信息安全审计和风险分析.pdf

信息安全审计和风险分析 曹鹏 资深安全顾问，CISP, CCID安全专栏作家 东软NETEYE策划部 北京 caopeng@ 四月 2003 ©2003 Neteye. All rights reserved. Confidential – Do Not Copy or Distribute 风险综述 在系统工程过程中，风险是对达到属于技术性能，成本和进度方面的目的和目标的不 确定性的一种量度。 风险等级用事件和事件结果的概率来分类。对获取程序，系统在产品和过程方面进行 风险评价。 风险源包括技术的（可行性，可操作性，生产性，测试性和系统的有效性）；成本（ 预算，目标），计划表（即技术资料的可用性，技术成就，里程碑）；和规划（即资 源、合同）。 四月份对中国网站的攻击(443次) 政府机关 教育科研 其它 15% 网络服务 22% 8% 7% 商业机构 48% 五月五月11--77日对美国网站的攻击日对美国网站的攻击(1041(1041次次)) 网络服务 其它 政府网站 军事网站 6% 12% 5% 2% 教育网站 4% 机构网站 商业网站 6% 65% 五月五月11--77日对中国网站的攻击日对中国网站的攻击(147(147次次)) 147个被黑网站类别比例图 组织机构 其它 政府机关 5% 7% 36% 教育科研 16% 商业机构 网络服务 9% 27% 信息系统安全领域存在的挑战信息系统安全领域存在的挑战 (1) 系统太脆弱，太容易受攻击； (2) 被攻击时很难及时发现和制止； (3) 有组织有计划的入侵无论在数量上还是在质量 上都呈现快速增长趋势上都呈现快速增长趋势；； (4) 在规模和复杂程度上不断扩展网络而很少考虑 其安全状况的变化情况； (5) 因信息系统安全导致的巨大损失并没有得到充 分重视，而有组织的犯罪、情报和恐怖组织却 深谙这种破坏的威力。 互联网存在的六大问题  无主管的自由王国 （有害信息、非法联络、违规行为）  不设防的网络空间 （国家安全、企业利益、个人隐私）  法律约束脆弱法律约束脆弱 （黑客犯罪、知识侵权、避税）  跨国协调困难