信息系统安全技术--安全风险分析PPT格式课件下载.ppt

信息系统安全技术--安全风险分析PPT格式课件下载.ppt

《信息系统安全技术--安全风险分析PPT格式课件下载.ppt》由会员分享，可在线阅读，更多相关《信息系统安全技术--安全风险分析PPT格式课件下载.ppt（25页珍藏版）》请在冰豆网上搜索。

成本（预算，目标），计划表（即技术资料的可用性，技术成就，里程碑）；

和规划（即资源、合同）。

中国因特网的发展中国因特网的发展中国因特网的发展中国因特网的发展（2001.062001.06）出口带宽（出口带宽（出口带宽（出口带宽（32573257MMMM）上网主机数（上网主机数（10021002万）万）WWWWWW主机数主机数（242739242739）用户数（用户数（2650万）万）cncn域名数（域名数（128362128362）CertCert有关安全事件的统计有关安全事件的统计有关安全事件的统计有关安全事件的统计年份年份事件报道数目事件报道数目1988198866198919891321321990199025225219911991406406199219927737731993199313341334199419942340234019951995241224121996199625732573199719972134213419981998373437341999199998959895200020002175621756总数总数4771147711计算机安全事件计算机安全事件98.4-mimeheaders98.9/10-Javascript,Java98.12-Jan99-Trojans99.1-sscan99.2/3-Slow/StealthScans99.4-MelissaMacroVirus99.8-DNS99.12-Y2Ktrojans2000.2-DistributedDenialofService计算机安全事件计算机安全事件2000.5-LoveBug,NewLove,Resume2000.8/9-rpc.statdexploits2000.12-Y2K2001.1-Ramen,BINDvuls,Kournikova2001.5-sadmind/IISworm2001.7-CodeRedworm2001.8-CodeRedII2001.9-NIMDA四月份对中国网站的攻击四月份对中国网站的攻击（443443次次）五月五月1-71-7日对美国网站的攻击日对美国网站的攻击（10411041次次）五月五月1-71-7日对中国网站的攻击日对中国网站的攻击（147147次次）

（1）系统太脆弱，太容易受攻击；

系统太脆弱，太容易受攻击；

（2）被攻击时很难及时发现和制止；

被攻击时很难及时发现和制止；

（3）有组织有计划的入侵无论在数量上还是在质量有组织有计划的入侵无论在数量上还是在质量上都呈现快速增长趋势；

上都呈现快速增长趋势；

（4）在规模和复杂程度上不断扩展网络而很少考虑在规模和复杂程度上不断扩展网络而很少考虑其安全状况的变化情况；

其安全状况的变化情况；

（5）因信息系统安全导致的巨大损失并没有得到充因信息系统安全导致的巨大损失并没有得到充分重视，而有组织的犯罪、情报和恐怖组织却分重视，而有组织的犯罪、情报和恐怖组织却深谙这种破坏的威力。

深谙这种破坏的威力。

信息系统安全领域存在的挑战信息系统安全领域存在的挑战互联网存在的六大问题互联网存在的六大问题无主管的自由王国无主管的自由王国（有害信息、非法联络、违规行为）（有害信息、非法联络、违规行为）不设防的网络空间不设防的网络空间（国家安全、企业利益、个人隐私）（国家安全、企业利益、个人隐私）法律约束脆弱法律约束脆弱（黑客犯罪、知识侵权、避税）（黑客犯罪、知识侵权、避税）跨国协调困难跨国协调困难（过境信息控制、跨国黑客打击、关税）（过境信息控制、跨国黑客打击、关税）民族化和国际化的冲突民族化和国际化的冲突（文化传统、价值观、语言文字）（文化传统、价值观、语言文字）网络资源紧缺（网络资源紧缺（IPIP地址、域名、带宽）地址、域名、带宽）文化安全文化安全信息安全信息安全系统安全系统安全物理安全物理安全网络信息安全涉及哪些因素网络信息安全涉及哪些因素?

因特网的安全涉及哪些因素因特网的安全涉及哪些因素系统安全系统安全系统安全系统安全信息安全信息安全信息安全信息安全文文化化安安全全物理安全物理安全物理安全物理安全又称实体安全又称实体安全又称运行安全又称运行安全又称数据安全又称数据安全又称内容安全又称内容安全关于物理安全关于物理安全作作用用点点：

对计算机网络与计算机系统的物理装备的威胁，主要表现在自然灾害、电磁辐射与恶劣工作环境方面。

外外显显行行为为：

通信干扰，危害信息注入，信号辐射，信号替换，恶劣操作环境。

防防范范措措施施：

抗干扰系统，防辐射系统，隐身系统，加固系统，数据备份。

关于系统安全关于系统安全作作用用点点：

对计算机网络与计算机系统可用性与可控性进行攻击。

网络被阻塞，黑客行为，非法使用资源等，计算机病毒，使得依赖于信息系统的管理或控制体系陷于瘫痪。

防止入侵，检测入侵，攻击反应，系统恢复。

关于信息安全关于信息安全作用点：

作用点：

对所处理的信息机密性与完整性的威胁，主要表现在加密方面。

外显行为：

窃取信息，篡改信息，冒充信息，信息抵赖。

防范措施：

加密，完整性技术，认证，数字签名。

有害信息的传播对我国的政治制度及传统文化的威胁，主要表现在舆论宣传方面。

淫秽暴力信息泛滥、敌对的意识形态信息涌入、英语文化的“泛洪现象”对民族文化的冲击，互联网被利用作为串联工具，传播迅速，影响范围广。

设置因特网关，监测、控管。

关于文化安全关于文化安全关于文化安全关于文化安全系统风险管理系统风险管理是一个识别什么会出错，测定和评价有关的风险，实现和控制避免或处理被识别出的每个风险的适当手段的一种有组织的分析过程。

风险在系统定义，系统规范，系统设计，系统实现或系统操作和支持期内的任何时候都要被识别出来。

技术风险管理技术风险管理计划是系统工程管理计划的基本部分。

安全风险和安全风险管理安全风险可被认为是满足系统安全技术要求的不确定性的度量。

安全风险管理是识别安全攻击及其相关结果的可能性，然后，如果需要，可动用资源，使系统的安全风险降低到可接受的水平。

系统风险分析模型网络系统风险分析详解风险分析一览表鉴别鉴别鉴别鉴别技术技术技术技术访问控制访问控制访问控制访问控制技术技术技术技术加密加密加密加密技术技术技术技术安全策略安全策略风险分析与评估风险分析与评估应用安全应用安全应用安全应用安全系统安全系统安全系统安全系统安全网络平台安全网络平台安全网络平台安全网络平台安全响应响应调整调整安全技术控制安全技术控制安全技术控制安全技术控制安全风险控制模型安全风险控制模型安安全全状状态态审审计计信信信信息息息息安安安安全全全全工工工工程程程程安全管理安全管理法律性法律性管理管理技术性技术性管理管理安全总需求安全总需求策略实施策略实施风险控制及风险控制及安全评估安全评估安安全全风风险险监监测测风险关系模型风险关系模型增加增加（increase）increase）抗击抗击（protectagainst）protectagainst）降低降低（reduce）reduce）被满足被满足（metby）metby）引出引出indicateindicate增增加加（increase）increase）增加增加（increase）increase）使暴露使暴露（expose）expose）拥有拥有（have）have）利用利用（exploit）exploit）需求需求影响影响资产资产漏洞漏洞威胁威胁控制控制风险风险