三、信息系统遇到的威胁及攻击者类型 ·信息系统遇到的威胁: >物理损坏:自然灾害、物理损坏、设备故障、盗窃设备。 >线路攻击:在通信线路上搭线、对通信线路进行电磁干扰。 >拒绝服务攻击:信息洪水。 >侵入攻击 >信息盗窃 >恶意软件 >人为失误 。 攻击者类型: >怀有恶意的工作人员 >恐怖分子:一支AK-47步枪,一个笔记本电脑,如今正成为“基地元 组织成员的“标准配置”。他们通过覆盖全球的因特网联络沟通、 接受培训和策划恐怖袭击。美国《华盛顿邮报》曾刊文指出,目 前网络世界已成为培养恐怖分子的“虚拟训练营” 。 “基地”日 成为历史上第一个从现实世界转移到网络世界的武装组织。 ≥信息战士:1999年,北约(NAT0)攻击南斯拉夫首都贝尔格勒发 电厂计算机系统,并造成了严重的打击。塞尔维亚人为了报复, 攻击了美国及北约的数百台计算机
三、信息系统遇到的威胁及攻击者类型 • 信息系统遇到的威胁: ➢物理损坏:自然灾害、物理损坏、设备故障、盗窃设备。 ➢线路攻击:在通信线路上搭线、对通信线路进行电磁干扰。 ➢拒绝服务攻击:信息洪水。 ➢侵入攻击 ➢信息盗窃 ➢恶意软件 ➢人为失误 • 攻击者类型: ➢怀有恶意的工作人员 ➢恐怖分子:一支AK-47步枪,一个笔记本电脑,如今正成为“基地” 组织成员的“标准配置”。他们通过覆盖全球的因特网联络沟通、 接受培训和策划恐怖袭击。美国《华盛顿邮报》曾刊文指出,目 前网络世界已成为培养恐怖分子的“虚拟训练营” 。 “基地”已 成为历史上第一个从现实世界转移到网络世界的武装组织。 ➢信息战士:1999年,北约(NATO)攻击南斯拉夫首都贝尔格勒发 电厂计算机系统,并造成了严重的打击。塞尔维亚人为了报复, 攻击了美国及北约的数百台计算机
四、信息安全的风险评估 ·信息安全评估可以帮助你找出、了解和评估可 能会遇到的风险。 ·信息安全评估的步骤 : >对资源进行清理和确认 >评估资源的脆弱性 >信息安全控制措施评估 >分析、决策和存档 >沟通与交流 >监督实施
四、信息安全的风险评估 • 信息安全评估可以帮助你找出、了解和评估可 能会遇到的风险。 • 信息安全评估的步骤: ➢对资源进行清理和确认 ➢评估资源的脆弱性 ➢信息安全控制措施评估 ➢分析、决策和存档 ➢沟通与交流 ➢监督实施
五、信息安全制度、人员与技术(之一) ·Bruce Schneier认为"信息安全是一个过程,而 不是一个产品”。 ·规章制度、人才和技术是信息安全的重要保障。 。信息安全保障的要素: >系统审计和监控 >信息安全审计功能 >新系统安装工作的审计 >定期进行的系统审计检查 >随机进行的系统审计抽查 >对特殊文件的审计
五、信息安全制度、人员与技术(之一) • Bruce Schneier认为“信息安全是一个过程,而 不是一个产品” 。 • 规章制度、人才和技术是信息安全的重要保障。 • 信息安全保障的要素: ➢系统审计和监控 ➢信息安全审计功能 ➢新系统安装工作的审计 ➢定期进行的系统审计检查 ➢随机进行的系统审计抽查 ➢对特殊文件的审计
五、信息安全制度、人员与技术(之二) >对帐户操作活动的审计 >信息安全补丁和升级 >信息安全策略和流程的维护管理 >产品评估 >外网的设计规划和部署实施 》跟上技术进步 >常抓不懈的信息安全意识培训 >对信息安全事故的调查、协调和跟进
五、信息安全制度、人员与技术(之二) ➢ 对帐户操作活动的审计 ➢ 信息安全补丁和升级 ➢ 信息安全策略和流程的维护管理 ➢ 产品评估 ➢ 外网的设计规划和部署实施 ➢ 跟上技术进步 ➢ 常抓不懈的信息安全意识培训 ➢ 对信息安全事故的调查、协调和跟进