《信息安全管理PPT讲稿.ppt》由会员分享,可在线阅读,更多相关《信息安全管理PPT讲稿.ppt(103页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全管理第1页,共103页,编辑于2022年,星期四第一部分第一部分 信息安全管理概论信息安全管理概论第一章第一章 信息安全概述信息安全概述第二章第二章 信息安全管理基础信息安全管理基础第2页,共103页,编辑于2022年,星期四第一章 信息安全概述第一节 信息与信息安全第二节 信息安全政策第三节 信息安全法律体系第3页,共103页,编辑于2022年,星期四信息及信息的价值信息及信息的价值“真相的濒危甚于老虎的濒危真相的濒危甚于老虎的濒危”“放映的删节版放映的删节版色色,戒戒,剧情不完整,侵犯消费者的公,剧情不完整,侵犯消费者的公平交易权和知情权平交易权和知情权”“剧情剧情”、“真相真相”
2、等都是一种信息等都是一种信息信息、物质、能量信息、物质、能量是人类社会赖以生存和发展的三大要素是人类社会赖以生存和发展的三大要素灾难备份灾难备份给银行数据信息上保险给银行数据信息上保险公安部公安部:超过一半单位发生过信息网络安全事件超过一半单位发生过信息网络安全事件 第4页,共103页,编辑于2022年,星期四第一章第一章 信息安全概述信息安全概述第一节第一节 信息与信息安全信息与信息安全一、信息与信息资产一、信息与信息资产(一)信息的定义(一)信息的定义广义:事物的运动状态以及运动状态形式的变化,广义:事物的运动状态以及运动状态形式的变化,是一种客观存在。(客观存在并不是区分真是一种客观存在
3、。(客观存在并不是区分真假信息的依据)假信息的依据)狭义:能被主体感觉到并被理解的东西(客观存狭义:能被主体感觉到并被理解的东西(客观存在)。在)。本书的定义:通过在数据上施加某些约定而赋予本书的定义:通过在数据上施加某些约定而赋予这些数据的特殊含义。这些数据的特殊含义。信息安全资产的分类:信息具有价值,是一种资信息安全资产的分类:信息具有价值,是一种资产。产。第5页,共103页,编辑于2022年,星期四第一节第一节 信息与信息安全信息与信息安全 信息资产分类信息资产分类数据数据:存在于电子媒介的各种数据资料软件软件:应用软件、系统软件、开发工具和资源库硬件硬件:计算机硬件、路由器、交换机、布
4、线等服务服务:操作系统、WWW、网络管理和安保等文档文档:纸质文件、传真、财务报告、发展计划等设备设备:电源、空调、门禁等人员人员:雇主和各级雇员等其他其他:企业形象、客户关系等(软资产)第6页,共103页,编辑于2022年,星期四(二)信息的特点(二)信息的特点信息与接受对象和要达到的目的有关信息与接受对象和要达到的目的有关(感知和理解)(感知和理解)信息的价值与接受信息的对象有关信息的价值与接受信息的对象有关(信息的价值性)(信息的价值性)信息有多种多样的传递手段信息有多种多样的传递手段(约定的多样性)(约定的多样性)信息的共享性信息的共享性(可复制性)(可复制性)第7页,共103页,编辑
5、于2022年,星期四二、信息安全二、信息安全(一)信息安全的发展(一)信息安全的发展三个阶段:三个阶段:通讯保密阶段通讯保密阶段 重点是保密重点是保密(点)(点)信息安全阶段信息安全阶段 关注信息安全的三属性:关注信息安全的三属性:保密性保密性 完整性完整性 可用性可用性(线、空间)(线、空间)安全保障阶段安全保障阶段 关注点有空间拓展到时间:策略、关注点有空间拓展到时间:策略、保护、保护、检测、检测、响应、恢复响应、恢复(系统)(系统)第8页,共103页,编辑于2022年,星期四(二)信息安全的定义(二)信息安全的定义 为数据处理系统建立和采用的技术和管理的安全保护,保为数据处理系统建立和采
6、用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄漏更改和泄漏信息安全的三个主要问题:信息安全的三个主要问题:1.保护对象保护对象 主要是硬件、软件、数据主要是硬件、软件、数据2.安全目标安全目标 保密性、完整性、可用性保密性、完整性、可用性3.实现途径实现途径 技术和管理技术和管理第9页,共103页,编辑于2022年,星期四(三)信息安全三属性的含义(三)信息安全三属性的含义(Pass)保密性保密性 完整性完整性可用性可用性第10页,共103页,编辑于2022年,星期四(四)信息安全模型(四)信息安
7、全模型1.PDR模型Pt(protection)有效保护时间,信息系统的安全措施能够有效发挥保护作用的时间;Dt(detection)检测时间,安全监测机制能够有效发现攻击、破坏行为所需的时间;Rt(reaction)响应时间,安全机制作出反应和处理所需的时间。第11页,共103页,编辑于2022年,星期四安全公式安全公式(1)PtDt+Rt,系统安全系统安全 保护时间大于保护时间大于检测时间和响应时间之和;检测时间和响应时间之和;(2)PtDt+Rt,系统不安全系统不安全 信息系统的信息系统的安全控制措施在检测和响应前就会失效,破安全控制措施在检测和响应前就会失效,破坏和后果已经发生。坏和后
8、果已经发生。第12页,共103页,编辑于2022年,星期四2.PPDRR2.PPDRR模型模型:保护、检测、响应、恢复四环:保护、检测、响应、恢复四环节在策略节在策略的指导下的指导下构成相互构成相互作用的作用的有机体。有机体。第13页,共103页,编辑于2022年,星期四(五)信息安全保障体系(五)信息安全保障体系第14页,共103页,编辑于2022年,星期四第15页,共103页,编辑于2022年,星期四图表说明:图表说明:1.安全技术体系安全技术体系是整个安全体系的基础,包是整个安全体系的基础,包括安全基础设施平台、安全应用系统平台和括安全基础设施平台、安全应用系统平台和安全综合管理平台;安
9、全综合管理平台;安全基础设施平台安全基础设施平台从物理和通信安全防护、从物理和通信安全防护、网络安全防护、主机系统安全防护、应用安网络安全防护、主机系统安全防护、应用安全防护等多个层次出发,立足于现有的成熟全防护等多个层次出发,立足于现有的成熟的安全技术和安全机制,建立起防护体系。的安全技术和安全机制,建立起防护体系。第16页,共103页,编辑于2022年,星期四 安全应用系统平台安全应用系统平台处理安全基础设施与处理安全基础设施与应用信息系统之间的关联和集成问题。通应用信息系统之间的关联和集成问题。通过使用安全基础设施平台所提供的各类安过使用安全基础设施平台所提供的各类安全服务,提升自身的安
10、全等级,以更加安全服务,提升自身的安全等级,以更加安全的方式,提供业务服务和信息管理服务全的方式,提供业务服务和信息管理服务。第17页,共103页,编辑于2022年,星期四 安全综合管理平台安全综合管理平台对安全机制和安全设备对安全机制和安全设备进行统一的管理和控制,负责维护和管理进行统一的管理和控制,负责维护和管理安全策略,配置管理相应的安全机制。促安全策略,配置管理相应的安全机制。促成各类安全手段能与现有的信息系统应用成各类安全手段能与现有的信息系统应用体系紧密地结合,是信息系统安全与信息体系紧密地结合,是信息系统安全与信息系统应用一体化。系统应用一体化。第18页,共103页,编辑于202
11、2年,星期四2.安全组织与管理体系安全组织与管理体系安全组织与管理体系安全组织与管理体系的设计立足于总体的设计立足于总体安全策略,并与安全技术体系相配合增安全策略,并与安全技术体系相配合增强防卫效果,弥补安全缺陷。强防卫效果,弥补安全缺陷。信息安全管理体系信息安全管理体系由若干信息安全管理由若干信息安全管理类组成,每项信息安全管理类可分解为类组成,每项信息安全管理类可分解为多个安全目标和安全控制。多个安全目标和安全控制。第19页,共103页,编辑于2022年,星期四3.运行保障体系运行保障体系 内容涵盖安全技术和安全管理紧密结合的内容涵盖安全技术和安全管理紧密结合的部分,包括系统可靠性设计、系
12、统数据额部分,包括系统可靠性设计、系统数据额备份设计、安全时间的应急响应计划、安备份设计、安全时间的应急响应计划、安全审计、灾难恢复计划等全审计、灾难恢复计划等第20页,共103页,编辑于2022年,星期四第二节 信息安全政策一、我国信息化发展战略与安全保障工作一、我国信息化发展战略与安全保障工作(一)信息化发展战略(一)信息化发展战略(P8)推进国民经济信息化推进电子政务建设先进网略文化推进社会信息化完善综合信息基础设施加强信息资源的开发利用提高信息产业竞争力建设国家信息安全保障体系提高国民信息技术应用能力,造就信息化人才队伍第21页,共103页,编辑于2022年,星期四(二)信息安全保障工
13、作(二)信息安全保障工作国务院国务院关于加强信息安全保障工作的意见关于加强信息安全保障工作的意见 加强信息安全保障工作须遵循的原则加强信息安全保障工作须遵循的原则 立足国情,以我为主,坚持管理和技术并重;正确处理立足国情,以我为主,坚持管理和技术并重;正确处理安全与发展的关系,以安全保发展,从发展中求安全;安全与发展的关系,以安全保发展,从发展中求安全;统筹规划,突出重点,强化基础性工作;明确国家、企统筹规划,突出重点,强化基础性工作;明确国家、企业、个人的责任和义务,充分发挥各方面的积极性,共业、个人的责任和义务,充分发挥各方面的积极性,共同构筑国家信息安全保障体系。同构筑国家信息安全保障体
14、系。第22页,共103页,编辑于2022年,星期四处理好发展与建设的关系处理好发展与建设的关系正确处理发展与安全的关系正确处理发展与安全的关系坚持以改革开放求安全坚持以改革开放求安全坚持管理与技术并重坚持管理与技术并重坚持统筹兼顾、重点突出坚持统筹兼顾、重点突出第23页,共103页,编辑于2022年,星期四二、美国信息安全国家战略二、美国信息安全国家战略简介:简介:1998年年5月美国政府颁发了月美国政府颁发了保护美国关键保护美国关键基础设施基础设施总统令,围绕信息安全成立多个总统令,围绕信息安全成立多个组织。组织。1998年美国国家安全局制定了年美国国家安全局制定了信息保障技信息保障技术框架
15、术框架提出了提出了“深度防御策略深度防御策略”,确定了,确定了包括网络与基础设施防御、区域边界防御、包括网络与基础设施防御、区域边界防御、计算机环境防御等深度防御在内的目标。计算机环境防御等深度防御在内的目标。第24页,共103页,编辑于2022年,星期四2000年年1月,发布了月,发布了保卫美国的计算机空保卫美国的计算机空间保护信息系统的国家计划间保护信息系统的国家计划,确定,确定了计划的目标和范围。了计划的目标和范围。2003年年2月公布月公布确保网络空间安全的国家确保网络空间安全的国家战略战略报告,强调发动社会力量参与保障报告,强调发动社会力量参与保障网络安全,重视发挥高校和科研机构的力
16、网络安全,重视发挥高校和科研机构的力量。量。内容:三项总体战略目标和五项具体的优内容:三项总体战略目标和五项具体的优先目标。先目标。P11第25页,共103页,编辑于2022年,星期四背景:背景:美国是第一信息大国,对信息的依赖是其脆弱性的重美国是第一信息大国,对信息的依赖是其脆弱性的重要根源要根源由大量信息系统组成的国家信息基础结构,已成为美由大量信息系统组成的国家信息基础结构,已成为美国经济的命脉和国家的生命线,也成为容易受到攻击国经济的命脉和国家的生命线,也成为容易受到攻击的高价值目标的高价值目标系统的安全漏洞、黑客的猖獗系统的安全漏洞、黑客的猖獗80年代以来,美国政府陆续发布若干制度,
17、拥有最关键年代以来,美国政府陆续发布若干制度,拥有最关键系统的政府部门被指定为第一批实施信息安全保护计划系统的政府部门被指定为第一批实施信息安全保护计划的要害部门,力图实现三个目标:准的要害部门,力图实现三个目标:准备和备和预防、侦查和预防、侦查和反应、建立牢固的基础设施反应、建立牢固的基础设施第26页,共103页,编辑于2022年,星期四确保网络空间安全的国家战略确保网络空间安全的国家战略作用作用与影响与影响:1、确保网络安全已经被提升为美国国家安、确保网络安全已经被提升为美国国家安全战略的一个重要组成部分;全战略的一个重要组成部分;2、是美国在、是美国在9.11之后为确保网络安全而采取之后
18、为确保网络安全而采取的一系列举措中的核心步骤;的一系列举措中的核心步骤;3、强调社会力量对网络安全进行全民防御,、强调社会力量对网络安全进行全民防御,重视与企业和地方政府合作,重视发挥院校重视与企业和地方政府合作,重视发挥院校和科研机构力量,重视人才培养和公民安全和科研机构力量,重视人才培养和公民安全意识教育。意识教育。第27页,共103页,编辑于2022年,星期四三、俄罗斯信息安全学说三、俄罗斯信息安全学说2000年年6月月国家信息安全学说国家信息安全学说第一次明第一次明确指出了俄罗斯在信息领域的利益、威胁是确指出了俄罗斯在信息领域的利益、威胁是什么,以及保卫措施。什么,以及保卫措施。(一)
19、背景(一)背景科索沃战争、爱虫病毒的爆发是催化剂科索沃战争、爱虫病毒的爆发是催化剂第28页,共103页,编辑于2022年,星期四(二)内容(二)内容1、保证信息安全是国家利益的要求、保证信息安全是国家利益的要求2、保证信息安全的方法、保证信息安全的方法3、国家在保证信息安全时应采取的基本原则、国家在保证信息安全时应采取的基本原则4、信息安全的组织基础、信息安全的组织基础此外,信息安全学说还对信息威胁做了评估,论证了此外,信息安全学说还对信息威胁做了评估,论证了信息斗争的打击目标和打击手段。信息斗争的打击目标和打击手段。第29页,共103页,编辑于2022年,星期四(三)措施(三)措施1、成立国
20、家信息安全与对抗的领导机构、成立国家信息安全与对抗的领导机构(国家信息政策委员会)(国家信息政策委员会)2、建立信息对抗教育防范体系、建立信息对抗教育防范体系3、建立信息斗争特种部队、建立信息斗争特种部队4、发展信息斗争的关键技术和手段、发展信息斗争的关键技术和手段5、改组指挥控制系统,增强战场生存能力、改组指挥控制系统,增强战场生存能力 第30页,共103页,编辑于2022年,星期四第三节 信息安全法律体系一、信息安全法律体系一、信息安全法律体系(一)体系结构1.法律体系 部门法2.政策体系(拘束力、责任)3.强制性技术标准(强制力)第31页,共103页,编辑于2022年,星期四(二)信息系
21、统安全保护法律规范的法律地位(二)信息系统安全保护法律规范的法律地位 1、信息系统安全立法的必要性和紧迫性、信息系统安全立法的必要性和紧迫性 2、信息系统安全保护法律规范的作用、信息系统安全保护法律规范的作用违反国家规定,侵入国家事务、国防建设、尖端科学技术领违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。域的计算机信息系统的,处三年以下有期徒刑或者拘役。(1)指引作用)指引作用(2)评价作用)评价作用(3)预测作用)预测作用(4)教育作用)教育作用(5)强制作用)强制作用(预防作用)(预防作用)第32页,共103页,编辑于2022年,星期
22、四二、二、法律法规介绍法律法规介绍(P1824)(一)刑法(一)刑法 主要罪名主要罪名 新增加的罪名及含义新增加的罪名及含义(二)治安管理处罚法(二)治安管理处罚法 相关条文及含义相关条文及含义(三)计算机信息系统安全保护条例(三)计算机信息系统安全保护条例(计算机信息系(计算机信息系统能够发生的案件,应在统能够发生的案件,应在24小时内向人民政府小时内向人民政府公安机关报告)公安机关报告)(四)关于维护互联网安全的决定(四)关于维护互联网安全的决定(五)计算机信息网络国际互联网安全保护管理办法(五)计算机信息网络国际互联网安全保护管理办法(六)互联网安全保护技术措施规定(六)互联网安全保护技
23、术措施规定第33页,共103页,编辑于2022年,星期四第二章第二章 信息安全管理基础信息安全管理基础第一节第一节 信息安全管理体系信息安全管理体系第二节第二节 信息安全管理标准信息安全管理标准第三节第三节 信息安全策略信息安全策略第四节第四节 信息安全技术信息安全技术 第34页,共103页,编辑于2022年,星期四第一节第一节 信息安全管理体系信息安全管理体系一、信息安全管理体系定义信息安全管理涉及信息和网络系统的各个层面,以及生命周期的各个阶段,这些不同方面的管理内容彼此间存在着一定的内在联系,构成一个有机的整体,以使管理措施保障达到信息安全目标。(ISMS)第35页,共103页,编辑于2
24、022年,星期四 二、信息安全管理的基本原则二、信息安全管理的基本原则 (一)总体原则(一)总体原则主要领导负责原则主要领导负责原则 规范定级原则规范定级原则以人为本原则以人为本原则适度安全原则适度安全原则全面防范重点突出原则全面防范重点突出原则系统、动态原则系统、动态原则控制社会影响原则控制社会影响原则第36页,共103页,编辑于2022年,星期四(二)安全管理策略(二)安全管理策略分权制衡分权制衡(避免权力集中)(避免权力集中)最小特权最小特权(避免多余权力)(避免多余权力)选用成熟技术选用成熟技术普遍参与普遍参与第37页,共103页,编辑于2022年,星期四三、信息安全管理内容管理目标:
25、管理目标:合规性合规性(管理合规)(管理合规)流程规范性流程规范性(程序合规)(程序合规)整体协调性整体协调性(各种管理协调)(各种管理协调)执行落实性执行落实性(检查监督和审计)(检查监督和审计)变更可控性变更可控性(变更要监控)(变更要监控)责任性责任性持续改进持续改进计划性计划性第38页,共103页,编辑于2022年,星期四信息安全管理体系信息安全管理体系包括以下方面(一)信息安全方针和策略(一)信息安全方针和策略 1、安全方针和策略、安全方针和策略2、资金投入管理、资金投入管理3、信息安全规划、信息安全规划 第39页,共103页,编辑于2022年,星期四 (二)信息安全人员和组织(二)
26、信息安全人员和组织1、保证有足够的人力资源从事信息安全保障、保证有足够的人力资源从事信息安全保障工作工作2、确保人员有明确的角色和责任、确保人员有明确的角色和责任3、保证从业人员经过了适当的信息安全教育、保证从业人员经过了适当的信息安全教育和培训,有足够的安全意识和培训,有足够的安全意识4、机构中的信息安全相关人员能够在有效的、机构中的信息安全相关人员能够在有效的组织结构下展开工作组织结构下展开工作第40页,共103页,编辑于2022年,星期四(三)基于信息系统各个层次的安全管理(三)基于信息系统各个层次的安全管理 1、环境和设备安全、环境和设备安全 2、网络和通信安全、网络和通信安全 3、主
27、机和系统安全、主机和系统安全 4、应用和业务安全、应用和业务安全 5、数据安全、数据安全第41页,共103页,编辑于2022年,星期四(四)基于信息系统生命周期的安全管理(四)基于信息系统生命周期的安全管理信息系统生命周期可以分为两个阶段:信息系统生命周期可以分为两个阶段:工程设计和开发阶段、系统的运行和维护阶段工程设计和开发阶段、系统的运行和维护阶段系统安全与系统本身系统安全与系统本身“三个同步三个同步”:同步规划、同步建设、同步运行同步规划、同步建设、同步运行安全管理内容:安全管理内容:1、项目工程安全管理、项目工程安全管理2、日常运行与维护的安全管理、日常运行与维护的安全管理3、配置管理
28、和变更管理、配置管理和变更管理(资产和管理措施的配置描述(资产和管理措施的配置描述和管理)和管理)4、文档化和流程规范化、文档化和流程规范化5、新技术、新方法的跟踪和采用、新技术、新方法的跟踪和采用第42页,共103页,编辑于2022年,星期四(五)风险管理(五)风险管理1、资产鉴别、分类和评价、资产鉴别、分类和评价2、威胁鉴别和评价、威胁鉴别和评价3、脆弱性评价、脆弱性评价4、安全风险评估和评级、安全风险评估和评级5、决策并实施风险处理措施、决策并实施风险处理措施第43页,共103页,编辑于2022年,星期四(六)业务连续性管理:识别潜在影响、建六)业务连续性管理:识别潜在影响、建立整体恢复
29、能力和顺应能力,重在危机或灾立整体恢复能力和顺应能力,重在危机或灾害发生时的保护害发生时的保护(七)符合性审核:将信息安全管理纳入良(七)符合性审核:将信息安全管理纳入良性的、持续改进的循环中性的、持续改进的循环中第44页,共103页,编辑于2022年,星期四四、信息安全管理体系构成四、信息安全管理体系构成信息安全管理体系由信息安全管理体系由12个管理类组成,每个管理类组成,每个管理类可以分为多个安全目标和安全控个管理类可以分为多个安全目标和安全控制。制。各管理类的关系图如下各管理类的关系图如下第45页,共103页,编辑于2022年,星期四第46页,共103页,编辑于2022年,星期四作用关系
30、说明:作用关系说明:1、方针和策略是基础和指导、方针和策略是基础和指导2、人员和组织管理要依据方针和策略执行任务、人员和组织管理要依据方针和策略执行任务3、合规性管理指导如何检验信息安全管理工作的效果、合规性管理指导如何检验信息安全管理工作的效果4、人员与组织实施的信息安全管理工作,主要从两个、人员与组织实施的信息安全管理工作,主要从两个方面进行风险管理合业务连续性管理方面进行风险管理合业务连续性管理5、根据信息系统生命周期,可以把信息系统划分为项目、根据信息系统生命周期,可以把信息系统划分为项目开发阶段和运行维护阶段开发阶段和运行维护阶段6、所有的信息安全管理工作都作用在信息、所有的信息安全
31、管理工作都作用在信息系统之系统之上上 第47页,共103页,编辑于2022年,星期四第二节 信息安全管理标准信息安全管理在发展过程中有不同的标准信息安全管理在发展过程中有不同的标准一、BS7799是 英国标准协会针对信息安全管理制定的,发布于1995年,后几经修改,成为目前被广泛接受的标准。分为两个部分:BS77991,是信息安全管理实施细则,供负责信息安全系统开发的人员参考使用;BS77992,是建立信息安全管理体系的规范,最终目的是建立适合企业的信息安全管理体系。第48页,共103页,编辑于2022年,星期四 (二)(二)BS7799发展历程发展历程(略)(略)1、倡导者、倡导者 2、发展
32、与修订、发展与修订 3、适用地区、适用地区第49页,共103页,编辑于2022年,星期四(三)(三)BS7799主要内容主要内容1、BS77991(ISO/IEC17799:2005)信息安全信息安全管理实施细则将信息安全管理的内容划分为管理实施细则将信息安全管理的内容划分为11个主要方面,个主要方面,39个信息安全管理的控制目个信息安全管理的控制目标,标,133项安全控制措施项安全控制措施(P36-40)说明:不够具体,组织可以根据自身增减说明:不够具体,组织可以根据自身增减信息安全最佳起点:信息安全最佳起点:10项几乎适用于所有组织和大多项几乎适用于所有组织和大多数环境的控制措施,包括三项
33、与法律相关的控制措施数环境的控制措施,包括三项与法律相关的控制措施和七项与最佳实践相和七项与最佳实践相关的关的控制措施控制措施。(体现重管理的思。(体现重管理的思想)想)第50页,共103页,编辑于2022年,星期四与法律相关的控制措施:与法律相关的控制措施:(略)(略)1、知识产权、知识产权2、保护组织的记录、保护组织的记录(保护重要的记录不丢失、(保护重要的记录不丢失、破坏、伪造)破坏、伪造)3、数据保护和个人信息隐私、数据保护和个人信息隐私第51页,共103页,编辑于2022年,星期四与最佳实践相关的措施:与最佳实践相关的措施:(略)(略)1、信息安全策略文件2、信息安全责任分配3、信息
34、安全意识、教育、培训4、正确处理应用程序5、漏洞管理6、管理信息安全事件和改进7、业务连续性管理第52页,共103页,编辑于2022年,星期四2、BS77992(ISO/IEC27001:2005)其主要特点一是提供了安全管理体系规范,其主要特点一是提供了安全管理体系规范,二是提供了建立信息安全管理体系的目标。二是提供了建立信息安全管理体系的目标。该标准强调信息安全管理是一个面向风险该标准强调信息安全管理是一个面向风险的、持续改进的过程,如下图:的、持续改进的过程,如下图:第53页,共103页,编辑于2022年,星期四第54页,共103页,编辑于2022年,星期四二、其他标准二、其他标准BS7
35、799旨在为组织实施信息安全管理体系提供指导性框架,更多体现的是一种目标要求,总体上并没有提及实施的细节(通行标准的必然局限,普适性强则针对性就弱)具体组织要将BS7799标准落实,需补充必要的可实施内容,下面是国际上一些相关的标准第55页,共103页,编辑于2022年,星期四(一)(一)PD3000:PD3001PD3005(P44)特点:更具针对性特点:更具针对性(二)(二)CC:是国际上最通行的信息技术产品及系统安全:是国际上最通行的信息技术产品及系统安全性测评标准,也是信息技术安全性评估结果国际互认的性测评标准,也是信息技术安全性评估结果国际互认的基础,基础,CC标准由标准由3个文件构
36、成:个文件构成:1、ISO/IEC15408-1,介绍和一般模型,介绍和一般模型2、ISO/IEC15408-2,安全功能要求,安全功能要求3、ISO/IEC15408-3,安全保证要求,安全保证要求与与BS7799相比,相比,CC侧重系统和产品的技术指标评价上。侧重系统和产品的技术指标评价上。第56页,共103页,编辑于2022年,星期四(三)(三)ISO/IEC TR13335名称:曾用名,名称:曾用名,“IT安全管理指南安全管理指南”,现名,现名,“信息和通信技术安全管理信息和通信技术安全管理”,是一个信息,是一个信息安全管理方面的指导性标准,目的是为有效安全管理方面的指导性标准,目的是
37、为有效实施实施IT安全管理提供建议和支持。安全管理提供建议和支持。共分共分5个部分:个部分:第57页,共103页,编辑于2022年,星期四ISO/IEC 133351:1996 IT安全概念与模型安全概念与模型ISO/IEC 133352:1997 IT安全管理和计划安全管理和计划ISO/IEC 133353:1998 IT安全管理技术安全管理技术ISO/IEC 133354:2000 安全措施的选择安全措施的选择ISO/IEC 133355:2001 网络安全管理指南网络安全管理指南第58页,共103页,编辑于2022年,星期四ISO/IEC TR 13335 与与BS7799的比较:的比较
38、:后者只是一个指导性的文件,并不是可后者只是一个指导性的文件,并不是可依据的认证标准,也没有给出一个全面依据的认证标准,也没有给出一个全面完整的信息安全管理框架;但是后者在完整的信息安全管理框架;但是后者在IT安全的具体环节上切入点较深,可实施安全的具体环节上切入点较深,可实施性较好,另外其风险评估方法过程较清晰。性较好,另外其风险评估方法过程较清晰。第59页,共103页,编辑于2022年,星期四(四)(四)SSE-CMM由美国国家安全局开发,是专门用于系统安全工程能力成熟度模型。该模型将系统安全工程成熟度分为5个等级。几者比较:SSE-CMM和CC都是评估标准,均可将评估对象划分为不同的等级
39、,但后者针对的是安全系统或安全产品的测评,前者针对的是安全工程过程第60页,共103页,编辑于2022年,星期四SSE-CMM和和BS7799都提出了一系列最佳都提出了一系列最佳惯例,但后者是一个认证标准而无实现过惯例,但后者是一个认证标准而无实现过程;前者是一个评估标准,定义了实现最程;前者是一个评估标准,定义了实现最终安全目标所需要的一系列过程。二者可终安全目标所需要的一系列过程。二者可以互补使用。以互补使用。第61页,共103页,编辑于2022年,星期四(五)(五)NIST SP 800系列系列由美国国家标准技术协会发布,主要内容由美国国家标准技术协会发布,主要内容是针对信息安全技术和管
40、理领域的实践参是针对信息安全技术和管理领域的实践参考指南,包括四项:考指南,包括四项:SP800-12:计算机安全介绍:计算机安全介绍SP800-30:IT系统风险管理指南系统风险管理指南SP800-34:IT系统应急计划指南系统应急计划指南SP800-26:IT系统安全自我评价指南系统安全自我评价指南第62页,共103页,编辑于2022年,星期四(六)(六)ITIL由英国中央计算机与电信局发布关于IT服务管理最佳实践的建议和指导方针,目的是解决IT服务质量,是一种基于流程的管理方法,尤其适于企业的IT部门。其精髓体现为“一大功能一大功能”和“十大流程十大流程”,前者是服务台功能。第63页,共
41、103页,编辑于2022年,星期四 十大流程:十大流程:1、服务支持、服务支持 2、服务交付、服务交付事件管理事件管理 服务水平管理服务水平管理问题管理问题管理 可用性管理可用性管理变更管理变更管理 IT服务财务管理服务财务管理发布管理发布管理 容量管理容量管理配置管理配置管理 IT服务持续性服务持续性管理管理第64页,共103页,编辑于2022年,星期四功能比较功能比较ITIL与与BS7799相比:相比:ITIL关注的信息关注的信息技术更广泛,侧重于具体的实施流程,技术更广泛,侧重于具体的实施流程,但缺少信息安全的内容,但缺少信息安全的内容,BS7799可可作为作为ITIL在信息安全方面的补
42、充。在信息安全方面的补充。第65页,共103页,编辑于2022年,星期四(七)(七)CobiT(信息及相关技术控制目标)(信息及相关技术控制目标)美国信息系统审计与控制协会发布美国信息系统审计与控制协会发布是目前世界上最先进、最权威的安全与信是目前世界上最先进、最权威的安全与信息技术管理和控制标准。主要目的是为业息技术管理和控制标准。主要目的是为业界提供关于界提供关于IT控制的清晰政策和发展的良好控制的清晰政策和发展的良好典范典范。第66页,共103页,编辑于2022年,星期四Cobit与与ITIL比较:比较:均关注广泛的均关注广泛的IT控制,但是更强调目标要求控制,但是更强调目标要求和度量指
43、标,而后者更关注实施流程。和度量指标,而后者更关注实施流程。具体在具体在ISMS的建设上,的建设上,Cobit的框架和目标、的框架和目标、ITIL的流程都可以供的流程都可以供BS7799借鉴,借鉴,BS7799的目标只是的目标只是ITIL和和Cobit的一个分支的一个分支。第67页,共103页,编辑于2022年,星期四第三节 信息安全策略一、信息安全策略概述一、信息安全策略概述(一)定义:是一种处理安全问题的管理(一)定义:是一种处理安全问题的管理策略的描述,是描述程序目标的高层计划。策略的描述,是描述程序目标的高层计划。安全策略是在效率和安全之间的一个平衡安全策略是在效率和安全之间的一个平衡
44、点。点。三个基本原则:确定性、完整性、有效性三个基本原则:确定性、完整性、有效性(还应有宏观性)(还应有宏观性)第68页,共103页,编辑于2022年,星期四(二)信息安全策略的重要性(二)信息安全策略的重要性(三)指定信息安全策略的时间(三)指定信息安全策略的时间任何业务动作过程均有风险,应任何业务动作过程均有风险,应尽早尽早制定制定安全策略安全策略无策略的开发,投资和责任都很大无策略的开发,投资和责任都很大发生过一次的事故很可能会再次发生发生过一次的事故很可能会再次发生从全局考虑,不要把风险孤立对待从全局考虑,不要把风险孤立对待第69页,共103页,编辑于2022年,星期四(四)信息安全策
45、略开发流程(四)信息安全策略开发流程(略)(略)首先要做的是确定保护对象和原因其次要制定安全策略的目标流程:1、确定策略范围2、风险评估、审计3、策略的审查、批准和实施第70页,共103页,编辑于2022年,星期四二、制定信息安全策略二、制定信息安全策略(一)制定原则(一)制定原则1、先进的、先进的网络安全技术网络安全技术是网络安全的根本是网络安全的根本保证保证2、严格的、严格的安全管理安全管理是确保信息安全策略落是确保信息安全策略落实的基础实的基础3、严格的、严格的法律、法规法律、法规是网络安全保障的坚是网络安全保障的坚强后盾强后盾第71页,共103页,编辑于2022年,星期四(二)信息安全
46、策略的设计范围(二)信息安全策略的设计范围纵向上分:(略)总体安全策略针对特定问题的安全策略针对特定系统的具体策略第72页,共103页,编辑于2022年,星期四横向分:横向分:(略)(略)物理安全策略 灾难恢复策略网络安全策略 事故处理紧急响应策略数据加密策略 安全教育策略病毒防护策略 口令管理策略数据备份策略 补丁管理策略身份认证及授权 系统变更控制策略系统安全策略 复查审计策略商业伙伴、客户关系策略第73页,共103页,编辑于2022年,星期四(三)有效的信息安全策略的特点(三)有效的信息安全策略的特点满足大部分需求并能够维护企业利益满足大部分需求并能够维护企业利益策略应该清晰但不能包含太
47、多的细节策略应该清晰但不能包含太多的细节策略应该不断加强策略应该不断加强策略的目标应该整合到员工培训课程中去策略的目标应该整合到员工培训课程中去(四)完整信息安全策略的覆盖范围(四)完整信息安全策略的覆盖范围第74页,共103页,编辑于2022年,星期四三、信息安全策略保护对象(一)信息系统的硬件与软件(一)信息系统的硬件与软件随系统而变化(二)信息系统的数据(二)信息系统的数据第三方数据的使用定义好隐私条例(三)人员(三)人员权限和公司行为的合法性第75页,共103页,编辑于2022年,星期四四、主要信息安全策略四、主要信息安全策略(一)口令策略(一)口令策略总体要求总体要求 难以破解易于牢
48、记难以破解易于牢记1、网络服务器口令的管理、网络服务器口令的管理部门负责人和网络管理员同时在场设定系统管理员记录封存定期更换并销毁原记录封存新记录发现泄密及时报告、保护现场,须接到上一级主管部门批示后再更换口令第76页,共103页,编辑于2022年,星期四2、用户口令管理、用户口令管理用户负责人与系统管理员商定口令,负责用户负责人与系统管理员商定口令,负责人确认,管理员登记、存档人确认,管理员登记、存档用户要求查询或更换口令需提交申请单用户要求查询或更换口令需提交申请单网络提供用户自我更新口令功能时,用户网络提供用户自我更新口令功能时,用户应自行定期更换并设专人负责保密和维护应自行定期更换并设
49、专人负责保密和维护第77页,共103页,编辑于2022年,星期四创建口令规则创建口令规则通用规则:保存口令最安全的地方是脑袋和保险箱保存口令最安全的地方是脑袋和保险箱口令需相当长口令需相当长以合理的方式使用特殊字符、大写字母、以合理的方式使用特殊字符、大写字母、数字数字第78页,共103页,编辑于2022年,星期四需避免的问题:需避免的问题:不要用个人信息不要用个人信息不用自己的偶像不用自己的偶像不用办公桌不用办公桌(室)(室)上的物品上的物品不将口令保存在本地机器或共享的网络上不将口令保存在本地机器或共享的网络上第79页,共103页,编辑于2022年,星期四(二)计算机病毒和恶意代码防治策略
50、(二)计算机病毒和恶意代码防治策略防护策略须遵守的准则防护策略须遵守的准则拒绝访问能力拒绝访问能力(来历不明软件不得进入)(来历不明软件不得进入)病毒检测能力病毒检测能力(能否检测病毒是重要指标)(能否检测病毒是重要指标)控制传播能力控制传播能力清除能力清除能力恢复能力恢复能力替代操作替代操作第80页,共103页,编辑于2022年,星期四(三)安全教育与培训策略(三)安全教育与培训策略安全教育的层次性安全教育的层次性管理人员:企业信息安全的整体策略和目管理人员:企业信息安全的整体策略和目标,信息安全体系的构成、部门建立和制标,信息安全体系的构成、部门建立和制度完善度完善技术人员:理解策略、掌握