第2天 - 第1.2.3课风险评估风险识别(资产识别、威胁识别、脆弱性识别)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
14
中国信息安全认证中心 信息安全保障人员认证
信息安全问题
网络安全现状,
受控主机:我国1090万台主机被境外2.9万余服务器控制 网页篡改:24034个,其中2430个gov.vn 漏洞:7854个(CNVD),21/天
15
中国信息安全认证中心 信息安全保障人员认证
信息安全形势严峻
网银客户资金被盗时有发生,
16
中国信息安全认证中心 信息安全保障人员认证
信息安全形势严峻
木马“踏破”网银U盾 30秒窃30万
• 受害人李女士是网购用户,绊常使用工行网银,为安全起见,她特 意购买了U盾,“本以为有盾无忧”。2010年9月2日晚,李女士上网购 物时发现网银被窃,1个月前已被转出10800元。“我的电脑从没给其他 人用过,从没送修过,使用时也没有发现仸何异常,钱莫名其妙就被转 走了。”李女士说。
中国信息安全认证中心 信息安全保障人员认证
网络空间中的大数据时代
大数据的特征: 数据量大;TB-》PB-》ZB-》 类型多样;音、视、图、GPS、各类传感器产生的 非结构化数据等 运算高效; 产生价值;数据正成为企业的新型资产,可以从大 数据的融合中获得意想不到的有价值的信息。
名片全能王,云识别
21
中国信息安全认证中心 信息安全保障人员认证
棱 镜 计 划 ( PRISM ) ; 是 一 项 由 美 国 国 家 安 全 局 (NSA)自2007年起开始实施的绝密电子监听计划。该 计划的正式名号为“US-984XN”。
国家安全局在PRISM计划中可以获得的数据电子邮件、 视频和语音交谈、影片、照片、VoIP交谈内容、档案传 输、登入通知,以及社交网络。包括国家领导人、科研 机构、广大的手机用户和各大电信生产设备商。
美国非法窃听的主要对象之一就是中国,电信行业
和金融行业是主要的攻击目标。
网络空间生存环境异常复杂,威胁就在身边
美国网络空间攻击窃密工具49款
防火墙入侵工具
• HALLUXWATER、JETPLOW、FEEDTRPUGH……
路由器入侵工具
• HEADWATER、SCHOOLMONTANA……
服务器入侵工具
10
中国信息安全认证中心 信息安全保障人员认证
网络生活
11
中国信息安全认证中心 信息安全保障人员认证
网络生活
12
中国信息安全认证中心 信息安全保障人员认证
网络生活
13
中国信息安全认证中心 信息安全保障人员认证
信息安全形势严峻
整体运行平稳,安全可用。, 信息安全形势严峻
信息安全越来越重要,影响越来越大; 网络安全事件频发; 网络攻击来源广泛; 信息系统安全隐患突出
1
2
3
4
5
6
7
5
中国信息安全认证中心 信息安全保障人员认证
风险评估----GB/T 20984
信息安全风险评估(ISRA)
(Information security risk assessemt)
• 信息安全风险评估简称“风险评估”,是指依据有关信息 技术标准,对信息系统及由其处理、传输和存储的信息的 保密性、完整性和可用性等安全属性迚行科学、公正的综 合评估的活动过程。
1
2
3
4
5
6
7
8
中国信息安全认证中心 信息安全保障人员认证
风险评估----通俗理解
被动理念 生病
治病
发生了安全事件
积极理念 体检
补救
预防
风险评估
1
2
3
4
5
6
7
9
风险控制
中国信息安全认证中心 信息安全保障人员认证
为什么要开展信息安全风险评估
没有网络安全就没有国家安全
信息基础设施安全形势严峻,安全问题层出不穷, 不搞不行
第3章 风险评估乊风险识别
风险评估
本小节主要对风险评估的原则以及过程迚行介绉
安全服务综述
安全审查 风险评估 等级保护 渗透测试
漏洞挖掘
安全产品 安全服务
4
中国信息安全认证中心 信息安全保障人员认证
风险评估
•Байду номын сангаас风险评估:定义
• ISO Guide(2009):风险识别、风险分析和风险评价的全过程
• 服装厂老板肖先生则称,亊发当天,他正要汇款,电脑突然白屏。 过了一会儿,电脑才恢复正常,但一查账户余额,发现银行卡内的29万 余元丌见了。
•
17
中国信息安全认证中心 信息安全保障人员认证
信息安全形势严峻
零散黑客——利益
• 庭审中,被告人交代:
• 1986年出生,初中文化程度。他只是会使用木马,还算丌上 什么网络黑客。
•
“2010年4月,我找了个木马程序,侵入别人的计算机,盗
窃账户密码……我用电脑可以监视别人计算机使用过程。当时亊主
正在转账,他转账完成后,我趁他还没拔出U盾,就截取账号和
密码把钱转走。”
•
18
中国信息安全认证中心 信息安全保障人员认证
CYBERSPACE(网络空间)定义 信息安全的发展:信息保密 信息保护
具体内容:
• 评估信息系统的脆弱性、信息系统面临的威胁、脆弱性被 威胁利用的可能性以及被利用后所产生的实际负面影响, 幵根据安全亊件发生的可能性和负面影响的程度来识别信 息系统的安全风险。
1
2
3
4
5
6
7
6
中国信息安全认证中心 信息安全保障人员认证
什么是风险评估
信息安全风险评估就是从风险管理角度,运用科学 的方法和手段,系统地分析信息系统所面临的威胁及其 存在的脆弱性,评估安全事件一旦发生可能造成的危害 程度,提出有针对性的抵御威胁的防护对策和整改措施; 为防范和化解信息安全风险、将风险控制在可接受的水 平、最大限度地保障信息安全提供必要的科学依据。
• DEITYBOUNCE、GODSURGE……
计算机主机入侵工具
• GINSU、SWAP、IRATEMONK……
信息保障 网络空间安全
美国国防部定义 网际/网络空间是信息环境中的一种全球域,由相
互依存的信息技术基础设施网络组成,包括因特网、电信 网、计算机系统及嵌入式处理器和控制器。网络空间是 一个域,如同陆地、海洋、天空、空间,必须予以防卫。
19
中国信息安全认证中心 信息安全保障人员认证
网络空间无处不在
20
——国信办[2006]5号文件
7
中国信息安全认证中心 信息安全保障人员认证
风险评估----通俗理解
通俗的讲,信息系统的安全问题就如同人的 身体健康问题。发生了信息安全亊件,就如同人得 病了;解决问题,就如同治病,信息安全风险评估 就相当于体检。
体检是预防性的、系统性的,可以防患于未然; 治病是发生损失后的补救措施。