信息安全体系概述.ppt

信息安全体系概述 冯真凯 Page2 目录 信息安全体系概述信息安全组织体系信息安全管理体系信息安全技术体系信息安全执行体系 一 信息安全体系概述 信息系统固有的脆弱性信息本身易传播 易毁损 易伪造信息技术平台 如硬件 网络 系统 的复杂性与脆弱性行动的远程化使安全管理面临挑战信息具有的重要价值信息社会对信息高度依赖 信息的风险加大信息的高附加值会引发盗窃 滥用等威胁 信息安全面临的风险 企业对信息的依赖程度 美国明尼苏达大学Bush Kugel的研究报告指出 企业在没有信息资料可用的情况下 金融业至多只能运行2天 商业则为3 3天 工业则为5天 保险业为5 6天 而以经济情况来看 有25 的企业 因为的毁损可能立即破产 40 会在两年内宣布破产 只有7 不到的企业在5年后能够继续存活 硬件架构 系统与设备数量越来越多系统互连关系越来越繁杂 软件架构 统架构越来越复杂网络连接与划分混乱互联网接口抗攻击性较弱 工程管理 规划期缺乏安全评审建设与工程割接缺乏安全管理遗留策略与帐号形成安全漏洞 程序开发 开发阶段缺乏安全监管源代码缺乏安全检查 可能留下后门 1 系统数量众多 硬件架构多样 系统间交互与接口繁多 相互关系复杂 2 系统软件架构复杂 网络连接与划分较混乱 互联网接口抗攻击性较弱 3 系统规划期缺乏安全评审 工程割接缺少安全管理 工程遗留策略与帐号易形成安全漏洞 4 程序开发阶段缺乏监管 程序源代码缺乏安全检查 可能留下后门或被攻击 常见的信息安全问题 常见的信息安全问题 信息安全损失的 冰山 理论信息安全直接损失只是冰由之一角 间接损失是直接损失是6 53倍间接损失包括 时间被延误修复的成本可能造成的法律诉讼的成本组织声誉受到的影响商业机会的损失对生产率的破坏 9 保障信息安全的途径 亡羊补牢 还是打打补丁 系统地全面整改 忽略了信息化的治理机制与控制体系的建立 和信息化 游戏规则 的建立 厂商主导的技术型解决方案为主 用户跟着厂商的步子走 安全只重视边界安全 没有在应用层面和内容层面考虑业务安全问题 重视安全技术 轻视安全管理 信息安全可靠性没有保证 信息安全建设缺乏绩效评估机制 信息安全成了 投资黑洞 信息安全人员变成 救火队员 我国当前信息安全普遍存在的问题 信息安全 反病毒软件 防火墙 入侵检测系统 管理制度 人的因素 环境因素 Ernst Young及国内安全机构的分析 国家政府和军队信息受到的攻击70 来自外部 银行和企业信息受到的攻击70 来自于内部 75 的被调查者认为员工对信息安全策略和程序的不够了解是实现信息安全的障碍之一 只有35 的组织有持续的安全意识教育与培训计划66 的组织认为信息系统没有遵守必要的信息安全规则56 的组织认为在信息安全的投入上不足 60 从不计算信息安全的ROI 83 的组织认为在技术安全产品与技术上投入最多 在整个系统安全工作中 管理 包括管理和法律法规方面 所占比重应该达到70 而技术 包括技术和实体 应占30 保护信息安全的方法 如何实现信息安全 建立完善的信息安全体系对信息安全建立系统工程的观念用管理 技术 人员 流程来保证组织的信息安全信息安全遵循木桶原理对信息系统的各个环节进行统一的综合考虑 规划和构架并要时时兼顾组织内不断发生的变化 任何环节上的安全缺陷都会对系统构成威胁 需要对信息安全进行有效管理 建立统一安全规划体系 改变以往零敲碎打 因人而起 因事而起的安全管理 形成统一的安全体系 指导安全管理和建设工作 零敲碎打引人而起因事而起 建立统一的安全规划体系 总体思路 以防为主 防治结合 防治结合 自下而上的风险反馈 以防为主 自上而下的策略管理 坚持 以防为主 防治结合 的安全工作措施 形成成熟的 立体的信息安全运行管控体系 以防为主 即以完善的安全策略为指导 使安全策略能自上而下得到落实 防治结合 即以风险管理为核心 使风险能自下而上得到反馈和整治 安全管理的几个阶段 当前 目标 安全管理的几个阶段 信息安全体系的内容 业务与策略根据业务需要在组织中建立信息安全策略 以指导对信息资产进行管理 保护和分配 确定并实施信息安全策略是组织的一项重要使命 也是组织进行有效安全管理的基础和依据 保护业务 为业务创造价值 应当是一切安全工作的出发点与归宿 最有效的方式不是从现有的工作方式开始应用信息安全技术 而是在针对工作任务与工作流程重新设计信息系统时 发挥信息安全技术手段支持新的工作方式的能力 人员与管理人是信息安全最活跃的因素 人的行为是信息安全保障最主要的方面 从国家的角度考虑有法律 法规 政策问题 从组织角度考虑有安全方针政策程序 安全管理 安全教育与培训 组织文化 应急计划和业务持续性管理等问题 从个人角度来看有职业要求 个人隐私 行为学 心理学等问题 信息安全体系的关注点 技术与产品可以综合采用商用密码 防火墙 防病毒 身份识别 网络隔离 可信服务 安全服务 备份恢复 PKI服务 取证 网络入侵陷阱 主动反击等多种技术与产品来保护信息系统安全考虑安全的成本与效益 采用 适度防范 Rightsizing 的原则流程与体系建立良好的IT治理机制是实施信息安全的基础与重要保证 在风险分析的基本上引入恰当控制 建立PDCA的安全管理体系 从而保证组织赖以生存的信息资产的安全性 完整性和可用性安全体系统还应当随着组织环境的变化 业务发展和信息技术提高而不断改进 不能一劳永逸 一成不变 需要建立完整的控制体系来保证安全的持续完善 信息安全体系的建立流程 审视业务 确定IT原则和信息安全方针在进行信息安全规划与实施安全控制措施前 首先要充分了解组织的业务目标和IT目标 建立IT原则 这是实施建立有效的信息安全保障体系的前提 组织的业务目标和IT原则将直接影响到安全需求 只有从业务发展的需要出发 确定适宜的IT原则 才能指导信息安全方针的制定 信息安全方针就是组织的信息安全委员会或管理当局制定的一个高层文件 用于指导组织如何对资产 包括敏感性信息进行管理 保护和分配的规则和指示 在安全方针的指导下 通过了解组织业务所处的环境 对IT基础设施及应用系统可能存在的薄弱点进行风险评估 制定出适宜的安全控制措施 安全策略程序及安全投资计划 确定IT原则与安全方针 确定IT原则与安全方针 进行风险评估 风险评估的常用方法目前国内ISMS风险评估的方法主要参照ISO13335的有关定义及国信办9号文件 信息安全风险评估指南 这些标准把重点放在信息资产上 缺点 风险评估人员一般最容易找到的资产无非就是硬件类 软件类的资产 而对安全来说至关重要的IT治理 组织政策 人员管理 职责分配 业务流程 教育培训等问题 由于不能方便地定义为信息资产 而往往被视而不见 因此 风险评估经常出现 捡了芝麻 丢了西瓜 只见树木 不见森林 的情况 进行风险评估 完备的风险评估方法信息安全涉及的内容决不仅仅是信息安全 技术安全的问题 它还会涉及到治理机制 业务流程 人员管理 企业文化等内容 通过 现状调查 获得对组织信息安全现状和控制措施的基本了解 通过 基线风险评估 了解组织与具体的信息安全标准的差距 得到粗粒度的安全评价 通过 资产风险评估 和 流程风险评估 进行详细风险评估 根据三方面的评估得到最终的风险评估报告 现状调查的主要内容文档收集与分析组织的基本信息 组织结构图组织人员名单 机构设置 岗位职责说明书业务特征或服务介绍与信息安全管理相关的政策 制度和规范现场访谈安排与相关人员的面谈对员工工作现场的观察加强项目组对企业文化的感知 技术评估工具扫描 渗透测试人工分析系统安全配置完全检测 网络服务安全配置完全检测包括用户安全 操作系统安全 网络服务安全 系统程序安全 问卷调研安全日常运维现状调研问卷 针对组织中实际的应用 系统 网络状况 从日常的管理 维护 系统审计 权限管理等方面全面了解组织在信息系统安全管理和维护上的现实状况 从安全日常运维角度出发 更贴近实际运维环境 基线风险评估所谓基线风险评估 就是确定一个信息安全的基本底线 信息安全不仅仅是资产的安全 应当从组织 人员 物理 逻辑 开发 业务持续等各个方面来确定一个基本的要求 在此基础之上 再选择信息资产进行详细风险分析 这样才能在兼顾信息安全风险的方方面面的同时 对重点信息安全风险进行管理与控制 ISO27001确立了组织机构内启动 实施 维护和改进信息安全管理的指导方针和通用原则 以规范组织机构信息安全管理建设的内容 因此 风险评估时 可以把ISO27001作为安全基线 与组织当前的信息安全现状进行比对 发现组织存在的差距 这样一方面操作较方便 更重要的是不会有遗漏 信息资产风险评估针对重要的信息资产进行安全影响 威胁 漏洞及可能性分析 从而估计对业务产生的影响 最终可以选择适当的方法对风险进行有效管理 资产定义及估值 确定现有控制 威胁评估 确定风险水平 风险评估过程 脆弱性评估 安全控制措施的识别与选择 降低风险 风险管理过程 接受风险 IT流程风险评估信息安全不仅仅要看IT资产本身是否安全可靠 而且还应当在其所运行的环境和经历的流程中保证安全 没有可靠的IT流程的保证 静态的安全是不可靠的 而且IT的风险也不仅仅是信息安全的问题 IT的效率与效果也同样是需要考虑的问题 因此评估IT流程的绩效特性并加以完善是风险控制中必不可少的内容 确定风险控制策略 信息安全控制规划 选择安全控制措施 防止商业活动中断和灾难事故的影响 业务持续性管理 信息安全事件管理 保证系统开发与维护的安全 系统开发与维护 控制对业务信息的访问 访问控制 保证通讯和操作设备的正确和安全维护 通信与运营管理 防止对关于IT服务的未经许可的介入 损伤和干扰服务 物理与环境安全 减少人为造成的风险 人员安全 维护组织资产的适当保护系统 资产管理 建立组织内的管理体系以便安全管理 安全组织 为信息安全提供管理方向和支持 安全方针 目的 ISO27001十一个域 避免任何违反法令 法规 合同约定及其他安全要求的行为 符合性 确保与信息系统有关的安全事件和弱点的沟通能够及时采取纠正措施 进行安全控制规划安全规划针对组织面临的主要安全风险 在安全管理控制框架和安全技术控制框架方面进行较为详尽的规划 安全规划对组织未来几年的网络架构 威胁防护 策略 组织 运行等方面的安全 进行设计 改进和加强 是进行安全建设的总体指导 安全规划方法 安全预算计划所以安全预算计划是一项具有挑战性的工作 要采用 适度防范 的原则 把有限的资金用在刀刃上 一般来说 没有特别的需要 为信息安全的投入不应超过信息化建设总投资额的20 过高的安全成本将使安全失去意义 投资回报计划信息安全投资回报计划就是要研究信息安全的成本效益 其成本效益组成如下 从系统生命周期看信息安全的成本 获取成本和运行成本从安全防护手段看信息安全的成本 技术成本和管理成本信息安全的价值效益 减少信息安全事故的经济损失信息安全的非价值效益 增加声誉 提升品牌价值 二 信息安全组织体系 建立信息安全组织 明确角色与责任安全角色与责任的不明确是实施信息安全过程中的最大障碍 建立安全组织与落实责任是实施信息安全管理的第一步 信息安全领导小组信息安全主管为核心的 专业的信息安全管理的队伍把相应的安全责任落实到每一个员工身上建立跨部门的信息安全委员会良好的治理结构要求主体单位的IT决策必须由最了解组织整体目标与价值的权威部门来决定 得到组织最高管理层的支持得到高层管理人员的认同和承诺有两个作用一是相应的安全方针政策 控制措施可以在组织的上上下下得到有效的贯彻 二是可以得到有效的资源保证 比如实施有效安全过程的必要的资金与人力资源的支持 及跨部门之间的协调问题都必须由高层管理人员来推动 安全组织架构 决策层为业务安全的决策机构 为业务安全工作保驾护航 管理层工作小组为业务安全工作的协调管理机构 为业务安全工作提供支持监督 管理层监督审计工作组 定期监督审核工作小组和执行小组对信息安全政策的执行情况 并且向领导小组进行汇报 执行层面业务安全保障工作组是业务安全政策的执行落地和相关安全流程手册文档的参与制定和维护 并且接受工作小组的管理指导和安全审计机构的监督审核 信息安全组织架构 信息安全体系的内容 组织体系 整个公司层面的安全管理组织 要从上到下贯穿到底体现三权分立的原则 制定信息系统安全政策信息系统安全政策就是为防止信息资产意外损失及被有意滥用而制订的规则 这些政策是应该涵盖组织中生成 加工 使用 储存信息的各个方面 并符合对信息系统安全的要求 信息安全政策要符合组织的业务目标及特定的环境要求 并使之被每个员工所理解和执行 这是实施信息安全的重要环节 人力资源政策因此除了技术的控制手段外 要制定合适的人力资源政策 加强对 人 的管理 对潜在的安全入侵者也是一种威慑及惩戒措施 这是建立人力防火墙的有效控制手段 人力资源管理在信息安全的管理中充分十分重要的作用 信息安全管理人员要与人务资源管理人员密切合作 协同作战 才能实现信息安全中对 人 的有效管理 实施安全教育计划要制定各种不同范围 不同层次的安全教育计划 完备的安全教育计划可以提高员工的安全意识与技能 改变他们对待安全事件的态度 使他们具有一定的安全保护技能 以更好地保护组织的信息资产 好的安全教育计划应该让员工知道组织的信息安全面临的威胁及信息安全事件带来的后果 使员工切身感觉到安全事件与自己息息相关 营造组织信息安全文化信息安全文化从属于组织文化 倡导良好的组织信息安全文化就是要在组织中形成团队共同的态度 认识和价值观 形成规范的思维和行为模式 最终转化为行动 实现组织信息安全目标 人的这种对安全价值的认识以及使自己的一举一动符合安全的行为规范的表现 正是所谓的 安全修养 如果一个组织建立起浓厚的安全文化环境 不论决策层 管理层还是一般员工 都会在安全文化的约束下规范自己的行为 安全文化就像一支看不见的手 凡是不安全的行为都会被这支手拉回到安全操作的轨道上来 三 信息安全管理体系 信息安全管理体系的定义信息安全管理体系 ISMS InformationSecurityManagementSystem 是组织在整体或特定范围内建立的信息安全方针和目标 以及完成这些目标所用的方法和体系 ISMS相对应的BS7799标准在国际上得到了广泛的应用 目前引标准已被采纳为国际标准ISO17799 2005ISO27001 2005 在ISO17799中信息安全主要指信息的机密性 Confidentiality 完整性 Integrity 和可用性 Availability 的保持 ISMS 木桶 由哪些 板 组成 类似于质量管理体系的ISO9000标准 ISMS也有相应的国际标准ISO27001 它确定了ISMS的11个安全领域及133个相应的控制措施 ISO17799及ISO27001的内容ISO17799 2005信息安全管理实施规范 主要是给负责开发的人员作为参考文档使用 从而在组织中实施和维护信息安全 ISO27001 2005信息安全管理体系规范 详细说明了建立 实施和维护信息安全管理系统的要求 指出实施组织需要通过风险评估来鉴定最适宜的控制对象 并对自己的需求采取适当的控制 获得BS7799和ISO27001认证的组织 ISMS体系设计在组织中要实现信息安全 比较切实可行的第一步的是按照PDCA的原则建立信息安全管理体系 如果没有一个完整的管理体系和有效的过程来保证组织中的人员能理解他们的安全责任与义务 并建立基本的有效的控制措施 那么再好的安全技术也不能保证组织的信息安全 ISMS建设过程 建立ISMS首先要建立一个合理的信息安全管理框架 要从整体和全局的视角 从信息系统的所有层面进行整体安全建设从信息系统本身出发 通过建立资产清单 进行风险分析和需求分析和选择安全控制等步骤 建立安全体系并提出安全解决方案 体系运行 体系审核 管理评审 体系认证 第七步 第八步 第九步 第十步 运行说明 内审报告 外审报告 认证证书 信息安全体系的内容 管理体系 安全方针 策略文件 程序文件 操作指导书 记录表格等 四 信息安全技术体系 技术防火墙 的总体要求技术结构方面 完备的安全技术防御系统应该具备评估 保护 检测 反应和恢复的五种技术能力 实现ISO7498 2所定义的鉴别 访问控制 数据完整性 数据保密性 抗抵赖五类安全功能 技术产品方面 综合利用商用密码 防火墙 防病毒 身份识别 网络隔离 可信服务 安全服务 备份恢复 PKI服务 取证 网络入侵陷阱 主动反击等多种技术与产品来保证企业的信息系统的机密性 完整性和可靠性 集中管理方面 实现集成化安全管理和安全信息共享机制 以集中管理安全控制 安全策略 安全配置 安全事件审计 安全事故应急响应 可管理的安全才是真正意义上的安全 灾难恢复与业务持续性方面 对于突发性的重大灾难 日常安全控制措施不再起作用 此时要采取适当和有效的措施来减轻相关威胁实际发生时所带来的破坏后果 这是组织信息安全的最后一道防线 建立 技术防火墙 技术体系的实现框架信息安全框架可通过基础技术系统 安全运维管理系统 应用支撑系统来实现 其最终目的是保证应用系统和数据的安全 基础技术系统 安全防护系统 应用支撑系统 安全运维管理系统 纵深防御架构可信网和不可信网要物理层隔断 网络逻辑连接要割断 应用数据要净化 不可信网络上的计算机不能直接到达可信网络 使用 应用分层 服务分区 安全分级 的思路 指导网络结构化建设 根据应用类型 物理位置 逻辑位置等的不同 划分不同的网络安全区域和边界 IATF 安全域 基础技术系统 一个为整个安全体系提供安全服务的基础性平台 为应用系统和安全支撑平台提供包括数据完整性 真实性 可用性 不可抵赖性和机密性在内的安全服务 包括 数字证书认证体系 CA PKI 密钥管理基础设施 KMI 授权管理基础设施 AA PMI 灾难恢复及业务连续性基础设施 DRI BCP 安全基础设施 用户 CA系统 AA系统 数据库 服务 访问 他是谁 有什么权限 认证系统 授权系统 PKI与PMI的应用 安全认证与授权 网络安全控制采用入侵检测 漏洞扫描 病毒防治 防火墙 网络隔离 安全虚拟专网 VPN 等成熟技术 利用物理环境保护 边界保护 系统加固 节点数据保护 数据传输保护等手段 通过对网络的安全防护的统一设计和统一配置 实现全系统统一 高效 可靠的网络安全防护 安全防护系统 上级接口 下级接口 横向接口 互联网接口 加密机 保护离开局域网的信息安全 同时防止非法接入 防火墙 防止来自总部内部的攻击 防火墙 防止来自外部的攻击 防火墙 即防止来自外部的攻击 也要防止来自地市局的内部攻击 入侵检测 发现非法入侵行为 防病毒网关 防止外部病毒入侵 防非法外联 堵住非法网络接口 系统加固 设置运行环境的最后一道防线 网络及主机操作系统 数据库 应用平台的加固 安全边界 网络行为审计 加强网络安全管理 追查安全事件 构造网络安全边界 构造网络安全边界 入侵检测 组织中心 备份中心 二级部门 三级部门 四级部门 线路密码机 防火墙 防病毒网关 防非法外联 网络行为审计 操作系统加固 高安全区域 安全防护系统的层次 安全防护系统的层次 由于普通用户缺乏应有的网络安全常识 通过浏览隐藏恶意代码的网站 下载有木马的软件到内部网运行 打开邮件中不明来历的附件等给组织的内部网络带来的极大的危害 终端用户触发产生的安全事件逐渐成为企业IT安全问题的主要原因 终端安全控制 终端安全控制 应用支撑系统构建在基础技术系统的基础上 利用安全基础设施提供的基于PKI PMI KMI技术的安全服务 采用安全中间件及一站式服务理论和技术 实现包括安全门户 安全认证和访问控制 数据安全传输 数据保密 完整性保护 真实性保护等应用安全功能和服务 支持面向组织和各类专网和互连网的各类安全应用 是安全应用系统所依托的主要安全平台 应用支撑系统 应用支撑系统 应用系统常见安全方案业务系统本身必须能够准确地识别使用者的真实身份 防止与业务无关的人员非法使用系统 解决方案 使用统一的身份认证证书业务系统本身必须能够对自己的资源进行控制 能够动态地分配权限 控制使用者的操作行为 防止越岗位操作或越权限操作 解决方案 基于角色的访问控制业务系统本身必须能够对数据或文件进行保护 防止由于数据的安全得不到保证而失去业务系统本身的可用性 解决方案 基于密码业务系统本身必须能够对操作者行为进行跟踪 记录 统计和审计 及时发现工作中出现的问题 使系统可管理 事件可追查 解决方案 日志与安全事件审计在电子商务或电子政务环境下 需要利用身份证书对主要核心业务与交易的凭证进行数字签名 以保证重要对已完成的业务与交易的无否定性 解决方案 基于数字签名 安全运维管理系统对整个安全系统起管理 监控 调度和应急报警等作用 负责对全网络安全防护设备进行管理 为各个应用系统提供安全管理接口 对需要特别关注的应用系统进行应用审计 安全运维管理系统通过建立安全运维管理中心 SOC 对组织的安全技术与流程进行集中式的管理 安全运维系统 五 信息安全执行体系 日常安全执行内容 多个PDCA循环安全日常运作过程就是一个大的PDCA循环风险评估与风险分析PDCA循环文件体系的建立与维护PDCA循环 制定计划行动计划主要有 信息安全政策制订与实施与信息安全相关的人力资源政策的制订安全事件响应计划监控日常安全事务及员工对安全政策的遵循业务连续性计划及灾难恢复计划安全教育计划建设企业安全文化预算计划有足够资金支持的计划才是切实可行的计划 才能有效地落实信息安全所需要的人 财 物等资源的配置 预算计划一定要合理 过高的安全预算会使安全失去意义 最好是结合投资回报分析 检查与审计的内容对于安全框架是否已有效的建立起来 技术防火墙 人力防火墙及IT流程控制框架能否起到了应有的作用 组织可以通过定期的自我检查或独立的审核来验证安全控制措施的有效性 并对发现的问题采取有效的纠正措施并实施 对纠正措施实施的结果进行验证 安全检查工作一般由信息安全管理部门来负责实施 经常性的检查 有利于落实信息安全方针与策略 及时发现信息安全在技术 人员及流程方面存在的隐患 也有利于提高员工安全意识 保证业务的持续运行 审核工作是审计机构对组织的信息安全控制措施是否完备所做的鉴证过程 利用审核机制进行独立的体系审核是一种强有力的监督机制 可以由组织的内部稽核部门阶段性地组建立审核组 培训审核员 有效地管理在组织中开展的信息安全审核工作 也可外聘的第三方审计机构对组织进行外部审计 对安全的检查与审计 对安全的检查与审计 审计的步骤信息安全在每次检查审计前 由管理层任命适当资质的合适人选组成审计小组 审计小组由2名或以上人员组成 包括但不限于稽核审计部的内审员 并由管理层指定内审组长 内审小组负责编写本次内审的 内部审计方案 其内容一般为 被审部门 审计时间 内容 范围 审计依据 目的 方法 内审小组成员及其分工 审计活动日程安排 内部审计方案 经批准后 至少提前二周通知被审计部门 以便被审计部门有充分时间进行内审 若被审计部门对时间等安排有异议时 应在三天内通知内审小组协商调整具体安排 内审小组在完成了全部的审计准备工作后 就可按预先约定的日期和时间实施审计 内部审计实施可划分为首次会议 现场审计和末次会议三个阶段进行