信息安全战企业信息安全建设之道提纲信息安全的涵义和事实当前安全现状分析信息系统的安全风险常见黑客攻击方法信息安全的涵义和事实信息系统的广泛应用社会发展的必然业务的发展和扩张网络信息的共享Internet上网生产、销售、管理、办公自动化可信网络系统的基本要求业务、应用功能的实现安全、可靠、稳定信息安全三要素Confidentiality:阻止未经授权的用户读取数据Integrity:阻止未经授权的用户修改或删除数据Availability:保证授权实体在需要时可以正常地使用系统员工和客户访问资源员工和客户访问资源可用性可用性客户和业务信息的保护客户和业务信息的保护机密性机密性客户和业务信息的可信赖性客户和业务信息的可信赖性完整性完整性信息安全定义经典定义Confidentiality-保密性:阻止未经授权的用户读取数据Integrity-完整性:阻止未经授权的用户修改或删除数据Availability-可用性:保证授权实体在需要时可以正常地访问和使用系统多样化定义Accountability-负责性:确保一个实体的访问动作可以被惟一的区别、跟踪和记录Authenticity-确实性:确认和识别一个实体就是其所声称的,被认证的可以是用户、进程、系统和信息等Reliability-可靠性:保证预期的行为和结果的一致性信息安全实际上是……保护信息资产,防止不被窃取和破坏资产物理资产软件资产数据资产信息安全的基本特征相对性只有相对的安全,没有绝对的安全系统时效性新的漏洞与攻击方法不断发现(NT4.0已从SP1发展到SP6)配置相关性日常管理中的不同配置会引入新的问题(安全测评只证明特定环境与特定配置下的安全)新的系统组件会引入新的问题信息安全的基本特征攻击的不确定性攻击发起的时间、攻击者、攻击目标和攻击发起的地点都具有不确定性复杂性信息安全是一项系统工程,需要技术的和非技术的手段,涉及到安全管理、教育、培训、立法、国际合作与互不侵犯协定、应急恢复等威胁永远不会消失国家间的竞争永远不会消失敌对势力永远不会消失企业间谍、恶意攻击者、纯粹的偷窃者永远不会消失内部系统的误用、滥用问题长期存在新的威胁不断出现使原有防护措施失效产生新的威胁搜索引擎Google查找“黑客工具”有3,260,000条记录漏洞/薄弱点客观存在不可避免的因素技术发展的局限,系统在设计之初不能认识到所有问题Tcp/ip协议在开发过程中并未主要考虑安全问题人类的能力有限,失误和考虑不周在所难免操作系统和应用程序在编码过程中难免引入Bug没有避免的因素系统实施过程中采用了默认配置而未针对实际情况进行定制和安全优化新的漏洞补丁跟踪、使用不及时拥有者的组织结构,管理和技术体系不够完善技术发展和环境变化使网络安全处于动态之中资产面临风险成为必然资产是有价的资产被薄弱点暴露给威胁威胁针对薄弱点给资产带来影响威胁和薄弱点的增加导致资产安全风险的增加信息系统的风险管理RISKRISKRISKRISKRISKRisk风险的构成风险的降低资产威胁脆弱性资产威胁脆弱性信息安全管理由于许多信息系统并非在设计时就考虑了安全,依靠技术手段实现安全很有限,则应该由适当的管理来支持。信息安全管理是通过保证维护信息的机密性、完整性和可用性来管理和保护组织的所有信息资产的一项体制。保护和管理的对象人内部员工、外部客户、服务供应商、产品供应商等。物网络设备、系统主机、工作站、PC机等;业务系统、应用系统等;商业涉密数据、个人隐私数据、文档数据等。信息安全的事实安全是一个广泛的主题,它涉及到许多不同的区域(物理设备、网络、系统平台、应用程序等),每个区域都有其相关的风险、威胁及解决方法。对于连网的企业组织来说风险与威胁是没有终止的。信息安全是一个动态发展的过程,不仅仅是纯粹的技术,仅仅依赖于安全产品的堆积来应对迅速发展变化的各种攻击手段是不能持续有效的。信息安全建设是一项复杂的系统工程,要从观念上进行转变,规划、管理、技术等多种因素相结合使之成为一个可持续的动态发展的过程。信息安全的事实安全是一个广泛的主...
