信息系统安全技术安全风险分析.pptxVIP

信息系统安全技术

--网络安全风险分析何长龙高级工程师

目录风险综述安全风险管理安全风险分析模型安全风险控制点详细分析

在系统工程过程中，风险是对达到属于技术性能，成本和进度方面的目的和目标的不确定性的一种量度。风险等级用事件和事件结果的概率来分类。对获取程序，系统在产品和过程方面进行风险评价。风险源包括技术的（可行性，可操作性，生产性，测试性和系统的有效性）；成本（预算，目标），计划表（即技术资料的可用性，技术成就，里程碑）；和规划（即资源、合同）。风险综述

中国因特网的发展（2001.06）cn域名数（128362）上网主机数（1002万）出口带宽（3257M）WWW主机数（242739）

Cert有关安全事件的统计年份事件报道数目19886198913219902521991406199277319931334199423401995241219962573199721341998373419999895200021756总数47711

4-mimeheaders19/10-Javascript,Java212-Jan99-Trojans31-sscan42/3-Slow/StealthScans54-MelissaMacroVirus68-DNS712-Y2Ktrojans82000.2-DistributedDenialofService9计算机安全事件

2000.5-LoveBug,NewLove,Resume12000.8/9-rpc.statdexploits22000.12-Y2K32001.1-Ramen,BINDvuls,Kournikova42001.5-sadmind/IISworm52001.7-CodeRedworm62001.8-CodeRedII72001.9-NIMDA8计算机安全事件

四月份对中国网站的攻击(443次)

五月1-7日对美国网站的攻击(1041次)

五月1-7日对中国网站的攻击(147次)

系统太脆弱，太容易受攻击；被攻击时很难及时发现和制止；有组织有计划的入侵无论在数量上还是在质量上都呈现快速增长趋势；在规模和复杂程度上不断扩展网络而很少考虑其安全状况的变化情况；因信息系统安全导致的巨大损失并没有得到充分重视，而有组织的犯罪、情报和恐怖组织却深谙这种破坏的威力。信息系统安全领域存在的挑战

无主管的自由王国（有害信息、非法联络、违规行为）不设防的网络空间（国家安全、企业利益、个人隐私）法律约束脆弱（黑客犯罪、知识侵权、避税）跨国协调困难（过境信息控制、跨国黑客打击、关税）民族化和国际化的冲突（文化传统、价值观、语言文字）网络资源紧缺（IP地址、域名、带宽）互联网存在的六大问题

网络信息安全涉及哪些因素?

因特网的安全涉及哪些因素系统安全信息安全文化安全物理安全又称实体安全又称运行安全又称数据安全又称内容安全

作用点：对计算机网络与计算机系统的物理装备的威胁，主要表现在自然灾害、电磁辐射与恶劣工作环境方面。外显行为：通信干扰，危害信息注入，信号辐射，信号替换，恶劣操作环境。防范措施：抗干扰系统，防辐射系统，隐身系统，加固系统，数据备份。关于物理安全

231作用点：对计算机网络与计算机系统可用性与可控性进行攻击。外显行为：网络被阻塞，黑客行为，非法使用资源等，计算机病毒，使得依赖于信息系统的管理或控制体系陷于瘫痪。防范措施：防止入侵，检测入侵，攻击反应，系统恢复。关于系统安全

01作用点：对所处理的信息机密性与完整性的威胁，主要表现在加密方面。02外显行为：窃取信息，篡改信息，冒充信息，信息抵赖。03防范措施：加密，完整性技术，认证，数字签名。关于信息安全

作用点：有害信息的传播对我国的政治制度及传统文化的威胁，主要表现在舆论宣传方面。A外显行为：淫秽暴力信息泛滥、敌对的意识形态信息涌入、英语文化的“泛洪现象”对民族文化的冲击，互联网被利用作为串联工具，传播迅速，影响范围广。B防范措施：设置因特网关，监测、控管。C关于文化安全

系统风险管理系统风险管理是一个识别什么会出错，测定和评价有关的风险，实现和控制避免或处理被识别出的每个风险的适当手段的一种有组织的分析过程。风险在系统定义，系统规范，系统设计，系统实现或系统操作和支持期内的任何时候都要被识别出来。

01技术风险管理计划是系统工程管理计划的02基本部分。技术风险管理

安全风险和安全风险管理安全风险可被认为是满足系统安全技术要求的不确定性的度量。安全风险管理是识别安全攻击及其相关结果的可能性，然后，如果需要，可动用资源，使系统的安全风险降低到可接受的水平。