信息安全分析课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,信息安全分析,万 洋,2019.1.4,课程的目的,提升信息安全风险评估意识,强化信息安全保障体系建立,信息安全面临的威胁,网上黑客与计算机欺诈,网络病毒的蔓延和破坏,有害信息内容污染与舆情误导,机要信息流失与“谍件”潜入,内部人员误用、滥用、恶用,IT,产品的失控（分发式威胁）,物理临近式威胁,网上恐怖活动与信息战,网络的脆弱性和系统漏洞,网络突发事件正在引起全球关注,2000,年,2,月,7,日美国网上恐怖事件造成巨大损失,（,DDos,、,八大重要网站、,$12,亿美元）,2019,年日本东京国际机场航管失灵，影响巨大,（红色病毒、几百架飞机无法起降、千人行程受阻）,2019,年,美国银行的,ATM,网遭入侵，损失惨重,（,Slammer,、,几十亿美元）,2019,年震荡波几天波及全球,2019,年,Card System,公司,4000,万张卡用户信息被盗,（美国最大的窃密事件、植入特洛伊木马、假冒消费）,网络正在成为恐怖组织联络和指挥工具,（,911,、伦敦事件）,9.11,事件造成世贸中心,1200,家企业信息网络荡然无存,（有,DRP/NCP,的,400,家企业能够恢复和生存）,网络舆情的爆发波及到物理社会的稳定,信息网络的失窃密事件层出不穷,我国网络信息安全入侵事件态势严竣,(CNCERT/CC 05年度报告数据),收到信息安全事件报告,12,万件,(04,年的,2,倍,),监测发现,2,万台计算机被木马远程控制,(04,年的,2,倍,),发现,1.4,万个网站遭黑客篡改,其中政府网站,2,千,(04,年的,2,倍,),网络钓鱼,(,身份窃取,),事件报告,400,件,(04,年的,2,倍,),监测发现,70,万台计算机被植入谍件,(,源头主要在国外,),发现僵尸网络,143,个,(,受控计算机,250,万台,),互联网信息安全威胁的某些新动向,僵尸网络威胁兴起,谍件泛滥值得严重关注,网络钓鱼的获利动机明显,网页篡改,(,嵌入恶意代码,),诱人上当,DDoS,开始用于敲诈,木马潜伏孕育着杀机,获利和窃信倾向正在成为主流,领导重视、管理较严、常规的系统和外防机制基本到位,深层隐患值得深思,内控机制脆弱,高危漏洞存在,信息安全域界定与边控待探索,风险自评估能力弱,灾难恢复不到位,用户自控权不落实,- - - - - - - - - -,重要信息系统”安全态势与深层隐患,（案例考察）,国家信息化领导小组第三次会议,关于加强信息安全保障工作的意见,中办发2019 27号文,坚持积极防御、综合防范,全面提高信息安全防护能力,重点保障信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化发展、保护公众利益、,维护国家安全,立足国情、以我为主、管理与技术并重、,统筹规划、突出重点,发挥各界积极性、共同构筑国家信息安全保障体系,国家信息安全保障工作要点,实行信息安全等级保护制度,：风险与成本、资源优化配置、安全,风险评估,基于密码技术网络信任体系建设,：密码管理体制、身份认证、,授权管理、责任认定,建设信息安全监控体系,：提高对网络攻击、病毒入侵、网络失窃,密、有害信息的防范能力,重视信息安全应急处理工作,：指挥、响应、协调、通报、支援、,抗毁、灾备,推动信息安全技术研发与产业发展,：关键技术、自主创新、强,化可控、引导与市场、测评认证、采购、服务,信息安全法制与标准建设,：信息安全法、打击网络犯罪、标准体,系、规范网络行为,信息安全人材培养与增强安全意识,：学科、培训、意识、技能、,自律、守法,信息安全组织建设,：信息安全协调小组、责任制、依法管理,国家信息安全保障工作高层会议,( 2019.1.9 ),信息安全的重要性,：,IT,增长,25%,、,GDP,的,6%,、强烈依赖,信息安全的重大案例,信息安全存在的问题,一个并重、两手抓、三个同步,新思路、新眼光，建立信息安全保障体系,关键技术产品要自主可控,认真落实中央,27,号文件,国家信息安全战略报告,国信2019 2号文,维护国家在网络空间的根本利益,确保国家的经济、政治、文化和信息的安全,三大信息基础设施、八大重要信息系统、信息内容,信息安全基础支撑能力,信息安全防护与对抗能力,网络突发事件快速反应能力,网络舆情驾驭能力,综合治理、协调联动、群防群治,政策、标准、管理、技术、产业、人材、理论,构筑国家信息安全保障体系,信息安全长效机制,信息安全战略的主动权,- - - - - -,2019-2020年国家信息化发展战略,中办2019 11号文,第,(八) 部分 : “建设国家信息安全保障体系”,实现信息化与信息安全协调发展,增强信息基础设施和重要信息系统抗毁能力,增强国家信息安全保障能力,研究国际信息安全先进理论、先进技术,掌握核心安全技术、提高关键设备装备能力,促进我国信息安全技术和产业的自主发展,完善国家信息安全长效机制,- - - - - -,“信息安全”内涵,保值,威胁,威胁发起者,资产拥有者,对策,脆弱性,风险,系统资产,使命,贬值,利用,增加,滥用与破坏,发现,意识到,减少,降低,合法与可用,？,信息安全概念演变,早期：通信保密阶段（ComSec），通信内容保密为主,中期：信息安全阶段（InfoSec），信息自身的静态防护为主,近期：信息保障阶段（Information AssuranceIA ），,强调动态的、纵深的、生命周期的、整个信息系统资产的信息对抗。,我们当前所指“信息安全” = “信息保障”，,即“在整个生命周期中，处在纵深防御和动态对抗的信息系统，为保障其中数据及服务的完整性、保密性、可用性（防拒绝和破坏）、真实性（交互双方的数据、人员的身份和权限、设施的鉴别）、可控性（监控、审计、取证、防有害内容传播） 、可靠性而抵制各类威胁所提供的一种能力,信息系统安全整体对策,(一)构建,信息安全保障体系,(二)作好,信息安全风险评估,(一)构建,信息安全保障体系,电子政务安全保障体系框架,安,全,法,规,安,全,管,理,安,全,标,准,安,全,工,程,与,服,务,安,全,基,础,设,施,安,全,技,术,与,产,品,信息安全法规,关于开展信息安全风险评估工作的意见,（ 国信办,20191,号文）,信息安全等级保护管理办法（试行）,（公通字,20197,号文）,中华人民共和国保守国家秘密法,(,在修订,),信息安全法,（信息安全管理条例）,电子签名法,（,2019,年,4,月,1,日实施）,- - - - - - - - - - - -,行政管理体制,:,国家网络信息安全协调小组，部门，地区,技术管理体制,:,CSO,信息系统安全管理准则（,ISO 17799,）,-,GBxxxx,管理策略,组织与人员,资产分类与安全控制,配置与运行,网络信息安全域与通信安全,异常事件与审计,信息标记与文档,物理与环境,开发与维护,作业连续性保障,符合性,信息安全组织管理,国家信息安全标准化委员会,安全功能定义,安全要素设计：,物理、网络、系统、应用、管理,全程安全控制,风险全程管理,安全有效评估,强壮性策略,（02.4.15成立.十个工作组）,标准体系与协调（含可信计算）,涉密信息系统保密,密码算法与模块,PKI/PMI,安全评估,应急处理,安全管理,(,风险评估,),电子证据,身份标识与鉴别,操作系统与数据,国家报批搞,16,项、送审稿,25,项、研制近,70,项,信息系统安全工程和服务,安全需求分析：,威胁，弱点，风险，资产、使命、对策、,安全体系结构与功能定义,安全要素设计：,物理、网络、系统、应用、管理,安全 系统构建与集成管理服务,全程的信息安全风险评估,信息系统,强壮性策略、,（ISSE，IATF，CC，TESEC）,信息加密技术,（对称、公开、可恢复、量子、隐藏,),鉴别与认证,（口令,/,密码、动态口令,/,ToKen,、,CA/,签名、物理识别）,访问控制技术,（,ACL,、,RBAC,、,DAC,、,MAC,、,能力表、,AA,）,网络边界安全技术,（,FW,、,Proxy,、,NG,、,GAP,、,UTM,）,病毒防治技术,（防、查、杀、清）,网络隐患扫描与发现,（缺陷、后门、嵌入、恶意代码）,内容识别与过滤技术,（关键字、特征、上下文、自然语言）,主机内控防护技术,（监控、检测、防泄、管理、审计）,信息安全技术领域,信息安全风险评估技术,（收集、分析、检测、滲透、管理）,网络检测、预警和攻击技术,（,IDS,、,Agent,、,面防、追踪、反击、陷阱）,“内容”产权保护技术,（,数字水印、安全容器、加密、签名）,“安全基”技术,（补丁、配置、清除、监视、加固、监视、升级）,审计与取证,（全局审计、审计保护、反向工程、恢复提取）,备份与容灾,（,SAN,、,NAS,、,集群,、,冗余、镜象）,可信计算,（,TCG,、,TCPA,、,TSS,、,TPM,、,TWC,、,-,）,信息安全集成管理,（信息共享、协同联动、策略牵引）,信息安全技术领域,信息网络安全域纵深防御框架,核心内网,局域计算环境,（安全域a）,专用外网,局域计算环境,（安全域m）,公共服务网,局域计算环境,（安全域n）,Internet、TSP、PSTN、VPN,网络通信基础设施,（光纤、无线、卫星）,信息安全基础设施,(PKI、PMI、KMI、CERT、DRI),网络安全边界,EG用主流的信息安全产品,防范外部入侵类,放火墙、防病毒、入侵检测、,物理隔离,防控内部作案类,强审计、主机内控、主机安保,、,系统级安全类,加密、,鉴别,、授权、扫描、,灾备,、过滤、,物理安全、集成管理、,安全测评,信息安全基础设施的支撑,数字证书认证体系（,CA/PKI,）,网络应急支援体系（,CERT,）,灾难恢复基础设施（,DRI,）,病毒防治服务体系（,AVERT,）,产品与系统安全检测、评估体系（,CC/TCSEC,）,密钥管理基础设施（,KMI,）,授权管理基础设施（,AA/PMI,）,信息安全事件通报与会商体系,网络监控与预警体系,信息保密检查体系,信息安全偵控体系,网络舆情掌控与治理体系,信息安全保障体系建设的目标,1）增加信息网络四种安全能力,信息安全防护能力,隐患发现能力,网络应急反应能力,信息对抗能力,2）保障信息及其服务具有六性,保密性、完整性、可用性、,真实性、可核查性（可控性）、可靠性,(二),作好,信息安全风险评估,提升信息安全风险评估意识,社会、经济、政治、文化对信息化的强烈依赖,作业连续性保障（,BCM/BCP,）,引起普遍关注,信息安全保障体系建设（,IA,）,成为焦点,实施信息安全的风险管理正在被认同,提升信息安全风险评估意识和能力是当务之急,信息安全风险评估,既是信息安全建设的,起点,也覆盖,终生,创建一个安全的信息化环境,保障信息化健康发展,威胁,脆弱性,防护措施,风险,资产,防护需求,价值,抗击,利用,增加,增加,暴露,被满足,引出,增加,拥有,风险管理要素关系图,信息系统安全风险管理,比较和对比,可用攻击,研究敌方,行为理论,开创任务,影响理论,比较和对比,各种行为,行动决策,对策识别,与特征描述,任务关键性,参数权衡,脆弱性与攻,击的识别与,特征描述,威胁的识别,与特征描述,任务影响的,识别与描述,基础研究与事件分离,系统改进,风险分析,信息系统安全风险评估的特征,信息系统是一个巨型复杂系统（系统要素、安全要素）,信息系统受制于外部因素（物理环境、行政管理、人员）,信息系统安全风险评估是一项系统工程,发现隐患、采取对策、提升强度、总结经验,自评估、委托评估、检察评估,信息系统安全评估目的,提供,采取,降低,影响,完成,保护,安全保证技术提供者,系统评估者,安全保证,信心,风险,对策,资产,使命,资产拥有者,价值,给出证据,生成保证,具有,信息安全风险评估是提升,信息安全体系强度重要保证,信息系统资产是有价资产,脆弱性,/,威胁力力图使资产贬值,影响,/,风险分析,风险评估：,发现、预防、降低、转移、补偿、承受,采取措施以提升系统安全强度,保护信息系统资产价值（,保密性、完整性、可用性,）,完成系统的使命,信息系统生命周期中安全保障与评估,策划与组织,开发与采购,信息系统安全保障与评估,实施与交付,运行与维护,更新与废弃,国家对信息安全风险评估工作高度重视,国信办,20195,号文件,“,国信办”与“安标委”,信息安全,风险评估规范,（,GB/T,报批稿）,“国信办”,抓紧风险评估试点、宣贯和推广（,05,、,06,年）,“保密局”,涉密信息领域风险评估规范,” 科技部“,信息安全,风险评估方法、工具、模型研制,国内信息安全评估机构的现状,国家信息安全标准化委员会（“信息安全评估工作组-WG5）,国家信息安全测评中心（信息技术安全性评估准则-GB/T 18336）,（,EG,信息系统安全保障评估准则）,公安部（计算机信息系统安全保护等级划分准则-GB 17859-2019）,（计算机信息系统安全等级保护通用技术要求-,GA/T 390-2019,）,国家保密局（涉及国家秘密的计算机信息系统安全保密测评指南-,BMZ 3-2019,）,北京市信息办（党政机关信息系统安全测评规范）,上海市信息办（信息系统安全测评规范）,解放军（信息系统安全评估规范）,其它,建立国家信息安全评估体系,信息安全评估标准和规范体系,IT产品、IT系统、IT服务,信息安全评估监管体系,对评估组织与评估行为的监管(等级,资质,规则),信息安全评估组织体系，在认监委、信息办领导下,认可机构,认证机构,评估技术支援中心,（实验室）,专家委员会,检测、评估机构,检测、评估机构,评估操作层,技术支持层,认证层,认可监管层,国际信息系统安全测评状况,NIACAP,DICSCAP,NSTISSI,FIPS 102,行业与企业的风险评估投入明显,（1%5%）,信息系统安全评估方法,定性分析与定量结合,评估机构与评估专家结合,评估考查与评估检测结合,技术安全与管理安全结合,信息系统安全分析与检测,管理安全分析,组织、人员、制度、资产控制、物理、操作、连续性、应急,过程安全分析,威胁、风险、脆弱性、需求、策略、方案、符合性,分发、运行、维护、更新、废弃,技术安全分析与检测,安全机制、功能和强度分析,网络设施、安全设施及主机配置安全分析,网络设备和主机设备脆弱性分析,系统穿透性测试,风险评估实施步骤,(,1) 风险评估的准备,(2) 资产识别,(3) 威胁识别,(4) 脆弱性识别,(5) 已有安全措施的确认,(6) 风险分析,(7) 风险评估文件记录,(8) 风险评估对策,风险评估流程,风险分析示意图,风险评估工具,（1）风险评估管理工具,基于安全标准、基于知识、基于模型,采点、收集、描述、分析,（2） 风险评估检测工具,脆弱性扫描：网络、主机、数据库、网站、,滲透性测试：黑客、病毒、木马、谍件、劫持、拒绝、破译,（3） 风险评估辅助工具,入侵检测、安全审计、拓扑发现、资产收集,知识库、漏洞库、算法库、模型库、指标库,信息安全风险评估试点成效显著(05年,),提高了风险意识 、培育自评估能力（,8,个试点、几千人日）,三要素的识别与赋值能力有所提高、（并探索行业细则）,发现和消除大量隐患、提升了安全强度（表层与深层）,采用了多种评估模式并总结经验（自评、委托、检查）,实效性,/,关键性,/,涉密性,/,常规性 等系统的,分类指导,风险评估方法、工具、平台有所创新,应急予案、离线评估、管理软件、识别知识化、多种评估方法,- - - -,评估过程的风险控制对策（管理、协议、技术、机制）,全程的风险评估分类试点（规划、设计、实施、运行、更新）,评估协同机制的探索（业主、建设、评估三方协同）,体系与深层隐患的评估开始引起重视,信息安全风险评估试点状况（06年）,正在制订培训计划、提高风险意识 和培育自评估能力,策划宣贯国家信息安全风险评估规范、并探索行业细则,出台政府相关风险评估的规定（政府令）,制订部门和地区的全局评估计划和选择试范点,推动属地原则和纵向支持的原则,组织培训信息安全评估人才和组建队伍,探索各种评估模式的试点采用（自评、委托、检查）,对实效性,/,关键性,/,涉密性,/,常规性 等试点系统的进行选择,考虑风险评估方法、工具、平台的采用,对评估试点阶段的选择（规划、设计、实施、运行、更新）,向有关部门 提出培训、支援、规范、规则、试点,- - - -,等建议,大力推进信息安全风险评估工作,提高信息安全风险评估意识,”,信息安全风险评估规范,“,即将出台和宣贯,风险评估试点将进一步扩展和推广,风险评估制度化、等级化、建立长效机制,风险评估方法、工具、平台深入开发和推荐,风险评估技术基础设施的建设,风险评估机构的行政准入许可,相关标准规范的制订,相关法规的出台,信息系统安全整体对策,(一)构建,信息安全保障体系,（重视,顶层,设计）,(二)作好信息安全风险评估,（,是,起点、,也覆盖,终生,）,