网络系统安全评价及高危漏洞.PPTVIP

正确的安全观念全网安全动态安全相对安全包括全网安全在政府网站系统中，综合考虑技术、管理、规范、行业法规等各个环节和因素，在网络运行的各个阶段，分析网络的参考点和安全的各个层次，采取适当的安全技术和安全管理手段，从整个网络的安全需求出发，构建全方位多层次的安全架构简单而言，应在积极利用这个安全按技术和产品的同时，建立配套的管理制度，两者相辅相成，实施于政府网站系统的各个阶段，使人、业务过程和安全技术高度协调动态安全安全不是一成不变的或者静态的，而是“动态”的安全网络结构会随着业务需求的变化而变化，计算机技术不停地改进，攻击手段也越来越高超；而当网络发生变化，或者出现新的安全技术和攻击手段，或者在安全事件发生之后，安全体系必须能够包容新的情况，及时做出联动反应，把安全风险维持在所允许的范围之内安全体系应该采用“以动制动”的机制如何达到动态安全采用自顶向下的方法，将整个网络系统划分为子系统，对单个系统直至系统中的部件进行详尽的风险分析定期或不定期对网络进行安全检查，检查时应按上次评估的结果及管理阶层所能接受的风险程度，以不同深度进行依据已有技术修补发现的新漏洞将评估和检查作为是必需的日常工作相对安全对于不同性质的政府网站，对于安全的要求是不同的。不能将安全问题绝对化，不是“越安全越好”安全保护是有成本的，目的并在于让系统毫无缝隙、滴水不漏，而是让非法用户觉得攻击此系统的代价远比他能获得的利益高，这样的绝大部分非法用户就不愿意做这种事情在设计系统安全措施的时候，必须根据系统的实际应用情况，综合考虑安全、成本、效率三者的权重，并求得适度的平衡，实现“恰到好处”的安全网络安全主要威胁来源网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道蠕虫典型的网络安全威胁威胁描述授权侵犯为某一特定目的的授权，使用一个系统的人却将该系统用作其他未授权的目的旁路控制攻击者发掘系统的缺陷或安全脆弱性拒绝服务对信息或其它资源的合法访问被无条件的拒绝或推迟窃听信息从被监视的通信过程中泄露出去电磁射频截获信息从电子机电设备所发出的无线射频或其它电磁场辐射中被提取非法使用资源被未授权人或以未授权方式使用人员疏忽授权人为了利益或粗心将信息泄露给未授权人信息泄漏信息被泄露或暴漏给某个未授权的实体完整性破坏数据的一致性通过对数据进行未授权的创建、修改或破坏而受到破坏截获／修改某一通信数据项在传输过程中被改变、删除或替代假冒一个实体假装成另一个不同的实体典型的网络安全威胁（cont.）威胁描述媒体清理信息被从废弃的或打印过的媒体中获得物理侵入入侵者通过绕过物理控制而获得对系统的访问重放出于非法目的而重新发送截获的合法通信数据项的拷贝否认参与某次通信交换的一方，事后错误的否认曾经发生过此次交换资源耗尽某一资源被故意超负荷使用，导致其他用户服务被中断服务欺骗某一伪系统或系统部件欺骗合法的用户，或系统自愿的放弃敏感信息窃取某一安全攸关的物品（令牌或身份卡）被盗业务流分析通过对通信业务流模式进行观察（有，无，数量，方向，频率等），而造成信息被泄露给未授权的实体陷门将某一“特征”设立于某个系统或系统部件中，使得在提供特定的输入数据时，允许违反安全策略特洛伊木马含有觉察不出或无害程序段的软件，当它被运行时，会损害用户的安全信息安全、计算机安全和网络安全的关系信息、计算机和网络是三位一体、不可分割的整体。信息的采集、加工、存储是以计算机为载体的，而信息的共享、传输、发布则依赖于网络系统。如果能够保障并实现网络信息的安全，就可以保障和实现计算机系统的安全和信息安全。因此，网络信息安全的内容也就包含了计算机安全和信息安全的内容。信息安全均指网络信息安全。不安全因素网络信息系统的脆弱性1)网络的开放性。2)软件系统的自身缺陷。1999年安全应急响应小组论坛FIRST的专家指出，每千行程序中至少有一个缺陷。3）黑客攻击。Microsoft通用操作系统的安全性估计操作系统 推出年份 代码行数（万）估计缺陷数（万）Windows3.1 1992年 3001.5～3Windows95 1995年 5002.5～5WindowsNT4.0 1996年 1650