网络信息安全概述与信息系统风险分析讲座课件.ppt

1、2022-12-10河北师范大学信息技术学院 2019.9.28赵冬梅Email:zhaodongmei666126网络信息安全概述与网络信息安全概述与信息系统风险分析信息系统风险分析河北师范大学信息技术学院.2022-12-11网络信息安全概述与信息系统风险分析网络信息安全概述与信息系统风险分析1网络信息网络信息安全状况安全状况2网络信息网络信息安全概述安全概述3信息安全信息安全风险分析风险分析河北师范大学信息技术学院.2022-12-12网络信息安全状况l2019年十大安全事件l2019年信息网络安全状况l计算机病毒感染状况河北师范大学信息技术学院.2022-12-132019年十大安全事

2、件 l苹果苹果iOS 6.1.3修复版发现另一个锁屏旁路漏洞修复版发现另一个锁屏旁路漏洞河北师范大学信息技术学院.2022-12-142019年十大安全事件 lMega用户：一次被黑，则终生被黑用户：一次被黑，则终生被黑河北师范大学信息技术学院.2022-12-152019年十大安全事件 l著名黑客、积极行动主义者著名黑客、积极行动主义者Aaron Swartz自杀自杀身亡身亡河北师范大学信息技术学院.2022-12-162019年十大安全事件 l美国国家安全局丑闻的背后是新闻的真实性缺美国国家安全局丑闻的背后是新闻的真实性缺失失河北师范大学信息技术学院.2022-12-172019年十大安全

3、事件 l美国众议院通过网络情报共享与保护法案：是美国众议院通过网络情报共享与保护法案：是否表示美国宪法第四修正案走向终结否表示美国宪法第四修正案走向终结?河北师范大学信息技术学院.2022-12-182019年十大安全事件 l美国国土安全部提醒用户禁用美国国土安全部提醒用户禁用Java应对零日攻应对零日攻击击河北师范大学信息技术学院.2022-12-192019年十大安全事件 l匿名黑客组织公开匿名黑客组织公开4000多位美国银行家登录账多位美国银行家登录账户和证书等信息户和证书等信息河北师范大学信息技术学院.2022-12-1102019年十大安全事件 l在在Windows和和Mac操作系统

4、上，如何禁用浏览操作系统上，如何禁用浏览器器Java控件控件河北师范大学信息技术学院.2022-12-1112019年十大安全事件 l脸谱网脸谱网“shadow profiles”出现漏洞出现漏洞 公众表示公众表示愤怒愤怒河北师范大学信息技术学院.2022-12-1122019年十大安全事件 l匿名黑客组织开展匿名黑客组织开展“Operation Last Resort”黑客行动黑客行动 美国联邦政府无力招架美国联邦政府无力招架河北师范大学信息技术学院.2022-12-1132019年信息网络安全状况l恶意程序增速明显放缓恶意程序增速明显放缓河北师范大学信息技术学院.2022-12-11420

5、19年信息网络安全状况河北师范大学信息技术学院.2022-12-1152019年信息网络安全状况l木马攻击更加精准和隐蔽木马攻击更加精准和隐蔽 河北师范大学信息技术学院.2022-12-1162019年信息网络安全状况lAPT攻击瞄准高价值情报信息攻击瞄准高价值情报信息 lAPT（Advanced Persistent Threat）攻击是指针对特定组织或目标进行的高级持续性渗透攻击，是多方位的系统攻击。极光行动、夜龙攻击、震网病毒（超级工厂病毒）、暗鼠行动等都是APT攻击的著名案例。河北师范大学信息技术学院.2022-12-1172019年信息网络安全状况l网络存储和共享成为木马新兴渠道网络

6、存储和共享成为木马新兴渠道 河北师范大学信息技术学院.2022-12-1182019年信息网络安全状况l钓鱼网站呈现快速增长势头钓鱼网站呈现快速增长势头河北师范大学信息技术学院.2022-12-1192019年信息网络安全状况河北师范大学信息技术学院.2022-12-1202019年信息网络安全状况河北师范大学信息技术学院.2022-12-1212019年信息网络安全状况l虚假购物占钓鱼网站总量的虚假购物占钓鱼网站总量的33.3%河北师范大学信息技术学院.2022-12-1222019年信息网络安全状况l企业面临多种安全风险企业面临多种安全风险 河北师范大学信息技术学院.2022-12-123

7、2019年信息网络安全状况l网站安全性问题迫在眉睫网站安全性问题迫在眉睫 河北师范大学信息技术学院.2022-12-1242019年信息网络安全状况l网站安全性问题迫在眉睫网站安全性问题迫在眉睫 河北师范大学信息技术学院.2022-12-1252019年信息网络安全状况l拖库风险与篡改现象日益加剧拖库风险与篡改现象日益加剧 l由于大量网站存在高危安全漏洞，就为黑客入侵网站提供了可乘之机。2019年，网站遭遇黑客攻击的事件频频发生，拖库与篡改的案例时有发生。所谓拖库，是指黑客入侵网站后将网站数据库中的数据导出。而黑客拖库的主要目标就是窃取用户的帐号、Email和密码。河北师范大学信息技术学院.2

8、022-12-1262019年信息网络安全状况l流量攻击威胁中小网站生存流量攻击威胁中小网站生存河北师范大学信息技术学院.2022-12-1272019年信息网络安全状况l网站安全将成为安全服务新焦点网站安全将成为安全服务新焦点 l对于拖库风险和数据篡改，最有效的防范措施就是尽快修补系统漏洞，提高网站自身的安全性。特别是对于普遍存在的，黑客攻击也比较集中的跨站脚本漏洞、SQL注入漏洞和WEB后门漏洞，网站开发者应当及时检测并予以修补。河北师范大学信息技术学院.2022-12-128导致网络安全事件的可能原因 河北师范大学信息技术学院.2022-12-129网络安全管理情况 河北师范大学信息技术

9、学院.2022-12-130河北师范大学信息技术学院.2022-12-131我国计算机用户病毒感染情况 河北师范大学信息技术学院.2022-12-132历年病毒重复感染率比较 河北师范大学信息技术学院.2022-12-133我国计算机病毒传播的主要途径 河北师范大学信息技术学院.2022-12-134网民中计算机安全问题发生的比率 河北师范大学信息技术学院.2022-12-135网民发生帐号或密码被盗的场所河北师范大学信息技术学院.2022-12-136发生网民帐号或个人信息被盗改的诱因河北师范大学信息技术学院.2022-12-137发生网民进入到仿冒网站的诱因河北师范大学信息技术学院.202

10、2-12-138网民发现电脑出现计算机安全问题的方式河北师范大学信息技术学院.2022-12-139网民感染电脑病毒后采取的首要措施河北师范大学信息技术学院.2022-12-140网民的计算机安全行为习惯河北师范大学信息技术学院.2022-12-141网民通常网络帐号和密码设计方式河北师范大学信息技术学院.2022-12-142网民网上帐号通常的口令/密码是几位河北师范大学信息技术学院.2022-12-143计算机病毒造成的主要危害情况 河北师范大学信息技术学院.2022-12-144黑客的职业化之路l 不再是小孩的游戏，而是与￥挂钩l 职业入侵者受网络商人或商业间谍雇佣l 不在网上公开身份，

11、不为人知，但确实存在！l 攻击水平通常很高，精通多种技术l 攻击者对自己提出了更高的要求，不再满足于普通的技巧而转向底层研究河北师范大学信息技术学院.2022-12-145面临严峻的安全形势l SQL Injection等攻击方式对使用者要求较低l 缓冲区溢出、格式串攻击已公开流传多年，越来越多的人掌握这些技巧l 少部分人掌握自行挖掘漏洞的能力，并且这个数量在增加l 漏洞挖掘流程专业化，工具自动化l“看不见的风险”厂商为了声誉不完全公开产品的安全缺陷：漏洞私有，不为人知河北师范大学信息技术学院.2022-12-146网络信息安全概述l信息与网络安全的本质和内容l计算机网络的脆弱性l信息安全的六

12、大目标l网络安全的主要威胁l网络安全的攻击手段l网络攻击过程河北师范大学信息技术学院.2022-12-147信息与网络安全的本质和内容l 网络安全从其本质上来讲就是网络上的信息安全。l 网络安全就是保护计算机系统，使其没有危险，不受威胁，不出事故。l 网络安全指信息系统的硬件、软件及其系统中的数据受到保护，不会遭到偶然的或者恶意的破坏、更改、泄漏，系统能连续、可靠、正常的运行，服务不中断。河北师范大学信息技术学院.2022-12-148信息安全的目的信息安全的目的是保障信息安全，主要目的有信息安全的目的是保障信息安全，主要目的有河北师范大学信息技术学院.2022-12-149信息安全概念与技术

13、的发展l 信息安全的概念与技术是随着人们的需求，随着计算机、通信与网络等信息技术的发展而不断发展的。河北师范大学信息技术学院.2022-12-150网络信息安全阶段l 该阶段中，除了采用和研究各种加密技术外，还开发了许多针对网络环境的信息安全与防护技术（被动防御）：安全漏洞扫描技术、安全路由器、防火墙技术、入侵检测技术、网络攻防技术、网络监控与审计技术等。1988年莫里斯蠕虫爆发年莫里斯蠕虫爆发对网络安全的关注与研究对网络安全的关注与研究CERT成立成立河北师范大学信息技术学院.2022-12-151信息保障阶段l信息保障（IA）概念与思想是20世纪90年代由美国国防部长办公室提出。定义：通过

14、确保信息和信息系统的可用性、完整性、可控性、保密性和不可否认性来保护信息系统的信息作战行动，包括综合利用保护、探测和反应能力以恢复系统的功能。美国国家安全局制定的信息保障技术框架IATF，提出“纵深防御策略”DiD（Defense-in-Depth Strategy）。信息保障阶段不仅包含安全防护的概念，更重要的是增加了主动和积极的防御观念。河北师范大学信息技术学院.2022-12-152计算机网络的脆弱性l体系结构的脆弱性。体系结构的脆弱性。网络体系结构要求上层调用下层的服务，上层是服务调用者，下层是服务提供者，当下层提供的服务出错时，会使上层的工作受到影响。l网络通信的脆弱性。网络通信的脆

15、弱性。网络安全通信是实现网络设备之间、网络设备与主机节点之间进行信息交换的保障，然而通信协议或通信系统的安全缺陷往往危及到网络系统的整体安全。l网络操作系统的脆弱性。网络操作系统的脆弱性。目前的操作系统，无论是Windows、UNIX还是Netware都存在安全漏洞，这些漏洞一旦被发现和利用将对整个网络系统造成巨大的损失。l网络应用系统的脆弱性。网络应用系统的脆弱性。随着网络的普及，网络应用系统越来越多，网络应用系统也可能存在安全漏洞，这些漏洞一旦被发现和利用将可能导致数据被窃取或破坏，应用系统瘫痪，甚至威胁到整个网络的安全。l网络管理的脆弱性。网络管理的脆弱性。在网络管理中，常常会出现安全意

16、识淡薄、安全制度不健全、岗位职责混乱、审计不力、设备选型不当和人事管理漏洞等，这种人为造成的安全漏洞也会威胁到整个网络的安全。河北师范大学信息技术学院.2022-12-153信信 息息 安安 全全可靠性可用性真实性保密性完整性不可抵赖性河北师范大学信息技术学院.2022-12-154主主 要要 威威 胁胁内部窃密和破坏窃听和截收非法访问(以未经授权的方式使用网络资源)破坏信息的完整性(通过篡改、删除和插入等方式破坏信息的完整性)冒充(攻击者利用冒充手段窃取信息、入侵系统、破坏网络正常通讯或欺骗合法主机和合法用户。)流量分析攻击(分析通信双方通信流量的大小，以期获得相关信息。)其他威胁(病毒、电

17、磁泄漏、各种自然灾害、战争、失窃、操作失误等)河北师范大学信息技术学院.2022-12-155信息与网络安全的攻击手段l 物理破坏l 窃听l 数据阻断攻击l 数据篡改攻击l 数据伪造攻击l 数据重放攻击l 盗用口令攻击l 中间人攻击l 缓冲区溢出攻击l 分发攻击l 野蛮攻击l SQL注入攻击l 跨站点脚本l 计算机病毒l 蠕虫l 后门攻击l 欺骗攻击l 拒绝服务攻击l 特洛伊木马河北师范大学信息技术学院.2022-12-156 网络信息系统网络信息系统内部人员威胁内部人员威胁拒绝服务攻击拒绝服务攻击逻辑炸弹逻辑炸弹特洛伊木马特洛伊木马黑客攻击计算机病毒计算机病毒信息泄漏、篡信息泄漏、篡改、破坏

18、改、破坏后门、隐蔽通道后门、隐蔽通道蠕虫蠕虫社会工程社会工程天灾天灾系统系统Bug河北师范大学信息技术学院.2022-12-157社会工程社会工程l 我们通常把基于非计算机的欺骗技术叫做社会工程社会工程。社会工程社会工程中，攻击者设法设计让人相信它是其他人。这就像攻击者在给人打电话时说自己是某人一样的简单。因为他说了一些大概只有那个人知道的信息，所以受害人相信他。l 社会工程社会工程的核心是，攻击者设法伪装自己的身份并设计让受害人泄密私人信息。这些攻击的目标是搜集信息来侵入计算机系统的，通常通过欺骗某人使之泄露出口令或者在系统中建立个新帐号。河北师范大学信息技术学院.2022-12-158网络

19、攻击被动攻击窃听或者偷窥流量分析被动攻击非常难以检测，但可以防范源目的sniffer河北师范大学信息技术学院.2022-12-159网络攻击主动攻击可以检测，但难以防范主动攻击：指攻击者对某个连接的中的主动攻击：指攻击者对某个连接的中的PDUPDU进行各种处理进行各种处理(更改、删除、迟延、复制、伪造等更改、删除、迟延、复制、伪造等)阻断攻击篡改攻击伪造攻击重放攻击拒绝服务攻击河北师范大学信息技术学院.2022-12-160物理破坏l攻击者可以直接接触到信息与网络系统的硬件、软件和周边环境设备。通过对硬件设备、网络线路、电源、空调等的破坏，使系统无法正常工作，甚至导致程序和数据无法恢复。河北师

20、范大学信息技术学院.2022-12-161窃听l一般情况下，攻击者侦听网络数据流，获取通信数据，造成通信信息外泄，甚至危及敏感数据的安全。其中的一种较为普遍的是sniffer 攻击（sniffer attack）。lsniffer是指能解读、监视、拦截网络数据交换并且阅读数据包的程序或设备。河北师范大学信息技术学院.2022-12-162数据阻断攻击l攻击者在不破坏物理线路的前提下，通过干扰、连接配置等方式，阻止通信各方之间的数据交换。阻断攻击河北师范大学信息技术学院.2022-12-163数据篡改攻击l攻击者在非法读取数据后，进行篡改数据，以达到通信用户无法获得真实信息的攻击目的。篡改攻击河

21、北师范大学信息技术学院.2022-12-164数据伪造攻击l攻击者在了解通信协议的前提下，伪造数据包发给通讯各方，导致通讯各方的信息系统无法正常的工作，或者造成数据错误。伪造攻击河北师范大学信息技术学院.2022-12-165数据重放攻击l攻击者尽管不了解通信协议的格式和内容，但只要能够对线路上的数据包进行窃听，就可以将收到的数据包再度发给接收方，导致接收方的信息系统无法正常的工作，或者造成数据错误。重放攻击河北师范大学信息技术学院.2022-12-166盗用口令攻击l盗用口令攻击（password-based attacks）攻击者通过多种途径获取用户合法账号进入目标网络，攻击者也就可以随心

22、所欲地盗取合法用户信息以及网络信息；修改服务器和网络配置；增加、篡改和删除数据等等。河北师范大学信息技术学院.2022-12-167中间人攻击l中间人攻击（man-in-the-middle attack）是指通过第三方进行网络攻击，以达到欺骗被攻击系统、反跟踪、保护攻击者或者组织大规模攻击的目的。l中间人攻击类似于身份欺骗，被利用作为中间人的的主机称为Remote Host（黑客取其谐音称之为“肉鸡”）。网络上的大量的计算机被黑客通过这样的方式控制，将造成巨大的损失，这样的主机也称做僵尸主机。河北师范大学信息技术学院.2022-12-168缓冲区溢出攻击l缓冲区溢出（又称堆栈溢出）攻击是最常

23、用的黑客技术之一。攻击者输入的数据长度超过应用程序给定的缓冲区的长度，覆盖其它数据区，造成应用程序错误，而覆盖缓冲区的数据恰恰是黑客的入侵程序代码，黑客就可以获取程序的控制权。河北师范大学信息技术学院.2022-12-169缓冲区溢出攻击河北师范大学信息技术学院.2022-12-170后门攻击l后门攻击（backdoor attack）是指攻击者故意在服务器操作系统或应用系统中制造一个后门，以便可以绕过正常的访问控制。攻击者往往就是设计该应用系统的程序员。河北师范大学信息技术学院.2022-12-171欺骗攻击l欺骗攻击可以分为地址欺骗、电子信件欺骗、WEB欺骗和非技术类欺骗。攻击者隐瞒个人真

24、实信息，欺骗对方，以达到攻击的目的。河北师范大学信息技术学院.2022-12-172拒绝服务攻击l DoS（Denial of Service，拒绝服务攻击）的目的是使计算机或网络无法提供正常的服务。常见的方式是：使用极大的通信量冲击网络系统，使得所有可用网络资源都被消耗殆尽，最后导致网络系统无法向合法的用户提供服务。l 如果攻击者组织多个攻击点对一个或多个目标同时发动DoS攻击，就可以极大地提高DoS攻击的威力，这种方式称为DDoS（Distributed Denial of Service，分布式拒绝服务）攻击。河北师范大学信息技术学院.2022-12-173DDOS(分布式拒绝服务攻击)

25、河北师范大学信息技术学院.2022-12-174分发攻击l攻击者在硬件和软件的安装配置期间，利用分发过程去破坏；或者是利用系统或管理人员向用户分发帐号和密码的过程窃取资料。河北师范大学信息技术学院.2022-12-175野蛮攻击l野蛮攻击包括字典攻击和穷举攻击。l字典攻击是使用常用的术语或单词列表进行验证，攻击取决于字典的范围和广度。由于人们往往偏爱简单易记的口令，字典攻击的成功率往往很高。l如果字典攻击仍然不能够成功，入侵者会采取穷举攻击。穷举攻击采用排列组合的方式生成密码。一般从长度为1的口令开始，按长度递增进行尝试攻击。河北师范大学信息技术学院.2022-12-176SQL注入攻击l攻击

26、者利用被攻击主机的SQL数据库和网站的漏洞来实施攻击，入侵者通过提交一段数据库查询代码，根据程序返回的结果获得攻击者想得知的数据，从而达到攻击目的。河北师范大学信息技术学院.2022-12-177SQL注入攻击河北师范大学信息技术学院.2022-12-178SQL注入攻击河北师范大学信息技术学院.2022-12-179跨站点脚本恶意攻击者往Web页面里插入恶意html代码.当用户浏览该页之时,嵌入其中Web页面的html代码会被执行.从而达到恶意攻击的特殊目的.河北师范大学信息技术学院.2022-12-180计算机病毒与蠕虫l 计算机病毒（Computer Virus）是指编制者编写的一组计算

27、机指令或者程序代码，它能够进行传播和自我复制，修改其他的计算机程序并夺取控制权，以达到破坏数据、阻塞通信及破坏计算机软硬件功能的目的。l 蠕虫也是一种程序，它可以通过网络等途径将自身的全部代码或部分代码复制、传播给其他的计算机系统，但它在复制、传播时，不寄生于病毒宿主之中。l 蠕虫病毒是能够是寄生于被感染主机的蠕虫程序，具有病毒的全部特征，通常利用计算机系统的漏洞在网络上大规模传播。河北师范大学信息技术学院.2022-12-181特洛伊木马l特洛伊木马简称木马，它由两部分组成：服务器程序和控制器程序，当主机被装上服务器程序，攻击者就可以使用控制器程序通过网络来控制主机。l木马通常是利用蠕虫病毒

28、、黑客入侵或者使用者的疏忽将服务器程序安装到主机上的。河北师范大学信息技术学院.2022-12-182网络攻击过程l入侵一般可以分为本地入侵和远程入侵l这里主要讲远程的网络入侵u网络攻击的准备阶段u网络攻击的实施阶段u网络攻击的善后阶段河北师范大学信息技术学院.2022-12-183网络攻击的准备阶段l确定攻击目标l服务分析l系统分析河北师范大学信息技术学院.2022-12-184攻击准备1确定攻击目标l例如，选定192.168.1.250这台主机作为攻击目标，首先需要确定此主机是否处于活动状态，在Windows下使用ping命令测试 ping 192.168.1.250 测试结构如下图所示，

29、说明此主机处于活动状态。河北师范大学信息技术学院.2022-12-185攻击准备1确定攻击目标河北师范大学信息技术学院.2022-12-186攻击准备2服务分析l对目标主机提供的服务进行分析-探测目标主机的相应端口服务是否开放。如利用Telnet、haktek等工具。l例如，输入telnet 192.168.1.250 80 结果如下图，说明192.168.1.250这台主机运行了http服务，web服务器版本是IIS5.1河北师范大学信息技术学院.2022-12-187攻击准备2服务分析河北师范大学信息技术学院.2022-12-188攻击准备3系统分析l确定目标主机采用何种操作系统。l例如，

30、在windows下安装Nmap v4.20扫描工具。此工具含OS Detection的功能 输入nmap-o 192.168.1.250 结果如下图，说明192.168.1.250这台主机操作系统是windows 2000sp1、sp2或者sp3河北师范大学信息技术学院.2022-12-189攻击准备3系统分析河北师范大学信息技术学院.2022-12-190攻击的实施阶段l当收集到足够信息之后，可以实施攻击了。l作为破坏性攻击，可以利用工具发动攻击即可。l作为入侵性攻击，需要利用收集到的信息，找到其系统漏洞，然后利用漏洞获取一定权限。l攻击的主要阶段有预攻击探测：为进一步入侵提供有用信息口令破

31、解与攻击实施攻击：缓冲区溢出、拒绝服务、后门、木马、病毒河北师范大学信息技术学院.2022-12-191攻击的善后阶段l在攻陷的主机上安装后门程序，使之成为“肉鸡”，方便以后进入该系统。l善后工作隐藏踪迹攻击者在获得系统最高管理员权限之后，就可以任意修改系统上的文件了。隐藏踪迹最简单的方法就是删除日志文件但这就告诉管理员系统已被入侵。最常用的办法是只对日志文件中有关自己的那部分作修改。河北师范大学信息技术学院.2022-12-192入侵系统的常用步骤采采用用漏漏洞洞扫扫描描工工具具选选择择会会用用的的方方式式入入侵侵获获取取系系统统一一定定权权限限提提升升为为最最高高权权限限安安装装系系统统后

32、后门门获取获取敏感敏感信息信息或者或者其他其他攻击攻击目的目的拓展拓展:应用注册表建立超级隐藏用户应用注册表建立超级隐藏用户1.1.打开注册表编辑器，提升权限。打开注册表编辑器，提升权限。开始开始-运行运行-regedit-regedit打开注册表窗口。打开注册表窗口。右击右击“SAMSAM”，权限默认为系统管理员权，权限默认为系统管理员权限。添加限。添加-高级高级-立即查找。添加用户立即查找。添加用户给权限。给权限。2.2.新建一个帐号新建一个帐号abc$abc$，普通权限（，普通权限（$表示命表示命令提示符下不显示）。令提示符下不显示）。net user abc$123/addnet us

33、er abc$123/addnet usernet user查看用户查看用户看不到，因为看不到，因为$不显示。不显示。右击右击“我的电脑我的电脑”“”“管理管理”“”“本地用户和本地用户和组组”。Net user abc$Net user abc$查看用户权限查看用户权限3.3.打开注册表，把帐户打开注册表，把帐户abc$abc$克隆成管理权克隆成管理权限。限。打开注册表，打开注册表，Domains-Account-users-Domains-Account-users-namesnamesabc$abc$类型类型0 x3ed0 x3ed，管理员类型，管理员类型0 x1f40 x1f4将对应将

34、对应f4 f4的的F F键值复制到键值复制到eded的的F F键值。键值。4.4.导出提权后的帐户的注册表文件的两个导出提权后的帐户的注册表文件的两个键值。键值。5.5.删除新建帐户删除新建帐户abc$abc$Net user abc$/delNet user abc$/del我的电脑我的电脑 管理管理 用户已删除用户已删除6.6.导入提权后的帐户的注册表文件。导入提权后的帐户的注册表文件。双击导出的文件双击导出的文件net user net user 我的电脑我的电脑 管理管理 用户已删除用户已删除注册表有，但不是系统管理员看不到。打注册表有，但不是系统管理员看不到。打开注册表将添加的权限删

35、除。再在注册表开注册表将添加的权限删除。再在注册表查看。查看。net user abc$net user abc$没有组没有组添加普通用户添加普通用户Net user hack 123/addNet user hack 123/addNet user hackNet user hackRunas/profile/user:hack cmd.exeRunas/profile/user:hack cmd.exe运行运行hackhack帐户。帐户。Net userNet userNet user aa/addNet user aa/add再运行再运行abc$abc$帐户，做同样操作。帐户，做同样操作

36、。河北师范大学信息技术学院.2022-12-199信息安全风险分析信息安全风险分析l为什么构建信息安全管理体系l信息安全风险分析河北师范大学信息技术学院.2022-12-1100传统安全解决方案传统安全解决方案 防火墙（防火墙（Firewall）入侵检测（入侵检测（IDS）VPN 防病毒防病毒 河北师范大学信息技术学院.2022-12-1101 I In nt te er rn ne et t 防火墙的概念信任网络信任网络防火墙防火墙非信任网络非信任网络 防火墙是用于将信任网络与非信任网络隔离的一种技术，它通过单一集防火墙是用于将信任网络与非信任网络隔离的一种技术，它通过单一集中的安全检查点，

37、强制实施相应的安全策略进行检查，防止对重要信息资源中的安全检查点，强制实施相应的安全策略进行检查，防止对重要信息资源进行非法存取和访问，以达到保护系统安全的目的。进行非法存取和访问，以达到保护系统安全的目的。河北师范大学信息技术学院.2022-12-1102入侵检测的概念和作用入侵检测即通过从网络系统中的若干关键节点入侵检测即通过从网络系统中的若干关键节点并并信息，信息，网络中是否有违反安全策略的行为网络中是否有违反安全策略的行为或者是否存在入侵行为。或者是否存在入侵行为。它能够它能够提供提供、和和等多项功能，对等多项功能，对、和和进行实时监控，在网络安全技术中起到进行实时监控，在网络安全技术

38、中起到了不可替代的作用。了不可替代的作用。河北师范大学信息技术学院.2022-12-1103防火墙的不足l防火墙并非万能，防火墙不能完成的工作：源于内部的攻击不通过防火墙的连接完全新的攻击手段不能防病毒河北师范大学信息技术学院.2022-12-1104隐形飞机躲过雷达发现河北师范大学信息技术学院.2022-12-1105依靠恢复不能满足关键应用高射炮系统正在恢复河北师范大学信息技术学院.2022-12-1106木桶原理我们部门我们部门最短的那最短的那块木板在块木板在哪里哪里?河北师范大学信息技术学院.2022-12-1107安全桎梏河北师范大学信息技术学院.2022-12-1108概念的提出信

39、息安全管理（信息安全管理（ISM）为何要建设信息安全管理为何要建设信息安全管理河北师范大学信息技术学院.2022-12-1109目前存在的问题l 空口令、简单口令、默认口令设置、长期不更换。l 点击进入危险的网站或链接。l 接收查看危险的电子邮件附件。l 系统默认安装，从不进行补丁升级。l 拨号上网，给个人以及整个公司建立了后门。l 启动了众多的不用的服务。l 个人重要数据没有备份。l l 兼职的安全管理员l 物理安全保护l 基本的安全产品l 简单的系统升级l 机房安全管理制度l 资产管理制度l 超过超过70%的信息安全事件，如果事先加强管理，都可以得到避免。的信息安全事件，如果事先加强管理，

40、都可以得到避免。河北师范大学信息技术学院.2022-12-1110信息安全管理现状 传统的信息安全管理基本上还处在一种静态的、局部的、少数人负责的、突击式、事后纠正式的管理方式不能从根本上避免、降低各类风险，也不能降低信息安全故障导致的综合损失 河北师范大学信息技术学院.2022-12-1111概念的进一步提出信息安全管理体系（信息安全管理体系（ISMS）河北师范大学信息技术学院.2022-12-1112信息安全管理体系(ISMS)l由于许多信息系统并非在设计时充分考虑了安全，依靠技术手段实现安全很有限，必须依靠必要的管理手段来支持。l信息安全管理就是通过保证信息的机密性、完整性和可用性来管理

41、和保护组织的所有信息资产的一项体制。l通过合理的组织体系、规章制度和控管措施，把具有信息安全保障功能的软硬件设施和管理以及使用信息的人整合在一起，以此确保整个组织达到预定程度的信息安全，称为信息安全管理体系（ISMS）。河北师范大学信息技术学院.2022-12-1113如何构建如何构建信息安全管理体系如何构建信息安全管理体系河北师范大学信息技术学院.2022-12-1114信息安全管理体系的基本构成河北师范大学信息技术学院.2022-12-1115建立信息安全管理体系的步骤建立信息安全管理体系的步骤河北师范大学信息技术学院.2022-12-1116安全评估系统工作原理 I In nt te e

42、r rn ne et t 河北师范大学信息技术学院.2022-12-1117信息系统的风险管理河北师范大学信息技术学院.2022-12-1118 信息安全风险分析信息安全风险分析 信息安全风险信息安全风险来自人为或自然的威胁，是威胁利用信息系统的脆弱性造成安全事件的可能性及这类安全事件可能对信息资产等造成的负面影响。河北师范大学信息技术学院.2022-12-1119 信息安全风险分析信息安全风险分析 信息安全风险分析：信息安全风险分析：也称信息安全风险评估，它是指对信息安全威胁进行分析和预测，评估这些威胁对信息资产造成的影响。信息安全风险分析使信息系统的管理者可以在考虑风险的情况下估算信息资产

43、的价值，为管理决策提供支持，也可为进一步实施系统安全防护提供依据。河北师范大学信息技术学院.2022-12-1120信息安全建设的起点和基础信息安全建设的起点和基础倡导一种适度安全倡导一种适度安全信息安全建设和管理的科学方法信息安全建设和管理的科学方法分析确定风险的过程分析确定风险的过程信息安全信息安全风险分析风险分析 信息安全风险分析信息安全风险分析河北师范大学信息技术学院.2022-12-1121 信息安全风险分析信息安全风险分析河北师范大学信息技术学院.2022-12-1122 信息安全风险分析信息安全风险分析 信息安全风险信息安全风险分析应考虑的分析应考虑的因素：因素：信息资产的脆弱性

44、信息资产的脆弱性信息资产的威胁及其发生的可信息资产的威胁及其发生的可能性能性信息资产的价值信息资产的价值已有安全措施已有安全措施河北师范大学信息技术学院.2022-12-1123河北师范大学信息技术学院.2022-12-1124 为了明确被保护的信息资产，组织应列出与信息安全有关的资产清单，对每一项资产进行确认和适当的评估。为了防止资产被忽略或遗漏，在识别资产之前应确定风险评估范围。所有在评估范围之内的资产都应该被识别，因此要列出对组织或组织的特定部门的业务过程有价值的任何事物，以便根据组织的业务流程来识别信息资产。信息安全风险分析信息安全风险分析河北师范大学信息技术学院.2022-12-11

45、25 信息安全风险分析信息安全风险分析 在列出所有信息资产后，应对每项资产赋予价值。资产估价是一个主观的过程，而且资产的价值应当由资产的所有者和相关用户来确定，只有他们最清楚资产对组织业务的重要性，从而能够准确地评估出资产的实际价值。为确保资产估价的一致性和准确性，组织应建立一个资产的价值尺度（资产评估标准），以明确如何对资产进行赋值。在信息系统中，采用精确的财务方式来给资产确定价值比较困难，一般采用定性分级的方式来建立资产的相对价值或重要度，即按照事先确定的价值尺度将资产的价值划分为不同等级，以相对价值作为确定重要资产及为这些资产投入多大资源进行保护的依据。河北师范大学信息技术学院.2022

46、-12-1126 信息安全风险分析信息安全风险分析河北师范大学信息技术学院.2022-12-1127河北师范大学信息技术学院.2022-12-1128故意破坏（网络攻击、恶意代码传播、邮件炸弹、非授权访问等）和无意失误（如误操作、维护错误）人员威胁人员威胁12系统威胁系统威胁环境威胁环境威胁34自然威胁自然威胁识别产生威胁的原因识别产生威胁的原因 信息安全风险分析信息安全风险分析河北师范大学信息技术学院.2022-12-1129人员威胁人员威胁12系统威胁系统威胁环境威胁环境威胁34自然威胁自然威胁识别产生威胁的原因识别产生威胁的原因 信息安全风险分析信息安全风险分析系统、网络或服务的故障（软

47、件故障、硬件故障、介质老化等）河北师范大学信息技术学院.2022-12-1130人员威胁人员威胁12系统威胁系统威胁环境威胁环境威胁34自然威胁自然威胁电源故障、污染、液体泄漏、火灾等识别产生威胁的原因识别产生威胁的原因 信息安全风险分析信息安全风险分析河北师范大学信息技术学院.2022-12-1131人员威胁人员威胁12系统威胁系统威胁环境威胁环境威胁34自然威胁自然威胁洪水、地震、台风、滑坡、雷电等识别产生威胁的原因识别产生威胁的原因 信息安全风险分析信息安全风险分析河北师范大学信息技术学院.2022-12-1132 信息安全风险分析信息安全风险分析威胁识别与威胁识别与评估的主要评估的主要

48、任务任务威胁发生造成的后果或潜在影响评估威胁发生的可能性河北师范大学信息技术学院.2022-12-1133 威胁发生造成的后果或潜在影响威胁发生造成的后果或潜在影响 信息安全风险分析信息安全风险分析 威胁一旦发生会造成信息保密性、完整性和可用性等安全属性的损失，从而给组织造成不同程度的影响，严重的威胁发生会导致诸如信息系统崩溃、业务流程中断、财产损失等重大安全事故。不同的威胁对同一资产或组织所产生的影响不同，导致的价值损失也不同，但损失的程度应以资产的相对价值（或重要程度）为限。河北师范大学信息技术学院.2022-12-1134河北师范大学信息技术学院.2022-12-1135 仅有威胁还构不

49、成风险。由于组织缺乏充分的安全控制，组织需要保护的信息资产或系统存在着可能被威胁所利用的弱点，即脆弱性。威胁只有利用了特定的脆弱性或者弱点，才可能对资产造成影响。信息安全风险分析信息安全风险分析河北师范大学信息技术学院.2022-12-1136p脆弱性是资产本身存在的，威胁总是要利用资产的脆弱性才能造成危害。p资产的脆弱性具有隐蔽性，有些脆弱性只有在一定条件和环境下才能显现。p脆弱性识别可以资产为核心，即根据每个资产分别识别其存在的弱点，然后综合评价该资产的脆弱性；也可分物理、网络、系统、应用等层次进行识别。信息安全风险分析信息安全风险分析河北师范大学信息技术学院.2022-12-1137 信

50、息安全风险分析信息安全风险分析系统、程序和设备中存在的漏洞或缺陷，如结构设计问题和编程漏洞等技术脆弱性技术脆弱性12操作脆弱性操作脆弱性管理脆弱性管理脆弱性3软件和系统在配置、操作及使用中的缺陷，包括人员日常工作中的不良习惯、审计或备份的缺乏等策略、程序和规章制度等方面的弱点。脆弱性的分类脆弱性的分类河北师范大学信息技术学院.2022-12-1138 信息安全风险分析信息安全风险分析评估脆弱性需要考虑的因素评估脆弱性需要考虑的因素脆弱性的严重程度（Severity）；脆弱性的暴露程度（Exposure），即被威胁利用的可能性P，这两个因素可采用分级赋值的方法。例如对于脆弱性被威胁利用的可能性可