信息系统安全技术 --网络安全风险分析 何长龙 高级工程师.

Slides:



Advertisements
Similar presentations
第五章 遵守社会公德 维护公共秩序 主讲人:王海斌.
Advertisements

易物之家 有限责任公司.
传播策略 中国烟草控制基础.
高等教育出版社《哲学与人生》 第一课《客观实际与人生选择》说课 三原职教中心 许红.
3 供需彈性與均衡分析.
公共部门人力资源管理课程导学 学习本课程的三步 3、利用网络 2、掌握方法 1、了解课程.
資訊法規.
第四屆雲豹育成企業出題 Mobric specialize in “distributed object-oriented database model” and “large-scale parallel computing”. They chose to target the IoT market.
曲延棣 副教授兼系主任 義守大學 醫務管理學系
接入商ICP/IP地址/域名信息备案管理系统
第二章 中药总论 ----中兽药的基本知识.
校企融合—专业英语教学实践之探索 长春汽车工业高等专科学校 于丽 2016年5月6日.
內部審核實務 新竹縣政府主計處四科 王美琪
增值税转型 2008年12月.
李建华 教授、博士生导师 上海交通大学信息安全工程学院 2007年1月8日
第三节 树立正确的恋爱婚姻观 思政课部:陈兰兰.
食品公司观后感分享 贺晓婷
指侵犯人体肝细胞为主,并引起肝炎的病毒,有甲、乙、丙、丁、戊等种类
资产评估学.
Physician Financial Incentives and Cesarean Section Delivery
持续创新 合作共赢 山东华创信息技术有限公司 王树德
DCE Market Data Business
北京华夏心理培训学校 焦点解决短期心理咨询 华夏心理研发部 周司丽
我的過動人生 圖.文: 吳沁婕.
我的心得報告 經過篩選,挑中我們 十多位學生由學校推薦進入公司,開始他們的學習之旅 學習的過程中有想像不到的意外驚喜
学生顶岗实习系统 培训教程 徐州建筑职业技术学院.
发布主体 个人信息发布 行业信息发布 官方机构信息发布 发布方式 个人网站信息发布 班级演讲 老师讲课 企业通过因特网发布自己的产品信息
中学生网络安全教育.
国家公务员制度讲座 期末复习.
Demand and Supply : Elasticity
江苏省房屋登记官应试交流会 房地产市场信息系统 无锡市房屋产权监理处 2018/9/22.
第十二章 零售與批發.
最低稅負制之商機 報告人:全國通訊處 王碧雪 中華民國 94 年 12 月 13 日.
網路安全 B 賴威志 B 項 薇.
什麼是電子軟體下載 Electronic Software Download (ESD).
凌云 计算机病毒分析师 安全商业和技术部 微软有限公司
Chapter24 總合需求、總合供給 及通貨膨脹.
但是如果你把它发给最少两个朋友。。。你将会有3年的好运气!!!
IT基础设施运营管理服务 – 定义、实现、展示
欢乐玩转GIT 讲师:FREE QQ:
信息产业导论期末汇报 汇报人:刁梦鸽 学号: 时间:2012年5月31日.
恶意移动代码分析与研究 郑 辉 清华大学网络中心 CERNET Computer Emergency Response Team
走出生命的低谷, 進入上帝的富足 新營靈糧堂 Jan., 20, 2013.
第5章 電腦網路與應用 5-1 認識數據通訊 5-2 認識電腦網路 5-3 認識網際網路 5-4 實用的網際網路 5-5 資訊安全與保護
解读设题意图,探究阅读策略 年高考试卷题型(阅读理解)分析及对策
A SMALL TRUTH TO MAKE LIFE 100%
什么叫浪漫?明知那个女孩儿不爱他,还送给她999朵玫瑰;
為何要做好零售 Ways to Increase Retail
New Heart Music Ministries
Supply Chain Management
小学生交通安全主题班会课件 安全 security 上派学区中心校校园安全管理办公室.
我深信在那各各他山頂 I Believe in a Hill Called Mount Calvary
Unit 5 First aid Warming up 《和你一样》 中国红十字会宣传曲 高二年级 缪娜.
YOUR LOGO YOUR TEXT YOUR LOGO WEB.
DOWN IS THE FUTURE ! 未来是羽绒!
我深信在那各各他山頂 I Believe in a Hill Called Mount Calvary
严肃游戏设计—— Lab-Adventure
管理學報告 Chapter 4 Thinking critically about Ethics 指導老師 : 任維廉 教授
SWOT SWOT 分析是一種運用在企業管理與策略發展上的思考、分析工具。它是優勢
Common Security Problems in Business and Standards
Resources Planning for Applied Research
Introduction to Computer Security and Cryptography
我深信在那各各他山顶 I Believe in a hill Called Mount Calvary.
信息安全防护技术—— 防火墙和入侵检测 万明
Reflections on life 生命的倒影.
《现代密码学》导入内容 方贤进
每月一德 VALUE OF THE MONTH 孝FILIAL PIETY.
條碼品管重點與品質檢測.
主日學早會 Jan 17, 2016.
Presentation transcript:

信息系统安全技术 --网络安全风险分析 何长龙 高级工程师

目 录 风险综述 安全风险管理 安全风险分析模型 安全风险控制点详细分析

风险综述 在系统工程过程中,风险是对达到属于技术性能,成本和进度方面的目的和目标的不确定性的一种量度。 风险等级用事件和事件结果的概率来分类。对获取程序,系统在产品和过程方面进行风险评价。 风险源包括技术的(可行性,可操作性,生产性,测试性和系统的有效性);成本(预算,目标),计划表(即技术资料的可用性,技术成就,里程碑);和规划(即资源、合同)。

中国因特网的发展(2001.06) WWW主机数 出口带宽(3257M) (242739) cn域名数(128362) 上网主机数(1002万) IAP:1540 ISP:451 ICP:1191 BBS:652 用户数(2650万)

Cert有关安全事件的统计 年份 事件报道数目 1988 6 1989 132 1990 252 1991 406 1992 773 1993 1334 1994 2340 1995 2412 1996 2573 1997 2134 1998 3734 1999 9895 2000 21756 总数 47711

计算机安全事件 98.4 - mime headers 98.9/10 - Javascript, Java 98.12 - Jan 99 - Trojans 99.1 - sscan 99.2/3 - Slow/Stealth Scans 99.4 - Melissa Macro Virus 99.8 - DNS 99.12 - Y2K trojans 2000.2 - Distributed Denial of Service Attacks on networks can lead to lost money, time, products, reputation, sensitive information, and in the case of medical and patient data, even lives. New attacks methods and vulnerabilities emerging constantly; old ones mutating. Vendor product engineering for ease of use is not being matched by engineering for ease of secure administration. Product time to market is more important than building in security features. Until customers demand products that are more secure, the situation is unlikely to change. We recommend voting for security features with your dollars when purchasing these products. Last but not least, demand for qualified administrators and other knowledgeable professionals far exceeds supply. Unqualified staff often placed in key positions to fill gap.

计算机安全事件 2000.5 - LoveBug, NewLove, Resume 2000.8/9 - rpc.statd exploits 2000.12 - Y2K 2001.1 - Ramen, BIND vuls, Kournikova 2001.5 - sadmind/IIS worm 2001.7 - Code Red worm 2001.8- Code RedII 2001.9- NIMDA Attacks on networks can lead to lost money, time, products, reputation, sensitive information, and in the case of medical and patient data, even lives. New attacks methods and vulnerabilities emerging constantly; old ones mutating. Vendor product engineering for ease of use is not being matched by engineering for ease of secure administration. Product time to market is more important than building in security features. Until customers demand products that are more secure, the situation is unlikely to change. We recommend voting for security features with your dollars when purchasing these products. Last but not least, demand for qualified administrators and other knowledgeable professionals far exceeds supply. Unqualified staff often placed in key positions to fill gap.

四月份对中国网站的攻击(443次)

五月1-7日对美国网站的攻击(1041次)

五月1-7日对中国网站的攻击(147次)

信息系统安全领域存在的挑战 (1) 系统太脆弱,太容易受攻击; (2) 被攻击时很难及时发现和制止; (1) 系统太脆弱,太容易受攻击; (2) 被攻击时很难及时发现和制止; (3) 有组织有计划的入侵无论在数量上还是在质量 上都呈现快速增长趋势; (4) 在规模和复杂程度上不断扩展网络而很少考虑 其安全状况的变化情况; (5) 因信息系统安全导致的巨大损失并没有得到充 分重视,而有组织的犯罪、情报和恐怖组织却 深谙这种破坏的威力。

互联网存在的六大问题 无主管的自由王国 (有害信息、非法联络、违规行为) 不设防的网络空间 (国家安全、企业利益、个人隐私) 法律约束脆弱 (黑客犯罪、知识侵权、避税) 跨国协调困难 (过境信息控制、跨国黑客打击、关税) 民族化和国际化的冲突 (文化传统、价值观、语言文字) 网络资源紧缺(IP地址、域名、带宽)

网络信息安全涉及哪些因素? 文化安全 信息安全 系统安全 物理安全

因特网的安全涉及哪些因素 又称数据安全 又称内容安全 文化安全 信息安全 又称运行安全 物理安全 系统安全 又称实体安全

关于物理安全 作用点:对计算机网络与计算机系统的物理装备的威胁,主要表现在自然灾害、电磁辐射与恶劣工作环境方面。 外显行为:通信干扰,危害信息注入,信号辐射,信号替换,恶劣操作环境。 防范措施:抗干扰系统,防辐射系统,隐身系统,加固系统,数据备份。

关于系统安全 作用点:对计算机网络与计算机系统可用性与可控性进行攻击。 外显行为:网络被阻塞,黑客行为,非法使用资源等,计算机病毒,使得依赖于信息系统的管理或控制体系陷于瘫痪。 防范措施:防止入侵,检测入侵,攻击反应,系统恢复。

关于信息安全 作用点:对所处理的信息机密性与完整性的威胁,主要表现在加密方面。 外显行为:窃取信息,篡改信息,冒充信息,信息抵赖。 防范措施:加密,完整性技术, 认证,数字签名。

关于文化安全 作用点:有害信息的传播对我国的政治制度及传统文化的威胁,主要表现在舆论宣传方面。 外显行为:淫秽暴力信息泛滥、敌对的意识形态信息涌入、英语文化的“泛洪现象”对民族文化的冲击,互联网被利用作为串联工具,传播迅速,影响范围广。 防范措施:设置因特网关,监测、控管。

系统风险管理 系统风险管理是一个识别什么会出错,测定和评价有关的风险,实现和控制避免或处理被识别出的每个风险的适当手段的一种有组织的分析过程。风险在系统定义,系统规范,系统设计,系统实现或系统操作和支持期内的任何时候都要被识别出来。

技术风险管理  技术风险管理计划是系统工程管理计划的 基本部分。

安全风险和安全风险管理 安全风险可被认为是满足系统安全技术要求的不确定性的度量。安全风险管理是识别安全攻击及其相关结果的可能性,然后,如果需要,可动用资源,使系统的安全风险降低到可接受的水平。

系统风险分析模型

网络系统风险分析详解 风险分析一览表

安全风险控制模型 安 全 状 态 审 应用安全 计 系统安全 安 网络平台安全 全 风 险 监 测 安全管理 信 息 安 全 工 程 响应 法律性 管理 技术性 管理 应用安全 信 息 安 全 工 程 系统安全 安全总需求 风险分析与评估 安 全 风 险 监 测 网络平台安全 安全策略 鉴别 技术 访问控制 技术 加密 技术 策略实施 风险控制及 安全评估 安全技术控制 响应 调整

风险关系模型 威胁 漏洞 控制 风险 资产 需求 影响 利用(exploit) 增加(increase) 抗击(protect against) 增加(increase) 使暴露(expose) 增加(increase) 控制 风险 资产 降低(reduce) 引出indicate 增加(increase) 拥有(have) 被满足(met by) 需求 影响