信息安全基础知识讲座

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
❖ 获取或开发该资产的所需的成本; ❖ 维护和保护该资产所需的成本; ❖ 该资产对所有者和用户所具有的价值; ❖ 该资产对竞争对手所具有的价值; ❖ 知识产权的价值; ❖ 某人愿意为购买该资产所付出的价格; ❖ 在损失的情况下替换该资产所需的费用; ❖ 在该资产不可用的情况下损失的运行和工作能力; ❖ 该资产贬值时的债务问题; ❖ 该资产的用处;
❖ 如果一个防火墙有几个开放端口,那么入侵 者利用其中的一个端口对网络进行非授权访 问的可能性就会增大。如果网络没有安装入 侵检测系统,那么攻击在不引人注意的情形 下进行直到发现晚矣的可能性就大。降低脆 弱性或者是降低威胁因素就可以降低风险。
11
安全要素定义(4)
❖ 暴露(exposure) 是因威胁因素而遭受损失 的一个案例。
4
安全的基本原则
❖ 可用性(availability) 保证经过认证的用户 能够对数据和资源进行适时和可靠的访问。 (如DOS攻击)
❖ 完整性(integrity) 是指保证信息和系统的 准确性和可靠性,并禁止对数据的非授权的 修改。(如用户硬盘满了,不小心删除了重 要的文件。财务录入数据错误,工资3000写 成30000!!!)
网络安全基础知识
guangxi lzq
1
提纲
安全知识 攻击简介 安全措施
2
一、安全知识
3
什么是安全?
❖ 国际标准化组织(ISO)引用ISO74982文献 中对安全的定义是这样的,安全就是最大程 度地减少数据和资源被攻击的可能性。
❖ 对于我们而言,安全的关键,或者说一个安 全计划的目的是保护公司的财产。
❖ 风险分析有4个主要目标:
1. 标识财产和它们面临的威胁;
2. 量化潜在威胁的商业影响;
3. 计算风险;
4. 以及在风险影响和对策费用之间达到预算的
平衡。
16
风险分析中的三个主要步骤
第1步
指派资产和 信息价值
第2步
风险分析 和评估
第3步
选择和实施 防护措施
17
信息和资产的价值
❖ 附加于信息之上的价值与其涉及到的集团相 关,此外,为开发该信息而付出的代价,为 维护该信息而花费的资金,如果该信息丢失 或遭到破坏将带来的损失,如果另外一个集 团得到该信息能够获取的利益,等等这些都 与信息的价值相关。
❖ 简称AIC安全三原则:可用性(availability)、 完整性(integrity)和机密性 (confidentiality)
6
AIC安wenku.baidu.com三原则
可用性
安全对象
7
安全要素
❖ 脆弱性 ❖ 威胁 ❖ 风险 ❖ 暴露 ❖ 对策(或安全措施)
8
安全要素定义(1)
❖ 脆弱性(vulnerability) 是一种软件、硬件 或是过程缺陷,这种缺陷也许会给攻击者提 供他正在寻找的方便之门,这样他就能够进 入某台计算机或某个网络,并在这个系统中 对资源进行未经授权的访问。
❖ 存在脆弱性说明缺少了安全应该使用的安全 措施,或者安全措施比较脆弱。如,防火墙 上的某个开放端口,由于警卫的松懈使得任 何人都可以进入服务器室,或者是服务器和 工作站上没有加强管理的密码。
9
安全要素定义(2)
❖ 威胁(threat) 是对信息或系统任何潜在的 威胁。威胁就是某人或某事,将确定一个特 定的弱点,并用它来危害公司或个人。
❖ 一个非常重要的问题就是,如果该公司不保护这些 数据,将会造成多大的损失。
20
识别威胁
威胁因素 病毒 黑客 用户 火灾 雇员 承包人 攻击者 入侵者 雇员 攻击者
威胁和脆弱性之间的关系
❖ 一项对策可以是一个软件配置、硬件或者是 程序,它能够消除脆弱性或减小威胁因素利 用脆弱性的风险。对策可以是强有力的密码 管理措施,一个安全警卫,操作系统内部的 访问控制机制,安装防火墙进行访问控制, 还有员工安全意识培训等。
13
各个安全要素之间的关系
威胁因素
引起 威胁
利用 脆弱性
直接作用到
导致 风险
❖ 利用脆弱点的实体被称为威胁因素。 ❖ 威胁因素可能是通过防火墙上端口访问网络
的闯入者,违反安全策略进行数据访问的过 程,毁坏了设施的强台风,或是某个雇员, 他犯了一个不经意的错误,从而可能泄漏保 密信息或是破坏文件的完整性。
10
安全要素定义(3)
❖ 风险(risk) 是威胁因素利用脆弱性进行攻 击的可能性。或者说,风险是威胁因素利用 脆弱性所造成的损失的潜能或是可能性。
安全措施
资产
暴露
并引起一个
能够被预防,通过
可以破坏
14
自顶向下的方法
❖ 安全策略是公司安全计划的蓝图,为上层建 筑提供了必要的基础。如果安全计划以一个 坚实的基础开头,并且随着时间的推移向着 预定的目标发展,那么公司就不必在中间作 出大的改动。
没有蓝图 的房子
15
风险分析
❖ 风险分析(实际上是一种风险管理工具)是 识别风险及其可能造成的损失,从而调整安 全防卫措施的方法。风险是威胁因素利用脆 弱性损害系统或环境的可能性。风险分析用 来保证安全措施是划算的,并能适当而适时 地对威胁作出反应。
❖ 机密性(confidentiality) 提供了保证在每
一个数据处理和防止未经授权的信息泄漏的
交叉点上都能够加强必要的安全级别的能力。
(网络监控、肩窥、社交工程等)
5
安全的基本原则
❖ 可用性 防止服务和工作能力的崩溃。 ❖ 完整性 防止对系统和信息进行未经授权的修
改。 ❖ 机密性 防止未经授权而透露某些敏感信息。
18
构成价值的成本
❖ 数据的实际价值是获取、开发和维护它所需 要消耗的费用。该价值是由数据对其所有者 、授权用户和非授权用户所具有的价值来决 定的。
❖ 一项资产价值应该反映这样一种指标:当该 资产遭受损害时,将会造成多少可确定的代 价。
19
构成价值的成本
❖ 在给信息和资产定价的时候,下面的这些问题应该 被考虑到:
❖ 脆弱性可能导致一个组织遭受可能的损失。 如果密码管理非常随便松懈,密码规则也没 有得到加强,那么公司用户密码就有可能被 盗取并在没有授权的情况下被使用。如果一 个公司的规章制度没有得到监管,不预先采 取措施于防火警,那么它就有可能会遭受潜 在的毁坏性的火灾。
12
安全要素定义(5)
❖ 对策(countermeasure),或者安全措施, 可以减轻潜在的风险。
相关文档
最新文档