返回
网络系统安全评估及高危漏洞

网络系统安全评估及高危漏洞

ID:36197517

大小:3.24 MB

页数:197页

时间:2019-05-07

网络系统安全评估及高危漏洞_第1页
网络系统安全评估及高危漏洞_第2页
网络系统安全评估及高危漏洞_第3页
网络系统安全评估及高危漏洞_第4页
网络系统安全评估及高危漏洞_第5页
资源描述:

《网络系统安全评估及高危漏洞》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、广东省中小学信息网络管理员安全技术培训班Dec2005许伯桐(博士)Email:burton.xu@gmail.comProfessionalSecuritySolutionProvider网络系统安全评估及高危漏洞提纲安全态势(15分钟)安全标准与风险评估(90分钟)概述(15分钟)通用准则CC(45分钟)BS7799(30分钟)休息(15分钟)系统高危漏洞(60分钟)概述(10分钟)20个最危险的安全漏洞(25分钟)网络安全维护(20分钟)安全编程与其他安全技术领域(5分钟)安全态势安全态势近年网络安全态势任何组织都会

2、遭受到的攻击每年发现的漏洞数量飞速上升发起攻击越来越容易、攻击能力越来越强黑客职业化攻击方式的转变不为人知的威胁zero-day特点任何组织都会遭受攻击每年发现的漏洞数量飞速上升每年发现的漏洞数量飞速上升2004年CVE全年收集漏洞信息1707条到2005年到5月6日就已经达到1470条年份漏洞数量1999742200040420018322002100620031049200417072005***1479发起攻击越来越容易、攻击能力越来越强黑客的职业化之路不再是小孩的游戏,而是与¥挂钩职业入侵者受网络商人或商业间谍雇佣

3、不在网上公开身份,不为人知,但确实存在!攻击水平通常很高,精通多种技术攻击者对自己提出了更高的要求,不再满足于普通的技巧而转向底层研究面临严峻的安全形势SQLInjection等攻击方式对使用者要求较低缓冲区溢出、格式串攻击已公开流传多年,越来越多的人掌握这些技巧少部分人掌握自行挖掘漏洞的能力,并且这个数量在增加漏洞挖掘流程专业化,工具自动化“看不见的风险”厂商为了声誉不完全公开产品的安全缺陷:漏洞私有,不为人知网络安全事件造成巨大损失在FBI/CSI的一次抽样调查结果:被调查的企业2004年度由于网络安全事件直接造成的损

4、失就达到1.4亿美元怠工、蓄意破坏系统渗透Web页面替换电信欺诈电脑盗窃无线网络的滥用私有信息窃取公共web应用的滥用非授权访问金融欺诈内部网络的滥用拒绝服务攻击病毒事件网络安全事件类型来源:信息网络安全状况调查常用管理方法来源:信息网络安全状况调查应用最广泛的网络安全产品来源:信息网络安全状况调查网络攻击产生原因分析来源:信息网络安全状况调查安全设计四步方法论ISSF模型安全设计和安全域/等级保护的结合(示例)等级组织体系管理体系技术体系机构建设人员管理制度管理风险管理资产管理技术管理安全评估安全防护入侵检测应急恢复1√

5、√√2√√√√√√√3√√√√√√√√√√4√√√√√√√√√√5√√√√√√√√√√安全体系的全面性措施分级保护、适度安全强度分级三分技术,七分管理网络系统安全风险评估网络系统安全风险评估组织实现信息安全的必要的、重要的步骤风险评估的目的风险评估的目的了解组织的安全现状分析组织的安全需求建立信息安全管理体系的要求制订安全策略和实施安防措施的依据风险的四个要素:资产及其价值威胁脆弱性现有的和计划的控制措施风险的要素资产的分类电子信息资产软件资产物理资产人员公司形象和名誉威胁举例:黑客入侵和攻击病毒和其他恶意程序软硬件故障人

6、为误操作自然灾害如:地震、火灾、爆炸等盗窃网络监听供电故障后门未授权访问……脆弱性是与信息资产有关的弱点或安全隐患。脆弱性本身并不对资产构成危害,但是在一定条件得到满足时,脆弱性会被威胁加以利用来对信息资产造成危害。脆弱性举例:系统漏洞程序Bug专业人员缺乏不良习惯系统没有进行安全配置物理环境不安全缺少审计缺乏安全意识后门……风险的要素风险分析矩阵—风险程度可能性后果可以忽略1较小2中等3较大4灾难性5A(几乎肯定)HHEEEB(很可能)MHHEEC(可能)LMHEED(不太可能)LLMHEE(罕见)LLMHHE:极度风险

7、H:高风险M:中等风险L:低风险国际上常见的风险控制流程确定风险评估方法风险评估确定安全需求法律、法规系统任务和使命系统建设阶段、规模资产、威胁、脆弱性、现有措施法律、法规,系统任务和使命、评估结果制定安全策略选择风险控制措施验证措施实施效果安全需求技术限制、资源限制安全需求、实施效果安全策略文件风险评估报告安全需求报告风险管理方案适用性声明验证报告提供采取降低影响完成保护安全保证技术提供者系统评估者安全保证信心风险对策资产使命资产拥有者价值给出证据生成保证具有信息安全有效评估的目标风险评估要素关系模型安全措施抗击业务战略

8、脆弱性安全需求威胁风险残余风险安全事件依赖拥有被满足利用暴露降低增加增加增加导出演变未被满足未控制可能诱发残留成本资产资产价值信息系统是一个巨型复杂系统(系统要素、安全要素)信息系统受制于外部因素(物理环境、行政管理、人员)作业连续性保证威胁和风险在同领域内的相似性自评估、委托评估、检察评估信息系统安全

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。