网络与信息全基本概念介绍.ppt

“网络与信息安全”—动态发展的概念 安全的相关属性 安全的相关属性 通俗地说,安全就是 网络与信息安全的重要性 网络与信息安全是国家安全的需要 威胁国家安全 直接经济损失 网络与信息安全是组织持续发展的需要 名誉、信誉受损 正常工作中断或受到干扰 效率下降 网络与信息安全是保护个人隐私与财产的需要 威胁信息私秘性 直接影响对信息交互的信任度 网络与信息安全的基本特征 网络与信息安全的目标 网络与信息安全的思考 客观上无法避免的因素 技术发展的局限，系统在设计之初不能认识到所有问题，如Tcp/ip协议 人类的能力有限，失误和考虑不周在所难免，如在编码会引入Bug 主观上没有避免的因素 采用了默认配置而未定制和安全优化 新的漏洞补丁跟踪、使用不及时 组织、管理和技术体系不完善 技术发展和环境变化的动态性…… 恶意软件类：指蓄意制造、传播恶意软件，或是因受到恶意软件的影响而导致的告警事件。包括计算机病毒、木马和蠕虫等。 网络攻击类：包括拒绝服务攻击，是指利用信息系统缺陷、或通过暴力攻击的手段，以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源，从而影响信息系统正常运行为目的的信息安全事件，漏洞攻击等子类。 信息破坏类 ：是指通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的安全告警 ，包括网页篡改，钓鱼网站等子类。 信息内容安全类：是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容而导致的安全告警，包括垃圾邮件等子类。 安全设备故障类：是指由于安全设备自身故障或外围保障设施故障而导致的安全告警，包括硬件告警和软件告警子类，也可以归入通信网元类告警事件。 安全告警的级别可参考下列三个要素：系统的重要程度、系统损失和社会影响指蓄意 安全告警的分级需要考虑的因素包括：安全告警的原始告警级别、资产的重要等级以及实际安全告警本身相关的信息要素如（告警源和目的IP、事件发生的频率、事件的实际影响程度等等）。 实际安全告警级别设定，需要在此基础上，结合实际的网络情况和告警信息相关要素综合考虑，对安全事件重要等级进行相应调整。 具体级别调整可以根据（但不局限）下列几个条件进行： 安全告警发生的频度 告警事件本身的影响和破坏程度 时间敏感型的安全事件 …… 安全事件监控：负责本省通信网、业务系统和网管系统的安全告警监控，及时发现安全事件并上报，并派单和督促解决。 安全投诉受理：负责本省范围的安全投诉的受理，及时受理并派单和督促解决，及时反馈处理省内处理结果。 安全事件应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全属性的活动 。 一般包括6个阶段（PDCERF）：准备、检测、抑制、根除、恢复和跟进。  准备阶段：即在事件真正发生前为事件响应做好准备，如应急预案的准备和监控人员和手段的准备。 检测阶段：检测是指以适当的方法确认在系统/网络中是否出现了恶意代码、文件和目录是否被篡改等异常活动/现象。如果可能的话同时确定它的影响范围和问题原因。在操作的角度来讲，事件响应过程中所有的后续阶段都依赖于检测，如果没有检测，就不会存在真正意义上的事件响应。检测阶段是事件响应的触发条件。 抑制阶段：抑制阶段是事件响应的第三个阶段，它的目的是限制攻击/破坏所波及的范围，如对蠕虫病毒传播端口的封堵。 根除阶段：即在准确的抑制事件后，找出事件的根源并彻底根除它，以避免攻击者再次使用相同手段攻击系统，引发安全事件。在根除阶段中将需要利用到在准备阶段中产生的结果，如病毒的根除。 恢复阶段：将事件的根源根除后，将进入恢复阶段。恢复阶段的目标是把所有被攻破的系统或网络设备还原到它们正常的任务状态。 跟进阶段：最后一个阶段是跟进阶段，其目标是回顾并整合发生事件的相关信息。跟进阶段也是6个阶段中最可能被忽略的阶段。但这一步也是非常关键的，如总结如何防范事件的发生等。 安全事件监控的流程举例如下，应通过电子工单流转并形成闭环 。 2007年，总部组织全网开展了以“风险管理”为核心的安全监控。 按照网络与信息安全“风险管理”的本质，对风险进行有效的控制，要着眼损失和影响，首要保护高价值的资产，关注危害较高的威胁。 围绕“重要资产，重要告警，重点监控”的工作目标，以安全告警和资产的关联为重点开展工作。 整理资产基础信息，列出资产的重要程度，包括IP地址等信息。制定资产信息收集和更新的流程。 制定告警预处理手册、安全事件处理及上报流程、安全监控作业计划，优化安全系统的告警配置。将安全告警分类分级，手册标准化。 将告警信息与资产信息进行关联，实现对重要系统，重要告警的重点监控。 实现了具备安全监控手段的一干和省网重要系统5×8小时的重点安全监控，有效提升了全网安全监控能力。 目前，