信息安全知識培訓(xùn)

1、1 2012簡實公司 版權(quán)所有2 2012簡實公司 版權(quán)所有 信息安全概述信息安全概述1目目 錄錄123 網(wǎng)絡(luò)安全基礎(chǔ)知識網(wǎng)絡(luò)安全基礎(chǔ)知識 信息安全風(fēng)險評估信息安全風(fēng)險評估4 等級保護(hù)基礎(chǔ)等級保護(hù)基礎(chǔ)3 2012簡實公司 版權(quán)所有信息安全概述 信息作為一種無形的資源被廣泛應(yīng)用于政治、軍事、經(jīng)濟(jì)、科研等行業(yè)。隨之帶來的安全問題越來越多，信息安全培訓(xùn)變得很有意義。4 2012簡實公司 版權(quán)所有信息安全概述 信息安全培訓(xùn)的意義 計算機(jī)問世之初，計算機(jī)數(shù)量還是相當(dāng)?shù)纳伲S著因特網(wǎng)的迅速發(fā)展，由于計算機(jī)用戶數(shù)的增加，為今天的計算機(jī)犯罪提供了產(chǎn)生和發(fā)展的溫床。自1998年到2003年安全事件增加了將近37

2、倍。5 2012簡實公司 版權(quán)所有信息安全概述 幾個計算機(jī)犯罪的例子： 1.1988年美國康奈爾大學(xué)學(xué)生釋放多個蠕蟲病毒，造成因特網(wǎng)6000臺主機(jī)癱瘓。 2.1989年3名德國黑客闖入北約和美國計算機(jī)系統(tǒng)，竊取了許多高度機(jī)密的信息 3.1996年美國中央情報局的主頁被一群瑞典少年黑客改為中央笨蛋局 4.2000年黑客入侵微軟公司并獲取新開發(fā)產(chǎn)品的機(jī)密代碼 5.2013年棱鏡監(jiān)聽門事件(斯諾登)6 2012簡實公司 版權(quán)所有信息安全概述 互聯(lián)網(wǎng)技術(shù)的不斷成熟發(fā)展與為人們的生活帶來了巨大的便利，也為社會的發(fā)展注入了新的動力。隨著各種新網(wǎng)絡(luò)的的產(chǎn)生，人們對網(wǎng)絡(luò)的要求越來越高； 寬帶技術(shù)為社會帶來巨大

3、的便利，同時也隱含著巨大的危機(jī)，信息系統(tǒng)的安全性已經(jīng)成為非常重要的研究課題。7 2012簡實公司 版權(quán)所有信息安全概述 什么是信息安全 信息的概念： ISO/IEC 的IT 安全管理指南（GMITS，即ISO/IEC TR 13335）對信息（Information）的解釋是：信息是通過在數(shù)據(jù)上施加某些約定而賦予這些數(shù)據(jù)的特殊含義。 8 2012簡實公司 版權(quán)所有信息安全概述 一般意義上的信息概念是指事物運(yùn)動的狀態(tài)和方式，是事物的一種屬性，在引入必要的約束條件后可以形成特定的概念體系。通常情況下，可以把信息可以理解為消息、信號、數(shù)據(jù)、情報和知識。信息本身是無形的，借助于信息媒體以多種形式存在或

4、傳播，它可以存儲在計算機(jī)、磁帶、紙張等介質(zhì)中，也可以記憶在人的大腦里，還可以通過網(wǎng)絡(luò)等方式進(jìn)行傳播。9 2012簡實公司 版權(quán)所有信息安全概述 “安全”一詞的基本含義為：“遠(yuǎn)離危險的狀態(tài)或特性”，或“主觀上不存在威脅，主觀上不存在恐懼”。在各個領(lǐng)域都存在著安全問題，安全問題是普遍存在的。隨著計算機(jī)網(wǎng)絡(luò)的迅速發(fā)展，人們對信息的存儲、處理和傳遞過程中涉及的安全問題越來越關(guān)注，信息領(lǐng)域的安全問題變得非常突出。10 2012簡實公司 版權(quán)所有信息安全概述 信息安全是一個廣泛而抽象的概念，不同領(lǐng)域不同方面對其概念的闡述都會有所不同。建立在網(wǎng)絡(luò)基礎(chǔ)之上的現(xiàn)代信息系統(tǒng)，其安全定義較為明確，那就是：保護(hù)信息系

5、統(tǒng)的硬件、軟件及相關(guān)數(shù)據(jù)，使之不因為偶然或者惡意侵犯而遭受破壞、更改及泄露，保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運(yùn)行。在商業(yè)和經(jīng)濟(jì)領(lǐng)域，信息安全主要強(qiáng)調(diào)的是消減并控制風(fēng)險，保持業(yè)務(wù)操作的連續(xù)性，并將風(fēng)險造成的損失和影響降低到最低程度。11 2012簡實公司 版權(quán)所有信息安全概述n 信息安全就是關(guān)注信息本身的安全，而不管是否應(yīng)用了計算機(jī)作為信息處理的手段。信息安全的任務(wù)是保護(hù)信息資源，以防止偶然的或未授權(quán)者對信息的惡意泄露、修改和破壞，從而導(dǎo)致信息的不可靠或無法處理等。這樣可以使得人們在最大限度地利用信息的同時損失最小。 12 2012簡實公司 版權(quán)所有信息安全概述 總的來說，凡是涉及到保密性、完

6、整性、可用性、可追溯性、真實性和可靠性保護(hù)等方 面的技術(shù)和理論，都是信息安全所要研究的范疇，也是信息安全所要實現(xiàn)的目標(biāo)。13 2012簡實公司 版權(quán)所有信息安全概述 信息安全威脅信息安全威脅 信息安全的威脅是指某個人、物、事件或概念對信息資源的保密性、完整性、可用性或合法使用所造成的危險。攻擊就是對安全威脅的具體體現(xiàn)。 目前還沒有統(tǒng)一的方法來對各種威脅進(jìn)行分類，也沒有統(tǒng)一的方法來對各種威脅加以區(qū)別。信息安全所面臨的威脅與環(huán)境密切相關(guān)，不同威脅的存在及重要性是隨環(huán)境的變化而變化的。下面給出一些常見的安全威脅。14 2012簡實公司 版權(quán)所有信息安全概述 1服務(wù)干擾：以非法手段竊得對信息的使用權(quán)，

7、惡意添加、修改、插入、刪除或重復(fù)某些無關(guān)信息，不斷對網(wǎng)絡(luò)信息服務(wù)系統(tǒng)進(jìn)行干擾，使系統(tǒng)響應(yīng)減慢甚至癱瘓，影響用戶的正常使用，如一些不法分子在國外干擾我國正常衛(wèi)星通信等。 2惡意訪問：沒有預(yù)先經(jīng)過授權(quán)同意，就使用網(wǎng)絡(luò)或計算機(jī)資源被看作惡意訪問，如有意避開系統(tǒng)訪問控制機(jī)制，對網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用，或擅自擴(kuò)大權(quán)限，越權(quán)訪問信息等。15 2012簡實公司 版權(quán)所有信息安全概述 3自身失誤：網(wǎng)絡(luò)管理員或網(wǎng)絡(luò)用戶都擁有相應(yīng)的權(quán)限，利用這些權(quán)限破壞網(wǎng)絡(luò)安全的可能性也是存在的。如操作口令被泄露，磁盤上的機(jī)密文件被人利用及未將臨時文件刪除導(dǎo)致重要信息被竊取，都有可能使網(wǎng)絡(luò)安全機(jī)制失效，從內(nèi)部遭受嚴(yán)重破壞。

8、 4信息泄露：信息被泄露或透露給某個非授權(quán)的實體。 5破壞信息的完整性：數(shù)據(jù)被非授權(quán)地進(jìn)行增刪、修改或破壞而受到損失。16 2012簡實公司 版權(quán)所有信息安全概述 6拒絕服務(wù)：對信息或其他資源的合法訪問被無緣無故拒絕。 7非法使用：某一資源被某個非授權(quán)的人，或以非授權(quán)的方式使用。 8竊聽：用各種可能的合法或非法的手段竊取系統(tǒng)中的信息資源和敏感信息。 9業(yè)務(wù)流分析：通過對系統(tǒng)進(jìn)行長期監(jiān)聽，利用統(tǒng)計分析方法對諸如通信頻度、通信問題的變化等參數(shù)進(jìn)行研究，從中發(fā)現(xiàn)有價值的信息和規(guī)律。 10假冒：通過欺騙通信系統(tǒng)達(dá)到非法用戶冒充成為合法用戶，或者特權(quán)小的用戶冒充成特權(quán)大的用戶的目的。 17 2012簡實

9、公司 版權(quán)所有信息安全概述 11旁路控制：攻擊者利用系統(tǒng)的安全缺陷或安全性上的脆弱之處獲得非授權(quán)的權(quán)利或特權(quán)。例如，攻擊者通過各種攻擊手段發(fā)現(xiàn)原本應(yīng)該保密，但是卻又暴露出來的一些系統(tǒng)“特性”，利用這些“特性”，攻擊者可以繞過防線守衛(wèi)者侵入到系統(tǒng)的內(nèi)部。 12內(nèi)部攻擊：被授權(quán)以某一目的的使用某一系統(tǒng)或資源的某個個人，卻將此權(quán)限用于其他非授權(quán)的目的。 13特洛伊木馬：軟件中含有一個察覺不出的或者無害的程序段，當(dāng)其被執(zhí)行時，會破壞用戶的安全。這種應(yīng)用程序稱為特洛伊木馬(Trojan Horse)。 14陷阱門：在某個系統(tǒng)或某個部件中設(shè)置的“機(jī)關(guān)”，使得在特定的數(shù)據(jù)輸入時，允許違反安全策略。18 20

10、12簡實公司 版權(quán)所有信息安全概述 15抵賴：這是一種來自用戶的攻擊，比如：否認(rèn)自己曾經(jīng)發(fā)布過的某條消息，偽造一份對方來信等。 16重放：出于非法目的，將所截獲的某次合法的通信數(shù)據(jù)進(jìn)行復(fù)制，并重新發(fā)送。 17電腦病毒：一種人為編制的特定程序。它可以在計算機(jī)系統(tǒng)運(yùn)行過程中實現(xiàn)傳染和侵害功能。它可以通過電子郵件、軟件下載、文件服務(wù)器、防火墻等侵入網(wǎng)絡(luò)內(nèi)部，刪除、修改文件，導(dǎo)致程序運(yùn)行錯誤、死機(jī)，甚至毀壞硬件。網(wǎng)絡(luò)的普及為病毒檢測與消除帶來很大的難度，用戶很難防范。19 2012簡實公司 版權(quán)所有信息安全概述 18員工泄露：某個授權(quán)的人，為了金錢或某種利益，或由于粗心，將信息泄露給某個非授權(quán)的人。

11、19媒體廢棄：信息被從廢棄的磁盤、光盤或紙張等存儲介質(zhì)中獲得。 20物理侵入：侵入者繞過物理控制而獲得對系統(tǒng)的訪問。 21竊取：重要的安全物品(如身份卡等)被盜用。 22業(yè)務(wù)欺騙：某一偽系統(tǒng)或系統(tǒng)部件欺騙合法的用戶或系統(tǒng)自愿放棄敏感信息等。20 2012簡實公司 版權(quán)所有信息安全概述 上面給出的只是一些常見的安全威脅，通常各種威脅之間是相互聯(lián)系的。如竊聽、業(yè)務(wù)流分析、員工泄露、旁路控制等可造成信息泄露，而信息泄露、竊取、重放可造成假冒，而假冒又可造成信息泄露等等。 對于信息系統(tǒng)來說，威脅可以針對物理環(huán)境、通信鏈路、網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)、應(yīng)用系統(tǒng)以及管理系統(tǒng)等方面。 要保證信息的安全就必須想辦法在

12、一定程度上克服以上的種種威脅。需要指出的是，無論采取何種防范措施都不能保證信息的絕對安全。安全是相對的，不安全才是絕對的21 2012簡實公司 版權(quán)所有信息安全概述 信息完全威脅的來源 信息系統(tǒng)安全威脅主要來源有很多方面。信息安全的主要威脅來源包括： 1.自然災(zāi)害、意外事故 2.計算機(jī)犯罪 3.認(rèn)為錯誤，如使用不當(dāng)、安全意識差 4.黑客行為 5.內(nèi)部泄密22 2012簡實公司 版權(quán)所有信息安全概述 6.外部泄密 7.信息丟失 8.電子諜報 9.信息戰(zhàn) 10.網(wǎng)絡(luò)協(xié)議自身缺陷 11.計算機(jī)硬件系統(tǒng)、操作系統(tǒng)、應(yīng)用系統(tǒng)等的漏洞23 2012簡實公司 版權(quán)所有信息安全概述 信息安全的屬性 信息安全通

13、常強(qiáng)調(diào)所謂CIA三元組的目標(biāo)，即保密性、完整性和可用性。CIA概念的闡述源自信息安全技術(shù)安全評估標(biāo)準(zhǔn)。 （1）保密性：確保信息在存儲、使用、傳輸過程中不會泄露給非授權(quán)用戶或?qū)嶓w （2）完整性：確保信息在存儲、使用、傳輸過程中不會被非授權(quán)用戶篡改24 2012簡實公司 版權(quán)所有信息安全概述 （3）可用性：確保授權(quán)用戶或?qū)嶓w對信息及資源的正常使用不會被異常拒絕，允許其可靠而及時訪問信息及資源 （4）真實性：對信息的來源進(jìn)行判斷，能偽造來源的信息予以鑒別 （5）不可抵賴性：建立有效的責(zé)任機(jī)制，防止用戶否認(rèn)其行為，這一點在電子商務(wù)中是極其重要的。25 2012簡實公司 版權(quán)所有信息安全概述 （6）可控

14、制性：對信息的傳播及內(nèi)容具有控制能力 （7）可審查性：對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段 （8）可靠性：信息用戶認(rèn)可的質(zhì)量連續(xù)服務(wù)于用戶的特征。26 2012簡實公司 版權(quán)所有信息安全概述 信息安全策略 信息安全策略是指保證提供一定級別的安全保護(hù)所必需遵守的規(guī)則。實現(xiàn)信息安全，不但靠先進(jìn)的技術(shù)，而且也得靠嚴(yán)格的安全管理、法律約束和安全教育。 （1）先進(jìn)的信息安全是網(wǎng)絡(luò)安全的保證 （2）嚴(yán)格的安全管理 （3）制定嚴(yán)格的法律、法規(guī)27 2012簡實公司 版權(quán)所有信息安全概述 信息安全模型和層次結(jié)構(gòu) PDR安全模型 PDR動態(tài)安全模型研究的是基于企業(yè)網(wǎng)對象、依時間及策略特征的動態(tài)安全模型結(jié)構(gòu)。

15、一個良好的安全模型應(yīng)在充分了解網(wǎng)絡(luò)系統(tǒng)安全需求的基礎(chǔ)上，通過安全模型表達(dá)安全體系架構(gòu)，通常具備以下性質(zhì)：精確、無歧義、簡單、抽象具有一般性，充分體現(xiàn)安全策略。28 2012簡實公司 版權(quán)所有信息安全概述 該理論的最基本原理認(rèn)為，信息安全相關(guān)的所有活動，不管是攻擊行為、防護(hù)行為、檢測行為還是響應(yīng)行為都要消耗時間。作為一個防護(hù)體系，當(dāng)入侵者發(fā)起攻擊時，每一步都需要花費(fèi)時間。 PDR安全模型公式1：PtDt+Rt Pt代表系統(tǒng)為了保護(hù)安全目標(biāo)設(shè)置各種保護(hù)后的防護(hù)時間，或者理解為在這樣的保護(hù)方式下，黑客攻擊安全目標(biāo)所花費(fèi)的時間。29 2012簡實公司 版權(quán)所有信息安全概述 PDR安全模型公式2： Et

16、=Dt+Rt（假設(shè)Pt=0） 公式的前提是假設(shè)防護(hù)時間為0.Dt代表入侵者破壞了安全目標(biāo)系統(tǒng)開始，系統(tǒng)能夠檢測到破壞行為所花費(fèi)的時間。 通過上面兩個公式給出了全新的定義：及時檢測和響應(yīng)就是安全，及時的檢測和恢復(fù)就是安全。30 2012簡實公司 版權(quán)所有信息安全概述 信息安全層次體系 物理安全技術(shù)：環(huán)境安全、設(shè)備安全、媒體安全。 系統(tǒng)安全技術(shù)：操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)的安全性。 網(wǎng)絡(luò)安全技術(shù)：網(wǎng)絡(luò)隔離、訪問控制、VPN、入侵檢測、掃描評估。31 2012簡實公司 版權(quán)所有信息安全概述 應(yīng)用安全技術(shù)：Email 安全、Web 訪問安全、內(nèi)容過濾、應(yīng)用系統(tǒng)安全。 數(shù)據(jù)加密技術(shù)：硬件和軟件加密，實現(xiàn)身份認(rèn)

17、證和數(shù)據(jù)信息的CIA 特性。 認(rèn)證授權(quán)技術(shù)：口令認(rèn)證、SSO 認(rèn)證（例如Kerberos）、證書認(rèn)證等。32 2012簡實公司 版權(quán)所有信息安全概述 訪問控制技術(shù)：防火墻、訪問控制列表等。 審計跟蹤技術(shù)：入侵檢測、日志審計、辨析取證。 防病毒技術(shù)：單機(jī)防病毒技術(shù)逐漸發(fā)展成整體防病毒體系。 災(zāi)難恢復(fù)和備份技術(shù)：業(yè)務(wù)連續(xù)性技術(shù)，前提就是對數(shù)據(jù)的備份。33 2012簡實公司 版權(quán)所有 信息安全概述信息安全概述1目目 錄錄123 網(wǎng)絡(luò)安全基礎(chǔ)知識網(wǎng)絡(luò)安全基礎(chǔ)知識 信息安全風(fēng)險評估信息安全風(fēng)險評估4 等級保護(hù)基礎(chǔ)等級保護(hù)基礎(chǔ)34 2012簡實公司 版權(quán)所有網(wǎng)絡(luò)安全基礎(chǔ)知識信息安全的含義信息安全的含義信息

18、安全從其本質(zhì)上來講就是網(wǎng)絡(luò)傳輸處理過程中的信息安全。它涉及的領(lǐng)域相當(dāng)廣泛。這是因為在目前的公用通信網(wǎng)絡(luò)中存在著各種各樣的安全漏洞和威脅。從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論，都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。下面給出網(wǎng)絡(luò)安全的一個通用定義：信息安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。35 2012簡實公司 版權(quán)所有網(wǎng)絡(luò)安全基礎(chǔ)知識（l）運(yùn)行系統(tǒng)安全，即保證信息處理和傳輸系統(tǒng)的安全。 （2）網(wǎng)絡(luò)上系統(tǒng)信息的安全。 （3）網(wǎng)絡(luò)上信息傳播的安全，即信息傳

19、播后果的安全。 （4）網(wǎng)絡(luò)上信息內(nèi)容的安全，即我們討論的狹義的“信息安全”。 36 2012簡實公司 版權(quán)所有網(wǎng)絡(luò)安全基礎(chǔ)知識網(wǎng)絡(luò)安全的特征（1）保密性：信息不泄露給非授權(quán)的用戶、實體或過程，或供其利用的特性。（2）完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性，即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。（3）可用性：可被授權(quán)實體訪問并按需求使用的特性，即當(dāng)需要時應(yīng)能存取所需的信息。網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對可用性的攻擊。（4）可控性：對信息的傳播及內(nèi)容具有控制能力。 37 2012簡實公司 版權(quán)所有網(wǎng)絡(luò)安全基礎(chǔ)知識網(wǎng)絡(luò)安全的威脅 (1)非授權(quán)訪問（u

20、nauthorized access）：一個非授權(quán)的人的入侵。(2)信息泄露（disclosure of information）：造成將有價值的和高度機(jī)密的信息暴露給無權(quán)訪問該信息的人的所有問題。(3)拒絕服務(wù)（denial of service）：使得系統(tǒng)難以或不可能繼續(xù)執(zhí)行任務(wù)的所有問題。 (4)木馬/病毒：擾亂系統(tǒng)正常運(yùn)作，造成數(shù)據(jù)的不可判損壞(5)惡意/間諜軟件：竊取操作用戶密碼和相關(guān)機(jī)密信息，實施商業(yè)欺詐或惡意信息泄露38 2012簡實公司 版權(quán)所有網(wǎng)絡(luò)安全基礎(chǔ)知識網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)主機(jī)安全技術(shù)。身份認(rèn)證技術(shù)。訪問控制技術(shù)。密碼技術(shù)。防火墻技術(shù)。安全審計技術(shù)。安全管理技術(shù)。防病毒技

21、術(shù)。反垃圾郵件技術(shù)。入侵檢測技術(shù)。39 2012簡實公司 版權(quán)所有網(wǎng)絡(luò)安全基礎(chǔ)知識網(wǎng)絡(luò)安全的安全策略網(wǎng)絡(luò)用戶的安全責(zé)任：該策略可以要求用戶每隔一段時間改變其口令；使用符合一定準(zhǔn)則的口令；執(zhí)行某些檢查，以了解其賬戶是否被別人訪問過等。重要的是，凡是要求用戶做到的，都應(yīng)明確地定義。系統(tǒng)管理員的安全責(zé)任：該策略可以要求在每臺主機(jī)上使用專門的安全措施、登錄標(biāo)題報文、監(jiān)測和記錄過程等，還可列出在連接網(wǎng)絡(luò)的所有主機(jī)中不能運(yùn)行的應(yīng)用程序。A1G7F7L16B2ZAM3KP5C3J2F35Y5D4G6JX6O9E5V42P9T0F6IQ1S7U9G75R7W2V8H40 2012簡實公司 版權(quán)所有網(wǎng)絡(luò)安全基礎(chǔ)

22、知識正確利用網(wǎng)絡(luò)資源：規(guī)定誰可以使用網(wǎng)絡(luò)資源，他們可以做什么，他們不應(yīng)該做什么等。如果用戶的單位認(rèn)為電子郵件文件和計算機(jī)活動的歷史記錄都應(yīng)受到安全監(jiān)視，就應(yīng)該非常明確地告訴用戶，這是其政策。檢測到安全問題時的對策：當(dāng)檢測到安全問題時應(yīng)該做什么？應(yīng)該通知誰？這些都是在緊急的情況下容易忽視的事情。41 2012簡實公司 版權(quán)所有網(wǎng)絡(luò)安全分類根據(jù)中國國家計算機(jī)安全規(guī)范，計算機(jī)的安全大致可分為三類：（1）實體安全 （2）網(wǎng)絡(luò)與信息安全（3）應(yīng)用安全 機(jī)房、線路、主機(jī)網(wǎng)絡(luò)的連通及信息傳輸安全程序開發(fā)運(yùn)行、IO、數(shù)據(jù)庫42 2012簡實公司 版權(quán)所有網(wǎng)絡(luò)安全分類基本安全類 基本安全類包括訪問控制、授權(quán)、認(rèn)

23、證、加密以及內(nèi)容安全。 管理與記賬類 管理與記賬類安全包括安全的策略的管理、實時監(jiān)控、報警以及企業(yè)范圍內(nèi)的集中管理與記賬。網(wǎng)絡(luò)互聯(lián)設(shè)備安全類 網(wǎng)絡(luò)互聯(lián)設(shè)備包括路由器、通信服務(wù)器、交換機(jī)等，網(wǎng)絡(luò)互聯(lián)設(shè)備安全正是針對上述這些互聯(lián)設(shè)備而言的，它包括路由安全管理、遠(yuǎn)程訪問服務(wù)器安全管理、通信服務(wù)器安全管理以及交換機(jī)安全管理等等。43 2012簡實公司 版權(quán)所有網(wǎng)絡(luò)安全解決方案連接控制類連接控制類包括負(fù)載均衡、可靠性以及流量管理等。由于網(wǎng)絡(luò)安全范圍的不斷擴(kuò)大；如今的網(wǎng)絡(luò)安全不再是僅僅保護(hù)內(nèi)部資源的安全，還必須提供附加的服務(wù)，例如，用戶確認(rèn)、通過保密、甚至于安全管理傳統(tǒng)的商務(wù)交易機(jī)制，如訂貨和記賬等。網(wǎng)絡(luò)

24、信息安全模型一個完整的網(wǎng)絡(luò)信息安全系統(tǒng)至少包括三類措施： 社會的法律政策，企業(yè)的規(guī)章制度及網(wǎng)絡(luò)安全教育技術(shù)方面的措施，如防火墻技術(shù)、防病毒。信息加密、身份確認(rèn)以及授權(quán)等審計與管理措施，包括技術(shù)與社會措施 44 2012簡實公司 版權(quán)所有網(wǎng)絡(luò)安全解決方案45 2012簡實公司 版權(quán)所有網(wǎng)絡(luò)安全解決方案安全策略設(shè)計依據(jù)在制定網(wǎng)絡(luò)安全策略時應(yīng)當(dāng)考慮如下因素：對于內(nèi)部用戶和外部用戶分別提供哪些服務(wù)程序初始投資額和后續(xù)投資額（新的硬件、軟件及工作人員）方便程度和服務(wù)效率復(fù)雜程度和安全等級的平衡網(wǎng)絡(luò)性能46 2012簡實公司 版權(quán)所有網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)安全解決方案(1)信息包篩選47 2012簡實公司

25、版權(quán)所有網(wǎng)絡(luò)安全解決方案(2)應(yīng)用中繼器 48 2012簡實公司 版權(quán)所有網(wǎng)絡(luò)安全解決方案49 2012簡實公司 版權(quán)所有網(wǎng)絡(luò)安全解決方案(3)保密與確認(rèn)“保密”可以保證當(dāng)一個信息被送出后，只有預(yù)定的接收者能夠閱讀和加以解釋。它可以防止竊聽，并且允許在公用網(wǎng)絡(luò)上安全地傳輸機(jī)密的或者專用的信息?！按_認(rèn)”意味著向信息（郵件、數(shù)據(jù)、文件等）的接收者保證發(fā)送是該信息的擁有者，并且意味著，數(shù)據(jù)在傳輸期間不會被修改。 50 2012簡實公司 版權(quán)所有網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)安全性措施 要實施一個完整的網(wǎng)絡(luò)安全系統(tǒng)，至少應(yīng)該包括三類措施：社會的法律、法規(guī)以及企業(yè)的規(guī)章制度和安全教育等外部軟件環(huán)境技術(shù)方面的措施，

26、如網(wǎng)絡(luò)防毒、信息加密、存儲通信、授權(quán)、認(rèn)證以及防火墻技術(shù)審計和管理措施，這方面措施同時也包含了技術(shù)與社會措施。 51 2012簡實公司 版權(quán)所有網(wǎng)絡(luò)安全解決方案為網(wǎng)絡(luò)安全系統(tǒng)提供適當(dāng)安全的常用的方法：修補(bǔ)系統(tǒng)漏洞病毒檢查加密執(zhí)行身份鑒別防火墻捕捉闖入者直接安全空閑機(jī)器守則廢品處理守則口令守則52 2012簡實公司 版權(quán)所有網(wǎng)絡(luò)安全解決方案可以采取的網(wǎng)絡(luò)安全性措施有：選擇性能優(yōu)良的服務(wù)器。服務(wù)器是網(wǎng)絡(luò)的核心；它的故障意味著整個網(wǎng)絡(luò)的癱瘓，因此，要求的服務(wù)應(yīng)具有：容錯能力。帶電熱插拔技術(shù)，智能IO技術(shù)，以及具有良好的擴(kuò)展性采用服務(wù)器備份。服務(wù)器備份方式分為冷備份與熱備份二種，熱備份方式由于實時性好

27、，可以保證數(shù)據(jù)的完整性和連續(xù)性，得以廣泛采用的一種備份方式對重要網(wǎng)絡(luò)設(shè)備、通信線路備份。通信故障就意味著正常工作無法進(jìn)行。所以，對于交換機(jī)、路由器以及通信線路最好都要有相應(yīng)的備份措施53 2012簡實公司 版權(quán)所有網(wǎng)絡(luò)安全解決方案Internet安全管理(1)應(yīng)解決的安全問題 (2) 對Internet網(wǎng)的安全管理措施安全保密遵循的基本原則：根據(jù)所面臨的安全問題，決定安全的策略。根據(jù)實際需要綜合考慮，適時地對現(xiàn)有策略進(jìn)行適當(dāng)?shù)男薷?，每?dāng)有新的技術(shù)時就要補(bǔ)充相應(yīng)的安全策略。構(gòu)造企業(yè)內(nèi)部網(wǎng)絡(luò)，在Intranet和 Internet之間設(shè)置“防火墻”以及相應(yīng)的安全措施。完善管理功能加大安全技術(shù)的開發(fā)

28、力度 54 2012簡實公司 版權(quán)所有網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)安全的評估 確定單位內(nèi)部是否已經(jīng)有了一套有關(guān)網(wǎng)絡(luò)安全的方案，如果有的話，將所有有關(guān)的文檔匯總；如果沒有的話，應(yīng)當(dāng)盡快制訂對已有的網(wǎng)絡(luò)安全方案進(jìn)行審查確定與網(wǎng)絡(luò)安全方案有關(guān)的人員，并確定對網(wǎng)絡(luò)資源可以直接存取的人或單位（部門）確保所需要的技術(shù)能使網(wǎng)絡(luò)安全方案得以落實確定內(nèi)部網(wǎng)絡(luò)的類型。因為網(wǎng)絡(luò)類型的不同直接影響到安全方案接口的選擇55 2012簡實公司 版權(quán)所有 信息安全概述信息安全概述1目目 錄錄123 網(wǎng)絡(luò)安全基礎(chǔ)知識網(wǎng)絡(luò)安全基礎(chǔ)知識 信息安全風(fēng)險評估信息安全風(fēng)險評估4 等級保護(hù)基礎(chǔ)等級保護(hù)基礎(chǔ)56 2012簡實公司 版權(quán)所有目錄 風(fēng)

29、險評估理念風(fēng)險評估理念 風(fēng)險評估方法 項目實施過程57 2012簡實公司 版權(quán)所有p 由于病毒爆發(fā)，造成網(wǎng)絡(luò)阻塞，或系統(tǒng)癱瘓p 一次意外的停電，造成計算機(jī)和網(wǎng)絡(luò)設(shè)備無法工作p 一份內(nèi)部技術(shù)資料被內(nèi)部人員賣給了競爭對手，使得企業(yè)遭受損失p 對系統(tǒng)的升級沒有經(jīng)過測試，造成系統(tǒng)不能正常使用p 竊賊光顧了您的辦公場所，偷走了存有內(nèi)部敏感信息的計算機(jī)設(shè)備p 工作人員為了炫耀，在其個人博客上發(fā)布了公司的秘密研發(fā)信息p 存放有系統(tǒng)關(guān)鍵數(shù)據(jù)的硬盤損壞后，由于沒有做好日常備份，導(dǎo)致數(shù)據(jù)丟失p 員工使用BT等下載軟件，導(dǎo)致公司上互聯(lián)網(wǎng)速度緩慢，帶寬被嚴(yán)重占用p 黑客侵入了企業(yè)的Web網(wǎng)站，篡改了網(wǎng)站上發(fā)布的信息“

30、像其它重要業(yè)務(wù)資產(chǎn)一樣，信息也是對組織業(yè)務(wù)至關(guān)重要的資產(chǎn)，需要適當(dāng)?shù)丶右员Ｗo(hù)。” ISO/IEC 2700258 2012簡實公司 版權(quán)所有p 信息系統(tǒng)的安全需求是什么？信息系統(tǒng)的安全需求是什么？p 信息系統(tǒng)有哪些關(guān)鍵資產(chǎn)是需要重點保護(hù)的？信息系統(tǒng)有哪些關(guān)鍵資產(chǎn)是需要重點保護(hù)的？ p 信息系統(tǒng)面臨哪些威脅？信息系統(tǒng)面臨哪些威脅？p 系統(tǒng)中存在哪些技術(shù)隱患與管理的薄弱環(huán)節(jié)？系統(tǒng)中存在哪些技術(shù)隱患與管理的薄弱環(huán)節(jié)？p 這些威脅會產(chǎn)生什么風(fēng)險？可能會造成多大的損失？這些威脅會產(chǎn)生什么風(fēng)險？可能會造成多大的損失？p 這些風(fēng)險產(chǎn)生的原因是什么，嚴(yán)重程度如何？這些風(fēng)險產(chǎn)生的原因是什么，嚴(yán)重程度如何？p 應(yīng)

31、采取哪些對策去控制這些風(fēng)險？應(yīng)采取哪些對策去控制這些風(fēng)險？ “木桶的盛水量取決于最短的那塊木板”木桶原理信息安全薄弱點，決定著組織信息安全的整體信息安全薄弱點，決定著組織信息安全的整體水平。找出這些薄弱方面并加以控制，是信息水平。找出這些薄弱方面并加以控制，是信息安全改進(jìn)的關(guān)鍵所在。安全改進(jìn)的關(guān)鍵所在。信息安全風(fēng)險評估可以回答以下問題：59 2012簡實公司 版權(quán)所有安全措施的有效性如何？安全措施的有效性如何？CSI/FBI 200660 2012簡實公司 版權(quán)所有并不是發(fā)生越多的安全事件帶來損失最大并不是發(fā)生越多的安全事件帶來損失最大CSI/FBI 200661 2012簡實公司 版權(quán)所有國

32、家相應(yīng)的政策要求 國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(中辦中辦發(fā)發(fā)200327號號) 要重視信息安全風(fēng)險評估工作，對網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護(hù)措施等進(jìn)行分析評估，綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、涉密程度和面臨的信息安全風(fēng)險等因素，進(jìn)行相應(yīng)等級的安全建設(shè)和管理。 關(guān)于開展信息安全風(fēng)險評估工作的意見（國信辦關(guān)于開展信息安全風(fēng)險評估工作的意見（國信辦20065號文）號文） 2006年3月16日，國務(wù)院信息化工作辦公室在昆明召開了關(guān)于開展信息安全風(fēng)險評估工作的意見宣貫會。各省、市信息化主管部門、國信辦專家組、解放軍有關(guān)部門

33、和部分信息安全企業(yè)的130余名代表出席了會議。 20062020年國家信息化發(fā)展戰(zhàn)略年國家信息化發(fā)展戰(zhàn)略 建設(shè)國家信息安全保障體系：加強(qiáng)信息安全風(fēng)險評估工作。62 2012簡實公司 版權(quán)所有 63 2012簡實公司 版權(quán)所有u 資產(chǎn)（資產(chǎn)（Asset） 任何對組織具有價值的東西，包括計算機(jī)硬件、通信設(shè)施、建筑物、數(shù)據(jù)庫、文檔信息、軟件、信息服務(wù)和人員等，所有這些資產(chǎn)都需要妥善保護(hù)。u 威脅（威脅（Threat） 可能對資產(chǎn)或組織造成損害的某種安全事件發(fā)生的潛在原因，通常需要識別出威脅源（Threat source）或威脅代理（Threat agent）。u 弱點（弱點（Vulnerabilit

34、y） 也被稱作漏洞或脆弱性，即資產(chǎn)或資產(chǎn)組中存在的可被威脅利用的缺點，弱點一旦被利用，就可能對資產(chǎn)造成損害。u 風(fēng)險（風(fēng)險（Risk） 特定威脅利用資產(chǎn)弱點給資產(chǎn)或資產(chǎn)組帶來損害的潛在可能性。u 可能性（可能性（Likelihood） 對威脅發(fā)生幾率（Probability）或頻率（Frequency）的定性描述。u 影響（影響（Impact） 后果（Consequence），意外事件發(fā)生給組織帶來的直接或間接的損失或傷害。u 安全措施（安全措施（Safeguard） 控制措施（control）或?qū)Σ撸╟ountermeasure），即通過防范威脅、減少弱點、限制意外事件帶來影響等途徑來消減風(fēng)

35、險的機(jī)制、方法和措施。u 殘留風(fēng)險（殘留風(fēng)險（Residual Risk） 在實施安全措施之后仍然存在的風(fēng)險。64 2012簡實公司 版權(quán)所有所有者對策弱點風(fēng)險資產(chǎn)威脅威脅者/威脅因素價值希望最小化利用被減少可能意識到可能引入新的利用導(dǎo)致引起損害到企圖破壞/濫用降低增加所有者對策弱點風(fēng)險資產(chǎn)威脅威脅者/威脅因素價值希望最小化利用被減少可能意識到可能引入新的利用導(dǎo)致引起損害到企圖破壞/濫用降低增加65 2012簡實公司 版權(quán)所有風(fēng)險風(fēng)險RISKRISKRISKRISKRISKRISKRISKRISK風(fēng)險風(fēng)險原有風(fēng)險原有風(fēng)險采取措施后的剩余風(fēng)險采取措施后的剩余風(fēng)險脆弱性脆弱性66 2012簡實公司

36、 版權(quán)所有風(fēng)險風(fēng)險RISKRISKRISKRISKRISKRISKRISKRISK風(fēng)險風(fēng)險原有風(fēng)險原有風(fēng)險采取措施后的剩余風(fēng)險采取措施后的剩余風(fēng)險脆弱性脆弱性67 2012簡實公司 版權(quán)所有風(fēng)險評估是風(fēng)險管理的關(guān)鍵環(huán)節(jié)，在風(fēng)險管理循環(huán)中，必須依靠風(fēng)險評估來確定隨后的風(fēng)險控制與改進(jìn)活動。68 2012簡實公司 版權(quán)所有目錄 風(fēng)險評估理念 風(fēng)險評估方法風(fēng)險評估方法 項目實施過程69 2012簡實公司 版權(quán)所有風(fēng)險評估方法控制措施有效性脆弱性信息資產(chǎn)威脅價值嚴(yán)重程度可能性資產(chǎn)所有者威脅源安全風(fēng)險風(fēng)險值風(fēng)險值（威脅風(fēng)險值（威脅脆弱性脆弱性資產(chǎn)價值）資產(chǎn)價值）/ / 控制措施控制措施信息系統(tǒng)70 201

37、2簡實公司 版權(quán)所有u 對資產(chǎn)進(jìn)行保護(hù)是信息安全和風(fēng)險管理的首要目標(biāo)。u 劃入風(fēng)險評估范圍和邊界的每項資產(chǎn)都應(yīng)該被識別和評價。u 應(yīng)該清楚識別每項資產(chǎn)的擁有者、保管者和使用者。u 組織應(yīng)該建立資產(chǎn)清單，可以根據(jù)業(yè)務(wù)流程來識別信息資產(chǎn)。 u 信息資產(chǎn)的存在形式有多種，物理的、邏輯的、無形的。 數(shù)據(jù)數(shù)據(jù)：存在于電子媒介中的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫、數(shù)據(jù)文件、系統(tǒng)文檔等 軟件軟件：應(yīng)用軟件，系統(tǒng)軟件，開發(fā)工具和資源庫等 硬件：硬件：計算機(jī)硬件、路由器、交換機(jī)、硬件防火墻、布線、存儲備份設(shè)備等 文檔文檔：紙質(zhì)的各種文件，如策略方針、合同、財務(wù)報告等 設(shè)施設(shè)施：電源、空調(diào)、保險柜、門禁、消防、場

38、所等 人員人員：承擔(dān)特定職能和責(zé)任的人員，包括員工和外部人員 服務(wù)服務(wù)：計算和通信服務(wù)，其他技術(shù)性服務(wù)， 例如供暖、照明、水電等 組織形象與聲譽(yù)組織形象與聲譽(yù)：企業(yè)形象，客戶關(guān)系等，屬于無形資產(chǎn)71 2012簡實公司 版權(quán)所有u 資產(chǎn)評價時應(yīng)該考慮： 信息資產(chǎn)因為受損而對業(yè)務(wù)造成的直接損失； 信息資產(chǎn)恢復(fù)到正常狀態(tài)所付出的代價，包括檢測、控制、修復(fù)時的人力和物力； 信息資產(chǎn)受損對其他部門的業(yè)務(wù)造成的影響； 組織在公眾形象和名譽(yù)上的損失； 因為業(yè)務(wù)受損導(dǎo)致競爭優(yōu)勢喪失而引發(fā)的間接損失； 其他損失，例如保險費(fèi)用的增加。u 定性分析時，我們關(guān)心的是資產(chǎn)對組織的重要性或其敏感程度，即由于資產(chǎn)受損而引發(fā)

39、的潛在的業(yè)務(wù)影響或后果。u 可以根據(jù)資產(chǎn)的重要性（影響或后果）來為資產(chǎn)劃分等級。u 應(yīng)該同時考慮保密性、完整性和可用性三方面受損可能引發(fā)的后果。72 2012簡實公司 版權(quán)所有u 資產(chǎn)評價時應(yīng)該考慮： 信息資產(chǎn)因為受損而對業(yè)務(wù)造成的直接損失； 信息資產(chǎn)恢復(fù)到正常狀態(tài)所付出的代價，包括檢測、控制、修復(fù)時的人力和物力； 信息資產(chǎn)受損對其他部門的業(yè)務(wù)造成的影響； 組織在公眾形象和名譽(yù)上的損失； 因為業(yè)務(wù)受損導(dǎo)致競爭優(yōu)勢喪失而引發(fā)的間接損失； 其他損失，例如保險費(fèi)用的增加。u 定性分析時，我們關(guān)心的是資產(chǎn)對組織的重要性或其敏感程度，即由于資產(chǎn)受損而引發(fā)的潛在的業(yè)務(wù)影響或后果。u 可以根據(jù)資產(chǎn)的重要性（

40、影響或后果）來為資產(chǎn)劃分等級。u 應(yīng)該同時考慮保密性、完整性和可用性三方面受損可能引發(fā)的后果。73 2012簡實公司 版權(quán)所有很低（很低（1）低（低（2）中等（中等（3）高（高（4）很高（很高（5）保密性可對社會公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息，向外擴(kuò)散有可能對組織的利益造成輕微損害組織的一般性秘密，其泄露會使組織的安全和利益受到損害包含組織的重要秘密，其泄露會使組織的安全和利益遭受嚴(yán)重?fù)p害包含組織最重要的秘密，關(guān)系未來發(fā)展的前途命運(yùn)，對組織根本利益有著決定性的影響，如果泄露會造成災(zāi)難性的損害 完整性完整性價值非常低，未經(jīng)授權(quán)的修改或破壞對

41、組織造成的影響可以忽略，對業(yè)務(wù)沖擊可以忽略完整性價值較低，未經(jīng)授權(quán)的修改或破壞會對組織造成輕微影響，對業(yè)務(wù)沖擊輕微，容易彌補(bǔ)完整性價值中等，未經(jīng)授權(quán)的修改或破壞會對組織造成影響，對業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)完整性價值較高，未經(jīng)授權(quán)的修改或破壞會對組織造成重大影響，對業(yè)務(wù)沖擊嚴(yán)重，較難彌補(bǔ)完整性價值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會對組織造成重大的或無法接受的影響，對業(yè)務(wù)沖擊重大，并可能造成嚴(yán)重的業(yè)務(wù)中斷，難以彌補(bǔ)可用性可用性價值可以忽略，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間低于25%可用性價值較低，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達(dá)到25%以上，或系統(tǒng)允許中斷時間小于6

42、0分鐘可用性價值中等，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達(dá)到70%以上，或系統(tǒng)允許中斷時間小于30分鐘可用性價值較高，合法使用者對信息及信息系統(tǒng)的可用度達(dá)到每天90%以上，或系統(tǒng)允許中斷時間小于10分鐘可用性價值非常高，合法使用者對信息及信息系統(tǒng)的可用度達(dá)到年度99.9%以上，或系統(tǒng)不允許中斷74 2012簡實公司 版權(quán)所有u 識別每項（類）資產(chǎn)可能面臨的威脅。一項資產(chǎn)可能面臨多個威脅，一個威脅也可能對不同資產(chǎn)造成影響。u 識別威脅的關(guān)鍵在于確認(rèn)引發(fā)威脅的人或物，即威脅源（威脅代理，Threat Agent）。u 威脅可能是蓄意也可能是偶然的因素（不同的性質(zhì)），通常包括（來源）：

43、 人員威脅人員威脅：故意破壞和無意失誤 系統(tǒng)威脅系統(tǒng)威脅：系統(tǒng)、網(wǎng)絡(luò)或服務(wù)出現(xiàn)的故障 環(huán)境威脅環(huán)境威脅：電源故障、污染、液體泄漏、火災(zāi)等 自然威脅自然威脅：洪水、地震、臺風(fēng)、雷電等u 威脅對資產(chǎn)的侵害，表現(xiàn)在CIA某方面或者多個方面的受損上。u 對威脅的評估，主要考慮其發(fā)生的可能性。評估威脅可能性時要考慮威脅源的動機(jī)（Motivation）和能力（Capability）這兩個因素，但更多時候是和弱點結(jié)合起來考慮。75 2012簡實公司 版權(quán)所有等級等級標(biāo)識標(biāo)識威脅可能性描述威脅可能性描述5很高出現(xiàn)的頻率很高（或1 次/周）；或在大多數(shù)情況下幾乎不可避免；或可以證實經(jīng)常發(fā)生過4高出現(xiàn)的頻率較高（

44、或 1 次/月）；或在大多數(shù)情況下很有可能會發(fā)生；或可以證實多次發(fā)生過3中出現(xiàn)的頻率中等（或 1 次/半年）；或在某種情況下可能會發(fā)生；或被證實曾經(jīng)發(fā)生過2低出現(xiàn)的頻率較小；或一般不太可能發(fā)生；或沒有被證實發(fā)生過1很低威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生76 2012簡實公司 版權(quán)所有u 針對每一項需要保護(hù)的資產(chǎn)，找到可被威脅利用的弱點，包括： 技術(shù)脆弱點技術(shù)脆弱點：系統(tǒng)、程序、設(shè)備中存在的漏洞或缺陷。 管理脆弱點管理脆弱點：策略、程序、規(guī)章制度、人員意識、組織結(jié)構(gòu)等方面的不足。 u 脆弱點的識別途徑： 審計報告、事件報告、安全檢查報告、系統(tǒng)測試和評估報告 專業(yè)機(jī)構(gòu)發(fā)布的漏洞

45、信息 自動化的漏洞掃描工具和滲透測試u 對弱點的評估需要結(jié)合威脅因素，主要考慮其嚴(yán)重程度（Severity）或暴露程度（Exposure，即被利用的容易度）。u 如果資產(chǎn)沒有弱點或者弱點很輕微，威脅源無論能力或動機(jī)如何，都很難對資產(chǎn)造成損害。77 2012簡實公司 版權(quán)所有等級等級標(biāo)識標(biāo)識脆弱點嚴(yán)重程度描述脆弱點嚴(yán)重程度描述5很高如果被威脅利用，將對資產(chǎn)造成完全損害4高如果被威脅利用，將對資產(chǎn)造成重大損害3中如果被威脅利用，將對資產(chǎn)造成一般損害2低如果被威脅利用，將對資產(chǎn)造成較小損害1很低如果被威脅利用，將對資產(chǎn)造成的損害可以忽略78 2012簡實公司 版權(quán)所有u 從針對性和實施方式來看，控制

46、措施包括兩類： 管理性（管理性（Administrative）：對系統(tǒng)的開發(fā)、維護(hù)和使用實施管理的措施，包括安全策略、程序管理、人員職責(zé)、應(yīng)急響應(yīng)、事件處理、意識培訓(xùn)、系統(tǒng)支持和操作等。 技術(shù)性（技術(shù)性（Technical）：身份識別與認(rèn)證、邏輯訪問控制、日志審計、加密等。 u 從功能來看，控制措施類型包括： 威懾性（威懾性（Deterrent） 預(yù)防性（預(yù)防性（Preventive） 檢測性（檢測性（Detective） 糾正性（糾正性（Corrective）u 對于現(xiàn)有的控制措施，可以取消、替換或保持。79 2012簡實公司 版權(quán)所有u 確定風(fēng)險的等級，有兩個關(guān)鍵因素要考慮（定性風(fēng)險評估）

47、： 威脅對信息資產(chǎn)造成的影響影響（后果） 威脅發(fā)生的可能性可能性u 影響可以通過資產(chǎn)的價值（重要性）評估來確定。u 可能性可以根據(jù)對威脅因素和弱點因素的綜合考慮來確定。u 按照風(fēng)險分析模型計算得出風(fēng)險水平。80 2012簡實公司 版權(quán)所有u 降低風(fēng)險（降低風(fēng)險（Reduce Risk） 采取適當(dāng)?shù)目刂拼胧﹣斫档惋L(fēng)險，包括技術(shù)手段和管理手段，如安裝防火墻，殺毒軟件，或是改善不規(guī)范的工作流程、制定業(yè)務(wù)連續(xù)性計劃，等等。u 避免風(fēng)險（避免風(fēng)險（Avoid Risk） 通過消除可能導(dǎo)致風(fēng)險發(fā)生的條件來避免風(fēng)險的發(fā)生，如將公司內(nèi)外網(wǎng)隔離以避免來自互聯(lián)網(wǎng)的攻擊，或是將機(jī)房安置在不可能造成水患的位置，等等。

48、u 轉(zhuǎn)移風(fēng)險（轉(zhuǎn)移風(fēng)險（Transfer Risk） 將風(fēng)險全部或者部分地轉(zhuǎn)移到其他責(zé)任方，例如購買商業(yè)保險。u 接受風(fēng)險（接受風(fēng)險（Accept Risk） 在實施了其他風(fēng)險應(yīng)對措施之后，對于殘留的風(fēng)險，組織可以有意識地選擇接受。81 2012簡實公司 版權(quán)所有u 絕對安全（即零風(fēng)險）是不可能的。u 實施安全控制后會有殘留風(fēng)險或殘存風(fēng)險（Residual Risk）。 u 為了確保信息安全，應(yīng)該確保殘留風(fēng)險在可接受的范圍內(nèi)： 殘留風(fēng)險Rr 原有的風(fēng)險R0 控制R 殘留風(fēng)險Rr 可接受的風(fēng)險Rtu 對殘留風(fēng)險進(jìn)行確認(rèn)和評價的過程其實就是風(fēng)險接受的過程。決策者可以根據(jù)風(fēng)險評估的結(jié)果來確定一個閥值

49、，以該閥值作為是否接受殘留風(fēng)險的標(biāo)準(zhǔn)。 82 2012簡實公司 版權(quán)所有目錄 風(fēng)險評估理念 風(fēng)險評估方法 項目實施過程項目實施過程83 2012簡實公司 版權(quán)所有實施過程現(xiàn)場調(diào)查現(xiàn)場調(diào)查信息系統(tǒng)/資產(chǎn)/IT管理/威脅調(diào)查信息系統(tǒng)/資產(chǎn)/IT管理/威脅調(diào)查安全策略/措施調(diào)查安全策略/措施調(diào)查技術(shù)調(diào)查/漏洞，配置技術(shù)調(diào)查/漏洞，配置風(fēng)險分析風(fēng)險分析關(guān)鍵資產(chǎn)分析關(guān)鍵資產(chǎn)分析威脅/影響分析威脅/影響分析安全規(guī)劃安全規(guī)劃選擇降低風(fēng)險策略選擇降低風(fēng)險策略選擇轉(zhuǎn)嫁風(fēng)險策略選擇轉(zhuǎn)嫁風(fēng)險策略選擇接受風(fēng)險策略選擇接受風(fēng)險策略前期準(zhǔn)備前期準(zhǔn)備安全調(diào)查報告安全調(diào)查報告安全評估報告安全評估報告背景資料/技術(shù)資料背景資料

50、/技術(shù)資料調(diào)查提綱認(rèn)可，簽署保密協(xié)議調(diào)查提綱認(rèn)可，簽署保密協(xié)議調(diào)查提綱調(diào)查提綱安全策略安全策略前期準(zhǔn)備前期準(zhǔn)備現(xiàn)現(xiàn)場場調(diào)調(diào)查查風(fēng)風(fēng)險險分分析析安全規(guī)劃安全規(guī)劃84 2012簡實公司 版權(quán)所有前期準(zhǔn)備前期準(zhǔn)備 成立評估項目組 確定評估范圍 編寫評估實施計劃 資料收集 資料分析，制定調(diào)查大綱 確認(rèn)調(diào)查大綱，簽署保密協(xié)議85 2012簡實公司 版權(quán)所有資料收集資料收集 背景資料單位描述主要業(yè)務(wù) 技術(shù)資料應(yīng)用系統(tǒng)網(wǎng)絡(luò)拓?fù)浒踩胧?管理制度有關(guān)安全管理的策略與制度 配合提供相應(yīng)的資料86 2012簡實公司 版權(quán)所有制定調(diào)查大綱制定調(diào)查大綱 分析資料后制定調(diào)查大綱調(diào)查表裁剪安全需求調(diào)查關(guān)鍵信息資產(chǎn)調(diào)查安全

51、威脅調(diào)查安全弱點調(diào)查安全策略有效性調(diào)查技術(shù)調(diào)查措施掃描的設(shè)備配置檢查設(shè)備87 2012簡實公司 版權(quán)所有確認(rèn)調(diào)查大綱確認(rèn)調(diào)查大綱 雙方對調(diào)查內(nèi)容有一致的認(rèn)識。安排訪談人員，訪談時間。掃描或配置檢查設(shè)備以及相關(guān)的人員協(xié)助。 簽署保密協(xié)議88 2012簡實公司 版權(quán)所有現(xiàn)場調(diào)查現(xiàn)場調(diào)查 人員訪談 技術(shù)調(diào)查89 2012簡實公司 版權(quán)所有人員訪談人員訪談 對各層次人員進(jìn)行訪談信息系統(tǒng)高層管理人員信息系統(tǒng)技術(shù)人員了解詳細(xì)的技術(shù)信息信息系統(tǒng)技術(shù)人員了解詳細(xì)的技術(shù)信息信息系統(tǒng)普通用戶 了解信息系統(tǒng)現(xiàn)狀系統(tǒng)應(yīng)用現(xiàn)狀，今后的規(guī)劃與擴(kuò)展業(yè)務(wù)對系統(tǒng)的依賴性業(yè)務(wù)對系統(tǒng)的依賴性，對安全的需求（機(jī)密對安全的需求（機(jī)密、

52、完整、可用性）、完整、可用性）系統(tǒng)面臨的主要威脅現(xiàn)有的安全措施以及有效性90 2012簡實公司 版權(quán)所有技術(shù)調(diào)查技術(shù)調(diào)查 漏洞掃描重要服務(wù)器關(guān)鍵網(wǎng)絡(luò)設(shè)備安全設(shè)備 配置檢查安全設(shè)備重要服務(wù)器關(guān)鍵網(wǎng)絡(luò)設(shè)備 滲透性測試內(nèi)部滲透性測試外部滲透性測試91 2012簡實公司 版權(quán)所有風(fēng)險分析風(fēng)險分析92 2012簡實公司 版權(quán)所有安全規(guī)劃安全規(guī)劃 安全管理措施建議 安全技術(shù)措施建議93 2012簡實公司 版權(quán)所有94 2012簡實公司 版權(quán)所有95 2012簡實公司 版權(quán)所有評估成果安全調(diào)查報告1.安全調(diào)查安全調(diào)查報告報告， 包括： 確認(rèn)客戶的信息安全管理與技術(shù)現(xiàn)狀； 對下列現(xiàn)狀的確認(rèn)與初步調(diào)查分析： 信

53、息技術(shù)基礎(chǔ)設(shè)施，包括硬件和通訊網(wǎng)絡(luò) 軟件應(yīng)用信息安全組織、策略、重要信息資產(chǎn)和服務(wù)等2. 風(fēng)險評估報告風(fēng)險評估報告， 包括：風(fēng)險評估方法論：風(fēng)險評估方法 風(fēng)險評估實施模型評估報告細(xì)分為下列主要內(nèi)容：關(guān)鍵資產(chǎn)識別面臨的各信息安全威脅識別信息系統(tǒng)存在的脆弱性識別現(xiàn)有控制措施有效性識別信息系統(tǒng)安全風(fēng)險分析3.信息信息安全規(guī)劃報告安全規(guī)劃報告， 包括：風(fēng)險處置策略和原則信息安全管理建議信息安全技術(shù)建議本項目將提交本項目將提交的的主要報告主要報告風(fēng)險評估報告信息安全規(guī)劃報告96 2012簡實公司 版權(quán)所有評估最終成果1 1、使現(xiàn)有、使現(xiàn)有ITIT設(shè)備充分利用設(shè)備充分利用2 2、合理的規(guī)劃、合理的規(guī)劃/

54、/添加添加ITIT設(shè)備設(shè)備3 3、梳理現(xiàn)有管理制度、梳理現(xiàn)有管理制度4 4、添加遺漏管理制度、添加遺漏管理制度5 5、應(yīng)急預(yù)案應(yīng)對有方、應(yīng)急預(yù)案應(yīng)對有方6 6、保證業(yè)務(wù)連續(xù)性、保證業(yè)務(wù)連續(xù)性97 2012簡實公司 版權(quán)所有Q & A ?Q & A ?98 2012簡實公司 版權(quán)所有 信息安全概述信息安全概述1目目 錄錄123 網(wǎng)絡(luò)安全基礎(chǔ)知識網(wǎng)絡(luò)安全基礎(chǔ)知識 信息安全風(fēng)險評估信息安全風(fēng)險評估4 等級保護(hù)基礎(chǔ)等級保護(hù)基礎(chǔ)99 2012簡實公司 版權(quán)所有第一部分：等級保護(hù)是什么？100 2012簡實公司 版權(quán)所有法律與政策依據(jù) 中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例第二章安全保護(hù)

55、制度部分規(guī)定： “計算機(jī)信息系統(tǒng)實行安全等級保護(hù)。安全等級的劃分標(biāo)準(zhǔn)和安全等級保計算機(jī)信息系統(tǒng)實行安全等級保護(hù)。安全等級的劃分標(biāo)準(zhǔn)和安全等級保護(hù)的具體辦法，由公安部會同有關(guān)部門制定。護(hù)的具體辦法，由公安部會同有關(guān)部門制定?！?計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則GB17859-1999（技術(shù)法規(guī)）規(guī)定：國家對信息系統(tǒng)實行五級保護(hù)。 2003年11月，發(fā)布27號文件 國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見（中辦發(fā)200327號文件） 我國第一個全面關(guān)于信息安全保障工作的文件，是我國今后一段時期內(nèi)信息安全保障工作的綱領(lǐng)性文件 總體要求：堅持積極防御、綜合防范的方針，全面提高信息安全防護(hù)能力

56、，重點保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全 明確提出實行信息安全等級保護(hù)制度101 2012簡實公司 版權(quán)所有2004年9月，發(fā)布66號文件 關(guān)于信息安全等級保護(hù)工作的實施意見（公通字200466號文件） 主要內(nèi)容 開展等級保護(hù)工作的重要意義開展等級保護(hù)工作的重要意義 等級保護(hù)制度的原則等級保護(hù)制度的原則 等級保護(hù)制度的基本內(nèi)容等級保護(hù)制度的基本內(nèi)容 等級保護(hù)工作職責(zé)分工等級保護(hù)工作職責(zé)分工 實施等級保護(hù)工作的要求實施等級保護(hù)工作的要求 等級保護(hù)工作的實施計劃等級保護(hù)工作的實施計劃 102 2012簡實公司 版權(quán)所有電子政務(wù)等級保護(hù)實施指南（試行） 國信辦200525號 信息安全等級保護(hù)管理辦法

57、（試行） 公通字 2006 7號103 2012簡實公司 版權(quán)所有等級保護(hù)相關(guān)的政策性文件20032003年年9 9月月中辦國辦頒發(fā)中辦國辦頒發(fā)關(guān)于加強(qiáng)信息安關(guān)于加強(qiáng)信息安全保障工作的意見全保障工作的意見中辦發(fā)中辦發(fā)200327200327號號20052005年年9 9月月國信辦文件國信辦文件 關(guān)于轉(zhuǎn)發(fā)關(guān)于轉(zhuǎn)發(fā)電電子政務(wù)信息安全等子政務(wù)信息安全等級保護(hù)實施指南級保護(hù)實施指南的通知的通知 國信辦國信辦200425200425號號20062006年年1 1月月四部委會簽四部委會簽 關(guān)于印發(fā)關(guān)于印發(fā)信信息安全等級保護(hù)管息安全等級保護(hù)管理辦法的通知理辦法的通知 公通字公通字2006720067號號20

58、052005年年 公安部標(biāo)準(zhǔn)公安部標(biāo)準(zhǔn)基本要求基本要求定級指南定級指南實施指南實施指南測評準(zhǔn)則測評準(zhǔn)則20042004年年1111月月四部委會簽四部委會簽關(guān)于信息安全等關(guān)于信息安全等級保護(hù)工作的實施級保護(hù)工作的實施意見意見公通字公通字200466200466號號云南云南云南省人民云南省人民政府第政府第130130號令號令 浙江浙江浙江省人民浙江省人民政府令政府令 北京北京北京政府第北京政府第9 9號令號令 國家級政策文件國家級政策文件國家級技術(shù)標(biāo)準(zhǔn)國家級技術(shù)標(biāo)準(zhǔn)國家級政策文件國家級政策文件地方政策文件地方政策文件104 2012簡實公司 版權(quán)所有等級保護(hù)的管理結(jié)構(gòu)國家信息辦國家信息辦公安部網(wǎng)監(jiān)

59、局公安部網(wǎng)監(jiān)局北京信息辦北京信息辦北京公安局網(wǎng)監(jiān)處北京公安局網(wǎng)監(jiān)處北京測評中心北京測評中心北京研究一所北京研究一所管理職能：管理職能：監(jiān)管和測評監(jiān)管和測評技術(shù)支持單位：技術(shù)支持單位：定級、測評定級、測評安全廠商、服務(wù)商安全廠商、服務(wù)商安全廠商、服務(wù)商安全廠商、服務(wù)商服務(wù)實施單位：服務(wù)實施單位：咨詢、實施、產(chǎn)咨詢、實施、產(chǎn)品、運(yùn)維品、運(yùn)維北京信息辦北京信息辦北京信息辦北京信息辦北京測評中心北京測評中心北京測評中心北京測評中心北京公安局網(wǎng)監(jiān)處北京公安局網(wǎng)監(jiān)處北京公安局網(wǎng)監(jiān)處北京公安局網(wǎng)監(jiān)處北京研究一所北京研究一所北京研究一所北京研究一所安全廠商、服務(wù)商安全廠商、服務(wù)商安全廠商、服務(wù)商安全廠商、服務(wù)

60、商安全廠商、服務(wù)商安全廠商、服務(wù)商安全廠商、服務(wù)商安全廠商、服務(wù)商政策、宏觀管政策、宏觀管理、協(xié)調(diào)理、協(xié)調(diào)電子政務(wù)領(lǐng)域電子政務(wù)領(lǐng)域其他行業(yè)領(lǐng)域其他行業(yè)領(lǐng)域北京市屬北京市屬的電子政的電子政務(wù)系統(tǒng)務(wù)系統(tǒng)地處北京地處北京的各部委的各部委各行業(yè)各行業(yè)105 2012簡實公司 版權(quán)所有一、等級保護(hù)是什么一、等級保護(hù)是什么（一）等級保護(hù)基本概念：信息系統(tǒng)安全等級保護(hù)是指對信息安全一）等級保護(hù)基本概念：信息系統(tǒng)安全等級保護(hù)是指對信息安全實行等級化保護(hù)和等級化管理實行等級化保護(hù)和等級化管理 根據(jù)信息系統(tǒng)應(yīng)用業(yè)務(wù)重要程度應(yīng)用業(yè)務(wù)重要程度及其實際安全需求實際安全需求，實行分級分級、分類、分階段實施保護(hù)、分類、分階段實施保護(hù)，保障