信息安全战-企业信息安全建设之道.pptx

信息安全战 企业信息安全建设之道 提纲 信息安全的涵义和事实 当前安全现状分析 信息系统的安全风险 常见黑客攻击方法 信息安全的涵义和事实 信息系统的广泛应用 社会发展的必然 业务的发展和扩张 网络信息的共享 Internet上网 生产、销售、管理、办公自动化 可信网络系统的基本要求 业务、应用功能的实现 安全、可靠、稳定 信息安全三要素 Confidentiality：阻止未经授权的用户读取数据 Integrity：阻止未经授权的用户修改或删除数据 Availability：保证授权实体在需要时可以正常地使用系统 员工和客户访问资源 可用性 客户和业务信息的保护 机密性 客户和业务信息的可信赖性 完整性 信息安全定义 经典定义 Confidentiality保密性：阻止未经授权的用户读取数据 Integrity完整性：阻止未经授权的用户修改或删除数据 Availability可用性：保证授权实体在需要时可以正常地访问 和使用系统 多样化定义 Accountability负责性：确保一个实体的访问动作可以被惟一 的区别、跟踪和记录 Authenticity确实性：确认和识别一个实体就是其所声称的， 被认证的可以是用户、进程、系统和信息等 Reliability可靠性：保证预期的行为和结果的一致性 信息安全实际上是 保护信息资产，防止不被窃取和破坏 资产 物理资产 软件资产 数据资产 信息安全的基本特征 相对性 只有相对的安全，没有绝对的安全系统 时效性 新的漏洞与攻击方法不断发现（NT4.0已 从SP1发展到SP6） 配置相关性 日常管理中的不同配置会引入新的问题 （安全测评只证明特定环境与特定配置下 的安全） 新的系统组件会引入新的问题 信息安全的基本特征 攻击的不确定性 攻击发起的时间、攻击者、攻击目标和攻击发起 的地点都具有不确定性 复杂性 信息安全是一项系统工程，需要技术的和非技术 的手段，涉及到安全管理、教育、培训、立法、 国际合作与互不侵犯协定、应急恢复等 威胁永远不会消失 国家间的竞争永远不会消失 敌对势力永远不会消失 企业间谍、恶意攻击者、纯 粹的偷窃者永远不会消失 内部系统的误用、滥用问题 长期存在 新的威胁不断出现使原有防 护措施失效产生新的威胁 搜索引擎Google查找“黑 客工具”有3,260,000 条 记录 漏洞/薄弱点客观存在 不可避免的因素 技术发展的局限，系统在设计之初不能认识到所有问题 Tcp/ip协议在开发过程中并未主要考虑安全问题 人类的能力有限，失误和考虑不周在所难免 操作系统和应用程序在编码过程中难免引入Bug 没有避免的因素 系统实施过程中采用了默认配置而未针对实际情况进行定制 和安全优化 新的漏洞补丁跟踪、使用不及时 拥有者的组织结构，管理和技术体系不够完善 技术发展和环境变化使网络安全处于动态之中 资产面临风险成为必然 资产是有价的 资产被薄弱点暴露给威 胁 威胁针对薄弱点给资产 带来影响 威胁和薄弱点的增加导 致资产安全风险的增加 信息系统的风险管理 RISKRISK RISK RISK RISK Risk 风险的构成 风险的降低 资产资产 威胁威胁 脆弱性 资产资产 威胁威胁 脆弱性脆弱性 信息安全管理 由于许多信息系统并非在设计时就考虑了 安全，依靠技术手段实现安全很有限，则 应该由适当的管理来支持。 信息安全管理是通过保证维护信息的机密 性、完整性和可用性来管理和保护组织的 所有信息资产的一项体制。 保护和管理的对象 人 内部员工、外部客户、服务供应商、产品供 应商等。 物 网络设备、系统主机、工作站、PC机等； 业务系统、应用系统等； 商业涉密数据、个人隐私数据、文档数据 等。 信息安全的事实 安全是一个广泛的主题，它涉及到许多不同的区 域（物理设备、网络、系统平台、应用程序等） ，每个区域都有其相关的风险、威胁及解决方 法。 对于连网的企业组织来说风险与威胁是没有终止 的。信息安全是一个动态发展的过程，不仅仅是 纯粹的技术，仅仅依赖于安全产品的堆积来应对 迅速发展变化的各种攻击手段是不能持续有效 的。信息安全建设是一项复杂的系统工程，要从 观念上进行转变，规划、管理、技术等多种因素 相结合使之成为一个可持续的动态发展的过程。 信息安全的事实 安全是一个广泛的主题，它涉及到许多不同的区 域（物理设备、网络、系统平台、应用程序等） ，每个区域都有其相关的风险、威胁及解决方 法。 对于连网的企业组织来说风险与威胁是没有终止 的。信息安全是一个动态发展的过程，不仅仅是 纯粹的技术，仅仅依赖于安全产品的堆积来应对 迅速发展变化的各种攻击手段是不能持续有效 的。信息安全建设是一项复杂的系统工程，要从 观念上进行转变，规划、管理、技术等多种因素 相结合使之成为一个可持续的动态发展的过程。 信息安全的事实 绝对的信息安全是不存在的，每个网络环境都 有一定程度的漏洞和风险。这种程度是可以接 受的。信息安全问题的解决只能通过一系列的 规划和措施，把风险降低到可被接受的程度， 同时采取适当的机制使风险保持在此程度之 内。当信息系统发生变化时应当重新规划和实 施来适应新的安全需求。 信息系统的安全往往取决于系统中最薄弱的环 节-人。人是信息安全中最关键的因素，同时也 应该清醒的认识到人也是信息安全中最薄弱的 环节。 当前安全现状分析 安全现状 随着金融电子化和网络化的巨大发展，传统的 封闭性的业务网络将逐渐与公开网络相融合或 连接，在这种情况下，如何保障业务网络的安 全性成为信息安全的重要问题。 计算机产业的发展，网络知识的普及特别是 Internet的广泛应用，为计算机网络和金融犯罪 创造了更先进的技术条件，因此原有的安全设 计已不能完全满足现有的安全需求，信息安全 的风险增高了。 安全现状 针对互联网的应用目前还缺乏有效的安全措施 和手段，影响了信息系统通过互联网对外提供 服务的范围和种类。 只重视单一或几个安全产品的部署，而忽视 整体安全系统建设； 部分企业信息系统的安全防范只能防范外部 的非法入侵者，不能监控内部的破坏者； 只能消极地发现黑客攻击的后果，而不能主 动、智能地对黑客进行反攻击; 只能采用分散的、不可集中管理的安全产品 ，而不能采用全面的、集中的安全管理平 台。 安全现状 管理部门众多，没有统一的标准，人才不够等 情况也是整个信息安全产业健康发展的制约因 素。建立完善的信息安全体系，既要有适应社 会信息化安全管理的配套政策、法律、法规和 技术标准，又要有先进实用的技术手段，还要 有大量的专门人才。 安全现状 兼职的安全管理员 物理安全保护 基本的安全产品 简单的系统升级 机房安全管理制度 资产管理制度 安全现状 空口令、简单口令、默认口令设置、长期不 更换； 点击进入危险的网站或链接； 接收查看危险的电子邮件附件； 系统默认安装，从不进行补丁升级； 拨号上网，给个人以及整个公司建立了后门 ； 启动了众多的不用的服务； 个人重要数据没有备份； 安全现状总结（1） 没有有效、独立的安全管理组织，安全管理人 员不足，岗位权责不明确，不能有效实施和执 行某些安全措施。总部信息技术中心虽专设负 责公司的信息安全工作的岗位，但由于公司组 织结构和信息网络的庞大性特点，使得安全管 理员不能全权、有效地形成对整个组织自上到 下的全面安全管理。 安全现状总结（2） 缺乏一套完善、统一的安全策略和安全管理制度 ，更缺乏对安全制度执行情况的严格管理。公司 总部虽然有了一套管理制度，但涉及全部内部员 工的条款很少，更不能形成对下级组织的有力约 束，安全管理的内容也很少，大部分员工甚至不 知道具体内容是什么，也没有对其遵守和执行的 情况进行监督的任何措施，因此公司在制度约束 方面是安全管理中欠缺比较严重的部分。 安全现状总结（3） 员工缺乏基本的安全意识，特别是下级组织的员 工等，没有进行统一的、系统的安全培训和学习 的机会。由于员工对发生安全问题后造成的后果 不负任何责任，从而也就不能有效的督促员工提 高自己的安全意识，最终形成恶性循环，导致员 工不能严格遵循公司的安全管理制度，个人电脑 的密码设置非常脆弱甚至是空口令，经常上一些 危险的网站，接收危险的电子邮件，不能定期升 级系统安全补丁，更缺乏一些基本的安全防护意 识和发现解决某些常见安全问题的能力。 安全现状总结（4） 缺乏一套有效的安全预警体系。虽然公司在信息 系统内安装了防火墙、防病毒系统等安全产品， 用于监控和防护内部和外部的不安全活动，但由 于最新漏洞被利用的快速性、安全问题出现的偶 然性、安全事件处理的复杂性以及产品规则库升 级的滞后性，使得安全管理员不可能及时的发现 网络系统存在的最新漏洞，也就不可能有效的实 现全网的安全预防工作，相反只能事事被动，等 问题发生了再去找解决问题的方法，从而给公司 带来很多不必要的损失。 安全现状总结（5） 缺乏一套完善的监控体系。网络系统与Internet相 连处虽然部署了防火墙等访问控制产品，但对于 透过防火墙渗透进来的入侵行为，或者公司内部 的恶意入侵行为并没有很好的监控手段，从而使 得当有安全事件发生时，不能及时的进行防护。 安全现状总结（6） 缺乏一套充分、完善的应急体系和快速的响应流 程。公司并没有建立自己的应急体系，对于各种 可能发生的安全事故，没有定义负责处理的人 员、相应的最佳解决处理方案、可能造成的风险 等。另外，公司也缺乏一套有效、快速地安全问 题响应流程，特别是对于托管机房、下级组织业 务系统等远程网络的故障，总部不能快速进行本 地支持，更缺乏有一个有效的安全事件上报、传 递、沟通、响应的通道。历来的各种安全事件发 生后，公司都由于缺乏处理某些经常发生事件的 能力事事被动，从而延误了事件处理的时间，造 成很多不必要的损失。 安全现状总结（7） 缺乏安全产品的集中统一管理。由于网络系统的 扩大化，对安全产品的需求也越来越多，但是安 全管理岗位数量的有限性，必然导致放松对安全 产品的管理，安全管理员不可能实时登录查看各 种安全产品的应用状况和报警信息，某些安全产 品由于不能与互联网通信、甚至使用周期太长导 致不能定期在线更新，使其不能监控和查找最新 的安全问题，实现其最佳的安全功效。 统计数据 在信息业高达发达的美国，在最近一次对600名 CIO的调查表明： 将近三分之二（66%）没有完整的安全政策 ； 只有不到三分之一（32%）要求员工熟悉安 全政策与指南； 只有23%公司的员工得到过信息安全的培 训。 在国内，50%企业对信息安全的理解还只停留 在技术层面上，以为企业外部网建立了防火墙 能防黑客，内部网能杀病毒就达到安全要求 了。 统计数据 57%疏忽造成的事故 24%外部的恶意攻击 11%设备故障 3% 软件错误 5% 其他 不容争辩的事实 超过70%的信息安全事件，如果事先加强 管理，都可以得到避免； “三分技术，七分管理”。 信息系统的安全风险 面临的威胁 合法用户的威胁：是指拥有合法授权的用户因在系 统管理方面的错误或疏忽造成系统破坏的可能性。 滥用授权 错误操作 操作行为抵赖 面临的威胁 非法用户的威胁：是指非授权用户或低权限用户越 权对系统造成破坏的可能性。 内部员工的越权访问 外部攻击者的恶意入侵 数据的窃听和破坏 恶意代码的破坏 物理破坏 面临的威胁 系统组件的威胁：是指信息系统的硬件或软件发生 意外故障的可能性。 系统设备意外故障 通讯中断 软件意外失效 物理环境的威胁：是指由于环境因素造成系统破坏 的可能性。 电源中断 灾难 安全事件一：数据资产的窃取 2001年12月，烟台市人民检察院依法对涉嫌伪造有价票 证的犯罪嫌疑人乔XX批准逮捕，乔XX利用到某电信公司 维护通信设施之机，通过修改数据库伪造200电话卡 10000张，给电信公司造成20余万元的经济损失。 2002年，中国公安部曾经破获一起不法分子利用黑客手 段在银行的网银服务器中植入“木马”程序，窃取了多 家银行和证券客户的账号、密码信息进行诈骗的案件， 涉案金额达80多万元。 2003年2月，美国一名电脑黑客攻破了一家负责代表商 家处理Visa和万事达卡交易业务的企业计算机系统，掌 握了220万个顾客的信用卡号 在日本，黑客利用安装在网吧中的特殊软件非法窃取用 户网上银行的密码，使1600万日元不翼而飞。 安全事件二：病毒蠕虫破坏 红色代码 2001年6月18日，微软发布安全公告：Microsoft IIS .IDA / .IDQ ISAPI扩展远程缓冲区溢出漏洞。一个月后，利用此安 全漏洞原理制造的蠕虫“红色代码”开始出现，一夜之间 攻击了国外36万台电脑，到2001年8月6日，针对微软中 文版操作系统的“红色代码”开始在国内发作，造成很 多运营商和企事业单位网络瘫痪，“红色代码”给全球造 成了高达26亿美元的损失。 安全事件二：病毒蠕虫破坏 SQL slammer 2002年7月24日，微软发布安全公告：Microsoft SQL Server 2000 Resolution服务远程栈缓冲区溢出漏洞。直到2003年1月25日，足足6 个月后，利用此安全漏洞原理制造的蠕虫“SQL Slammer”现身互联 网，几天之内给全球造成了12亿美元的损失。它这个系统漏洞，对网 络上的SQL数据库进行攻击，连接在网络上的被攻击的系统如同癌细 胞那样不断蜕变，生成新的攻击报文向网络释放、扩散，从而逐步鲸 吞、消耗网络资源，导致网络访问速度下降，甚至瘫痪。此蠕虫攻击 的主要受害对象是网络，而不是个人计算机。据了解，此次攻击始于 北京时间1月25日13时15分左右，澳大利亚、美国、英国、韩国、泰 国、日本、马来西亚、菲律宾、印度以及中国台湾地区等全球范围的 互联网络受到不同程度的攻击。据新华社报道，全球估计至少有2.2 万个网络服务器遭到了病毒攻击，其中受影响最严重的地区是欧洲北 部、美国东部和亚洲的一些国家。美国美洲银行称1.3万台自动取款 机瘫痪，大量银行客户无法使用取款机取款。韩国互联网络曾经一度 瘫痪，只有10的网络可以勉强使用，韩国情报通信部为此宣布进入 紧急状态。 安全事件三：身份假冒 今年6月初，一名黑客盗用了工商银行网站的公开 邮箱，以“网络银行系统升级”的名义，给网上 银行注册客户发送邮件，索要注册客户的用户名( 登录卡号)和密码。工行发言人表示，网站已经向 用户发出重要提示，并采取紧急应对措施。 2001年，一名上海黑客侵入上海交易所某席位， 盗卖了2.6亿元的股票，成为中国最大的一次电脑 入侵事故。 安全事件四：拒绝服务攻击 2002年7月，湖北省教育网网站高考成绩查询系 统连续遭受攻击，致使全省28万考生无法及时查 询高考成绩。 2001年中美黑客大战 事件背景和经过 4.1撞机事件为导火线 4月初，以PoizonB0x、pr0phet为代表的美 国黑客组织对国内站点进行攻击，约300个 左右的站点页面被修改 4月下旬，国内红（黑）客组织或个人，开 始对美国网站进行小规模的攻击行动，4月 26日有人发表了 “五一卫国网战”战前声 明，宣布将在5月1日至8日，对美国网站进 行大规模的攻击行动。 各方都得到第三方支援 各大媒体纷纷报道，评论，中旬结束大战 攻击的发展趋势 漏洞趋势 严重程度中等或较高的漏