CISP课程培训知识总结课件

,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,单击此处编辑母版标题样式,CISP课程培训知识总结,2,CISP,课程培训知识总,结（安全综合）,主 题,一、信息安全保障基本知识,二、信息安全保障实践,三、信息安全管理体系,四、信息安全风险管理,五、基本信息安全管理,六、重要信息安全管理措施,七、安全工程原理,八、安全工程实践,九、法律法规,十、安全标准,4,课程内容,5,信息安全发展阶段,6,COMSEC,通信安全,COMPUSEC,计算机安全,INFOSEC,信息系统安全,IA,信息安全保障,CS/IA,网络空间安全,/,信息安全保障,阶段,年代,安全威胁,安全措施,通信安全,20,世纪，,4070,年代,搭线窃听、,密码学分析,加密,计算机安全,20,世纪，,70-90,年代,非法访问、,恶意代码、,脆弱口令等,安全操作系统设计技术（,TCB,）,信息系统安全,20,世纪，,90,年代后,网络入侵、,病毒破坏、,信息对抗等,防火墙、防病毒、,漏洞扫描、,入侵检测、,PKI,、,VPN,等,信息安全保障,今天，,黑客、恐怖分子、,信息战、,自然灾难、,电力中断等,技术安全保障体系、安全管理体系、,人员意识,/,培训,/,教育、认证和认可,网络安全空间,/,信息安全保障,2009,年开始,国家安全的高度,网络防御,网络攻击,网络利用,信息系统安全保障是在信息系统的整个生命周期中，通过对信息系统的风险分析，制定并执行相应的安全保障策略，从技术、管理、工程和人员等方面提出安全保障要求，确保信息系统的保密性、完整性和可用性，降低安全风险到可接受的程度，从而保障系统实现组织机构的使命。,信息安全保障定义,7,国家标准：,GB/T 20274.1-2006,信息安全技术 信息系统安全保障评估框架 第一部分：简介和一般模型,信息系统安全保障模型,8,信息安全工程过程,DISCOVER,NEEDS,DEFINE,SYSTEM,REQUIREMENTS,DESIGN,SYSTEM,ARCHITECTURE,DEVELOP,DETAILED,DESIGN,IMPLEMENT,SYSTEM,发掘需求,定义系统要求,定义系统体系结构,开发详细设计,实现系统,用户,/,用户代表,评估有效性,计划组织,开发采购,实施交付,运行维护,废弃,将安全措施融入信息系统生命周期,9,加密,数字签名,数据完整性,访问控制,数据交换,业务流填充,路由控制,公证,抗抵赖,数据保密性,数据完整性,访问控制,鉴别服务,物理层,链路层,表示层,应用层,传输层,网络层,会话层,安全机制,安全服务,OSI,参考模型,ISO7498-2,安全体系结构,10,P2DR,策略、防护、检测、响应,P2DR,模型则更强调控制和对抗，即强调系统安全的动态性,以安全检测、漏洞监测和自适应填充,“,安全间隙,”,为循环来提高网络安全,特别考虑人为的管理因素,分布式动态主动模型,P2DR,模型,11,技术,操作,深度防御战略,人,人,通过 技术,进行 操作,计算环境,区域边界,网络,基础设施,支撑性基础设施,密钥管理,检测响应,成功的组织功能,信息安全保障（,IA,）,I,ATF,框架,12,主 题,一、信息安全保障基本知识,二、信息安全保障实践,三、信息安全管理体系,四、信息安全风险管理,五、基本信息安全管理,六、重要信息安全管理措施,七、安全工程原理,八、安全工程实践,九、法律法规,十、安全标准,13,14,课程内容,14,国家信息安全保障工作总体要求,坚持积极防御、综合防范的方针，全面提高信息安全的防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。,15,信息安全保障工作的主要原则,立足国情，以我为主，坚持,管理与技术并重,；正确处理安全与发展的关系，以安全保发展，在发展中求安全；统筹规划，突出重点，强化基础性工作；明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。,16,国家信息安全保障重点工作,实行信息安全等级保护,加强以密码技术为基础的信息保护和网络信任体系建设,建设和完善信息安全监控体系,重视信息安全应急处理工作,加强信息安全技术研究开发，推进信息安全产业发展,加强信息安全法制建设和标准化建设,加快信息安全人才培训，增强全民信息安全意识,保证信息安全资金,加强对信息安全保障工作的领导，建立健全信息安全管理责任制,17,18,制定信息安全保障需求的作用,制定信息系统安全保障需求的方法和原则,信息安全保障解决方案,确定安全保障解决方案的原则,实施信息安全保障解决方案的原则,信息安全测评,信息安全测评的重要性,国内外信息安全测评现状,产品、人员、服务商、系统测评的方法和流程,持续提高信息系统安全保障能力。,信息系统安全监护和维护,确定需求,制定方案,开展测评,持续改进,信息系统安全保障工作建设步骤,18,19,国家信息安全测评主要对象,信息产品安全测评,信息系统安全测评,服务商资质测评,信息安全人员资质测评,19,20,信息系统保护轮廓（,ISPP,）是根据组织机构使命和所处的,运行环境，从组织机构的策略和风险的实际情况出发，对,具体信息系统安全保障需求和能力进行具体描述。,表达一类产品或系统的安全目的和要求。,ISPP,是从信息系统的,所有者（用户）的,角度规范化、结构化的描述信息系统安全保障需求。,信息系统安全保障的具体需求由,信息系统保护轮廓,(,ISPP),确定。,ISPP,20,标准化的安全保障需求文档,-ISPP,21,ISPP,的框架结构,21,22,信息系统安全目标（,ISST,）是根据信息系统保护轮廓（,ISPP,）编制的信息系统安全保障方案。,某一特定产品或系统的安全需求。,ISST,从信息系统安全保障的,建设方（厂商）的,角度制定的信息系统安全保障方案。,信息系统安全目标（,ISST,）,规范化、结构化信息系统安全保障,方案,22,23,编制信息系统安全保障目标（,ISST,）,信息系统安全保障方案,23,24,准备阶段,评估阶段,认证阶段,监督和维持阶段,信息产品安全测评流程,24,25,信息系统安全保障的评估，是从信息系统安全保障的概念出发，在信息系统的生命周期内，根据组织机构的要求在信息系统的,安全技术、安全管理和安全工程,领域内对信息系统的安全技术控制措施和技术架构能力、安全管理控制和管理能力以及安全工程实施控制措施和工程实施能力进行评估综合，从而最终得出信息系统在其运行环境中,安全保障措施满足其安全保障要求的符合性,以及,信息系统安全保障能力,的评估。,信息系统安全保障评估的内容,25,主 题,一、信息安全保障基本知识,二、信息安全保障实践,三、信息安全管理体系,四、信息安全风险管理,五、基本信息安全管理,六、重要信息安全管理措施,七、安全工程原理,八、安全工程实践,九、法律法规,十、安全标准,26,三、,信息安全管理体系,27,信息安全管理,28,组织中为了完成,信息安全目标,，针对,信息系统,，遵循安全策略，按照规定的程序，运用恰当的方法，而进行的,规划、组织、指导、协调和控制,等活动,信息安全管理工作的对象,规则,人员,目标,组织,信息输入,立法,摘要,变化？,关键活动,测量,拥有者,资 源,记录,标 准,输入,输出,生 产,经 营,过程,信息安全管理,29,信息安全管理是通过维护信息的保密性、完整性和可用性，来管理和保护组织所有的信息资产的一项体制；是组织中用于指导和管理各种控制信息安全风险的一组相互协调的活动，有效的信息安全管理要尽量做到在有限的成本下，保证安全风险控制在可接受的范围。,安全风险的基本概念,威胁,资威胁是可能导致信息安全事故和组织信息资产损失的环境或事件,威胁是利用脆弱性来造成后果,威胁举例,黑客入侵和攻击,病毒和其他恶意程序,软硬件故障,人为误操作,盗窃,网络监听,供电故障,后门,未授权访问,自然灾害如：地震、火灾,30,安全风险的基本概念,脆弱性,是与信息资产有关的弱点或安全隐患。,脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁加以利用来对信息资产造成危害。,脆弱性举例,系统漏洞,程序,Bug,专业人员缺乏,不良习惯,缺少审计,缺乏安全意识,后门,物理环境访问控制措施不当,31,信息安全的风险模型,32,没有绝对的安全，只有相对的安全,信息安全建设的宗旨之一，就是在综合考虑成本与效益的前提下，通过,恰当、足够、综合,的安全措施来控制风险，,使残余风险降低到可接受的程度,。,风险评估是信息安全管理的基础,风险评估主要对,ISMS,范围内的信息资产进行鉴定和估价，然后对信息资产面对的各种威胁和脆弱性进行评估，同时对已存在的或规划的安全控制措施进行界定。,信息安全管理体系的建立需要确定信息安全需求,信息安全需求获取的主要手段就是安全风险评估,信息安全风险评估是信息安全管理体系建立的基础，没有风险评估，信息安全管理体系的建立就没有依据。,33,信息安全管理体系的定义,信息安全管理体系（,ISMS,：,Information,Security,Management,System,）是组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和体系。它是直接 管理活动的结果，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。,34,信息安全管理体系的理念,技术因素,人的因素,管理因素,35,在信息安全问题上，要综合考虑人员与管理、技术与产品、流程与体系。信息安全管理体系是人员、管理与技术三者的互动。,信息安全管理体系建设,（一）信息安全管理体系的规划和建立（,P),（二）信息安全管理体系的实施和运行,(D),（三）信息安全管理体系的监视和评审,(C),（四）信息安全管理体系的保持和改进,(A),36,信息安全管理体系循环框架,37,GB/T22080-2008,信息安全技术 信息安全管理体系要,.信息安全管理体系是,PDCA,动态持续改进的一个循环体。,规划和建立,实施和运行,监视和评审,保持和改进,相关方,信息安全要求和期望,相关方,受控的信息安全,信息安全管理控制规范,十一项条款,（一）信息安全策略,（二）信息安全组织,（三）人力资源安全,（四）信息资产分类与控制,（五）信息安全访问控制,（六）物理与环境安全,（七）系统开发与维护,（八）通信与运营安全,（九）信息安全事故管理,（十）业务持续性管理,（十一）符合性,38,ISO 27000,系列,39,27001,ISMS,要求,27004,ISMS,度量指标和衡量,27002,ISMS,实践准则,27001,的附录,A,将两者联系起来，作为,ISMS,过程的一部分,测量,ISMS,控制措施的性能和有效性的要求将两者联系起来,27000,：,ISMS,基础和词汇,40,正在启动的新标准项目；,它将主要以,ISO/IEC 13335-1:2004,信息和通信技术安全管理第,1,部分：信息和通信技术安全管理的概念和模型,为基础进行研究；,该标准将规定,27000,系列标准所共用的基本原则、概念和词汇。,27001,：,信息安全管理体系要求,41,2005,年,10,月,15,日发布；,规定了一个组织建立、实施、运行、监视、评审、保持、改进信息安全管理体系的要求；,基于风险管理的思想，旨在通过持续改进的过程（,PDCA,模型）使组织达到有效的信息安全；,使用了和,ISO 9001,、,ISO 14001,相同的管理体系过程模型；,是一个用于认证和审核的标准；,27002,：,信息安全管理实用规则,42,即,17799,，,2005,年,6,月,15,日发布第二版；,包含有,11,个安全类别、,39,个控制目标、,138,个控制措施；,实施,27001,的支撑标准，给出了组织建立,ISMS,时应选择实施的控制目标和控制措施集；,是一个行业最佳惯例的汇总集，而不是一个认证和审核标准；,27003