信息安全管理基础
2019/2/8,1,信息安全管理基础,刘永华(教授),2019/2/8,2,本章内容,信息安全管理体系 信息安全管理标准 信息安全策略 信息安全技术,2019/2/8,3,信息技术/网络技术改变生活方式,政府,商业,个人生活,金融,2019/2/8,4,信息安全现状,日益增长的安全威胁 攻击技术越来越复杂 入侵条件越来越简单,2019/2/8,5,黑客攻击猖獗,网络,内部、外部泄密,拒绝服务攻击,逻辑炸弹,特洛伊木马,黑客攻击,计算机病毒,后门、隐蔽通道,蠕虫,2019/2/8,6,安全事件 每年都有上千家政府网站被攻击 安全影响 任何网络都可能遭受入侵,2019/2/8,7,系统的定义:,系统是由相互作用和相互依赖的若干部分结合成的具特定功能的整体。系统一般包括下列因素: 1、一种产品或者组件,如计算机、所有的外部设备等; 2、操作系统、通信系统和其他相关的设备、软件,构成 了一个组织的基本结构; 3、多个应用系统或软件(财务、人事、业务等) 4、it部门的员工 5、内部用户和管理层 6、客户和其他外部用户 7、周围环境,包括媒体、竞争者、上层管理机构。,2019/2/8,8,信息安全管理覆盖的内容非常广泛,涉及到信息和网络系统的各个层面,以及生命周期的各个阶段。不同方面的管理内容彼此之间存在着一定的关联性,它们共同构成一个全面的有机整体,以使管理措施保障达到信息安全的目,这个有机整体被称为信息安全管理体系。,信息安全管理体系,2019/2/8,9,信息系统安全体系结构,2019/2/8,10,定义:信息安全管理体系(Information Security Management System,ISMS)是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和手段所构成的体系;信息安全管理体系是信息安全管理活动的直接结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。,信息安全管理体系定义,2019/2/8,11,建立信息安全管理体系的意义,ISMS是组织整体管理体系的一部分,是组织在整体或特定范围内建立信息安全的方针和目标,以及完成这些目标所用的方法的体系。 安全管理体系是安全技术体系真正有效发挥保护作用的重要保障,安全管理体系的涉及立足于总体安全策略,并与安全技术体系相互配合,增强技术防护体系的效率和效果,同时,也弥补当前技术无法完全解决的安全缺陷。,2019/2/8,12,强化员工的信息安全意识,规范组织信息安全行为; 促使管理层贯彻信息安全保障体系; 对组织的关键信息资产进行全面系统的保护,维持竞争优势; 在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度; 使组织的生意伙伴和客户对组织充满信心; 如果通过体系认证,表明体系符合标准,证明组织有能力保障重要信息,可以提高组织的知名度与信任度。,组织建立、实施与保持ISMS将会产生如下作用:,2019/2/8,13,ISO27001是建立和维护信息安全管理体系的标准,它要求应该通过这样的过程来建立ISMS框架:确定体系范围,制定信息安全侧率,明确管理职责,通过风险评估确定控制目标和控制方式。 ISO27001非常强调信息安全管理过程中文件化的工作,ISMS的文件体系应该包括安全策略、适用性声明(选择和未选择的控制目标和控制措施)、实施安全控制所需的程序文件、ISMS管理和操作程序,以及组织围绕ISMS开展的所有活动的证明材料。,信息安全管理体系标准,2019/2/8,14,信息安全管理的基本原则,一、总体原则 1、主要领导负责原则 2、规范定级原则 3、以人为本原则 4、适度安全原则 5、全面防范、突出重点原则 6、系统、动态原则 7、控制社会影响原则。,二、安全策略管理 1、分权制衡 2、最小特权 3、选用成熟技术 4、普遍参与。,2019/2/8,15,信息安全保证工作事关大局,企业、组织各级领导应该把信息安全列为其最重要的工作内容之一,并负责成提高、加强内部人员的安全意识,组织有效的技术和管理队伍,调动优化配置必要的资源和经费,协调信息安全管理工作与各部门工作的关系,确保信息安全保障工作的落实和效果。,主要领导负责原则,2019/2/8,16,规范定级原则,分级、分类是信息安全保障工作有的放矢的前提,是界定和保护重点信息系统的依据,只有通过合理、规范的分级、分类才能落实重点投资、重点防护。,2019/2/8,17,以人为本原则,信息安全保障在很大程度上受制于人为的因素。加强信息安全教育、培训和管理,强化安全意识和法制观念,提升职业道德,掌握安全技术,确保措施落实是做好信息安全管理工作的重要保证。,2019/2/8,18,适度安全原则,安全需求的不断增加和现实资源的局限性是安全决策处于两难境地,恰当地平衡安全投入与效果是从全局上处置好安全管理工作的出发点。,2019/2/8,19,全面防范、突出重点的原则,全面防范是保障信息系统安全的关键。它需要从人员、管理和技术等方面,在预警、保护、检测、反应、恢复和跟踪等多个环节上采用多种技术实现。同时,又要从组织和机构的实际情况出发,突出自身的安全管理重点。,2019/2/8,20,系统、动态原则,信息安全管理工作的系统特征突出。要按照系统工程的要求,注意各方面、各层次、各时期的相互协调、匹配和衔接,以便体现系统集成效果和前期投入的效益。同时,信息安全又是一种状态和动态反馈过程,随着安全利益和系统脆弱性时空分布的变化,威胁程度的提高,系统环境的变化以及人员对系统安全认识的深化等,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级。,2019/2/8,21,控制社会影响原则,对安全事件的处理应有授权者适时披露并发布准确一致的有关信息,避免带来不良的社会影响。,2019/2/8,22,分权制衡策略,减少未授权的修改或滥用系统资源的机会,对特定职能或责任领域的管理能力实施分离、独立审计,避免操作权力过分集中。,2019/2/8,23,最小特权策略,任何实体(如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必需的特权,不应享有任何多余的特权。,2019/2/8,24,选用成熟技术策略,成熟的技术提供了可靠性、稳定性保证,采用新技术时要重视其成熟的程度。如果新技术势在必行,应该首先局部试点,然后逐步推广,减少或避免可能出现的损失。,2019/2/8,25,普遍参与策略,不论信息系统的安全等级如何,要求信息系统所涉及的人员普遍参与并与社会相关方面协同、协调,共同保障信息系统安全。,2019/2/8,26,信息安全管理的目标如下:,2019/2/8,27,信息安全管理内容,2019/2/8,28,1、通过信息安全管理过程完成信息安全管理方面的要求。 2、通过信息安全管理过程驱动信息安全技术的实施,达到信息安全在技术方面的要求。,信息安全管理的基本任务,2019/2/8,29,信息安全方针与策略,信息安全方针和策略主要包括对信息安全进行总体性指导和规划的管理过程。这些过程包括:安全方针和策略、资金投入管理和信息安全规划等。,2019/2/8,30,安全方针和策略,方针和策略属于一般管理中的策略管理。方针和策略是信息安全保障工作的整体性指导和要求。安全方针和策略需要有相应的制定、审核和改进过程。,2019/2/8,31,资金投入管理,信息安全保障工作需要有足够的资金支撑。但从另一个方面来讲,绝对的安全是无法实现的,因此,需要考虑资金投入和经济效益之间的平衡。,2019/2/8,32,信息安全规划,信息安全保障工作是一项涉及面较广的工作,同时也是一项持续的、长期的工作。因此,信息安全保障工作需要有长期、中期、短期的计划。,2019/2/8,33,信息安全人员和组织,人员和组织管理是信息安全管理的基本过程。人员和组织是执行信息安全保障工作的主体。,2019/2/8,34,在人员和组织管理方面,最基本的管理包括:,1、保障有足够的人力资源从事信息安全保障工作; 2、确保人员有明确的角色和责任; 3、保证从业人员经过了适当的信息安全教育和培训,有足够的安全意识。 4、机构中的信息安全相关人员能够在有效的组织结构下展开工作。,2019/2/8,35,基于信息系统各个层次的安全管理,信息系统是有层次的。因此在信息系统的安全保护中也存在层次的特点,对应各个层次也有相应的信息安全管理工作。基于信息系统的各个层次,可相应在如下层次中开展信息安全管理: 环境和设备安全、网络和通信安全、主机和系统安全、应用和业务安全、数据安全。,2019/2/8,36,环境和设备安全,也称为物理安全。在这类安全管理过程中,主要是涉及信息系统和信息工作所在的环境安全,以及信息设备方面的安全。另外,文档和介质是存储数据的特殊载体,因此,也应当对其进行适度的管理。物理安全是上层安全的基础。,2019/2/8,37,网络和通信安全,网络系统和通信系统使得信息系统可以覆盖各个地理位置和业务场所。网络和通信安全,特别是全程全网的安全是信息安全保障工作的关键环节。,2019/2/8,38,主机和系统安全,主机及主机上的操作系统、数据库管理系统以及各种支撑系统等,是承载业务系统的基础平台。主机和系统是信息系统威胁的主要目标之一。,2019/2/8,39,应用和业务安全,应用和业务系统是最终实现各项业务工作的上层系统。对相应应用系统的安全管理要与具体的业务特点相结合。,2019/2/8,40,数据安全,数据安全在信息安全中占有非常重要的地位。数据的保密性、数据的完整性、数据内容的真实性和可靠性等安全特性的要求在业务中都非常突出。,2019/2/8,41,基于信息系统生命周期的安全管理,信息系统是由生命周期的。信息安全保障也涉及到信息系统生命周期的各个阶段。 信息系统生命周期可以划分为两个阶段: 1、系统投入前的工程设计和开发阶段; 2、系统的运行和维护阶段。,2019/2/8,42,信息系统安全和信息系统本身的三同步,1、同步规划 2、同步建设 3、同步运行,2019/2/8,43,项目工程安全管理,在信息系统投入运行前,信息系统安全的能力、强度、脆弱性、可改进的潜力等方面有相当的部分已经确定和定型。因此,对于一个信息系统,不应当在系统建设完成后再考虑信息安全问题,而应当从系统建设的初期开始,在建设的整个过程中同步考虑。,2019/2/8,44,日常运行于维护的安全管理,一个信息系统及其信息安全系统建设完成后,其安全工作并没有结束。真正的安全效果需要通过日常运行中的安全管理来实现,工程过程中奠定的信息安全基础需要通过管理手段加以发挥。,2019/2/8,45,配置管理和变更管理,配置管理和变更管理是任何形式的管理中不可或缺的管理过程。在信息安全管理中,这两方面管理的作用尤为突出。 1、配置管理:从信息安全管理的角度看,应当对被保护的资产以及相应的保护措施进行配置描述,并应当对各个配置描述进行持续的跟踪管理。 2、变更管理:人员、设备、流程等各个方面的变化,都可能导致信息安全风险的变化,因此,要对信息系统中重要的变更进行管理。需要建立正规的变更流程来控制变更可能导致的风险。,2019/2/8,46,文档化和流程规范化,文档化是信息安全管理工作的重要部分。只有将各种管理办法、管理过程、管理要求等通过文档的形式明确下来,才能保证信息安全管理工作进一步得到落实和贯彻。业务的运行以及单位自身的正常运营需要通过许多操作过程(流程)来具体实现,管理流程的规范化程度可以体现管理的水平。,2019/2/8,47,新技术、新方法的跟踪和采用,不断运用新技术、新方法是提高业务能力和竞争力水平的重要手段。因此,对于新技术和新方法要不断跟踪,并有计划地将新技术和新方法应用到业务系统中。甚至,为了保证竞争力的持续提高,还要进行前瞻性的技术和方法研究。但是新的技术和方法可能带来新的风险,甚至一些风险在该技术没有得到广泛应用和成熟化之前很难被发现。因此,在采取任何较新的技术和方法之前,都要进行严格的安全评估。,2019/2/8,48,风险管理,风险管理是基本管理过程之一。信息安全风险管理是整体风险管理的一个有机组成部分,是其在信息化领域的具体体现。在信息安全风险管理过程中,要实施如下工作: 1、资产鉴别、分类和评价 2、威胁鉴别和评价 3、脆弱性评估评估防护措施的效力和存在的脆弱性 4、安全风险评估和评级综合资产、威胁、脆弱性的评估和评价,完成最终的风险评估和评级。 5、决策并实施风险处理措施根据风险评估的结果,作出风险处理和控制的相关决策,并投入实施。,2019/2/8,49,业务连续性管理,业务连续性管理不仅仅是灾难恢复、危机管理、风险管理控制或者技术恢复,也不仅仅是一个专业的技术问题,更重要的是一个业务驱动和高层驱动的管理问题。它是一个全盘的管理过程,重在识别潜在的影响,建立整体的恢复能力和顺应能力,在危机或灾害发生时保护信息系统所有者的声誉和利益。,2019/2/8,50,符合性审核,符合性审核是确保整体管理工作有效实施的重要管理过程。此类管理过程可以将信息安全管理工作纳入到一个良性的、持续改进的循环中。需要考虑的审核内容包括:法律和法规、内部的方针和制度、技术标准以及其他需要遵循的各种范围要求。,2019/2/8,51,信息安全管理体系构成,1、方针与策略管理 2、风险管理 3、人员与组织管理 4、环境与设备管理 5、网络与通信管理 6、主机与系统管理,7、应用于业务管理 8、数据/文档/介质 9、项目工程管理 10、运行维护管理 11、业务连续性管理 12、合规性管理,2019/2/8,52,数据,/,文档,/,介质管理,方针和策略管理,应用与业务管理,主机与系统管理,网络与通信管理,环境与设备管理,风险管理,业务连续性管理,项目,工程,管理,运行,维护,管理,人,员,和,组,织,管,理,合规性管理,信息安全管理体系构成,2019/2/8,53,方针与策略管理,确保企业、组织拥有明确的信息安全方针以及配套的策略和制度,以实现对信息安全工作的支持和承诺,保证信息安全的资金投入。,2019/2/8,54,风险管理,信息安全建设不是避免风险的过程,而是管理风险的过程。没有绝对的安全,风险总是存在的。信息安全体系建设的目标就是把风险控制在可以接受的范围之内,风险管理同时也是一个动态持续的过程。,2019/2/8,55,人员与组织管理,建立组织机构,明确人员岗位职责,提供安全教育和培训,对第三方人员进行管理,协调信息安全监管部门与行内其他部门之间的关系,保证信息安全工作的人力资源要求,避免由于人员和组织上的错误产生信息安全风险。,2019/2/8,56,环境与设备管理,控制由于物理环境和硬件设施的不当所产生的风险。管理的内容包括物理环境安全、设备安全、介质安全等。,2019/2/8,57,网络与通信安全,控制、保护网络和通信系统,防止受到破坏和滥用,避免和降低由于网络和通信系统的问题对业务系统的损害。,2019/2/8,58,主机与系统管理,控制和保护主机及其系统,防止受到破坏和滥用,避免和降低由此对业务系统的损害。,2019/2/8,59,应用与业务管理,对各类应用和业务系统进行安全管理,防止受到破坏和滥用。,2019/2/8,60,数据/文档/介质管理,采用数据加密和完整性保护机制,防止数据被窃取和篡改,保护业务数据的安全。,2019/2/8,61,项目工程管理,保护信息系统项目过程的安全,确保项目的成果是可靠的安全系统。,2019/2/8,62,运行维护管理,保护信息系统在运行期间的安全,并确保系统维护工作的安全。,2019/2/8,63,业务连续性管理,通过设计和执行业务连续性计划,确保信息系统在任何灾难和攻击下,都能够保证业务的连续性。,2019/2/8,64,合规性管理,确保信息安全保障工作符合国家法律、法规的要求;并且信息安全方针、规定和标准得到了遵循。,2019/2/8,65,12项信息安全管理类的作用关系,1、方针与策略管理:是整个信息安全管理工作的基础和整体指导,对于其他所有的信息安全管理类都有指导和约束的关系。,2019/2/8,66,12项信息安全管理类的作用关系,2、人员与组织管理:是要根据方针和策略来执行的信息安全管理工作。,2019/2/8,67,12项信息安全管理类的作用关系,3、合规性管理:指导如何检查信息安全管理工作的效果。特别是对于国家法律法规,方针政策和标准符合程度的检验。,2019/2/8,68,12项信息安全管理类的作用关系,4、根据方针与策略,由人员与组织实施信息安全管理工作。在实施中主要从两个角度来考虑问题,即风险管理和业务连续性管理。,2019/2/8,69,12项信息安全管理类的作用关系,5、根据信息系统的生命周期,可以将信息系统分为两个阶段,即项目工程开发阶段和运行维护阶段。这两个信息安全管理类体现了信息系统和信息安全工作的生命周期特性。,2019/2/8,70,第二节 信息安全管理标准,一、 BS 7799 二、 其他标准,2019/2/8,71,BS 7799简介,BS 7799概述: BS 7799是英国标准委员会(Britsh Standards Insstitute,BSI)针对信息安全管理而制定的标准。 分为两个部分: 第一部分:被国际标准化组织ISO采纳成为ISO/IEC 17799:2005标准的部分,是信息安全管理实施细则(Code of Practice for Information Security Manage-ment),主要供负责信息安全系统开发的人员参考使用,其主要内容分为11方面,提供了133项安全控制措施(最佳实践)。 第二部分:被国际标准化组织ISO采纳成为ISO/IEC 20071:2005标准的部分,是建立信息安全管理体系(ISMS)的一套规范(Specification for Information Security Management Systems ),其中详细说明了建立、实施和维护信息安全管理体系的要求,可以用来指导相关人员应用ISO/IEC 17799:2005,其最终目的在于建立适合企业需要的信息安全管理体系。,2019/2/8,72,BS 7799发展历程,BS 7799最初由英国贸工部立项,是业界、政府和商业机构共同倡导的,旨在开发一套可供开发、实施和衡量有效信息安全管理实践的通用框架。 1995年,BS 7799 -1:1995信息安全管理实施细则首次发布 1998年,BS 7799-2:1998信息安全管理体系规范发布 1999年4月,BS 7799的两个部分被修订,形成了完整的BS 7799-1:1999 2000年国际信息化标准组织将其转化为国际标准,即ISO/IEC 17799:2000信息技术信息安全管理实施细则 2002年BSI对BS 7799-2:1999进行了重新修订,正式引入PDCA过程模型; 2004年9月BS 7799-2:2002正式发布 2005年6月,ISO/IEC 17799:2000经过改版,形成了新的ISO/IEC 17799:2005,同年10月推出了ISO/IEC 27001:2005 目前有20多个国家和地区引用BS 7799作为本国(地区)标准,有40多个国家和地区开展了与此相关的业务。 在我国ISO 17799:2000已经被转化为GB/T 19716-2005,2019/2/8,73,BS7799的内容,*BS7799-1:信息安全管理实施规则,主要是给负责开发的人员作为参考文档使用,从而在他们的机构内部实施和维护信息安全。,*BS7799-2:信息安全管理体系规范,详细说明了建立、实施和维护信息安全管理体系的要求,指出实施组织需要通过风险评估来鉴定最适宜的控制对象,并根据自己的需求采取适当的安全控制。,2019/2/8,74,信息安全管理实施细则将信息安全管理内容划分为11个方面,39个控制目标,133项控制措施,供信息安全管理体系实施者参考使用,这11个方面包括: 1、安全策略(Security Policy) 2、组织信息安全(Organizing Information Security) 3、资产管理(Asset Mangement) 4、人力资源安全(Human Resources Security) 5、物理与环境安全(Physical and Environmental Security),BS7799-1(ISO/IEC17799),2019/2/8,75,6、通信与操作管理(Communication and Operation Management) 7、访问控制(Access Control) 8、信息系统获取、开发与维护(Information Systems Acquisition,Development and Maintenance) 9、信息安全事件管理(Information Security Incident Management) 10、业务连续性管理(Business Continuity Management) 11、符合性(Compliance),2019/2/8,76,安全策略:包括信息安全策略文件和信息安全策略复查。 组织安全:包括在组织内建立发起和控制信息安全实施的管理框架;维护被外部伙伴访问、处理和管理的组织的信息,处理设施和信息资产的安全。 资产管理:包括建立资产清单、进行信息分类与分级 人力资源安全:包括岗位安全责任和人员录用安全要求,安全教育与培训,安全意识,离职及变更职位等。,BS7799-1(ISO/IEC17799),2019/2/8,77,物理与环境安全:包括安全区域控制、设备安全管理等 通信与操作管理:包括操作程序和责任,系统规划和验收,防范恶意软件,内务管理,网络管理,介质安全管理,信息与软件交换安全 访问控制:包括访问控制策略,用户访问控制,网络访问控制,操作系统访问控制,应用访问控制,监控与审计,移动和远程访问,BS7799-1(ISO/IEC17799),2019/2/8,78,信息系统获取、开发与维护:安全需求分析,安全机制设计(应用系统安全,密码控制,系统文件安全),开发和支持过程的安全控制 信息安全事件管理:报告信息安全事件、安全缺陷;责任和程序、从信息安全事件吸取教训、证据收集。 业务连续性管理:业务连续性计划的制订,演习,审核,改进 符合性管理:符合法律法规,符合安全策略等。,BS7799-1(ISO/IEC17799),2019/2/8,79,对控制措施的描述不够细致,导致缺乏可操作性; 133项控制措施未必适合全部的组织,应当有选择的参考使用; 133项控制措施未必全面,可以根据实际情况进行增补。,BS7799-1(ISO/IEC17799),2019/2/8,80,ISO/IEC 17799:2005列举了十项适用于几乎所有组织和大多数环境的控制措施: 1、与法律相关的控制措施: (1)知识产权:遵守知识产权保护和软件产品保护的法律; (2)保护组织的记录:保护重要的记录不丢失,不被破坏和伪造; (3)数据保护和个人信息隐私:遵守所在国的数据保护法律。,BS7799-1(ISO/IEC17799),2019/2/8,81,2、与最佳实践相关的控制措施: (1)信息安全策略文件:高管批准发布信息安全策略文件,并广泛告知; (2)信息安全责任的分配:清晰地所有的信息安全责任; (3)信息安全意识、教育和培训:全体员工及相关人员应该接受恰当的意识培训;,BS7799-1(ISO/IEC17799),2019/2/8,82,(4)正确处理应用程序:防止应用程序中的信息出错、丢失或被非授权篡改及误用; (5)漏洞管理:防止利用已发布的漏洞信息来实施破坏; (6)管理信息安全事件和改进:确保采取一致和有效的方法来管理信息安全事件。 (7)业务连续性管理:减少业务活动中断,保护关键业务过程不受重大事故或灾难影响。,BS7799-1(ISO/IEC17799),2019/2/8,83,信息安全管理体系规范(Specification for Information Security Management System) 说明了建立、实施、维护,并持续改进ISMS的要求 指导实施者如何利用BS7799-1来建立一个有效的ISMS BSI提供依据BS7799-2所建立ISMS的认证,BS7799-2/ISO 27001,2019/2/8,84,建立ISMS(PLAN) 定义ISMS的范围和策略 识别和评估风险 评估现有保证措施 准备适用性说明 取得管理层对残留风险的认可,并获得实施ISMS的授权,BS7799-2/ISO 27001,2019/2/8,85,实施ISMS(DO) 制订并实施风险处理计划 实施安全控制措施 实施安全意识和安全教育培训 实施检测和响应安全机制,BS7799-2/ISO 27001,2019/2/8,86,监视和复查ISMS(CHECK) 实施监视程序和控制 定期复审ISMS的效力 定期进行ISMS内部审计 复查残留风险和可接受风险的水平,BS7799-2/ISO 27001,2019/2/8,87,改进ISMS(ACT) 对ISMS实施可识别的改进 实施纠正和预防措施 确保改进成果满足预期目标,BS7799-2/ISO 27001,2019/2/8,88,强调文档化管理的重要作用,文档体系包括 安全策略 适用性声明 实施安全控制的规程文档 ISMS管理和操作规程 与ISMS有关的其它文档,BS7799-2/ISO 27001,2019/2/8,89,建立ISMS的过程 制订安全策略 确定体系范围 明确管理职责 通过安全风险评估确定控制目标和控制措施 复查、维护与持续改进,BS7799-2/ISO 27001,2019/2/8,90,二、其他标准,1、PD3000 BS7799标准本身是不具有很强的可实施性的,为了指导组织更好地建立ISMS并应对BS7799认证审核的要求,BSIDISC提供了一组有针对性的指导文件,即PD3000系列。,2019/2/8,91,2、CC,(1)信息技术产品和系统安全性测评标准,是信息安全标准体系中非常重要的一个分支;是目前国际上最通行的信息技术产品及系统安全性测评标准,也是信息技术安全性评估结果国际互认的基础。 (2)CC、ISO/IEC15408、GB/T18336是同一个标准。 (3)CC的组要目标读者是用户、开发者和评估者。 (4)与BS7799标准相比,CC的侧重点放在系统和产品的技术指标评价上;组织在依照BS7799标准来实施ISMS时,一些牵涉系统和产品安全的技术要求,可以借鉴CC标准。,2019/2/8,92,3、ISO/IEC TR 13335,(1)信息和通信技术安全管理,是由ISO/IEC JTC1制定的技术报告,是一个信息安全管理方面的指导性标准,其目的是为有效实施IT安全管理提供建议和支持。 (2)对信息安全风险及其构成要素间关系的描述非常具体,对风险评估方法过程的描述很清晰,可用来指导实施。,2019/2/8,93,4、SSE-CMM,(1)SSE-CMM模型是CMM在系统安全工程这个具体领域应用而产生的一个分支,是美国国家安全局(NSA)领导开发的,是专门用于系统安全工程的能力程度度模型。 (2)ISO/IEC DIS 21827信息技术系统安全工程能力成熟度模型 (3)SSE-CMM将系统安全工程成熟度划分为5个等级 (4)SSE-CMM可以作为评估工程实施组织(如安全服务提供商)能力与资质的标准。我国国家信息安全测评认证中心在审核专业机构信息安全服务资质时,基本上就是依据SSE-CMM来审核并划分等级的。,2019/2/8,94,5、NIST SP 800系列 美国国家标准技术委员会(NIST)发布的Special Publication 800文档是一系列针对信息安全技术和管理领域的实践参考指南。 6、ITIL 信息技术基础设施库(IT Infrastructure Library),是由英国中央计算机与电信局(CCTA)发布的关于IT服务管理最佳实践的建议和指导方针,旨在解决IT服务质量不佳的情况。,2019/2/8,95,7、CobiT 信息及相关技术控制目标(Control Objectives for Information and related Technology,CobiT)是由美国信息系统审计与控制协会针对IT过程管理制定的一套基于最佳实践的控制目标,是目前国际上公认的最先进、最权威的安全与信息技术管理和控制标准。,2019/2/8,96,第三节 信息安全策略,一、信息安全策略概述 二、制定信息安全策略 三、确定信息安全策略保护的对象 四、主要信息安全策略 五、信息安全策略的执行和维护,2019/2/8,97,安全策略包括: 总体方针,指导性的战略纲领文件,阐明了企业对于信息安全的看法和立场、信息安全的目标和战略、信息安全所涉及的范围、管理组织构架和责任认定、以及对于信息资产的管理办法等内容 针对特定问题的具体策略,阐述了企业对于特定安全问题的声明、立场、适用办法、强制要求、角色、责任认定等内容 针对特定系统的具体策略,更为具体和细化,阐明了特定系统与信息安全有关的使用和维护规则等内容,2019/2/8,98,安全策略的特点: 力求全面和明确,不必过于具体和深入 需要一个逐渐完善的过程,不可能一蹴而就 应当保持适当的稳定性,2019/2/8,99,信息安全策略定义,信息安全策略是一组经过高级管理层批准,正式发布和实施的纲领性文件,描述了一个企业、组织的高层安全目标,它描述应该做什么,而不是如何去做,一份信息安全策略就像是一份工程管理计划书,这意味着它隐藏了执行的细节。 信息安全策略是一种处理安全问题的管理策略的描述。安全策略必须遵循三个基本原则:确定性、完整性和有效性。,2019/2/8,100,信息安全策略的重要性,信息安全策略是位于核心地位的方针和政策的集合,虽然它并不涉及具体的执行细节,但是明确描述了安全保护的对象范围,能够保证后续的控制措施被合理的执行,能够对安全产品的选择及管理实践起到指导和约束作用。遵循安全策略的信息系统建设和管理将会形成一个统一的有机整体,使得系统具有更好的安全性。,2019/2/8,101,制定信息安全策略的时间,理想情况下,制定信息安全策略的最佳时间是在发生第一起网络安全事故之前。,2019/2/8,102,安全员需要了解的几个问题:,1、任何业务动作过程均存在不同程度的风险; 2、保险公司不愿向没有信息安全策略的企业投保; 3、一个包括软件开发策略在内的安全策略对与开发更安全的系统是有指导作用的。 4、在安全事故发生后,安全事故很可能重复发生,所以第一次发生后实施安全策略尽管太晚,却十分必要; 5、发生安全事故制定安全策略时,不要把重点放在攻破的地方,要从全局考虑安全问题; 6、安全策略给用户的印象是企业对安全问题非常认真; 7、当企业为政府或机关工作或与其合作时,一份安全策略应该是首先引起注意的事项; 8、向用户展示企业质量标准控制所要求的可评价安全程序来说,安全策略可以作为该程序的指导方针。,2019/2/8,103,信息安全策略开发流程,1、确定信息安全策略的范围 2、风险评估/分析或者审计 3、信息安全策略的审查、批准和实施,2019/2/8,104,制定信息安全策略,制定信息安全策略的原则: 1、先进的网络安全技术是网络安全的根本保证 2、严格的管理是确保信息安全策略落实的基础 3、严格的法律法规是网络安全的坚强后盾,2019/2/8,105,先进的网络安全技术是网络安全的根本保证,用户对自身面临的威胁进行风险评估,决定其所需的安全服务种类,选择相应的安全机制,然后集成先进的安全技术,形成一个全方位的安全系统。,2019/2/8,106,严格的管理是确保信息安全策略落实的基础,各计算机使用机构、企业和单位应建立相应的网络安全管理办法,加强内部管理,建立合适的网络安全管理系统,加强用户管理和授权管理,建立安全审计和跟踪体系,提高整体网络安全意识。,2019/2/8,107,严格的法律法规是网络安全的坚强后盾,面对日趋严重的网络犯罪,必须建立与网络安全相关的法律、法规,使非法分子不会轻易发动攻击。,2019/2/8,108,信息安全策略的设计范围,一个合理的信息安全策略体系包括三个不同层次的策略文档: 1、总体安全策略 2、针对特定问题的具体策略 3、针对特定系统的具体策略,2019/2/8,109,总体安全策略文档,阐述指导性的战略纲领文件,阐明了企业对与信息安全的看法和立场、信息安全的目标和战略、信息安全所涉及的范围、管理组织架构和责任认定以及对与信息资产的管理办法等内容。,2019/2/8,110,针对特定问题的具体策略文档,阐述了企业对于特定安全问题的声明、立场、适用办法、强制要求、角色、责任的认定等内容,例如:针对Internet访问操作、计算机和网络病毒防治、口令的使用和管理等特定问题,制定用针对性的安全策略。,2019/2/8,111,针对特定系统的具体策略文档,针对特定系统的具体策略,更为具体化和详细化,阐明了特定系统与信息安全有关的使用和维护规则等内容,如防火墙配置策略、电子邮件安全策略等等。,2019/2/8,112,信息安全策略的15个制定范围,1、物理安全策略 2、网络安全策略 3、数据加密策略 4、数据备份策略 5、病毒防护策略 6、系统安全策略 7、身份认证及授权策略 8、灾难恢复策略,9、事故处理、紧急响应策略 10、安全教育策略 11、口令管理策略 12、补丁管理策略 13、系统变更控制策略 14、商业伙伴、客户关系策略 15、复查审计策略,2019/2/8,113,信息安全策略,2019/2/8,114,物理安全策略,物理安全策略包括环境安全、设备安全、媒体安全、信息资产的物理分布、人员的访问控制、审计纪录、异常情况的追查等。,2019/2/8,115,网络安全策略,网络安全策略包括网络拓扑结构、网络设备的管理、网络安全访问控制(防火墙、入侵检测系统、VPN等)、安全扫描、远程访问、不同级别网络的访问控制方式、识别/认证机制等等。,2019/2/8,116,数据加密策略,数据加密策略包括加密算法、适用范围、密钥交换和管理等。,2019/2/8,117,数据备份策略,数据备份策略包括适用范围、备份方式、备份数据的安全储存、备份周期、负责人等。,2019/2/8,118,病毒防护策略,病毒防护策略包括防病毒软件的安装、配置、对软盘使用、网络下载等作出的规定。,2019/2/8,119,系统安全策略,系统安全策略包括WWW访问控制策略、数据库系统安全策略、邮件系统安全策略、应用服务器系统安全策略、个人桌面系统安全策略、其他业务相关系统安全策略等。,2019/2/8,120,身份认证及授权策略,身份认证及授权策略包括认证及授权机制、方式、审计记录等。,2019/2/8,121,灾难恢复策略,灾难恢复策略包括责任人员、恢复机制、方式、归档管理、硬件、软件等。,2019/2/8,122,事故处理、紧急响应策略,事故处理、紧急响应策略包括响应小组、联系方式、事故处理计划、控制过程等。,2019/2/8,123,安全教育策略,安全教育策略包括安全策略的发布宣传、执行效果的监督、安全技能的培训、安全意识的教育等。,2019/2/8,124,口令管理策略,口令管理策略包括口令管理方式、口令设置规则、口令适应规则等。,2019/2/8,125,补丁管理规则,补丁管理规则包括系统补丁的更新、测试、安装等。,2019/2/8,126,系统变更控制策略,系统变更控制策略包括设备、软件配置、数据变更管理、一致性管理等。,2019/2/8,127,商业伙伴、客户关系策略,商业伙伴、客户关系策略包