信息安全典型风险评估案例结果分析.pptx
合集下载
信息安全风险评估实例.pptx
8.4 识别并评估脆弱性
从技术和管理两方面对本项目的脆弱性进行评估。技术脆 弱性主要是通过使用极光远程安全评估系统进行系统扫描。 按照脆弱性工具使用计划,使用扫描工具对主机等设备进 行扫描,查找主机的系统漏洞、数据库漏洞、共享资源以 及帐户使用等安全问题。在进行工具扫描之后,结合威胁 分析的内容,根据得出的原始记录,进行整体分析。按照 各种管理调查表的安全管理要求对现有的安全管理制度及 其执行情况进行检查,发现其中的管理脆弱性。
依据GB/T 20984—2007《信息安全技术 信息安全风险评 估规范》和第7章信息安全风险评估的基本过程,对资产进行 分类并按照资产的保密性、完整性和可用性进行赋值。
8.2.1 识别资产 根据对××信息系统的调查分析,并结合业务特点和系统的 安全要求,确定了系统需要保护的资产,见表8-2。
表8-2 信息系统资产列表
资产名称
路由器-1 路由器-2 -2 防火墙-3 防病毒服务器 数据服务器 应用服务器
PC-1 PC-2 UPS 空调
表8-4 资产价值表
安全属性赋值
保密性
1 1 1 1 2 1 1 1 1 2 2 1 1 1 1
完整性
1 3 3 3 4 3 2 2 3 4 4 4 4 4 2
专网
路由器-2 华为NE40
防火墙1 SuperV-5318
交换机1 CATALYST4000
交换机2 CISCO3745
防火墙2 UTM-418D
路由器-1 CISCO3640
防火墙3 Secgate 3600-F3
PC
PC
网络管理
空
内部网络
交换机3
调
CISCO2950
Internet
信息安全风险评估教材.ppt
第二步 风险因素评估
• 1资产评估 • 识别信息资产,包括数据、软件、硬件、设备、 服务、文档等,制定《信息资产列表》 • 保密性、完整性、可用性是评价资产的三个安 全属性 • 风险评估中资产的价值不是以资产的经济价值 来衡量,而是由资产在这三个属性上的达成程 度或者其安全属性未达成时所造成的影响程度 来决定的。
风险要素关系
风险评估的两种方式
自评估和检查评估 1自评估 “谁主管谁负责,谁运营谁负责” 信息系统拥有者依靠自身力量,依据国家风险 评估的管理规范和技术标准,对自有的信息系 统进行风险评估的活动。 • 优点 • • • •
• • • • 有利于保密 有利于发挥行业和部门内人员的业务特长 有利于降低风险评估的费用 有利于提高本单位的风险评估能力与信息安全知识
风险评估的两种方式
• 2 检查评估 • 检查评估是由信息安全主管部门或业务部门发 起的一种评估活动,旨在依据已经颁布的法规 或标准,检查被评估单位是否满足了这些法规 或标准。 • 检查评估通常都是定期的、抽样进行的评估模 式 • 检查评估缺点:
• 间隔时间较长,如一年一次,通常还是抽样进行 • 不能贯穿一个部门信息系统生命周期的全过程,很 难对信息系统的整体风险状况作出完整的评价
风险评估的两种方式
• 无论是自评估,还是检查评估,都可以 委托风险评估服务技术支持方实施,如 国家测评认证机构或安全企业公司。
风险分析原理
• 风险分析中要涉及资产、威胁、脆弱性 三个基本要素。 • 风险分析原理图
风险分析原理
• 风险分析的主要内容为: • 1对资产进行识别,并对资产的价值进行赋值 • 2对威胁进行识别,描述威胁的属性(威胁主体,影响 对象,出现频率,动机等),并对威胁出现的频率赋 值 • 3对脆弱性进行识别,并对具体资产的脆弱性的严重程 度赋值 • 4根据威胁及威胁利用脆弱性的难易程度判断安全时间 发生的可能性 • 根据脆弱性的严重程度和安全事件所作用的资产的价 值计算安全事件造成的损失 • 根据安全事件发生的可能性以及安全事件出现后的损 失,计算安全事件一旦发生对组织的影响,即风险值
网络信息安全案例分析 ppt课件
PPT课件
10
1、某大学信息安全案例
案例简介
(5)访问权限难以控制 互联网上充斥了许多色情、 暴力、反动信息, 如何让学校、家长放心,使孩子 尽量远离这些不 良信息也是必须解决的一个问题。 (6)安全问题日益突出 来自校园内部或外部的网 络攻击行为不但 会影响校园网的正常运行,还可能 造成学校重要 数据的丢失、损坏和泄露,给、某大学信息安全案例
案例简介
(7)异常网络事件的审计和追查 当异常网络事件 发生后,如何尽快的追根溯 源,找出幕后“黑手”, 防止事件的再次发生, 成了网络维护人员不得不面 对的棘手问题。
(8)多个校区的管理和维护 由于现在校园网的规 模越来越大,呈现出多 校园、跨地区的特点,这就 要求网络管理员能对 分布在各个校区的管理、计费 设备进行管理和维 护,管理员的工作量相当大。
保证合法用户在需要时可以访问到信息及相关资源, 计算机系统可被合法用户访问并按要求的特性使用, 即当需要时能存取所需信息。
PPT课件
5
2、网络信息安全的特征
可控性
不可否 认性
指对流通在网络系统中的信息传播及具体内容能够实 现有效控制的特性,即网络系统中的任何信息要在一 定传输范围和存放空间内可控。除了采用常规的传播 站点和传播内容监控这种形式外,最典型的如密码的 托管政策,当加密算法交由第三方管理时,必须严格 按规定可控执行。
PPT课件
14
1、某大学信息安全案例
案例分析战略
(3)完善计费管理功能 系统可以支持以账号为单位的三大类、十 三种计费 方式,不同种类用户可以选择不同计费 方式。此外, 系统还能详细记录计费过程,以供 用户打印计费清 单、查阅详情;系统还根据客户 的信用状况,设定 对应的信用级别,采用不同的 催费方式,实现欠费 停机和强制下线功能。对校 园网中最常用的卡业务 也完全支持。
信息安全体系风险评估PPT课件
❖ 为什么要提出风险的概念 ▪ 安全事件的发生是有概率的.不能只根据安全事 件的后果便决定信息安全的投入和安全措施的 强度.对后果严重的极小概率事件,不能盲目投 入.因此,要综合考虑安全事件的后果影响及其 可能性,两者的综合便是风险的概念.
❖ 高风险要优先得到处理.
对基本要素的解释续
❖ 残余风险:采取了安全措施,提高了信息安全保障 能力后,仍然可能存在的风险.
脆弱性
资产
脆
弱
性
脆弱性
安全措施
残余风险
威胁
对各要素相互作用的解释
❖ 通过安全措施来对资产加以保护,对脆弱性加以弥 补,从而可降低风险;
❖ 实施了安全措施后,威胁只能形成残余风险. ❖ 某些情况下,也可能会有多个脆弱性被同时利用. ❖ 脆弱性与威胁是独立的,威胁要利用脆弱性才能造
对基本概念的解释续
❖威胁:一个单位的信息资产的安全可能受到的侵 害.威胁由多种属性来刻画:威胁的主体威胁源、 能力、资源、动机、行为、可能性和后果.
❖ 为什么要谈威胁 ▪ 如果没有威胁,就不会有安全事件.
威胁源
黑客 计算机罪犯
恐怖分子
动机
挑战 自负 反叛
破坏信息 非法泄漏信息 非法篡改数据 获取钱财
2
风险评估的基本概念
对基本概念的解释
❖业务战略:即一个单位通过信息技术手段实现的 工作任务.一个单位的业务战略对信息系统和信息 的依赖程度越高,风险评估的任务就越重要.
❖ 为什么要首先谈业务战略 ▪ 这是信息化的目的,一个信息系统如果不能实现 具体的工作任务,那么这个信息系统是没有用处 的.信息安全不是最终目的,信息安全要服务于 信息化.
信息安全体系风险评估
基本概念 重要意义 工作方式 几个关键问题
❖ 高风险要优先得到处理.
对基本要素的解释续
❖ 残余风险:采取了安全措施,提高了信息安全保障 能力后,仍然可能存在的风险.
脆弱性
资产
脆
弱
性
脆弱性
安全措施
残余风险
威胁
对各要素相互作用的解释
❖ 通过安全措施来对资产加以保护,对脆弱性加以弥 补,从而可降低风险;
❖ 实施了安全措施后,威胁只能形成残余风险. ❖ 某些情况下,也可能会有多个脆弱性被同时利用. ❖ 脆弱性与威胁是独立的,威胁要利用脆弱性才能造
对基本概念的解释续
❖威胁:一个单位的信息资产的安全可能受到的侵 害.威胁由多种属性来刻画:威胁的主体威胁源、 能力、资源、动机、行为、可能性和后果.
❖ 为什么要谈威胁 ▪ 如果没有威胁,就不会有安全事件.
威胁源
黑客 计算机罪犯
恐怖分子
动机
挑战 自负 反叛
破坏信息 非法泄漏信息 非法篡改数据 获取钱财
2
风险评估的基本概念
对基本概念的解释
❖业务战略:即一个单位通过信息技术手段实现的 工作任务.一个单位的业务战略对信息系统和信息 的依赖程度越高,风险评估的任务就越重要.
❖ 为什么要首先谈业务战略 ▪ 这是信息化的目的,一个信息系统如果不能实现 具体的工作任务,那么这个信息系统是没有用处 的.信息安全不是最终目的,信息安全要服务于 信息化.
信息安全体系风险评估
基本概念 重要意义 工作方式 几个关键问题
信息安全防护体系案例及分析经典课件(PPT41页)
VPN等新技术的研究和发展
13
信息安全案例教程:技术与应用
1. 信息安全防护的发展
❖ (3)信息保障阶段
❖ 1)信息保障概念的提出
❖ 20世纪90年代以后,信息安全在原来的概念上增加了信 息和系统的可控性、信息行为的不可否认性要求
❖ 人们也开始认识到安全的概念已经不局限于信息的保护, 人们需要的是对整个信息和信息系统的保护和防御,包括 了对信息的保护、检测、反应和恢复能力,除了要进行信 息的安全保护,还应该重视提高安全预警能力、系统的入 侵检测能力,系统的事件反应能力和系统遭到入侵引起破 坏的快速恢复能力。
11
信息安全案例教程:技术与应用
1. 信息安全防护的发展
❖ (2)网络信息安全阶段
❖ 保护对象:应当保护比“数据”更精炼的“信息”,确保 信息在存储、处理和传输过程中免受偶然或恶意的非法泄 密、转移或破坏。
❖ 保护内容:数字化信息除了有保密性的需要外,还有信息 的完整性、信息和信息系统的可用性需求,因此明确提出 了信息安全就是要保证信息的保密性、完整性和可用性, 即第一章中介绍的CIA模型。
14
信息安全案例教程:技术与应用
1. 信息安全防护的发展
❖ (3)信息保障阶段 ❖ 这一阶段的标志性工作是: ❖ 1996年,信息保障概念的提出 ❖ 通过确保信息和信息系统的可用性、完整性、保
密性、可认证性和不可否认性等特性来保护信息 系统的信息作战行动,包括综合利用保护、探测 和响应能力以恢复系统的功能。
2
信息安全案例教程:技术与应用
案例:伊朗核设施的瘫痪
3
信息安全案例教程:技术与应用
案例:伊朗核设施的瘫痪
4
信息安全案例教程:技术与应用
案例思考:
13
信息安全案例教程:技术与应用
1. 信息安全防护的发展
❖ (3)信息保障阶段
❖ 1)信息保障概念的提出
❖ 20世纪90年代以后,信息安全在原来的概念上增加了信 息和系统的可控性、信息行为的不可否认性要求
❖ 人们也开始认识到安全的概念已经不局限于信息的保护, 人们需要的是对整个信息和信息系统的保护和防御,包括 了对信息的保护、检测、反应和恢复能力,除了要进行信 息的安全保护,还应该重视提高安全预警能力、系统的入 侵检测能力,系统的事件反应能力和系统遭到入侵引起破 坏的快速恢复能力。
11
信息安全案例教程:技术与应用
1. 信息安全防护的发展
❖ (2)网络信息安全阶段
❖ 保护对象:应当保护比“数据”更精炼的“信息”,确保 信息在存储、处理和传输过程中免受偶然或恶意的非法泄 密、转移或破坏。
❖ 保护内容:数字化信息除了有保密性的需要外,还有信息 的完整性、信息和信息系统的可用性需求,因此明确提出 了信息安全就是要保证信息的保密性、完整性和可用性, 即第一章中介绍的CIA模型。
14
信息安全案例教程:技术与应用
1. 信息安全防护的发展
❖ (3)信息保障阶段 ❖ 这一阶段的标志性工作是: ❖ 1996年,信息保障概念的提出 ❖ 通过确保信息和信息系统的可用性、完整性、保
密性、可认证性和不可否认性等特性来保护信息 系统的信息作战行动,包括综合利用保护、探测 和响应能力以恢复系统的功能。
2
信息安全案例教程:技术与应用
案例:伊朗核设施的瘫痪
3
信息安全案例教程:技术与应用
案例:伊朗核设施的瘫痪
4
信息安全案例教程:技术与应用
案例思考:
__信息安全典型风险评估案例结果分析PPT共49页
__信息安全典型风险评估案例结果分析
56、死去何所道,托体同山阿。 57、春秋多佳日,登高赋新诗。 58、种豆南山下,草盛豆苗稀。晨兴 理荒秽 ,带月 荷锄归 。道狭 草木长 ,夕露 沾我衣 。衣沾 不足惜 ,但使 愿无违 。 59、相见无杂言,但道桑麻长。 60、迢迢新秋夕,亭亭月将圆。
▪
谢谢!
49
26、要使整个人生都过得舒适、愉快,这是不可能的,因为人类必须具备一种能应付逆境的态度。——卢梭
▪
27、只有把抱怨环境的心情,化为上进的力量,才是成功的保证。——罗曼·罗兰
▪
28、知之者不如好之者,好之者不如ቤተ መጻሕፍቲ ባይዱ之者。——孔子
▪
29、勇猛、大胆和坚定的决心能够抵得上武器的精良。——达·芬奇
▪
30、意志是一个强壮的盲人,倚靠在明眼的跛子肩上。——叔本华
56、死去何所道,托体同山阿。 57、春秋多佳日,登高赋新诗。 58、种豆南山下,草盛豆苗稀。晨兴 理荒秽 ,带月 荷锄归 。道狭 草木长 ,夕露 沾我衣 。衣沾 不足惜 ,但使 愿无违 。 59、相见无杂言,但道桑麻长。 60、迢迢新秋夕,亭亭月将圆。
▪
谢谢!
49
26、要使整个人生都过得舒适、愉快,这是不可能的,因为人类必须具备一种能应付逆境的态度。——卢梭
▪
27、只有把抱怨环境的心情,化为上进的力量,才是成功的保证。——罗曼·罗兰
▪
28、知之者不如好之者,好之者不如ቤተ መጻሕፍቲ ባይዱ之者。——孔子
▪
29、勇猛、大胆和坚定的决心能够抵得上武器的精良。——达·芬奇
▪
30、意志是一个强壮的盲人,倚靠在明眼的跛子肩上。——叔本华
信息安全风险及分析-PPT精选文档
许你的计算机正在被当作从事违法犯罪活动的 工具,而当这些悄悄发生的时候,你却一无所知,因 为你的电脑已经成为被别人控制的“僵尸电脑”。
2019年黑客事件
国内首起僵尸网络事件 今年27岁的徐立系唐山市某企业工人,其利用 某些手段在互联网上传播其编写的特定程序,先后植 入4万余台计算机,形成了中国首例BOTNET“僵尸网 络。 2019年10月至2019年1月,徐立操纵“僵尸网络” 对北京大吕黄钟电子商务有限公司所属音乐网站北京 飞行网(简称酷乐),发动多次攻击,致使该公司蒙 受重大经济损失,并导致北京电信数据中心某机房网 络设备大面积瘫痪。
2019年黑客事件
江民网站被攻击 2019年10月17日国内著名的杀毒软件厂商江民 公司的网站被一 名为河马史诗的黑客攻破,页面内容被篡改。
攻击缘由:江民公司的最新杀毒软件产品 KV2019的升级导致用户在上网时无法打开“邮件 监控和网页监控”,用户在江民公司的官方论坛发 反映后,江民没有做出及时的回复,也没能在短时 间内解决用户的问题。
2019年黑客事件
263游戏论坛遭黑客攻击关闭
2019年黑客事件
腾讯服务器被攻击 10月17日早上10时许,国内各地网民陆续腾讯QQ 无法登陆。据腾讯QQ内部技术人员透露,一国内团 体,利用腾讯QQ服务器漏洞要挟腾讯支付100万美 金作为“修复”费用,腾讯QQ不予理睬后,该组织 于17日正式发动攻击,腾讯QQ服务器在1个小时内 大面积出现故障,不得不全面终止进行抢修.本次行动 组织严谨、操作迅速,业内有部分安全管理人士称网 络进入软件绑架勒索时代。
全球信息安全损失数额:
年份 损失额
2019
2000
36亿美元
42亿美元
2019年黑客事件
国内首起僵尸网络事件 今年27岁的徐立系唐山市某企业工人,其利用 某些手段在互联网上传播其编写的特定程序,先后植 入4万余台计算机,形成了中国首例BOTNET“僵尸网 络。 2019年10月至2019年1月,徐立操纵“僵尸网络” 对北京大吕黄钟电子商务有限公司所属音乐网站北京 飞行网(简称酷乐),发动多次攻击,致使该公司蒙 受重大经济损失,并导致北京电信数据中心某机房网 络设备大面积瘫痪。
2019年黑客事件
江民网站被攻击 2019年10月17日国内著名的杀毒软件厂商江民 公司的网站被一 名为河马史诗的黑客攻破,页面内容被篡改。
攻击缘由:江民公司的最新杀毒软件产品 KV2019的升级导致用户在上网时无法打开“邮件 监控和网页监控”,用户在江民公司的官方论坛发 反映后,江民没有做出及时的回复,也没能在短时 间内解决用户的问题。
2019年黑客事件
263游戏论坛遭黑客攻击关闭
2019年黑客事件
腾讯服务器被攻击 10月17日早上10时许,国内各地网民陆续腾讯QQ 无法登陆。据腾讯QQ内部技术人员透露,一国内团 体,利用腾讯QQ服务器漏洞要挟腾讯支付100万美 金作为“修复”费用,腾讯QQ不予理睬后,该组织 于17日正式发动攻击,腾讯QQ服务器在1个小时内 大面积出现故障,不得不全面终止进行抢修.本次行动 组织严谨、操作迅速,业内有部分安全管理人士称网 络进入软件绑架勒索时代。
全球信息安全损失数额:
年份 损失额
2019
2000
36亿美元
42亿美元
信息安全-典型风险评估案例结果分析共47页
案例二
在1990年四月到1991年三月之间,荷兰的 黑客渗透进了34个国防计算机系统。他对系 统进行修改,从而获得了更高的访问权限。 他读取邮件,搜索敏感的关键字,比如象核 设施、武器、导弹等等,并且下载了很多军 事数据。
攻击完成后,他修改系统的日志以避免被探 测tions)
美国空军信息中心(Air Force Information
Warfare Center (AFIWC))估计这次攻击使 得政府为这次事件花费了$500,000。这包括将 网络隔离、验证系统的完整性、安全安全补丁、 恢复系统以及调查费用等等。
从计算机系统中丢失的及其有价值的数据的损失 是无法估量的。比如:罗马实验室用了3年的时 间,花费了400万美圆进行的空军指令性研究项 目,已经无法实施。
通过伪装成罗马实验室的合法用户,他们同 时成功的连接到了其他重要的政府网络,并 实施了成功的攻击。包括(National Aeronautics
and Space administration’s(NASA) Goddard Space Flight Center,Wright-Patterson Air Force Base,some Defense contractors, and other private sector
他们使用了木马程序和嗅探器(sniffer)来 访问并控制罗马实验室的网络。另外,他们 采取了一定的措施使得他们很难被反跟踪。
他们没有直接访问罗马实验室,而是首先拨 号到南美(智利和哥伦比亚),然后在通过 东海岸的商业Internet站点,连接到罗马实 验室。
攻击者控制罗马实验室的支持信息系统许多 天,并且建立了同外部Internet的连接。在 这期间,他们拷贝并下载了许多机密的数据, 包括象国防任务指令系统的数据。
02 案例分享2 信息安全风险评估报告(模板)
安全风险评估报告系统名称:xxxxxxxxxxx送检单位:xxxxxxxxxxxxxxxxxxxx合同编号:评估时间:2011年10月10日~2011年10月25日目录报告声明........................................... 错误!未定义书签。
委托方信息......................................... 错误!未定义书签。
受托方信息......................................... 错误!未定义书签。
风险评估报告单..................................... 错误!未定义书签。
1. 风险评估项目概述................................ 错误!未定义书签。
1.1. 建设项目基本信息............................. 错误!未定义书签。
1.2. 风险评估实施单位基本情况..................... 错误!未定义书签。
1.3. 风险评估活动概述............................. 错误!未定义书签。
1.3.1.风险评估工作组织过程...................... 错误!未定义书签。
1.3.2.风险评估技术路线.......................... 错误!未定义书签。
1.3.3.依据的技术标准及相关法规文件.............. 错误!未定义书签。
2. 评估对象构成.................................... 错误!未定义书签。
2.1. 评估对象描述................................. 错误!未定义书签。
2.2. 网络拓扑结构................................. 错误!未定义书签。
信息安全典型风险评估案例结果分析
全典型风险评估案例结果分析
PPT文档演模板
信息安全典型风险评估案例结果分析
3. 攻击行为的数量迅速增长
o DISA估计去年国防网络遭受了250,000次攻击。 被发现的攻击行为非常少,因此很难统计确切数字。 许多机构只发现了少量的攻击,在已经发现的这些 少量的攻击行为中,被报告的攻击行为又只占非常
PPT文档演模板
信息安全典型风险评估案例结果分析
2. 攻击行为的花费非常小,但是给国防系统带来的威 胁却非常大。攻击者已经控制了许多国防信息系统, 其中有些系统非常敏感,比如:武器研发、财政等 等。攻击者也经常偷窃、修改、破坏重要的数据和 软件。
在著名的“罗马实验室”案例中,两个黑客控 制了实验室的支持系统,并同外部的Internet站点 建立了连接,偷走了许多重要的数据。
PPT文档演模板
信息安全典型风险评估案例结果分析
PPT文档演模板
信息安全典型风险评估案例结果分析
2. 黑客的攻击手段
o 黑客的攻击手段多种多样,比较典型的是 sendmail攻击、口令攻击、数据窃听等等。
o 黑客在进攻计算机系统时,通常使用多种技 术或工具并利用系统的漏洞在网络上进行。
PPT文档演模板
o 2000年1月公布“保护网络空间国家计划”。
o 2003年3月公布“保护网络空间国家战略”
PPT文档演模板
信息安全典型风险评估案例结果分析
o 2001和2002财年的联邦政府信息安全管理报告, 将最重要的24个部门的信息安全的风险评估状况, 作为信息安全考核的6个指标之一,放在第一的位置。
o 2003财年的联邦政府信息安全管理报告,又将考核 的范围扩大了50个独立总局,并将风险评估基础上 的认证认可作为一项新考核指标。
PPT文档演模板
信息安全典型风险评估案例结果分析
3. 攻击行为的数量迅速增长
o DISA估计去年国防网络遭受了250,000次攻击。 被发现的攻击行为非常少,因此很难统计确切数字。 许多机构只发现了少量的攻击,在已经发现的这些 少量的攻击行为中,被报告的攻击行为又只占非常
PPT文档演模板
信息安全典型风险评估案例结果分析
2. 攻击行为的花费非常小,但是给国防系统带来的威 胁却非常大。攻击者已经控制了许多国防信息系统, 其中有些系统非常敏感,比如:武器研发、财政等 等。攻击者也经常偷窃、修改、破坏重要的数据和 软件。
在著名的“罗马实验室”案例中,两个黑客控 制了实验室的支持系统,并同外部的Internet站点 建立了连接,偷走了许多重要的数据。
PPT文档演模板
信息安全典型风险评估案例结果分析
PPT文档演模板
信息安全典型风险评估案例结果分析
2. 黑客的攻击手段
o 黑客的攻击手段多种多样,比较典型的是 sendmail攻击、口令攻击、数据窃听等等。
o 黑客在进攻计算机系统时,通常使用多种技 术或工具并利用系统的漏洞在网络上进行。
PPT文档演模板
o 2000年1月公布“保护网络空间国家计划”。
o 2003年3月公布“保护网络空间国家战略”
PPT文档演模板
信息安全典型风险评估案例结果分析
o 2001和2002财年的联邦政府信息安全管理报告, 将最重要的24个部门的信息安全的风险评估状况, 作为信息安全考核的6个指标之一,放在第一的位置。
o 2003财年的联邦政府信息安全管理报告,又将考核 的范围扩大了50个独立总局,并将风险评估基础上 的认证认可作为一项新考核指标。
公司整体信息安全风险评估及工作情况汇报课件
公司整体信息安全风险评估及工作情况汇报
1
10
10
10
10
10
10
10
10
10
10
10
10
10
10
10
10
10
10
10
10
10
10
10
10
10
10
10
10Leabharlann 10101010
10
10
10
10
10
10
10
10
10
10
10
11、最灵繁的人也看不见自己的背脊。、最灵繁的人也看不见自己 的背脊。————非洲非洲22、最困难的事情就是认识自己。、最困难的事情就是认识自己。————希腊希腊33、有勇气承担命运这才是英雄好汉。、有勇气承担命运这才是英 雄好汉。————黑塞黑塞44、与肝胆人共事,无字句处读书。、与肝胆人共事,无字句处读 书。————周恩来周恩来55、阅读使人充实,会谈使人敏捷,写作使人精确。、阅读使人充 实,会谈使人敏捷,写作使人精确。————培根培根
45
1
10
10
10
10
10
10
10
10
10
10
10
10
10
10
10
10
10
10
10
10
10
10
10
10
10
10
10
10Leabharlann 10101010
10
10
10
10
10
10
10
10
10
10
10
11、最灵繁的人也看不见自己的背脊。、最灵繁的人也看不见自己 的背脊。————非洲非洲22、最困难的事情就是认识自己。、最困难的事情就是认识自己。————希腊希腊33、有勇气承担命运这才是英雄好汉。、有勇气承担命运这才是英 雄好汉。————黑塞黑塞44、与肝胆人共事,无字句处读书。、与肝胆人共事,无字句处读 书。————周恩来周恩来55、阅读使人充实,会谈使人敏捷,写作使人精确。、阅读使人充 实,会谈使人敏捷,写作使人精确。————培根培根
45
信息安全风险评估标准化工作情况介绍104页PPT
6
1、前期研究准备
2019年7月, 中办发[2019]27号文件对开展信息
安全风险评估工作提出了明确的要求。国信办委托国家信 息中心牵头,成立了国家信息安全风险评估课题组,对信 息安全风险评估相关工作展开调查研究。课题组利用半年 多的时间,对我国信息安全风险评估现状进行了深入调查, 掌握了第一手情况;对国内外相关领域的理论进行了学习、 分析和研究,查阅了大量的相关资料,基本了解了此领域 的国际前沿动态。这些都为标准编制工作奠定了良好的基 础。
3 、针对网络与信息系统的全生命周期,制订适应不 同阶段特点和要求的风险评估实施方法;
4 、积极吸收信息安全有关主管部门和单位在等级保 护、保密检查和产品测评等工作的经验与成果;
5 、标准文本体系结构科学合理,表述清晰,具有可 实现性和可操作性。
11
在标准编制的过程中,标准起草组多次与相关主
管部门所属机构的专家代表就技术标准有关主体内容进行 会商;向相关单位发放标准文本,通过电子邮件等形式广 泛征求业界意见;召开标准讨论会议三十几次,共收集近 100条修改意见。
18
二、标准的主要内容
1、什么是风险评估 2、为什么要做风险评估 3、风险评估怎么做
19
1、什么是风险评估
信息安全风险评估,是从风险管理角
度,运用科学的方法和手段,系统地分析网 络与信息系统所面临的威胁及其存在的脆弱 性,评估安全事件一旦发生可能造成的危害 程度,提出有针对性的抵御威胁的防护对策 和整改措施。并为防范和化解信息安全风险, 或者将风险控制在可接受的水平,从而最大 限度地保障网络和信息安全提供科学依据 (国信办[2019]5号文件)。
具有
导出 降低
未控制
资产价值
成本
1、前期研究准备
2019年7月, 中办发[2019]27号文件对开展信息
安全风险评估工作提出了明确的要求。国信办委托国家信 息中心牵头,成立了国家信息安全风险评估课题组,对信 息安全风险评估相关工作展开调查研究。课题组利用半年 多的时间,对我国信息安全风险评估现状进行了深入调查, 掌握了第一手情况;对国内外相关领域的理论进行了学习、 分析和研究,查阅了大量的相关资料,基本了解了此领域 的国际前沿动态。这些都为标准编制工作奠定了良好的基 础。
3 、针对网络与信息系统的全生命周期,制订适应不 同阶段特点和要求的风险评估实施方法;
4 、积极吸收信息安全有关主管部门和单位在等级保 护、保密检查和产品测评等工作的经验与成果;
5 、标准文本体系结构科学合理,表述清晰,具有可 实现性和可操作性。
11
在标准编制的过程中,标准起草组多次与相关主
管部门所属机构的专家代表就技术标准有关主体内容进行 会商;向相关单位发放标准文本,通过电子邮件等形式广 泛征求业界意见;召开标准讨论会议三十几次,共收集近 100条修改意见。
18
二、标准的主要内容
1、什么是风险评估 2、为什么要做风险评估 3、风险评估怎么做
19
1、什么是风险评估
信息安全风险评估,是从风险管理角
度,运用科学的方法和手段,系统地分析网 络与信息系统所面临的威胁及其存在的脆弱 性,评估安全事件一旦发生可能造成的危害 程度,提出有针对性的抵御威胁的防护对策 和整改措施。并为防范和化解信息安全风险, 或者将风险控制在可接受的水平,从而最大 限度地保障网络和信息安全提供科学依据 (国信办[2019]5号文件)。
具有
导出 降低
未控制
资产价值
成本
信息安全应急响应与风险评估及加固 PPT
对业务过程的支持而涉及到IT
提供灾难发生后立即恢复业务 运行的流程
涉及到业务过程;并不关注IT; 仅限据其对业务过程的支持 而涉及到IT
提供在30天之内在备用站点 涉及到被认为是最关键的机
保持机构必要的战略功能的能 构使命子集;通常在总部级
力
制定;不关注IT
提供恢复主应用或通用支撑系 同IT应急计划;涉及到IT系统
应用系统、 数据安全
应数IS据用O1安系54全0统8(、CC)
ISO15408(CC在全)保内障部要管求理
环
境在下内的部安管 理在环复境杂下管的理安环 全保障要求 全保障要求
境在下复的杂安管 理在环强境对下抗的环安境下在的强安对全抗环境下的安全
全保障要求 保障要求
保障要求
整体框架
整IGAB体TF1框83信架36息
保障
技IA术TF框信架息;保 GB 18336
障技
术
框
架;
18
风险评估的主要内容
资产调查
IT设备弱点评估
安
业
全
务
威
分
胁
析
评
估
渗透测试
工具扫描弱点 主机弱点人工评估 网络配置弱点评估 安全设备弱点评估
网络架构安全评估 业务系统安全评估
安全管理评估
操作系统弱点评估 数据库弱点评估
风险分析
19
风险评估实施流程
ISOIS1SP5O841007087-,9953,满本IS要足O1求安540全8
管,
理
需满要足的安基全 本要求
管通理过需良要好的定基义过通程过来良提好 定对义安过全程管来理提能力对进安行全计管理能力进行计
高安全管理能力高安全管理能划力和跟踪
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
其它的攻击案例一
1995年到1996年,一个攻击者从亚立桑那 州利用互联网访问了一个美国大学的计算机 系统,以它为跳板,进入了美国海军研究实 验室、NASA、Los Alamos国家实验室的网 络中。这些网络中存储了大量绝密信息,比 如:飞机设计、雷达技术、卫星技术、武器 和作战控制系统等等。海军根本没有办法确 定那次攻击造成多么巨大的损失。
少的比例。这个估计的数字建立在DISA的漏洞分析 和评估的基础上。为了进行评估,DISA的人员从互
联网上发动攻击。从1992年来,DISA发动了 38,000次攻击活动,用以检测网络的受保护情况。
(如下图所示)
DISA对美军网络实施的38000次渗透性攻 击测试,24700次即65%的攻击行为取得了 成功。在这些成功的攻击中,只有988即4% 被发现。在被发现的攻击活动中,只有267 次即27%被报告给了DISA。也就是说,只 有不到1/150的攻击事件被报告。
DISA也维护了官方报道的有关攻击行为 的数据。下图显示了相关情况:
第三部分 重要结论
一. 评估结果简述
结论:针对国防计算机系统的攻击是非常严重的,国 防系统面临的威胁在不断的加重。
1. 攻击行为的确切数字很难统计,因为只有非常 小一部分被探测到并且被报告出来。然而DISA (Defense Information Systems Agency)的 数据显示,国防系统去年一年遭受了250,000的 攻击行为,其中有65%的攻击取得了成功。每年的 攻击行为都以两倍的速度在递增。
2. 攻击行为的花费非常小,但是给国防系统带来的威 胁却非常大。攻击者已经控制了许多国防信息系统, 其中有些系统非常敏感,比如:武器研发、财政等 等。攻击者也经常偷窃、修改、破坏重要的数据和 软件。
在著名的“罗马实验室”案例中,两个黑客控 制了实验室的支持系统,并同外部的Internet站点 建立了连接,偷走了许多重要的数据。
典型风险评估案例结果分析
贾颖禾 国务院信息化工作办公室网络与信息来自全组2004年6月11日
典型风险评估案例结果分 析
源自1996年美国国会总审计署(GAO)的 报告的研究
(GAO)
对国防部的计算机攻击带来不断 增加的风险
(Computer Attacks at Department of Defense Pose Increasing Risks)
案例二
在1990年四月到1991年三月之间,荷兰的 黑客渗透进了34个国防计算机系统。他对系 统进行修改,从而获得了更高的访问权限。 他读取邮件,搜索敏感的关键字,比如象核 设施、武器、导弹等等,并且下载了很多军 事数据。
攻击完成后,他修改系统的日志以避免被探 测到。
第二部分 现实
1.国防部的计算环境
他们使用了木马程序和嗅探器(sniffer)来 访问并控制罗马实验室的网络。另外,他们 采取了一定的措施使得他们很难被反跟踪。
他们没有直接访问罗马实验室,而是首先拨 号到南美(智利和哥伦比亚),然后在通过 东海岸的商业Internet站点,连接到罗马实 验室。
攻击者控制罗马实验室的支持信息系统许多 天,并且建立了同外部Internet的连接。在 这期间,他们拷贝并下载了许多机密的数据, 包括象国防任务指令系统的数据。
国防部有200个指挥中心、16个信息处理中心,2 百万个用户,210万台计算机,10,000个网络。
最高机密信息相对而言比较安全,有如下几个个 方面因素:
① 保存在物理隔离的网络中(边界) ② 经过机密处理(信息保护) ③ 只在安全的路经中传输(传输) ④ (美国国家通信系统的要求:第一等的用户,第一时间, ⑤ 第一个知道,第一个搞清楚,第一个行动)
2. 黑客的攻击手段
黑客的攻击手段多种多样,比较典型的是 sendmail攻击、口令攻击、数据窃听等等。
黑客在进攻计算机系统时,通常使用多种技 术或工具并利用系统的漏洞在网络上进行。
3. 攻击行为的数量迅速增长
DISA估计去年国防网络遭受了250,000次攻击。 被发现的攻击行为非常少,因此很难统计确切数字。 许多机构只发现了少量的攻击,在已经发现的这些 少量的攻击行为中,被报告的攻击行为又只占非常
罗马实验室(Rome Laboratory, New York)位于美国纽约州,是美国空军的一 个重要的军事设施。研究项目包括:战术模 拟系统、雷达引导系统、目标探测和跟踪系 统等等。该实验室在互联网上与多家国防研 究单位互联。
在1994年3月至4月间,两个黑客(一个英 国黑客、一个不明国籍)对该实验室进行了 多达150次的攻击。
organizations)
美国空军信息中心(Air Force Information
Warfare Center (AFIWC))估计这次攻击使 得政府为这次事件花费了$500,000。这包括将 网络隔离、验证系统的完整性、安全安全补丁、 恢复系统以及调查费用等等。
从计算机系统中丢失的及其有价值的数据的损失 是无法估量的。比如:罗马实验室用了3年的时 间,花费了400万美圆进行的空军指令性研究项 目,已经无法实施。
通过伪装成罗马实验室的合法用户,他们同 时成功的连接到了其他重要的政府网络,并 实施了成功的攻击。包括(National Aeronautics
and Space administration’s(NASA) Goddard Space Flight Center,Wright-Patterson Air Force Base,some Defense contractors, and other private sector
目的
匿名的和未授权的用户正在不断的攻击和 非法访问国防部计算机系统的敏感信息,给 国家安全带来了很大威胁。
在这种情况下,GAO被邀请对国防信息 网络进行风险评估,以便确定哪些国防系统 正在遭受攻击、信息系统受到损害的可能性 以及国防系统保护敏感信息所面临的挑战。
第一部分:典型个案
罗马实验室攻击案例