Lecture3信息安全測評與風(fēng)險(xiǎn)評估教學(xué)課件_第1頁
Lecture3信息安全測評與風(fēng)險(xiǎn)評估教學(xué)課件_第2頁
Lecture3信息安全測評與風(fēng)險(xiǎn)評估教學(xué)課件_第3頁
Lecture3信息安全測評與風(fēng)險(xiǎn)評估教學(xué)課件_第4頁
Lecture3信息安全測評與風(fēng)險(xiǎn)評估教學(xué)課件_第5頁
已閱讀5頁,還剩10頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、s信息安全測評與風(fēng)險(xiǎn)評估信息安全測評與風(fēng)險(xiǎn)評估信息安全實(shí)驗(yàn)室教學(xué)團(tuán)隊(duì)信息安全實(shí)驗(yàn)室教學(xué)團(tuán)隊(duì)2 信息安全測評與風(fēng)險(xiǎn)評估信息安全測評與風(fēng)險(xiǎn)評估 工程工程 藝術(shù)藝術(shù) 天作之合天作之合Lecture3信息安全測評與風(fēng)險(xiǎn)評估教學(xué)信息安全測評與風(fēng)險(xiǎn)評估教學(xué)本次課程要點(diǎn)本次課程要點(diǎn)信息與信息系統(tǒng)安全信息與信息系統(tǒng)安全 主機(jī)安全測評八要素主機(jī)安全測評八要素 主機(jī)安全訪談舉例主機(jī)安全訪談舉例主機(jī)檢測動(dòng)手實(shí)驗(yàn)主機(jī)檢測動(dòng)手實(shí)驗(yàn) 3 信息安全測評與風(fēng)險(xiǎn)評估信息安全測評與風(fēng)險(xiǎn)評估 工程工程 藝術(shù)藝術(shù) 天作之合天作之合Lecture3信息安全測評與風(fēng)險(xiǎn)評估教學(xué)信息安全測評與風(fēng)險(xiǎn)評估教學(xué)從從“計(jì)算計(jì)算”到到“計(jì)算安全計(jì)算安

2、全” ” 人類最早的計(jì)算工具是什么?人類最早的計(jì)算工具是什么? 從算籌到算盤從算籌到算盤 從機(jī)械式計(jì)算機(jī)到個(gè)人電腦從機(jī)械式計(jì)算機(jī)到個(gè)人電腦 計(jì)算安全是什么時(shí)候出現(xiàn)的?計(jì)算安全是什么時(shí)候出現(xiàn)的? 4 信息安全測評與風(fēng)險(xiǎn)評估信息安全測評與風(fēng)險(xiǎn)評估 工程工程 藝術(shù)藝術(shù) 天作之合天作之合Lecture3信息安全測評與風(fēng)險(xiǎn)評估教學(xué)信息安全測評與風(fēng)險(xiǎn)評估教學(xué)信息安全與信息系統(tǒng)安全信息安全與信息系統(tǒng)安全 信息安全信息安全:回答的是:回答的是“what”信息系統(tǒng)安全信息系統(tǒng)安全:回答的是:回答的是“how”主機(jī)安全:主機(jī)安全:是信息系統(tǒng)安全的分支是信息系統(tǒng)安全的分支主機(jī)安全:主機(jī)安全:是信息系統(tǒng)安全的的是信息

3、系統(tǒng)安全的的“最后一道防線最后一道防線”5 信息安全測評與風(fēng)險(xiǎn)評估信息安全測評與風(fēng)險(xiǎn)評估 工程工程 藝術(shù)藝術(shù) 天作之合天作之合Lecture3信息安全測評與風(fēng)險(xiǎn)評估教學(xué)信息安全測評與風(fēng)險(xiǎn)評估教學(xué)穿越穿越“時(shí)空隧道時(shí)空隧道”的暢想的暢想 古代信息安全古代信息安全 陰符、陰書陰符、陰書 江湖切口江湖切口 密語、密碼密語、密碼古代主機(jī)安全古代主機(jī)安全 傳令兵的口令傳令兵的口令 傳令兵的身體傳令兵的身體 現(xiàn)代信息安全現(xiàn)代信息安全 對稱加密對稱加密 非對稱加密非對稱加密 信息隱藏信息隱藏 現(xiàn)代主機(jī)安全現(xiàn)代主機(jī)安全 身份鑒別、身份鑒別、訪問控制訪問控制安全審計(jì)、安全審計(jì)、剩余信息保護(hù)剩余信息保護(hù) 入侵防范

4、、入侵防范、惡意代碼防范、惡意代碼防范、資源控制資源控制6 信息安全測評與風(fēng)險(xiǎn)評估信息安全測評與風(fēng)險(xiǎn)評估 工程工程 藝術(shù)藝術(shù) 天作之合天作之合Lecture3信息安全測評與風(fēng)險(xiǎn)評估教學(xué)信息安全測評與風(fēng)險(xiǎn)評估教學(xué)“縱深防御縱深防御” ” 保密性保密性 完整性完整性 可用性可用性 保密保密 鑒別鑒別 可用可用 授權(quán)授權(quán) 完整完整 訪問訪問 控制控制 自主自主 控制控制 強(qiáng)制強(qiáng)制 控制控制 身份身份 鑒別鑒別 安全安全 審計(jì)審計(jì) 剩余剩余 信息信息 資源資源 控制控制 入侵入侵 防范防范 惡意惡意 代碼代碼 7 信息安全測評與風(fēng)險(xiǎn)評估信息安全測評與風(fēng)險(xiǎn)評估 工程工程 藝術(shù)藝術(shù) 天作之合天作之合Lec

5、ture3信息安全測評與風(fēng)險(xiǎn)評估教學(xué)信息安全測評與風(fēng)險(xiǎn)評估教學(xué)主機(jī)安全測評要點(diǎn)主機(jī)安全測評要點(diǎn) CIA n 機(jī)密性機(jī)密性 n 完整性完整性 n 可用性可用性 主機(jī)安全主機(jī)安全 n 身份鑒別身份鑒別n 訪問控制訪問控制n 安全審計(jì)安全審計(jì)n 剩余信息剩余信息n 入侵防范入侵防范n 惡意代碼惡意代碼n 資源控制資源控制 檢檢 查查 測試測試 訪談訪談 8 信息安全測評與風(fēng)險(xiǎn)評估信息安全測評與風(fēng)險(xiǎn)評估 工程工程 藝術(shù)藝術(shù) 天作之合天作之合Lecture3信息安全測評與風(fēng)險(xiǎn)評估教學(xué)信息安全測評與風(fēng)險(xiǎn)評估教學(xué)身份鑒別訪談舉例身份鑒別訪談舉例 第第3級測評要求級測評要求:1)應(yīng)訪談)應(yīng)訪談系統(tǒng)管理員系統(tǒng)管

6、理員,詢問操作系統(tǒng)的身份標(biāo)識與鑒別機(jī)制采取何,詢問操作系統(tǒng)的身份標(biāo)識與鑒別機(jī)制采取何 種措施實(shí)現(xiàn)種措施實(shí)現(xiàn); 2)應(yīng)訪談)應(yīng)訪談數(shù)據(jù)庫管理員數(shù)據(jù)庫管理員,詢問數(shù)據(jù)庫的身份標(biāo)識與鑒別機(jī)制采取何,詢問數(shù)據(jù)庫的身份標(biāo)識與鑒別機(jī)制采取何 種措施實(shí)現(xiàn);種措施實(shí)現(xiàn); 3)應(yīng)訪談主要操作系統(tǒng)和數(shù)據(jù)庫)應(yīng)訪談主要操作系統(tǒng)和數(shù)據(jù)庫管理員管理員是否采用了遠(yuǎn)程管理,如采是否采用了遠(yuǎn)程管理,如采 用了遠(yuǎn)程管理,查看采用何種措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被用了遠(yuǎn)程管理,查看采用何種措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被 竊聽。竊聽。 n 示例示例 9 信息安全測評與風(fēng)險(xiǎn)評估信息安全測評與風(fēng)險(xiǎn)評估 工程工程 藝術(shù)藝術(shù) 天作

7、之合天作之合Lecture3信息安全測評與風(fēng)險(xiǎn)評估教學(xué)信息安全測評與風(fēng)險(xiǎn)評估教學(xué)安全審計(jì)訪談舉例安全審計(jì)訪談舉例 第第3級測評要求級測評要求:應(yīng)訪談應(yīng)訪談安全審計(jì)員安全審計(jì)員,詢問主機(jī)系統(tǒng)是否設(shè)置安全審計(jì);詢問主機(jī)系統(tǒng),詢問主機(jī)系統(tǒng)是否設(shè)置安全審計(jì);詢問主機(jī)系統(tǒng)對事件進(jìn)行審計(jì)的選擇要求和策略是什么;對審計(jì)日志的處理方式有對事件進(jìn)行審計(jì)的選擇要求和策略是什么;對審計(jì)日志的處理方式有哪些哪些n 示例示例 10 信息安全測評與風(fēng)險(xiǎn)評估信息安全測評與風(fēng)險(xiǎn)評估 工程工程 藝術(shù)藝術(shù) 天作之合天作之合Lecture3信息安全測評與風(fēng)險(xiǎn)評估教學(xué)信息安全測評與風(fēng)險(xiǎn)評估教學(xué)剩余信息保護(hù)訪談舉例剩余信息保護(hù)訪談舉例

8、 第第3級測評要求級測評要求:1)應(yīng)訪談)應(yīng)訪談系統(tǒng)管理員系統(tǒng)管理員,詢問操作系統(tǒng)用戶的鑒別信息存儲(chǔ)空間,被,詢問操作系統(tǒng)用戶的鑒別信息存儲(chǔ)空間,被釋放或再分配給其他用戶前是否得到完全清除;系統(tǒng)內(nèi)的文件、目錄釋放或再分配給其他用戶前是否得到完全清除;系統(tǒng)內(nèi)的文件、目錄等資源所在的存儲(chǔ)空間,被釋放或重新分配給其他用戶前是否得到完等資源所在的存儲(chǔ)空間,被釋放或重新分配給其他用戶前是否得到完全清除;全清除;2)應(yīng)訪談)應(yīng)訪談數(shù)據(jù)庫管理員數(shù)據(jù)庫管理員,詢問數(shù)據(jù)庫管理員用戶的鑒別信息存儲(chǔ)空,詢問數(shù)據(jù)庫管理員用戶的鑒別信息存儲(chǔ)空間,被釋放或再分配給其他用戶前是否得到完全清除;數(shù)據(jù)庫記錄等間,被釋放或再分配

9、給其他用戶前是否得到完全清除;數(shù)據(jù)庫記錄等資源所在的存儲(chǔ)空間,被釋放或重新分配給其他用戶前是否得到完全資源所在的存儲(chǔ)空間,被釋放或重新分配給其他用戶前是否得到完全清除。清除。n 示例示例 11 信息安全測評與風(fēng)險(xiǎn)評估信息安全測評與風(fēng)險(xiǎn)評估 工程工程 藝術(shù)藝術(shù) 天作之合天作之合Lecture3信息安全測評與風(fēng)險(xiǎn)評估教學(xué)信息安全測評與風(fēng)險(xiǎn)評估教學(xué)入侵防范訪談舉例入侵防范訪談舉例 第第3級測評要求級測評要求:1)應(yīng)訪談)應(yīng)訪談系統(tǒng)管理員系統(tǒng)管理員,詢問是否采取入侵防范措施,入侵防范內(nèi)容,詢問是否采取入侵防范措施,入侵防范內(nèi)容是否包括主機(jī)運(yùn)行監(jiān)視、資源使用超過值報(bào)警、特定進(jìn)程監(jiān)控、入侵是否包括主機(jī)運(yùn)行

10、監(jiān)視、資源使用超過值報(bào)警、特定進(jìn)程監(jiān)控、入侵行為檢測、完整性檢測等方面內(nèi)容;行為檢測、完整性檢測等方面內(nèi)容;2)應(yīng)訪談)應(yīng)訪談系統(tǒng)管理員系統(tǒng)管理員,詢問入侵防范產(chǎn)品的廠家、版本和安裝部署,詢問入侵防范產(chǎn)品的廠家、版本和安裝部署情況;詢問是否按要求(如定期或?qū)崟r(shí))進(jìn)行產(chǎn)品升級。情況;詢問是否按要求(如定期或?qū)崟r(shí))進(jìn)行產(chǎn)品升級。n 示例示例 12 信息安全測評與風(fēng)險(xiǎn)評估信息安全測評與風(fēng)險(xiǎn)評估 工程工程 藝術(shù)藝術(shù) 天作之合天作之合Lecture3信息安全測評與風(fēng)險(xiǎn)評估教學(xué)信息安全測評與風(fēng)險(xiǎn)評估教學(xué)惡意代碼防范訪談舉例惡意代碼防范訪談舉例 第第3級測評要求級測評要求:1)應(yīng)訪談系統(tǒng))應(yīng)訪談系統(tǒng)安全管理

11、員安全管理員,詢問主機(jī)系統(tǒng)是否采取惡意代碼實(shí)時(shí)檢,詢問主機(jī)系統(tǒng)是否采取惡意代碼實(shí)時(shí)檢測與查殺措施,惡意代碼實(shí)時(shí)檢測與查殺措施的部署情況如何,是否測與查殺措施,惡意代碼實(shí)時(shí)檢測與查殺措施的部署情況如何,是否按要求(如定期或?qū)崟r(shí))進(jìn)行產(chǎn)品升級按要求(如定期或?qū)崟r(shí))進(jìn)行產(chǎn)品升級n 示例示例 13 信息安全測評與風(fēng)險(xiǎn)評估信息安全測評與風(fēng)險(xiǎn)評估 工程工程 藝術(shù)藝術(shù) 天作之合天作之合Lecture3信息安全測評與風(fēng)險(xiǎn)評估教學(xué)信息安全測評與風(fēng)險(xiǎn)評估教學(xué)課堂實(shí)驗(yàn)課堂實(shí)驗(yàn)- -輕量級輕量級 1) 主機(jī)身份鑒別現(xiàn)場檢查(檢查條款第主機(jī)身份鑒別現(xiàn)場檢查(檢查條款第2、3、5條共條共3個(gè))個(gè))2)主機(jī)自主訪問控制現(xiàn)場

12、檢查(檢查條款第)主機(jī)自主訪問控制現(xiàn)場檢查(檢查條款第2、3、6條共條共3個(gè))個(gè))3)主機(jī)安全審計(jì)現(xiàn)場檢查(檢查條款第)主機(jī)安全審計(jì)現(xiàn)場檢查(檢查條款第1、2、5條共條共3個(gè))個(gè))4)主機(jī)資源控制現(xiàn)場檢查(檢查條款第)主機(jī)資源控制現(xiàn)場檢查(檢查條款第2至至4條共條共3個(gè))個(gè))12個(gè)微型練習(xí)個(gè)微型練習(xí)14 信息安全測評與風(fēng)險(xiǎn)評估信息安全測評與風(fēng)險(xiǎn)評估 工程工程 藝術(shù)藝術(shù) 天作之合天作之合Lecture3信息安全測評與風(fēng)險(xiǎn)評估教學(xué)信息安全測評與風(fēng)險(xiǎn)評估教學(xué)課堂實(shí)驗(yàn)課堂實(shí)驗(yàn)- -中量級中量級 1)主機(jī)入侵防范現(xiàn)場檢查(檢查條款第)主機(jī)入侵防范現(xiàn)場檢查(檢查條款第2、3條共條共2個(gè))個(gè))2)主機(jī)惡意代碼現(xiàn)場檢查(檢查條款第)主機(jī)惡意代碼現(xiàn)場檢查(檢查條款第2條)條)3)主機(jī)自主訪問控制測試(測試條款第)主機(jī)自主訪問控制測試(測試條款第1條)條)5)主機(jī)強(qiáng)制訪問控制測試(測試條款第)主機(jī)強(qiáng)制訪問控制測試(測試條款第1、2條共條共2個(gè))個(gè))6)主機(jī)安全審計(jì)測試(測試條款第)主機(jī)安全審計(jì)測試(測試條款第1、2條共條共2個(gè))個(gè))8個(gè)動(dòng)手小實(shí)驗(yàn)個(gè)動(dòng)手小實(shí)驗(yàn)15 信息安全測評與風(fēng)險(xiǎn)評估信息安全測評與風(fēng)險(xiǎn)評估 工程工程

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論