网络与信息安全基础

大纲•什么是信息安全？•什么是信息安全管理•探讨信息安全管理的目的与意义•信息安全与业务安全•信息安全保障框架•信息安全管理体系•信息系统安全工程项目管理1什么是信息安全•防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识，控制。即确保信息的完整性、保密性，可用性和可控性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。本质上是保护用户的利益和隐私。信息安全包括操作系统安全，数据库安全，网络安全，病毒防护，访问控制，加密与鉴别七个方面。•信息安全的关键在于信息本身，而信息安全的实质是通过相应的技术手段保护与信息相关的一切人、事、物。2什么是信息安全•信息安全的基本目标–信息安全通常强调所谓AIC三元组的目标，即保密性、完整性和可用性。AIC概念的阐述源自信息技术安全评估标准（InformationTechnologySecurityEvaluationCriteria，ITSEC），它也是信息安全的基本要素和安全建设所应遵循的基本原则。3什么是信息安全•信息安全还有一些其他原则，包括可追溯性（Accountability）、抗抵赖性（Non-repudiation）、真实性（Authenticity）、可控性（Controllable）等，这些都是对AIC原则的细化、补充或加强。4信息安全管理概念5管理职责分析改进产品实现资源管理输入输出PDCA过程6需求方信息安全需求与期望PLAN建立ISMSCHECK监视和评审ISMSACT保持和改进管理责任需求方可管理状态下的信息安全DO实施和操作ISMS建立ISMS7范围&边界ISMS策略控制目标&控制手段风险评估途径威胁&脆弱性资产&所有者风险处置选项风险评估影响适用性声明1234569871011评审12实施和操作ISMS8风险处理计划和实施实施控制有效性测量操作管理培训&意识活动&事件管理资源管理1234567IS活动一个确定的发生可能违反信息安全保障政策或失败或一种前所未知的情况，可能是与安全相关的系统，服务或网络状态指示IS事件一个单一的或一系列不必要的或意外的信息安全事件，有一个显着的业务经营的影响和威胁信息安全的概率监视和评审ISMS9监视&审查程序评价有效性测量控制的有效性内部ISMS审计风险评估审查安全计划评审管理评审1234567改进&事件对ISMS的性能/有效性带来的影响8维护和改进ISMS10实施改进采取CA-PA从教训中吸取经验（他人&自己）确认改进沟通行动&改进12345信息安全管理的目的和意义•在组织层面–承诺•在法律层面–遵守•在操作层面–风险管理•在商业层面–信誉和信心•在财务层面–降低成本•在人力层面–提高员工意识11什么是风险•风险Risk–一种可能性，威胁利用资产的脆弱性，并造成资产的损害或损失。•威胁Threat–可能导致不期望事件的潜在原因，该不期望事件可能导致系统或组织受损•脆弱点Vulnerability–一个或一组资产所具有的、可能被一个或多个威胁所利用的弱点。12风险，威胁和脆弱性之间的关系13威胁脆弱性利用风险资产价值保护需求增加增加信息资产控制*暴露防范减少具有增加说明满足控制：降低风险的做法，程序或机制威胁识别•威胁元素–代理：执行威胁的催化剂。•人力•设备•自然–动机：事物导致代理人采取行动。•偶然•故意•只有激励因素，既可以是偶然的和故意的是人–结果：所施加的威胁的结果。结果通常导致CIA的损失•机密性•完整性•可用性14威胁•员工•外部各方•安全问题认识不足•生长在网络和分布式计算•黑客工具和病毒的复杂性和效益的增长•自然灾害，例如。火灾，水灾，地震15威胁源16源动机威胁外部黑客的攻击挑战自负博弈系统的黑客社会工程垃圾箱内部黑客期限财务问题失望后门舞弊欠佳的文档恐怖分子复仇政治系统攻击社会工程邮件炸弹病毒拒绝服务没有受过良好训练的员工意外错误编程错误数据录入错误数据损坏引入恶意代码系统错误未经授权的访问威胁类别17序号威胁类别示例1人力资源的失误或失败事故，员工失误2知识产权丢失盗版，侵犯版权3故意或者间谍或侵占未经授权的访问和/或数据收集4信息勒索的故意行为勒索信息曝光/披露5故意破坏/认为破坏破坏系统/信息6故意盗窃非法没收设备或信息7故意软件攻击病毒，蠕虫，宏拒绝服务8从服务提供商的服务质量偏差电源和广域网问题9大自然的力量火灾，水灾，地震，雷击10技术硬件故障或错误设备故障/错误11技术软件失败或错误错误代码的问题，未知的漏洞12陈旧的技术陈旧或过时的技术风险和威胁18IT系统高级用户的知识盗窃，破坏，误用恶意代码攻击系统和网络故障缺乏文档失效的物理安全自然灾害及火灾理解风险19资产威胁（来自自然环境）脆弱性风险处置策略风险处置残余风险效率成本可行性业务与业务风险•业务–业务就是为了达成某种目的或者结果需要处理的事务.•业务风险–指在处理事务过程中所面临的影响业务正常运行中的威胁所带来的影响。业务的风险来源于业务的每个环节中的入口和出口，包括业务流程、业务逻辑关系以及业务过程的成熟度。•业务是一个组织的灵魂，没有业务对于组织而言也就失去了生命，业务流程如同一个人的大动脉，承载着全身的血液的输送，没有流程的业务如同一条没有水的河流。分析业务流程实际上是整个业务评估的关键。20业务构成要素21业务评估•业务评估是以业务为主线,涉及业务流程、组织架构、业务IT、用户、第三方支撑等5大元素。22业务流程组织架构IT支撑用户第三方支撑公共设施用户端公共设施组织端公共设施流程1流程2流程N部门1部门2部门N数据1数据1数据1外部用户内部部用户信息安全管理体系•ISO27001:2005简介•ISO/IEC27001：2005与ISO/IEC27001：2013差异对比•ISMS@组织•用户的责任23历史24BS7799BS7799-1BS7799-2ISO27001ISO270021992年在英固首次作为行业标准发布，为信息安全管理提供了一个依据。BS7799标准最早是由英固工贸部、英固标准化协会（BSI）组织的相关专家共同开发制定的在1998年、1999年经过两次信订之后出版BS7799-1：1999和BS7799-2：1999。2001年修订BS7799-2：1999，同年BS7799-2：2000发布。2002年对BS7799-2：2000进行了修订发布了BS7799-2：2002版。ISO于2005年10月15采用BS7799-2：2002版本成为国际标准-ISO/IEC27001：2005版。2013年10月19日修订原版，正式使用ISO/IEC27001:2013版。2000年4月，将BS7799-1：1999提交ISO，同年10月获得通过成为ISO/IEC17799：2000版。2005年对ISO/IEC17799：2000版进行了修订，于6月15日发布了ISO/IEC17799：2005版。2007年上半年正式更名为ISO27002:2007。2013年与ISO27001:2013版同步更新为ISO27002:2013.现在与未来25守则审核标准ISO27000标准族26ISO27001:2005标准说明•BS7799：分为BS7799-1和BS7799-2两部份•BS7799-1:2005/ISO17799:2005主要是做为参考文件，提供广泛性的安全控制措施，作为现行信息安全之最佳作业方法，其中包含11个控制措施章节，但不作为评鉴与验证标准。•BS7799-2:2005/ISO27001:2005系根据BS7799-1，提供信息安全管理系统(ISMS)之建立实施与书面化之具体要求，依据个别组织的需求，规定要实施之安全控制措施的要求。27ISO27001:2005标准说明•BS7799-1:2005/ISO17799:2005–信息安全管理作业要点–用意是做为参考文件–提供广泛性的安全控制措施–现行信息安全之最佳作业方法–包含11个控制章节–无法作为评鉴与验证28ISO27001:2005标准说明•BS7799-2:2005/ISO27001:2005–信息安全管理系统要求–根据BS7799-1:2005–ISMS之建立实施与文件化之具体要求–依据个别组织的需求，规定要实施之安全控制措施的要求。29ISO27001:2005标准说明•关键的成功因素(Criticalsuccessfactors)经验显示，组织的信息安全能否成功实施，下列常为关键因素：–能反映营运目标的信息安全政策、目标及活动。–与组织文化一致之实施、维护、监控、及改进信息安全的方法与框架。–来自所有管理阶层的实际支持和承诺。–对信息安全要求、风险评估以及风险管理的深入了解。–向全体管理人员、受雇人员、及相关人员有效推广信息安全以达到认知。–资助信息安全管理活动。–提供适切的认知、训练及教育。–制定有效的信息安全事故管理过程。–实施ㄧ个用于评估ISMS的绩效及改进的回馈建议之量测系统。30ISO/IEC27001：2005核心31建立ISMS实施和运作ISMS维护和改进ISMS计划PLAN实施DO改造ACTION监控和评审ISMS检查CHECK开发、维护和改进循坏相关单位管理状态下的信息安全相关单位信息安全需求和期望ISMS文档32ISMS范围ISMS方针风险评估方法风险处置计划风险评估报告程序及指南记录程序所需记录适用性声明文件控制记录控制控制视图33安全方针访问控制物理和环境安全信息安全组织资产管理合规性人力资源安全安全事件管理业务连续性管理安全采购、开发与维护通信及操作管理技术组织物理组织操作信息管理11个控制域•标准覆盖了所有11个领域，39个控制目标，133个控制措施34安全策略资产管理信息安全组织人力资源管理物理和环境安全通信和操作管理访问控制信息安全事件管理信息系统采购、开发与维护合规性业务连续性管理控制（39个目标，133个控制措施）安全方针OrganizationofInformationsecurityAssetManagementHRSecurityPhysical&EnvironmentalSecurityCommunication&OperationsManagementISAcquisition,development&maintenanceISIncidentManagementBusinessContinuityManagementAccessControlCompliance方针文件方针评审35控制（39个目标，133个控制措施）SecurityPolicy信息安全组织AssetManagementHRSecurityPhysical&EnvironmentalSecurityCommunication&OperationsManagementISAcquisition,development&maintenanceISIncidentManagementBusinessContinuityManagementAccessControlCompliance内部组织外部组织36控制（39个目标，133个控制措施）SecurityPolicyOrganizationofInformationsecurity资产管理HRSecurityPhysical&EnvironmentalSecurityCommunication&OperationsManagementISAcquisition,development&maintenanceISIncidentManagementBusinessContinuityManagementAccessControlCompliance资产责任信息分类37控制（39个目标，133个控制措施）SecurityPolicyOrganizationofInformationsecurityAssetManagement人力资源安全Physical&EnvironmentalSecurityCommunication&O