《XXXX版-CISP0303信息安全控制措施_v30精品资料课件.ppt》由会员分享,可在线阅读,更多相关《XXXX版-CISP0303信息安全控制措施_v30精品资料课件.ppt(94页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息信息安全控制措施安全控制措施培训机构名称讲师姓名版本:3.0发布日期:2014-12-1生效日期:2015-1-1雷废惑猾韦夜峙淹缎姥哗芽彻则熟京诅捆沾戏怯苔踪灵侈噬淤肪婉坤稚聋XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30内容组织内容组织结构结构v每个主要安全控制措施类别,包括:一个或多个控制目标,声明要实现什么对于每个控制目标,包含一项或多项控制措施,可被用于实现该控制目标不是所有的控制措施适用于任何场合,它也不会考虑到使用者不是所有的控制措施适用于任何场合,它也不会考虑到使用者的具体环境和技术限制,也不可能对一个组织中所有人都
2、的具体环境和技术限制,也不可能对一个组织中所有人都适用适用21111个个个个类别类别类别类别3939个目标个目标个目标个目标133133个控制措施个控制措施个控制措施个控制措施疏话祖批瘫早块教挟息爹该仟绩需喊虫慷竞辖淬蹄耸拯砒割缮袖砌企滤蝶XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30课程内容课程内容3知识体知识域知识子域信息安全信息安全管理管理体系体系信息安全信息安全管理体系建设管理体系建设人力资源安全人力资源安全信息安全组织信息安全组织安全方针安全方针物理和环境安全物理和环境安全信息安全信息安全管理体系基础管理体系基础资产管理资产管
3、理信息安全信息安全控制措施控制措施通信和操作管理通信和操作管理访问控制访问控制信息系统获取、开发和维护信息系统获取、开发和维护符合性符合性澡受开丛较邮剐睡独企攀倪脏适眺燕歧削霞侨羞卯拍忙盖态庸劳哈蹄吝讶XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30知识域:信息安全控制措施知识域:信息安全控制措施知识子域:知识子域:安全方针安全方针v理解信息安全方针控制目标的含义v掌握信息安全方针文件和信息安全方针评审两项措施的常规控制方法4实彝涕矿铜搀置从汾辜搞辖骄岁囚庄笑镁蘑剿憋胯赣膨颖捻琳跟琳蹬迟或XXXX版-CISP0303信息安全控制措施_v3
4、0XXXX版-CISP0303信息安全控制措施_v30Why?Why?v有没有遇到过这样的事情?案例1 有单位领导说:“听说信息安全工作很重要,可是我不知道对于我们单位来说到底有多重要,也不知道究竟有哪些信息是需要保护的。”5掉掺屿北宏耗舰踌响郧颈坦延寅愈旧叛瓤萝拽盗七活扇吕然梭命缝绷炸痪XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30安全方针安全方针v控制目标(1)信息安全方针6李秧篱集酗孩圈症运糜晶瓦拜颠禽掸卜雇组扳八埋任粳眩廖辱致潮翔绒票XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施
5、_v30信息安全方针信息安全方针v控制目标控制目标:组织的安全方针能够依据业务要求和相关法律法规提供信息安全管理指导并支持信息安全v控制控制措施措施信息安全方针文件信息安全方针文件信息安全方针文件应由管理者批准、发布并传达给所有员工和外部相关方信息安全方针评审信息安全方针评审应按计划的时间间隔或当重大变化发生时进行信息安全方针评审,以确保其持续的适宜性、充分性和有效性7顺帜形豹陵孽润庇唬姓皋录霍宽肮陈咏肚狞悸拙差功未倒沦选芝瓦橱车嘲XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30信息信息安全安全方针方针应应符合实际情况,切实可行。符合实际
6、情况,切实可行。对方针的对方针的落落实尤为重要实尤为重要信息安全方针文件信息安全方针文件v信息安全方针是陈述管理者的管理意图,说明信息安全工作目标和原则的文件信息信息安全安全方针方针应当应当说明说明以下以下内容内容:本单位信息安全的整体目标、范围以及本单位信息安全的整体目标、范围以及重要性重要性信息安全工作的信息安全工作的基本原则基本原则风险评估和风险控制措施的风险评估和风险控制措施的架构架构需要遵守的法规和需要遵守的法规和制度制度信息安全责任信息安全责任分配分配对支持方针的文件的引用对支持方针的文件的引用8信息信息安全安全方针方针主要主要阐述信息安全工作的原则,具体的技阐述信息安全工作的原则
7、,具体的技术实现问题,如设备的选型,系统的安全技术方案一般术实现问题,如设备的选型,系统的安全技术方案一般不写在不写在安全安全方针方针中中贪敖誊翱烫企容驳当髓贤朋浆损优宏呼揣彼孟巩用哩联润削啪镜森仲职晾XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30知识域:信息安全控制措施知识域:信息安全控制措施知识子域:知识子域:信息安全组织信息安全组织v理解内部组织控制目标的含义,掌握信息安全协调等实现这一目标的控制措施的常规实施方法v理解外部各方控制目标的含义,掌握与外部各方相关风险的识别等控制措施的实施方法9鸽蠕宁丰吮霓钳梁俗埂壤郭孽刘悯浓嗽遁洛
8、勤拴姑箱任蒜阅允万凄汾苹戈XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30Why?Why?v有没有遇到过这样的事情?案例1 我是一名网络管理员,发现最近来自外部的病毒攻击很猖獗,要是有15万买个防毒墙就解决问题了,找谁要这笔钱,谁来采购?案例2 我是一名普通工作人员,我的内网计算机上不了外网没办法打补丁,我该找谁获得帮助?应该有一群人,至少包括单位领导、技术部门和应该有一群人,至少包括单位领导、技术部门和行政部门的人组织在一起,专门负责信息安全的行政部门的人组织在一起,专门负责信息安全的事事10墒枝诅喧佰夹瞅奠基鸽庄陡屑抽披踩铀吐沃悯欲考
9、刀吴牌桔睬型烩光胎沥XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30信息安全组织信息安全组织v控制目标控制目标(1)内部组织(2)外部各方11启容惦便两寓像醋牌弓缮轿使拨诫凤帕谈拳奇杰疯秒巳沁督屑喇怒最听哭XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30(1)(1)内部组织内部组织v控制目标控制目标:实现对组织内部的信息安全管理v控制措施控制措施:信息安全的管理承诺12信息安全协调信息安全职责的分配信息处理设施的授权过程保密性协议与政府部门的联系与特定利益集团的联系信息安全的独立评审
10、川率凋制研晓贺醉妻逻甚狈罩涛滇奥挂是几讳碎陆那愈淡户匿按捕闹滴寒XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30信息安全的管理承诺信息安全的管理承诺v高层管理者参与信息安全建设,负责重大决策,提供资源,并对工作方向、职责分配给出清晰的说明高层管理者就是说了算的,可以给人、高层管理者就是说了算的,可以给人、给钱、给设备,提出工作要求还给与给钱、给设备,提出工作要求还给与资源保障的资源保障的人人13萌湾肇趴剧竹龄鸵髓劲窥延氖京弯频木些拾霸躯碎桶侠谬优捣斡堑刮顾寝XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信
11、息安全控制措施_v30信息安全协调信息安全协调v不仅仅由信息化技术部门参与,与信息安全相关的部门(如行政、人事、安保、采购、外联)都应参与到组织体系中各司其责,协调配合。因此需要协调信息安全工作和其他工作一样不是某个信息安全工作和其他工作一样不是某个个个人、某个人、某个部门就可以完成部门就可以完成的的信息技术信息技术部门是信息安全组织中的重要执部门是信息安全组织中的重要执行机构,但不是行机构,但不是全部全部14机构内部机构内部达成共识达成共识避免避免流于形式或作假流于形式或作假风将暂倚挽辽酣侠剩晴巡澈苹乃沼辑兢渠羞榴的删锌恍留写绎旋狮欺登瞥XXXX版-CISP0303信息安全控制措施_v30X
12、XXX版-CISP0303信息安全控制措施_v30信息安全职责的分配信息安全职责的分配v为有效实施信息安全管理,保障和实施系统的信息安全,应在机构内部建立信息安全组织,明确角色和职责v信息安全责任的重要性 在一个机构中,安全角色与责任的不明确是实施信息安全过程中的最大障碍,建立安全组织与落实责任是实施信息安全管理的第一步 15眉驳秒宁清伤砰练住哎太挥纲芥挫弯兴岩骇拜绢痊该留删痊垦媚把罪玛与XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30与政府部门的联系、与政府部门的联系、与特定利益集团的联系与特定利益集团的联系v要注意充分利用外部资源,与
13、上级主管单位、国家职能部门、设备和基础设施提供商、安全服务商、有关专家保持良好的沟通和合作关系例如与电力部门建立良好的协作关系,停例如与电力部门建立良好的协作关系,停电了,电了,UPS的电也要用光了,电力部门可的电也要用光了,电力部门可以开个发电车来解决关键信息系统临时电以开个发电车来解决关键信息系统临时电力供应力供应16蚌嫂征著酌唆茂金端措焚郊炙溺箔坟疹唇吐浙解怠奄域矾汀施绕锹迪康茵XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30(2)(2)外部各方外部各方v控制目标控制目标:保持组织被外部各方访问、处理、管理或与外部进行通信的信息和信
14、息处理设施的安全v控制措施控制措施:与外部各方相关风险的识别17处理外部各方协议中的安全问题访问风险:访问风险:维护维护软件设备的承包商软件设备的承包商清洁清洁、送餐人员、送餐人员外部外部咨询咨询人员人员审核人员审核人员珐锗保措钠料驴谅妻器啦责镐棠顾棘鸭戌蚀寻冰煤色展蚤真束立丢陆兼痞XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30知识域:信息安全控制措施知识域:信息安全控制措施知识子域:知识子域:资产管理资产管理v理解对资产负责控制目标的含义,掌握资产清单、资产责任人等控制措施的实施方法v理解信息分类控制目标的含义,掌握分类指南、信息的标
15、记和处理等控制措施的实施方法18晨拾拟搪信油宿斧咸绿闹脉译窃我壹臼房玛痛仓院秉窖恿篷韩乓益煎疮燃XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30WhyWhy?v那些曾经发生过的事:案例1:某单位欲安装一台网络防火墙,却发现没有人可以说清楚当前的真实网络拓扑情况,也没有人能说清楚系统中有哪些服务器,这些服务器运行了哪些应用系统。案例2:某单位信息安全评估,发现大部分服务器安全状况良好,只有一台服务器存在严重安全漏洞。研究整改措施时,发现平时没有人对该服务器的安全负责。19咆撤卖绳坦窥沙殷娄是啊肮赞落谩出周吞药雹逃耽套舆尤亥某挥骑筋厉你XXX
16、X版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30资产管理资产管理v控制目标控制目标(1)对资产负责(2)信息分类20段住缕澳败烫摇趴坞靴亭篱匠婴偷顷叭讯球肝吏彬庙手虎槽程脂车屎狞呻XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30(1)(1)对资产负责对资产负责v控制目标控制目标:实现和保持对组织资产的适当保护v控制措施控制措施:资产清单21资产责任人资产的可接受使用兵了犊王橇神坝灰趴五尔嗽落得给兹悍姓镜利化辩勋从窄筒铬扫辊浊堵诉XXXX版-CISP0303信息安全控制措施_v30XXXX版
17、-CISP0303信息安全控制措施_v30资产清单资产清单v信息安全管理工作的直接目的是保护组织的资产v资产包括:信息:业务数据、合同协议、科研材料、操作手册、系统配置、审计记录、制度流程等软件:应用软件、系统软件、开发工具物理资产:计算机设备、通信设备、存储介质等服务:通信服务、供暖、照明、能源等人员无形资产,如品牌、声誉和形象22静情啼毒躁隆争塘融哩冯姑孺纪裹削旅枯怕械稚荷鳞到份颜遮米值洱棱躇XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30资产责任人资产责任人v明确资产责任列出资产清单,明确保护对象明确资产受保护的程度明确谁对资产的安
18、全负责23仔胖屁懈系磋碾札恰蛔刀醉屿私奉泻娇瘤匙酮炎毋娩脖急榔佬祥培淑姥颤XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30(2)(2)信息分类信息分类v控制目标控制目标:确保信息受到适当级别的保护v控制措施控制措施:分类指南24信息的标记和处理里啦尽印翰椭禄颈托阿廊茵胚咳轧司碾歼简屑黄档味几枷磅膜琵种梳赏澈XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30分类指南分类指南v分类依据根据信息的价值、法律要求和对组织的敏感程度进行分类v关注点、重点不同直接影响信息分类军事机构更加关注机密信
19、息的保护,私有企业通常更加关注数据的完整性和可用性25v分类必要步骤定义分类类别说明决定信息分类的标准制定每种分类所需的安全控制,或保护机制建立一个定期审查信息分类与所有权的程序让所有员工了解如何处理各种不同分类信息蒙编走殷算停晦辰粳慈阻形咕隋腑暑简炭奋悔拳胳家探寐夹距会日赁篆收XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30分类指南分类指南建议分类方法不宜复杂,否则容易造成混乱建议分类方法不宜复杂,否则容易造成混乱每种分类应唯一区别于其它分类,同时不能有任何重叠每种分类应唯一区别于其它分类,同时不能有任何重叠分类过程还应简单说明如何在其
20、生命周期内控制并处理分类过程还应简单说明如何在其生命周期内控制并处理26宾糖甄存研橡恰朵扰桂携论扦誊粉韧幂吻屑炬鹤蜀邮弛夸辟皂王俩氧蓖诺XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30信息的标记和处理信息的标记和处理v标识信息类别,表明文件的密级、存储介质的种类(如内网专用U盘)v规定重要敏感信息的安全处理、存储、传输、删除和销毁的程序27泳均鸿跃跋嵌泌彤诈刮啤七择帚峦岁笔种伯拒湘乔秆里踞助功属豌逼洗言XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30知识域:信息安全控制措施知识域:信
21、息安全控制措施知识子域:知识子域:人力资源安全人力资源安全v理解任用前控制目标的含义,掌握角色和职责、审查等控制措施的实施方法v理解任用中控制目标的含义,掌握管理职责、信息安全意识教育和培训等控制措施的实施方法v理解任用的终止或变化控制目标的含义,掌握终止职责、撤销访问权等控制措施的实施方法28许筏杀搽唾孙腊聊镰娟逆琵熄衙锄沿婴绕矫繁劝杠卷伦哼诌咬宝怀怪解岁XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30Why?Why?v那些曾经发生过的事:案例一:2010年3月中旬,汇丰控股发布公告,其旗下汇丰私人银行(瑞士)的一名IT员工,曾于三年前
22、窃取了银行客户的资料,失窃的资料涉及1.5万名于2006年10月前在瑞士开户的现有客户。有鉴于此,汇丰银行三年来共投放1亿瑞士法郎,用来将IT系统升级并加强保安。这让人想起了论语中的一句话:“吾恐季孙之忧,不在颛(zhuan)臾(yu),而在萧墙之内也。”萧墙之祸比喻灾祸、变乱由内部原因所致。案例二:某单位负责信息化工作的领导说:“为什么要买防火墙?我们盖楼时是严格按照国家消防有关规定施工的呀!”29为漳匹抱毡堵啮赛雀瓷装皖霸串篡痒率液药按若锑脏琶呛知枪献粳劲挣挚XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30人力资源安全人力资源安全v控
23、制目标控制目标(1)任用前(2)任用中(3)任用的终止或变化30椒莹绷囱辊蝎娄岳扮起叔酱始早獭讳掌洁咸蕉妒裔锣到袱氨将授葬梨谅隙XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30(1)(1)任用前任用前v控制目标控制目标:确保雇员、承包方人员和第三方人员理解其工作职责并适合预期角色,以降低设施被窃、欺诈和误用的风险v控制措施控制措施:角色和职责31审查作用条款和条件醛伐头旁览实逸锡囤裴转款弯潍辟许奢猜猫屈锰巍了喂丈穷蝎寡搪肌律捻XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30任用前任用
24、前v对担任敏感和重要岗位的人员要考察其身份、学历和技术背景、工作履历和以往的违法违规记录v要在合同或专门的协议中,明确其信息安全职责v明确人员遵守安全规章制度、执行特定的信息安全工作、报告安全事件或潜在风险的责任32篷频破茅闭费侥考盅汾褒籽勒十沃摩助米佑擞障瞎凿房症柄乎显遥孝土纪XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30(2)(2)任用中任用中v控制目标控制目标:确保所有雇员、承包方和第三方人员了解信息安全威胁和危害,明确其工作应承担的安全职责和义务,如果违反安全规定将会受到的纪律处理,通过安全培训使其掌握信息处理设施的安全正确使用
25、方法,以减少人为过失造成的风险v控制措施控制措施:管理职责33信息安全意识、教育和培训纪律处理过程杯婆皂郎演室锋舌靠锋闹笑而恬踢县毒搁峨廉融蹿购浆慨扇蹲胀较果痴摊XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30任用中任用中v保证其充分了解所在岗位的信息安全角色和职责v有针对性地进行信息安全意识教育和技能培训v及时有效的惩戒措施34舀倔鸟淖婴钓脸洋秦轮澳霖剧吝铺拨欲萎蕴扔圈默隶杯事啃朝滴疏蔫礼鄙XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30(3)(3)任用的终止或变化任用的终止或变化
26、v控制目标控制目标:确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系,包括调换岗位或岗位职责发生变化v控制措施控制措施:终止职责35资产的归还撤销访问权专拔玲脂左整医犊探撞吃宙押冒振撮报德痹她栏暖副陕炔鲍绎臼春时逢番XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30离职可能引发的安全隐患离职可能引发的安全隐患v未删除的账户v未收回的各种权限VPN、远程主机、企业邮箱和VoIP等应用v其它隐含信息网络架构、规划,存在的漏洞同事的账户、口令和使用习惯等这些信息和权限如果被离职的员工和攻击者们这些信息和权限如果被离职的
27、员工和攻击者们恶意利用,很容易导致信息恶意利用,很容易导致信息安全事件安全事件36斜臻峨话娶巷办呸僧畦小圆外硅砸羡财剑柜缝芋酿惭谰威钮溉柬虹碧朴酣XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30任用的终止任用的终止v终止职责:组织应该清晰定义和分配负责执行任用终止或任用变更的相关职责,如通知相关人员人事变化,向离职者重申离职后仍需遵守的规定和承担的义务v归还资产:保证离职人员归还软件、电脑、存储设备、文件和其他设备v撤销访问权限:撤销用户名、门禁卡、密钥、数字证书等37腐乌卵狸骤银忙档圾宾租擂秤挝彦孤热弱雾训晴乘婆嫉软奋穆澄潍砒硒侄XXX
28、X版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30知识域:信息安全控制措施知识域:信息安全控制措施知识子域:知识子域:物理和环境安全物理和环境安全v理解人身安全的重要性v理解安全区域控制目标的含义,掌握物理安全边界、物理入口控制等控制措施的实施方法v理解设备安全控制目标的含义,掌握设备安置和保护、支持性设施等控制措施的实施方法38男姬炼绿踌椒生斥赣摇袍迅疆递击螺向咋卜吓句陪别鸯邦痰产缩失图愁钒XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30WhyWhy?v那些曾经发生过的事:案例1:间谍潜入
29、机房,直接用移动硬盘将服务器中的重要数据拷贝走。案例2:机房中气温过高,导致计算机无法正常运行,造成业务中断。39结麻挨升挝暑伯肝剂忍阜丘伐俊孟加排玖咖淆峰伦获蜒压租蜂肢弛躯绍煤XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30物理和环境安全的范畴物理和环境安全的范畴物理(Physical):身体的、物质的、自然的身体的:人身安全是物理安全首要考虑的问题,因为人也是信息系统的一部分物质的:承载信息的物质,包括信息存储、处理、传输和显示的设施和设备自然的:自然环境的保障,如温度、湿度、电力、灾害等40冬会向扯戚何稀爬隔斗弥巾粮宏妙秸钩辣飘忘惰
30、对峦僵哺舞梅钨贤褂冉玩XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30物理和环境安全物理和环境安全v控制目标控制目标(1)安全区域(2)设备安全41笺棺敲围侗叉筷钧辕潭沧场另咯映掘笆规圭拟冕墙叮服椿忍茄叔啥蛾诌尔XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30(1)(1)安全区域安全区域v控制目标控制目标:防止对组织场所和信息的未授权物理访问、损坏和干扰,关键或敏感的信息及信息处理设施应放在安全区域内,并受到相应保护v控制措施控制措施:物理安全边界42物理入口控制办公室、房间和设施的
31、安全保护外部和环境威胁的安全防护在安全区域工作公共访问、交接区安全写望袍桶剩湍祖哑绕鬃酋幌窝础卿填妮铭环孪剖险渭婉胯蹲嗽亏斩罚腻迄XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30物理安全边界物理安全边界v周边入侵检测系统用来探测未经授权而进入的人,并发出警报现在最常用的入侵监测系统是机电式的,能够探测到电路的变化或断路,例如:窗户贴,绷紧线等一个常被忽略的脆弱点报警系统v闭路电视使用照相机通过传输媒介将图片传送到连接的显示器的电视传输系统(三个主要的组件)传输媒介可以使用同轴电缆、光缆、微波、无线电波、或红外光束与广播电视是不同的,尽管也
32、是点对点的无线连接,但CCTV的信号不是公开传输的43槛伊霍衬障箔翠掏细蕊女迭褐抱鄙钻荫吼疗菩孰沙酶写匿构村刊象充遥窖XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30物理入口控制物理入口控制v必须弄清来访者的身份,并将其进入与离开安全区域的日期与时间记录起来v所有人员配戴识别证44姆悍麦蹦双风涅芒雾瓶蜂坍漏舱拣绍芦烁子蛙蓑啤栖神咖证隆届努文形拆XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30物理入口控制物理入口控制v卡访问控制磁卡、非接触卡等v生物特征系统生理特征:指纹、视网膜、声音
33、、手形等行为特征:签名45略黄悍辈厨删点秋麓斗于端象舔忻谐袖毗礁钳标衷劲薯霹在碱逐筐饶陌裤XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30办公室、房间和设施的安全保护办公室、房间和设施的安全保护v安全区域关键设备应放在公众无法进入的地方避免写出“机房重地,请勿进入”的字样安全区内,各种打印机、复印机设备齐全设备设备如果放如果放在安全区内,可以在安全区内,可以降低对降低对该设该设备的保护级别备的保护级别46此娜敦么取藩授抽滚津脸引外刃傻审扛流亩戍龄熬润冯物第蜒忽蒲怂坐婆XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP
34、0303信息安全控制措施_v30(2)(2)设备安全设备安全v控制目标控制目标:防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断v控制措施控制措施:设备安置和保护47支持性设施布缆安全设备维护组织场所外的设备安全设备的安全处置和再利用资产的转移究饲钒湖古冷氛掘捻挽玻斌紫浸瞥痔帝战冯蓉漂舅丛挞鹅毡归祭活赁泻隶XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30设备安置和保护设备安置和保护v来自空中的威胁 TEMPEST (抑制和防止电磁泄露)v途径以电磁波形式的辐射泄露;电源线、控制线、信号线和地线造成的传导泄露v危害使各系统设备相互
35、干扰,降低设备性能电磁泄露会造成信息暴露v电磁辐射强度影响因素功率和频率距离因素屏蔽状况v预防措施选用低辐射设备利用噪声干扰源采取屏蔽措施距离防护采用微波吸收材料48龙浦圈虽腐棍守紊峡宴宏鼓稼奥菌渭叹隘庄扩炊吱排殊薄蚁菱陷坛湖崩痉XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30v设备运行的良好环境建设机房,应当参照有关国家标准,如GB 50174-2008电子信息系统机房设计规范 机房的选址和设备的放置要考虑火灾、地震、洪水、风暴等可能的自然威胁,以及爆炸、蓄意破坏、盗窃、恐怖袭击、暴动等可能的人为威胁机房、办公场所和通信线路铺设需要考虑
36、通信中断、电力中断等支撑性基础设施失效的问题支持性设施支持性设施v电力供应关系到企业的营运是否正常电源:防止电源故障与供电不正常的现象多路供电、不间断电源UPS、备用发电机49盔噶欺萝早桑携痒湛悸郴摇拍陵匀查义粟房等哦轻查阎纠变薄东驳胁愤托XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30支持性设施支持性设施vHVAC(适当的供暖、通风和空调)数据中心或服务器机房的空调控制应当与大楼其它部分隔离计算机房空调不同于舒适性空调和常规恒温恒湿空调v消防设施:火灾的预防、检测和排除火灾燃烧的条件火灾预防-减少火灾起因火灾检测-在火灾发生前,接受火灾
37、警报灭火-如何灭火,并降低到最小损失50蓑定露哇肤序吮砧篷琳纠万秦披鸣贵猫壮辱船侨女芳吏户士拱得醇尿岁捣XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30人身安全的重要性人身安全的重要性v以人为本,人身安全最重要不要忘记人是系统资产的重要组成部分办公室、机房应为操作人员提供健康的工作环境突发灾难时,人身安全是首先需要保障的51渗聚峰甸徒柱匈始忿松祸煽折尘焊令换霉躁嗽泽区覆蒲鹊耍斥真护酥娠南XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30知识域:信息安全控制措施知识域:信息安全控制措施知
38、识子域:知识子域:通信和操作管理通信和操作管理v理解操作程序和职责、第三方服务交付管理、系统规划和验收、防范恶意代码、备份、网络安全管理、介质处置、信息的交换、电子商务服务、监视和访问控制这些控制目标的含义v掌握实现这些控制目标的控制措施的实施方法52耶梢辞九之娜姐寸仓衰破唾界煮船萤京拨扭来鸭产芬雷憎魔低胀昆仿料火XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30WhyWhy?v案例1:年月日,美国空军一架战略轰炸机误装枚核弹后,从北部的北达科他州飞往南部的路易斯安那州。这一空前事件显示了美国空军对核武器指挥和控制体系中的漏洞。v案例2:数
39、据库管理员由于疏忽进行了误操作,将重要的信息删除了。v案例3:涉密计算机出现故障硬盘数据丢失,使用人员将硬盘拿到社会上的数据恢复公司进行恢复,造成秘密泄露。53股卜搔福段腹疥漓脚植阮拄敦上谣下暗嚏掳振涛赞亨弟赡哎弄谷冒肠冷番XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30通信和操作管理通信和操作管理v控制目标控制目标(1)操作程序和职责(2)第三方服务交付管理(3)系统规划和验收(4)防范恶意代码(5)备份(6)网络安全管理(7)介质处置(8)信息的交换(9)电子商务服务(10)监视54甜宫策讲陋颅越任垄彝卞婿缀航搀窿缄杖愧汽鳖巧瑟帽炮乔
40、雁除崩店浚醋XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30(1)(1)操作程序和职责操作程序和职责v控制目标控制目标:确保正确、安全地操作信息处理设施v控制措施控制措施:文件化的操作程序55变更管理责任分割开发、测试和运行设施分离释旬敬菜瘤链蹬霍溪翁护蒂他咯雨脾挞席毫欣飘柱后演狈谆狠慧级缕宣七XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30(2)(2)第三方服务交付管理第三方服务交付管理v控制目标控制目标:对第三方服务进行管理,使其交付的服务符合第三方服务交付协议,并保持在适当水平
41、v控制措施控制措施:服务交付56第三方服务的监视和评审第三方服务的变更管理角矛痊人簧援炒届磋陛泻围摊绚尤咆羌锐夸摈梢帮童奴赞互憎咬嗜浪蛔岂XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30(3)(3)系统规划和验收系统规划和验收v控制目标控制目标:将系统失效的风险降至最小v控制措施控制措施:容量管理57系统验收咏脐忍榔态昂壶贾蠕捣滴兽劣耕甲丧织帐氰氖贵届载绣筹阎晾糖肾睛核钞XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30(4)(4)防范恶意代码防范恶意代码v控制目标控制目标:保护软件和
42、信息的完整性v控制措施控制措施:控制恶意代码58名缉罪嘴糕昂厄宛掏彝挺熔烈嗅浪蛾喜贱轰痛隐炬剿鸿缎诫勤郎结侍臣羚XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30(5)(5)备份备份v控制目标控制目标:保持信息和信息处理设施的完整性及可用性v控制措施控制措施:信息备份59备份资料必须给予适当级别与保护定期测试备份介质定期检查与测试恢复步骤诺命脐恰娃如梭积氦孽茨钒象茸埠抵袍斧只改绽谗综屯窟袱卧莎熬羔二账XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30(6)(6)网络安全管理网络安全管理v
43、控制目标控制目标:确保网络中信息和支持性基础设施的安全性v控制措施控制措施:网络控制60网络服务安全纽抚什褒旬珠己番诞菲博稀爪侈逞给磊岿锣写傻粉球宴胆扭性渴撼迟疵钥XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30(7)(7)介质处置介质处置v控制目标控制目标:防止资产遭受未授权泄露、修改、移动、销毁及业务活动的中断v控制措施控制措施:可移动介质的管理61介质的处置栅俱臃侍近宛颖连咐宁直瘩跟斯谴春俭擞铆阴括甜嫌屁吸鹃阴捐匝螟魄蝇XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30(8)(8
44、)信息的交换信息的交换v控制目标控制目标:保持组织内以及与外部组织信息和软件交换的安全v控制措施控制措施:信息交换策略和规程62交换协议运输中的物理介质电子消息发送彝泞敏嫂论囚潞册抠泌牙狼镍赛渗舰缸捉坝囚交挤继晦码披院灰铂谜恨劣XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30(9)(9)电子商务服务电子商务服务v控制目标控制目标:确保电子商务服务及使用的安全v控制措施控制措施:电子商务63在线交易恢唆荤笋百赫北肠牲鸟磕躇凰呼堡柔验骤掀俱脆挚揍敏笔占地吊面秋渺悬XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303
45、信息安全控制措施_v30(10)(10)监视监视v控制目标控制目标:检测未经授权的信息处理活动v控制措施控制措施:审计日志64监视系统的使用日志信息的保护管理员和操作员日志故障日志时钟同步自毯咐憾软弯灵罩帜亿纯聘搔互醒妇引饺暗殊垛司仪勉校荧沾肄疤砂捕扩XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30知识域:信息安全控制措施知识域:信息安全控制措施知识子域:知识子域:访问控制访问控制v理解访问控制的业务要求、用户访问管理、用户职责、网络访问控制、操作系统访问控制、应用和信息访问控制、移动计算和远程工作这些控制目标的含义v掌握实现这些控制目标
46、的控制措施的实施方法65侨宜酪奇贪寥煞慷侵龟瑟具粹吭切声嘿躺牛换庐狸问瓣睬俏踪料背戒怠党XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30Why?Why?v案例1:飞机登机,旅客的身份证号区别了不同的人,身份证证明确实是这名旅客来乘机,安检人员察看身份证和登机牌,扫描违禁物品后允许乘客登上机票中规定的航班。v案例2:登录网站,用户ID区别了不同的用户,输入登录密码确定是这位用户,网络防火墙和服务器的权限管理系统允许用户使用网站中可以使用的功能。66男单柠嗽畸枷素余粟虏寨周兜苛讨堤状汗畸韩停涪晋纤嫁毖披好叛咏强雁XXXX版-CISP0303信
47、息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30访问控制访问控制v控制目标控制目标(1)访问控制的业务要求(2)用户访问管理(3)用户职责(4)网络访问控制(5)操作系统访问控制(6)应用和信息访问控制(7)移动计算和远程工作67叙奈捷夸久迈柱汲励饱跑眨蒸涕产钠废肝辆催壕栋哪蕾糕愚混凡酝潘在势XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30(1)(1)访问控制的业务要求访问控制的业务要求v控制目标控制目标:基于业务目标和业务原则来控制对信息的访问v控制措施控制措施:访问控制策略68薛烫皖潍信系麻闹矛颇瞅茨饥泣线瓦
48、书妓竖移臻阳丙汰蛀朱埠键绽典归籍XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30(2)(2)用户访问管理用户访问管理v控制目标控制目标:确保授权用户能够访问信息系统,防止非授权的访问v控制措施控制措施:用户注册69特殊权限管理用户口令管理用户访问权的复查色漆搂砸喊两倍韭皇鳖所扰铝目协蛋菱滚坤梭笔鹏选珍诅另托零陌躬曝态XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30(3)(3)用户职责用户职责v控制目标控制目标:防止未授权用户对信息和信息处理设施的访问、危害或窃取v控制措施控制措施:口
49、令使用70无人值守的用户设备清空桌面和屏幕策略昂依兹展萎胃夸剖漓健汤砾挂婪献继腿诱蒂陀寻操统缄入髓广类吟乘变卤XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30(4)(4)网络访问控制网络访问控制v控制目标控制目标:防止对网络服务的未授权访问v控制措施控制措施:使用网络服务的策略71网络隔离芯凝选混察队豁弗杠散又福按硕暮沫腆先世召敏耸朋骏胎蛊乘还承踪姬浑XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30(5)(5)操作系统访问控制操作系统访问控制v控制目标控制目标:防止对操作系统的未授权
50、访问v控制措施控制措施:安全登录规程72用户标识和鉴别口令管理系统系统实用工具的使用护亚标矿摔宁娱矛休奶鲍惫且桨揪蝗囚敌饼镑拭胎占靠榜羞棚尾子蜒麓哪XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30(6)(6)应用和信息访问控制应用和信息访问控制v控制目标控制目标:防止对应用系统中信息的未授权访问v控制措施控制措施:信息访问限制73酮俐赛诧少相傀交怠敌蜜隅贷奈迪滤蚜硷优衰淆冰暴晓乖舅并迎皋肄仑水XXXX版-CISP0303信息安全控制措施_v30XXXX版-CISP0303信息安全控制措施_v30(7)(7)移动计算和远程工作移动计算和远程