进理论、先进技术掌握核心安全技术、提高关键设备装备能力促进我国信息安全技术和产业的自主发展完善国家信息安全长效机制------
第12页,课件共49页,创作于2023年2月“信息安全”内涵保值威胁威胁发起者资产拥有者对策脆弱性风险系统资产使命贬值利用增加滥用与破坏发现意识到减少降低合法与可用?第13页,课件共49页,创作于2023年2月信息安全概念演变早期:通信保密阶段(ComSec),通信内容保密为主中期:信息安全阶段(InfoSec),信息自身的静态防护为主近期:信息保障阶段(InformationAssurance—IA),强调动态的、纵深的、生命周期的、整个信息系统资产的信息对抗。我们当前所指“信息安全”=“信息保障”,即“在整个生命周期中,处在纵深防御和动态对抗的信息系统,为保障其中数据及服务的完整性、保密性、可用性(防拒绝和破坏)、真实性(交互双方的数据、人员的身份和权限、设施的鉴别)、可控性(监控、审计、取证、防有害内容传播)、可靠性而抵制各类威胁所提供的一种能力第14页,课件共49页,创作于2023年2月信息系统安全整体对策(一)构建信息安全保障体系(二)作好信息安全风险评估第15页,课件共49页,创作于2023年2月
(一)构建信息安全保障体系第16页,课件共49页,创作于2023年2月电子政务安全保障体系框架安全法规安全管理安全标准安全工程与服务安全基础设施安全技术与产品第17页,课件共49页,创作于2023年2月信息安全法规《关于开展信息安全风险评估工作的意见》
(国信办[2005]1号文)《信息安全等级保护管理办法(试行)》
(公通字[2006]7号文)《中华人民共和国保守国家秘密法》(在修订)《信息安全法》(信息安全管理条例)《电子签名法》(2005年4月1日实施)------------第18页,课件共49页,创作于2023年2月行政管理体制:国家网络信息安全协调小组,部门,地区技术管理体制:CSO信息系统安全管理准则(ISO17799)--GBxxxx管理策略组织与人员资产分类与安全控制配置与运行网络信息安全域与通信安全异常事件与审计信息标记与文档物理与环境开发与维护作业连续性保障符合性信息安全组织管理第19页,课件共49页,创作于2023年2月国家信息安全标准化委员会安全功能定义安全要素设计:物理、网络、系统、应用、管理全程安全控制风险全程管理安全有效评估强壮性策略(02.4.15成立.十个工作组)标准体系与协调(含可信计算)涉密信息系统保密密码算法与模块PKI/PMI安全评估应急处理安全管理(风险评估)电子证据身份标识与鉴别操作系统与数据国家报批搞16项、送审稿25项、研制近70项第20页,课件共49页,创作于2023年2月信息系统安全工程和服务安全需求分析:威胁,弱点,风险,资产、使命、对策、安全体系结构与功能定义安全要素设计:物理、网络、系统、应用、管理安全系统构建与集成管理服务全程的信息安全风险评估信息系统强壮性策略、(ISSE,IATF,CC,TESEC)第21页,课件共49页,创作于2023年2月信息加密技术(对称、公开、可恢复、量子、隐藏)鉴别与认证(口令/密码、动态口令/ToKen、CA/签名、物理识别)访问控制技术(ACL、RBAC、DAC、MAC、能力表、AA)网络边界安全技术(FW、Proxy、NG、GAP、UTM)病毒防治技术(防、查、杀、清)网络隐患扫描与发现(缺陷、后门、嵌入、恶意代码)内容识别与过滤技术(关键字、特征、上下文、自然语言)主机内控防护技术(监控、检测、防泄、管理、审计)信息安全技术领域第22页,课件共49页,创作于2023年2月信息安全风险评估技术(收集、分析、检测、滲透、管理)网络检测、预警和攻击技术(IDS、Agent、面防、追踪、反击、陷阱)
“内容”产权保护技术(数字水印、安全容器、加密、签名)
“安全基”技术(补丁、配置、清除、监视、加固、监视、升级)审计与取证(全局审计、审计保护、反向工程、恢复提取)
备份与容灾(SAN、NAS、集群、冗余、镜象)
可信计算
(TCG、TCPA、TSS、TPM、TWC、----)信息安全集成管理(信息共享、协同联动、策略牵引)信息安全技术领域第23页,课件共49页,创作于2023年2月信息网络安全域纵深防御框架核心内网局域计算环境(安全域a)专用外网局域计算环境(安全域m)公共服务网局域计算环境(安全域n)Internet、TSP、PSTN、VPN网络通信基础设施(光纤、无线、卫星)信息安全基础设施(PKI、PMI、KMI、CERT、DRI)网络安全边界第24页,课件共49页,创作于2023年2月EG用主流的信息安全产品防范外部入侵类放火墙、防病毒、入侵检测、物理隔离防控内部作案类强审计、主机内控、主机安保、系统级安全类加密、鉴别、授权、扫描、灾备、过滤、物理安全、集成管理、安全测评第25页,课件共49页,创作于2023年2月信息安全基础设施的支撑数字证书认证体系(CA/PKI)网络应急支援体系(CERT)灾难恢复基础设施(DRI)病毒防治服务体系(AVERT)产品与系统安全检测、评估体系(CC/TCSEC)密钥管理基础设施(KMI)授权管理基础设施(AA/PMI)信息安全事件通报与会商体系网络监控与预警体系信息保密检查体系信息安全偵控体系网络舆情掌控与治理体系第26页,课件共49页,创作于2023年2月信息安全保障体系建设的目标1)增加信息网络四种安全能力信息安全防护能力隐患发现能力网络应急反应能力信息对抗能力2)保障信息及其服务具有六性保密性、完整性、可用性、真实性、可核查性(可控性)、可靠性第27页,课件共49页,创作于2023年2月
(二)作好信息安全风险评估第28页,课件共49页,创作于2023年2月提升信息安全风险评估意识
社会、经济、政治、文化对信息化的强烈依赖作业连续性保障(BCM/BCP)引起普遍关注
信息安全保障体系建设(IA)成为焦点实施信息安全的风险管理正在被认同提升信息安全风险评估意识和能力是当务之急
信息安全风险评估既是信息安全建设的起点也覆盖终生创建一个安全的信息化环境保障信息化健康发展
第29页,课件共49页,创作于2023年2月威胁脆弱性防护措施风险资产防护需求价值抗击利用增加增加暴露被满足引出增加拥有风险管理要素关系图第30页,课件共49页,创作于2023年2月信息系统安全风险管理比较和对比可用攻击研究敌方行为理论开创任务影响理论比较和对比各种行为行动决策对策识别与特征描述任务关键性参数权衡脆弱性与攻击的识别与特征描述威胁的识别与特征描述任务影响的识别与描述基础研究与事件分离系统改进风险分析第31页,课件共49页,创作于2023年2月信息系统安全风险评估的特征信息系统是一个巨型复杂系统(系统要素、安全要素)信息系统受制于外部因素(物理环境、行政管理、人员)信息系统安全风险评估是一项系统工程发现隐患、采取对策、提升强度、总结经验自评估、委托评估、检察评估第32页,课件共49页,创作于2023年2月信息系统安全评估目的提供采取降低影响完成保护安全保证技术提供者系统评估者安全保证信心风险对策资产使命资产拥有者价值给出证据生成保证具有第33页,课件共49页,创作于2023年2月
信息安全风险评估是提升信息安全体系强度重要保证
信息系统资产是有价资产脆弱性/威胁力力图使资产贬值影响/风险分析风险评估:发现、预防、降低、转移、补偿、承受采取措施以提升系统安全强度保护信息系统资产价值(保密性、完整性、可用性)完成系统的使命
第34页,课件共49页,创作于2023年2月信息系统生命周期中
安全保障与评估策划与组织开发与采购信息系统安全保障与评估实施与交付运行与维护更新与废弃第35页,课件共49页,创作于2023年2月国家对信息安全风险评估工作高度重视
国信办[2005]5号文件<信息系统风险评估试点工作方案>“国信办”与“安标委”
《信息安全风险评估规范》(GB/T报批稿)
“国信办”抓紧风险评估试点、宣贯和推广(05、06年)“保密局”涉密信息领域风险评估规范”科技部“
信息安全风险评估方法、工具、模型研制第36页,课件共49页,创作于2023年2月国内信息安全评估机构的现状国家信息安全标准化委员会(“信息安全评估工作组-WG5)国家信息安全测评中心(信息技术安全性评估准则-GB/T18336)(EG信息系统安全保障评估准则)
公安部(计算机信息系统安全保护等级划分准则-GB17859-1999)(计算机信息系统安全等级保护通用技术要求-GA/T390-2002)
国家保密局(涉及国家秘密的计算机信息系统安全保密测评指南-BMZ3-2001)
北京市信息办(党政机关信息系统安全测评规范)上海市信息办(信息系统安全测评规范)解放军(信息系统安全评估规范)其它第37页,课件共49页,创作于2023年2月建立国家信息安全评估体系信息安全评估标准和规范体系
IT产品、IT系统、IT服务信息安全评估监管体系
对评估组织与评估行为的监管(等级,资质,规则)信息安全评估组织体系,在认监委、信息办领导下
认可机构认证机构评估技术支援中心(实验室)专家委员会检测、评估机构检测、评估机构评估操作层技术支持层认证层认可监管层第38页,课件共49页,创作于2023年2月国际信息系统安全测评状况NIACAPDICSCAPNSTISSIFIPS102
行业与企业的风险评估投入明显(1%——5%)第39页,课件共49页,创作于2023年2月信息系统安全评估方法定性分析与定量结合评估机构与评估专家结合评估考查与评估检测结合技术安全与管理安全结合第40页,课件共49页,创作于2023年2月信息系统安全分析与检测管理安全分析
组织、人员、制度、资产控制、物理、操作、连续性、应急过程安全分析
威胁、风险、脆弱性、需求、策略、方案、符合性分发、运行、维护、更新、废弃技术安全分析与检测
安全机制、功能和强度分析网络设施、安全设施及主机配置安全分析网络设备和主机设备脆弱性分析系统穿透性测试第41页,课件共49页,创作于2023年2月风险评估实施步骤(1)风险评估的准备(2)资产识别(3)威胁识别(4)脆弱性识别(5)已有安全措施的确认(6)风险分析(7)风险评估文件记录(8)风险评估对策第42页,课件共49页,创作于2023年2月
风险评估流程第43页,课件共49页,创作于2023年2月
风险分析示意图第44页,课件共49页,创作于2023年2月风险评估工具(1)风险评估管理工具
基于安全标准、基于知识、基于模型采点、收集、描述、分析(2)风险评估检测工具
脆弱性扫描:网络、主机、数据库、网站、滲透性测试:黑客、病毒、木马、谍件、劫持、拒绝、破译(3)风险评估辅助工具
入侵检测、安全审计、拓扑发现、资产收集知识库、漏洞库、算法库、模型库、指标库第45页,课件共49页,创作于2023年2月信息安全风险评估试点成效显著(05年
)
提高了风险意识、培育自评估能力(8个试点、几千人日)三要素的识别与赋值能力有所提高、(并探索行业细则)发现和消除大量隐患、提升了安全强度(表层与深层)
采用了多种评估模式并总结经验(自评、委托、检查)实效性/关
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 作风建设回头看自己在岗位上分析材料
- 中学生新学期计划
- 中秋国旗下讲话稿400字(7篇)
- 影响学生学习成绩的十大坏习惯
- 美的绿色工业案例集 2024
- 龙湾区九年级上学期语文9月学科素养考试卷
- 八年级上学期语文1月期末考试卷
- 冬至的课件教学课件
- 维修小便池合同(2篇)
- 南京航空航天大学《电力系统分析》2022-2023学年期末试卷
- 介入手术跟台课件
- 运动技能学习原理课件
- 医学高级职称评审答辩报告PPT模板
- 《王戎不取道旁李》课堂作业设计
- 签收回执表(最新版)
- 中国气血健康白皮书
- 统编版语文5年级(上)期中单元复习课件
- 驾校大学招生策划书
- 燃气具安装维修工(中级)教学课件完整版
- 第二十八章作用于呼吸系统的药物(tly)
- 首诊负责制查检表
评论
0/150
提交评论