网络安全技术及应用(第九章)-精品·公开课件.ppt

第9章 网络安全新技术及应用 本章学习学习目标 随着现代信息技术及通信网络技术的迅猛发展，近年来出现了可信计算、蜜罐网络等安全技术，从崭新的角度来解决网络安全问题。通过本章的学习使学生了解可信计算的基本功能和体系结构，电子取证的概念基本特征以及取证过程，蜜罐网络和基本特征，最后了解安全评估的基本准则及步骤。 本章知识点 可信计算体系结构和功能 电子取证的概念、特征及计算机取证步骤 蜜罐网络的发展、基本特征和体系架构 安全风险评估的基本准则及步骤 9.4 信息安全风险评估 人们对信息安全内涵的认识不断深入，从最初的信息保密性发展到了信息的完整性、可用性、可控性和不可否认性，进而又提出和发展了“攻（攻击）、防（防范）、测（检测）、控（控制）、管（管理）、评（评估）”众多方面基础理论和专业技术，其中信息安全风险评估逐渐成为安全管理领域的一个重要手段和工具。 信息安全是一个动态的复杂过程，贯穿信息资产和信息系统的整个生命周期，是信息安全管理的基础和关键环节，必须按照风险管理思想，对可能的威胁、脆弱性和需要保护的信息资产进行分析，依据风险评估结果对信息系统选择适当的安全措施，以妥善应对可能面对的威胁和可能发生的风险，有针对性进行管理。 9.4.1 信息安全风险评估的概念 1、信息安全风险评估的定义 信息安全风险评估是从风险管理角度，运用定性、定量的科学分析方法和手段，系统地分析信息和信息系统等资产所面临的人为的和自然的威胁，以及威胁事件一旦发生系统可能遭受的危害程度，有针对性地提出抵御威胁的安全等级防护对策和整改措施，从而最大限度地减少经济损失和负面影响。 9.4.1 信息安全风险评估的概念 2、相关概念 资产(Asset) 资产价值（Asset Value） 信息安全风险（Information Security Risk） 信息安全风险评估（Information Security Risk Assessment） 威胁（Threat） 脆弱性（Vulnerability） 安全事件（Security Event） 安全措施（Security Measure） 安全需求（Security Requirement） 残余风险（Residual Risk） 9.4.1 信息安全风险评估的概念 3、风险评估的基本要素及关系 9.4.2 信息安全风险评估的发展历程 第一个阶段（20世纪60~70年代），以计算机为对象的信息保密阶段。 第二个阶段（20世纪80~90年代），以计算机和网络为对象信息安全保护阶段。 第三个阶段（20世纪90年代末至今），以信息系统关键基础设施为对象的信息保障阶段。 9.4.3 我国在信息安全风险评估方面的政策和工作 进入21世纪，我国的风险评估工作取得了较快的发展，中办发[2003]27号文件“国家信息化领导小组关于加强信息安全保障工作的意见”明确提出“要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防范措施等进行分析评估，综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素，进行相应等级的安全建设和管理”。 2004年1月首次全国信息安全保障工作会议要求“抓紧研究制定基础信息网络和重要信息系统风险评估的管理规范，并组织力量提供技术支持。 9.4.3 我国在信息安全风险评估方面的政策和工作 2003年7月委托国家信息中心组建成立了“信息安全风险评估课题组” 2004年9月，“信息安全风险评估规范”和“信息安全风险管理指南”两个标准的初稿完成 2005年，有国务院信息办组织，在北京、上海、黑龙江、云南、人民银行、国家税务总局、国家电力总公司和国家信息中心开展风险评估的试点工作 2006年1月国务院信息化办公室下发了“关于开展信息安全风险评估工作的意见”，明确了信息安全风险评估工作的基本内容和原则，对风险评估工作提出了要求 9.4.4 信息安全风险评估的参考流程 9.4.5 威胁识别 威胁是一种对组织及其资产构成潜在破坏的可能性因素，是客观存在的。 1、威胁识别 2、威胁分类 3、威胁赋值 9.4.6 脆弱性识别 脆弱性是指资产中可能被威胁所利用的弱点。 1、脆弱性识别 问卷调查 工具检测 人工检查 文档查阅 渗透性测试 2、脆弱性赋值 通用弱点评价体系（CVSS）