(
课件网) 信息系统安全风险防范 的技术和方法 环境维护 防盗防火 防静电 防雷击、防电磁泄漏、 访问控制 信息加密 你在使用计算机的过程中遇到了哪些种问题? 你是怎么解决的呢? 导入 信息系统的安全风险来自多方面,,包括人为的和非人为的、有意的和无意的等。随着信息系统安全问题的复杂度不断提高,危害信息系统安全的手段、方法也不断变化。人们越来越深刻地认识到信息系统安全不能仅从技术人手,还得从系统的管理角度切人,才能寻找到一个较合理的解决策略。 导入 Part1 信息系统安全风险术语 威胁 攻击 入侵 漏洞 脆弱性 风险 Part1 信息系统安全风险术语 威胁 描述:威胁是指经常存在的、对信息或信息资产具有潜在危险的人、实体或其他对象。也称为威胁主体,即针对信息或系统的潜在危险。 说明:人侵者通过防火墙上的某个端口访问网络、侵害知识产权、某位扁员造成的可能泄露机密信息或破坏文件完整性的意外错误,营意信息敲诈、软件攻击、技术淘汰等。 Part1 信息系统安全风险术语 攻击 描述:攻击是不断地对资产进行营意或无意破坏,或损害信息、或损坏信息系统的一种行为。它分为主动攻击与被动攻击、营意攻击与无意攻击、直接攻击或间接攻击等类型。 说明: 某人偶然读取了被感信息,但没有使用该信息的意图,为被动攻击。黑客试图人侵信息系统。则为主动攻击。 Part1 信息系统安全风险术语 人侵 描述:人侵是政手通过攻克系统的访问控制保护,得到对第三方数据的非授权访问。 说明:人侵是政手通过攻克系统的访问控制保护,得到对第三方数据的非授权访问。 Part1 信息系统安全风险术语 漏洞 描述:漏洞是一个天然的缺陷,犹如没有上锁的门,它是信息系统自身存在的弱点或错误,使信息暴露在被攻击或被破坏的情况下。 说明:信息系统的不断大型化。造成控制与管理的复杂程序不所增加,漏洞也越来越多,如软件包缺陷、未受保护的系统端口、暴露、风险、伪造等。 Part1 信息系统安全风险术语 脆弱性 描述:脆弱性是一种软件、硬件、过程或人为缺陷。它的存在说明了缺少应该使用的安全措施或者安全措施有缺陷。 说明:如未安装补丁的应用程序或操作系统软件,服务器和工作站上未实施密码管理等。 Part1 信息系统安全风险术语 风险 描述:风险是威胁主体利用脆弱性的可能性以及相应的业务影响。 说明:网络没有安装人侵检测系统,在不引人注意的情况下被攻击且很晚才被发现的可能性就会较大。 Part2 信息系统安全模型及策略 从信息系统安全的目标来看,信息系统安全是一个综合性的问题,需要通过建模的思想来解决信息系统安全管理问题,安全模型能精确和形象地描述信息系统的安全特征,描述和解释安全相关行为。精确的安全模型能提高对关键安全需求的理解层次,从中开发出一套安全性的评估准则。 信息系统安全性、便利性与成本的关系 思考 正相关 负相关 没有关系 信息系统安全性、便利性与成本的关系 思考 信息系统不存在绝对的安全,因为安全性和便利性及成本安全性之间有着矛盾的关系。提高了,相应地就会降低便利性:而提高了安全性。势必增大成本;易用性越好,安全性可能就越低 安全水平与安全成本/损失关系图 最小化的总成本 安全控制水平 安全所需的成本 策略 Policy 防护Protection 检测Detection 响应Response P2DR模型 哪些资源要得到保护,以及怎么保护所有的防护,响应,检测都是依据安全策略实施的。 防护就是预防安全事件的发生。 1.定期检查,发现系统脆弱 2.教育等手段,让用户操作员正确使用系统 3.通过访问控制 防止恶意威胁 在检测到安全漏洞和安全事件时,将网络系统的安全性调整到风险最低状态。 检测是动态响应和加强防护的依据 物理 ... ...
