Lecture3信息安全測評與風(fēng)險評估教學(xué)課件

1、s信息安全測評與風(fēng)險評估信息安全測評與風(fēng)險評估信息安全實(shí)驗(yàn)室教學(xué)團(tuán)隊信息安全實(shí)驗(yàn)室教學(xué)團(tuán)隊2 信息安全測評與風(fēng)險評估信息安全測評與風(fēng)險評估 工程工程 藝術(shù)藝術(shù) 天作之合天作之合Lecture3信息安全測評與風(fēng)險評估教學(xué)信息安全測評與風(fēng)險評估教學(xué)本次課程要點(diǎn)本次課程要點(diǎn)信息與信息系統(tǒng)安全信息與信息系統(tǒng)安全 主機(jī)安全測評八要素主機(jī)安全測評八要素 主機(jī)安全訪談舉例主機(jī)安全訪談舉例主機(jī)檢測動手實(shí)驗(yàn)主機(jī)檢測動手實(shí)驗(yàn) 3 信息安全測評與風(fēng)險評估信息安全測評與風(fēng)險評估 工程工程 藝術(shù)藝術(shù) 天作之合天作之合Lecture3信息安全測評與風(fēng)險評估教學(xué)信息安全測評與風(fēng)險評估教學(xué)從從“計算計算”到到“計算安全計算安

2、全” ” 人類最早的計算工具是什么？人類最早的計算工具是什么？ 從算籌到算盤從算籌到算盤 從機(jī)械式計算機(jī)到個人電腦從機(jī)械式計算機(jī)到個人電腦 計算安全是什么時候出現(xiàn)的？計算安全是什么時候出現(xiàn)的？ 4 信息安全測評與風(fēng)險評估信息安全測評與風(fēng)險評估 工程工程 藝術(shù)藝術(shù) 天作之合天作之合Lecture3信息安全測評與風(fēng)險評估教學(xué)信息安全測評與風(fēng)險評估教學(xué)信息安全與信息系統(tǒng)安全信息安全與信息系統(tǒng)安全 信息安全信息安全：回答的是：回答的是“what”信息系統(tǒng)安全信息系統(tǒng)安全：回答的是：回答的是“how”主機(jī)安全：主機(jī)安全：是信息系統(tǒng)安全的分支是信息系統(tǒng)安全的分支主機(jī)安全：主機(jī)安全：是信息系統(tǒng)安全的的是信息

3、系統(tǒng)安全的的“最后一道防線最后一道防線”5 信息安全測評與風(fēng)險評估信息安全測評與風(fēng)險評估 工程工程 藝術(shù)藝術(shù) 天作之合天作之合Lecture3信息安全測評與風(fēng)險評估教學(xué)信息安全測評與風(fēng)險評估教學(xué)穿越穿越“時空隧道時空隧道”的暢想的暢想 古代信息安全古代信息安全 陰符、陰書陰符、陰書 江湖切口江湖切口 密語、密碼密語、密碼古代主機(jī)安全古代主機(jī)安全 傳令兵的口令傳令兵的口令 傳令兵的身體傳令兵的身體 現(xiàn)代信息安全現(xiàn)代信息安全 對稱加密對稱加密 非對稱加密非對稱加密 信息隱藏信息隱藏 現(xiàn)代主機(jī)安全現(xiàn)代主機(jī)安全 身份鑒別、身份鑒別、訪問控制訪問控制安全審計、安全審計、剩余信息保護(hù)剩余信息保護(hù) 入侵防范

4、、入侵防范、惡意代碼防范、惡意代碼防范、資源控制資源控制6 信息安全測評與風(fēng)險評估信息安全測評與風(fēng)險評估 工程工程 藝術(shù)藝術(shù) 天作之合天作之合Lecture3信息安全測評與風(fēng)險評估教學(xué)信息安全測評與風(fēng)險評估教學(xué)“縱深防御縱深防御” ” 保密性保密性 完整性完整性 可用性可用性 保密保密 鑒別鑒別 可用可用 授權(quán)授權(quán) 完整完整 訪問訪問 控制控制 自主自主 控制控制 強(qiáng)制強(qiáng)制 控制控制 身份身份 鑒別鑒別 安全安全 審計審計 剩余剩余 信息信息 資源資源 控制控制 入侵入侵 防范防范 惡意惡意 代碼代碼 7 信息安全測評與風(fēng)險評估信息安全測評與風(fēng)險評估 工程工程 藝術(shù)藝術(shù) 天作之合天作之合Lec

5、ture3信息安全測評與風(fēng)險評估教學(xué)信息安全測評與風(fēng)險評估教學(xué)主機(jī)安全測評要點(diǎn)主機(jī)安全測評要點(diǎn) CIA n 機(jī)密性機(jī)密性 n 完整性完整性 n 可用性可用性 主機(jī)安全主機(jī)安全 n 身份鑒別身份鑒別n 訪問控制訪問控制n 安全審計安全審計n 剩余信息剩余信息n 入侵防范入侵防范n 惡意代碼惡意代碼n 資源控制資源控制 檢檢 查查 測試測試 訪談訪談 8 信息安全測評與風(fēng)險評估信息安全測評與風(fēng)險評估 工程工程 藝術(shù)藝術(shù) 天作之合天作之合Lecture3信息安全測評與風(fēng)險評估教學(xué)信息安全測評與風(fēng)險評估教學(xué)身份鑒別訪談舉例身份鑒別訪談舉例 第第3級測評要求級測評要求：1）應(yīng)訪談）應(yīng)訪談系統(tǒng)管理員系統(tǒng)管

6、理員，詢問操作系統(tǒng)的身份標(biāo)識與鑒別機(jī)制采取何，詢問操作系統(tǒng)的身份標(biāo)識與鑒別機(jī)制采取何 種措施實(shí)現(xiàn)種措施實(shí)現(xiàn); 2）應(yīng)訪談）應(yīng)訪談數(shù)據(jù)庫管理員數(shù)據(jù)庫管理員，詢問數(shù)據(jù)庫的身份標(biāo)識與鑒別機(jī)制采取何，詢問數(shù)據(jù)庫的身份標(biāo)識與鑒別機(jī)制采取何 種措施實(shí)現(xiàn)；種措施實(shí)現(xiàn)； 3）應(yīng)訪談主要操作系統(tǒng)和數(shù)據(jù)庫）應(yīng)訪談主要操作系統(tǒng)和數(shù)據(jù)庫管理員管理員是否采用了遠(yuǎn)程管理，如采是否采用了遠(yuǎn)程管理，如采 用了遠(yuǎn)程管理，查看采用何種措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被用了遠(yuǎn)程管理，查看采用何種措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被 竊聽。竊聽。 n 示例示例 9 信息安全測評與風(fēng)險評估信息安全測評與風(fēng)險評估 工程工程 藝術(shù)藝術(shù) 天作

7、之合天作之合Lecture3信息安全測評與風(fēng)險評估教學(xué)信息安全測評與風(fēng)險評估教學(xué)安全審計訪談舉例安全審計訪談舉例 第第3級測評要求級測評要求：應(yīng)訪談應(yīng)訪談安全審計員安全審計員，詢問主機(jī)系統(tǒng)是否設(shè)置安全審計；詢問主機(jī)系統(tǒng)，詢問主機(jī)系統(tǒng)是否設(shè)置安全審計；詢問主機(jī)系統(tǒng)對事件進(jìn)行審計的選擇要求和策略是什么；對審計日志的處理方式有對事件進(jìn)行審計的選擇要求和策略是什么；對審計日志的處理方式有哪些哪些n 示例示例 10 信息安全測評與風(fēng)險評估信息安全測評與風(fēng)險評估 工程工程 藝術(shù)藝術(shù) 天作之合天作之合Lecture3信息安全測評與風(fēng)險評估教學(xué)信息安全測評與風(fēng)險評估教學(xué)剩余信息保護(hù)訪談舉例剩余信息保護(hù)訪談舉例

8、 第第3級測評要求級測評要求：1）應(yīng)訪談）應(yīng)訪談系統(tǒng)管理員系統(tǒng)管理員，詢問操作系統(tǒng)用戶的鑒別信息存儲空間，被，詢問操作系統(tǒng)用戶的鑒別信息存儲空間，被釋放或再分配給其他用戶前是否得到完全清除；系統(tǒng)內(nèi)的文件、目錄釋放或再分配給其他用戶前是否得到完全清除；系統(tǒng)內(nèi)的文件、目錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前是否得到完等資源所在的存儲空間，被釋放或重新分配給其他用戶前是否得到完全清除；全清除；2）應(yīng)訪談）應(yīng)訪談數(shù)據(jù)庫管理員數(shù)據(jù)庫管理員，詢問數(shù)據(jù)庫管理員用戶的鑒別信息存儲空，詢問數(shù)據(jù)庫管理員用戶的鑒別信息存儲空間，被釋放或再分配給其他用戶前是否得到完全清除；數(shù)據(jù)庫記錄等間，被釋放或再分配

9、給其他用戶前是否得到完全清除；數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前是否得到完全資源所在的存儲空間，被釋放或重新分配給其他用戶前是否得到完全清除。清除。n 示例示例 11 信息安全測評與風(fēng)險評估信息安全測評與風(fēng)險評估 工程工程 藝術(shù)藝術(shù) 天作之合天作之合Lecture3信息安全測評與風(fēng)險評估教學(xué)信息安全測評與風(fēng)險評估教學(xué)入侵防范訪談舉例入侵防范訪談舉例 第第3級測評要求級測評要求：1）應(yīng)訪談）應(yīng)訪談系統(tǒng)管理員系統(tǒng)管理員，詢問是否采取入侵防范措施，入侵防范內(nèi)容，詢問是否采取入侵防范措施，入侵防范內(nèi)容是否包括主機(jī)運(yùn)行監(jiān)視、資源使用超過值報警、特定進(jìn)程監(jiān)控、入侵是否包括主機(jī)運(yùn)行

10、監(jiān)視、資源使用超過值報警、特定進(jìn)程監(jiān)控、入侵行為檢測、完整性檢測等方面內(nèi)容；行為檢測、完整性檢測等方面內(nèi)容；2）應(yīng)訪談）應(yīng)訪談系統(tǒng)管理員系統(tǒng)管理員，詢問入侵防范產(chǎn)品的廠家、版本和安裝部署，詢問入侵防范產(chǎn)品的廠家、版本和安裝部署情況；詢問是否按要求（如定期或?qū)崟r）進(jìn)行產(chǎn)品升級。情況；詢問是否按要求（如定期或?qū)崟r）進(jìn)行產(chǎn)品升級。n 示例示例 12 信息安全測評與風(fēng)險評估信息安全測評與風(fēng)險評估 工程工程 藝術(shù)藝術(shù) 天作之合天作之合Lecture3信息安全測評與風(fēng)險評估教學(xué)信息安全測評與風(fēng)險評估教學(xué)惡意代碼防范訪談舉例惡意代碼防范訪談舉例 第第3級測評要求級測評要求：1）應(yīng)訪談系統(tǒng)）應(yīng)訪談系統(tǒng)安全管理

11、員安全管理員，詢問主機(jī)系統(tǒng)是否采取惡意代碼實(shí)時檢，詢問主機(jī)系統(tǒng)是否采取惡意代碼實(shí)時檢測與查殺措施，惡意代碼實(shí)時檢測與查殺措施的部署情況如何，是否測與查殺措施，惡意代碼實(shí)時檢測與查殺措施的部署情況如何，是否按要求（如定期或?qū)崟r）進(jìn)行產(chǎn)品升級按要求（如定期或?qū)崟r）進(jìn)行產(chǎn)品升級n 示例示例 13 信息安全測評與風(fēng)險評估信息安全測評與風(fēng)險評估 工程工程 藝術(shù)藝術(shù) 天作之合天作之合Lecture3信息安全測評與風(fēng)險評估教學(xué)信息安全測評與風(fēng)險評估教學(xué)課堂實(shí)驗(yàn)課堂實(shí)驗(yàn)- -輕量級輕量級 1） 主機(jī)身份鑒別現(xiàn)場檢查（檢查條款第主機(jī)身份鑒別現(xiàn)場檢查（檢查條款第2、3、5條共條共3個）個）2）主機(jī)自主訪問控制現(xiàn)場

12、檢查（檢查條款第）主機(jī)自主訪問控制現(xiàn)場檢查（檢查條款第2、3、6條共條共3個）個）3）主機(jī)安全審計現(xiàn)場檢查（檢查條款第）主機(jī)安全審計現(xiàn)場檢查（檢查條款第1、2、5條共條共3個）個）4）主機(jī)資源控制現(xiàn)場檢查（檢查條款第）主機(jī)資源控制現(xiàn)場檢查（檢查條款第2至至4條共條共3個）個）12個微型練習(xí)個微型練習(xí)14 信息安全測評與風(fēng)險評估信息安全測評與風(fēng)險評估 工程工程 藝術(shù)藝術(shù) 天作之合天作之合Lecture3信息安全測評與風(fēng)險評估教學(xué)信息安全測評與風(fēng)險評估教學(xué)課堂實(shí)驗(yàn)課堂實(shí)驗(yàn)- -中量級中量級 1）主機(jī)入侵防范現(xiàn)場檢查（檢查條款第）主機(jī)入侵防范現(xiàn)場檢查（檢查條款第2、3條共條共2個）個）2）主機(jī)惡意代碼現(xiàn)場檢查（檢查條款第）主機(jī)惡意代碼現(xiàn)場檢查（檢查條款第2條）條）3）主機(jī)自主訪問控制測試（測試條款第）主機(jī)自主訪問控制測試（測試條款第1條）條）5）主機(jī)強(qiáng)制訪問控制測試（測試條款第）主機(jī)強(qiáng)制訪問控制測試（測試條款第1、2條共條共2個）個）6）主機(jī)安全審計測試（測試條款第）主機(jī)安全審計測試（測試條款第1、2條共條共2個）個）8個動手小實(shí)驗(yàn)個動手小實(shí)驗(yàn)15 信息安全測評與風(fēng)險評估信息安全測評與風(fēng)險評估 工程工程