網絡信息安全概述與及信息系統(tǒng)風險分析講座課件

2023/4/170XX師范大學信息技術學院2019.9.28

網絡信息安全概述與

信息系統(tǒng)風險分析

2023/4/171網絡信息安全概述與信息系統(tǒng)風險分析1網絡信息安全狀況2網絡信息安全概述3信息安全風險分析2023/4/172網絡信息安全狀況2019年十大安全事件2019年信息網絡安全狀況計算機病毒感染狀況2023/4/1732019年十大安全事件蘋果iOS6.1.3修復版發(fā)現(xiàn)另一個鎖屏旁路漏洞2023/4/1742019年十大安全事件Mega用戶：一次被黑，則終生被黑2023/4/1752019年十大安全事件著名黑客、積極行動主義者AaronSwartz自殺身亡2023/4/1762019年十大安全事件美國國家安全局丑聞的背后是新聞的真實性缺失2023/4/1772019年十大安全事件美國眾議院通過網絡情報共享與保護法案：是否表示美國憲法第四修正案走向終結?2023/4/1782019年十大安全事件美國國土安全部提醒用戶禁用Java應對零日攻擊2023/4/1792019年十大安全事件匿名黑客組織公開4000多位美國銀行家登錄賬戶和證書等信息2023/4/17102019年十大安全事件在Windows和Mac操作系統(tǒng)上，如何禁用瀏覽器Java控件2023/4/17112019年十大安全事件臉譜網“shadowprofiles”出現(xiàn)漏洞公眾表示憤怒2023/4/17122019年十大安全事件匿名黑客組織開展“OperationLastResort”黑客行動美國聯(lián)邦政府無力招架2023/4/17132019年信息網絡安全狀況惡意程序增速明顯放緩2023/4/17142019年信息網絡安全狀況2023/4/17152019年信息網絡安全狀況木馬攻擊更加精準和隱蔽

2023/4/17162019年信息網絡安全狀況APT攻擊瞄準高價值情報信息APT（AdvancedPersistentThreat）攻擊是指針對特定組織或目標進行的高級持續(xù)性滲透攻擊，是多方位的系統(tǒng)攻擊。極光行動、夜龍攻擊、震網病毒（超級工廠病毒）、暗鼠行動等都是APT攻擊的著名案例。2023/4/17172019年信息網絡安全狀況網絡存儲和共享成為木馬新興渠道2023/4/17182019年信息網絡安全狀況釣魚網站呈現(xiàn)快速增長勢頭2023/4/17192019年信息網絡安全狀況2023/4/17202019年信息網絡安全狀況2023/4/17212019年信息網絡安全狀況虛假購物占釣魚網站總量的33.3%2023/4/17222019年信息網絡安全狀況企業(yè)面臨多種安全風險2023/4/17232019年信息網絡安全狀況網站安全性問題迫在眉睫2023/4/17242019年信息網絡安全狀況網站安全性問題迫在眉睫2023/4/17252019年信息網絡安全狀況拖庫風險與篡改現(xiàn)象日益加劇由于大量網站存在高危安全漏洞，就為黑客入侵網站提供了可乘之機。2019年，網站遭遇黑客攻擊的事件頻頻發(fā)生，拖庫與篡改的案例時有發(fā)生。所謂拖庫，是指黑客入侵網站后將網站數(shù)據(jù)庫中的數(shù)據(jù)導出。而黑客拖庫的主要目標就是竊取用戶的帳號、Email和密碼。2023/4/17262019年信息網絡安全狀況流量攻擊威脅中小網站生存2023/4/17272019年信息網絡安全狀況網站安全將成為安全服務新焦點對于拖庫風險和數(shù)據(jù)篡改，最有效的防范措施就是盡快修補系統(tǒng)漏洞，提高網站自身的安全性。特別是對于普遍存在的，黑客攻擊也比較集中的跨站腳本漏洞、SQL注入漏洞和WEB后門漏洞，網站開發(fā)者應當及時檢測并予以修補。2023/4/1728導致網絡安全事件的可能原因2023/4/1729網絡安全管理情況2023/4/17302023/4/1731我國計算機用戶病毒感染情況2023/4/1732歷年病毒重復感染率比較2023/4/1733我國計算機病毒傳播的主要途徑2023/4/1734網民中計算機安全問題發(fā)生的比率2023/4/1735網民發(fā)生帳號或密碼被盜的場所2023/4/1736發(fā)生網民帳號或個人信息被盜改的誘因2023/4/1737發(fā)生網民進入到仿冒網站的誘因2023/4/1738網民發(fā)現(xiàn)電腦出現(xiàn)計算機安全問題的方式2023/4/1739網民感染電腦病毒后采取的首要措施2023/4/1740網民的計算機安全行為習慣2023/4/1741網民通常網絡帳號和密碼設計方式2023/4/1742網民網上帳號通常的口令/密碼是幾位2023/4/1743計算機病毒造成的主要危害情況2023/4/1744黑客的職業(yè)化之路不再是小孩的游戲，而是與￥掛鉤職業(yè)入侵者受網絡商人或商業(yè)間諜雇傭不在網上公開身份，不為人知，但確實存在！攻擊水平通常很高，精通多種技術攻擊者對自己提出了更高的要求，不再滿足于普通的技巧而轉向底層研究2023/4/1745面臨嚴峻的安全形勢SQLInjection等攻擊方式對使用者要求較低緩沖區(qū)溢出、格式串攻擊已公開流傳多年，越來越多的人掌握這些技巧少部分人掌握自行挖掘漏洞的能力，并且這個數(shù)量在增加漏洞挖掘流程專業(yè)化，工具自動化“看不見的風險”廠商為了聲譽不完全公開產品的安全缺陷：漏洞私有，不為人知2023/4/1746網絡信息安全概述信息與網絡安全的本質和內容計算機網絡的脆弱性信息安全的六大目標網絡安全的主要威脅網絡安全的攻擊手段網絡攻擊過程2023/4/1747信息與網絡安全的本質和內容網絡安全從其本質上來講就是網絡上的信息安全。網絡安全就是保護計算機系統(tǒng)，使其沒有危險，不受威脅，不出事故。網絡安全指信息系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不會遭到偶然的或者惡意的破壞、更改、泄漏，系統(tǒng)能連續(xù)、可靠、正常的運行，服務不中斷。2023/4/1748進不來拿不走改不了跑不了看不懂信息安全的目的可審查信息安全的目的是保障信息安全，主要目的有2023/4/1749信息安全概念與技術的發(fā)展信息安全的概念與技術是隨著人們的需求，隨著計算機、通信與網絡等信息技術的發(fā)展而不斷發(fā)展的。單機系統(tǒng)的信息保密階段網絡信息安全階段信息保障階段2023/4/1750網絡信息安全階段該階段中，除了采用和研究各種加密技術外，還開發(fā)了許多針對網絡環(huán)境的信息安全與防護技術（被動防御）：安全漏洞掃描技術、安全路由器、防火墻技術、入侵檢測技術、網絡攻防技術、網絡監(jiān)控與審計技術等。1988年莫里斯蠕蟲爆發(fā)對網絡安全的關注與研究CERT成立2023/4/1751信息保障階段信息保障（IA）概念與思想是20世紀90年代由美國國防部長辦公室提出。定義：通過確保信息和信息系統(tǒng)的可用性、完整性、可控性、保密性和不可否認性來保護信息系統(tǒng)的信息作戰(zhàn)行動，包括綜合利用保護、探測和反應能力以恢復系統(tǒng)的功能。美國國家安全局制定的信息保障技術框架IATF，提出“縱深防御策略”DiD（Defense-in-DepthStrategy）。信息保障階段不僅包含安全防護的概念，更重要的是增加了主動和積極的防御觀念。2023/4/1752計算機網絡的脆弱性體系結構的脆弱性。網絡體系結構要求上層調用下層的服務，上層是服務調用者，下層是服務提供者，當下層提供的服務出錯時，會使上層的工作受到影響。網絡通信的脆弱性。網絡安全通信是實現(xiàn)網絡設備之間、網絡設備與主機節(jié)點之間進行信息交換的保障，然而通信協(xié)議或通信系統(tǒng)的安全缺陷往往危及到網絡系統(tǒng)的整體安全。網絡操作系統(tǒng)的脆弱性。目前的操作系統(tǒng)，無論是Windows、UNIX還是Netware都存在安全漏洞，這些漏洞一旦被發(fā)現(xiàn)和利用將對整個網絡系統(tǒng)造成巨大的損失。網絡應用系統(tǒng)的脆弱性。隨著網絡的普及，網絡應用系統(tǒng)越來越多，網絡應用系統(tǒng)也可能存在安全漏洞，這些漏洞一旦被發(fā)現(xiàn)和利用將可能導致數(shù)據(jù)被竊取或破壞，應用系統(tǒng)癱瘓，甚至威脅到整個網絡的安全。網絡管理的脆弱性。在網絡管理中，常常會出現(xiàn)安全意識淡薄、安全制度不健全、崗位職責混亂、審計不力、設備選型不當和人事管理漏洞等，這種人為造成的安全漏洞也會威脅到整個網絡的安全。2023/4/1753信息安全的六大目標信息安全可靠性可用性真實性保密性完整性不可抵賴性2023/4/1754網絡安全的主要威脅主要威脅內部竊密和破壞竊聽和截收非法訪問(以未經授權的方式使用網絡資源)破壞信息的完整性(通過篡改、刪除和插入等方式破壞信息的完整性)冒充(攻擊者利用冒充手段竊取信息、入侵系統(tǒng)、破壞網絡正常通訊或欺騙合法主機和合法用戶。)流量分析攻擊(分析通信雙方通信流量的大小，以期獲得相關信息。)其他威脅(病毒、電磁泄漏、各種自然災害、戰(zhàn)爭、失竊、操作失誤等)2023/4/1755信息與網絡安全的攻擊手段物理破壞竊聽數(shù)據(jù)阻斷攻擊數(shù)據(jù)篡改攻擊數(shù)據(jù)偽造攻擊數(shù)據(jù)重放攻擊盜用口令攻擊中間人攻擊緩沖區(qū)溢出攻擊分發(fā)攻擊野蠻攻擊SQL注入攻擊跨站點腳本計算機病毒蠕蟲后門攻擊欺騙攻擊拒絕服務攻擊特洛伊木馬2023/4/1756

網絡信息系統(tǒng)內部人員威脅拒絕服務攻擊邏輯炸彈特洛伊木馬黑客攻擊計算機病毒信息泄漏、篡改、破壞后門、隱蔽通道蠕蟲社會工程天災系統(tǒng)Bug2023/4/1757社會工程我們通常把基于非計算機的欺騙技術叫做社會工程。社會工程中，攻擊者設法設計讓人相信它是其他人。這就像攻擊者在給人打電話時說自己是某人一樣的簡單。因為他說了一些大概只有那個人知道的信息，所以受害人相信他。

社會工程的核心是，攻擊者設法偽裝自己的身份并設計讓受害人泄密私人信息。這些攻擊的目標是搜集信息來侵入計算機系統(tǒng)的，通常通過欺騙某人使之泄露出口令或者在系統(tǒng)中建立個新帳號。2023/4/1758網絡攻擊被動攻擊竊聽或者偷窺流量分析被動攻擊非常難以檢測，但可以防范源目的sniffer2023/4/1759網絡攻擊主動攻擊可以檢測，但難以防范主動攻擊：指攻擊者對某個連接的中的PDU進行各種處理(更改、刪除、遲延、復制、偽造等)阻斷攻擊篡改攻擊偽造攻擊重放攻擊拒絕服務攻擊2023/4/1760物理破壞攻擊者可以直接接觸到信息與網絡系統(tǒng)的硬件、軟件和周邊環(huán)境設備。通過對硬件設備、網絡線路、電源、空調等的破壞，使系統(tǒng)無法正常工作，甚至導致程序和數(shù)據(jù)無法恢復。2023/4/1761竊聽一般情況下，攻擊者偵聽網絡數(shù)據(jù)流，獲取通信數(shù)據(jù)，造成通信信息外泄，甚至危及敏感數(shù)據(jù)的安全。其中的一種較為普遍的是sniffer攻擊（snifferattack）。sniffer是指能解讀、監(jiān)視、攔截網絡數(shù)據(jù)交換并且閱讀數(shù)據(jù)包的程序或設備。2023/4/1762數(shù)據(jù)阻斷攻擊攻擊者在不破壞物理線路的前提下，通過干擾、連接配置等方式，阻止通信各方之間的數(shù)據(jù)交換。阻斷攻擊2023/4/1763數(shù)據(jù)篡改攻擊攻擊者在非法讀取數(shù)據(jù)后，進行篡改數(shù)據(jù)，以達到通信用戶無法獲得真實信息的攻擊目的。篡改攻擊2023/4/1764數(shù)據(jù)偽造攻擊攻擊者在了解通信協(xié)議的前提下，偽造數(shù)據(jù)包發(fā)給通訊各方，導致通訊各方的信息系統(tǒng)無法正常的工作，或者造成數(shù)據(jù)錯誤。偽造攻擊2023/4/1765數(shù)據(jù)重放攻擊攻擊者盡管不了解通信協(xié)議的格式和內容，但只要能夠對線路上的數(shù)據(jù)包進行竊聽，就可以將收到的數(shù)據(jù)包再度發(fā)給接收方，導致接收方的信息系統(tǒng)無法正常的工作，或者造成數(shù)據(jù)錯誤。重放攻擊2023/4/1766盜用口令攻擊盜用口令攻擊（password-basedattacks）攻擊者通過多種途徑獲取用戶合法賬號進入目標網絡，攻擊者也就可以隨心所欲地盜取合法用戶信息以及網絡信息；修改服務器和網絡配置；增加、篡改和刪除數(shù)據(jù)等等。2023/4/1767中間人攻擊中間人攻擊（man-in-the-middleattack）是指通過第三方進行網絡攻擊，以達到欺騙被攻擊系統(tǒng)、反跟蹤、保護攻擊者或者組織大規(guī)模攻擊的目的。中間人攻擊類似于身份欺騙，被利用作為中間人的的主機稱為RemoteHost（黑客取其諧音稱之為“肉雞”）。網絡上的大量的計算機被黑客通過這樣的方式控制，將造成巨大的損失，這樣的主機也稱做僵尸主機。2023/4/1768緩沖區(qū)溢出攻擊緩沖區(qū)溢出（又稱堆棧溢出）攻擊是最常用的黑客技術之一。攻擊者輸入的數(shù)據(jù)長度超過應用程序給定的緩沖區(qū)的長度，覆蓋其它數(shù)據(jù)區(qū)，造成應用程序錯誤，而覆蓋緩沖區(qū)的數(shù)據(jù)恰恰是黑客的入侵程序代碼，黑客就可以獲取程序的控制權。2023/4/1769緩沖區(qū)溢出攻擊2023/4/1770后門攻擊后門攻擊（backdoorattack）是指攻擊者故意在服務器操作系統(tǒng)或應用系統(tǒng)中制造一個后門，以便可以繞過正常的訪問控制。攻擊者往往就是設計該應用系統(tǒng)的程序員。2023/4/1771欺騙攻擊欺騙攻擊可以分為地址欺騙、電子信件欺騙、WEB欺騙和非技術類欺騙。攻擊者隱瞞個人真實信息，欺騙對方，以達到攻擊的目的。2023/4/1772拒絕服務攻擊DoS（DenialofService，拒絕服務攻擊）的目的是使計算機或網絡無法提供正常的服務。常見的方式是：使用極大的通信量沖擊網絡系統(tǒng)，使得所有可用網絡資源都被消耗殆盡，最后導致網絡系統(tǒng)無法向合法的用戶提供服務。如果攻擊者組織多個攻擊點對一個或多個目標同時發(fā)動DoS攻擊，就可以極大地提高DoS攻擊的威力，這種方式稱為DDoS（DistributedDenialofService，分布式拒絕服務）攻擊。2023/4/1773DDOS(分布式拒絕服務攻擊)2023/4/1774分發(fā)攻擊攻擊者在硬件和軟件的安裝配置期間，利用分發(fā)過程去破壞；或者是利用系統(tǒng)或管理人員向用戶分發(fā)帳號和密碼的過程竊取資料。2023/4/1775野蠻攻擊野蠻攻擊包括字典攻擊和窮舉攻擊。字典攻擊是使用常用的術語或單詞列表進行驗證，攻擊取決于字典的范圍和廣度。由于人們往往偏愛簡單易記的口令，字典攻擊的成功率往往很高。如果字典攻擊仍然不能夠成功，入侵者會采取窮舉攻擊。窮舉攻擊采用排列組合的方式生成密碼。一般從長度為1的口令開始，按長度遞增進行嘗試攻擊。2023/4/1776SQL注入攻擊攻擊者利用被攻擊主機的SQL數(shù)據(jù)庫和網站的漏洞來實施攻擊，入侵者通過提交一段數(shù)據(jù)庫查詢代碼，根據(jù)程序返回的結果獲得攻擊者想得知的數(shù)據(jù)，從而達到攻擊目的。2023/4/1777SQL注入攻擊2023/4/1778SQL注入攻擊2023/4/1779跨站點腳本惡意攻擊者往Web頁面里插入惡意html代碼.當用戶瀏覽該頁之時,嵌入其中Web頁面的html代碼會被執(zhí)行.從而達到惡意攻擊的特殊目的.2023/4/1780計算機病毒與蠕蟲計算機病毒（ComputerVirus）是指編制者編寫的一組計算機指令或者程序代碼，它能夠進行傳播和自我復制，修改其他的計算機程序并奪取控制權，以達到破壞數(shù)據(jù)、阻塞通信及破壞計算機軟硬件功能的目的。蠕蟲也是一種程序，它可以通過網絡等途徑將自身的全部代碼或部分代碼復制、傳播給其他的計算機系統(tǒng)，但它在復制、傳播時，不寄生于病毒宿主之中。蠕蟲病毒是能夠是寄生于被感染主機的蠕蟲程序，具有病毒的全部特征，通常利用計算機系統(tǒng)的漏洞在網絡上大規(guī)模傳播。2023/4/1781特洛伊木馬特洛伊木馬簡稱木馬，它由兩部分組成：服務器程序和控制器程序，當主機被裝上服務器程序，攻擊者就可以使用控制器程序通過網絡來控制主機。木馬通常是利用蠕蟲病毒、黑客入侵或者使用者的疏忽將服務器程序安裝到主機上的。2023/4/1782網絡攻擊過程入侵一般可以分為本地入侵和遠程入侵這里主要講遠程的網絡入侵網絡攻擊的準備階段網絡攻擊的實施階段網絡攻擊的善后階段2023/4/1783網絡攻擊的準備階段確定攻擊目標服務分析系統(tǒng)分析2023/4/1784攻擊準備1—確定攻擊目標例如，選定50這臺主機作為攻擊目標，首先需要確定此主機是否處于活動狀態(tài)，在Windows下使用ping命令測試ping50

測試結構如下圖所示，說明此主機處于活動狀態(tài)。2023/4/1785攻擊準備1—確定攻擊目標2023/4/1786攻擊準備2—服務分析對目標主機提供的服務進行分析-探測目標主機的相應端口服務是否開放。如利用Telnet、haktek等工具。例如，輸入telnet5080

結果如下圖，說明50這臺主機運行了http服務，web服務器版本是IIS5.12023/4/1787攻擊準備2—服務分析2023/4/1788攻擊準備3—系統(tǒng)分析確定目標主機采用何種操作系統(tǒng)。例如，在windows下安裝Nmapv4.20掃描工具。此工具含OSDetection的功能

輸入nmap-o50

結果如下圖，說明50這臺主機操作系統(tǒng)是windows2000sp1、sp2或者sp32023/4/1789攻擊準備3—系統(tǒng)分析2023/4/1790攻擊的實施階段當收集到足夠信息之后，可以實施攻擊了。作為破壞性攻擊，可以利用工具發(fā)動攻擊即可。作為入侵性攻擊，需要利用收集到的信息，找到其系統(tǒng)漏洞，然后利用漏洞獲取一定權限。攻擊的主要階段有預攻擊探測：為進一步入侵提供有用信息口令破解與攻擊實施攻擊：緩沖區(qū)溢出、拒絕服務、后門、木馬、病毒2023/4/1791攻擊的善后階段在攻陷的主機上安裝后門程序，使之成為“肉雞”，方便以后進入該系統(tǒng)。善后工作—隱藏蹤跡攻擊者在獲得系統(tǒng)最高管理員權限之后，就可以任意修改系統(tǒng)上的文件了。隱藏蹤跡最簡單的方法就是刪除日志文件但這就告訴管理員系統(tǒng)已被入侵。最常用的辦法是只對日志文件中有關自己的那部分作修改。2023/4/1792入侵系統(tǒng)的常用步驟采用漏洞掃描工具選擇會用的方式入侵獲取系統(tǒng)一定權限提升為最高權限安裝系統(tǒng)后門獲取敏感信息或者其他攻擊目的拓展:應用注冊表建立超級隱藏用戶1.打開注冊表編輯器，提升權限。開始->運行->regedit打開注冊表窗口。右擊“SAM”，權限默認為系統(tǒng)管理員權限。添加-》高級-》立即查找。添加用戶給權限。2.新建一個帳號abc$，普通權限（$表示命令提示符下不顯示）。netuserabc$123/addnetuser查看用戶看不到，因為$不顯示。右擊“我的電腦”“管理”“本地用戶和組”。Netuserabc$查看用戶權限3.打開注冊表，把帳戶abc$克隆成管理權限。打開注冊表，Domains->Account->users->namesabc$類型0x3ed，管理員類型0x1f4將對應f4的F鍵值復制到ed的F鍵值。4.導出提權后的帳戶的注冊表文件的兩個鍵值。5.刪除新建帳戶abc$Netuserabc$/del我的電腦管理用戶已刪除6.導入提權后的帳戶的注冊表文件。雙擊導出的文件netuser我的電腦管理用戶已刪除注冊表有，但不是系統(tǒng)管理員看不到。打開注冊表將添加的權限刪除。再在注冊表查看。netuserabc$沒有組添加普通用戶Netuserhack123/addNetuserhackRunas/profile/user:hackcmd.exe運行hack帳戶。NetuserNetuseraa/add再運行abc$帳戶，做同樣操作。2023/4/1799信息安全風險分析為什么構建信息安全管理體系信息安全風險分析

2023/4/17100傳統(tǒng)安全解決方案防火墻（Firewall）入侵檢測（IDS）

VPN

防病毒

……2023/4/17101防火墻的概念信任網絡防火墻非信任網絡防火墻是用于將信任網絡與非信任網絡隔離的一種技術，它通過單一集中的安全檢查點，強制實施相應的安全策略進行檢查，防止對重要信息資源進行非法存取和訪問，以達到保護系統(tǒng)安全的目的。

2023/4/17102入侵檢測的概念和作用

入侵檢測即通過從網絡系統(tǒng)中的若干關鍵節(jié)點收集并分析信息，監(jiān)控網絡中是否有違反安全策略的行為或者是否存在入侵行為。它能夠提供安全審計、監(jiān)視、攻擊識別和反攻擊等多項功能，對內部攻擊、外部攻擊和誤操作進行實時監(jiān)控，在網絡安全技術中起到了不可替代的作用。2023/4/17103防火墻的不足防火墻并非萬能，防火墻不能完成的工作：源于內部的攻擊不通過防火墻的連接完全新的攻擊手段不能防病毒2023/4/17104隱形飛機躲過雷達發(fā)現(xiàn)2023/4/17105依靠恢復不能滿足關鍵應用高射炮系統(tǒng)正在恢復2023/4/17106木桶原理我們部門最短的那塊木板在哪里?2023/4/17107安全桎梏2023/4/17108概念的提出信息安全管理（ISM）為何要建設信息安全管理?2023/4/17109目前存在的問題空口令、簡單口令、默認口令設置、長期不更換。點擊進入危險的網站或鏈接。接收查看危險的電子郵件附件。系統(tǒng)默認安裝，從不進行補丁升級。撥號上網，給個人以及整個公司建立了后門。啟動了眾多的不用的服務。個人重要數(shù)據(jù)沒有備份。

……兼職的安全管理員物理安全保護基本的安全產品簡單的系統(tǒng)升級機房安全管理制度資產管理制度

……超過70%的信息安全事件，如果事先加強管理，都可以得到避免。2023/4/17110信息安全管理現(xiàn)狀

傳統(tǒng)的信息安全管理基本上還處在一種靜態(tài)的、局部的、少數(shù)人負責的、突擊式、事后糾正式的管理方式不能從根本上避免、降低各類風險，也不能降低信息安全故障導致的綜合損失2023/4/17111概念的進一步提出信息安全管理體系（ISMS）！2023/4/17112信息安全管理體系(ISMS)由于許多信息系統(tǒng)并非在設計時充分考慮了安全，依靠技術手段實現(xiàn)安全很有限，必須依靠必要的管理手段來支持。信息安全管理就是通過保證信息的機密性、完整性和可用性來管理和保護組織的所有信息資產的一項體制。通過合理的組織體系、規(guī)章制度和控管措施，把具有信息安全保障功能的軟硬件設施和管理以及使用信息的人整合在一起，以此確保整個組織達到預定程度的信息安全，稱為信息安全管理體系（ISMS）。2023/4/17113如何構建如何構建信息安全管理體系?2023/4/17114信息安全管理體系的基本構成2023/4/17115建立信息安全管理體系的步驟2023/4/17116安全評估系統(tǒng)工作原理遠程掃描分析目標設備1、發(fā)送帶有明顯攻擊特征的數(shù)據(jù)包2、等待目的主機或設備的響應3、分析回來的數(shù)據(jù)包的特征4、判斷是否具有該脆弱性或漏洞2023/4/17117信息系統(tǒng)的風險管理2023/4/17118信息安全風險分析

信息安全風險來自人為或自然的威脅，是威脅利用信息系統(tǒng)的脆弱性造成安全事件的可能性及這類安全事件可能對信息資產等造成的負面影響。2023/4/17119信息安全風險分析信息安全風險分析：也稱信息安全風險評估，它是指對信息安全威脅進行分析和預測，評估這些威脅對信息資產造成的影響。信息安全風險分析使信息系統(tǒng)的管理者可以在考慮風險的情況下估算信息資產的價值，為管理決策提供支持，也可為進一步實施系統(tǒng)安全防護提供依據(jù)。2023/4/17120信息安全建設的起點和基礎倡導一種適度安全信息安全建設和管理的科學方法分析確定風險的過程信息安全風險分析信息安全風險分析2023/4/17121信息安全風險分析

2023/4/17122信息安全風險分析

信息安全風險分析應考慮的因素：信息資產的脆弱性信息資產的威脅及其發(fā)生的可能性信息資產的價值已有安全措施2023/4/171232023/4/17124資產的識別與估價

為了明確被保護的信息資產，組織應列出與信息安全有關的資產清單，對每一項資產進行確認和適當?shù)脑u估。

為了防止資產被忽略或遺漏，在識別資產之前應確定風險評估范圍。所有在評估范圍之內的資產都應該被識別，因此要列出對組織或組織的特定部門的業(yè)務過程有價值的任何事物，以便根據(jù)組織的業(yè)務流程來識別信息資產。信息安全風險分析

2023/4/17125信息安全風險分析

資產的識別與估價在列出所有信息資產后，應對每項資產賦予價值。資產估價是一個主觀的過程，而且資產的價值應當由資產的所有者和相關用戶來確定，只有他們最清楚資產對組織業(yè)務的重要性，從而能夠準確地評估出資產的實際價值。為確保資產估價的一致性和準確性，組織應建立一個資產的價值尺度（資產評估標準），以明確如何對資產進行賦值。在信息系統(tǒng)中，采用精確的財務方式來給資產確定價值比較困難，一般采用定性分級的方式來建立資產的相對價值或重要度，即按照事先確定的價值尺度將資產的價值劃分為不同等級，以相對價值作為確定重要資產及為這些資產投入多大資源進行保護的依據(jù)。2023/4/17126資產的識別與估價信息安全風險分析2023/4/171272023/4/17128故意破壞（網絡攻擊、惡意代碼傳播、郵件炸彈、非授權訪問等）和無意失誤（如誤操作、維護錯誤）人員威脅12系統(tǒng)威脅環(huán)境威脅34自然威脅識別產生威脅的原因信息安全風險分析

威脅識別與評估2023/4/17129人員威脅12系統(tǒng)威脅環(huán)境威脅34自然威脅識別產生威脅的原因信息安全風險分析

威脅識別與評估系統(tǒng)、網絡或服務的故障（軟件故障、硬件故障、介質老化等）2023/4/17130人員威脅12系統(tǒng)威脅環(huán)境威脅34自然威脅電源故障、污染、液體泄漏、火災等識別產生威脅的原因信息安全風險分析

威脅識別與評估2023/4/17131人員威脅12系統(tǒng)威脅環(huán)境威脅34自然威脅洪水、地震、臺風、滑坡、雷電等識別產生威脅的原因信息安全風險分析

威脅識別與評估2023/4/17132威脅識別與評估信息安全風險分析識別產生威脅的原因確認威脅的目標威脅識別與評估的主要任務威脅發(fā)生造成的后果或潛在影響評估威脅發(fā)生的可能性2023/4/17133威脅識別與評估

威脅發(fā)生造成的后果或潛在影響

信息安全風險分析

威脅一旦發(fā)生會造成信息保密性、完整性和可用性等安全屬性的損失，從而給組織造成不同程度的影響，嚴重的威脅發(fā)生會導致諸如信息系統(tǒng)崩潰、業(yè)務流程中斷、財產損失等重大安全事故。不同的威脅對同一資產或組織所產生的影響不同，導致的價值損失也不同，但損失的程度應以資產的相對價值（或重要程度）為限。2023/4/171342023/4/17135脆弱性識別與評估

僅有威脅還構不成風險。由于組織缺乏充分的安全控制，組織需要保護的信息資產或系統(tǒng)存在著可能被威脅所利用的弱點，即脆弱性。威脅只有利用了特定的脆弱性或者弱點，才可能對資產造成影響。信息安全風險分析

2023/4/17136脆弱性識別與評估脆弱性是資產本身存在的，威脅總是要利用資產的脆弱性才能造成危害。資產的脆弱性具有隱蔽性，有些脆弱性只有在一定條件和環(huán)境下才能顯現(xiàn)。脆弱性識別可以資產為核心，即根據(jù)每個資產分別識別其存在的弱點，然后綜合評價該資產的脆弱性；也可分物理、網絡、系統(tǒng)、應用等層次進行識別。信息安全風險分析

2023/4/17137脆弱性識別與評估信息安全風險分析

系統(tǒng)、程序和設備中存在的漏洞或缺陷，如結構設計問題和編程漏洞等技術脆弱性12操作脆弱性管理脆弱性3軟件和系統(tǒng)在配置、操作及使用中的缺陷，包括人員日常工作中的不良習慣、審計或備份的缺乏等策略、程序和規(guī)章制度等方面的弱點。脆弱性的分類2023/4/17138信息安全風險分析

脆弱性識別與評估評估脆弱性需要考慮的因素脆弱性的嚴重程度（Severity）；脆弱性的暴露程度（Exposure），即被威脅利用的可能性P，這兩個因素可采用分級賦值的方法。例如對于脆弱性被威脅利用的可能性可以分級為：非?？赡?4，很可能=3，可能=2，不太可能=1，不可能=0。2023/4/171392023/4/17140信息安全風險分析

確認現(xiàn)有安全控制在影響威脅事件發(fā)生的外部條件中，除了資產的弱點，再就是組織現(xiàn)有的安全控制措施。在風險評估過程中，應當識別已有的（或已計劃的）安全控制措施，分析安全控制措施的效力，有效的安全控制繼續(xù)保持，而對于那些不適當?shù)目刂茟敽瞬槭欠駪蝗∠?，或者用更合適的控制代替。2023/4/17141信息安全風險分析確認現(xiàn)有安全控制對系統(tǒng)開發(fā)、維護和使用實施管理的措施，包括安全策略、程序管理、風險管理、安全保障和系統(tǒng)生命周期管理等管理性安全控制12操作性安全控制技術性安全控制3用來保護系統(tǒng)和應用操作的流程和機制，包括人員職責、應急響應、事件處理，安全意識培訓、系統(tǒng)支持和操作、物理和環(huán)境安全等身份識別與認證、邏輯訪問控制、日志審計和加密等安全控制方式的分類(依據(jù)目標和針對性分類)2023/4/17142信息安全風險分析

確認現(xiàn)有安全控制此類控制可以降低蓄意攻擊的可能性，實際上針對的是威脅源的動機威懾性安全控制12預防性安全控制檢測性安全控制34糾正性安全控制此類控制可以保護脆弱性，使攻擊難以成功，或者降低攻擊造成的影晌此類控制可以檢測并及時發(fā)現(xiàn)攻擊活動，還可以激活糾正性或預防性安全控制此類控制可以將攻擊造成的影響降到最低安全控制方式的分類（依據(jù)功能分類)2023/4/17143信息安全風險分析

確認現(xiàn)有安全控制安全控制應對風險各要素的情況利用引發(fā)造成2023/4/171442023/4/17145信息安全風險分析

風險評價

風險評價就是利用適當?shù)娘L險測量方法或工具確定風險的大小與等級，對組織信息安全管理范圍內的每一信息資產因遭受泄露、修改、不可用和破壞所帶來的任何影響做出一個風險測量的列表，以便識別與選擇適當和正確的安全控制方式。2023/4/17146信息安全風險分析

風險評價——風險度量常用方法預定義價值矩陣法按風險大小對威脅排序法網絡系統(tǒng)的風險計算方法風險度量的目的是明確當前的安全狀態(tài)、改善該狀態(tài)并獲得改善狀態(tài)所需的資源。2023/4/17147信息安全風險分析

風險評價——風險度量常用方法預定義價值矩陣法該方法利用威脅發(fā)生的可能性、脆弱性被威脅利用的可能性及資產的相對價值三者預定義的三維矩陣來確定風險的大小。威脅發(fā)生的可能性PT低0中1高2脆弱性被利用的可能性PV低0中1高2低0中1高2低0中1高2資產相對價值V001212323411232343452234345456334545656744565676782+1+2=52023/4/17148信息安全風險分析

風險評價——風險度量常用方法按風險大小對威脅排序法該方法把風險對資產的影響與威脅發(fā)生的可能性聯(lián)系起來，常用于考察和比較威脅對組織資產的危害程度。第一步：按預定義的尺度，評估風險對資產的影響即資產的相對價值I，例如，尺度可以是從1到5；第二步：評估威脅發(fā)生的可能性PT，PT也可以用PTV（考慮被利用的脆弱性因素）代替，例如尺度為1到5；第三步：測量風險值R，R=R（PTV，I）=PTV×I

；該方法把風險對資產的影響與威脅發(fā)生的可能性聯(lián)系起來，常用于考察和比較威脅對組織資產的危害程度。方法的實施過程是：2023/4/17149信息安全風險分析風險評價——風險度量常用方法按風險大小對威脅排序法威脅影響（資產價值I）威脅發(fā)生的可能性PTV風險R威脅的等級威脅A52102威脅B2483威脅C35151威脅D1335威脅E4144威脅F2483R=PTV×I=3×5=152023/4/17150信息安全風險分析

風險評價——風險度量常用方法網絡系統(tǒng)的風險計算方法R=V×（1-PD）×（1-PO）其中：V––––系統(tǒng)的重要性，是系統(tǒng)的保密性C、完整性I和可用性A三項評價值的乘積，即V=C×I×A；PO––––防止威脅發(fā)生的可能性，與用戶的個數(shù)、原先的信任