CH08系统风险评估与脆弱性分析
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第8章
系统风险评估与脆弱性分析
《信息安全技术》教学课件 V2010.03
本章要点
针对信息系统,特别是网络系统,要先了解 系统的安全弱点,才能进行安全加固。
本章在系统风险评估的理念指导下,首先解 决系统的脆弱性检查,发现问题后再通过后 续章节介绍的具体技术解决安全问题。
第 2 页 / 共 20 页
第 6 页 / 共 20 页
二、系统脆弱性分析概述
1、脆弱性的概念
脆弱性即vulnerability,国内多称“漏洞”,是指硬件、 软件或策略上存在的安全缺陷,从而使得攻击者能够在未 授权的情况下访问、控制系统。
CVE(Common Vulnerabilities and Exposures) , 漏 洞 标准化组织。
。。。。。。
第 11 页 / 共 20 页
三、脆弱性扫描器的类型和组成
1、扫描技术与原理
扫描是检测Internet上的计算机当前是否是活动的、提 供了什么样的服务,以及更多的相关信息。
主要使用的技术有Ping扫描、端口扫描和操作系统识别。 扫描技术也是采用积极的、非破坏性的办法来检验系统是
风险评估的工具
(1)扫描工具 (2)入侵检测系统(IDS) (3)渗透性测试工具 (4)主机安全性审计工具 (5)安全管理评价系统 (6)风险综合分析系统 (7)评估支撑环境工具
第 5 页 / 共 20 页
一、系统风险评估
4、风险评估流程
根据风险发生的可能性、风险发生后对系统产生的影响程度,对评估 系统的各种对象进行风险程度分析,将系统对象按发生风险的可能性 大小、发生风险后对系统造成的影响及危害大小进行评估和组织。 风险分析矩阵 风险控制流程
一、系统风险评估
1、风险评估的概念
通过风险评估能够清楚信息系统的安全需求,了解信息系 统的脆弱性,从而达到信息安全建设的最终目的——满足 信息系统的安全需求和降低信息系统的安全风险。
所谓风险评估,就是对信息资产面临的威胁、存在的弱点、 造成的影响,以及三者综合作用而带来风险的可能性的评 估。
风险评估的四大要素
(1)资产及其价值 (2)威胁 (3)脆弱性 (4)现有的和计划的控制措施
第 4 页 / 共 20 页
一、系统风险评估
3、风险评估标准和工具
风险评估的标准
(1)ISO 13335 《信息安全管理方针》 (2)ISO 15408 《信息技术安全性通用评估准则》 (3)SSE-CMM 《系统安全工程成熟度模型》 (4)SP800-30 《信息系统安全风险管理》 (5)ISO 27001 《信息安全管理体系标准》 (6)GB 17859 《安全保护等级划分准则》
也不受防火墙控制。
更改cookie
据OWASP(Open Web Applicatio输n入s 信Se息c控u制rity Project, 开码放漏网洞络,应精用心安构全造计 攻划 击代)码相,关完统计成资对料网显站缓示系冲攻统区击的溢者非出利法用访网问站或系控统制的,代中 国、美国、德国和俄罗斯是恶意代码最为直活接跃访的问地浏览区。
对于一个信息系统来说,它的安全性不在于它是否采用了 最新的加密算法或最先进的设备,而是由系统本身最薄弱 之处,即漏洞所决定的。 --信息系统安全“木桶原则”
第 7 页 / 共 20 页
二、系统脆弱性分析概述
2、漏洞的发现
网络的开放性、软件系统的自身缺陷和黑客攻击使得系统的脆弱性充 分暴露。
1999年安全应急响应小组论坛FIRST的专家指出,每千行程序中至 少有一个缺陷。Windows XP有35万行。
漏洞的发现
由以下三个组织之一来完成:
(1)黑客 (2)破译者软件漏洞 (3)安全服务商组织
管理者需要制定一个从新闻组、邮件列表、Web站点、FTP文档 等收集、分析以及抽取漏洞信息的策略,以便获取有用的信息。
第 9 页 / 共 20 页
二、系统脆弱性分析概述
3、漏洞对系统的威胁
漏洞对系统的威胁体现在恶意攻击行为对系统的威胁。 只有利用硬件、软件和策略上最薄弱的环节,恶意攻击者
作为风险管理的基础,风险评估是组织确定信息安全需求 的一个重要途径,属于组织信息安全管理体系策划的过程。
第 3 页 / 共 20 页
一、系统风险评估
2、风险评估目的和基本要素
风险评估的目的
(1)了解组织的安全现状 (2)分析组织的安全需求 (3)建立信息安全管理体系的要求 (4)制订安全策略和实施安防措施的依据 (5)组织实现信息安全的必要的、重要的步骤
CVE(Common Vulnerabilities and Exposures),漏洞标准 化组织。(http://cve.mitre.org/)
对于一个信息系统来说,它的安全性不在于它是否采用了最新的加密 算法或最先进的设备,而是由系统本身最薄弱之处,即漏洞所决定的。 --信息系统安全“木桶原则”
Biblioteka Baidu
目术人前员,忽“视应。用层的不安全调用”已成常为见新S的Q的WL关注e注入b应焦(S用点Q安,L全而in漏又je洞容ct有i易on:被)技
应用层中的漏洞才是最直接、最致命的,因为互联网的应用必须开放 端口,这时防火墙等设备已无能为力;网跨络站应脚本用攻连击接着单位的核心数
据,漏洞直接威胁着数据库中的数据;内恶部意人代码员通过内网的应用安全
SANS (SysAdmin, Audit, Network, Security) 的研究报告 (http://www.sans.org):Windows最关键的十大安全隐患
第 8 页 / 共 20 页
二、系统脆弱性分析概述
漏洞的类型
(1)管理漏洞 (2)软件漏洞 (3)结构漏洞 (4)信任漏洞
才可以得手。 目前,互联网上已有几万个黑客站点,而且黑客技术不断
创新,基本的攻击手法已达上千种。 多数情形下,计算机已经被网络入侵者完全控制,且被偷
走大量机密资料,而管理员却毫不知情。
第 10 页 / 共 20 页
二、系统脆弱性分析概述
4、系统脆弱性的主要类型
漏洞类型多样
如DNS与FTP协议的安全性、缓冲区溢出问题、拒绝服务和后门等, 通过各种应用软件表现。
系统风险评估与脆弱性分析
《信息安全技术》教学课件 V2010.03
本章要点
针对信息系统,特别是网络系统,要先了解 系统的安全弱点,才能进行安全加固。
本章在系统风险评估的理念指导下,首先解 决系统的脆弱性检查,发现问题后再通过后 续章节介绍的具体技术解决安全问题。
第 2 页 / 共 20 页
第 6 页 / 共 20 页
二、系统脆弱性分析概述
1、脆弱性的概念
脆弱性即vulnerability,国内多称“漏洞”,是指硬件、 软件或策略上存在的安全缺陷,从而使得攻击者能够在未 授权的情况下访问、控制系统。
CVE(Common Vulnerabilities and Exposures) , 漏 洞 标准化组织。
。。。。。。
第 11 页 / 共 20 页
三、脆弱性扫描器的类型和组成
1、扫描技术与原理
扫描是检测Internet上的计算机当前是否是活动的、提 供了什么样的服务,以及更多的相关信息。
主要使用的技术有Ping扫描、端口扫描和操作系统识别。 扫描技术也是采用积极的、非破坏性的办法来检验系统是
风险评估的工具
(1)扫描工具 (2)入侵检测系统(IDS) (3)渗透性测试工具 (4)主机安全性审计工具 (5)安全管理评价系统 (6)风险综合分析系统 (7)评估支撑环境工具
第 5 页 / 共 20 页
一、系统风险评估
4、风险评估流程
根据风险发生的可能性、风险发生后对系统产生的影响程度,对评估 系统的各种对象进行风险程度分析,将系统对象按发生风险的可能性 大小、发生风险后对系统造成的影响及危害大小进行评估和组织。 风险分析矩阵 风险控制流程
一、系统风险评估
1、风险评估的概念
通过风险评估能够清楚信息系统的安全需求,了解信息系 统的脆弱性,从而达到信息安全建设的最终目的——满足 信息系统的安全需求和降低信息系统的安全风险。
所谓风险评估,就是对信息资产面临的威胁、存在的弱点、 造成的影响,以及三者综合作用而带来风险的可能性的评 估。
风险评估的四大要素
(1)资产及其价值 (2)威胁 (3)脆弱性 (4)现有的和计划的控制措施
第 4 页 / 共 20 页
一、系统风险评估
3、风险评估标准和工具
风险评估的标准
(1)ISO 13335 《信息安全管理方针》 (2)ISO 15408 《信息技术安全性通用评估准则》 (3)SSE-CMM 《系统安全工程成熟度模型》 (4)SP800-30 《信息系统安全风险管理》 (5)ISO 27001 《信息安全管理体系标准》 (6)GB 17859 《安全保护等级划分准则》
也不受防火墙控制。
更改cookie
据OWASP(Open Web Applicatio输n入s 信Se息c控u制rity Project, 开码放漏网洞络,应精用心安构全造计 攻划 击代)码相,关完统计成资对料网显站缓示系冲攻统区击的溢者非出利法用访网问站或系控统制的,代中 国、美国、德国和俄罗斯是恶意代码最为直活接跃访的问地浏览区。
对于一个信息系统来说,它的安全性不在于它是否采用了 最新的加密算法或最先进的设备,而是由系统本身最薄弱 之处,即漏洞所决定的。 --信息系统安全“木桶原则”
第 7 页 / 共 20 页
二、系统脆弱性分析概述
2、漏洞的发现
网络的开放性、软件系统的自身缺陷和黑客攻击使得系统的脆弱性充 分暴露。
1999年安全应急响应小组论坛FIRST的专家指出,每千行程序中至 少有一个缺陷。Windows XP有35万行。
漏洞的发现
由以下三个组织之一来完成:
(1)黑客 (2)破译者软件漏洞 (3)安全服务商组织
管理者需要制定一个从新闻组、邮件列表、Web站点、FTP文档 等收集、分析以及抽取漏洞信息的策略,以便获取有用的信息。
第 9 页 / 共 20 页
二、系统脆弱性分析概述
3、漏洞对系统的威胁
漏洞对系统的威胁体现在恶意攻击行为对系统的威胁。 只有利用硬件、软件和策略上最薄弱的环节,恶意攻击者
作为风险管理的基础,风险评估是组织确定信息安全需求 的一个重要途径,属于组织信息安全管理体系策划的过程。
第 3 页 / 共 20 页
一、系统风险评估
2、风险评估目的和基本要素
风险评估的目的
(1)了解组织的安全现状 (2)分析组织的安全需求 (3)建立信息安全管理体系的要求 (4)制订安全策略和实施安防措施的依据 (5)组织实现信息安全的必要的、重要的步骤
CVE(Common Vulnerabilities and Exposures),漏洞标准 化组织。(http://cve.mitre.org/)
对于一个信息系统来说,它的安全性不在于它是否采用了最新的加密 算法或最先进的设备,而是由系统本身最薄弱之处,即漏洞所决定的。 --信息系统安全“木桶原则”
Biblioteka Baidu
目术人前员,忽“视应。用层的不安全调用”已成常为见新S的Q的WL关注e注入b应焦(S用点Q安,L全而in漏又je洞容ct有i易on:被)技
应用层中的漏洞才是最直接、最致命的,因为互联网的应用必须开放 端口,这时防火墙等设备已无能为力;网跨络站应脚本用攻连击接着单位的核心数
据,漏洞直接威胁着数据库中的数据;内恶部意人代码员通过内网的应用安全
SANS (SysAdmin, Audit, Network, Security) 的研究报告 (http://www.sans.org):Windows最关键的十大安全隐患
第 8 页 / 共 20 页
二、系统脆弱性分析概述
漏洞的类型
(1)管理漏洞 (2)软件漏洞 (3)结构漏洞 (4)信任漏洞
才可以得手。 目前,互联网上已有几万个黑客站点,而且黑客技术不断
创新,基本的攻击手法已达上千种。 多数情形下,计算机已经被网络入侵者完全控制,且被偷
走大量机密资料,而管理员却毫不知情。
第 10 页 / 共 20 页
二、系统脆弱性分析概述
4、系统脆弱性的主要类型
漏洞类型多样
如DNS与FTP协议的安全性、缓冲区溢出问题、拒绝服务和后门等, 通过各种应用软件表现。