企业安全策略和全面风险管理【企业风险管理经典】.ppt

企业安全策略和主机风险管理
内容安排
安全策略和风险管理
安全标准和规范
使用ESM进行全面风险评估和策略兼容性检查
安全策略和风险管理
信息安全是一个商业问题,不仅仅是一个技术问题
各种组织机构保护信息安全是为了商业目的也是重要的商业决定
大量例子说明:许多不成功的安全策略和安全建设是因为脱离了业务。安全策略必须体现为商业需要保护信息资源
同时,许多业务人员不理解客观存在的技术性安全风险
信息安全是个商业问题
信息安全风险管理
降低风险到可接受的范围
风险是威胁利用漏洞导致对资产的破坏。
风险=
资产$ x
漏洞 x
威胁
威胁
资产
商业计划
产品设计
用户
雇员
财务
研发
电子邮件
环境因素
人为因素
漏洞
操作系统
网络
应用
服务
配置
...
资产、漏洞和威胁
漏洞从哪里来
操作系统安全漏洞
应用程序安全漏洞
系统配置问题
系统使用不当
密码规则:简单或为默认的
安装和启动多余的东西
……
网络安全事件和漏洞趋势
1995
1996
1997
1998
1999
2000
2001
2002
200M
300M
400M
500M
600M
700M
900M
0
感染尝试
100M
800M
*Analysis by Symantec Security Response using data from Symantec, IDC & ICSA; 2002 estimated
**Source: CERT
网络入侵尝试
20,000
40,000
60,000
80,000
120,000
0
100,000
混合式威胁
(CodeRed, Nimda, Slammer)
拒绝服务攻击
(Yahoo!, eBay)
邮件型病毒
(Love Letter/Melissa)
多变形病毒
(Tequila)
Malicious Code
Infection
Attempts*
Network
Intrusion
Attempts**
来自CERT的数字表明,99%的入侵事件源于已知的漏洞或者配置错误,而应有的应对措施如打补丁等都是已经具备且可用的
企业面临更大威胁
赛门铁克最新发布的互联网安全报告指出,利用恶意代码和漏洞进行网络攻击的混合型威胁日渐流行,其依然是今年各公司所面临的最大的网络安全威胁。
攻击趋势
在 2003 年上半年,整体攻击活动的发生率提高了 19%。平均来说,每个公司每周遭受大约 38 次攻击,而 2002 年同期为 32 次;
漏洞趋势
2003 年上半年,赛门铁克公司发现了 1,432 种新漏洞,比上一年同期增加了 12%。但是,新漏洞的发现速度明显低于 2002 年所记录的 82% 的增长;
恶意代码趋势
2003 年上半年发现了994 种的新 Win32 病毒和蠕虫,大约为 2002 年上半年所记载的 445 种的两倍。
风险
RISK
RISK
RISK
RISK
风险
基本风险
采取安全措施后减少了大量的风险
Asset
Threat
Vulnerability
Asset
Threat
Vulnerability
信息安全风险管理