《信息安全分析》PPT课件.ppt

信息安全分析 万洋2007 1 4 课程的目的 提升信息安全风险评估意识强化信息安全保障体系建立 信息安全面临的威胁 网上黑客与计算机欺诈网络病毒的蔓延和破坏有害信息内容污染与舆情误导机要信息流失与 谍件 潜入内部人员误用 滥用 恶用IT产品的失控 分发式威胁 物理临近式威胁网上恐怖活动与信息战网络的脆弱性和系统漏洞 网络突发事件正在引起全球关注 2000年2月7日美国网上恐怖事件造成巨大损失 DDos 八大重要网站 12亿美元 2001年日本东京国际机场航管失灵 影响巨大 红色病毒 几百架飞机无法起降 千人行程受阻 2003年美国银行的ATM网遭入侵 损失惨重 Slammer 几十亿美元 2004年震荡波几天波及全球2005年CardSystem公司4000万张卡用户信息被盗 美国最大的窃密事件 植入特洛伊木马 假冒消费 网络正在成为恐怖组织联络和指挥工具 911 伦敦事件 9 11事件造成世贸中心1200家企业信息网络荡然无存 有DRP NCP的400家企业能够恢复和生存 网络舆情的爆发波及到物理社会的稳定信息网络的失窃密事件层出不穷 我国网络信息安全入侵事件态势严竣 CNCERT CC05年度报告数据 收到信息安全事件报告12万件 04年的2倍 监测发现2万台计算机被木马远程控制 04年的2倍 发现1 4万个网站遭黑客篡改 其中政府网站2千 04年的2倍 网络钓鱼 身份窃取 事件报告400件 04年的2倍 监测发现70万台计算机被植入谍件 源头主要在国外 发现僵尸网络143个 受控计算机250万台 互联网信息安全威胁的某些新动向 僵尸网络威胁兴起谍件泛滥值得严重关注网络钓鱼的获利动机明显网页篡改 嵌入恶意代码 诱人上当DDoS开始用于敲诈木马潜伏孕育着杀机获利和窃信倾向正在成为主流 领导重视 管理较严 常规的系统和外防机制基本到位深层隐患值得深思内控机制脆弱高危漏洞存在信息安全域界定与边控待探索风险自评估能力弱灾难恢复不到位用户自控权不落实 重要信息系统 安全态势与深层隐患 案例考察 国家信息化领导小组第三次会议 关于加强信息安全保障工作的意见 中办发 2003 27号文 坚持积极防御 综合防范全面提高信息安全防护能力重点保障信息网络和重要信息系统安全创建安全健康的网络环境保障和促进信息化发展 保护公众利益 维护国家安全立足国情 以我为主 管理与技术并重 统筹规划 突出重点发挥各界积极性 共同构筑国家信息安全保障体系 国家信息安全保障工作要点 实行信息安全等级保护制度 风险与成本 资源优化配置 安全风险评估基于密码技术网络信任体系建设 密码管理体制 身份认证 授权管理 责任认定建设信息安全监控体系 提高对网络攻击 病毒入侵 网络失窃密 有害信息的防范能力重视信息安全应急处理工作 指挥 响应 协调 通报 支援 抗毁 灾备推动信息安全技术研发与产业发展 关键技术 自主创新 强化可控 引导与市场 测评认证 采购 服务信息安全法制与标准建设 信息安全法 打击网络犯罪 标准体系 规范网络行为信息安全人材培养与增强安全意识 学科 培训 意识 技能 自律 守法信息安全组织建设 信息安全协调小组 责任制 依法管理 国家信息安全保障工作高层会议 2004 1 9 信息安全的重要性 IT增长25 GDP的6 强烈依赖信息安全的重大案例信息安全存在的问题一个并重 两手抓 三个同步新思路 新眼光 建立信息安全保障体系关键技术产品要自主可控认真落实中央27号文件 国家信息安全战略报告 国信 2005 2号文 维护国家在网络空间的根本利益确保国家的经济 政治 文化和信息的安全三大信息基础设施 八大重要信息系统 信息内容信息安全基础支撑能力信息安全防护与对抗能力网络突发事件快速反应能力网络舆情驾驭能力综合治理 协调联动 群防群治政策 标准 管理 技术 产业 人材 理论构筑国家信息安全保障体系信息安全长效机制信息安全战略的主动权 2006 2020年国家信息化发展战略 中办 2006 11号文 第 八 部分 建设国家信息安全保障体系 实现信息化与信息安全协调发展增强信息基础设施和重要信息系统抗毁能力增强国家信息安全保障能力研究国际信息安全先进理论 先进技术掌握核心安全技术 提高关键设备装备能力促进我国信息安全技术和产业的自主发展完善国家信息安全长效机制 信息安全 内涵 保值 威胁 贬值 利用 增加 滥用与破坏 发现 意识到 减少 降低 合法与可用 信息安全概念演变 早期 通信保密阶段 ComSec 通信内容保密为主中期 信息安全阶段 InfoSec 信息自身的静态防护为主近期 信息保障阶段 InformationAssurance IA 强调动态的 纵深的 生命周期的 整个信息系统资产的信息对抗 我们当前所指 信息安全 信息保障 即 在整个生命周期中 处在纵深防御和动态对抗的信息系统 为保障其中数据及服务的完整性 保密性 可用性 防拒绝和破坏 真实性 交互双方的数据 人员的身份和权限 设施的鉴别 可控性 监控 审计 取证 防有害内容传播 可靠性而抵制各类威胁所提供的一种能力 信息系统安全整体对策 一 构建信息安全保障体系 二 作好信息安全风险评估 一 构建信息安全保障体系 电子政务安全保障体系框架 安全法规 安全管理 安全标准 安全工程与服务 安全基础设施 安全技术与产品 信息安全法规 关于开展信息安全风险评估工作的意见 国信办 2005 1号文 信息安全等级保护管理办法 试行 公通字 2006 7号文 中华人民共和国保守国家秘密法 在修订 信息安全法 信息安全管理条例 电子签名法 2005年4月1日实施 行政管理体制 国家网络信息安全协调小组 部门 地区技术管理体制 CSO信息系统安全管理准则 ISO17799 GBxxxx管理策略组织与人员资产分类与安全控制配置与运行网络信息安全域与通信安全异常事件与审计信息标记与文档物理与环境开发与维护作业连续性保障符合性 信息安全组织管理 国家信息安全标准化委员会 安全功能定义安全要素设计 物理 网络 系统 应用 管理全程安全控制风险全程管理安全有效评估强壮性策略 02 4 15成立 十个工作组 标准体系与协调 含可信计算 涉密信息系统保密密码算法与模块PKI PMI安全评估应急处理安全管理 风险评估 电子证据身份标识与鉴别操作系统与数据国家报批搞16项 送审稿25项 研制近70项 信息系统安全工程和服务 安全需求分析 威胁 弱点 风险 资产 使命 对策 安全体系结构与功能定义安全要素设计 物理 网络 系统 应用 管理安全系统构建与集成管理服务全程的信息安全风险评估信息系统强壮性策略 ISSE IATF CC TESEC 信息加密技术 对称 公开 可恢复 量子 隐藏 鉴别与认证 口令 密码 动态口令 ToKen CA 签名 物理识别 访问控制技术 ACL RBAC DAC MAC 能力表 AA 网络边界安全技术 FW Proxy NG GAP UTM 病毒防治技术 防 查 杀 清 网络隐患扫描与发现 缺陷 后门 嵌入 恶意代码 内容识别与过滤技术 关键字 特征 上下文 自然语言 主机内控防护技术 监控 检测 防泄 管理 审计 信息安全技术领域 信息安全风险评估技术 收集 分析 检测 滲透 管理 网络检测 预警和攻击技术 IDS Agent 面防 追踪 反击 陷阱 内容 产权保护技术 数字水印 安全容器 加密 签名 安全基 技术 补丁 配置 清除 监视 加固 监视 升级 审计与取证 全局审计 审计保护 反向工程 恢复提取 备份与容灾 SAN NAS 集群 冗余 镜象 可信计算 TCG TCPA TSS TPM TWC 信息安全集成管理 信息共享 协同联动 策略牵引 信息安全技术领域 信息网络安全域纵深防御框架 核心内网局域计算环境 安全域a 专用外网局域计算环境 安全域m 公共服务网局域计算环境 安全域n Internet TSP PSTN VPN网络通信基础设施 光纤 无线 卫星 信息安全基础设施 PKI PMI KMI CERT DRI 网络安全边界 EG用主流的信息安全产品 防范外部入侵类放火墙 防病毒 入侵检测 物理隔离防控内部作案类强审计 主机内控 主机安保 系统级安全类加密 鉴别 授权 扫描 灾备 过滤 物理安全 集成管理 安全测评 信息安全基础设施的支撑 数字证书认证体系 CA PKI 网络应急支援体系 CERT 灾难恢复基础设施 DRI 病毒防治服务体系 AVERT 产品与系统安全检测 评估体系 CC TCSEC 密钥管理基础设施 KMI 授权管理基础设施 AA PMI 信息安全事件通报与会商体系网络监控与预警体系信息保密检查体系信息安全偵控体系网络舆情掌控与治理体系 信息安全保障体系建设的目标1 增加信息网络四种安全能力 信息安全防护能力隐患发现能力网络应急反应能力信息对抗能力 2 保障信息及其服务具有六性 保密性 完整性 可用性 真实性 可核查性 可控性 可靠性 二 作好信息安全风险评估 提升信息安全风险评估意识 社会 经济 政治 文化对信息化的强烈依赖作业连续性保障 BCM BCP 引起普遍关注信息安全保障体系建设 IA 成为焦点实施信息安全的风险管理正在被认同提升信息安全风险评估意识和能力是当务之急信息安全风险评估既是信息安全建设的起点也覆盖终生创建一个安全的信息化环境保障信息化健康发展 威胁 脆弱性 防护措施 风险 资产 防护需求 价值 抗击 利用 增加 增加 暴露 被满足 引出 增加 拥有 风险管理要素关系图 信息系统安全风险管理 基础研究与事件分离 系统改进 风险分析 信息系统安全风险评估的特征 信息系统是一个巨型复杂系统 系统要素 安全要素 信息系统受制于外部因素 物理环境 行政管理 人员 信息系统安全风险评估是一项系统工程发现隐患 采取对策 提升强度 总结经验自评估 委托评估 检察评估 信息系统安全评估目的 提供 采取 降低 影响 完成 保护 价值 给出证据 生成保证 具有 信息安全风险评估是提升信息安全体系强度重要保证 信息系统资产是有价资产脆弱性 威胁力力图使资产贬值影响 风险分析风险评估 发现 预防 降低 转移 补偿 承受采取措施以提升系统安全强度保护信息系统资产价值 保密性 完整性 可用性 完成系统的使命 信息系统生命周期中安全保障与评估 国家对信息安全风险评估工作高度重视 国信办 2005 5号文件 国信办 与 安标委 信息安全风险评估规范 GB T报批稿 国信办 抓紧风险评估试点 宣贯和推广 05 06年 保密局 涉密信息领域风险评估规范 科技部 信息安全风险评估方法 工具 模型研制 国内信息安全评估机构的现状 国家信息安全标准化委员会 信息安全评估工作组 WG5 国家信息安全测评中心 信息技术安全性评估准则 GB T18336 EG信息系统安全保障评估准则 公安部 计算机信息系统安全保护等级划分准则 GB17859 1999 计算机信息系统安全等级保护通用技术要求 GA T390 2002 国家保密局 涉及国家秘密的计算机信息系统安全保密测评指南 BMZ3 2001 北京市信息办 党政机关信息系统安全测评规范 上海市信息办 信息系统安全测评规范 解放军 信息系统安全评估规范 其它 建立国家信息安全评估体系 信息安全评估标准和规范体系IT产品 IT系统 IT服务信息安全评估监管体系对评估组织与评估行为的监管 等级 资质 规则 信息安全评估组织体系 在认监委 信息办领导下 国际信息系统安全测评状况 NIACAPDICSCAPNSTISSIFIPS102行业与企业的风险评估投入明显 1 5 信息系统安全评估方法 定性分析与定量结合评估机构与评估专家结合评估考查与评估检测结合技术安全与管理安全结合 信息系统安全分析与检测 管理安全分析组织 人员 制度 资产控制 物理 操作 连续性 应急过程安全分析威胁 风险 脆弱性 需求 策略 方案 符合性分发 运行 维护 更新 废弃技术安全分析与检测安全机制 功能和强度分析网络设施 安全设施及主机配置安全分析网络设备和主机设备脆弱性分析系统穿透性测试 风险评估实施步骤 1 风险评估的准备 2 资产识别 3 威胁识别 4 脆弱性识别 5 已有安全措施的确认 6 风险分析 7 风险评估文件记录 8 风险评估对策 风险评估流程 风险分析示意图 风险评估工具 1 风险评估管理工具基于安全标准 基于知识 基于模型采点 收集 描述 分析 2 风险评估检测工具脆弱性扫描 网络 主机 数据库 网站 滲透性测试 黑客 病毒 木马 谍件 劫持 拒绝 破译 3 风险评估辅助工具入侵检测 安全审计 拓扑发现 资产收集知识库 漏洞库 算法库 模型库 指标库 信息安全风险评估试点成效显著 05年 提高了风险意识 培育自评估能力 8个试点 几千人日 三要素的识别与赋值能力有所提高 并探索行业细则 发现和消除大量隐患 提升了安全强度 表层与深层 采用了多种评估模式并总结经验 自评 委托 检查 实效性 关键性 涉密性 常规性等系统的分类指导风险评估方法 工具 平台有所创新应急予案 离线评估 管理软件 识别知识化 多种评估方法 评估过程的风险控制对策 管理 协议 技术 机制 全程的风险评估分类试点 规划 设计 实施 运行 更新 评估协同机制的探索 业主 建设 评估三方协同 体系与深层隐患的评估开始引起重视 信息安全风险评估试点状况 06年 正在制订培训计划 提高风险意识和培育自评估能力策划宣贯国家信息安全风险评估规范 并探索行业细则出台政府相关风险评估的规定 政府令 制订部门和地区的全局评估计划和选择试范点推动属地原则和纵向支持的原则组织培训信息安全评估人才和组建队伍探索各种评估模式的试点采用 自评 委托 检查 对实效性 关键性 涉密性 常规性等试点系统的进行选择考虑风险评估方法 工具 平台的采用对评估试点阶段的选择 规划 设计 实施 运行 更新 向有关部门提出培训 支援 规范 规则 试点 等建议 大力推进信息安全风险评估工作 提高信息安全风险评估意识 信息安全风险评估规范 即将出台和宣贯风险评估试点将进一步扩展和推广风险评估制度化 等级化 建立长效机制风险评估方法 工具 平台深入开发和推荐风险评估技术基础设施的建设风险评估机构的行政准入许可相关标准规范的制订相关法规的出台 信息系统安全整体对策 一 构建信息安全保障体系 重视顶层设计 二 作好信息安全风险评估 是起点 也覆盖终生