信息安全需求分析.pptVIP

信息系统安全分析概述 提纲 信息安全的涵义和事实 当前安全现状分析 信息系统的安全风险 信息安全的涵义和事实 信息系统的广泛应用 社会发展的必然 业务的发展和扩张 网络信息的共享 Internet上网 生产、销售、管理、办公自动化 可信网络系统的基本要求 业务、应用功能的实现 安全、可靠、稳定 信息安全三要素 Confidentiality：阻止未经授权的用户读取数据 Integrity：阻止未经授权的用户修改或删除数据 Availability：保证授权实体在需要时可以正常地使用系统 信息安全的基本特征 相对性 只有相对的安全，没有绝对的安全系统 时效性 新的漏洞与攻击方法不断发现（NT4.0已从SP1发展到SP6） 配置相关性 日常管理中的不同配置会引入新的问题（安全测评只证明特定环境与特定配置下的安全） 新的系统组件会引入新的问题 信息安全的基本特征 攻击的不确定性 攻击发起的时间、攻击者、攻击目标和攻击发起的地点都具有不确定性 复杂性 信息安全是一项系统工程，需要技术的和非技术的手段，涉及到安全管理、教育、培训、立法、国际合作与互不侵犯协定、应急恢复等 信息安全风险管理 风险永远存在 总是存在有价值的资产 威胁不会消失 国家间，对手间的竞争永远不会消失 间谍、恶意攻击者、内部破坏者永远不会消失 新的威胁不断出现 脆弱性客观存在 不可避免的因素 没有避免的因素 技术发展和环境变化 信息安全管理 由于许多信息系统并非在设计时就考虑了安全，依靠技术手段实现安全很有限，则应该由适当的管理来支持。 信息安全管理是通过保证维护信息的机密性、完整性和可用性来管理和保护组织的所有信息资产的一项体制。 保护和管理的对象 人 内部员工、外部客户、服务供应商、产品供应商等。 物 网络设备、系统主机、工作站、PC机等； 业务系统、应用系统等； 商业涉密数据、个人隐私数据、文档数据等。 信息安全的事实 安全是一个广泛的主题，它涉及到许多不同的区域（物理设备、网络、系统平台、应用程序等），每个区域都有其相关的风险、威胁及解决方法。 对于连网的企业组织来说风险与威胁是没有终止的。信息安全是一个动态发展的过程，不仅仅是纯粹的技术，仅仅依赖于安全产品的堆积来应对迅速发展变化的各种攻击手段是不能持续有效的。信息安全建设是一项复杂的系统工程，要从观念上进行转变，规划、管理、技术等多种因素相结合使之成为一个可持续的动态发展的过程。 信息安全的事实 绝对的信息安全是不存在的，每个网络环境都有一定程度的漏洞和风险。这种程度是可以接受的。信息安全问题的解决只能通过一系列的规划和措施，把风险降低到可被接受的程度，同时采取适当的机制使风险保持在此程度之内。当信息系统发生变化时应当重新规划和实施来适应新的安全需求。 信息系统的安全往往取决于系统中最薄弱的环节-人。人是信息安全中最关键的因素，同时也应该清醒的认识到人也是信息安全中最薄弱的环节。 当前安全现状分析 安全现状 随着金融电子化和网络化的巨大发展，传统的封闭性的业务网络将逐渐与公开网络相融合或连接，在这种情况下，如何保障业务网络的安全性成为信息安全的重要问题。 计算机产业的发展，网络知识的普及特别是Internet的广泛应用，为计算机网络和金融犯罪创造了更先进的技术条件，因此原有的安全设计已不能完全满足现有的安全需求，信息安全的风险增高了。 安全现状 针对互联网的应用目前还缺乏有效的安全措施和手段，影响了信息系统通过互联网对外提供服务的范围和种类。 只重视单一或几个安全产品的部署，而忽视整体安全系统建设； 部分企业信息系统的安全防范只能防范外部的非法入侵者，不能监控内部的破坏者； 只能消极地发现黑客攻击的后果，而不能主动、智能地对黑客进行反攻击; 只能采用分散的、不可集中管理的安全产品，而不能采用全面的、集中的安全管理平台。 安全现状 管理部门众多，没有统一的标准，人才不够等情况也是整个信息安全产业健康发展的制约因素。建立完善的信息安全体系，既要有适应社会信息化安全管理的配套政策、法律、法规和技术标准，又要有先进实用的技术手段，还要有大量的专门人才。 安全现状 兼职的安全管理员 物理安全保护 基本的安全产品 简单的系统升级 机房安全管理制度 资产管理制度 …… 安全现状 空口令、简单口令、默认口令设置、长期不更换； 点击进入危险的网站或链接； 接收查看危险的电子邮件附件； 系统默认安装，从不进行补丁升级； 拨号上网，给个人以及整个公司建立了后门； 启动了众多的不用的服务； 个人重要数据没有备份； …… 安全现状总结（1） 没有有效、独立的安全管理组织，安全管理人员不足，岗位权责不明确，不能有效实施和执行某些安全措施。部分公司的信息技术部门虽专设负责的信息安全工作的岗位，但由于组织