2014年hp_信息安全管理基础.pptVIP

  信息安全管理基础 ISO17799/BS7799 李 丹BS7799 Lead Auditor 惠普咨询与服务 2002年11月 课程概要 第一部分、基本概念 第二部分、信息风险 第三部分、信息安全管理和业务需求 第四部分、7799的历史和发展 第五部分、资产和风险管理 第六部分、信息安全维护 第七部分、信息安全管理系统的设计和实施 第八部分、7799中的控制措施总览 第九部分、评估和认证 第十部分、鉴定和鉴定实体 课程概要 第一部分、基本概念 第二部分、信息风险 第三部分、信息安全管理和业务需求 第四部分、7799的历史和发展 第五部分、资产和风险管理 第六部分、信息安全维护 第七部分、信息安全管理系统的设计和实施 第八部分、7799中的控制措施总览 第九部分、评估和认证 第十部分、鉴定和鉴定实体  什么是信息？ 信息可以以多种形式存在。它可以打印或者书写到纸张上，以电子格式存放，通过邮递或者电子手段传递，以电影方式展现或者通过对话方式表现。 无论信息以何种形式存在，或者以何种形式存储和共享，信息都是需要得到正确的保护。 信息安全管理体系中的信息类型 内部信息：不希望竞争对手获取的信息 客户信息：用户不希望泄漏的信息 需要和其它业务伙伴共享的信息 信息处理方式 银行 软件开发商 国家安全部门 慈善机构 产品秘密 医疗保健 金融模式 警察记录 …………… 一份长长的名单 课程概要 第一部分、基本概念 第二部分、信息风险 第三部分、信息安全管理和业务需求 第四部分、7799的历史和发展 第五部分、资产和风险管理 第六部分、信息安全维护 第七部分、信息安全管理系统的设计和实施 第八部分、7799中的控制措施总览 第九部分、评估和认证 第十部分、鉴定和鉴定实体 信息安全风险 (一部分)种类的信息安全风险 信息失窃 信息系统的侵入与篡改 虚假信息 拒绝服务攻击 丢失 损坏 让我们想象。。。。。 信息联网的安全问题 急剧的膨胀速度 任何人可以从一个联网系统访问其它任何一个联网系统 上网人员良莠不齐 开放的网络体系架构(TCP/IP) 美国国防部从1995年以来遭受了250,000次攻击，其中，65%攻击是成功的 常见攻击举例 假造的电子邮件“发件人” 电子邮件中包含了可执行部分，可以启动病毒或者攻击程序 通过隐含下载的攻击性程序，并且可能是恶意的和破坏性的(例如特洛伊木马) 导致计算机崩溃的引导区病毒 通过欺诈手段隐瞒真实的消息来源 伪装成为合法的通信一方 假造的电子邮件“发件人” 电子邮件中包含了可执行部分，可以启动病毒或者攻击程序 通过隐含下载的攻击性程序，并且可能是恶意的和破坏性的(例如特洛伊木马) 导致计算机崩溃的引导区病毒 通过欺诈手段隐瞒真实的消息来源 伪装成为合法的通信一方 。。。。。。。。 对于操作系统的威胁 UNIX 20年历史 已知的漏洞 认识到威胁 系统基本稳定 可以得到源代码 登录和明文问题 在网络上传输的信息使用明文 任何人，只要有适当的手段或者设备就可以看到登录信息 在内部网络中，大部分登录是明文的 NT以Hash值方式传递口令 探测器（Sniffer） 通过这种手段可以看到登录过程 看到机密信息 引发人们的探秘欲望 口令破解（技术手段） 人们倾向于使用简单、容易记忆的口令 口令通常带有个人色彩，容易猜测 使用口令字典来破解口令 有提供口令破解的商业软件 根据最近的一项测试，使用破解程序成功的将一个大学的NT网络中的超过10,000个口令破解 口令破解（最直接的方法） 直接问某个人 不要忘记最薄弱的环节 Hi, It’s John isn’t it? No, Dave Johnson, you can use D dot Johnson. My word, you’re a dead ringer, sorry old chap, what about today’s match, did you see it? No, Formula 1, is my sport, follow Ferrari, nearest I’ll get to one! …… Username: D.Johnson Password: Ferrari 网站破坏 修改主页 窃取用户信息 接管管理员权限 。。。。。。。 最薄弱的环节 问题：如果给你1,000,000的预算，你打算如何侵入一个高安全性的系统。 另一个薄弱的环节 问题：如何探听信息秘密？（并不总是IT） 设备失败 缺乏有计划的灾难恢复和备份 没有UPS(Un-interruptible Power Supply) 偷窃 在英国，计算机偷窃是增长率最快