某通信公司网络信息安全培训课程.pptVIP

来源 描述 环境因素 　　　由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境条件和自然灾害；意外事故或由于软件、硬件、数据、通讯线路方面的故障 人为因素 恶意人员 　　不满的或有预谋的内部人员对信息系统进行恶意破坏；采用自主的或内外勾结的方式盗窃机密信息或进行篡改，获取利益 外部人员利用信息系统的脆弱性，对网络和系统的机密性、完整性和可用性进行破坏，以获取利益或炫耀能力 无恶意人员 　　　内部人员由于缺乏责任心，或者由于不关心和不专注，或者没有遵循规章制度和操作流程而导致故障或被攻击；内部人员由于缺乏培训，专业技能不足,不具备岗位技能要求而导致信息系统故障或被攻击 威胁来源 种类 描述 软硬件故障 由于设备硬件故障、通讯链路中断、系统本身或软件Bug导致对业务高效稳定运行的影响 物理环境威胁 断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境问题和 自然灾害 无作为或操作失误 由于应该执行而没有执行相应的操作，或无意地执行了错误的操作，对系统造成影响 管理不到位 安全管理无法落实，不到位，造成安全管理不规范，或者管理混乱，从而破坏信息系统正 常有序运行 恶意代码和病毒 具有自我复制、自我传播能力，对信息系统构成破坏的程序代码 越权或滥用 通过采用一些措施，超越自己的权限访问了本来无权访问的资源；或者滥用自己的职权， 做出破坏信息系统的行为 黑客攻击技术 利用黑客工具和技术，例如侦察、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪 造和欺骗、拒绝服务攻击等手段对信息系统进行攻击和入侵 物理攻击 物理接触、物理破坏、盗窃 泄密 机密泄漏，机密信息泄漏给他人 篡改 非法修改信息，破坏信息的完整性 抵赖 不承认收到的信息和所作的操作和交易 威胁分类（示例） 判断威胁出现的频率是威胁赋值的重要内容，评估者应根据经验和（或）有关的统计数据来进行判断。 威胁赋值 威胁发生可能性 等级 标识 定义 5 很高 威胁出现的频率很高，在大多数情况下几乎不可避免或者可以证实经常发生过 4 高 威胁出现的频率较高，在大多数情况下很有可能会发生或者可以证实多次发生过 3 中等 威胁出现的频率中等，在某种情况下可能会发生或被证实曾经发生过 2 低 威胁出现的频率较低，一般不太可能发生，也没有被证实发生过 1 很低 威胁几乎不可能发生，仅可能在非常罕见和例外的情况下发生 1）脆弱性识别内容 2）脆弱性分类 3）脆弱性赋值 4）脆弱性等级 脆弱性识别阶段的主要任务 脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面，前者与具体技术活动相关，后者与管理环境相关。 脆弱性主要识别内容 类型　 识别对象 识别内容 技术脆弱性 物理环境 从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别。 网络结构 从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别。 系统软件 （包括操作系统 及系统服务） 从物理保护、用户账号、口令策略、资源共享、事件审计、访问控制、新系统配置（初始化）、注册表加固、网络安全、系统管理等方面进行识别。 数据库软件 从补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、备份恢复机制、审计机制等方面进行识别。 应用中间件 主要从协议安全以及交易完整性和数据完整性等方面进行识别。 应用系统 审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别。 管理脆弱性 技术管理 物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性。 组织管理 安全策略、组织安全、资产分类与控制、人员安全、符合性 脆弱性分类 可以根据对资产的损害程度、技术实现的难易程度、弱点的流行程度，采用等级方式对已识别的脆弱性的严重程度进行赋值。 脆弱性赋值 脆弱性等级 等级 标识 定义 5 很高 如果被威胁利用，将对资产造成完全损害 4 高 如果被威胁利用，将对资产造成重大损害 3 中等 如果被威胁利用，将对资产造成一般损害 2 低 如果被威胁利用，将对资产造成较小损害 1 很低 如果被威胁利用，对资产造成的损害可以忽略 已有安全措施的确认 在识别脆弱性的同时，评估人员应对已采取的安全措施的有效性进行确认，即安全措施是否真正地降低了系统的脆弱性，抵御了威胁。安全措施可以分为预防性安全措施和保护性安全措施两种。 1）风险计算 2）风险等级 3）风险处理计划 风险