信息安全基础知识讲座课件.ppt

什么是安全？ 国际标准化组织（ISO）引用ISO74982文献中对安全的定义是这样的，安全就是最大程度地减少数据和资源被攻击的可能性。 对于我们而言，安全的关键，或者说一个安全计划的目的是保护公司的财产。 安全的基本原则 可用性（availability） 保证经过认证的用户能够对数据和资源进行适时和可靠的访问。（如DOS攻击） 完整性（integrity） 是指保证信息和系统的准确性和可靠性，并禁止对数据的非授权的修改。（如用户硬盘满了，不小心删除了重要的文件。财务录入数据错误，工资3000写成30000！！！） 机密性（confidentiality） 提供了保证在每一个数据处理和防止未经授权的信息泄漏的交叉点上都能够加强必要的安全级别的能力。（网络监控、肩窥、社交工程等） 安全的基本原则 可用性 防止服务和工作能力的崩溃。 完整性 防止对系统和信息进行未经授权的修改。 机密性 防止未经授权而透露某些敏感信息。 简称AIC安全三原则:可用性（availability）、完整性（integrity）和机密性（confidentiality） AIC安全三原则 安全要素 脆弱性 威胁 风险 暴露 对策（或安全措施） 安全要素定义（1） 脆弱性（vulnerability） 是一种软件、硬件或是过程缺陷，这种缺陷也许会给攻击者提供他正在寻找的方便之门，这样他就能够进入某台计算机或某个网络，并在这个系统中对资源进行未经授权的访问。 存在脆弱性说明缺少了安全应该使用的安全措施，或者安全措施比较脆弱。如，防火墙上的某个开放端口，由于警卫的松懈使得任何人都可以进入服务器室，或者是服务器和工作站上没有加强管理的密码。 安全要素定义（2） 威胁（threat） 是对信息或系统任何潜在的威胁。威胁就是某人或某事，将确定一个特定的弱点，并用它来危害公司或个人。 利用脆弱点的实体被称为威胁因素。 威胁因素可能是通过防火墙上端口访问网络的闯入者，违反安全策略进行数据访问的过程，毁坏了设施的强台风，或是某个雇员，他犯了一个不经意的错误，从而可能泄漏必威体育官网网址信息或是破坏文件的完整性。 安全要素定义（3） 风险（risk） 是威胁因素利用脆弱性进行攻击的可能性。或者说，风险是威胁因素利用脆弱性所造成的损失的潜能或是可能性。 如果一个防火墙有几个开放端口，那么入侵者利用其中的一个端口对网络进行非授权访问的可能性就会增大。如果网络没有安装入侵检测系统，那么攻击在不引人注意的情形下进行直到发现晚矣的可能性就大。降低脆弱性或者是降低威胁因素就可以降低风险。 安全要素定义（4） 暴露（exposure） 是因威胁因素而遭受损失的一个案例。 脆弱性可能导致一个组织遭受可能的损失。如果密码管理非常随便松懈，密码规则也没有得到加强，那么公司用户密码就有可能被盗取并在没有授权的情况下被使用。如果一个公司的规章制度没有得到监管，不预先采取措施于防火警，那么它就有可能会遭受潜在的毁坏性的火灾。 安全要素定义（5） 对策（countermeasure），或者安全措施，可以减轻潜在的风险。 一项对策可以是一个软件配置、硬件或者是程序，它能够消除脆弱性或减小威胁因素利用脆弱性的风险。对策可以是强有力的密码管理措施，一个安全警卫，操作系统内部的访问控制机制，安装防火墙进行访问控制，还有员工安全意识培训等。 自顶向下的方法 安全策略是公司安全计划的蓝图，为上层建筑提供了必要的基础。如果安全计划以一个坚实的基础开头，并且随着时间的推移向着预定的目标发展，那么公司就不必在中间作出大的改动。 风险分析 风险分析（实际上是一种风险管理工具）是识别风险及其可能造成的损失，从而调整安全防卫措施的方法。风险是威胁因素利用脆弱性损害系统或环境的可能性。风险分析用来保证安全措施是划算的，并能适当而适时地对威胁作出反应。 风险分析有4个主要目标： 1. 标识财产和它们面临的威胁; 2. 量化潜在威胁的商业影响; 3. 计算风险; 4. 以及在风险影响和对策费用之间达到预算的平衡。 风险分析中的三个主要步骤 信息和资产的价值 附加于信息之上的价值与其涉及到的集团相关，此外，为开发该信息而付出的代价，为维护该信息而花费的资金，如果该信息丢失或遭到破坏将带来的损失，如果另外一个集团得到该信息能够获取的利益，等等这些都与信息的价值相关。 构成价值的成本 数据的实际价值是获取、开发和维护它所需要消耗的费用。该价值是由数据对其所有者、授权用户和非授权用户所具有的价值来决定的。 一项资产价值应该反映这样一种指标：当该资产遭受损害时，将会造成多少可确定的代价。 构成价值的成本 在给信息和资产定价的时候，下面的这些问题应该被考虑到： 获取或开发该资产的所需的成本； 维护和保护该资产所