提升信息安全风险评估意识强化信息安全保障体系建设(ppt49).pptx
合集下载
信息系统安全风险评估培训材料幻灯片PPT
第三方访问安全控制 系统建设安全控制
脆弱性识别方法-漏洞扫描
多种扫描工具优化组合
扫描内容
u 服务与端口开放情况 u 枚举帐号/组 u 检测弱口令 u 各种系统、服务和协议漏洞 u ……
脆弱性识别方法-渗透测试
什么是渗透测试 模拟黑客对网络中的核心效劳器及重要的网络设备,包括
效劳器、网络设备、防火墙等进展非破坏性质的攻击行为, 以发现系统深层次的漏洞,并将整个过程与细节报告给用 渗户透。测试的必要性
调查问卷及其他 ?需求文档清单? ?文档交接单? ?资产调查问卷? ?资产识别清单? ?重要资产清单?
风险评估流程
风险评估准备
资产识别
威胁识别
脆弱性识别
已有安全措施的确认 风险分析
实施风险管理
资产识别
主要任务
u 资产信息搜集 u 资产分类 u 资产赋值
资产分类
资产类别
u 网络设备(包括路由器、交换机等) u 安全设备(包括防火墙、入侵检测系统、防病毒软件等) u 主机(包括服务器、PC终端等) u 机房及相关设施 (如UPS、门禁、灭火器、温湿计) u 重要数据(如计费数据、用户信息数据、用户帐单) u 管理制度及文档 u 人员
通过一套审计问题列表问答的形式对企业信息资产所有人和管理人员
进展访谈
信息安全现状总体评估
信息安全管理组织
10
桌面系统安全控制
信息安全风险管理
8
应用系统安全控制
6
信息安全管理制度
4
操作系统、数据库与
2
基础信息系统
安全控制
0
信息安全审计监督
网络安全控制
人员信息安全控制
物理和环境安全控制 系统运维安全控制
信息安全体系风险评估PPT课件
❖ 为什么要提出风险的概念 ▪ 安全事件的发生是有概率的.不能只根据安全事 件的后果便决定信息安全的投入和安全措施的 强度.对后果严重的极小概率事件,不能盲目投 入.因此,要综合考虑安全事件的后果影响及其 可能性,两者的综合便是风险的概念.
❖ 高风险要优先得到处理.
对基本要素的解释续
❖ 残余风险:采取了安全措施,提高了信息安全保障 能力后,仍然可能存在的风险.
脆弱性
资产
脆
弱
性
脆弱性
安全措施
残余风险
威胁
对各要素相互作用的解释
❖ 通过安全措施来对资产加以保护,对脆弱性加以弥 补,从而可降低风险;
❖ 实施了安全措施后,威胁只能形成残余风险. ❖ 某些情况下,也可能会有多个脆弱性被同时利用. ❖ 脆弱性与威胁是独立的,威胁要利用脆弱性才能造
对基本概念的解释续
❖威胁:一个单位的信息资产的安全可能受到的侵 害.威胁由多种属性来刻画:威胁的主体威胁源、 能力、资源、动机、行为、可能性和后果.
❖ 为什么要谈威胁 ▪ 如果没有威胁,就不会有安全事件.
威胁源
黑客 计算机罪犯
恐怖分子
动机
挑战 自负 反叛
破坏信息 非法泄漏信息 非法篡改数据 获取钱财
2
风险评估的基本概念
对基本概念的解释
❖业务战略:即一个单位通过信息技术手段实现的 工作任务.一个单位的业务战略对信息系统和信息 的依赖程度越高,风险评估的任务就越重要.
❖ 为什么要首先谈业务战略 ▪ 这是信息化的目的,一个信息系统如果不能实现 具体的工作任务,那么这个信息系统是没有用处 的.信息安全不是最终目的,信息安全要服务于 信息化.
信息安全体系风险评估
基本概念 重要意义 工作方式 几个关键问题
❖ 高风险要优先得到处理.
对基本要素的解释续
❖ 残余风险:采取了安全措施,提高了信息安全保障 能力后,仍然可能存在的风险.
脆弱性
资产
脆
弱
性
脆弱性
安全措施
残余风险
威胁
对各要素相互作用的解释
❖ 通过安全措施来对资产加以保护,对脆弱性加以弥 补,从而可降低风险;
❖ 实施了安全措施后,威胁只能形成残余风险. ❖ 某些情况下,也可能会有多个脆弱性被同时利用. ❖ 脆弱性与威胁是独立的,威胁要利用脆弱性才能造
对基本概念的解释续
❖威胁:一个单位的信息资产的安全可能受到的侵 害.威胁由多种属性来刻画:威胁的主体威胁源、 能力、资源、动机、行为、可能性和后果.
❖ 为什么要谈威胁 ▪ 如果没有威胁,就不会有安全事件.
威胁源
黑客 计算机罪犯
恐怖分子
动机
挑战 自负 反叛
破坏信息 非法泄漏信息 非法篡改数据 获取钱财
2
风险评估的基本概念
对基本概念的解释
❖业务战略:即一个单位通过信息技术手段实现的 工作任务.一个单位的业务战略对信息系统和信息 的依赖程度越高,风险评估的任务就越重要.
❖ 为什么要首先谈业务战略 ▪ 这是信息化的目的,一个信息系统如果不能实现 具体的工作任务,那么这个信息系统是没有用处 的.信息安全不是最终目的,信息安全要服务于 信息化.
信息安全体系风险评估
基本概念 重要意义 工作方式 几个关键问题
信息安全保障与体系建设pptx
10
有效的信息安全管理体系
物理和环境安全(MPE)
资产管理(MAM)
信息安全组织机构(MSO)
风险管理(MRM)
人员安全(MPS)
信息系统生命周期
规划组织 开发采购 实施交付 运行维护
废弃
信息安 全规划 管理 (MSP)
系统开 发管理 (MSD)
运行管理(MOP) 应急响应管理(MER) 业务持续性和灾难恢复管理(MBD)
▪ 管理者为了达到特定目的而对管理对象进行的计划 、组织、指挥、协调和控制的一系列活动。
❖ 信息安全管理
▪ 组织中为了完成信息安全目标,遵循安全策略,按 照规定的程序,运用恰当的方法,而进行的规划、 组织、指导、协调和控制等活动
规则
项目领导组 项目办公室
项目经理
项目专家组 变更控制委员会
实施小组
协调小组
▪ Facebook:1亿用户数据 ▪ CSDN、天涯、人人、多玩用户数据泄
漏
6
新技术、新应用对信息安全的挑战
❖ 三网融合 ❖ 工控安全 ❖ 云计算 ❖ 物联网 ❖ ……
7
信息安全保障定义
信息系统安全保障是在信息系统的整个生命 周期中,通过对信息系统的风险分析,制定并执 行相应的安全保障策略,从技术、管理、工程和 人员等方面提出安全保障要求,确保信息系统的 保密性、完整性和可用性,降低安全风险到可接 受的程度,从而保障系统实现组织机构的使命。
--GB/T 20274
8
信息系统安全保障模型-保障评估框架
废 弃
运 行 维 护
实 施 交
开付 发 采 购
计 划 组 织
生命周期
技术
保
工程
障
要
信息安全意识培训课件PPT54张
*
信息安全的定义
*
信息安全基本目标
保密性, 完整性, 可用性
C
I
A
onfidentiality
ntegrity
vailability
CIA
*
信息生命周期
创建
传递
销毁
存 储
使用
更改
*
信息产业发展迅猛
截至2008年7月,我国固定电话已达到3.55亿户,移动电话用户数达到6.08亿。 截至2008年6月,我国网民数量达到了2.53亿,成为世界上网民最多的国家,与去年同期相比,中国网民人数增加了9100万人,同比增长达到56.2%。 手机上网成为用户上网的重要途径,网民中的28.9%在过去半年曾经使用过手机上网,手机网民规模达到7305万人。 2007年电子商务交易总额已超过2万亿元。 目前,全国网站总数达192万,中文网页已达84.7亿页,个人博客/个人空间的网民比例达到42.3%。 目前,县级以上96%的政府机构都建立了网站,电子政务正以改善公共服务为重点,在教育、医疗、住房等方面,提供便捷的基本公共服务。
广义上讲 领域—— 涉及到信息的保密性,完整性,可用性,真实性,可控性的相关技术和理论。 本质上 保护—— 系统的硬件,软件,数据 防止—— 系统和数据遭受破坏,更改,泄露 保证—— 系统连续可靠正常地运行,服务不中断 两个层面 技术层面—— 防止外部用户的非法入侵 管理层面—— 内部员工的教育和管理
*
1
2
3
什么是信息安全?
怎样搞好信息安全?
主要内容
信息安全的基本概念
*
授之以鱼
不如授之以渔
——产品
——技术
更不如激之其欲
——意识
那我们就可以在谈笑间,让风险灰飞烟灭。
信息安全的定义
*
信息安全基本目标
保密性, 完整性, 可用性
C
I
A
onfidentiality
ntegrity
vailability
CIA
*
信息生命周期
创建
传递
销毁
存 储
使用
更改
*
信息产业发展迅猛
截至2008年7月,我国固定电话已达到3.55亿户,移动电话用户数达到6.08亿。 截至2008年6月,我国网民数量达到了2.53亿,成为世界上网民最多的国家,与去年同期相比,中国网民人数增加了9100万人,同比增长达到56.2%。 手机上网成为用户上网的重要途径,网民中的28.9%在过去半年曾经使用过手机上网,手机网民规模达到7305万人。 2007年电子商务交易总额已超过2万亿元。 目前,全国网站总数达192万,中文网页已达84.7亿页,个人博客/个人空间的网民比例达到42.3%。 目前,县级以上96%的政府机构都建立了网站,电子政务正以改善公共服务为重点,在教育、医疗、住房等方面,提供便捷的基本公共服务。
广义上讲 领域—— 涉及到信息的保密性,完整性,可用性,真实性,可控性的相关技术和理论。 本质上 保护—— 系统的硬件,软件,数据 防止—— 系统和数据遭受破坏,更改,泄露 保证—— 系统连续可靠正常地运行,服务不中断 两个层面 技术层面—— 防止外部用户的非法入侵 管理层面—— 内部员工的教育和管理
*
1
2
3
什么是信息安全?
怎样搞好信息安全?
主要内容
信息安全的基本概念
*
授之以鱼
不如授之以渔
——产品
——技术
更不如激之其欲
——意识
那我们就可以在谈笑间,让风险灰飞烟灭。
信息安全意识培训ppt课件
数据分类与敏感数据识别能力
数据分类
根据数据的性质、重要性和敏感 程度,将数据分为公开、内部、 秘密和机密等不同级别,以便采
取相应的保护措施。
敏感数据识别
识别出可能对个人、组织或国家造 成损害的数据,如个人身份信息、 财务信息、商业秘密等,并对其进 行ቤተ መጻሕፍቲ ባይዱ殊保护。
数据标签和标记
对数据进行标签和标记,明确数据 的来源、去向、使用目的和保密要 求,以便于数据的管理和使用。
应对措施
遇到钓鱼网站或邮件时,用户应保持冷静,不轻易泄露个 人信息,及时报告相关部门或专业人士进行处理。
企业内部社交工程风险防范策略制定
01
02
03
04
员工培训
加强员工信息安全意识培训, 提高员工对社交工程攻击的识
别和防范能力。
制定规范
建立完善的信息安全管理制度 ,规范员工在网络上的行为, 减少泄露企业机密的风险。
更新与补丁
定期更新操作系统、应 用程序和安全软件。
安全浏览与下载
避免访问不可信网站, 不随意下载和安装未知
来源的软件。
数据备份
定期备份重要数据,以 防数据被恶意软件破坏
。
应急处理流程和方法掌握
断开网络连接
立即断开与网络的连接,以防 止恶意软件进一步传播。
恢复受损文件
尝试恢复被恶意软件破坏或加 密的文件,必要时从备份中恢 复。
社交工程危害
社交工程攻击可导致个人隐私泄露、财产损失、企业机密外泄等严重后果,甚至 会对国家安全造成威胁。
识别并应对钓鱼网站、邮件等欺诈行为
钓鱼网站识别
钓鱼网站通常冒充正规网站,诱导用户输入账号、密码等 敏感信息。用户应注意检查网址是否正确、网站是否有安 全锁标识等。
信息安全风险评估培训ppt课件
信息安全风险评估
——从深夜一个回家的女孩开始讲起……
什么是风险评估?
完整版ppt课件
2
风险评估的基本概念
完整版ppt课件
3
各安全组件之间的关系
完整版ppt课件
4
通俗的比喻
资产 威胁
弱点 风险 影响
100块 小偷
打瞌睡 钱被偷 没饭吃
服务器 黑客
软件漏洞 被入侵 数据失密
完整版ppt课件
5
概述
交换机硬件失效 灾难
服务器硬件失效 雷击 漏水
服务器软件失效 电源失效
交换机软件失效 温度、湿度、灰尘、静电等
邮件病毒 链路失效 介质病毒
完整性风险 机密性风险 可用性风险
30
确定风险处置策略
降低风险(Reduce Risk)—— 采取适当的控制措施来降低风险,包 括技术手段和管理手段,如安装防火墙,杀毒软件,或是改善不规范的工作 流程、制定业务连续性计划,等等。
45
三类操作系统举例
完整版ppt课件
46
—评估到底买辣椒水还是请保镖更合适
怎么做风险评估?
完整版ppt课件
52
风险评估简要版
可能的攻击
可能的损失
信息的价值
完整版ppt课件
53
风险分析方法示意图
资产
弱点
弱点
威胁
影响
可能性
+
=
当前的风险级别
完整版ppt课件
54
如何量化损失
损失的量化必须围绕 用户的核心价值,用 户的核心业务流程!
完整版ppt课件
17
完整版ppt课件
18
威胁来源列表
来源 环境因素
——从深夜一个回家的女孩开始讲起……
什么是风险评估?
完整版ppt课件
2
风险评估的基本概念
完整版ppt课件
3
各安全组件之间的关系
完整版ppt课件
4
通俗的比喻
资产 威胁
弱点 风险 影响
100块 小偷
打瞌睡 钱被偷 没饭吃
服务器 黑客
软件漏洞 被入侵 数据失密
完整版ppt课件
5
概述
交换机硬件失效 灾难
服务器硬件失效 雷击 漏水
服务器软件失效 电源失效
交换机软件失效 温度、湿度、灰尘、静电等
邮件病毒 链路失效 介质病毒
完整性风险 机密性风险 可用性风险
30
确定风险处置策略
降低风险(Reduce Risk)—— 采取适当的控制措施来降低风险,包 括技术手段和管理手段,如安装防火墙,杀毒软件,或是改善不规范的工作 流程、制定业务连续性计划,等等。
45
三类操作系统举例
完整版ppt课件
46
—评估到底买辣椒水还是请保镖更合适
怎么做风险评估?
完整版ppt课件
52
风险评估简要版
可能的攻击
可能的损失
信息的价值
完整版ppt课件
53
风险分析方法示意图
资产
弱点
弱点
威胁
影响
可能性
+
=
当前的风险级别
完整版ppt课件
54
如何量化损失
损失的量化必须围绕 用户的核心价值,用 户的核心业务流程!
完整版ppt课件
17
完整版ppt课件
18
威胁来源列表
来源 环境因素
提升信息安全风险评估意识强化信息安全保障体系建设
28
威胁
抗击
防护措施
被满足
利用
脆弱性
增加
增加
风险
暴露
资产
引出
增加
拥有
防护需求
价值
风险管理要素关系图
29
信息系统安全风险管理
系统改进
对策识别 与特征描述
任务关键性 参数权衡
风险分析
比较和对比 可用攻击
研究敌方 行为理论
开创任务 影响理论
比较和对比 各种行为
行动决策
脆弱性与攻 击的识别与 特征描述
威胁的识别 与特征描述
系、规范网络行为
• 信息安全人材培养与增强安全意识:学科、培训、意识、技能
、
自律、守法
8
• 信息安全组织建设:信息安全协调小组、责任制、依法管理
国家信息安全保障工作高层会议
( 2004.1.9 )
• 信息安全的重要性:IT增长25%、GDP的6%、强烈依赖
• 信息安全的重大案例 • 信息安全存在的问题 • 一个并重、两手抓、三个同步 • 新思路、新眼光,建立信息安全保障体系 • 关键技术产品要自主可控 • 认真落实中央27号文件
• “安全基”技术(补丁、配置、清除、监视、加固、监视、升级)
• 审计与取证(全局审计、审计保护、反向工程、恢复提取) • 备份与容灾 (SAN、NAS、集群、冗余、镜象) • 可信计算 (TCG、TCPA、TSS 、TPM、TWC、----) •信息安全集成管理(信息共享、协同联动、策略牵引)
22
9
《国家信息安全战略报告》
—国信[2005] 2号文—
• 维护国家在网络空间的根本利益
• 确保国家的经济、政治、文化和信息的安全
威胁
抗击
防护措施
被满足
利用
脆弱性
增加
增加
风险
暴露
资产
引出
增加
拥有
防护需求
价值
风险管理要素关系图
29
信息系统安全风险管理
系统改进
对策识别 与特征描述
任务关键性 参数权衡
风险分析
比较和对比 可用攻击
研究敌方 行为理论
开创任务 影响理论
比较和对比 各种行为
行动决策
脆弱性与攻 击的识别与 特征描述
威胁的识别 与特征描述
系、规范网络行为
• 信息安全人材培养与增强安全意识:学科、培训、意识、技能
、
自律、守法
8
• 信息安全组织建设:信息安全协调小组、责任制、依法管理
国家信息安全保障工作高层会议
( 2004.1.9 )
• 信息安全的重要性:IT增长25%、GDP的6%、强烈依赖
• 信息安全的重大案例 • 信息安全存在的问题 • 一个并重、两手抓、三个同步 • 新思路、新眼光,建立信息安全保障体系 • 关键技术产品要自主可控 • 认真落实中央27号文件
• “安全基”技术(补丁、配置、清除、监视、加固、监视、升级)
• 审计与取证(全局审计、审计保护、反向工程、恢复提取) • 备份与容灾 (SAN、NAS、集群、冗余、镜象) • 可信计算 (TCG、TCPA、TSS 、TPM、TWC、----) •信息安全集成管理(信息共享、协同联动、策略牵引)
22
9
《国家信息安全战略报告》
—国信[2005] 2号文—
• 维护国家在网络空间的根本利益
• 确保国家的经济、政治、文化和信息的安全
信息安全意识培训ppt课件
5
惨痛的教训! 严峻的现实!
第1部分 6
一起国外的金融计算机犯罪案例
在线银行——一颗定时炸弹。 最近,南非的Absa银行遇到了麻烦,它的互联网银行服 务发生一系列安全事件,导致其客户成百万美元的损失。 Absa银行声称自己的系统是绝对安全的,而把责任归结为 客户所犯的安全错误上。Absa银行的这种处理方式遭致广 泛批评。那么,究竟是怎么回事呢?
12
当然,最终结果不错 …… 经过缜密的调查取证,我英勇机智的公安干
警终于一举抓获这起案件的罪魁祸首 —— 会宁 邮政局一个普通的系统维护人员张某
13
事情的经过原来是这样的 ……
② 张某借工
作之便,利 用笔记本电 脑连接电缆 到邮政储蓄 专网
会宁
③ 登录到永 登邮政局
永登
④ 破解口令,登录到 临洮一个邮政储蓄所
3
制作说明 本培训材料由IDC信息安全管理体系实施组织安全执行委员会编写,并经安全管理委员会批准,供 IDC内部学习使用,旨在贯彻IDC信息安全策略和各项管理制度,全面提升员工信息安全意识。
4
目录
• 现实教训 • 追踪问题的根源 • 掌握基本概念 • 了解信息安全管理体系 • 建立良好的安全习惯
11
怪事是这么发生的…… 2003年10月5日,定西临洮县太石镇邮政储蓄所的营业电脑突然死机 工作人员以为是一般的故障,对电脑进行了简单的修复和重装处理 17日,工作人员发现打印出的报表储蓄余额与实际不符,对账发现,13日发生了11笔交易, 83.5万异地帐户是虚存(有交易记录但无实际现金) 紧急与开户行联系,发现存款已从兰州、西安等地被取走大半 储蓄所向县公安局报案 公安局向定西公安处汇报 公安处成立专案组,同时向省公安厅上报 ……
第八讲信息安全风险评估ppt课件
服务
办公服务:为提高效率而开发的管理信息系统(MIS),它包括各种内部配置管理、文件流转管理等服务 网络服务:各种网络设备、设施提供的网络连接服务 信息服务:对外依赖该系统开展服务而取得业务收入的服务
文档
纸质的各种文件、传真、电报、财务报告、发展计划等
人员
掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目经理及网络研发人员等
风险评估
信息安全风险评估概述
信息安全风险评估策略
信息安全风险评估流程
信息安全风险评估方法
风险评估案例
风险评估概述
信息安全风险评估概述
风险评估概述
A风险因子
B风险因子
危险源
结合
隐患:内部失控
事故
外部作用
产生了人们不期望的后果
超出设定安全界限的状态、行为
风险评估概述
系统
减少:人的不安全行为
改变:环境不安全条件
6、低优先观察清单
5、进一步分析的风险
4、需近期处理的风险
3、风险成因及需关注领域
2、按类别分类的风险
1、优先级清单
风险登记册(更新)
组织过程资产
风险管理计划
项目范围说明书
风险分类
风险紧迫性评估
专家判断
风险评估概述
4、实施定量风险分析流程
依据
工具、技术
结果
风险登记册
风险管理计划
成本管理计划
进度管理计划
风险评估概述
脆弱点主要表现在从技术和管理两个方面 技术脆弱点是指信息系统在设计、实现、运行时在技术方面存在的缺陷或弱点。 管理脆弱点则是指组织管理制度、流程等方面存在的缺陷或不足。例如: 安装杀毒软件或病毒库未及时升级 操作系统或其他应用软件存在拒绝服务攻击漏洞 数据完整性保护不够完善 数据库访问控制机制不严格都属于技术脆弱点 系统机房钥匙管理不严、人员职责不清、未及时注销离职人员对信息系统的访问权限等
办公服务:为提高效率而开发的管理信息系统(MIS),它包括各种内部配置管理、文件流转管理等服务 网络服务:各种网络设备、设施提供的网络连接服务 信息服务:对外依赖该系统开展服务而取得业务收入的服务
文档
纸质的各种文件、传真、电报、财务报告、发展计划等
人员
掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目经理及网络研发人员等
风险评估
信息安全风险评估概述
信息安全风险评估策略
信息安全风险评估流程
信息安全风险评估方法
风险评估案例
风险评估概述
信息安全风险评估概述
风险评估概述
A风险因子
B风险因子
危险源
结合
隐患:内部失控
事故
外部作用
产生了人们不期望的后果
超出设定安全界限的状态、行为
风险评估概述
系统
减少:人的不安全行为
改变:环境不安全条件
6、低优先观察清单
5、进一步分析的风险
4、需近期处理的风险
3、风险成因及需关注领域
2、按类别分类的风险
1、优先级清单
风险登记册(更新)
组织过程资产
风险管理计划
项目范围说明书
风险分类
风险紧迫性评估
专家判断
风险评估概述
4、实施定量风险分析流程
依据
工具、技术
结果
风险登记册
风险管理计划
成本管理计划
进度管理计划
风险评估概述
脆弱点主要表现在从技术和管理两个方面 技术脆弱点是指信息系统在设计、实现、运行时在技术方面存在的缺陷或弱点。 管理脆弱点则是指组织管理制度、流程等方面存在的缺陷或不足。例如: 安装杀毒软件或病毒库未及时升级 操作系统或其他应用软件存在拒绝服务攻击漏洞 数据完整性保护不够完善 数据库访问控制机制不严格都属于技术脆弱点 系统机房钥匙管理不严、人员职责不清、未及时注销离职人员对信息系统的访问权限等
《信息安全风险评估》课件
风险评估
根据识别的威胁和脆弱性,评估潜在的后果 和可能性,确定风险的等级。
04
风险评价
评价方法
定性评价法
基于专家经验和知识,对风险进行主观评估 。
定量评价法
运用数学模型和统计方法,对风险进行客观 量化的评估。
综合评价法
结合定性评价和定量评价,综合考虑各种因 素,得出全面准确的风险评估结果。
评价工具
保障业务连续性
有效的风险评估有助于降低安全事件发生的可能性,减少业务中断 的风险,保障业务的连续性。
风险评估的流程
确定评估范围
明确评估对象和范围,确定需要评估的信息系统和相关 资产。
收集信息
收集与信息系统相关的各种信息,包括系统架构、安全 配置、安全日志等。
识别威胁和脆弱性
分析信息系统中可能存在的威胁和脆弱性,了解潜在的 安全风险。
05
风险应对
应对策略
检测策略
通过检测机制及时发现和响应信息安全风险 ,降低风险影响程度。
预防策略
通过采取预防措施,降低或消除信息安全风 险的发生概率。
恢复策略
制定和实施恢复计划,以尽快恢复受影响的 信息系统和服务。
应对措施
技术措施
采用先进的安全技术,如加 密、防火墙、入侵检测等, 提高信息系统的安全性。
风ห้องสมุดไป่ตู้评估
对识别出的威胁和脆弱性进行定性和定量评估,确定风 险等级和影响程度。
制定控制措施
根据风险评估结果,制定相应的风险控制措施,降低或 消除风险。
持续监测与改进
对实施控制措施后的信息系统进行持续监测,及时发现 和处理新的风险,不断改进和完善风险评估体系。
02
风险识别
识别方法
信息安全风险评估ppt
信息安全风险评估ppt
标题:信息安全风险评估
内容:
1. 什么是信息安全风险评估?
- 信息安全风险评估是对组织的信息系统和数据进行全面评估,从而了解可能存在的安全威胁和风险。
2. 为什么进行信息安全风险评估?
- 保护组织的敏感信息和数据不被盗窃、泄露或被破坏。
- 遵守法规和合规要求。
- 提高组织的信誉和声誉。
- 减少潜在的财务损失。
3. 信息安全风险评估的步骤:
- 确定评估目标和范围。
- 收集和分析信息。
- 评估和计算风险。
- 提出建议和措施。
- 编写报告和总结。
4. 信息安全风险评估的工具和技术:
- 漏洞扫描工具:用于检测系统中的漏洞和弱点。
- 渗透测试:模拟黑客攻击,评估系统的安全性。
- 安全评估问卷调查:了解员工对安全措施的知识和实际应用情况。
- 日志和监控系统:分析系统日志和监控数据,发现异常活
动。
5. 信息安全风险评估的挑战:
- 技术限制:一些系统可能无法完全评估。
- 人为因素:员工的行为和意识对信息安全的影响。
- 不断变化的威胁:安全威胁和攻击技术不断演进。
6. 信息安全风险评估的好处:
- 提供全面的安全风险意识和认知。
- 为制定安全策略和措施提供依据。
- 降低安全风险和潜在损失。
结束语:
信息安全风险评估是确保组织安全重要步骤之一,通过评估和识别潜在的安全威胁和风险,组织能够制定相应的安全措施和策略,保护敏感信息和数据。
不断进行风险评估是持续改进和保障信息安全的关键。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
提升信息安全风险评估意识 强化信息安全保障体系建设
曲成义 研究员 2006.8.8
1
信息安全面临的威胁
• 网上黑客与计算机欺诈
• 网络病毒的蔓延和破坏
• 有害信息内容污染与舆情误导
• 机要信息流失与“谍件”潜入
• 内部人员误用、滥用、恶用
• IT产品的失控(分发式威胁)
• 物理临近式威胁
• 网上恐怖活动与信息战
维护国家安全 • 立足国情、以我为主、管理与技术并重、
统筹规划、突出重点 • 发挥各界积极性、共同构筑国家信息安全保障体系
7
国家信息安全保障工作要点
• 实行信息安全等级保护制度:风险与成本、资源优化配置、安全
风险评估
• 基于密码技术网络信任体系建设:密码管理体制、身份认证、
授权管理、责任认定
• 建设信息安全监控体系:提高对网络攻击、病毒入侵、网络失窃
• 2004年震荡波几天波及全球
• 2005年Card System公司4000万张卡用户信息被盗
(美国最大的窃密事件、植入特洛伊木马、假冒消费)
• 网络正在成为恐怖组织联络和指挥工具
(911、伦敦事件)
• 9.11事件造成世贸中心1200家企业信息网络荡然无存
(有DRP/NCP的400家企业能够恢复和生存)
强调动态的、纵深的、生命周期的、整个信息系统资 产的信息对抗。
我们当前所指“信息安全” = “信息保障”,
即“在整个生命周期中,处在纵深防御和动态对抗的
信息系统,为保障其中数据及服务的完整性、保密性、
可用性(防拒绝和破坏)、真实性(交互双方的数据、
人员的身份和权限、设施的鉴别)、可控性(监控、
审计、取证、防有害内容传播) 、可靠性而抵制各类
11
“信息安全”内涵
威胁发起者
资产拥有者
贬 值
威胁
发 现
意 识 到
对策
保 值
滥 用
增 加
利 用
脆弱性
减降合 少低法
与
与
可
破
用
坏 风险
系统资产 ?
使命
12
信息安全概念演变
早期:通信保密阶段(ComSec),通信内容保密为主
中期:信息安全阶段(InfoSec),信息自身的静态防 护为主
近期:信息保障阶段(Information Assurance—IA ),
内控机制脆弱
高危漏洞存在
信息安全域界定与边控待探索
风险自评估能力弱
灾难恢复不到位
用户自控权不落实
----------
6
国家信息化领导小组第三次会议
《关于加强信息安全保障工作的意见》
—中办发[2003] 27号文—
• 坚持积极防御、综合防范 • 全面提高信息安全防护能力 • 重点保障信息网络和重要信息系统安全 • 创建安全健康的网络环境 • 保障和促进信息化发展、保护公众利益、
• 网络舆情的爆发波及到物理社会的稳定
• 信息网络的失窃密事件层出不穷
3
我国网络信息安全入侵事件态势严竣
(CNCERT/CC 05年度报告数据)
• 收到信息安全事件报告12万件(04年的2倍) • 监测发现2万台计算机被木马远程控制(04年的2倍) • 发现1.4万个网站遭黑客篡改,其中政府网站2千(04年的2倍) • 网络钓鱼(身份窃取) 事件报告400件(04年的2倍) • 监测发现70万台计算机被植入谍件(源头主要在国外) • 发现僵尸网络143个(信息安全威胁的某些新动向
• 僵尸网络威胁兴起 • 谍件泛滥值得严重关注 • 网络钓鱼的获利动机明显 • 网页篡改(嵌入恶意代码),诱人上当 • DDoS开始用于敲诈 • 木马潜伏孕育着杀机 • 获利和窃信倾向正在成为主流
5
“重要信息系统”安全态势与深层隐患
(案例考察)
• 领导重视、管理较严、常规的系统和外防机制基本到位 • 深层隐患值得深思
• 网络的脆弱性和系统漏洞
2
网络突发事件正在引起全球关注
• 2000年2月7日美国网上恐怖事件造成巨大损失
(DDos、八大重要网站、$12亿美元)
• 2001年日本东京国际机场航管失灵,影响巨大
(红色病毒、几百架飞机无法起降、千人行程受阻)
• 2003年美国银行的ATM网遭入侵,损失惨重
(Slammer、几十亿美元)
密、有害信息的防范能力
• 重视信息安全应急处理工作:指挥、响应、协调、通报、支援、
抗毁、灾备
• 推动信息安全技术研发与产业发展:关键技术、自主创新、强
化可控、引导与市场、测评认证、采购、服务
• 信息安全法制与标准建设:信息安全法、打击网络犯罪、标准体
系、规范网络行为
• 信息安全人材培养与增强安全意识:学科、培训、意识、技能、
• 政策、标准、管理、技术、产业、人材、理论
• 构筑国家信息安全保障体系
• 信息安全长效机制
• 信息安全战略的主动权- - - - - -
10
《2006-2020年国家信息化发展战略》
—中办[2006] 11号文—
第 (八) 部分 : “建设国家信息安全保障体系”
• 实现信息化与信息安全协调发展 • 增强信息基础设施和重要信息系统抗毁能力 • 增强国家信息安全保障能力 • 研究国际信息安全先进理论、先进技术 • 掌握核心安全技术、提高关键设备装备能力 • 促进我国信息安全技术和产业的自主发展 • 完善国家信息安全长效机制 • ------
9
《国家信息安全战略报告》
—国信[2005] 2号文—
• 维护国家在网络空间的根本利益
• 确保国家的经济、政治、文化和信息的安全
• 三大信息基础设施、八大重要信息系统、信息内容
• 信息安全基础支撑能力
• 信息安全防护与对抗能力
• 网络突发事件快速反应能力
• 网络舆情驾驭能力
• 综合治理、协调联动、群防群治
自律、守法
• 信息安全组织建设:信息安全协调小组、责任制、依法管理 8
国家信息安全保障工作高层会议
( 2004.1.9 )
• 信息安全的重要性:IT增长25%、GDP的6%、强烈依赖
• 信息安全的重大案例 • 信息安全存在的问题 • 一个并重、两手抓、三个同步 • 新思路、新眼光,建立信息安全保障体系 • 关键技术产品要自主可控 • 认真落实中央27号文件
威胁所提供的一种能力
13
信息系统安全整体对策
(一)构建信息安全保障体系 (二)作好信息安全风险评估
14
(一)构建信息安全保障体系
15
电子政务安全保障体系框架
安
安
安
安
安
安
全
全
全
全
全
全
工
技
基
法
管
标
程 与
术 与
础
服
产
设
规
理
曲成义 研究员 2006.8.8
1
信息安全面临的威胁
• 网上黑客与计算机欺诈
• 网络病毒的蔓延和破坏
• 有害信息内容污染与舆情误导
• 机要信息流失与“谍件”潜入
• 内部人员误用、滥用、恶用
• IT产品的失控(分发式威胁)
• 物理临近式威胁
• 网上恐怖活动与信息战
维护国家安全 • 立足国情、以我为主、管理与技术并重、
统筹规划、突出重点 • 发挥各界积极性、共同构筑国家信息安全保障体系
7
国家信息安全保障工作要点
• 实行信息安全等级保护制度:风险与成本、资源优化配置、安全
风险评估
• 基于密码技术网络信任体系建设:密码管理体制、身份认证、
授权管理、责任认定
• 建设信息安全监控体系:提高对网络攻击、病毒入侵、网络失窃
• 2004年震荡波几天波及全球
• 2005年Card System公司4000万张卡用户信息被盗
(美国最大的窃密事件、植入特洛伊木马、假冒消费)
• 网络正在成为恐怖组织联络和指挥工具
(911、伦敦事件)
• 9.11事件造成世贸中心1200家企业信息网络荡然无存
(有DRP/NCP的400家企业能够恢复和生存)
强调动态的、纵深的、生命周期的、整个信息系统资 产的信息对抗。
我们当前所指“信息安全” = “信息保障”,
即“在整个生命周期中,处在纵深防御和动态对抗的
信息系统,为保障其中数据及服务的完整性、保密性、
可用性(防拒绝和破坏)、真实性(交互双方的数据、
人员的身份和权限、设施的鉴别)、可控性(监控、
审计、取证、防有害内容传播) 、可靠性而抵制各类
11
“信息安全”内涵
威胁发起者
资产拥有者
贬 值
威胁
发 现
意 识 到
对策
保 值
滥 用
增 加
利 用
脆弱性
减降合 少低法
与
与
可
破
用
坏 风险
系统资产 ?
使命
12
信息安全概念演变
早期:通信保密阶段(ComSec),通信内容保密为主
中期:信息安全阶段(InfoSec),信息自身的静态防 护为主
近期:信息保障阶段(Information Assurance—IA ),
内控机制脆弱
高危漏洞存在
信息安全域界定与边控待探索
风险自评估能力弱
灾难恢复不到位
用户自控权不落实
----------
6
国家信息化领导小组第三次会议
《关于加强信息安全保障工作的意见》
—中办发[2003] 27号文—
• 坚持积极防御、综合防范 • 全面提高信息安全防护能力 • 重点保障信息网络和重要信息系统安全 • 创建安全健康的网络环境 • 保障和促进信息化发展、保护公众利益、
• 网络舆情的爆发波及到物理社会的稳定
• 信息网络的失窃密事件层出不穷
3
我国网络信息安全入侵事件态势严竣
(CNCERT/CC 05年度报告数据)
• 收到信息安全事件报告12万件(04年的2倍) • 监测发现2万台计算机被木马远程控制(04年的2倍) • 发现1.4万个网站遭黑客篡改,其中政府网站2千(04年的2倍) • 网络钓鱼(身份窃取) 事件报告400件(04年的2倍) • 监测发现70万台计算机被植入谍件(源头主要在国外) • 发现僵尸网络143个(信息安全威胁的某些新动向
• 僵尸网络威胁兴起 • 谍件泛滥值得严重关注 • 网络钓鱼的获利动机明显 • 网页篡改(嵌入恶意代码),诱人上当 • DDoS开始用于敲诈 • 木马潜伏孕育着杀机 • 获利和窃信倾向正在成为主流
5
“重要信息系统”安全态势与深层隐患
(案例考察)
• 领导重视、管理较严、常规的系统和外防机制基本到位 • 深层隐患值得深思
• 网络的脆弱性和系统漏洞
2
网络突发事件正在引起全球关注
• 2000年2月7日美国网上恐怖事件造成巨大损失
(DDos、八大重要网站、$12亿美元)
• 2001年日本东京国际机场航管失灵,影响巨大
(红色病毒、几百架飞机无法起降、千人行程受阻)
• 2003年美国银行的ATM网遭入侵,损失惨重
(Slammer、几十亿美元)
密、有害信息的防范能力
• 重视信息安全应急处理工作:指挥、响应、协调、通报、支援、
抗毁、灾备
• 推动信息安全技术研发与产业发展:关键技术、自主创新、强
化可控、引导与市场、测评认证、采购、服务
• 信息安全法制与标准建设:信息安全法、打击网络犯罪、标准体
系、规范网络行为
• 信息安全人材培养与增强安全意识:学科、培训、意识、技能、
• 政策、标准、管理、技术、产业、人材、理论
• 构筑国家信息安全保障体系
• 信息安全长效机制
• 信息安全战略的主动权- - - - - -
10
《2006-2020年国家信息化发展战略》
—中办[2006] 11号文—
第 (八) 部分 : “建设国家信息安全保障体系”
• 实现信息化与信息安全协调发展 • 增强信息基础设施和重要信息系统抗毁能力 • 增强国家信息安全保障能力 • 研究国际信息安全先进理论、先进技术 • 掌握核心安全技术、提高关键设备装备能力 • 促进我国信息安全技术和产业的自主发展 • 完善国家信息安全长效机制 • ------
9
《国家信息安全战略报告》
—国信[2005] 2号文—
• 维护国家在网络空间的根本利益
• 确保国家的经济、政治、文化和信息的安全
• 三大信息基础设施、八大重要信息系统、信息内容
• 信息安全基础支撑能力
• 信息安全防护与对抗能力
• 网络突发事件快速反应能力
• 网络舆情驾驭能力
• 综合治理、协调联动、群防群治
自律、守法
• 信息安全组织建设:信息安全协调小组、责任制、依法管理 8
国家信息安全保障工作高层会议
( 2004.1.9 )
• 信息安全的重要性:IT增长25%、GDP的6%、强烈依赖
• 信息安全的重大案例 • 信息安全存在的问题 • 一个并重、两手抓、三个同步 • 新思路、新眼光,建立信息安全保障体系 • 关键技术产品要自主可控 • 认真落实中央27号文件
威胁所提供的一种能力
13
信息系统安全整体对策
(一)构建信息安全保障体系 (二)作好信息安全风险评估
14
(一)构建信息安全保障体系
15
电子政务安全保障体系框架
安
安
安
安
安
安
全
全
全
全
全
全
工
技
基
法
管
标
程 与
术 与
础
服
产
设
规
理