方正集团-级供电信息网安全解决方案

县级供电企业信息安全解决方案=========================================方正信息安全技术有限公司沈传宝/DavidShen高级安全咨询顾问，CISP/CISSP/OCPEmail/MSN:shencb@gmail.comMobilePhone:+861351399366OfficeTel：+861082531967提纲为什么要进行信息安全建设？信息安全需求的来源：符合性要求：法律、法规、标准、政策风险的要求：信息与网络风险的存在怎样进行信息安全建设？风险评估与风险管理概念介绍电力系统的信息安全解决方案探讨方正信息安全解决方案介绍信息安全建设的“政策”驱动力政府规定：中办27号文件:《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。四部局66号文件:2004年9月发布的《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）,规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划，部署了实施信息安全等级保护工作的操作办法国信办：2005年9月《电子政务信息安全等级保护实施指南（试行）》,规范电子政务信息安全等级保护工作的基本思路和实施方法，指导我国电子政务建设中的信息安全保障工作行业政策和规范党政机关《党政机关信息系统安全指南》、《电子政务信息安全等级保护实施指南》、《党政机关信息系统安全测评规范》、《电子政务信息安全保障技术框架》中国移动：《中国移动网络安全评估规范》、《中国移动支撑系统安全域划分与边界整合技术要求》税务：《税务系统信息安全风险评估指南》、《税务系统网络信息安全管理规范》电监会：《电力二次系统安全防护规定》证监会：2005-4-8《证券期货业信息安全保障管理暂行办法》保监会：保险公司内部控制制度建设指导方针（1999年131号文）财务报表的可靠性不仅依赖于支持财务报告的特定应用，还依赖于基础的IT架构，因此PCAOB在2号审计标准规定上市公司应测试IT通用控制。各行各业的信息安全建设“要求”金融政府电信电力新巴塞尔资本协议BaselII银监会[2006]63号文国资发改革[2006]108号文中办发27号令等级保护公通字[2006]7号文Sarbanes-Oxley萨班斯法案SOX404/302中移动《安全域划分与边界整合技术要求》QB-J-003-2005电力二次系统安全防护规定（电监会5号令）《关于信息安全等级保护工作的实施意见》公通字[2004]66号）《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）ISO/IEC13335/AS/NZS4360风险评估规范ISO/IEC27001:2005信息安全管理体系规范（ISMS）ISO/IEC17799:2005信息安全标准《涉及国家秘密的信息系统分级保护技术要求》《信息安全风险评估/信息安全风险管理指南》（GB/TXXXXX）医疗HIPAAFDA21CFR11FDADrugBarcoderegulation信息安全工作的要求：等级保护信息系统等级保护是国家信息安全的基本制度：中办27号文件：2003年，中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）四部局66号文件：2004年，公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室等四部局联合下发的《关于信息安全等级保护工作的实施意见》公通字[2004]66号）国信办文件：2005年国信办下发《电子政务信息安全等级保护实施指南》（25号文）。其它：2005年底公安部下发的《关于开展信息系统安全等级保护基础调查工作的通知》（公信安[2005]1431号）2006年初四部局联合签发的《信息安全等级保护管理办法（试行）》（7号文）公安部先后出台的《信息系统安全保护等级定级指南（试用稿）》、《信息系统安全等级保护基本要求（试用稿）》、《信息系统安全等级保护实施指南（送审稿）》、《信息系统安全等级保护测评准则（送审稿）》等指导性文件根据“谁建设谁负责，谁运营谁负责”的原则，信息系统的使用单位、部门都应该依据国家规定的等级划分标准，设定信息系统保护等级，并在国家规定的指导意见下逐步完成等级保护工作，实现信息系统安全建设和安全管理，提高安全保护的科学性、整体性和实用性。信息安全建设的“技术”驱动力互联网的变迁：过去TCP/IPFTPEmailTelnet现在TCP/IPP2PBBShttp互联网应用的改变，导致了各种混合型威胁的出现，应用的扩展给应对这种混合型威胁带来巨大困难.安全威胁“从外到内”的发展如何保护正常的业务活动不致因为内网网络与资源受到不当或非法使用而遭受损害如何保证内部终端用户的补丁和病毒库始终处于最新状态如何快速有效隔离不符合本企业安全策略的用户，防止因为安全隐患机器接入而导致全网处于崩溃状态如何保护核心机密、技术不受到内部的恶意威胁，例如违规泄露、拷贝等等内网安全的重要性美国FBI统计：83%的信息安全事故为内部人员和内外勾结所为，而且呈上升的趋势公安部统计：70％的泄密犯罪来自于内部；电脑应用单位80％未设立相应的安全管理系统、技术措施和制度。内网安全挑战提纲为什么要进行信息安全建设？怎样进行信息安全建设？信息安全建设的现状与发展阶段信息安全建设的一般步骤风险评估与风险管理概念介绍电力系统的信息安全解决方案探讨方正信息安全解决方案介绍信息安全建设常见的四种类型安全技术的投入安全流程的关注流程导向事件导向工具导向风险导向被动型组织技术型组织成熟型组织发展型组织•强调IT的安全管理•每年信息安全经费预算介于整个IT预算的1%和10%之间•信息资产分类•正式的安全组织•完善的安全策略、标准和流程•部署了基本的安全工具•事件、故障发生以后再采取相应补救措施•不注重IT的安全管理•无计划中的信息安全预算•使用基本的用户名密码管理•部署了基本的安全工具•强调并依赖IT的安全技术•部署了各种领先的安全工具•每年安全经费预算10%•没有正式的安全组织，安全策略、标准和流程•员工安全意识普遍薄弱•强调IT的安全管理和安全技术的平衡•每年安全经费预算基于风险评估结果•集成且统一的安全体系管理架构、技术架构•基于国际标准的完善的安全策略、标准和流程•部署了必要的安全工具•应急响应机制完善且定期演练•预防为主、防治结合信息安全建设的发展一般历程企业现状Target基于风险分析的安全管理方法信息安全的发展“产品导向型”安全“可管理的”安全“头痛医头、脚痛医脚”“三分技术、七分管理”基于风险分析的安全管理安全管理的本质为风险管理的过程，风险评估是风险管理的首要内容信息安全管理原则信息安全策略（SecurityPolicy）是信息安全管理的导向和支持；控制目标与控制方式的选择建立在风险评估的基础之上；控制费用与风险平衡的原则，风险控制在组织可接受的水平；预防为主的思想原则（PDR模型）；动态管理原则：风险变化的控制、对风险的动态管理；自上而下（Top-downApproach）、全员参与；管理学模型：PDCA持续改进（戴明环）。信息安全建设的实施步骤安全现状如何?如何解决安全问题?如何实施安全?如何管理安全?评估设计实施运维安全风险评估安全解决方案安全实施安全运维管理•安全需求评估•安全风险评估物理安全网络安全系统安全互联网安全应用安全无线网……•安全策略评估策略规章程序•安全体系评估•安全策略制订安全标准、规章、程序•企业安全框架结构•互联网安全框架结构•安全解决方案设计访问控制网络安全数据加密防病毒/内容安全安全管理……•业务持续性计划与灾难恢复策略•安全方案选择•安全产品选择•安全产品实施访问控制网络安全数据加密防病毒/内容安全安全管理备份/存储/容灾……•安全培训安全产品培训安全技术培训•安全运维服务安全扫描安全检查渗透测试安全加固安全审计、IDS安全应急响应安全预警……•安全培训安全产品培训安全技术培训安全管理培训安全认证培训提纲为什么要进行信息安全建设？怎样进行信息安全建设？风险评估与风险管理概念介绍信息安全风险评估的基本概念信息安全风险评估的一般过程电力系统的信息安全解决方案探讨方正信息安全解决方案介绍有关风险管理风险管理的理念从90年代开始，已经逐步成为引导信息安全技术应用的核心理念《中央企业全面风险管理指引》2006年6月6日，国务院国有资产监督管理委员会印发了《中央企业全面风险管理指引》“第三条本指引所称企业风险，指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等；也可以能否为企业带来盈利等机会为标志，将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。”风险的定义：•对目标有所影响的某件事情发生的可能性[摘自AS/NZS4360]国际风险管理趋势动态IT安全风险成为企业运营风险中最为重要的一个组成部分，业务连续性逐渐与安全并行考虑企业风险管理（ERM）信用风险市场风险运营风险IT风险项目风险设施风险法律风险安全业务连续性项目等等运营风险关注：怎么做？核心风险关注：做什么？内部欺诈外部欺诈产品交付客户物理资产的损失工作场所安全业务行为员工行为信息安全风险评估相关标准ISO/IEC17799:2005BS7799PartI：最佳实践PartII：体系规范ISO/IEC13335AS/NZS4360SSE-CMM17ISO13335中风险各要素之间的关系威胁弱点安全控制安全要求资产价值和影响安全风险资产防范利用导致导致暴露采取提出增加具有降低18风险管理的过程风险管理（RiskManagement）以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。安全控制（SecurityControl）降低安全风险的惯例、程序或机制剩余风险（ResidualRisk）实施安全控制后，剩余的安全风险风险管理风险评估风险控制降低风险19风险评估的基本步骤资产识别与估价威胁识别与评价弱点识别与评价已有安全控制的确认风险评估（量化与等级化分）风险控制风险评估的原则20风险评估的基本内容风险评估项目风险评估活动内容1、资产识别和估价列出在信息安全管理体系范围内被评估的商业环境、动作和信息相关的资产2、威胁评估识别与资产相关的威胁，并根据它们发生的可能性和严重性为它们赋值3、弱点评估识别与资产相关的弱点，根据它们被威胁利用的程度为其赋值4、现有的和计划了的安全控制的识别根据前期的安全评审，对所有与资产、威胁和弱点相关联的现有的和计划了的控制进行识别和文件化5、风险评估利用上述对资产、威胁、弱点的评价结果，进行风险评估；采用适当的风险测量工具进行风险计算6、安全控制和降低风险的识别和选择根据上述评估中识别的风险，对于每一项列出的资产，确认相关的控制目标。应用与这些资产的每一个方面相关的威胁和弱点，选择相关联的控制，以完成这些目标7、风险接受对残余的风险加以分类：“可接受的”、“不可接受的”。对“不可接受的”决定是否选择进一步的控制21技术脆弱性评估流程提交评估申请报告确定评估范围与评估对象制定评估详细方案工具评估提交详细评估方案并申请评估授权评估工具准备及配置安全扫描策略生成评估综合报告进行工具扫描工具评估报告手工检查手工检查报告渗透测试渗透测试报告22策略文档评估文档评估准备文档搜集、接收、鉴别和整理策略文档格式评估策略文档评估文档版本控制文档密级标识文档审定复查计划发布批准分发控制安全策略和标准评估分析报告策略文档内容评估策略文档体系评估主策略和安全方针技术标准和规范组织机