信息安全风险评估方案DOC
信息安全风险评估方案
信息安全风险评估方案1. 引言信息安全风险评估是组织或企业评估其信息系统和数据面临的潜在威胁和风险的过程。
在现代社会中,信息安全已经成为企业发展不可或缺的一部分。
为了有效地管理信息安全风险,企业需要制定和实施一套完善的信息安全风险评估方案。
本文将介绍一个基本的信息安全风险评估方案,并提供相关的指导和建议。
2. 信息安全风险评估流程信息安全风险评估流程是评估和识别企业面临的潜在信息安全威胁和风险的关键步骤。
以下是一个基本的信息安全风险评估流程:2.1. 初始规划阶段在初始规划阶段,应制定评估目标和范围,并确定项目组成员。
目标和范围的明确定义可以确保评估的准确性和完整性。
项目组成员应包括安全专家和业务负责人,以确保评估过程的多角度和全面性。
2.2. 风险识别阶段在风险识别阶段,项目组应收集和整理与企业信息系统和数据相关的信息,并分析可能存在的安全威胁和风险。
这可以通过调查、文件审查和访谈等方式完成。
根据风险识别结果,制定风险清单和风险评估模型。
2.3. 风险评估阶段在风险评估阶段,项目组对风险清单中的每一项风险进行评估。
评估的方法可以采用定性和定量两种方式。
定性评估侧重于风险的影响和概率,定量评估则基于风险事件的可能性和影响程度进行数值计算。
2.4. 风险分析与决策阶段在风险分析与决策阶段,项目组应对评估结果进行分析,确定风险的优先级,并提出针对风险的控制和管理措施。
根据风险评估结果,制定信息安全政策和流程,并制定应对不同风险事件的预案与措施。
2.5. 风险监控与反馈阶段在风险监控与反馈阶段,项目组应监控已实施的风险控制措施的有效性,并定期检查评估结果,及时反馈风险变化和新的安全威胁。
3. 信息安全风险评估工具和技术信息安全风险评估工具和技术在评估流程中起到关键的作用。
以下是一些常用的信息安全风险评估工具和技术:3.1. 漏洞扫描工具漏洞扫描工具可以自动检测和识别系统中存在的漏洞和弱点。
利用这些工具,管理员可以及时发现并修复系统中的漏洞,从而降低系统被攻击的风险。
信息安全风险评估方案
信息安全风险评估方案1. 简介信息安全风险评估是为了识别和评估组织在信息技术领域面临的各种风险,并采取相应的措施来减轻这些风险的方法。
本方案旨在帮助组织进行全面的信息安全风险评估,并提供指导和建议,以确保信息系统和数据的安全。
2. 目标与范围2.1 目标•识别可能的信息安全风险和威胁;•评估各种信息安全风险的严重性和潜在影响;•制定相应的风险管理策略和措施;•提供信息安全风险评估报告和建议。
2.2 范围•评估组织的信息系统、网络设备和基础设施的安全性;•分析与信息系统相关的人员、流程和技术的风险因素;•考虑外部环境和法规对信息安全的影响;•推荐和制定针对性的风险减轻措施和应急响应计划。
3. 方法和流程3.1 方法•资产调查和分类:确定关键信息系统、数据和设备,并将其按照重要性和敏感程度进行分类。
•风险识别:识别潜在的信息安全威胁和风险因素,包括恶意软件、漏洞利用、物理入侵等。
•风险评估:评估各种风险的潜在影响和可能性,并进行定量或定性的分析。
•风险管理:确定适当的风险管理策略和措施,包括风险转移、风险减轻和风险接受等。
•监控和持续改进:建立监测和评估机制,及时发现和处理新的风险,并持续改进信息安全管理体系。
3.2 流程3.2.1 资产调查和分类•识别和记录关键信息系统、数据和设备;•确定资产的价值和敏感程度;•划分资产的分类,如机密性、完整性和可用性。
3.2.2 风险识别•收集和分析有关信息安全风险的数据和情报;•定期进行安全漏洞扫描和渗透测试;•监测网络和系统日志,发现异常活动和潜在的威胁。
3.2.3 风险评估•评估各种风险的潜在影响和可能性;•进行风险定量或定性分析,确定风险的级别和优先级;•制定风险评估报告,包括风险的描述、分析结果和建议措施。
3.2.4 风险管理•根据风险评估结果,确定适当的风险管理策略;•制定风险减轻措施,包括技术、组织和管理方面的措施;•制定应急响应计划,以应对潜在的安全事件和事故。
信息安全风险评估计划
信息安全风险评估计划篇一:信息安全风险评估实施细则XXX公司信息安全风险评估实施细则二〇〇八年五月编制说明根据《XXX公司信息安全风险评估实施指南》和《XXX公司信息安全风险评估实施细则》(试行),近年来公司组织开展了风险评估常态化推广,通过多年对实施细则的应用、实践与总结,需要进一步对实施细则的内容进行调整和完善。
另一方面,随着国家对信息系统安全等级保护等相关政策、标准和基本要求,和公司信息化“SG186”工程安全防护总体方案和公司网络与信息系统安全隔离实施指导意见要求,也需要进一步对实施细则内容进行修订。
本细则主要修订了原有试行细则第四章脆弱性评估部分的具体内容。
主要包括:1、在原有基础上,增加或修改了信息安全管理评估、信息安全运行维护评估、信息安全技术评估的具体要求。
为保持本实施细则的可操作性,针对新增的具体要求,按原细则格式添加了标准分值、评分标准和与资产的安全属性(C、I、A)的对应关系。
目前,调整后总分值从原先的3000分调整至5000分,其中,管理占1800分、运行维护占1400分、技术占1800分。
2、为了与公司等级保护评估相结合并对应,框架结构方面,将信息安全运行维护评估(第 4.2节)中的“物理环境安全”部分调整至信息安全技术评估(第4.3.1小节),在信息安全技术评估中新增了“数据安全及备份恢复”(第4.3.8小节);具体内容方面,在每项具体要求新增了等级保护对应列。
目录1.2. 前言.................................................................................................... .............................. 1 资产评估.................................................................................................... . (2)2.1. 资产识别.................................................................................................... (2)2.2. 资产赋值.................................................................................................... (3)3. 威胁评估.................................................................................................... . (6)4. 脆弱性评估.................................................................................................... . (10)4.1. 信息安全管理评估.................................................................................................114.1.1. 安全方针.................................................................................................... .. (11)4.1.2. 信息安全机构.................................................................................................134.1.3. 人员安全管理.................................................................................................174.1.4. 信(本文来自: 千叶帆文摘:信息安全风险评估计划)息安全制度文件管理 (19)4.1.5. 信息化建设中的安全管理 (23)4.1.6. 信息安全等级保护 (29)4.1.7. 信息安全评估管理 (32)4.1.8. 信息安全的宣传与培训 (32)4.1.9. 信息安全监督与考核 (34)4.1.10. 符合性管理...................................................................................................364.2. 信息安全运行维护评估 (37)4.2.1. 信息系统运行管理 (37)4.2.2. 资产分类管理.................................................................................................414.2.3. 配置与变更管理 (42)4.2.4. 业务连续性管理 (43)4.2.5. 设备与介质安全 (46)4.3. 信息安全技术评估.................................................................................................504.3.1. 物理安全.................................................................................................... .. (50)4.3.2. 网络安全.................................................................................................... .. (53)4.3.3. 操作系统安全.................................................................................................604.3.4. 数据库安全.....................................................................................................724.3.5. 通用服务安全.................................................................................................814.3.6. 应用系统安全.................................................................................................854.3.7. 安全措施.................................................................................................... .. (90)4.3.8. 数据安全及备份恢复 (94)1. 前言1.1. 为了规范、深化XXX公司信息安全风险评估工作,依据国家《信息系统安全等级保护基本要求》、《XXX公司信息化“SG186”工程安全防护总体方案》、《XXX公司网络与信息系统安全隔离实施指导意见》、《XXX公司信息安全风险评估管理暂行办法》、《XXX 公司信息安全风险评估实施指南》(以下简称《实施指南》),组织对《XXX公司信息安全风险评估实施细则》进行了完善。
信息安全风险评估方案
信息安全风险评估方案1. 背景信息安全风险评估是为了评估组织的信息系统或数据所面临的潜在风险,并制定相应的安全措施来减轻这些风险。
本方案旨在为组织提供一个系统化的方法,以识别和评估信息安全风险。
2. 目标本方案的目标是提供一个全面而有效的信息安全风险评估方案,包括以下几个方面:- 系统化的风险识别和评估方法;- 针对不同类型风险的具体措施建议;- 客观、准确、可靠的评估结果;- 基于评估结果的详细报告和建议。
3. 方法3.1 风险识别风险识别是评估信息安全风险的第一步。
我们将采用以下方法识别潜在的信息安全风险:- 审查组织的信息系统和数据处理流程;- 进行信息资产清单,确定重要的信息资产;- 进行系统漏洞扫描,发现可能的漏洞;- 分析过去的安全事件和事故,了解已有的风险。
3.2 风险评估风险评估是对风险进行定性和定量评估的过程。
我们将采用以下方法评估信息安全风险:- 根据风险的可能性和影响程度,对风险进行定性评估;- 使用合适的风险评估工具和方法,对风险进行定量评估;- 将定性和定量评估的结果进行综合,确定风险的优先级。
3.3 风险控制和管理根据风险评估的结果,我们将提供相应的风险控制和管理措施建议,以帮助组织减轻信息安全风险。
这些建议可能包括:- 加强物理安全措施,如安装监控摄像头、加密锁等;- 加强网络安全措施,如设立防火墙、加密通信等;- 强化员工安全意识培训,提高信息安全意识。
4. 评估结果和报告根据风险评估的结果,我们将生成详细的评估报告,包括以下内容:- 风险识别和评估的过程和方法;- 风险的定性和定量评估结果;- 风险控制和管理的建议;- 风险评估的总结和结论。
5. 实施计划根据评估报告的建议,组织将制定一个实施计划,以逐步减轻信息安全风险。
实施计划可能包括:- 风险控制和管理措施的实施时间表;- 负责人和相关人员的责任和任务;- 监测和评估实施效果的方法和指标。
6. 总结本方案提供了一个系统化和综合的信息安全风险评估方案,为组织提供了识别、评估和管理信息安全风险的方法和建议。
信息安全风险评估方案报告.doc
信息安全风险评估方案报告1 附件:国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式项目名称:项目建设单位:风险评估单位:年月日目录一、风险评估项目概述(1)1.1工程项目概况(1)1.1.1 建设项目基本信息(1)1.1.2 建设单位基本信息(1)1.1.3承建单位基本信息(2)1.2风险评估实施单位基本情况(2)二、风险评估活动概述(2)2.1风险评估工作组织管理(2)2.2风险评估工作过程(3)2.3依据的技术标准及相关法规文件(3)2.4保障与限制条件(3)三、评估对象(3)3.1评估对象构成与定级(3)3.1.1 网络结构(3)3.1.2 业务应用(3)3.1.3 子系统构成及定级(4)3.2评估对象等级保护措施(4)3.2.1XX子系统的等级保护措施(4)3.2.2子系统N的等级保护措施(4)四、资产识别与分析(5)4.1资产类型与赋值(5)4.1.1资产类型(5)4.1.2资产赋值(5)4.2关键资产说明(5)五、威胁识别与分析(6)5.2威胁描述与分析(6)5.2.1 威胁源分析(6)5.2.2 威胁行为分析(6)5.2.3 威胁能量分析(6)5.3威胁赋值(6)六、脆弱性识别与分析(7)6.1常规脆弱性描述(7)6.1.1 管理脆弱性(7)6.1.2 网络脆弱性(7)6.1.3系统脆弱性(7)6.1.4应用脆弱性(7)6.1.5数据处理和存储脆弱性(8) 6.1.6运行维护脆弱性(8)6.1.7灾备与应急响应脆弱性(8) 6.1.8物理脆弱性(8)6.2脆弱性专项检测(8)6.2.1木马病毒专项检查(8)6.2.2渗透与攻击性专项测试(8)6.2.3关键设备安全性专项测试(8)6.2.4设备采购和维保服务专项检测(8) 6.2.5其他专项检测(8)6.2.6安全保护效果综合验证(8)6.3脆弱性综合列表(8)七、风险分析(9)7.1关键资产的风险计算结果(9)7.2关键资产的风险等级(9)7.2.1 风险等级列表(9)7.2.3 基于脆弱性的风险排名(10)7.2.4 风险结果分析(10)八、综合分析与评价(10)九、整改意见(10)附件1:管理措施表(11)附件2:技术措施表(12)附件3:资产类型与赋值表(15)附件4:威胁赋值表(15)附件5:脆弱性分析赋值表(16)。
信息安全风险评估报告【Word版】
4
5.1 威胁数据采集 ......................................... 5 5.2 威胁描述与分析 ........................................ 5 5.2.1 威胁源分析 .............................................................................................. 5 5.2.2 威胁行为分析 .......................................................................................... 5 5.2.3 威胁能量分析 .......................................................................................... 5 5.3 威胁赋值 ............................................. 5 六、脆弱性识别与分析
第 2 页 共 20 页
4
4.1 资产类型与赋值 ........................................ 4 4.1.1 资产类型 .................................................................................................... 4 4.1.2 资产赋值 .................................................................................................... 4 4.2 关键资产说明 ......................................... 4 五、威胁识别与分析 ......................................
信息安全风险评估方案
信息安全风险评估方案
信息安全风险评估是一个系统的、持续性的、全面性的工作,它旨在评估组织的信息系统和信息资产所面临的各种威胁和风险。
下面是一个信息安全风险评估的方案,共分为五个步骤。
第一步:确定信息系统和信息资产
首先要确定组织的信息系统和信息资产包括哪些,这包括各类硬件设备、软件系统、数据、网络以及相关的人员和流程等。
第二步:分析威胁和漏洞
在这一步中,需要对已确定的信息系统和信息资产进行分析,找出其所面临的各类威胁和潜在的漏洞。
可以通过分析历史数据、参考相关文献、进行技术测试等方式来确定威胁和漏洞。
第三步:评估风险等级
在这一步中,需要对已识别的威胁和漏洞进行评估,确定其对组织的影响程度和潜在损失,并评估其发生的可能性。
可以使用一些标准方法,如概率和影响矩阵、风险评估矩阵等来评估风险等级。
第四步:制定风险控制措施
在确定了各类威胁和漏洞的风险等级后,下一步是制定相应的风险控制措施。
根据风险等级的不同,可以采取不同的控制措施,如加强网络安全防护措施、完善系统的备份和恢复机制、加强员工的安全意识培养等。
第五步:监控和改进措施
在完成风险控制措施后,还需要对其进行持续的监控和改进。
可以使用一些监控和测量工具来实时监控系统的安全性,对系统的风险等级进行动态调整,并根据监控结果不断改进措施,以提高系统的整体安全性和抵御能力。
以上是一个简要的信息安全风险评估方案,每个步骤都需要细致而周全的工作,以确保对组织的信息系统安全风险进行准确评估,并采取适当的措施进行控制和管理。
信息安全风险评估需求方案
项目目标
2. 根据评估结果,提出相应的解决方案和建议,包括 技术、管理和流程等方面的措施。
4. 为企业制定符合国家法律法规和标准要求的信息安 全管理制度和规范提供参考。
02
CATALOGUE
项目需求分析
风险评估范围与内容
01
02
依据。
03
定期进行风险评估
在项目实施过程中,定期进行风险评估,及时发现和应对新出现的风险
。
风险应对策略与措施
制定风险应对策略
根据风险评估结果,制定相应的风险应对策略, 如规避、转移、减轻、接受等。
制定风险应对措施
针对每一种风险应对策略,制定具体的应对措施 ,包括技术措施、组织措施、人员措施等。
更新风险管理计划
落实风险处置措施
按照制定的风险处置方案,落实各项措施,确保风险得到有效控 制。
提出改进建议
根据风险评估结果,提出针对组织信息安全管理体系的改进建议 ,不断完善和提升信息安全水平。
04
CATALOGUE
项目资源需求
人力资源需求
1 2
安全风险评估团队
需要一支专业的安全风险评估团队,具备安全风 险评估的专业知识和技能,能够全面、准确地评 估信息安全风险。
项目经理
需要一位有经验的项目经理,负责整个项目的规 划、执行和监控,确保项目按时、按质完成。
3
技术支持人员
需要一些技术支持人员,负责系统的维护和技术 问题的解决。
技术资源需求
风险评估工具
需要一套完善的风险评估工具,能够自动或半自动地进行安全风险 评估,提高评估效率和准确性。
安全漏洞扫描器
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第一章网络安全现状与问题1.1目前安全解决方案的盲目性现在有很多公司提供各种各样的网络安全解决方案,包括加密、身份认证、防病毒、防黑客等各个方面,每种解决方案都强调所论述方面面临威胁的严重性,自己在此方面的卓越性,但对于用户来说这些方面是否真正是自己的薄弱之处,会造成多大的损失,如何评估,投入多大可以满足要求,对应这些问题应该采取什麽措施,这些用户真正关心的问题却很少有人提及。
1.2网络安全规划上的滞后网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时,往往是头痛医头、脚痛医脚,面对层出不穷的安全问题,疲于奔命,再加上各种各样的安全产品与安全服务,使用户摸不着头脑,没有清晰的思路,其原因是由于没有一套完整的安全体系,不能从整体上有所把握。
在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下,安全规划显然未跟上网络管理方式发展的趋势。
第二章网络动态安全防范体系用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象,它们过分强调了某个方面的重要性,而忽略了安全构件(产品)之间的关系。
因此在客户化的、可操作的安全策略基础上,需要构建一个具有全局观的、多层次的、组件化的安全防御体系。
它应涉及网络边界、网络基础、核心业务和桌面等多个层面,涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。
静态的安全产品不可能解决动态的安全问题,应该使之客户化、可定义、可管理。
无论静态或动态(可管理)安全产品,简单的叠加并不是有效的防御措施,应该要求安全产品构件之间能够相互联动,以便实现安全资源的集中管理、统一审计、信息共享。
目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点,因此即使是多层面的安全防御体系,如果是静态的,也无法抵御来自外部和内部的攻击,只有将众多的攻击手法进行搜集、归类、分析、消化、综合,将其体系化,才有可能使防御系统与之相匹配、相耦合,以自动适应攻击的变化,从而形成动态的安全防御体系。
网络的安全是一个动态的概念。
网络的动态安全模型能够提供给用户更完整、更合理的安全机制,全网动态安全体系可由下面的公式概括:网络安全 = 风险分析 + 制定策略 + 防御系统+ 安全管理+ 安全服务动态安全模型,如图所示。
动态安全体系从安全体系的可实施、动态性角度,动态安全体系的设计充分考虑到风险评估、安全策略的制定、防御系统、安全管理、安全服务支持体系等各个方面,并且考虑到各个部分之间的动态关系与依赖性。
进行风险评估和提出安全需求是制定网络安全策略的依据。
风险分析(又称风险评估、风险管理),是指确定网络资产的安全威胁和脆弱性、并估计可能由此造成的损失或影响的过程。
风险分析有两种基本方法:定性分析和定量分析。
在制定网络安全策略的时候,要从全局进行考虑,基于风险分析的结果进行决策,建议公司究竟是加大投入,采取更强有力的保护措施,还是容忍一些小的损失而不采取措施。
因此,采取科学的风险分析方法对公司的网络进行风险分析是非常关键的。
一旦确定有关的安全要求,下一步应是制定及实施安全策略,来保证把风险控制在可接受的范围之内。
安全策略的制定,可以依据相关的国内外标准或行业标准,也可以自己设计。
有很多方法可以用于制定安全策略,但是,并不是每一组安全策略都适用于每个信息系统或环境,或是所有类型的企业。
安全策略的制定,要针对不同的网络应用、不同的安全环境、不同的安全目标而量身定制,各公司应该按照自己的要求,选择合适的安全体系规划网络的安全。
制定自己的安全策略应考虑以下三点内容:(1)评估风险。
(2)企业与合作伙伴、供应商及服务提供者共同遵守的法律、法令、规例及合约条文。
(3)企业为网络安全运作所订立的原则、目标及信息处理的规定。
安全管理贯穿在安全的各个层次实施。
实践一再告诉人们仅有安全技术防范,而无严格的安全管理体系相配套,是难以保障网络系统安全的。
必须制定一系列安全管理制度,对安全技术和安全设施进行管理。
从全局管理角度来看,要制定全局的安全管理策略;从技术管理角度来看,要实现安全的配置和管理;从人员管理角度来看,要实现统一的用户角色划分策略,制定一系列的管理规范。
实现安全管理应遵循以下几个原则:可操作性原则;全局性原则;动态性原则;管理与技术的有机结合;责权分明原则;分权制约原则;安全管理的制度化。
第三章动态风险分析根据木桶原理,木桶所能容纳水的多少是由木桶壁中最短那块木头决定的,同样,一个网络系统中最主要的威胁是由最薄弱的安全漏洞决定的,往往解决最主要的安全问题可以使系统的安全性有很大提高。
动态风险分析主要解决的问题就是系统的从错综复杂的用户环境中找出被评估系统中的薄弱之处,评估发生此类问题造成的损失,提供最佳的解决方案,使用户清楚的知道被评估系统中面临的威胁是什麽,最主要的问题是什麽,避免在网络安全方面的盲目性,获得最佳的投资效费比。
如下图所示3.1定义范围动态安全风险分析的第一步就是要确定被保护系统的范围,即确定我们有什么资源、要保护什么资源,如:●信息发布系统,WWW系统等。
●办公系统,如Email系统、总部及分部办公系统等。
其次是要定义用户对选定资源中各系统的关切顺序,不同系统遭受破坏后带来的损失是不一样的,如交易系统中的交易服务器的重要程度应是最高的。
3.2威胁评估与分析确定了风险管理范围后,在充分分析系统现状的基础上,一方面进一步分析可能存在的安全威胁,及其传播途径,另一方面通过对网络、系统等各个环节的脆弱性分析,验证这些威胁对系统的危害程度,找出主要安全问题。
3.2.1现状调查与分析现状调查是风险管理的基础,根据用户的总体要求对用户环境和安全现状进行全面和细致的调查,可以准确理解用户安全需求。
下一步进行的威胁分析及脆弱性分析将针对用户环境中的网络系统、服务器系统、应用系统以及数据系统等展开安全分析工作,因此用户现状调查也必须针对这些方面进行。
用户现状调查的主要内容如下图所示。
最后生成用户现状调查总结是对用户现状调查过程的总结报告。
它总结性描述我公司对用户现状及用户系统安全性的大概印象。
包括以下内容:●用户环境中各个设备及所含系统的大致情况,主要针对与安全漏洞有关的项目。
●用户对安全策略的要求。
●对用户系统安全性的初步分析。
3.2.2面临威胁种类由于政府业是个开放化、社会化的行业,其信息系统由封闭式系统逐步转向开放式系统,势必存在着诸多不安全风险因素,主要包括:➢系统错误主要包括系统设计缺陷、系统配置管理问题等,如操作系统漏洞、用户名管理问题,弱身份认证机制等;➢内部人员作案个别政府职员利用自己掌握的内部系统或数据信息,从事非法挪用资金、破坏系统等活动;➢黑客攻击黑客主要利用分部工作站、电话、互联网等设备进行非法网络或查看、复制、修改数据,常见攻击手法有:后门由于设计、维护或者黑客的攻击而产生的计算机系统的一个安全漏洞,通过它一个隐藏的软件或硬件工具可以绕过安全系统的控制进行信息访问。
缓冲区溢出大量的数据进入程序堆栈,导致返回地址被破坏,恶意准备的数据能够导致系统故障或者非授权访问的产生。
口令破解通过工具对加密密码进行破解的方法,系统管理员也可用来评估系统用户密码的健壮性。
网络监听通过监听网络上的数据包,来获取有关信息的行为,常见于以太网中。
黑客可以使用它捕获用户名和密码,同时也被网络管理人员用来发现网络故障。
欺骗出于一种有预谋的动机,假装成IP网络上另一个人或另一台机器,以便进行非法访问。
常见的欺骗有以下几种:DNS欺骗冒充其他系统的DNS,提供虚假的IP地址和名字之间的解析。
路由欺骗向其它路由器提供虚假的路由,导致网络不能正常访问或者信息的泄露。
IP劫持未经授权的用户对经过授权的会话(TCP连接)的攻击行为,使该用户以一个已经通过授权的用户角色出现,完成非授权访问。
IP地址盗用非法使用未分配给自己的IP地址进行的网络活动。
击键监视记录用户的每一次击键和信息系统反馈给用户的每一个字符的活动。
跳跃式攻击通过非法获得的未授权访问,从一个被攻击的主机上进行危及另一个主机安全的活动。
恶意邮件一种针对开放系统的含有恶意数据的电子邮件,如果打开邮件,就会对系统产生破坏或导致信息的泄露。
逻辑炸弹故意被包含在一个系统中的软件、硬件或固件中,看起来无害,当其被执行时,将引发未授权的收集、利用、篡改或破坏数据的行为,如特洛伊木马。
根工具包(Rootkit)一种黑客工具集合,可以截获被入侵计算机上传送的信息、掩饰系统已被入侵的事实或提供后门等。
拒绝服务一种通过网络来阻止一个信息系统的部分或全部功能正常工作的行为,常见的拒绝服务如下。
邮件炸弹发送给单个系统或人的大量的电子邮件,阻塞或者破坏接收系统。
ICMP包泛滥攻击(IP Smurf)攻击者利用伪造的源IP地址,频繁地向网络上的广播地址发送无用的ICMP 数据包,造成网络上流量的增大,从而妨碍了正常的网络服务。
数据拥塞(Spam )通过输入过分大的数据使得固定网站缓冲区溢出,从而破环程序。
或是,将一些无用的或不相关的信息灌入到某个人或某个新闻组的信箱内,使其数据溢出。
TCP连接拥塞(SYN Flood)大量的TCP SYN数据包拥塞被攻击机器,导致无法建立新的连接。
蠕虫能在因特网上进行自我复制和扩散的一种计算机程序,它极大地耗费网络资源,造成拒绝服务。
拨号服务查找器(Wild Dialer)通过MODEM拨号,在电话网中搜寻能提供MODEM拨号服务的系统的工具。
网络扫描一种通过发送网络信息,获得其它网络连接状态的行为。
➢病毒将自身连接到可执行文件、驱动程序或文件模板上,从而感染目标主机或文件的可自我复制、自我传播的程序3.2.3威胁产生途径面对上述种种威胁,如果逐个分析每种威胁,就会陷入舍本逐末的工作中而无法自拔,对系统的安全建设没有实际指导意义,我们应将重点集中在可能发生的威胁及它将如何发生这两个问题上来。
先来分析威胁发生的途径,针对网络系统,其主要面对来自两方面的威胁:➢来自周边系统的威胁政府信息系统在由封闭式系统逐步转向开放式系统的过程中,与外界的接口也在不断增多,由原来只与总部接口逐渐扩大到与电信接口、银行接口、与Internet接口等,在带来业务上发展同时,也带来可能遭受攻击的途径,包括:●来自公司其他部门的危险因素●来自Internet的危险因素即有多少接口就有多少威胁发生的途径。
➢来自内部的威胁通过对网络已有犯罪案例的分析可以发现,内部犯罪一直以其严重的危害性与相对较高的成功机率给网络带来巨大损失,其威胁途径基本是:来自本地网的内部威胁指从本地一台主机通过内部网对本地另一台主机的攻击。
●来自本地系统的内部威胁指直接对主机的非法行为,如侵袭者通过磁盘拷贝、电子邮件等盗窃主机上的机密数据。