信息安全分析

信息安全分析第1頁，課件共49頁，創(chuàng)作于2023年2月課程的目的提升信息安全風險評估意識強化信息安全保障體系建立第2頁，課件共49頁，創(chuàng)作于2023年2月信息安全面臨的威脅網(wǎng)上黑客與計算機欺詐網(wǎng)絡病毒的蔓延和破壞有害信息內(nèi)容污染與輿情誤導機要信息流失與“諜件”潛入內(nèi)部人員誤用、濫用、惡用IT產(chǎn)品的失控（分發(fā)式威脅）物理臨近式威脅網(wǎng)上恐怖活動與信息戰(zhàn)網(wǎng)絡的脆弱性和系統(tǒng)漏洞第3頁，課件共49頁，創(chuàng)作于2023年2月網(wǎng)絡突發(fā)事件正在引起全球關注

2000年2月7日美國網(wǎng)上恐怖事件造成巨大損失（DDos、八大重要網(wǎng)站、$12億美元）2001年日本東京國際機場航管失靈，影響巨大（紅色病毒、幾百架飛機無法起降、千人行程受阻）2003年美國銀行的ATM網(wǎng)遭入侵，損失慘重（Slammer、幾十億美元）2004年震蕩波幾天波及全球2005年CardSystem公司4000萬張卡用戶信息被盜（美國最大的竊密事件、植入特洛伊木馬、假冒消費）網(wǎng)絡正在成為恐怖組織聯(lián)絡和指揮工具（911、倫敦事件）9.11事件造成世貿(mào)中心1200家企業(yè)信息網(wǎng)絡蕩然無存（有DRP/NCP的400家企業(yè)能夠恢復和生存）網(wǎng)絡輿情的爆發(fā)波及到物理社會的穩(wěn)定信息網(wǎng)絡的失竊密事件層出不窮第4頁，課件共49頁，創(chuàng)作于2023年2月我國網(wǎng)絡信息安全入侵事件態(tài)勢嚴竣(CNCERT/CC05年度報告數(shù)據(jù))

收到信息安全事件報告12萬件(04年的2倍)監(jiān)測發(fā)現(xiàn)2萬臺計算機被木馬遠程控制(04年的2倍)發(fā)現(xiàn)1.4萬個網(wǎng)站遭黑客篡改,其中政府網(wǎng)站2千(04年的2倍)網(wǎng)絡釣魚(身份竊取)事件報告400件(04年的2倍)監(jiān)測發(fā)現(xiàn)70萬臺計算機被植入諜件(源頭主要在國外)發(fā)現(xiàn)僵尸網(wǎng)絡143個(受控計算機250萬臺)第5頁，課件共49頁，創(chuàng)作于2023年2月互聯(lián)網(wǎng)信息安全威脅的某些新動向

僵尸網(wǎng)絡威脅興起諜件泛濫值得嚴重關注網(wǎng)絡釣魚的獲利動機明顯網(wǎng)頁篡改(嵌入惡意代碼),誘人上當DDoS開始用于敲詐木馬潛伏孕育著殺機獲利和竊信傾向正在成為主流第6頁，課件共49頁，創(chuàng)作于2023年2月領導重視、管理較嚴、常規(guī)的系統(tǒng)和外防機制基本到位深層隱患值得深思

內(nèi)控機制脆弱高危漏洞存在信息安全域界定與邊控待探索風險自評估能力弱災難恢復不到位用戶自控權不落實

----------重要信息系統(tǒng)”安全態(tài)勢與深層隱患（案例考察）第7頁，課件共49頁，創(chuàng)作于2023年2月國家信息化領導小組第三次會議

《關于加強信息安全保障工作的意見》

—中辦發(fā)[2003]27號文—

堅持積極防御、綜合防范全面提高信息安全防護能力重點保障信息網(wǎng)絡和重要信息系統(tǒng)安全創(chuàng)建安全健康的網(wǎng)絡環(huán)境保障和促進信息化發(fā)展、保護公眾利益、維護國家安全立足國情、以我為主、管理與技術并重、統(tǒng)籌規(guī)劃、突出重點發(fā)揮各界積極性、共同構筑國家信息安全保障體系

第8頁，課件共49頁，創(chuàng)作于2023年2月國家信息安全保障工作要點

實行信息安全等級保護制度：風險與成本、資源優(yōu)化配置、安全風險評估

基于密碼技術網(wǎng)絡信任體系建設：密碼管理體制、身份認證、授權管理、責任認定

建設信息安全監(jiān)控體系：提高對網(wǎng)絡攻擊、病毒入侵、網(wǎng)絡失竊密、有害信息的防范能力

重視信息安全應急處理工作：指揮、響應、協(xié)調(diào)、通報、支援、抗毀、災備

推動信息安全技術研發(fā)與產(chǎn)業(yè)發(fā)展：關鍵技術、自主創(chuàng)新、強化可控、引導與市場、測評認證、采購、服務

信息安全法制與標準建設：信息安全法、打擊網(wǎng)絡犯罪、標準體系、規(guī)范網(wǎng)絡行為

信息安全人材培養(yǎng)與增強安全意識：學科、培訓、意識、技能、自律、守法

信息安全組織建設：信息安全協(xié)調(diào)小組、責任制、依法管理第9頁，課件共49頁，創(chuàng)作于2023年2月國家信息安全保障工作高層會議(2004.1.9)

信息安全的重要性：IT增長25%、GDP的6%、強烈依賴

信息安全的重大案例信息安全存在的問題

一個并重、兩手抓、三個同步新思路、新眼光，建立信息安全保障體系

關鍵技術產(chǎn)品要自主可控認真落實中央27號文件第10頁，課件共49頁，創(chuàng)作于2023年2月《國家信息安全戰(zhàn)略報告》

—國信[2005]2號文—

維護國家在網(wǎng)絡空間的根本利益確保國家的經(jīng)濟、政治、文化和信息的安全三大信息基礎設施、八大重要信息系統(tǒng)、信息內(nèi)容信息安全基礎支撐能力信息安全防護與對抗能力網(wǎng)絡突發(fā)事件快速反應能力網(wǎng)絡輿情駕馭能力綜合治理、協(xié)調(diào)聯(lián)動、群防群治政策、標準、管理、技術、產(chǎn)業(yè)、人材、理論

構筑國家信息安全保障體系信息安全長效機制信息安全戰(zhàn)略的主動權------

第11頁，課件共49頁，創(chuàng)作于2023年2月《2006-2020年國家信息化發(fā)展戰(zhàn)略》

—中辦[2006]11號文—

第

(八)部分:“建設國家信息安全保障體系”實現(xiàn)信息化與信息安全協(xié)調(diào)發(fā)展增強信息基礎設施和重要信息系統(tǒng)抗毀能力增強國家信息安全保障能力研究國際信息安全先進理論、先進技術掌握核心安全技術、提高關鍵設備裝備能力促進我國信息安全技術和產(chǎn)業(yè)的自主發(fā)展完善國家信息安全長效機制------

第12頁，課件共49頁，創(chuàng)作于2023年2月“信息安全”內(nèi)涵保值威脅威脅發(fā)起者資產(chǎn)擁有者對策脆弱性風險系統(tǒng)資產(chǎn)使命貶值利用增加濫用與破壞發(fā)現(xiàn)意識到減少降低合法與可用？第13頁，課件共49頁，創(chuàng)作于2023年2月信息安全概念演變早期：通信保密階段（ComSec），通信內(nèi)容保密為主中期：信息安全階段（InfoSec），信息自身的靜態(tài)防護為主近期：信息保障階段（InformationAssurance—IA），強調(diào)動態(tài)的、縱深的、生命周期的、整個信息系統(tǒng)資產(chǎn)的信息對抗。我們當前所指“信息安全”=“信息保障”，即“在整個生命周期中，處在縱深防御和動態(tài)對抗的信息系統(tǒng)，為保障其中數(shù)據(jù)及服務的完整性、保密性、可用性（防拒絕和破壞）、真實性（交互雙方的數(shù)據(jù)、人員的身份和權限、設施的鑒別）、可控性（監(jiān)控、審計、取證、防有害內(nèi)容傳播）、可靠性而抵制各類威脅所提供的一種能力第14頁，課件共49頁，創(chuàng)作于2023年2月信息系統(tǒng)安全整體對策(一)構建信息安全保障體系(二)作好信息安全風險評估第15頁，課件共49頁，創(chuàng)作于2023年2月

(一)構建信息安全保障體系第16頁，課件共49頁，創(chuàng)作于2023年2月電子政務安全保障體系框架安全法規(guī)安全管理安全標準安全工程與服務安全基礎設施安全技術與產(chǎn)品第17頁，課件共49頁，創(chuàng)作于2023年2月信息安全法規(guī)《關于開展信息安全風險評估工作的意見》

（國信辦[2005]1號文）《信息安全等級保護管理辦法（試行）》

（公通字[2006]7號文）《中華人民共和國保守國家秘密法》(在修訂)《信息安全法》（信息安全管理條例）《電子簽名法》（2005年4月1日實施）------------第18頁，課件共49頁，創(chuàng)作于2023年2月行政管理體制:國家網(wǎng)絡信息安全協(xié)調(diào)小組，部門，地區(qū)技術管理體制:CSO信息系統(tǒng)安全管理準則（ISO17799）--GBxxxx管理策略組織與人員資產(chǎn)分類與安全控制配置與運行網(wǎng)絡信息安全域與通信安全異常事件與審計信息標記與文檔物理與環(huán)境開發(fā)與維護作業(yè)連續(xù)性保障符合性信息安全組織管理第19頁，課件共49頁，創(chuàng)作于2023年2月國家信息安全標準化委員會安全功能定義安全要素設計：物理、網(wǎng)絡、系統(tǒng)、應用、管理全程安全控制風險全程管理安全有效評估強壯性策略（02.4.15成立.十個工作組）標準體系與協(xié)調(diào)（含可信計算）涉密信息系統(tǒng)保密密碼算法與模塊PKI/PMI安全評估應急處理安全管理(風險評估)電子證據(jù)身份標識與鑒別操作系統(tǒng)與數(shù)據(jù)國家報批搞16項、送審稿25項、研制近70項第20頁，課件共49頁，創(chuàng)作于2023年2月信息系統(tǒng)安全工程和服務安全需求分析：威脅，弱點，風險，資產(chǎn)、使命、對策、安全體系結構與功能定義安全要素設計：物理、網(wǎng)絡、系統(tǒng)、應用、管理安全系統(tǒng)構建與集成管理服務全程的信息安全風險評估信息系統(tǒng)強壯性策略、（ISSE，IATF，CC，TESEC）第21頁，課件共49頁，創(chuàng)作于2023年2月信息加密技術（對稱、公開、可恢復、量子、隱藏)鑒別與認證（口令/密碼、動態(tài)口令/ToKen、CA/簽名、物理識別）訪問控制技術（ACL、RBAC、DAC、MAC、能力表、AA）網(wǎng)絡邊界安全技術（FW、Proxy、NG、GAP、UTM）病毒防治技術（防、查、殺、清）網(wǎng)絡隱患掃描與發(fā)現(xiàn)（缺陷、后門、嵌入、惡意代碼）內(nèi)容識別與過濾技術（關鍵字、特征、上下文、自然語言）主機內(nèi)控防護技術（監(jiān)控、檢測、防泄、管理、審計）信息安全技術領域第22頁，課件共49頁，創(chuàng)作于2023年2月信息安全風險評估技術（收集、分析、檢測、滲透、管理）網(wǎng)絡檢測、預警和攻擊技術（IDS、Agent、面防、追蹤、反擊、陷阱）

“內(nèi)容”產(chǎn)權保護技術（數(shù)字水印、安全容器、加密、簽名）

“安全基”技術（補丁、配置、清除、監(jiān)視、加固、監(jiān)視、升級）審計與取證（全局審計、審計保護、反向工程、恢復提?。?/p>

備份與容災（SAN、NAS、集群、冗余、鏡象）

可信計算

（TCG、TCPA、TSS、TPM、TWC、----）信息安全集成管理（信息共享、協(xié)同聯(lián)動、策略牽引）信息安全技術領域第23頁，課件共49頁，創(chuàng)作于2023年2月信息網(wǎng)絡安全域縱深防御框架核心內(nèi)網(wǎng)局域計算環(huán)境（安全域a）專用外網(wǎng)局域計算環(huán)境（安全域m）公共服務網(wǎng)局域計算環(huán)境（安全域n）Internet、TSP、PSTN、VPN網(wǎng)絡通信基礎設施（光纖、無線、衛(wèi)星）信息安全基礎設施(PKI、PMI、KMI、CERT、DRI)網(wǎng)絡安全邊界第24頁，課件共49頁，創(chuàng)作于2023年2月EG用主流的信息安全產(chǎn)品防范外部入侵類放火墻、防病毒、入侵檢測、物理隔離防控內(nèi)部作案類強審計、主機內(nèi)控、主機安保、系統(tǒng)級安全類加密、鑒別、授權、掃描、災備、過濾、物理安全、集成管理、安全測評第25頁，課件共49頁，創(chuàng)作于2023年2月信息安全基礎設施的支撐數(shù)字證書認證體系（CA/PKI）網(wǎng)絡應急支援體系（CERT）災難恢復基礎設施（DRI）病毒防治服務體系（AVERT）產(chǎn)品與系統(tǒng)安全檢測、評估體系（CC/TCSEC）密鑰管理基礎設施（KMI）授權管理基礎設施（AA/PMI）信息安全事件通報與會商體系網(wǎng)絡監(jiān)控與預警體系信息保密檢查體系信息安全偵控體系網(wǎng)絡輿情掌控與治理體系第26頁，課件共49頁，創(chuàng)作于2023年2月信息安全保障體系建設的目標1）增加信息網(wǎng)絡四種安全能力信息安全防護能力隱患發(fā)現(xiàn)能力網(wǎng)絡應急反應能力信息對抗能力2）保障信息及其服務具有六性保密性、完整性、可用性、真實性、可核查性（可控性）、可靠性第27頁，課件共49頁，創(chuàng)作于2023年2月

(二)作好信息安全風險評估第28頁，課件共49頁，創(chuàng)作于2023年2月提升信息安全風險評估意識

社會、經(jīng)濟、政治、文化對信息化的強烈依賴作業(yè)連續(xù)性保障（BCM/BCP）引起普遍關注

信息安全保障體系建設（IA）成為焦點實施信息安全的風險管理正在被認同提升信息安全風險評估意識和能力是當務之急

信息安全風險評估既是信息安全建設的起點也覆蓋終生創(chuàng)建一個安全的信息化環(huán)境保障信息化健康發(fā)展

第29頁，課件共49頁，創(chuàng)作于2023年2月威脅脆弱性防護措施風險資產(chǎn)防護需求價值抗擊利用增加增加暴露被滿足引出增加擁有風險管理要素關系圖第30頁，課件共49頁，創(chuàng)作于2023年2月信息系統(tǒng)安全風險管理比較和對比可用攻擊研究敵方行為理論開創(chuàng)任務影響理論比較和對比各種行為行動決策對策識別與特征描述任務關鍵性參數(shù)權衡脆弱性與攻擊的識別與特征描述威脅的識別與特征描述任務影響的識別與描述基礎研究與事件分離系統(tǒng)改進風險分析第31頁，課件共49頁，創(chuàng)作于2023年2月信息系統(tǒng)安全風險評估的特征信息系統(tǒng)是一個巨型復雜系統(tǒng)（系統(tǒng)要素、安全要素）信息系統(tǒng)受制于外部因素（物理環(huán)境、行政管理、人員）信息系統(tǒng)安全風險評估是一項系統(tǒng)工程發(fā)現(xiàn)隱患、采取對策、提升強度、總結經(jīng)驗自評估、委托評估、檢察評估第32頁，課件共49頁，創(chuàng)作于2023年2月信息系統(tǒng)安全評估目的提供采取降低影響完成保護安全保證技術提供者系統(tǒng)評估者安全保證信心風險對策資產(chǎn)使命資產(chǎn)擁有者價值給出證據(jù)生成保證具有第33頁，課件共49頁，創(chuàng)作于2023年2月

信息安全風險評估是提升信息安全體系強度重要保證

信息系統(tǒng)資產(chǎn)是有價資產(chǎn)脆弱性/威脅力力圖使資產(chǎn)貶值影響/風險分析風險評估：發(fā)現(xiàn)、預防、降低、轉(zhuǎn)移、補償、承受采取措施以提升系統(tǒng)安全強度保護信息系統(tǒng)資產(chǎn)價值（保密性、完整性、可用性）完成系統(tǒng)的使命

第34頁，課件共49頁，創(chuàng)作于2023年2月信息系統(tǒng)生命周期中

安全保障與評估策劃與組織開發(fā)與采購信息系統(tǒng)安全保障與評估實施與交付運行與維護更新與廢棄第35頁，課件共49頁，創(chuàng)作于2023年2月國家對信息安全風險評估工作高度重視

國信辦[2005]5號文件<信息系統(tǒng)風險評估試點工作方案>“國信辦”與“安標委”

《信息安全風險評估規(guī)范》（GB/T報批稿）

“國信辦”抓緊風險評估試點、宣貫和推廣（05、06年）“保密局”涉密信息領域風險評估規(guī)范”科技部“

信息安全風險評估方法、工具、模型研制第36頁，課件共49頁，創(chuàng)作于2023年2月國內(nèi)信息安全評估機構的現(xiàn)狀國家信息安全標準化委員會（“信息安全評估工作組-WG5）國家信息安全測評中心（信息技術安全性評估準則-GB/T18336）（EG信息系統(tǒng)安全保障評估準則）

公安部（計算機信息系統(tǒng)安全保護等級劃分準則-GB17859-1999）（計算機信息系統(tǒng)安全等級保護通用技術要求-GA/T390-2002）

國家保密局（涉及國家秘密的計算機信息系統(tǒng)安全保密測評指南-BMZ3-2001）

北京市信息辦（黨政機關信息系統(tǒng)安全測評規(guī)范）上海市信息辦（信息系統(tǒng)安全測評規(guī)范）解放軍（信息系統(tǒng)安全評估規(guī)范）其它第37頁，課件共49頁，創(chuàng)作于2023年2月建立國家信息安全評估體系信息安全評估標準和規(guī)范體系

IT產(chǎn)品、IT系統(tǒng)、IT服務信息安全評估監(jiān)管體系

對評估組織與評估行為的監(jiān)管(等級,資質(zhì),規(guī)則)信息安全評估組織體系，在認監(jiān)委、信息辦領導下

認可機構認證機構評估技術支援中心（實驗室）專家委員會檢測、評估機構檢測、評估機構評估操作層技術支持層認證層認可監(jiān)管層第38頁，課件共49頁，創(chuàng)作于2023年2月國際信息系統(tǒng)安全測評狀況NIACAPDICSCAPNSTISSIFIPS102

行業(yè)與企業(yè)的風險評估投入明顯（1%——5%）第39頁，課件共49頁，創(chuàng)作于2023年2月信息系統(tǒng)安全評估方法定性分析與定量結合評估機構與評估專家結合評估考查與評估檢測結合技術安全與管理安全結合第40頁，課件共49頁，創(chuàng)作于2023年2月信息系統(tǒng)安全分析與檢測管理安全分析

組織、人員、制度、資產(chǎn)控制、物理、操作、連續(xù)性、應急過程安全分析

威脅、風險、脆弱性、需求、策略、方案、符合性分發(fā)、運行、維護、更新、廢棄技術安全分析與檢測

安全機制、功能和強度分析網(wǎng)絡設施、安全設施及主機配置安全分析網(wǎng)絡設備和主機設備脆弱性分析系統(tǒng)穿透性測試第41頁，課件共49頁，創(chuàng)作于2023年2月風險評估實施步驟(1)風險評估的準備(2)資產(chǎn)識別(3)威脅識別(4)脆弱性識別(5)已有安全措施的確認(6)風險分析(7)風險評估文件記錄(8)風險評估對策第42頁，課件共49頁，創(chuàng)作于2023年2月

風險評估流程第43頁，課件共49頁，創(chuàng)作于2023年2月

風險分析示意圖第44頁，課件共49頁，創(chuàng)作于2023年2月風險評估工具（1）風險評估管理工具

基于安全標準、基于知識、基于模型采點、收集、描述、分析（2）風險評估檢測工具

脆弱性掃描：網(wǎng)絡、主機、數(shù)據(jù)庫、網(wǎng)站、滲透性測試：黑客、病毒、木馬、諜件、劫持、拒絕、破譯（3）風險評估輔助工具

入侵檢測、安全審計、拓撲發(fā)現(xiàn)、資產(chǎn)收集知識庫、漏洞庫、算法庫、模型庫、指標庫第45頁，課件共49頁，創(chuàng)作于2023年2月信息安全風險評估試點成效顯著(05年

)

提高了風險意識、培育自評估能力（8個試點、幾千人日）三要素的識別與賦值能力有所提高、（并探索行業(yè)細則）發(fā)現(xiàn)和消除大量隱患、提升了安全強度（表層與深層）

采用了多種評估模式并總結經(jīng)驗（自評、委托、檢查）實效性/關