《网络信息安全概述与信息系统风险分析讲座》由会员分享,可在线阅读,更多相关《网络信息安全概述与信息系统风险分析讲座(163页珍藏版)》请在金锄头文库上搜索。
1、2024/8/300河北师范大学信息技术学院 2013.9.28赵冬梅Email: 网络信息安全概述与网络信息安全概述与信息系统风险分析信息系统风险分析河北师范大学信息技术学院.2024/8/301网络信息安全概述与信息系统风险分析网络信息安全概述与信息系统风险分析1网络信息网络信息安全状况安全状况2网络信息网络信息安全概述安全概述3信息安全信息安全风险分析风险分析河北师范大学信息技术学院.2024/8/302网络信息安全状况l2013年十大安全事件l2012年信息网络安全状况l计算机病毒感染状况河北师范大学信息技术学院.2024/8/3032013年十大安全事件l苹果苹果iOS 6.1.3修
2、复版发现另一个锁屏旁路漏洞修复版发现另一个锁屏旁路漏洞河北师范大学信息技术学院.2024/8/3042013年十大安全事件lMega用户:一次被黑,则终生被黑用户:一次被黑,则终生被黑河北师范大学信息技术学院.2024/8/3052013年十大安全事件l著名黑客、积极行动主义者著名黑客、积极行动主义者Aaron Swartz自杀自杀身亡身亡河北师范大学信息技术学院.2024/8/3062013年十大安全事件l美国国家安全局丑闻的背后是新闻的真实性缺美国国家安全局丑闻的背后是新闻的真实性缺失失河北师范大学信息技术学院.2024/8/3072013年十大安全事件l美国众议院通过网络情报共享与保护法
3、案:是美国众议院通过网络情报共享与保护法案:是否表示美国宪法第四修正案走向终结否表示美国宪法第四修正案走向终结?河北师范大学信息技术学院.2024/8/3082013年十大安全事件l美国国土安全部提醒用户禁用美国国土安全部提醒用户禁用Java应对零日攻应对零日攻击击河北师范大学信息技术学院.2024/8/3092013年十大安全事件l匿名黑客组织公开匿名黑客组织公开4000多位美国银行家登录账多位美国银行家登录账户和证书等信息户和证书等信息河北师范大学信息技术学院.2024/8/30102013年十大安全事件l在在Windows和和Mac操作系统上,如何禁用浏览操作系统上,如何禁用浏览器器Ja
4、va控件控件河北师范大学信息技术学院.2024/8/30112013年十大安全事件l脸谱网脸谱网“shadow profiles”出现漏洞出现漏洞 公众表示愤公众表示愤怒怒河北师范大学信息技术学院.2024/8/30122013年十大安全事件l匿名黑客组织开展匿名黑客组织开展“Operation Last Resort”黑客行动黑客行动 美国联邦政府无力招架美国联邦政府无力招架河北师范大学信息技术学院.2024/8/30132012年信息网络安全状况l恶意程序增速明显放缓恶意程序增速明显放缓河北师范大学信息技术学院.2024/8/30142012年信息网络安全状况河北师范大学信息技术学院.20
5、24/8/30152012年信息网络安全状况l木马攻击更加精准和隐蔽木马攻击更加精准和隐蔽河北师范大学信息技术学院.2024/8/30162012年信息网络安全状况lAPT攻击瞄准高价值情报信息攻击瞄准高价值情报信息 lAPT(AdvancedPersistentThreat)攻击是指针对特定组织或目标进行的高级持续性渗透攻击,是多方位的系统攻击。极光行动、夜龙攻击、震网病毒(超级工厂病毒)、暗鼠行动等都是APT攻击的著名案例。河北师范大学信息技术学院.2024/8/30172012年信息网络安全状况l网络存储和共享成为木马新兴渠道网络存储和共享成为木马新兴渠道 河北师范大学信息技术学院.20
6、24/8/30182012年信息网络安全状况l钓鱼网站呈现快速增长势头钓鱼网站呈现快速增长势头河北师范大学信息技术学院.2024/8/30192012年信息网络安全状况河北师范大学信息技术学院.2024/8/30202012年信息网络安全状况河北师范大学信息技术学院.2024/8/30212012年信息网络安全状况l虚假购物占钓鱼网站总量的虚假购物占钓鱼网站总量的33.3% 河北师范大学信息技术学院.2024/8/30222012年信息网络安全状况l企业面临多种安全风险企业面临多种安全风险 河北师范大学信息技术学院.2024/8/30232012年信息网络安全状况l网站安全性问题迫在眉睫网站安
7、全性问题迫在眉睫 河北师范大学信息技术学院.2024/8/30242012年信息网络安全状况l网站安全性问题迫在眉睫网站安全性问题迫在眉睫 河北师范大学信息技术学院.2024/8/30252012年信息网络安全状况l拖库风险与篡改现象日益加剧拖库风险与篡改现象日益加剧 l由于大量网站存在高危安全漏洞,就为黑客入侵网站提供了可乘之机。2012年,网站遭遇黑客攻击的事件频频发生,拖库与篡改的案例时有发生。所谓拖库,是指黑客入侵网站后将网站数据库中的数据导出。而黑客拖库的主要目标就是窃取用户的帐号、Email和密码。河北师范大学信息技术学院.2024/8/30262012年信息网络安全状况l流量攻击
8、威胁中小网站生存流量攻击威胁中小网站生存河北师范大学信息技术学院.2024/8/30272012年信息网络安全状况l网站安全将成为安全服务新焦点网站安全将成为安全服务新焦点 l对于拖库风险和数据篡改,最有效的防范措施就是尽快修补系统漏洞,提高网站自身的安全性。特别是对于普遍存在的,黑客攻击也比较集中的跨站脚本漏洞、SQL注入漏洞和WEB后门漏洞,网站开发者应当及时检测并予以修补。河北师范大学信息技术学院.2024/8/3029网络安全管理情况河北师范大学信息技术学院.2024/8/3030河北师范大学信息技术学院.2024/8/3031我国计算机用户病毒感染情况河北师范大学信息技术学院.202
9、4/8/3033我国计算机病毒传播的主要途径河北师范大学信息技术学院.2024/8/3034网民中计算机安全问题发生的比率河北师范大学信息技术学院.2024/8/3035网民发生帐号或密码被盗的场所河北师范大学信息技术学院.2024/8/3036发生网民帐号或个人信息被盗改的诱因河北师范大学信息技术学院.2024/8/3037发生网民进入到仿冒网站的诱因河北师范大学信息技术学院.2024/8/3038网民发现电脑出现计算机安全问题的方式河北师范大学信息技术学院.2024/8/3039网民感染电脑病毒后采取的首要措施河北师范大学信息技术学院.2024/8/3040网民的计算机安全行为习惯河北师范
10、大学信息技术学院.2024/8/3041网民通常网络帐号和密码设计方式河北师范大学信息技术学院.2024/8/3042网民网上帐号通常的口令/密码是几位河北师范大学信息技术学院.2024/8/3043计算机病毒造成的主要危害情况河北师范大学信息技术学院.2024/8/3044黑客的职业化之路l不再是小孩的游戏,而是与¥挂钩l职业入侵者受网络商人或商业间谍雇佣l不在网上公开身份,不为人知,但确实存在!l攻击水平通常很高,精通多种技术l攻击者对自己提出了更高的要求,不再满足于普通的技巧而转向底层研究河北师范大学信息技术学院.2024/8/3046网络信息安全概述信息与网络安全的本质和内容计算机网络
11、的脆弱性信息安全的六大目标网络安全的主要威胁网络安全的攻击手段网络攻击过程河北师范大学信息技术学院.2024/8/3047信息与网络安全的本质和内容网络安全从其本质上来讲就是网络上的信息安全。网络安全就是保护计算机系统,使其没有危险,不受威胁,不出事故。网络安全指信息系统的硬件、软件及其系统中的数据受到保护,不会遭到偶然的或者恶意的破坏、更改、泄漏,系统能连续、可靠、正常的运行,服务不中断。河北师范大学信息技术学院.2024/8/3048进进进进不不不不来来来来拿拿拿拿不不不不走走走走改改改改不不不不了了了了跑跑跑跑不不不不了了了了看看看看不不不不懂懂懂懂信息安全的目的可可可可审审审审查查查查
12、信息安全的目的是保障信息安全,主要目的有信息安全的目的是保障信息安全,主要目的有河北师范大学信息技术学院.2024/8/3049信息安全概念与技术的发展信息安全的概念与技术是随着人们的需求,随着计算机、通信与网络等信息技术的发展而不断发展的。河北师范大学信息技术学院.2024/8/3050网络信息安全阶段该阶段中,除了采用和研究各种加密技术外,还开发了许多针对网络环境的信息安全与防护技术(被动防御):安全漏洞扫描技术、安全路由器、防火墙技术、入侵检测技术、网络攻防技术、网络监控与审计技术等。河北师范大学信息技术学院.2024/8/3051信息保障阶段信息保障(IA)概念与思想是20世纪90年代
13、由美国国防部长办公室提出。定义:通过确保信息和信息系统的可用性、完整性、可控性、保密性和不可否认性来保护信息系统的信息作战行动,包括综合利用保护、探测和反应能力以恢复系统的功能。美国国家安全局制定的信息保障技术框架IATF,提出“纵深防御策略”DiD(Defense-in-DepthStrategy)。信息保障阶段不仅包含安全防护的概念,更重要的是增加了主动和积极的防御观念。河北师范大学信息技术学院.2024/8/3052计算机网络的脆弱性体系结构的脆弱性。体系结构的脆弱性。网络体系结构要求上层调用下层的服务,上层是服务调用者,下层是服务提供者,当下层提供的服务出错时,会使上层的工作受到影响。
14、网络通信的脆弱性。网络通信的脆弱性。网络安全通信是实现网络设备之间、网络设备与主机节点之间进行信息交换的保障,然而通信协议或通信系统的安全缺陷往往危及到网络系统的整体安全。网络操作系统的脆弱性。网络操作系统的脆弱性。目前的操作系统,无论是Windows、UNIX还是Netware都存在安全漏洞,这些漏洞一旦被发现和利用将对整个网络系统造成巨大的损失。网络应用系统的脆弱性。网络应用系统的脆弱性。随着网络的普及,网络应用系统越来越多,网络应用系统也可能存在安全漏洞,这些漏洞一旦被发现和利用将可能导致数据被窃取或破坏,应用系统瘫痪,甚至威胁到整个网络的安全。网络管理的脆弱性。网络管理的脆弱性。在网络
15、管理中,常常会出现安全意识淡薄、安全制度不健全、岗位职责混乱、审计不力、设备选型不当和人事管理漏洞等,这种人为造成的安全漏洞也会威胁到整个网络的安全。河北师范大学信息技术学院.2024/8/3053信息安全的六大目标信信 息息 安安 全全可靠性可用性真实性保密性完整性不可抵赖性河北师范大学信息技术学院.2024/8/3054网络安全的主要威胁主主 要要 威威 胁胁内部窃密和破坏窃听和截收非法访问(以未经授权的方式使用网络资源)破坏信息的完整性(通过篡改、删除和插入等方式破坏信息的完整性)冒充(攻击者利用冒充手段窃取信息、入侵系统、破坏网络正常通讯或欺骗合法主机和合法用户。)流量分析攻击(分析通
16、信双方通信流量的大小,以期获得相关信息。)其他威胁(病毒、电磁泄漏、各种自然灾害、战争、失窃、操作失误等)河北师范大学信息技术学院.2024/8/3055信息与网络安全的攻击手段物理破坏窃听数据阻断攻击数据篡改攻击数据伪造攻击数据重放攻击盗用口令攻击中间人攻击缓冲区溢出攻击分发攻击野蛮攻击SQL注入攻击跨站点脚本计算机病毒蠕虫后门攻击欺骗攻击拒绝服务攻击特洛伊木马河北师范大学信息技术学院.2024/8/3056网络信息系统网络信息系统内部人员威胁内部人员威胁拒绝服务攻击拒绝服务攻击逻辑炸弹逻辑炸弹特洛伊木马特洛伊木马黑客攻击计算机病毒计算机病毒信息泄漏、篡信息泄漏、篡改、破坏改、破坏后门、隐蔽
17、通道后门、隐蔽通道蠕虫蠕虫社会工程社会工程天灾天灾系统系统Bug河北师范大学信息技术学院.2024/8/3057社会工程社会工程l我们通常把基于非计算机的欺骗技术叫做社会工程社会工程。社会工程社会工程中,攻击者设法设计让人相信它是其他人。这就像攻击者在给人打电话时说自己是某人一样的简单。因为他说了一些大概只有那个人知道的信息,所以受害人相信他。l社会工程社会工程的核心是,攻击者设法伪装自己的身份并设计让受害人泄密私人信息。这些攻击的目标是搜集信息来侵入计算机系统的,通常通过欺骗某人使之泄露出口令或者在系统中建立个新帐号。河北师范大学信息技术学院.2024/8/3058网络攻击被动攻击窃听或者偷
18、窥流量分析被动攻击非常难以检测,但可以防范源目的sniffer河北师范大学信息技术学院.2024/8/3059网络攻击主动攻击可以检测,但难以防范主动攻击:指攻击者对某个连接的中的主动攻击:指攻击者对某个连接的中的PDUPDU进行各种处理进行各种处理( (更改、删除、迟延、复制、伪造等更改、删除、迟延、复制、伪造等) )阻断攻击篡改攻击伪造攻击重放攻击拒绝服务攻击河北师范大学信息技术学院.2024/8/3060物理破坏攻击者可以直接接触到信息与网络系统的硬件、软件和周边环境设备。通过对硬件设备、网络线路、电源、空调等的破坏,使系统无法正常工作,甚至导致程序和数据无法恢复。河北师范大学信息技术学
19、院.2024/8/3061窃听一般情况下,攻击者侦听网络数据流,获取通信数据,造成通信信息外泄,甚至危及敏感数据的安全。其中的一种较为普遍的是sniffer 攻击(sniffer attack)。sniffer是指能解读、监视、拦截网络数据交换并且阅读数据包的程序或设备。河北师范大学信息技术学院.2024/8/3062数据阻断攻击攻击者在不破坏物理线路的前提下,通过干扰、连接配置等方式,阻止通信各方之间的数据交换。阻断攻击河北师范大学信息技术学院.2024/8/3063数据篡改攻击攻击者在非法读取数据后,进行篡改数据,以达到通信用户无法获得真实信息的攻击目的。篡改攻击河北师范大学信息技术学院.
20、2024/8/3064数据伪造攻击攻击者在了解通信协议的前提下,伪造数据包发给通讯各方,导致通讯各方的信息系统无法正常的工作,或者造成数据错误。伪造攻击河北师范大学信息技术学院.2024/8/3065数据重放攻击攻击者尽管不了解通信协议的格式和内容,但只要能够对线路上的数据包进行窃听,就可以将收到的数据包再度发给接收方,导致接收方的信息系统无法正常的工作,或者造成数据错误。重放攻击河北师范大学信息技术学院.2024/8/3066盗用口令攻击盗用口令攻击(password-based attacks)攻击者通过多种途径获取用户合法账号进入目标网络,攻击者也就可以随心所欲地盗取合法用户信息以及网络
21、信息;修改服务器和网络配置;增加、篡改和删除数据等等。河北师范大学信息技术学院.2024/8/3067中间人攻击中间人攻击(man-in-the-middle attack)是指通过第三方进行网络攻击,以达到欺骗被攻击系统、反跟踪、保护攻击者或者组织大规模攻击的目的。中间人攻击类似于身份欺骗,被利用作为中间人的的主机称为Remote Host(黑客取其谐音称之为“肉鸡”)。网络上的大量的计算机被黑客通过这样的方式控制,将造成巨大的损失,这样的主机也称做僵尸主机。河北师范大学信息技术学院.2024/8/3068缓冲区溢出攻击缓冲区溢出(又称堆栈溢出)攻击是最常用的黑客技术之一。攻击者输入的数据长
22、度超过应用程序给定的缓冲区的长度,覆盖其它数据区,造成应用程序错误,而覆盖缓冲区的数据恰恰是黑客的入侵程序代码,黑客就可以获取程序的控制权。河北师范大学信息技术学院.2024/8/3069缓冲区溢出攻击河北师范大学信息技术学院.2024/8/3070后门攻击后门攻击(backdoor attack)是指攻击者故意在服务器操作系统或应用系统中制造一个后门,以便可以绕过正常的访问控制。攻击者往往就是设计该应用系统的程序员。河北师范大学信息技术学院.2024/8/3071欺骗攻击欺骗攻击可以分为地址欺骗、电子信件欺骗、WEB欺骗和非技术类欺骗。攻击者隐瞒个人真实信息,欺骗对方,以达到攻击的目的。河北
23、师范大学信息技术学院.2024/8/3072拒绝服务攻击DoS(Denial of Service,拒绝服务攻击)的目的是使计算机或网络无法提供正常的服务。常见的方式是:使用极大的通信量冲击网络系统,使得所有可用网络资源都被消耗殆尽,最后导致网络系统无法向合法的用户提供服务。如果攻击者组织多个攻击点对一个或多个目标同时发动DoS攻击,就可以极大地提高DoS攻击的威力,这种方式称为DDoS(Distributed Denial of Service,分布式拒绝服务)攻击。河北师范大学信息技术学院.2024/8/3073DDOS(分布式拒绝服务攻击)河北师范大学信息技术学院.2024/8/3074
24、分发攻击攻击者在硬件和软件的安装配置期间,利用分发过程去破坏;或者是利用系统或管理人员向用户分发帐号和密码的过程窃取资料。河北师范大学信息技术学院.2024/8/3075野蛮攻击野蛮攻击包括字典攻击和穷举攻击。字典攻击是使用常用的术语或单词列表进行验证,攻击取决于字典的范围和广度。由于人们往往偏爱简单易记的口令,字典攻击的成功率往往很高。如果字典攻击仍然不能够成功,入侵者会采取穷举攻击。穷举攻击采用排列组合的方式生成密码。一般从长度为1的口令开始,按长度递增进行尝试攻击。河北师范大学信息技术学院.2024/8/3076SQL注入攻击攻击者利用被攻击主机的SQL数据库和网站的漏洞来实施攻击,入侵
25、者通过提交一段数据库查询代码,根据程序返回的结果获得攻击者想得知的数据,从而达到攻击目的。河北师范大学信息技术学院.2024/8/3077SQL注入攻击河北师范大学信息技术学院.2024/8/3078SQL注入攻击河北师范大学信息技术学院.2024/8/3079跨站点脚本恶意攻击者往Web页面里插入恶意html代码.当用户浏览该页之时,嵌入其中Web页面的html代码会被执行.从而达到恶意攻击的特殊目的.河北师范大学信息技术学院.2024/8/3080计算机病毒与蠕虫计算机病毒(Computer Virus)是指编制者编写的一组计算机指令或者程序代码,它能够进行传播和自我复制,修改其他的计算机
26、程序并夺取控制权,以达到破坏数据、阻塞通信及破坏计算机软硬件功能的目的。蠕虫也是一种程序,它可以通过网络等途径将自身的全部代码或部分代码复制、传播给其他的计算机系统,但它在复制、传播时,不寄生于病毒宿主之中。蠕虫病毒是能够是寄生于被感染主机的蠕虫程序,具有病毒的全部特征,通常利用计算机系统的漏洞在网络上大规模传播。河北师范大学信息技术学院.2024/8/3081特洛伊木马特洛伊木马简称木马,它由两部分组成:服务器程序和控制器程序,当主机被装上服务器程序,攻击者就可以使用控制器程序通过网络来控制主机。木马通常是利用蠕虫病毒、黑客入侵或者使用者的疏忽将服务器程序安装到主机上的。河北师范大学信息技术
27、学院.2024/8/3082网络攻击过程入侵一般可以分为本地入侵和远程入侵这里主要讲远程的网络入侵u网络攻击的准备阶段u网络攻击的实施阶段u网络攻击的善后阶段河北师范大学信息技术学院.2024/8/3083网络攻击的准备阶段确定攻击目标服务分析系统分析河北师范大学信息技术学院.2024/8/3084攻击准备1确定攻击目标例如,选定192.168.1.250这台主机作为攻击目标,首先需要确定此主机是否处于活动状态,在Windows下使用ping命令测试ping192.168.1.250测试结构如下图所示,说明此主机处于活动状态。河北师范大学信息技术学院.2024/8/3085攻击准备1确定攻击目
28、标河北师范大学信息技术学院.2024/8/3086攻击准备2服务分析对目标主机提供的服务进行分析-探测目标主机的相应端口服务是否开放。如利用Telnet、haktek等工具。例如,输入telnet192.168.1.25080结果如下图,说明192.168.1.250这台主机运行了http服务,web服务器版本是IIS5.1河北师范大学信息技术学院.2024/8/3087攻击准备2服务分析河北师范大学信息技术学院.2024/8/3088攻击准备3系统分析确定目标主机采用何种操作系统。例如,在windows下安装Nmapv4.20扫描工具。此工具含OSDetection的功能输入nmap-o19
29、2.168.1.250结果如下图,说明192.168.1.250这台主机操作系统是windows2000sp1、sp2或者sp3河北师范大学信息技术学院.2024/8/3089攻击准备3系统分析河北师范大学信息技术学院.2024/8/3090攻击的实施阶段当收集到足够信息之后,可以实施攻击了。作为破坏性攻击,可以利用工具发动攻击即可。作为入侵性攻击,需要利用收集到的信息,找到其系统漏洞,然后利用漏洞获取一定权限。攻击的主要阶段有预攻击探测:为进一步入侵提供有用信息口令破解与攻击实施攻击:缓冲区溢出、拒绝服务、后门、木马、病毒河北师范大学信息技术学院.2024/8/3091攻击的善后阶段在攻陷的
30、主机上安装后门程序,使之成为“肉鸡”,方便以后进入该系统。善后工作隐藏踪迹攻击者在获得系统最高管理员权限之后,就可以任意修改系统上的文件了。隐藏踪迹最简单的方法就是删除日志文件但这就告诉管理员系统已被入侵。最常用的办法是只对日志文件中有关自己的那部分作修改。河北师范大学信息技术学院.2024/8/3092入侵系统的常用步骤采采用用漏漏洞洞扫扫描描工工具具选选择择会会用用的的方方式式入入侵侵获获取取系系统统一一定定权权限限提提升升为为最最高高权权限限安安装装系系统统后后门门获取获取敏感敏感信息信息或者或者其他其他攻击攻击目的目的拓展拓展: :应用应用注册表建立超级隐藏用户注册表建立超级隐藏用户1
31、.1.打开注册表编辑器,提升权限。打开注册表编辑器,提升权限。开始开始-运行运行-regedit-regedit打开注册表窗口。打开注册表窗口。右击右击“SAMSAM”,权限默认为系统管理员权,权限默认为系统管理员权限。添加限。添加- -高级高级- -立即查找。添加用户立即查找。添加用户给权限。给权限。2.2.新建一个帐号新建一个帐号abc$abc$,普通权限(,普通权限($ $表示表示命令提示符下不显示)。命令提示符下不显示)。net user abc$ 123 /addnet user abc$ 123 /addnet usernet user查看用户查看用户看不到,因为看不到,因为$ $
32、不显示。不显示。右击右击“我的电脑我的电脑”“管理管理”“本地用户和本地用户和组组”。Net user abc$ Net user abc$ 查看用户权限查看用户权限3.3.打开注册表,把帐户打开注册表,把帐户abc$abc$克隆成管理权克隆成管理权限。限。打开注册表,打开注册表,Domains-Account-users-Domains-Account-users-namesnamesabc$ abc$ 类型类型0x3ed0x3ed,管理员类型,管理员类型0x1f40x1f4将对应将对应f4f4的的F F键值复制到键值复制到eded的的F F键值。键值。4.4.导出提权后的帐户的注册表文件的
33、两个导出提权后的帐户的注册表文件的两个键值。键值。5.5.删除新建帐户删除新建帐户abc$abc$Net user abc$ /delNet user abc$ /del我的电脑我的电脑 管理管理 用户已删除用户已删除6.6.导入提权后的帐户的注册表文件。导入提权后的帐户的注册表文件。双击导出的文件双击导出的文件net user net user 我的电脑我的电脑 管理管理 用户已删除用户已删除注册表有,但不是系统管理员看不到。打注册表有,但不是系统管理员看不到。打开注册表将添加的权限删除。再在注册表开注册表将添加的权限删除。再在注册表查看。查看。net user abc$ net user
34、abc$ 没有组没有组添加普通用户添加普通用户Net user hack 123 /addNet user hack 123 /addNet user hackNet user hackRunas /profile /user:hack cmd.exeRunas /profile /user:hack cmd.exe运行运行hackhack帐户。帐户。Net userNet userNet user aa /addNet user aa /add再运行再运行abc$abc$帐户,做同样操作。帐户,做同样操作。河北师范大学信息技术学院.2024/8/3099信息安全风险分析信息安全风险分析为什么
35、构建信息安全管理体系信息安全风险分析河北师范大学信息技术学院.2024/8/30100传统安全解决方案传统安全解决方案 防火墙(防火墙(Firewall) 入侵检测(入侵检测(IDS) VPN 防病毒防病毒 河北师范大学信息技术学院.2024/8/30101防火墙的概念信任网络信任网络防火墙防火墙非信任网络非信任网络 防火墙是用于将信任网络与非信任网络隔离的一种技术,它通过单一集防火墙是用于将信任网络与非信任网络隔离的一种技术,它通过单一集中的安全检查点,强制实施相应的安全策略进行检查,防止对重要信息资源中的安全检查点,强制实施相应的安全策略进行检查,防止对重要信息资源进行非法存取和访问,以达
36、到保护系统安全的目的。进行非法存取和访问,以达到保护系统安全的目的。 河北师范大学信息技术学院.2024/8/30102入侵检测的概念和作用 入侵检测即通过从网络系统中的若干关键节点入侵检测即通过从网络系统中的若干关键节点收集收集收集收集并并分析分析分析分析信息,信息,监控监控监控监控网络中是否有违反安全策略的行为网络中是否有违反安全策略的行为或者是否存在入侵行为。或者是否存在入侵行为。它能够它能够提供提供安全审计安全审计安全审计安全审计、监视监视监视监视、攻击识别攻击识别攻击识别攻击识别和和反攻击反攻击反攻击反攻击等多项功能,对等多项功能,对内部攻击内部攻击内部攻击内部攻击、外部攻外部攻外部
37、攻外部攻击击击击和和误操作误操作误操作误操作进行实时监控,在网络安全技术中起到了进行实时监控,在网络安全技术中起到了不可替代的作用。不可替代的作用。河北师范大学信息技术学院.2024/8/30103防火墙的不足l防火墙并非万能,防火墙不能完成的工作:源于内部的攻击不通过防火墙的连接完全新的攻击手段不能防病毒河北师范大学信息技术学院.2024/8/30104隐形飞机躲过雷达发现河北师范大学信息技术学院.2024/8/30105依靠恢复不能满足关键应用高射炮系统正在恢复河北师范大学信息技术学院.2024/8/30106木桶原理我们部门我们部门最短的那最短的那块木板在块木板在哪里哪里?河北师范大学信
38、息技术学院.2024/8/30107安全桎梏河北师范大学信息技术学院.2024/8/30108概念的提出信息安全管理(信息安全管理(ISM)为何要建设信息安全管理为何要建设信息安全管理河北师范大学信息技术学院.2024/8/30109目前存在的问题l空口令、简单口令、默认口令设置、长期不更换。l点击进入危险的网站或链接。l接收查看危险的电子邮件附件。l系统默认安装,从不进行补丁升级。l拨号上网,给个人以及整个公司建立了后门。l启动了众多的不用的服务。l个人重要数据没有备份。ll兼职的安全管理员l物理安全保护l基本的安全产品l简单的系统升级l机房安全管理制度l资产管理制度l超过超过70%的信息安
39、全事件,如果事先加强管理,都可以得到避免。的信息安全事件,如果事先加强管理,都可以得到避免。河北师范大学信息技术学院.2024/8/30110信息安全管理现状传统的信息安全管理基本上还处在一种静态的、局部的、少数人负责的、突击式、事后纠正式的管理方式不能从根本上避免、降低各类风险,也不能降低信息安全故障导致的综合损失河北师范大学信息技术学院.2024/8/30111概念的进一步提出信息安全管理体系(信息安全管理体系(ISMS)河北师范大学信息技术学院.2024/8/30112信息安全管理体系(ISMS)l由于许多信息系统并非在设计时充分考虑了安全,依靠技术手段实现安全很有限,必须依靠必要的管理
40、手段来支持。l信息安全管理就是通过保证信息的机密性、完整性和可用性来管理和保护组织的所有信息资产的一项体制。l通过合理的组织体系、规章制度和控管措施,把具有信息安全保障功能的软硬件设施和管理以及使用信息的人整合在一起,以此确保整个组织达到预定程度的信息安全,称为信息安全管理体系(ISMS)。河北师范大学信息技术学院.2024/8/30113如何构建如何构建信息安全管理体系如何构建信息安全管理体系河北师范大学信息技术学院.2024/8/30114信息安全管理体系的基本构成河北师范大学信息技术学院.2024/8/30115建立信息安全管理体系的步骤建立信息安全管理体系的步骤河北师范大学信息技术学院
41、.2024/8/30116安全评估系统工作原理远程扫描分析远程扫描分析远程扫描分析远程扫描分析目标设备目标设备目标设备目标设备1 1、发送带有明显攻击特征的数据包、发送带有明显攻击特征的数据包2 2、等待目的主机或设备的响应、等待目的主机或设备的响应3 3、分析回来的数据包的特征、分析回来的数据包的特征4 4、判断是否具有该脆弱性或漏洞、判断是否具有该脆弱性或漏洞河北师范大学信息技术学院.2024/8/30117信息系统的风险管理河北师范大学信息技术学院.2024/8/30118 信息安全风险分析信息安全风险分析 信息安全风险信息安全风险来自人为或自然的威胁,是威胁利用信息系统的脆弱性造成安全
42、事件的可能性及这类安全事件可能对信息资产等造成的负面影响。河北师范大学信息技术学院.2024/8/30119 信息安全风险分析信息安全风险分析 信息安全风险分析:信息安全风险分析:也称信息安全风险评估,它是指对信息安全威胁进行分析和预测,评估这些威胁对信息资产造成的影响。信息安全风险分析使信息系统的管理者可以在考虑风险的情况下估算信息资产的价值,为管理决策提供支持,也可为进一步实施系统安全防护提供依据。河北师范大学信息技术学院.2024/8/30120信息安全建设的起点和基础信息安全建设的起点和基础倡导一种适度安全倡导一种适度安全信息安全建设和管理的科学方法信息安全建设和管理的科学方法分析确定
43、风险的过程分析确定风险的过程信息安全信息安全风险分析风险分析 信息安全风险分析信息安全风险分析河北师范大学信息技术学院.2024/8/30121 信息安全风险分析信息安全风险分析河北师范大学信息技术学院.2024/8/30122 信息安全风险分析信息安全风险分析 信息安全风险信息安全风险分析应考虑的分析应考虑的因素:因素:信息资产的脆弱性信息资产的脆弱性信息资产的威胁及其发生的可信息资产的威胁及其发生的可能性能性信息资产的价值信息资产的价值已有安全措施已有安全措施河北师范大学信息技术学院.2024/8/30123河北师范大学信息技术学院.2024/8/30124l资产的识别与估价资产的识别与估
44、价 为了明确被保护的信息资产,组织应列出与信息安全有关的资产清单,对每一项资产进行确认和适当的评估。 为了防止资产被忽略或遗漏,在识别资产之前应确定风险评估范围。所有在评估范围之内的资产都应该被识别,因此要列出对组织或组织的特定部门的业务过程有价值的任何事物,以便根据组织的业务流程来识别信息资产。 信息安全风险分析信息安全风险分析河北师范大学信息技术学院.2024/8/30125 信息安全风险分析信息安全风险分析l资产的识别与估价资产的识别与估价 在列出所有信息资产后,应对每项资产赋予价值。资产估价是一个主观的过程,而且资产的价值应当由资产的所有者和相关用户来确定,只有他们最清楚资产对组织业务
45、的重要性,从而能够准确地评估出资产的实际价值。 为确保资产估价的一致性和准确性,组织应建立一个资产的价值尺度(资产评估标准),以明确如何对资产进行赋值。 在信息系统中,采用精确的财务方式来给资产确定价值比较困难,一般采用定性分级的方式来建立资产的相对价值或重要度,即按照事先确定的价值尺度将资产的价值划分为不同等级,以相对价值作为确定重要资产及为这些资产投入多大资源进行保护的依据。河北师范大学信息技术学院.2024/8/30126l资产的识别与估价资产的识别与估价 信息安全风险分析信息安全风险分析河北师范大学信息技术学院.2024/8/30127河北师范大学信息技术学院.2024/8/30128
46、故意破坏故意破坏(网络攻击、恶(网络攻击、恶意代码传播、邮件炸弹、意代码传播、邮件炸弹、非授权访问等)和非授权访问等)和无意失无意失误误(如误操作、维护错误)(如误操作、维护错误)人员威胁人员威胁人员威胁人员威胁12系统威胁系统威胁系统威胁系统威胁环境威胁环境威胁环境威胁环境威胁34自然威胁自然威胁自然威胁自然威胁识别产生威胁的原因识别产生威胁的原因识别产生威胁的原因识别产生威胁的原因 信息安全风险分析信息安全风险分析l威胁识别与评估威胁识别与评估河北师范大学信息技术学院.2024/8/30129人员威胁人员威胁人员威胁人员威胁12系统威胁系统威胁系统威胁系统威胁环境威胁环境威胁环境威胁环境威
47、胁34自然威胁自然威胁自然威胁自然威胁识别产生威胁的原因识别产生威胁的原因识别产生威胁的原因识别产生威胁的原因 信息安全风险分析信息安全风险分析l威胁识别与评估威胁识别与评估系统、网络或服务系统、网络或服务的故障(软件故障、的故障(软件故障、硬件故障、介质老硬件故障、介质老化等)化等)河北师范大学信息技术学院.2024/8/30130人员威胁人员威胁人员威胁人员威胁12系统威胁系统威胁系统威胁系统威胁环境威胁环境威胁环境威胁环境威胁34自然威胁自然威胁自然威胁自然威胁电源故障、污电源故障、污染、液体泄漏、染、液体泄漏、火灾等火灾等识别产生威胁的原因识别产生威胁的原因识别产生威胁的原因识别产生威
48、胁的原因 信息安全风险分析信息安全风险分析l威胁识别与评估威胁识别与评估河北师范大学信息技术学院.2024/8/30131人员威胁人员威胁人员威胁人员威胁12系统威胁系统威胁系统威胁系统威胁环境威胁环境威胁环境威胁环境威胁34自然威胁自然威胁自然威胁自然威胁洪水、地震、洪水、地震、台风、滑坡、台风、滑坡、雷电等雷电等识别产生威胁的原因识别产生威胁的原因识别产生威胁的原因识别产生威胁的原因 信息安全风险分析信息安全风险分析l威胁识别与评估威胁识别与评估河北师范大学信息技术学院.2024/8/30132l威胁识别与评估威胁识别与评估 信息安全风险分析信息安全风险分析识别产生威胁的识别产生威胁的识别
49、产生威胁的识别产生威胁的识别产生威胁的识别产生威胁的原因原因原因原因原因原因确认威胁的目标确认威胁的目标确认威胁的目标确认威胁的目标确认威胁的目标确认威胁的目标威威胁胁识识别别与与评评估估的的主主要要任务任务威胁发生造成的后威胁发生造成的后果或潜在影响果或潜在影响评估威胁发生的可评估威胁发生的可能性能性河北师范大学信息技术学院.2024/8/30133l威胁识别与评估威胁识别与评估 威胁发生造成的后果或潜在影响威胁发生造成的后果或潜在影响 信息安全风险分析信息安全风险分析 威胁一旦发生会造成信息保密性、完整性和可用性等安全属性的损失,从而给组织造成不同程度的影响,严重的威胁发生会导致诸如信息系
50、统崩溃、业务流程中断、财产损失等重大安全事故。不同的威胁对同一资产或组织所产生的影响不同,导致的价值损失也不同,但损失的程度应以资产的相对价值(或重要程度)为限。河北师范大学信息技术学院.2024/8/30134河北师范大学信息技术学院.2024/8/30135l脆弱性识别与评估脆弱性识别与评估 仅有威胁还构不成风险。由于组织缺乏充分的安全控制,组织需要保护的信息资产或系统存在着可能被威胁所利用的弱点,即脆弱性。威胁只有利用了特定的脆弱性或者弱点,才可能对资产造成影响。 信息安全风险分析信息安全风险分析河北师范大学信息技术学院.2024/8/30136l脆弱性识别与评估脆弱性识别与评估p脆弱性
51、是资产本身存在的,威胁总是要利用资产的脆弱性才能造成危害。p资产的脆弱性具有隐蔽性,有些脆弱性只有在一定条件和环境下才能显现。p脆弱性识别可以资产为核心,即根据每个资产分别识别其存在的弱点,然后综合评价该资产的脆弱性;也可分物理、网络、系统、应用等层次进行识别。 信息安全风险分析信息安全风险分析河北师范大学信息技术学院.2024/8/30137l脆弱性识别与评估脆弱性识别与评估 信息安全风险分析信息安全风险分析系统、程序和设系统、程序和设备中存在的漏洞备中存在的漏洞或缺陷,如结构或缺陷,如结构设计问题和编程设计问题和编程漏洞等漏洞等技术脆弱性技术脆弱性技术脆弱性技术脆弱性12操作脆弱性操作脆弱
52、性操作脆弱性操作脆弱性管理脆弱性管理脆弱性管理脆弱性管理脆弱性3软件和系统在配置、软件和系统在配置、操作及使用中的缺操作及使用中的缺陷,包括人员日常陷,包括人员日常工作中的不良习惯、工作中的不良习惯、审计或备份的缺乏审计或备份的缺乏等等策略、程序和策略、程序和规章制度等方规章制度等方面的弱点。面的弱点。脆弱性的分类脆弱性的分类脆弱性的分类脆弱性的分类河北师范大学信息技术学院.2024/8/30138 信息安全风险分析信息安全风险分析l脆弱性识别与评估脆弱性识别与评估评估脆弱性需要考虑的因素评估脆弱性需要考虑的因素脆弱性的严重程度(Severity);脆弱性的暴露程度(Exposure),即被威
53、胁利用的可能性P, 这两个因素可采用分级赋值的方法。 例如对于脆弱性被威胁利用的可能性可以分级为:非常可能非常可能= 4= 4,很可能,很可能= 3= 3,可能,可能= 2= 2,不太可能,不太可能= 1= 1,不可能,不可能= 0= 0。河北师范大学信息技术学院.2024/8/30139河北师范大学信息技术学院.2024/8/30140 信息安全风险分析信息安全风险分析l确认现有安全控制确认现有安全控制 在影响威胁事件发生的外部条件中,除了资产的弱点,再就是组织现有的安全控制措施。 在风险评估过程中,应当识别已有的(或已计划的)安全控制措施,分析安全控制措施的效力,有效的安全控制继续保持,而
54、对于那些不适当的控制应当核查是否应被取消,或者用更合适的控制代替。河北师范大学信息技术学院.2024/8/30141 信息安全风险分析信息安全风险分析l确认现有安全控制确认现有安全控制对系统开发、维护对系统开发、维护和使用实施管理的和使用实施管理的措施,包括安全策措施,包括安全策略、程序管理、风略、程序管理、风险管理、安全保障险管理、安全保障和系统生命周期管和系统生命周期管理等理等管理性安全控制管理性安全控制管理性安全控制管理性安全控制12操作性安全控制操作性安全控制操作性安全控制操作性安全控制技术性安全控制技术性安全控制技术性安全控制技术性安全控制3用来保护系统和应用操用来保护系统和应用操作
55、的流程和机制,包括作的流程和机制,包括人员职责、应急响应、人员职责、应急响应、事件处理,安全意识培事件处理,安全意识培训、系统支持和操作、训、系统支持和操作、物理和环境安全等物理和环境安全等身份识别与认证、身份识别与认证、逻辑访问控制、逻辑访问控制、日志审计和加密日志审计和加密等等安全控制方式的分类安全控制方式的分类安全控制方式的分类安全控制方式的分类( ( ( (依据目标和针对性分类依据目标和针对性分类依据目标和针对性分类依据目标和针对性分类) ) ) )河北师范大学信息技术学院.2024/8/30142 信息安全风险分析信息安全风险分析l确认现有安全控制确认现有安全控制此类控制可以降低此类
56、控制可以降低蓄意攻击的可能性,蓄意攻击的可能性,实际上针对的是威实际上针对的是威胁源的动机胁源的动机威慑性安全控制威慑性安全控制威慑性安全控制威慑性安全控制12预防性安全控制预防性安全控制预防性安全控制预防性安全控制检测性安全控制检测性安全控制检测性安全控制检测性安全控制34纠正性安全控制纠正性安全控制纠正性安全控制纠正性安全控制此类控制可以保护此类控制可以保护脆弱性,使攻击难脆弱性,使攻击难以成功,或者降低以成功,或者降低攻击造成的影晌攻击造成的影晌此类控制可以检测此类控制可以检测并及时发现攻击活并及时发现攻击活动,还可以激活纠动,还可以激活纠正性或预防性安全正性或预防性安全控制控制此类控制
57、可以将此类控制可以将攻击造成的影响攻击造成的影响降到最低降到最低安全控制方式的分类安全控制方式的分类安全控制方式的分类安全控制方式的分类(依据功能分类(依据功能分类(依据功能分类(依据功能分类) ) ) )河北师范大学信息技术学院.2024/8/30143 信息安全风险分析信息安全风险分析l确认现有安全控制确认现有安全控制 安全控制应对风险各要素的情况安全控制应对风险各要素的情况利用利用引发引发造成造成河北师范大学信息技术学院.2024/8/30144河北师范大学信息技术学院.2024/8/30145 信息安全风险分析信息安全风险分析l风险评价风险评价 风险评价就是利用适当的风险测量方法或工具
58、确定风险的大小与等级,对组织信息安全管理范围内的每一信息资产因遭受泄露、修改、不可用和破坏所带来的任何影响做出一个风险测量的列表,以便识别与选择适当和正确的安全控制方式。河北师范大学信息技术学院.2024/8/30146 信息安全风险分析信息安全风险分析l风险评价风险评价风险度量常用方法风险度量常用方法p预定义价值矩阵法预定义价值矩阵法p按风险大小对威胁排序法按风险大小对威胁排序法p网络系统的风险计算方法网络系统的风险计算方法 风风险险度度量量的的目目的的是明确当前的安全状态、改善该状态并获得改善状态所需的资源。河北师范大学信息技术学院.2024/8/30147 信息安全风险分析信息安全风险分
59、析l风险评价风险评价风险评价风险评价风险度量常用方法风险度量常用方法风险度量常用方法风险度量常用方法p预定义价值矩阵法预定义价值矩阵法 该方法利用威胁发生的可能性、脆弱性被威胁利用的可能性及资产的相对价值三者预定义的三维矩阵来确定风险的大小。威威胁发生生的的可可能性能性PT低低 0中中 1高高 2脆脆弱弱性性被被利利用用的可能性的可能性PV低低 0中中 1高高 2低低 0中中 1高高 2低低 0中中 1高高 2资产相相对价价值V001212323411232343452234345456334545656744565676782+1+2=5河北师范大学信息技术学院.2024/8/30148 信
60、息安全风险分析信息安全风险分析l风险评价风险评价风险评价风险评价风险度量常用方法风险度量常用方法风险度量常用方法风险度量常用方法p按风险大小对威胁排序法按风险大小对威胁排序法该方法把风险对资产的影响与威胁发生的可能性联系起来,常用于考察和比较威胁对组织资产的危害程度。第一步第一步:按预定义的尺度,评估风险对资产的影响即资产的相 对价值I,例如,尺度可以是从1到5;第第二二步步:评估威胁发生的可能性PT,PT也可以用PTV(考虑被 利用的脆弱性因素)代替,例如尺度为1到5 ;第三步第三步:测量风险值R,R = RR = R(PTV PTV ,I I)= PTV = PTV I I ;该方法把风险
61、对资产的影响与威胁发生的可能性联系起来,常用于考察和比较威胁对组织资产的危害程度。方法的实施过程是:方法的实施过程是:河北师范大学信息技术学院.2024/8/30149 信息安全风险分析信息安全风险分析l风险评价风险评价风险评价风险评价风险度量常用方法风险度量常用方法风险度量常用方法风险度量常用方法p按风险大小对威胁排序法按风险大小对威胁排序法威威 胁影响影响(资产价价值I)威威胁发生的可能性生的可能性PTV风险R威威胁的等的等级威威胁A52102威威胁B2483威威胁C35151威威胁D1335威威胁E4144威威胁F2483R = PTV I=3 5=15河北师范大学信息技术学院.2024
62、/8/30150 信息安全风险分析信息安全风险分析l风险评价风险评价风险评价风险评价风险度量常用方法风险度量常用方法风险度量常用方法风险度量常用方法p网络系统的风险计算方法网络系统的风险计算方法R = VR = V(1 - PD1 - PD)(1 - PO1 - PO)其中:V V系统的重要性,是系统的保密性C、完整性I和可用性A三 项评价值的乘积,即V = CV = CI IA A; POPO防止威胁发生的可能性,与用户的个数、原先的信任、备份的频率以及强制安全措施需求的满足程度有关; PDPD防止系统性能降低的可能性,与组织已实施的保护性控制措施有关。 河北师范大学信息技术学院.2024/
63、8/30151 信息安全风险分析信息安全风险分析l风险评价风险评价风险评价风险评价风险度量常用方法风险度量常用方法风险度量常用方法风险度量常用方法p网络系统的风险计算方法网络系统的风险计算方法网网络系系统名称名称保密性保密性 C完整性完整性IN可用性可用性A网网络系系统重要重要性性V防止威防止威胁发生生PO防止系防止系统性能性能降低降低PD风险R风险排序排序管理管理13260.10.33.782工程工程232120.50.53.003电子商子商务332180.30.38.821V = CIA=232=12R = V(1 - PD)(1 - PO)=12 (1-0.5) (1-0.5)=3.00
64、河北师范大学信息技术学院.2024/8/30152河北师范大学信息技术学院.2024/8/30153 信息安全风险分析信息安全风险分析l安全措施建议安全措施建议 信息安全风险评估人员通过以上评估得到了不同信息资产的风险等级,他们在这一步骤中根据风险等级和其他评估结论,结合被评估组织当前信息安全防护措施的状况,为被评估组织提供加强信息安全防护的建议。河北师范大学信息技术学院.2024/8/30154风险评估管理软件l为便于系统所有单位实施自评估,基于现有评估方法,开发了风险评估管理软件。l将各类风险判据、评分依据、检查列表集成在系统中,为系统所有者实施的风险自评估提供帮助。l力图做到:信息采集规
65、范、判别符合标准、风险计算一致、输出结果完整。l经非专业人员试用,基本达到专业评估人员的评估效果。 信息安全风险分析信息安全风险分析河北师范大学信息技术学院.2024/8/30155系统脆弱性管理界面系统脆弱性管理界面河北师范大学信息技术学院.2024/8/30156风险系数的计算风险系数的计算风险处理计划风险处理计划风险分类统计风险分类统计基础数据的管理基础数据的管理输出各类报表输出各类报表河北师范大学信息技术学院.2024/8/30157安全体系河北师范大学信息技术学院.2024/8/30158温馨小提示l是否正确配置了防火墙、防病毒网络版软件、IDS、邮件过滤系统等网络安全产品;l业务数
66、据库是否有定期备份、事务日志是否维护l是否有跟进最新安全资讯,是否及时为服务器系统打补丁l是否关闭了不必要的功能及端口l机房物理安全措施是否得当l是否存在弱口令l是否有循环检查系统日志以及动态监控网络状况l是否对于大规模攻击方式做出应对响应l是否制定内部安全准则,并对内部人员定期培训l远程管理服务器的时候,你是否采用了安全的协议,如SSH,而没有采用Telnet.FTP等l个人密码是否安全l防病毒软件客户端是否配置正确l是否启用了自动更新l个人重要文件、数据是否加密、备份l是否有随便点击可疑邮件附件、网上可疑链接l是否有使用不安全协议的软件l一旦感染病毒,是否知晓一般的应对措施l河北师范大学信
67、息技术学院.2024/8/30159信息安全的事实广泛广泛安全是一个广泛的主题,它涉及到许多不同的区域(物理、网络、系统、应用、管理等),每个区域都有其相关的风险、威胁及解决方法。动态动态相对相对绝对的信息安全是不存在的。信息安全问题的解决只能通过一系列的规划和措施,把风险降低到可被接受的程度,同时采取适当的机制使风险保持在此程度之内。当信息系统发生变化时应当重新规划和实施来适应新的安全需求。人人信息系统的安全往往取决于系统中最薄弱的环节-人。人是信息安全中最关键的因素,同时也应该清醒的认识到人也是信息安全中最薄弱的环节。仅仅依赖于安全产品的堆积来应对迅速发展变化的各种攻击手段是不能持续有效的。信息安全建设是一项复杂的系统工程,要从观念上进行转变,规划、管理、技术等多种因素相结合使之成为一个可持续的动态发展的过程。河北师范大学信息技术学院.2024/8/30160思考题思考题1 1网络安全的含义是什么?网络安全的含义是什么?2 2分分析析威威胁胁校校园园网网安安全全的的内内部部因因素素和和外外部因素各有哪些部因素各有哪些 ? ?3 3你你们们学学校校校校园园网网安安全全采采用用了了哪哪些些管管理理和防御技术?和防御技术?2024/8/30162Thanks!
