信息网络面临的威胁与信息网络安全体系建设

信息网络面临的威胁与信息网络安全体系建设信息与网络中心商尔从2008年1月4日议题信息网络面临的威胁信息网络安全体系框架信息网络安全体系建设实践信息网络面临的威胁2007年中国计算机病毒疫情资料来源：2007年中国计算机病毒疫情调查技术分析报告2007年中国计算机病毒疫情资料来源：2007年中国计算机病毒疫情调查技术分析报告2007年中国计算机病毒疫情资料来源：2007年中国计算机病毒疫情调查技术分析报告面临的威胁(1)信息网络安全总体情况不乐观互联网地下经济促使病毒泛滥黑客更有野心用更高的技术手段甚至社会工程学原理进行攻击不良安全意识使犯罪更加猖獗面临的威胁(1)系统不再追求设计上的绝对安全技术已不能保证信息的绝对安全从单点防守转向全面防御病毒变种迅速难以控制多重技术配合进行攻击欺骗移动介质蠕虫传染后下载木马信息网络安全体系框架信息网络安全体系框架信息网络安全体系基础信息网络安全体系框架内容信息网络全体系基础(1)ISO/IEC13335:2004InformationTechnology–SecurityTechniques–Managementofinformationandcommunicationstechnologysecurity–Part1ISO/IEC17799:2005Informationtechniques―Securitytechniques―Codeofpracticeforinformationsecuritymanagement(2ndedition)ISO/IEC27001:2005InformationTechnology–SecurityTechniques–InformationSecurityManagementSystems–RequirementsJanvanBon,ITServiceManagement:anintroductionbasedonITIL信息网络全体系基础(2)GoverningforEnterpriseSecurity(GES)ImplementationGuide,JuliaH.Allen,CarnegieMellonUniversity,SoftwareEngineeringInstitute,CERT®,Feb2007HandbookforComputerSecurityIncidentResponseTeams(CSIRTs),CarnegieMellonSoftwareEngineeringInstitute,University.2Edition:April2003BuildingADisaster-ResistantUniversity,FEMA,August2003AStep-by-StepApproachonHowtoSetUpACSIRT,ENISA,2006信息网络全体系基础(3)GB/T19716-2005,信息技术信息安全管理实用规则,国家标准（基于ISO/IEC17799:2000）TC260-N0077,信息安全风险评估指南,2007年11月发布曲成义,《提升信息安全风险评估意识,强化信息安全保障体系建设》,2006年8月李芝棠,《校园网的信息保障》,2007教育行业信息安全大会,2007年6月信息网络安全体系框架内容(1)信息安全就是要保障维护信息的机密性、完整性、可用性以及保障维护信息的真实性、可问责性、不可抵赖性、可靠性、守法性资料来源：ISO/IEC17799(2005)信息网络安全体系框架内容(2)预防安全意识与文化教育与培训风险评估威胁管理蜜罐技术保护系统更新防火墙防病毒防垃圾邮件加密与数字证书入侵检测VPN信息网络安全体系框架内容(3)响应安全响应事件及灾难恢复帮助台管理企业战略与IT战略一致性政策规章制度访问控制管理授权管理标识与身份管理守法性管理业务连续性管理配置管理信息网络安全体系建设信息网络安全体系建设认识当前的劣势与机会信息安全体系讨论确定框架及优先发展的方向认识当前的劣势与机会Strengths优势Opportunities机会Weakness劣势Threats威胁IT产品脆弱性存在病毒、蠕虫、木马间谍软件、“网络钓鱼”黑客入侵、垃圾邮件不安全的文化意识错误的安全意识资金投入有保证IT基础架构体系逐步完善具备一定经验和素质的团队IT服务管理初步成效知识库逐步完善风险与威胁认识不足安全产品技术了解不足安全人力匮乏专业性不足内部流程有待进一步改善协同与沟通能力不足建立并提高信息安全意识信息安全服务需求减少安全事故损失培训与教育政策与制度外部合作信息安全体系讨论2007年8月20日，第3届战略研讨会2007年11月1日，信息网络安全小组会议2007年11月23日，学校校园网络安全管理领导小组确定框架及优先发展的方向顶层设计逐步完善体系框架建立第一道防线——安全意识坚守原有阵地——防护与响应服务建立最后一道防线——业务连续性计划在成功的基础上努力扩大成果第一道防线—安全意识(1)攻击普遍存在，许多信息系统不再追求设计上的绝对安全，技术已经不能保证信息的绝对安全，因此要使用恰当的管理和增强意识信息内容需要符合法律、法规或学校内部制度的要求信息安全意识已经成为公认的第一道防线信息安全意识教育与宣传已在发达国家的高等教育以至青少年儿童教育中广泛开展系统地进行信息安全意识宣传还是空白第一道防线—安全意识(2)第一道防线—安全意识(3)2006Š2007ComputerSecurityAwarenessVideoContest第一道防线—安全意识(4)第一道防线—安全意识(5)第一道防线—安全意识(6)中心内部2007年10月12日下午员工信息安全教育2007年10月28日晚南校区学生助理2007年12月26日下午北校区服务人员及学生助理新生培训珠海校区：21场培训，总人数3987，包括所有新生(20分钟培训含信息安全)东校区：19场培训，总人数约4600，包括所有新生(10分钟培训含信息安全)新生培训中信息安全内容信息安全的基本概念改善信息安全的好处忽视信息安全的后果改善信息安全的正确方法信息内容守法是重要组成部分遇到问题的沟通途径第一道防线—安全意识(6)2007年11月22日，学校网站管理员信息网络安全会议第一道防线—安全意识(6)海报：提醒关注简报：建立意识小册子：掌握方法网站：提供信息帮助台：提供服务原有阵地—防护响应服务(1)企业防病毒防火墙帮助台CSIRT安全事件响应安全警报各校区办合作原有阵地—防护响应服务(2)改变恐惧与歧视心理CSIRT近期改善的目标分类收集信息分析、协调协作解决与恢复建议、披露与公告(结合风险评估)培训与意识教育最后的防线—业务连续性计划灾难备份是业务连续性计划的核心后备数据中心基础设施的论证、设计工作，建设工作即将展开业务连续性计划的风险评估及灾备方案在近期继续进行安全事件紧急响应案例安全事件紧急响应案例(1)2007年12月17日下午17时接报影响度较大ARP欺骗ARP欺骗伴随页面恶意代码CSIRT认为是新的威胁类型要进行紧急响应，定位封锁安全事件紧急响应案例(2)2007年12月18日－19日提交样本进行测试证实是新威胁，W32.Pagipef.I蠕虫恶毒顽固大部分防病毒软件无法检出W32.Pagipef.I令安全措施实效并下载ARP木马病毒清除及恢复的方法，风险评估（预防）2007年12月19日下午17时发布警告“关于防范W32.Pagipef.I蠕虫病毒的紧急通知”安全事件紧急响应案例(3)清除病毒及恢复的方法风险评估、培训、披露、公告2007年12月19日下午17时发布警告“关于防W32.Pagipef.I蠕虫病毒的紧急通知”2007年12月19日晚上20时封锁W32.Pagipef.I下载病毒站点（防护）并使用电子邮件向广州警方110报告某站点存在威胁，提供病毒下载安全事件紧急响应案例(4)2007年12月20－21日疫情的后续跟踪及进一步的风险评估2007年12月22日根据风险评估，决定进行紧急呼吁禁止自动播放功能2007年12月24日－25日宣传资料准备，通知有关人员掌握方法2007年12月26日上午10时发布“紧急呼吁禁止自动播放功能和对U盘进行查毒”公告同时各校区部署张贴宣传海报安全事件紧急响应案例(5)政策指引的后续跟踪病毒疫情的跟踪恳请斧正！