标签: 信息   安全   需求   分析  
文档信息
上传用户 胡景邦     
文档格式 ppt
文档价格 2.3 元
文档大小 872K
文档页数 42 页
相关文档推荐
ppt 倡导健康生活,追求幸福人生(培训讲座PPT课件).ppt
doc 江西版2020年一年级语文【上册】开学检测试题 附答案.doc
doc 浙江省一级建造师《水利水电工程管理与实务》练习题C卷 (附解析).doc
doc 浙江省一级建造师《水利水电工程管理与实务》模拟试题(I卷) 附答案.doc
doc 湖南省一级建造师《水利水电工程管理与实务》检测题(I卷) (附解析).doc
doc 沪教版2020年一年级语文上学期开学考试试题 含答案.doc
doc 浙江省一级建造师《水利水电工程管理与实务》考前检测(I卷) 附答案.doc
doc 江西版2019年一年级语文【下册】期中考试试题 (附答案).doc
doc 湖南省一级建造师《水利水电工程管理与实务》模拟考试A卷 (含答案).doc
doc 浙江省一级建造师《水利水电工程管理与实务》测试题A卷 (含答案).doc
doc 江西版2020年一年级语文【上册】开学检测试题 (含答案).doc
doc 湖南省一级建造师《水利水电工程管理与实务》检测题(II卷) (含答案).doc
doc 沪教版2020年一年级语文下学期期中考试试题 含答案.doc
doc 浙江省一级建造师《水利水电工程管理与实务》真题(II卷) (附答案).doc
ppt 信息安全标准与法律法规.ppt
doc 湖北省一级建造师《水利水电工程管理与实务》考前检测D卷 附答案.doc
doc 江西版2019年一年级语文上学期开学考试试题 (附答案).doc
doc 浙江省一级建造师《水利水电工程管理与实务》模拟考试A卷 附解析.doc
doc 沪教版2019版一年级语文上学期期末检测试题 附答案.doc
doc 湖北省一级建造师《水利水电工程管理与实务》检测题D卷 附答案.doc
doc 江西版2020年一年级语文上学期期末检测试题 附解析.doc
doc 江西版2020年一年级语文上学期期中检测试题 含答案.doc
ppt 倒闸操作流程及安全注意事项.ppt
ppt 信息系统安全审计.ppt
doc 浙江省一级建造师《水利水电工程管理与实务》模拟试卷(I卷) (附答案).doc
doc 浙江省一级建造师《水利水电工程管理与实务》考前检测C卷 (含答案).doc
doc 浙江省一级建造师《水利水电工程管理与实务》练习题C卷 (含答案).doc
doc 浙江省一级建造师《水利水电工程管理与实务》真题(I卷) 含答案.doc
doc 江西版2020版一年级语文【下册】期末检测试题 (含答案).doc
doc 湖北省一级建造师《水利水电工程管理与实务》试卷B卷 (附解析).doc
doc 湖北省一级建造师《水利水电工程管理与实务》试卷C卷 (附答案).doc
doc 浙江省一级建造师《水利水电工程管理与实务》综合检测A卷 附解析.doc
doc 浙江省一级建造师《水利水电工程管理与实务》检测题A卷 附答案.doc
doc 河南省一级建造师《水利水电工程管理与实务》综合检测B卷 附解析.doc
doc 浙江省一级建造师《水利水电工程管理与实务》考前检测A卷 附答案.doc
doc 浙江省一级建造师《水利水电工程管理与实务》练习题B卷 (含答案).doc
doc 湖南省一级建造师《水利水电工程管理与实务》模拟试卷C卷 (附解析).doc
ppt 信息安全等级保护(电子政务信息系统如何定级).ppt
doc 沪教版2020年一年级语文【下册】期末考试试题 (附解析).doc
doc 江西版2020年一年级语文【上册】期末考试试题 (含答案).doc
doc 江西版2019年一年级语文上学期期中检测试题 附答案.doc
doc 湖南省一级建造师《水利水电工程管理与实务》模拟试题C卷 (附答案).doc
doc 浙江省一级建造师《水利水电工程管理与实务》试卷(II卷) 含答案.doc
doc 湖南省一级建造师《水利水电工程管理与实务》测试题(I卷) 含答案.doc
doc 湖南省一级建造师《水利水电工程管理与实务》检测题C卷 (含答案).doc
ppt 信息安全测评与风险评估教学课件总论.ppt
doc 沪教版2019-2020年一年级语文上学期开学考试试题 (附解析).doc
ppt 信息安全技术与管理的有效融合.ppt
doc 浙江省一级建造师《水利水电工程管理与实务》综合检测D卷 (含答案).doc
doc 河南省一级建造师《水利水电工程管理与实务》试题(I卷) (附解析).doc
doc 沪教版2019版一年级语文下学期开学检测试题 附解析.doc
doc 浙江省一级建造师《水利水电工程管理与实务》考前检测D卷 附解析.doc
doc 江西版2020版一年级语文上学期期中检测试题 附答案.doc
doc 湖南省一级建造师《水利水电工程管理与实务》测试题(II卷) (附解析).doc
doc 浙江省一级建造师《水利水电工程管理与实务》试题C卷 附答案.doc
doc 湖北省一级建造师《水利水电工程管理与实务》考前检测(I卷) 附解析.doc
doc 沪教版2019-2020年度一年级语文上学期开学检测试题 (含答案).doc
ppt 信息安全标准组织.ppt
doc 沪教版2020年一年级语文上学期期中考试试题 附解析.doc
doc 河南省一级建造师《水利水电工程管理与实务》综合检测A卷 附答案.doc
doc 浙江省一级建造师《水利水电工程管理与实务》模拟考试(I卷) (附解析).doc
doc 沪教版2019年一年级语文下学期开学检测试题 (含答案).doc
doc 湖南省一级建造师《水利水电工程管理与实务》模拟试题(II卷) (含答案).doc
doc 江西版2020年一年级语文上学期期中考试试题 (含答案).doc
doc 浙江省一级建造师《水利水电工程管理与实务》综合检测D卷 附答案.doc
doc 沪教版2019-2020年度一年级语文【上册】开学检测试题 (附答案).doc
doc 浙江省一级建造师《水利水电工程管理与实务》真题B卷 含答案.doc
doc 浙江省一级建造师《水利水电工程管理与实务》练习题(II卷) (附答案).doc
doc 浙江省一级建造师《水利水电工程管理与实务》练习题C卷 附解析.doc
doc 浙江省一级建造师《水利水电工程管理与实务》模拟考试C卷 (含答案).doc
doc 浙江省一级建造师《水利水电工程管理与实务》试卷A卷 (含答案).doc
doc 江西版2020版一年级语文【上册】期末考试试题 含答案.doc
doc 浙江省一级建造师《水利水电工程管理与实务》模拟试卷D卷 含答案.doc
doc 江西版2020年一年级语文上学期期末考试试题 (含答案).doc
doc 江西版2020年一年级语文上学期开学检测试题 (含答案).doc
doc 河南省一级建造师《水利水电工程管理与实务》试题(I卷) 附解析.doc
doc 江西版2020版一年级语文【上册】开学检测试题 附答案.doc
doc 湖南省一级建造师《水利水电工程管理与实务》真题C卷 (附解析).doc
doc 江西版2020版一年级语文上学期期末检测试题 附解析.doc
doc 沪教版2019-2020年一年级语文【上册】开学考试试题 (附解析).doc
ppt 信息安全风险评估国家标准编制及内容介绍.ppt
doc 江西版2019年一年级语文【下册】开学考试试题 含答案.doc
doc 湖南省一级建造师《水利水电工程管理与实务》检测题D卷 附解析.doc
doc 浙江省一级建造师《水利水电工程管理与实务》综合练习(I卷) (附答案).doc
doc 沪教版2020年一年级语文下学期期中考试试题 (附答案).doc
doc 湖北省一级建造师《水利水电工程管理与实务》试题A卷 (含答案).doc
doc 浙江省一级建造师《水利水电工程管理与实务》检测题C卷 (附答案).doc
doc 浙江省一级建造师《水利水电工程管理与实务》模拟试卷(II卷) (含答案).doc
doc 浙江省一级建造师《水利水电工程管理与实务》试题D卷 附解析.doc
doc 浙江省一级建造师《水利水电工程管理与实务》试题(I卷) 附解析.doc
doc 江西版2020年一年级语文【上册】期中检测试题 含答案.doc
doc 沪教版2019版一年级语文【下册】期中考试试题 (附答案).doc
ppt 信息安全现状和发展.ppt
ppt 信息安全风险评估.ppt
doc 湖南省一级建造师《水利水电工程管理与实务》检测题A卷 附答案.doc
doc 浙江省一级建造师《水利水电工程管理与实务》模拟考试(I卷) 附答案.doc
doc 湖北省一级建造师《水利水电工程管理与实务》考前检测(I卷) 附答案.doc
doc 浙江省一级建造师《水利水电工程管理与实务》模拟试卷(I卷) 附解析.doc
doc 沪教版2020年一年级语文上学期期末检测试题 (含答案).doc
doc 浙江省一级建造师《水利水电工程管理与实务》模拟试题B卷 含答案.doc
doc 江西版2019年一年级语文下学期开学检测试题 (附解析).doc
doc 浙江省一级建造师《水利水电工程管理与实务》模拟试卷(I卷) 含答案.doc
doc 湖北省一级建造师《水利水电工程管理与实务》考前检测C卷 含答案.doc
ppt 信息安全等级保护定义与备案.ppt
doc 江西版2020版一年级语文下学期开学考试试题 (含答案).doc
doc 湖北省一级建造师《水利水电工程管理与实务》试卷C卷 含答案.doc
doc 江西版2020年一年级语文下学期开学检测试题 含答案.doc
ppt 信息安全技术概述.ppt
ppt 信息安全问题的思考与对策.ppt
doc 湖北省一级建造师《水利水电工程管理与实务》检测题(I卷) (含答案).doc
doc 江西版2020年一年级语文下学期期中检测试题 附解析.doc
doc 浙江省一级建造师《水利水电工程管理与实务》综合练习B卷 (含答案).doc
doc 沪教版2019版一年级语文下学期期中考试试题 含答案.doc
doc 湖北省一级建造师《水利水电工程管理与实务》综合练习(I卷) 附解析.doc
ppt 信用销售风险控制技能培训普华永道为某集团咨询全案.ppt
doc 浙江省一级建造师《水利水电工程管理与实务》练习题B卷 (附答案).doc
doc 湖南省一级建造师《水利水电工程管理与实务》测试题C卷 (含答案).doc
doc 湖南省一级建造师《水利水电工程管理与实务》模拟真题B卷 (含答案).doc
doc 沪教版2020年一年级语文【上册】开学考试试题 附答案.doc
ppt 信息系统工程监理工程师培训教程.ppt
ppt 信贷业务管理制度与组织体系.ppt
doc 浙江省一级建造师《水利水电工程管理与实务》练习题(II卷) (含答案).doc
doc 湖北省一级建造师《水利水电工程管理与实务》检测题A卷 (附解析).doc
doc 湖北省一级建造师《水利水电工程管理与实务》模拟真题(II卷) 附答案.doc
doc 沪教版2020版一年级语文【下册】期末检测试题 含答案.doc
doc 湖北省一级建造师《水利水电工程管理与实务》试题A卷 含答案.doc
doc 浙江省一级建造师《水利水电工程管理与实务》测试题(I卷) 含答案.doc
doc 河南省一级建造师《水利水电工程管理与实务》练习题(I卷) (含答案).doc
ppt 信息网络安全监察法规.ppt
doc 江西版2020年一年级语文【下册】期中考试试题 附答案.doc
doc 江西版2019年一年级语文【下册】期末检测试题 (附解析).doc
doc 江西版2020版一年级语文下学期期末检测试题 (含答案).doc
doc 浙江省一级建造师《水利水电工程管理与实务》试题D卷 附答案.doc
doc 湖北省一级建造师《水利水电工程管理与实务》模拟试卷C卷 附答案.doc
doc 湖南省一级建造师《水利水电工程管理与实务》模拟真题C卷 含答案.doc
doc 江西版2020版一年级语文下学期期末考试试题 (附解析).doc
doc 浙江省一级建造师《水利水电工程管理与实务》模拟考试B卷 (附答案).doc
doc 江西版2019年一年级语文下学期开学考试试题 (含答案).doc
doc 浙江省一级建造师《水利水电工程管理与实务》综合检测D卷 附解析.doc
doc 江西版2020版一年级语文下学期开学检测试题 附解析.doc
doc 湖北省一级建造师《水利水电工程管理与实务》考前检测D卷 (附解析).doc
doc 江西版2020年一年级语文【下册】开学考试试题 附答案.doc
doc 浙江省一级建造师《水利水电工程管理与实务》测试题A卷 含答案.doc
doc 江西版2020版一年级语文【下册】期中检测试题 (附答案).doc
doc 湖南省一级建造师《水利水电工程管理与实务》检测题B卷 含答案.doc
doc 河南省一级建造师《水利水电工程管理与实务》综合检测C卷 附答案.doc
ppt 信息安全等级保护与解决方案.ppt
doc 沪教版2019-2020年一年级语文上学期期中考试试题 附答案.doc
doc 沪教版2019年一年级语文下学期期末考试试题 (含答案).doc
doc 浙江省一级建造师《水利水电工程管理与实务》模拟考试B卷 (附解析).doc
doc 沪教版2019-2020年一年级语文上学期开学考试试题 附答案.doc
doc 浙江省一级建造师《水利水电工程管理与实务》测试题D卷 (附解析).doc
doc 沪教版2019-2020年一年级语文下学期期末考试试题 (含答案).doc
ppt 信息安全等级保护制度与等级保护工作.ppt
doc 江西版2019年一年级语文下学期开学考试试题 (附解析).doc
doc 江西版2020版一年级语文下学期开学考试试题 含答案.doc
doc 浙江省一级建造师《水利水电工程管理与实务》真题C卷 附解析.doc
doc 浙江省一级建造师《水利水电工程管理与实务》试卷A卷 附答案.doc
doc 湖南省一级建造师《水利水电工程管理与实务》模拟考试C卷 含答案.doc
doc 湖北省一级建造师《水利水电工程管理与实务》试题(II卷) (附答案).doc
doc 沪教版2020年一年级语文下学期开学考试试题 (附解析).doc
doc 浙江省一级建造师《水利水电工程管理与实务》模拟试卷(II卷) 附答案.doc
doc 沪教版2019-2020年一年级语文上学期期末检测试题 (附解析).doc
doc 江西版2020版一年级语文下学期开学检测试题 含答案.doc
doc 浙江省一级建造师《水利水电工程管理与实务》检测题B卷 附解析.doc
doc 江西版2019版一年级语文下学期开学考试试题 附答案.doc
doc 浙江省一级建造师《水利水电工程管理与实务》检测题C卷 附答案.doc
doc 沪教版2019-2020年一年级语文上学期期中考试试题 含答案.doc
doc 浙江省一级建造师《水利水电工程管理与实务》试卷C卷 含答案.doc
ppt 信息安全风险及分析.ppt
doc 湖南省一级建造师《水利水电工程管理与实务》模拟考试C卷 附答案.doc
doc 湖南省一级建造师《水利水电工程管理与实务》检测题C卷 (附解析).doc
ppt 信息安全管理基础知识.ppt
ppt 信息网络安全员培训.ppt
doc 沪教版2020年一年级语文下学期期末检测试题 附解析.doc
doc 沪教版2019-2020年一年级语文上学期期中检测试题 (附解析).doc
doc 沪教版2019-2020年一年级语文【上册】开学检测试题 (含答案).doc
doc 沪教版2019年一年级语文下学期期中考试试题 (附答案).doc
doc 浙江省一级建造师《水利水电工程管理与实务》模拟试卷B卷 (含答案).doc
doc 浙江省一级建造师《水利水电工程管理与实务》模拟试题D卷 (含答案).doc
doc 江西版2020版一年级语文上学期期中考试试题 含答案.doc
doc 湖南省一级建造师《水利水电工程管理与实务》模拟试卷(II卷) (附答案).doc
doc 江西版2019版一年级语文上学期开学考试试题 (附答案).doc
doc 浙江省一级建造师《水利水电工程管理与实务》综合检测A卷 (附答案).doc
doc 沪教版2019版一年级语文上学期期中考试试题 (附答案).doc
doc 浙江省一级建造师《水利水电工程管理与实务》练习题A卷 附解析.doc
doc 沪教版2019版一年级语文下学期期末检测试题 附解析.doc
doc 江西版2020版一年级语文上学期期中考试试题 (附答案).doc
doc 浙江省一级建造师《水利水电工程管理与实务》试题(II卷) (附解析).doc
ppt 信贷基础知识培训课件.ppt
ppt 信息渠道培训-调查技巧培训教材.ppt
doc 江西版2019年一年级语文上学期期末检测试题 附答案.doc
doc 浙江省一级建造师《水利水电工程管理与实务》综合练习(II卷) 附解析.doc
doc 浙江省一级建造师《水利水电工程管理与实务》综合练习C卷 (含答案).doc
doc 沪教版2019版一年级语文上学期期中考试试题 含答案.doc
ppt 信息安全法律法规我国的标准.ppt
doc 河南省一级建造师《水利水电工程管理与实务》试题(I卷) (含答案).doc
doc 浙江省一级建造师《水利水电工程管理与实务》模拟试卷B卷 附解析.doc
doc 江西版2020年一年级语文【上册】期末考试试题 (附解析).doc
ppt 信息系统的安全保障与质量管理.ppt

信息安全需求分析.ppt

 版权申诉  ppt 信息系统安全分析概述,绿盟科技 于慧龙 yuhuilong@nsfocus.com 010-68438880-8108,提纲,信息安全的涵义和事实 当前安全现状分析 信息系统的安全风险,信息安全的涵义和事实,信息系统的广泛应用,社会发展的必然 业务的发展和扩张 网络信息的共享 Internet上网 生产、销售、管理、办公自动化,可信网络系统的基本要求,业务、应用功能的实现 安全、可靠、稳定,信息安全三要素,Confidentiality:阻止未经授权的用户读取数据 Integrity:阻止未经授权的用户修改或删除数据 Availability:保证授权实体在需要时可以正常地使用系统,信息安全的基本特征,相对性 只有相对的安全,没有绝对的安全系统 时效性 新的漏洞与攻击方法不断发现(NT4.0已从SP1发展到SP6) 配置相关性 日常管理中的不同配置会引入新的问题(安全测评只证明特定环境与特定配置下的安全) 新的系统组件会引入新的问题,信息安全的基本特征,攻击的不确定性 攻击发起的时间、攻击者、攻击目标和攻击发起的地点都具有不确定性 复杂性 信息安全是一项系统工程,需要技术的和非技术的手段,涉及到安全管理、教育、培训、立法、国际合作与互不侵犯协定、应急恢复等,信息安全风险管理,RISK,RISK,RISK,风险,风险的构成,风险的降低,风险永远存在,总是存在有价值的资产 威胁不会消失 国家间,对手间的竞争永远不会消失 间谍、恶意攻击者、内部破坏者永远不会消失 新的威胁不断出现 脆弱性客观存在 不可避免的因素 没有避免的因素 技术发展和环境变化,信息安全管理,由于许多信息系统并非在设计时就考虑了安全,依靠技术手段实现安全很有限,则应该由适当的管理来支持。 信息安全管理是通过保证维护信息的机密性、完整性和可用性来管理和保护组织的所有信息资产的一项体制。,保护和管理的对象,人 内部员工、外部客户、服务供应商、产品供应商等。 物 网络设备、系统主机、工作站、PC机等; 业务系统、应用系统等; 商业涉密数据、个人隐私数据、文档数据等。,信息安全的事实,安全是一个广泛的主题,它涉及到许多不同的区域(物理设备、网络、系统平台、应用程序等),每个区域都有其相关的风险、威胁及解决方法。 对于连网的企业组织来说风险与威胁是没有终止的。信息安全是一个动态发展的过程,不仅仅是纯粹的技术,仅仅依赖于安全产品的堆积来应对迅速发展变化的各种攻击手段是不能持续有效的。信息安全建设是一项复杂的系统工程,要从观念上进行转变,规划、管理、技术等多种因素相结合使之成为一个可持续的动态发展的过程。,信息安全的事实,绝对的信息安全是不存在的,每个网络环境都有一定程度的漏洞和风险。这种程度是可以接受的。信息安全问题的解决只能通过一系列的规划和措施,把风险降低到可被接受的程度,同时采取适当的机制使风险保持在此程度之内。当信息系统发生变化时应当重新规划和实施来适应新的安全需求。 信息系统的安全往往取决于系统中最薄弱的环节-人。人是信息安全中最关键的因素,同时也应该清醒的认识到人也是信息安全中最薄弱的环节。,当前安全现状分析,安全现状,随着金融电子化和网络化的巨大发展,传统的封闭性的业务网络将逐渐与公开网络相融合或连接,在这种情况下,如何保障业务网络的安全性成为信息安全的重要问题。 计算机产业的发展,网络知识的普及特别是Internet的广泛应用,为计算机网络和金融犯罪创造了更先进的技术条件,因此原有的安全设计已不能完全满足现有的安全需求,信息安全的风险增高了。,安全现状,针对互联网的应用目前还缺乏有效的安全措施和手段,影响了信息系统通过互联网对外提供服务的范围和种类。 只重视单一或几个安全产品的部署,而忽视整体安全系统建设; 部分企业信息系统的安全防范只能防范外部的非法入侵者,不能监控内部的破坏者; 只能消极地发现黑客攻击的后果,而不能主动、智能地对黑客进行反攻击; 只能采用分散的、不可集中管理的安全产品,而不能采用全面的、集中的安全管理平台。,安全现状,管理部门众多,没有统一的标准,人才不够等情况也是整个信息安全产业健康发展的制约因素。建立完善的信息安全体系,既要有适应社会信息化安全管理的配套政策、法律、法规和技术标准,又要有先进实用的技术手段,还要有大量的专门人才。,安全现状,兼职的安全管理员 物理安全保护 基本的安全产品 简单的系统升级 机房安全管理制度 资产管理制度 ……,安全现状,空口令、简单口令、默认口令设置、长期不更换; 点击进入危险的网站或链接; 接收查看危险的电子邮件附件; 系统默认安装,从不进行补丁升级; 拨号上网,给个人以及整个公司建立了后门; 启动了众多的不用的服务; 个人重要数据没有备份; ……,安全现状总结(1),没有有效、独立的安全管理组织,安全管理人员不足,岗位权责不明确,不能有效实施和执行某些安全措施。部分公司的信息技术部门虽专设负责的信息安全工作的岗位,但由于组织结构和信息网络的庞大性特点,使得安全管理员不能全权、有效地形成对整个组织自上到下的全面安全管理。,安全现状总结(2),缺乏一套完善、统一的安全策略和安全管理制度,更缺乏对安全制度执行情况的严格管理。公司虽然可能有部分管理制度,但涉及全部内部员工的条款很少,更不能形成对下级组织的有力约束,安全管理的内容也很少,大部分员工甚至不知道具体内容是什么,也没有对其遵守和执行的情况进行监督的任何措施,因此公司在制度约束方面是安全管理中欠缺比较严重的部分。,安全现状总结(3),员工缺乏基本的安全意识,特别是下级组织的员工等,没有进行统一的、系统的安全培训和学习的机会。由于员工对发生安全问题后造成的后果不负任何责任,从而也就不能有效的督促员工提高自己的安全意识,最终形成恶性循环,导致员工不能严格遵循公司的安全管理制度,个人电脑的密码设置非常脆弱甚至是空口令,经常上一些危险的网站,接收危险的电子邮件,不能定期升级系统安全补丁,更缺乏一些基本的安全防护意识和发现解决某些常见安全问题的能力。,安全现状总结(4),缺乏一套有效的安全预警体系。虽然公司在信息系统内可能安装了防火墙、防病毒系统等安全产品,用于监控和防护内部和外部的不安全活动,但由于最新漏洞被利用的快速性、安全问题出现的偶然性、安全事件处理的复杂性以及产品规则库升级的滞后性,使得安全管理员不可能及时的发现网络系统存在的最新漏洞,也就不可能有效的实现全网的安全预防工作,相反只能事事被动,等问题发生了再去找解决问题的方法,从而给公司带来很多不必要的损失。,安全现状总结(5),缺乏一套完善的监控体系。网络系统与Internet相连处虽然部署了防火墙等访问控制产品,但对于透过防火墙渗透进来的入侵行为,或者公司内部的恶意入侵行为并没有很好的监控手段,从而使得当有安全事件发生时,不能及时的进行防护。,安全现状总结(6),缺乏一套充分、完善的应急体系和快速的响应流程。公司并没有建立自己的应急体系,对于各种可能发生的安全事故,没有定义负责处理的人员、相应的最佳解决处理方案、可能造成的风险等。另外,公司也缺乏一套有效、快速地安全问题响应流程,特别是对于托管机房、下级组织业务系统等远程网络的故障,不能快速进行本地支持,更缺乏有一个有效的安全事件上报、传递、沟通、响应的通道。历来的各种安全事件发生后,公司都由于缺乏处理某些经常发生事件的能力事事被动,从而延误了事件处理的时间,造成很多不必要的损失。,安全现状总结(7),缺乏安全产品的集中统一管理。由于网络系统的扩大化,对安全产品的需求也越来越多,但是安全管理岗位数量的有限性,必然导致放松对安全产品的管理,安全管理员不可能实时登录查看各种安全产品的应用状况和报警信息,某些安全产品由于不能与互联网通信、甚至使用周期太长导致不能定期在线更新,使其不能监控和查找最新的安全问题,实现其最佳的安全功效。,信息系统的安全风险,面临的威胁,合法用户的威胁:是指拥有合法授权的用户因在系统管理方面的错误或疏忽造成系统破坏的可能性。 滥用授权 错误操作 操作行为抵赖,面临的威胁,非法用户的威胁:是指非授权用户或低权限用户越权对系统造成破坏的可能性。 内部员工的越权访问 外部攻击者的恶意入侵 数据的窃听和破坏 恶意代码的破坏 物理破坏,面临的威胁,系统组件的威胁:是指信息系统的硬件或软件发生意外故障的可能性。 系统设备意外故障 通讯中断 软件意外失效 物理环境的威胁:是指由于环境因素造成系统破坏的可能性。 电源中断 灾难,安全事件一:数据资产的窃取,2001年12月,烟台市人民检察院依法对涉嫌伪造有价票证的犯罪嫌疑人乔XX批准逮捕,乔XX利用到某电信公司维护通信设施之机,通过修改数据库伪造200电话卡10000张,给电信公司造成20余万元的经济损失。 2002年,中国公安部曾经破获一起不法分子利用黑客手段在银行的网银服务器中植入“木马”程序,窃取了多家银行和证券客户的账号、密码信息进行诈骗的案件,涉案金额达80多万元。 2003年2月,美国一名电脑黑客攻破了一家负责代表商家处理Visa和万事达卡交易业务的企业计算机系统,掌握了220万个顾客的信用卡号 在日本,黑客利用安装在网吧中的特殊软件非法窃取用户网上银行的密码,使1600万日元不翼而飞。,安全事件二:病毒蠕虫破坏,红色代码 2001年6月18日,微软发布安全公告:Microsoft IIS .IDA / .IDQ ISAPI扩展远程缓冲区溢出漏洞。一个月后,利用此安全漏洞原理制造的蠕虫“红色代码”开始出现,一夜之间攻击了国外36万台电脑,到2001年8月6日,针对微软中文版操作系统的“红色代码Ⅱ”开始在国内发作,造成很多运营商和企事业单位网络瘫痪,“红色代码”给全球造成了高达26亿美元的损失。,安全事件二:病毒蠕虫破坏,SQL slammer 2002年7月24日,微软发布安全公告:Microsoft SQL Server 2000 Resolution服务远程栈缓冲区溢出漏洞。直到2003年1月25日,足足6个月后,利用此安全漏洞原理制造的蠕虫“SQL Slammer”现身互联网,几天之内给全球造成了12亿美元的损失。它这个系统漏洞,对网络上的SQL数据库进行攻击,连接在网络上的被攻击的系统如同癌细胞那样不断蜕变,生成新的攻击报文向网络释放、扩散,从而逐步鲸吞、消耗网络资源,导致网络访问速度下降,甚至瘫痪。此蠕虫攻击的主要受害对象是网络,而不是个人计算机。据了解,此次攻击始于北京时间1月25日13时15分左右,澳大利亚、美国、英国、韩国、泰国、日本、马来西亚、菲律宾、印度以及中国台湾地区等全球范围的互联网络受到不同程度的攻击。据新华社报道,全球估计至少有2.2万个网络服务器遭到了病毒攻击,其中受影响最严重的地区是欧洲北部、美国东部和亚洲的一些国家。美国美洲银行称1.3万台自动取款机瘫痪,大量银行客户无法使用取款机取款。韩国互联网络曾经一度瘫痪,只有10%的网络可以勉强使用,韩国情报通信部为此宣布进入紧急状态。,安全事件三:身份假冒,今年6月初,一名黑客盗用了工商银行网站的公开邮箱,以“网络银行系统升级”的名义,给网上银行注册客户发送邮件,索要注册客户的用户名(登录卡号)和密码。工行发言人表示,网站已经向用户发出重要提示,并采取紧急应对措施。 2001年,一名上海黑客侵入上海交易所某席位,盗卖了2.6亿元的股票,成为中国最大的一次电脑入侵事故。,,,Telnet,SMTP,DNS,FTP,,,,UDP,TCP,IP,以太网,无线网络,SATNET,ARPNET,,,,,应用程序攻击,监听,拒绝服务,系统漏洞利用,硬件设备破坏 电磁监听,Windows,*nix,*BSD,Linux,每个层次都存在风险,信息系统面临的风险,系统建设的缺陷和安全隐患 缺陷或漏洞 后门 自然老化 错误和冗余 操作失误 传输错误 存储错误 安装和维护错误 冗余,信息系统面临的风险,欺骗和窃密 窃听 侦听 截包 电子欺骗 窃密 伪造 蓄意破坏 物理方式 逻辑方式,信息系统面临的风险,物理和环境的支持能力下降或丧失 电力供应 自然灾难 静电 强磁场 恶意代码 病毒 特洛伊木马 逻辑炸弹 时间炸弹 蠕虫 其他有害程序,信息系统面临的风险,管理不当或失控 口令及密钥丢失和泄露 制度遗漏 安全岗位与职责不全或混乱 人事管理漏洞 审计不力或无审计 安全设备选型或采购不当 其他风险,可能造成的影响,资产破坏,直接的经济损失; 造成可用性的破坏,使得必要情况时用户无法使用网络或系统,甚至造成系统崩溃; 保存商业数据或银行帐号等的文件服务器、存有个人隐私的PC机遭受破坏,可能有人修改数据或个人资料进行诈骗或破坏,也可能被竞争者所利用; Web服务器遭受攻击,篡改Web网站的页面; 商业信誉降低,特别是当公司保存的重要客户信息被公开时,还要负一定责任。,谢 谢!,








































 版权投诉/申诉   非法内容举报    本页不提供全部页面预览,未展示部分请购买并下载后观看使用