信息安全管理基础课件.ppt

资源描述

2020 3 24 1 信息安全管理基础信息安全管理南昌大学软件学院 2 本章内容信息安全管理体系信息安全管理标准信息安全策略信息安全技术信息安全管理南昌大学软件学院 3 信息技术网络技术改变生活方式政府商业个人生活金融信息安全管理南昌大学软件学院 4 信息安全现状日益增长的安全威胁攻击技术越来越复杂入侵条件越来越简单信息安全管理南昌大学软件学院 5 黑客攻击猖獗网络内部外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒后门隐蔽通道蠕虫信息安全管理南昌大学软件学院 6 安全事件每年都有上千家政府网站被攻击安全影响任何网络都可能遭受入侵信息安全管理南昌大学软件学院 7 系统的定义系统是由相互作用和相互依赖的若干部分结合成的具特定功能的整体系统一般包括下列因素 1 一种产品或者组件如计算机所有的外部设备等 2 操作系统通信系统和其他相关的设备软件构成了一个组织的基本结构 3 多个应用系统或软件财务人事业务等 4 it部门的员工5 内部用户和管理层6 客户和其他外部用户7 周围环境包括媒体竞争者上层管理机构信息安全管理南昌大学软件学院 8 信息安全管理覆盖的内容非常广泛涉及到信息和网络系统的各个层面以及生命周期的各个阶段不同方面的管理内容彼此之间存在着一定的关联性它们共同构成一个全面的有机整体以使管理措施保障达到信息安全的目这个有机整体被称为信息安全管理体系信息安全管理体系信息安全管理南昌大学软件学院 9 信息系统安全体系结构信息安全管理南昌大学软件学院 10 定义信息安全管理体系 InformationSecurityManagementSystem ISMS 是组织在整体或特定范围内建立的信息安全方针和目标以及完成这些目标所用的方法和手段所构成的体系信息安全管理体系是信息安全管理活动的直接结果表示为方针原则目标方法计划活动程序过程和资源的集合信息安全管理体系定义信息安全管理南昌大学软件学院 11 建立信息安全管理体系的意义 ISMS是组织整体管理体系的一部分是组织在整体或特定范围内建立信息安全的方针和目标以及完成这些目标所用的方法的体系安全管理体系是安全技术体系真正有效发挥保护作用的重要保障安全管理体系的涉及立足于总体安全策略并与安全技术体系相互配合增强技术防护体系的效率和效果同时也弥补当前技术无法完全解决的安全缺陷信息安全管理南昌大学软件学院 12 强化员工的信息安全意识规范组织信息安全行为促使管理层贯彻信息安全保障体系对组织的关键信息资产进行全面系统的保护维持竞争优势在信息系统受到侵袭时确保业务持续开展并将损失降到最低程度使组织的生意伙伴和客户对组织充满信心如果通过体系认证表明体系符合标准证明组织有能力保障重要信息可以提高组织的知名度与信任度组织建立实施与保持ISMS将会产生如下作用信息安全管理南昌大学软件学院 13 ISO27001是建立和维护信息安全管理体系的标准它要求应该通过这样的过程来建立ISMS框架确定体系范围制定信息安全侧率明确管理职责通过风险评估确定控制目标和控制方式 ISO27001非常强调信息安全管理过程中文件化的工作 ISMS的文件体系应该包括安全策略适用性声明选择和未选择的控制目标和控制措施实施安全控制所需的程序文件 ISMS管理和操作程序以及组织围绕ISMS开展的所有活动的证明材料信息安全管理体系标准信息安全管理南昌大学软件学院 14 信息安全管理的基本原则一总体原则1 主要领导负责原则2 规范定级原则3 以人为本原则4 适度安全原则5 全面防范突出重点原则6 系统动态原则7 控制社会影响原则二安全策略管理1 分权制衡2 最小特权3 选用成熟技术4 普遍参与信息安全管理南昌大学软件学院 15 信息安全保证工作事关大局企业组织各级领导应该把信息安全列为其最重要的工作内容之一并负责成提高加强内部人员的安全意识组织有效的技术和管理队伍调动优化配置必要的资源和经费协调信息安全管理工作与各部门工作的关系确保信息安全保障工作的落实和效果主要领导负责原则信息安全管理南昌大学软件学院 16 规范定级原则分级分类是信息安全保障工作有的放矢的前提是界定和保护重点信息系统的依据只有通过合理规范的分级分类才能落实重点投资重点防护信息安全管理南昌大学软件学院 17 以人为本原则信息安全保障在很大程度上受制于人为的因素加强信息安全教育培训和管理强化安全意识和法制观念提升职业道德掌握安全技术确保措施落实是做好信息安全管理工作的重要保证信息安全管理南昌大学软件学院 18 适度安全原则安全需求的不断增加和现实资源的局限性是安全决策处于两难境地恰当地平衡安全投入与效果是从全局上处置好安全管理工作的出发点信息安全管理南昌大学软件学院 19 全面防范突出重点的原则全面防范是保障信息系统安全的关键它需要从人员管理和技术等方面在预警保护检测反应恢复和跟踪等多个环节上采用多种技术实现同时又要从组织和机构的实际情况出发突出自身的安全管理重点信息安全管理南昌大学软件学院 20 系统动态原则信息安全管理工作的系统特征突出要按照系统工程的要求注意各方面各层次各时期的相互协调匹配和衔接以便体现系统集成效果和前期投入的效益同时信息安全又是一种状态和动态反馈过程随着安全利益和系统脆弱性时空分布的变化威胁程度的提高系统环境的变化以及人员对系统安全认识的深化等应及时地将现有的安全策略风险接受程度和保护措施进行复查修改调整以至提升安全管理等级信息安全管理南昌大学软件学院 21 控制社会影响原则对安全事件的处理应有授权者适时披露并发布准确一致的有关信息避免带来不良的社会影响信息安全管理南昌大学软件学院 22 分权制衡策略减少未授权的修改或滥用系统资源的机会对特定职能或责任领域的管理能力实施分离独立审计避免操作权力过分集中信息安全管理南昌大学软件学院 23 最小特权策略任何实体如用户管理员进程应用或系统仅享有该实体需要完成其任务所必需的特权不应享有任何多余的特权信息安全管理南昌大学软件学院 24 选用成熟技术策略成熟的技术提供了可靠性稳定性保证采用新技术时要重视其成熟的程度如果新技术势在必行应该首先局部试点然后逐步推广减少或避免可能出现的损失信息安全管理南昌大学软件学院 25 普遍参与策略不论信息系统的安全等级如何要求信息系统所涉及的人员普遍参与并与社会相关方面协同协调共同保障信息系统安全信息安全管理南昌大学软件学院 26 信息安全管理的目标如下信息安全管理南昌大学软件学院 27 信息安全管理内容信息安全管理南昌大学软件学院 28 1 通过信息安全管理过程完成信息安全管理方面的要求 2 通过信息安全管理过程驱动信息安全技术的实施达到信息安全在技术方面的要求信息安全管理的基本任务信息安全管理南昌大学软件学院 29 信息安全方针与策略信息安全方针和策略主要包括对信息安全进行总体性指导和规划的管理过程这些过程包括安全方针和策略资金投入管理和信息安全规划等信息安全管理南昌大学软件学院 30 安全方针和策略方针和策略属于一般管理中的策略管理方针和策略是信息安全保障工作的整体性指导和要求安全方针和策略需要有相应的制定审核和改进过程信息安全管理南昌大学软件学院 31 资金投入管理信息安全保障工作需要有足够的资金支撑但从另一个方面来讲绝对的安全是无法实现的因此需要考虑资金投入和经济效益之间的平衡信息安全管理南昌大学软件学院 32 信息安全规划信息安全保障工作是一项涉及面较广的工作同时也是一项持续的长期的工作因此信息安全保障工作需要有长期中期短期的计划信息安全管理南昌大学软件学院 33 信息安全人员和组织人员和组织管理是信息安全管理的基本过程人员和组织是执行信息安全保障工作的主体信息安全管理南昌大学软件学院 34 在人员和组织管理方面最基本的管理包括 1 保障有足够的人力资源从事信息安全保障工作 2 确保人员有明确的角色和责任 3 保证从业人员经过了适当的信息安全教育和培训有足够的安全意识 4 机构中的信息安全相关人员能够在有效的组织结构下展开工作信息安全管理南昌大学软件学院 35 基于信息系统各个层次的安全管理信息系统是有层次的因此在信息系统的安全保护中也存在层次的特点对应各个层次也有相应的信息安全管理工作基于信息系统的各个层次可相应在如下层次中开展信息安全管理环境和设备安全网络和通信安全主机和系统安全应用和业务安全数据安全信息安全管理南昌大学软件学院 36 环境和设备安全也称为物理安全在这类安全管理过程中主要是涉及信息系统和信息工作所在的环境安全以及信息设备方面的安全另外文档和介质是存储数据的特殊载体因此也应当对其进行适度的管理物理安全是上层安全的基础信息安全管理南昌大学软件学院 37 网络和通信安全网络系统和通信系统使得信息系统可以覆盖各个地理位置和业务场所网络和通信安全特别是全程全网的安全是信息安全保障工作的关键环节信息安全管理南昌大学软件学院 38 主机和系统安全主机及主机上的操作系统数据库管理系统以及各种支撑系统等是承载业务系统的基础平台主机和系统是信息系统威胁的主要目标之一信息安全管理南昌大学软件学院 39 应用和业务安全应用和业务系统是最终实现各项业务工作的上层系统对相应应用系统的安全管理要与具体的业务特点相结合信息安全管理南昌大学软件学院 40 数据安全数据安全在信息安全中占有非常重要的地位数据的保密性数据的完整性数据内容的真实性和可靠性等安全特性的要求在业务中都非常突出信息安全管理南昌大学软件学院 41 基于信息系统生命周期的安全管理信息系统是由生命周期的信息安全保障也涉及到信息系统生命周期的各个阶段信息系统生命周期可以划分为两个阶段 1 系统投入前的工程设计和开发阶段 2 系统的运行和维护阶段信息安全管理南昌大学软件学院 42 信息系统安全和信息系统本身的三同步 1 同步规划2 同步建设3 同步运行信息安全管理南昌大学软件学院 43 项目工程安全管理在信息系统投入运行前信息系统安全的能力强度脆弱性可改进的潜力等方面有相当的部分已经确定和定型因此对于一个信息系统不应当在系统建设完成后再考虑信息安全问题而应当从系统建设的初期开始在建设的整个过程中同步考虑信息安全管理南昌大学软件学院 44 日常运行与维护的安全管理一个信息系统及其信息安全系统建设完成后其安全工作并没有结束真正的安全效果需要通过日常运行中的安全管理来实现工程过程中奠定的信息安全基础需要通过管理手段加以发挥信息安全管理南昌大学软件学院 45 配置管理和变更管理配置管理和变更管理是任何形式的管理中不可或缺的管理过程在信息安全管理中这两方面管理的作用尤为突出 1 配置管理从信息安全管理的角度看应当对被保护的资产以及相应的保护措施进行配置描述并应当对各个配置描述进行持续的跟踪管理 2 变更管理人员设备流程等各个方面的变化都可能导致信息安全风险的变化因此要对信息系统中重要的变更进行管理需要建立正规的变更流程来控制变更可能导致的风险信息安全管理南昌大学软件学院 46 文档化和流程规范化文档化是信息安全管理工作的重要部分只有将各种管理办法管理过程管理要求等通过文档的形式明确下来才能保证信息安全管理工作进一步得到落实和贯彻业务的运行以及单位自身的正常运营需要通过许多操作过程流程来具体实现管理流程的规范化程度可以体现管理的水平信息安全管理南昌大学软件学院 47 新技术新方法的跟踪和采用不断运用新技术新方法是提高业务能力和竞争力水平的重要手段因此对于新技术和新方法要不断跟踪并有计划地将新技术和新方法应用到业务系统中甚至为了保证竞争力的持续提高还要进行前瞻性的技术和方法研究但是新的技术和方法可能带来新的风险甚至一些风险在该技术没有得到广泛应用和成熟化之前很难被发现因此在采取任何较新的技术和方法之前都要进行严格的安全评估信息安全管理南昌大学软件学院 48 风险管理风险管理是基本管理过程之一信息安全风险管理是整体风险管理的一个有机组成部分是其在信息化领域的具体体现在信息安全风险管理过程中要实施如下工作 1 资产鉴别分类和评价2 威胁鉴别和评价3 脆弱性评估评估防护措施的效力和存在的脆弱性4 安全风险评估和评级综合资产威胁脆弱性的评估和评价完成最终的风险评估和评级 5 决策并实施风险处理措施根据风险评估的结果作出风险处理和控制的相关决策并投入实施信息安全管理南昌大学软件学院 49 业务连续性管理业务连续性管理不仅仅是灾难恢复危机管理风险管理控制或者技术恢复也不仅仅是一个专业的技术问题更重要的是一个业务驱动和高层驱动的管理问题它是一个全盘的管理过程重在识别潜在的影响建立整体的恢复能力和顺应能力在危机或灾害发生时保护信息系统所有者的声誉和利益信息安全管理南昌大学软件学院 50 符合性审核符合性审核是确保整体管理工作有效实施的重要管理过程此类管理过程可以将信息安全管理工作纳入到一个良性的持续改进的循环中需要考虑的审核内容包括法律和法规内部的方针和制度技术标准以及其他需要遵循的各种范围要求信息安全管理南昌大学软件学院 51 信息安全管理体系构成 1 方针与策略管理2 风险管理3 人员与组织管理4 环境与设备管理5 网络与通信管理6 主机与系统管理 7 应用于业务管理8 数据文档介质9 项目工程管理10 运行维护管理11 业务连续性管理12 合规性管理信息安全管理南昌大学软件学院 52 数据文档介质管理方针和策略管理应用与业务管理主机与系统管理网络与通信管理环境与设备管理风险管理业务连续性管理项目工程管理运行维护管理人员和组织管理合规性管理信息安全管理体系构成信息安全管理南昌大学软件学院 53 方针与策略管理确保企业组织拥有明确的信息安全方针以及配套的策略和制度以实现对信息安全工作的支持和承诺保证信息安全的资金投入信息安全管理南昌大学软件学院 54 风险管理信息安全建设不是避免风险的过程而是管理风险的过程没有绝对的安全风险总是存在的信息安全体系建设的目标就是把风险控制在可以接受的范围之内风险管理同时也是一个动态持续的过程信息安全管理南昌大学软件学院 55 人员与组织管理建立组织机构明确人员岗位职责提供安全教育和培训对第三方人员进行管理协调信息安全监管部门与行内其他部门之间的关系保证信息安全工作的人力资源要求避免由于人员和组织上的错误产生信息安全风险信息安全管理南昌大学软件学院 56 环境与设备管理控制由于物理环境和硬件设施的不当所产生的风险管理的内容包括物理环境安全设备安全介质安全等信息安全管理南昌大学软件学院 57 网络与通信安全控制保护网络和通信系统防止受到破坏和滥用避免和降低由于网络和通信系统的问题对业务系统的损害信息安全管理南昌大学软件学院 58 主机与系统管理控制和保护主机及其系统防止受到破坏和滥用避免和降低由此对业务系统的损害信息安全管理南昌大学软件学院 59 应用与业务管理对各类应用和业务系统进行安全管理防止受到破坏和滥用信息安全管理南昌大学软件学院 60 数据文档介质管理采用数据加密和完整性保护机制防止数据被窃取和篡改保护业务数据的安全信息安全管理南昌大学软件学院 61 项目工程管理保护信息系统项目过程的安全确保项目的成果是可靠的安全系统信息安全管理南昌大学软件学院 62 运行维护管理保护信息系统在运行期间的安全并确保系统维护工作的安全信息安全管理南昌大学软件学院 63 业务连续性管理通过设计和执行业务连续性计划确保信息系统在任何灾难和攻击下都能够保证业务的连续性信息安全管理南昌大学软件学院 64 合规性管理确保信息安全保障工作符合国家法律法规的要求并且信息安全方针规定和标准得到了遵循信息安全管理南昌大学软件学院 65 12项信息安全管理类的作用关系 1 方针与策略管理是整个信息安全管理工作的基础和整体指导对于其他所有的信息安全管理类都有指导和约束的关系信息安全管理南昌大学软件学院 66 12项信息安全管理类的作用关系 2 人员与组织管理是要根据方针和策略来执行的信息安全管理工作信息安全管理南昌大学软件学院 67 12项信息安全管理类的作用关系 3 合规性管理指导如何检查信息安全管理工作的效果特别是对于国家法律法规方针政策和标准符合程度的检验信息安全管理南昌大学软件学院 68 12项信息安全管理类的作用关系 4 根据方针与策略由人员与组织实施信息安全管理工作在实施中主要从两个角度来考虑问题即风险管理和业务连续性管理信息安全管理南昌大学软件学院 69 12项信息安全管理类的作用关系 5 根据信息系统的生命周期可以将信息系统分为两个阶段即项目工程开发阶段和运行维护阶段这两个信息安全管理类体现了信息系统和信息安全工作的生命周期特性信息安全管理南昌大学软件学院 70 第二节信息安全管理标准一 BS7799二其他标准信息安全管理南昌大学软件学院 71 BS7799简介 BS7799概述 BS7799是英国标准委员会 BritshStandardsInsstitute BSI 针对信息安全管理而制定的标准分为两个部分第一部分被国际标准化组织ISO采纳成为ISO IEC17799 2005标准的部分是信息安全管理实施细则 CodeofPracticeforInformationSecurityManage ment 主要供负责信息安全系统开发的人员参考使用其主要内容分为11方面提供了133项安全控制措施最佳实践第二部分被国际标准化组织ISO采纳成为ISO IEC20071 2005标准的部分是建立信息安全管理体系 ISMS 的一套规范 SpecificationforInformationSecurityManagementSystems 其中详细说明了建立实施和维护信息安全管理体系的要求可以用来指导相关人员应用ISO IEC17799 2005 其最终目的在于建立适合企业需要的信息安全管理体系信息安全管理南昌大学软件学院 72 BS7799发展历程 BS7799最初由英国贸工部立项是业界政府和商业机构共同倡导的旨在开发一套可供开发实施和衡量有效信息安全管理实践的通用框架 1995年 BS7799 1 1995 信息安全管理实施细则首次发布1998年 BS7799 2 1998 信息安全管理体系规范发布1999年4月 BS7799的两个部分被修订形成了完整的BS7799 1 19992000年国际信息化标准组织将其转化为国际标准即ISO IEC17799 2000 信息技术信息安全管理实施细则 2002年BSI对BS7799 2 1999进行了重新修订正式引入PDCA过程模型 2004年9月BS7799 2 2002正式发布2005年6月 ISO IEC17799 2000经过改版形成了新的ISO IEC17799 2005 同年10月推出了ISO IEC27001 2005目前有20多个国家和地区引用BS7799作为本国地区标准有40多个国家和地区开展了与此相关的业务在我国ISO17799 2000已经被转化为GB T19716 2005 信息安全管理南昌大学软件学院 73 BS7799的内容 BS7799 1 信息安全管理实施规则主要是给负责开发的人员作为参考文档使用从而在他们的机构内部实施和维护信息安全 BS7799 2 信息安全管理体系规范详细说明了建立实施和维护信息安全管理体系的要求指出实施组织需要通过风险评估来鉴定最适宜的控制对象并根据自己的需求采取适当的安全控制信息安全管理南昌大学软件学院 74 信息安全管理实施细则将信息安全管理内容划分为11个方面 39个控制目标 133项控制措施供信息安全管理体系实施者参考使用这11个方面包括 1 安全策略 SecurityPolicy 2 组织信息安全 OrganizingInformationSecurity 3 资产管理 AssetMangement 4 人力资源安全 HumanResourcesSecurity 5 物理与环境安全 PhysicalandEnvironmentalSecurity BS7799 1 ISO IEC17799 信息安全管理南昌大学软件学院 75 6 通信与操作管理 CommunicationandOperationManagement 7 访问控制 AccessControl 8 信息系统获取开发与维护 InformationSystemsAcquisition DevelopmentandMaintenance 9 信息安全事件管理 InformationSecurityIncidentManagement 10 业务连续性管理 BusinessContinuityManagement 11 符合性 Compliance 信息安全管理南昌大学软件学院 76 安全策略包括信息安全策略文件和信息安全策略复查组织安全包括在组织内建立发起和控制信息安全实施的管理框架维护被外部伙伴访问处理和管理的组织的信息处理设施和信息资产的安全资产管理包括建立资产清单进行信息分类与分级人力资源安全包括岗位安全责任和人员录用安全要求安全教育与培训安全意识离职及变更职位等 BS7799 1 ISO IEC17799 信息安全管理南昌大学软件学院 77 物理与环境安全包括安全区域控制设备安全管理等通信与操作管理包括操作程序和责任系统规划和验收防范恶意软件内务管理网络管理介质安全管理信息与软件交换安全访问控制包括访问控制策略用户访问控制网络访问控制操作系统访问控制应用访问控制监控与审计移动和远程访问 BS7799 1 ISO IEC17799 信息安全管理南昌大学软件学院 78 信息系统获取开发与维护安全需求分析安全机制设计应用系统安全密码控制系统文件安全开发和支持过程的安全控制信息安全事件管理报告信息安全事件安全缺陷责任和程序从信息安全事件吸取教训证据收集业务连续性管理业务连续性计划的制订演习审核改进符合性管理符合法律法规符合安全策略等 BS7799 1 ISO IEC17799 信息安全管理南昌大学软件学院 79 对控制措施的描述不够细致导致缺乏可操作性 133项控制措施未必适合全部的组织应当有选择的参考使用 133项控制措施未必全面可以根据实际情况进行增补 BS7799 1 ISO IEC17799 信息安全管理南昌大学软件学院 80 ISO IEC17799 2005列举了十项适用于几乎所有组织和大多数环境的控制措施 1 与法律相关的控制措施 1 知识产权遵守知识产权保护和软件产品保护的法律 2 保护组织的记录保护重要的记录不丢失不被破坏和伪造 3 数据保护和个人信息隐私遵守所在国的数据保护法律 BS7799 1 ISO IEC17799 信息安全管理南昌大学软件学院 81 2 与最佳实践相关的控制措施 1 信息安全策略文件高管批准发布信息安全策略文件并广泛告知 2 信息安全责任的分配清晰地所有的信息安全责任 3 信息安全意识教育和培训全体员工及相关人员应该接受恰当的意识培训 BS7799 1 ISO IEC17799 信息安全管理南昌大学软件学院 82 4 正确处理应用程序防止应用程序中的信息出错丢失或被非授权篡改及误用 5 漏洞管理防止利用已发布的漏洞信息来实施破坏 6 管理信息安全事件和改进确保采取一致和有效的方法来管理信息安全事件 7 业务连续性管理减少业务活动中断保护关键业务过程不受重大事故或灾难影响 BS7799 1 ISO IEC17799 信息安全管理南昌大学软件学院 83 信息安全管理体系规范 SpecificationforInformationSecurityManagementSystem 说明了建立实施维护并持续改进ISMS的要求指导实施者如何利用BS7799 1来建立一个有效的ISMSBSI提供依据BS7799 2所建立ISMS的认证 BS7799 2 ISO27001 信息安全管理南昌大学软件学院 84 建立ISMS PLAN 定义ISMS的范围和策略识别和评估风险评估现有保证措施准备适用性说明取得管理层对残留风险的认可并获得实施ISMS的授权 BS7799 2 ISO27001 信息安全管理南昌大学软件学院 85 实施ISMS DO 制订并实施风险处理计划实施安全控制措施实施安全意识和安全教育培训实施检测和响应安全机制 BS7799 2 ISO27001 信息安全管理南昌大学软件学院 86 监视和复查ISMS CHECK 实施监视程序和控制定期复审ISMS的效力定期进行ISMS内部审计复查残留风险和可接受风险的水平 BS7799 2 ISO27001 信息安全管理南昌大学软件学院 87 改进ISMS ACT 对ISMS实施可识别的改进实施纠正和预防措施确保改进成果满足预期目标 BS7799 2 ISO27001 信息安全管理南昌大学软件学院 88 强调文档化管理的重要作用文档体系包括安全策略适用性声明实施安全控制的规程文档ISMS管理和操作规程与ISMS有关的其它文档 BS7799 2 ISO27001 信息安全管理南昌大学软件学院 89 建立ISMS的过程制订安全策略确定体系范围明确管理职责通过安全风险评估确定控制目标和控制措施复查维护与持续改进 BS7799 2 ISO27001 信息安全管理南昌大学软件学院 90 二其他标准 1 PD3000BS7799标准本身是不具有很强的可实施性的为了指导组织更好地建立ISMS并应对BS7799认证审核的要求 BSIDISC提供了一组有针对性的指导文件即PD3000系列 2020 3 24 91 2 CC 1 信息技术产品和系统安全性测评标准是信息安全标准体系中非常重要的一个分支是目前国际上最通行的信息技术产品及系统安全性测评标准也是信息技术安全性评估结果国际互认的基础 2 CC ISO IEC15408 GB T18336是同一个标准 3 CC的组要目标读者是用户开发者和评估者 4 与BS7799标准相比 CC的侧重点放在系统和产品的技术指标评价上组织在依照BS7799标准来实施ISMS时一些牵涉系统和产品安全的技术要求可以借鉴CC标准信息安全管理南昌大学软件学院 92 3 ISO IECTR13335 1 信息和通信技术安全管理是由ISO IECJTC1制定的技术报告是一个信息安全管理方面的指导性标准其目的是为有效实施IT安全管理提供建议和支持 2 对信息安全风险及其构成要素间关系的描述非常具体对风险评估方法过程的描述很清晰可用来指导实施信息安全管理南昌大学软件学院 93 4 SSE CMM 1 SSE CMM模型是CMM在系统安全工程这个具体领域应用而产生的一个分支是美国国家安全局 NSA 领导开发的是专门用于系统安全工程的能力程度度模型 2 ISO IECDIS21827信息技术系统安全工程能力成熟度模型 3 SSE CMM将系统安全工程成熟度划分为5个等级 4 SSE CMM可以作为评估工程实施组织如安全服务提供商能力与资质的标准我国国家信息安全测评认证中心在审核专业机构信息安全服务资质时基本上就是依据SSE CMM来审核并划分等级的信息安全管理南昌大学软件学院 94 5 NISTSP800系列美国国家标准技术委员会 NIST 发布的SpecialPublication800文档是一系列针对信息安全技术和管理领域的实践参考指南 6 ITIL信息技术基础设施库 ITInfrastructureLibrary 是由英国中央计算机与电信局 CCTA 发布的关于IT服务管理最佳实践的建议和指导方针旨在解决IT服务质量不佳的情况信息安全管理南昌大学软件学院 95 7 CobiT信息及相关技术控制目标 ControlObjectivesforInformationandrelatedTechnology CobiT 是由美国信息系统审计与控制协会针对IT过程管理制定的一套基于最佳实践的控制目标是目前国际上公认的最先进最权威的安全与信息技术管理和控制标准信息安全管理南昌大学软件学院 96 第三节信息安全策略一信息安全策略概述二制定信息安全策略三确定信息安全策略保护的对象四主要信息安全策略五信息安全策略的执行和维护信息安全管理南昌大学软件学院 97 安全策略包括总体方针指导性的战略纲领文件阐明了企业对于信息安全的看法和立场信息安全的目标和战略信息安全所涉及的范围管理组织构架和责任认定以及对于信息资产的管理办法等内容针对特定问题的具体策略阐述了企业对于特定安全问题的声明立场适用办法强制要求角色责任认定等内容针对特定系统的具体策略更为具体和细化阐明了特定系统与信息安全有关的使用和维护规则等内容信息安全管理南昌大学软件学院 98 安全策略的特点力求全面和明确不必过于具体和深入需要一个逐渐完善的过程不可能一蹴而就应当保持适当的稳定性信息安全管理南昌大学软件学院 99 信息安全策略定义信息安全策略是一组经过高级管理层批准正式发布和实施的纲领性文件描述了一个企业组织的高层安全目标它描述应该做什么而不是如何去做一份信息安全策略就像是一份工程管理计划书这意味着它隐藏了执行的细节信息安全策略是一种处理安全问题的管理策略的描述安全策略必须遵循三个基本原则确定性完整性和有效性信息安全管理南昌大学软件学院 100 信息安全策略的重要性信息安全策略是位于核心地位的方针和政策的集合虽然它并不涉及具体的执行细节但是明确描述了安全保护的对象范围能够保证后续的控制措施被合理的执行能够对安全产品的选择及管理实践起到指导和约束作用遵循安全策略的信息系统建设和管理将会形成一个统一的有机整体使得系统具有更好的安全性信息安全管理南昌大学软件学院 101 制定信息安全策略的时间理想情况下制定信息安全策略的最佳时间是在发生第一起网络安全事故之前信息安全管理南昌大学软件学院 102 安全员需要了解的几个问题 1 任何业务动作过程均存在不同程度的风险 2 保险公司不愿向没有信息安全策略的企业投保 3 一个包括软件开发策略在内的安全策略对与开发更安全的系统是有指导作用的 4 在安全事故发生后安全事故很可能重复发生所以第一次发生后实施安全策略尽管太晚却十分必要 5 发生安全事故制定安全策略时不要把重点放在攻破的地方要从全局考虑安全问题 6 安全策略给用户的印象是企业对安全问题非常认真 7 当企业为政府或机关工作或与其合作时一份安全策略应该是首先引起注意的事项 8 向用户展示企业质量标准控制所要求的可评价安全程序来说安全策略可以作为该程序的指导方针信息安全管理南昌大学软件学院 103 信息安全策略开发流程 1 确定信息安全策略的范围2 风险评估分析或者审计3 信息安全策略的审查批准和实施信息安全管理南昌大学软件学院 104 制定信息安全策略制定信息安全策略的原则 1 先进的网络安全技术是网络安全的根本保证2 严格的管理是确保信息安全策略落实的基础3 严格的法律法规是网络安全的坚强后盾信息安全管理南昌大学软件学院 105 先进的网络安全技术是网络安全的根本保证用户对自身面临的威胁进行风险评估决定其所需的安全服务种类选择相应的安全机制然后集成先进的安全技术形成一个全方位的安全系统信息安全管理南昌大学软件学院 106 严格的管理是确保信息安全策略落实的基础各计算机使用机构企业和单位应建立相应的网络安全管理办法加强内部管理建立合适的网络安全管理系统加强用户管理和授权管理建立安全审计和跟踪体系提高整体网络安全意识信息安全管理南昌大学软件学院 107 严格的法律法规是网络安全的坚强后盾面对日趋严重的网络犯罪必须建立与网络安全相关的法律法规使非法分子不会轻易发动攻击信息安全管理南昌大学软件学院 108 信息安全策略的设计范围一个合理的信息安全策略体系包括三个不同层次的策略文档 1 总体安全策略2 针对特定问题的具体策略3 针对特定系统的具体策略信息安全管理南昌大学软件学院 109 总体安全策略文档阐述指导性的战略纲领文件阐明了企业对与信息安全的看法和立场信息安全的目标和战略信息安全所涉及的范围管理组织架构和责任认定以及对与信息资产的管理办法等内容信息安全管理南昌大学软件学院 110 针对特定问题的具体策略文档阐述了企业对于特定安全问题的声明立场适用办法强制要求角色责任的认定等内容例如针对Internet访问操作计算机和网络病毒防治口令的使用和管理等特定问题制定用针对性的安全策略信息安全管理南昌大学软件学院 111 针对特定系统的具体策略文档针对特定系统的具体策略更为具体化和详细化阐明了特定系统与信息安全有关的使用和维护规则等内容如防火墙配置策略电子邮件安全策略等等信息安全管理南昌大学软件学院 112 信息安全策略的15个制定范围 1 物理安全策略2 网络安全策略3 数据加密策略4 数据备份策略5 病毒防护策略6 系统安全策略7 身份认证及授权策略8 灾难恢复策略 9 事故处理紧急响应策略10 安全教育策略11 口令管理策略12 补丁管理策略13 系统变更控制策略14 商业伙伴客户关系策略15 复查审计策略信息安全管理南昌大学软件学院 113 信息安全策略信息安全管理南昌大学软件学院 114 物理安全策略物理安全策略包括环境安全设备安全媒体安全信息资产的物理分布人员的访问控制审计纪录异常情况的追查等信息安全管理南昌大学软件学院 115 网络安全策略网络安全策略包括网络拓扑结构网络设备的管理网络安全访问控制防火墙入侵检测系统 VPN等安全扫描远程访问不同级别网络的访问控制方式识别认证机制等等信息安全管理南昌大学软件学院 116 数据加密策略数据加密策略包括加密算法适用范围密钥交换和管理等信息安全管理南昌大学软件学院 117 数据备份策略数据备份策略包括适用范围备份方式备份数据的安全储存备份周期负责人等信息安全管理南昌大学软件学院 118 病毒防护策略病毒防护策略包括防病毒软件的安装配置对软盘使用网络下载等作出的规定信息安全管理南昌大学软件学院 119 系统安全策略系统安全策略包括WWW访问控制策略数据库系统安全策略邮件系统安全策略应用服务器系统安全策略个人桌面系统安全策略其他业务相关系统安全策略等信息安全管理南昌大学软件学院 120 身份认证及授权策略身份认证及授权策略包括认证及授权机制方式审计记录等信息安全管理南昌大学软件学院 121 灾难恢复策略灾难恢复策略包括责任人员恢复机制方式归档管理硬件软件等信息安全管理南昌大学软件学院 122 事故处理紧急响应策略事故处理紧急响应策略包括响应小组联系方式事故处理计划控制过程等信息安全管理南昌大学软件学院 123 安全教育策略安全教育策略包括安全策略的发布宣传执行效果的监督安全技能的培训安全意识的教育等信息安全管理南昌大学软件学院 124 口令管理策略口令管理策略包括口令管理方式口令设置规则口令适应规则等信息安全管理南昌大学软件学院 125 补丁管理规则补丁管理规则包括系统补丁的更新测试安装等信息安全管理南昌大学软件学院 126 系统变更控制策略系统变更控制策略包括设备软件配置数据变更管理一致性管理等信息安全管理南昌大学软件学院 127 商业伙伴客户关系策略商业伙伴客户关系策略包括合同条款安全策略客户服务安全建议等信息安全管理南昌大学软件学院 128 复查审计策略复查审计策略包括对安全策略的定期复查对安全控制及过程的重新评估对系统日志记录的审计对安全技术反战的跟踪等信息安全管理南昌大学软件学院 129 有效的信息安全策略的特点 1 得到大部分需求支持并同时能够维护企业利益 2 清晰无须借助过多的需求文档描述 3 提供框架结构和要求以进行用户培训引导接受培训的人员确定在构建安全计算环境的最重要因素信息安全管理南昌大学软件学院 130 完整信息安全策略的覆盖范围 SANS模型策略列表 1 可接受的加密控制 2 可接受的使用控制 3 模拟 ISDN线路和拨入访问控制 4 防病毒流程 5 应用程序提供上 ASP 控制 6 引入评估控制 7 审核和风险评估 8 自动转发电子邮件控制 9 数据库信任编码 10 Extranet访问控制 11 敏感信息控制 12 InternetDNS设备控制 13 实验室管理 14 口令保护 15 远程访问和VPN安全控制16 路由器安全管理 17 服务器安全管理 18 第三方网络连接协议 19 无线通信控制信息安全管理南昌大学软件学院 131 可接受的加密控制有助于保证企业应用的加密方法已经通过了公共评估并业界已经证明是有效的他能够解决合法性问题尤其是考虑到出口法律条款时信息安全管理南昌大学软件学院 132 可接受的使用控制定义了什么是企业计算资源的可接收使用和不可接受使用的状态这些企业计算资源包括隐私秘密信息版权主动提供的通讯防止硬件盗窃自由言论和相关问题等该特定策略能够扩展AUP的应用信息安全管理南昌大学软件学院 133 模拟 ISDN线路和拨入访问控制有助于保护系统免受拨入访问而导致的系统入侵以及拨出访问而产生的系统泄密等问题还可以通过与业务案例紧密联系的批准流程和严格的运算要求控制预定传真和调制解调器线路的人员此外安全策略还定义了包括含拨入访问的流程正确赋予类似访问权限的规则以及不使用拨入访问的情况信息安全管理南昌大学软件学院 134 防病毒流程该流程提供了防病毒和相关问题如垃圾邮件邮件链可执行的电子邮件附件等未知可下栽的原地址感染的软盘可写的文件共享和非频繁的备份操作等建议虽然文档中的信息仅作为指导使用建议仅是推荐使用并不具有强制性但是许多企业然希望将其作为安全策略使用所有要求都是在企业内部必须采用的信息安全管理南昌大学软件学院 135 应用程序提供上 ASP 控制当企业需要恰当地将项目运作放在企业外部进行主机托管时则可以定义确定大量敏感信息的规则与之相关的文档定义了基本安全标准是作为企业外部主机托管的ASP所必需考虑遵循的要求信息安全管理南昌大学软件学院 136 引入评估控制定义了企业如何从认可的企业接受计算机相关设备提供替换重新映像或审核系统与网络组件并重新建立Internet连接的指南信息安全管理南昌大学软件学院 137 审核和风险评估通过增强安全小组的处理能力在任何企业所有的计算机系统或组件中进行安全性审核和风险评估信息安全管理南昌大学软件学院 138 自动转发电子邮件控制禁止未授权向外部系统转发电子邮件信息安全管理南昌大学软件学院 139 数据库信任编码指定程序所使用的用户名和口令登录数据库并且应该安全保存并可由程序源代码外部调用信息安全管理南昌大学软件学院 140 Extranet访问控制定义了第三方如何访问企业Internet的要求需要企业评估第三方安全性和业务案例以确认系统访问信息安全管理南昌大学软件学院 141 敏感信息控制定义敏感信息级别如限制秘密仅供内部使用和公开等为每个级别定义了适当的格式的数据存储和分发信息安全管理南昌大学软件学院 142 InternetDMZ设备控制建立部署在企业专用网络在非严格要求区域 Demilita rizedZone DMZ 所有设备所必须满足的标准信息安全管理南昌大学软件学院 143 实验室管理对于具有开发实验室的企业来讲必须制定宽松的策略以进行开发工作提供多个策略定义相关的标准并提出附加要求如指定一名与管理员单一联系的人员信息安全管理南昌大学软件学院 144 口令保护设定口令管理标准如最长的口令有效时间全球口令数据库创建健壮口令的规则以及禁止口令共享和泄漏信息安全管理南昌大学软件学院 145 远程访问和VPN安全控制规定了所有类型个人执行远程访问的各种形式总体来讲扩展了所有相关的内不策略覆盖远程访问该策略提供了更多用于虚拟个人网络 VPN 的规则例如要求所有活动的网络流量都要通过VPN传输而不是同时通过VPN和不安全的网络连接传输信息安全管理南昌大学软件学院 146 路由器安全控制该策略为企业设定路由器配置标准如包过滤规则以防止网络欺诈简单的网络管理协议 SNMP 通信和无侵入信号等信息安全管理南昌大学软件学院 147 服务器安全管理建立服务器配置和注册的标准如禁止不必要的设备强制设备注册定期不定修复与其他服务器的信任限制和服务其硬件的物理安全等信息安全管理南昌大学软件学院 148 第三方网络连接协议该协议是企业与提供相应网络连接的第三方之间的合同信息安全管理南昌大学软件学院 149 无线通讯控制定义企业内部部署未注册无线访问控制点的最少加密标准和限制信息安全管理南昌大学软件学院 150 确定信息安全策略保护的对象一信息系统的硬件与软件二信息系统的数据三人员信息安全管理南昌大学软件学院 151 信息系统的硬件与软件保护硬件和软件是支撑商业运行的平台它们应该受到策略保护所以拥有一份完整的清单是非常重要的 1 硬件 CPU 主板键盘显示器工作站个人电脑打印机磁盘驱动器通信线路终端服务器路由器诊断设备等 2 软件源程序目标程序工具程序诊断程序操作系统通信程序等信息安全管理南昌大学软件学院 152 信息系统的数据保护编写策略的时候有许多关于数据处理的事情是必须考虑的策略必须考虑到数据是如何处理的怎么保证数据的完整性和保密性除此之外还必须考虑到如何监测数据的处理数据是组织的命脉所以必须有完整的机制来监测它在整个系统中的活动信息安全管理南昌大学软件学院 153 人员保护首先重点应该放在谁在什么情况下能够访问资源策略对那些需要访问的人授权直接访问的权力对那些不该访问的人策略则要限制他们访问接下来要考虑的就是强制执行制度和对未授权访问的的惩罚制度如公司的运作由法律保护吗对违反策略的员工有什么样的纪律上的处罚在法律上又能做些什么信息安全管理南昌大学软件学院 154 主要信息安全策略一口令策略 1 服务器口令的管理2 用户口令的管理信息安全管理南昌大学软件学院 155 网络服务器口令的管理 1 服务器的口令由部门负责人和系统管理员商定确定必须两人同是在场确定 2 服务器的口令须部门负责人在场时由系统管理员记录封存 3 口令要定期更换视网络具体情况更换后系统管理员要销毁原记录将新口令记录封存 4 如发现口令有泄密现象系统管理员要立即报告部门负责人有关部门负责人报告安全部门同时要尽量保护好现场并记录须接到上一级主管批示后再更换口令信息安全管理南昌大学软件学院 156 用户口令的管理 1 对于要求设定口令的用户由用户方指定负责人与系统管理员商定口令由系统管理员登记并请用户负责人确认签字或电话通知之后系统管理员设定口令并保存用户档案 2 在用户由于责任人更换或忘记口令时要求查询口令或要求更换口令的情况下须向网络服务管理部门提交申请单由部门负责人或系统管理员核实后对用户档案作更新记载 3 如果网络提供用户自我更新口令的功能用户应自己定期更换口令并设专人负责保密和维护工作信息安全管理南昌大学软件学院 157 创建口令时应避免的几个问题 1 绝不要将个人信息用作口令的基础2 不可将自己的偶像用于口令3 不要使用基于放在办公室桌上的物品的口令4 不要将口令文件保存在本地机器或共享网络上信息安全管理南昌大学软件学院 158 创建有效口令的通用规则 1 保存口令唯一安全的地方是脑袋或上了锁的保险箱 2 有效的口令必须相当长但又不能长到您无法记住他们的程度 3 以合理的方式使用特殊字符大写字母和数字信息安全管理南昌大学软件学院 159 计算机病毒和恶意代码防治策略病毒防护策略必须具备下列准则 1 拒绝访问能力2 病毒检测能力3 控制病毒传播的能力4 清除能力5 恢复能力6 替代操作信息安全管理南昌大学软件学院 160 拒绝访问能力来历不明的入侵软件尤其是网络传过来的不得进入系统信息安全管理南昌大学软件学院 161 病毒检测能力病毒总是有可能进入系统的系统中设置检测病毒机制是非常必要的除了检测已知类病毒外能否检测未知病毒是一个重要指标信息安全管理南昌大学软件学院 162 控制病毒传播的能力没有一种办法可以检测出所有的病毒一旦病毒进入了系统应不让病毒在系统中到处传播系统一定要有控制病毒传播的能力信息安全管理南昌大学软件学院 163 清除能力如果病毒突破了系统防护即使它的传播受到了控制也要有相应的措施将它清除掉对于已知类病毒可以使用专杀软件对于未知类病毒在发现后使用软件工具对他进行分析尽快编写出消毒软件当然如果有后备文件也可使用它直接覆盖受感染文件但一定要查清病毒的来源信息安全管理南昌大学软件学院 164 恢复能力有可能在清除病毒以前病毒就破坏了系统中的数据系统应提供一种高效的方法来恢复这些数据信息安全管理南昌大学软件学院 165 替代操作可能会遇到这样的情况问题发生时手头没有可用的技术任务又必须执行下去系统应该提供一种替代操作方案在恢复系统时可用替代系统工作等问题解决后再替换过来这一准则对于战时的军事系统是必要的信息安全管理南昌大学软件学院 166 安全教育与培训策略安全教育策略具体实施中应有一定的层次 1 主管信息安全工作的高级负责人或各级管理人员重点是了解掌握企业信息安全的整体策略及目标信息安全体系的构成安全管理部门的建立和管理制度的制定等 2 负责信息安全运行管理及维护的技术人员重点是充分理解信息安全管理策略掌握安全评估的基本方法对安全操作和维护技术的合理运用等 3 用户重点是学习各种安全操作规程了解和掌握与其相关的安全策略包括自身应承担的安全职责等信息安全管理南昌大学软件学院 167 最终用户策略 1 数据和应用所有权 2 硬件的使用 3 互联网的使用 4 加固最终用户账户管理补丁管理事件报告等制度5 时时更新6 强制执行信息安全管理南昌大学软件学院 168 简单的安全培训策略 1 建立专门的机构和岗位负责组

展开阅读全文