【正文】 最小化可能發(fā)生的業(yè)務損失 獲得最大的投資回報和商業(yè)機會 11 網(wǎng)絡與信息安全的思考 漏洞 /脆弱性客觀存在！ ? 客觀上無法避免的因素 ? 技術(shù)發(fā)展的局限，系統(tǒng)在設計之初不能認識到所有問題，如 Tcp/ip協(xié)議 ? 人類的能力有限，失誤和考慮不周在所難免，如在編碼會引入 Bug ? 主觀上沒有避免的因素 ? 采用了默認配置而未定制和安全優(yōu)化 ? 新的漏洞補丁跟蹤、使用不及時 ? 組織、管理和技術(shù)體系不完善 ? 技術(shù)發(fā)展和環(huán)境變化的動態(tài)性 …… ? 國家間的競爭與敵對勢力永遠不會消失 ? 企業(yè)間諜、攻擊者、欺詐與偷竊 ? 內(nèi)部系統(tǒng)的誤用、濫用問題長期存在 ? 新的威脅不斷出現(xiàn)使原有防護措施失效或新的威脅產(chǎn)生 ? …… ? 隨著信息化建設，信息資產(chǎn)的價值在迅速增長 ? 資產(chǎn)的無形價值，如商業(yè)情報、聲譽、品牌等等已遠遠超過了購買價格 ? …… 有效保護網(wǎng)絡與信息安全的核心是進行持續(xù)、科學的風險管理！ 12 目錄 ?安全基本概念 ?安全工作范疇 ?安全事件分類分級 ?安全事件監(jiān)控和處理流程 ?安全事件案例 ?安全監(jiān)控工作思路 13 ? 惡意軟件類： 指蓄意制造、傳播惡意軟件，或是因受到惡意軟件的影響而導致的告警事件。真實性適用于用戶、過程、系統(tǒng)和信息之類的實體。 5 安全的相關(guān)屬性 Confidentiality 保密性 Data confidentiality數(shù)據(jù)保密性 Communication security通信安全 Integrity完整性 Date integrity 數(shù)據(jù)完整性 Availability可用性 Nonrepudiation抗抵賴性 Accountability可核查性 Authenticity真實性 Reliability可靠性 Access Control訪問控制 Authentication鑒別 Privacy私密性 13335:2022 17799:2022 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ISO 17799:2022 ? ? ? 信息系統(tǒng)等級保護 ? ? ? 通信保密 保密性 完整性 可用性 真實性 保密性 可核查性 完整性 抗抵賴性 可用性 可靠性 6 安全的相關(guān)屬性 使信息不泄露給未授權(quán)的個人、實體或過程或不使信息為其所利用的特性。 ISO 15408 1999 當對信息進行正確的控制以確保它能防止冒險 ,諸如不必要的或無保證的傳播、更改或遺失 ,IT產(chǎn)品和系統(tǒng)應執(zhí)行它們的功能 . “IT 安全”用于概括防御和緩解這些及類似的冒險。 2022 ISO 17799:2022 2022 ISO 17799:2022 信息安全是要在很大的范圍內(nèi)保護信息免受各種威脅，從而確保業(yè)務的連續(xù)性、減少業(yè)務損失并且使投資和商務機會獲得最大的回報。 保護信息及處理方法的準確性和完備性。 確?？蓪⒁粋€實體的行動唯一地追蹤到此實體的特性。包括計算機病毒、木馬和蠕蟲等。 ? 安全設備故障類： 是指由于安全設備自身故障或外圍保障設施故障而導致的安全告警，包括硬件告警和軟件告警子類，也可以歸入通信網(wǎng)元類告警事件。 ? 安全投訴受理：負責本省范圍的安全投訴的受理，及時受理并派單和督促解決，及時反饋處理省內(nèi)處理結(jié)果。 ? 檢測階段： 檢測是指以適當?shù)姆椒ù_認在系統(tǒng) /網(wǎng)絡中是否出現(xiàn)了惡意代碼、文件和目錄是否被篡改等異常活動 /現(xiàn)象。 ? 抑制階段： 抑制階段是事件響應的第三個階段，它的目的是限制攻擊 /破壞所波及的范圍，如對蠕蟲病毒傳播端口的封堵?；謴碗A段的目標是把所有被攻破的系統(tǒng)或網(wǎng)絡設備還原到它們正常的任務狀態(tài)。 安全事件應急響應流程（ 2） 20 ? 安全事件監(jiān)控的流程舉例如下，應通過電子工單流轉(zhuǎn)并形成閉環(huán) 。 ? 按照網(wǎng)絡與信息安全“風險管理”的本質(zhì)，對風險進行有效的控制，要著眼損失和影響，首要保護高價值的資產(chǎn)，關(guān)注危害較高的威脅。 – 制定告警預處理手冊、安全事件處理及上報流程、安全監(jiān)控作業(yè)計劃，優(yōu)化安全系統(tǒng)的告警配置。 安全監(jiān)控工作思路（ 1） 23 ? 目前， 多數(shù)省還存在以下問題： – 大多數(shù)省份由維護人員分別對自己負責維護的網(wǎng)絡和系統(tǒng)的進行安全監(jiān)控，或者由 1名安全專業(yè)技術(shù)人員負責監(jiān)控，未實現(xiàn)由網(wǎng)管中心監(jiān)控室實施集中安全監(jiān)控。 安全監(jiān)控工作思路（ 2） 24 ? 總部正組織各省開展集中化的 7 24小時網(wǎng)絡與信息安全監(jiān)控工作。 – 對于不具備集中化安全監(jiān)控手段的省公司，應采用將各類基礎安全監(jiān)控手段的操作終端集中、分別查看各終端安全事件的過度方式，開展集中化安全監(jiān)控；省公司應通過集中化安全監(jiān)控手段開展集中安全監(jiān)控，實現(xiàn)高效的一站式安全監(jiān)控。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡的信息流，且本身具有較強的抗攻擊能力。 30 入侵檢測系統(tǒng) 入侵檢測（ Intrusion Detection），顧名思義，是對入侵行為的發(fā)覺。 假如說防火墻是一幢大樓的門鎖，那入侵監(jiān)測系統(tǒng)就是這幢大樓里的監(jiān)視系統(tǒng)。 事件報警 /響應： 當 IDS一旦檢測到了攻擊行為， IDS的響應模塊就提供多種選項以通知、報警并對攻擊采取相應的反應，通常都包括通知管理員、記錄在數(shù)據(jù)庫。 35 病毒的傳播方式 ? 傳播方式主要有： – 電子郵件 HTML正文可能被嵌入惡意腳本，郵件附件攜帶病毒壓縮文件，利用社會工程學進行偽裝，增大病毒傳播機會，快捷傳播特性 – 網(wǎng)絡共享 病毒會搜索本地網(wǎng)絡中存在的共享，如 admin$,c$,d$。 ? 中的 [boot]節(jié) ? Shell=