信息安全技术 俞承杭 CH08系统风险评估与脆弱性分析新.pptVIP

本章要点 针对信息系统，特别是网络系统，要先了解系统的安全弱点，才能进行安全加固。 本章在系统风险评估的理念指导下，首先解决系统的脆弱性检查，发现问题后再通过后续章节介绍的具体技术解决安全问题。 一、系统风险评估 1、风险评估的概念 通过风险评估能够清楚信息系统的安全需求，了解信息系统的脆弱性，从而达到信息安全建设的最终目的——满足信息系统的安全需求和降低信息系统的安全风险。 所谓风险评估，就是对信息资产面临的威胁、存在的弱点、造成的影响，以及三者综合作用而带来风险的可能性的评估。 作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。 一、系统风险评估 2、风险评估目的和基本要素 风险评估的目的 （1）了解组织的安全现状 （2）分析组织的安全需求 （3）建立信息安全管理体系的要求 （4）制订安全策略和实施安防措施的依据 （5）组织实现信息安全的必要的、重要的步骤 风险评估的四大要素 （1）资产及其价值 （2）威胁 （3）脆弱性 （4）现有的和计划的控制措施 一、系统风险评估 3、风险评估标准和工具 风险评估的标准 （1）ISO 13335 《信息安全管理方针》 （2）ISO 15408 《信息技术安全性通用评估准则》 （3）SSE-CMM 《系统安全工程成熟度模型》 （4）SP800-30 《信息系统安全风险管理》 （5）ISO 27001 《信息安全管理体系标准》 （6）GB 17859 《安全保护等级划分准则》 风险评估的工具 （1）扫描工具 （2）入侵检测系统（IDS） （3）渗透性测试工具 （4）主机安全性审计工具 （5）安全管理评价系统 （6）风险综合分析系统 （7）评估支撑环境工具 一、系统风险评估 4、风险评估流程 根据风险发生的可能性、风险发生后对系统产生的影响程度，对评估系统的各种对象进行风险程度分析，将系统对象按发生风险的可能性大小、发生风险后对系统造成的影响及危害大小进行评估和组织。 二、系统脆弱性分析概述 1、脆弱性的概念 脆弱性即vulnerability，国内多称“漏洞”，是指硬件、软件或策略上存在的安全缺陷，从而使得攻击者能够在未授权的情况下访问、控制系统。 CVE(Common Vulnerabilities and Exposures)，漏洞标准化组织。 对于一个信息系统来说，它的安全性不在于它是否采用了必威体育精装版的加密算法或最先进的设备，而是由系统本身最薄弱之处，即漏洞所决定的。 --信息系统安全“木桶原则” 二、系统脆弱性分析概述 2、漏洞的发现 网络的开放性、软件系统的自身缺陷和黑客攻击使得系统的脆弱性充分暴露。 1999年安全应急响应小组论坛FIRST的专家指出，每千行程序中至少有一个缺陷。Windows XP有35万行。 CVE(Common Vulnerabilities and Exposures)，漏洞标准化组织。（/） 对于一个信息系统来说，它的安全性不在于它是否采用了必威体育精装版的加密算法或最先进的设备，而是由系统本身最薄弱之处，即漏洞所决定的。 --信息系统安全“木桶原则” SANS (SysAdmin, Audit, Network, Security) 的研究报告（）：Windows最关键的十大安全隐患 二、系统脆弱性分析概述 漏洞的类型 （1）管理漏洞 （2）软件漏洞 （3）结构漏洞 （4）信任漏洞 漏洞的发现 由以下三个组织之一来完成： （1）黑客 （2）破译者软件漏洞 （3）安全服务商组织 管理者需要制定一个从新闻组、邮件列表、Web站点、FTP文档等收集、分析以及抽取漏洞信息的策略，以便获取有用的信息。 二、系统脆弱性分析概述 3、漏洞对系统的威胁 漏洞对系统的威胁体现在恶意攻击行为对系统的威胁。 只有利用硬件、软件和策略上最薄弱的环节，恶意攻击者才可以得手。 目前，互联网上已有几万个黑客站点，而且黑客技术不断创新，基本的攻击手法已达上千种。 多数情形下，计算机已经被网络入侵者完全控制，且被偷走大量机密资料，而管理员却毫不知情。 二、系统脆弱性分析概述 4、系统脆弱性的主要类型 漏洞类型多样 如DNS与FTP协议的安全性、缓冲区溢出问题、拒绝服务和后门等，通过各种应用软件表现。 目前，“应用层的不安全调用”已成为新的关注焦点，而又容易被技术人员忽视。 应用层中的漏洞才是最直接、最致命的，因为互联网的应用必须开放端口，这时防火墙等设备已无能为力；网络应用连接着单位的核心数据，漏洞直接威胁着数据库中的数据；内部人员通过内网的应用安全也不受防火墙控制。 据OWASP（Open Web Applications Security Project，开放网络应用安全计划）相关统计资料显示攻击者利用网站系统的代码漏洞，