信息安全管理概述

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

信息安全管理概要李秦伟教授liqinwei@tom.com计算机科学与信息学院计算机科学与信息学院内内容容••一、一、什么是信息安全什么是信息安全••二、二、信息安全管理信息安全管理及其重要性及其重要性••三、三、信息安全管理信息安全管理相关标准简介相关标准简介计算机科学与信息学院一、一、什么是信息安全什么是信息安全1、信息安全是信息安全是““关口关口””和和““命脉命脉””•前信息产业部长吴基传在《构筑面向新世纪的国家信息安全体系》一文中指出:计算机互联网络涉及社会经济生活各个领域,并直接与世界相联,可以说是国家的一个政治“关口”,一条经济“命脉”。网络与信息安全已上升为一个事关国家政治稳定、社会安定、经济有序运行和社会主义精神文明建设的全局性问题。••信息信息安全关系到国家的政治安全安全关系到国家的政治安全••信息安全关系到国家的经济安全信息安全关系到国家的经济安全••信息安全关系到国家的社会稳定信息安全关系到国家的社会稳定••信息信息安全关系到国家的军事安全安全关系到国家的军事安全计算机科学与信息学院22常见的攻击方式常见的攻击方式1、嗅探Internet2、扫描3、IP欺骗4、口令破解5、缓冲溢出攻击6、拒绝服务计算机科学与信息学院常见的攻击方式常见的攻击方式数据偷盗数据偷盗电子欺骗电子欺骗数据更改数据更改拒绝服务拒绝服务另外还有另外还有计算机病毒、计算机病毒、传播非法信息、抵赖、误操作传播非法信息、抵赖、误操作等等问题等等问题————这些问题不一定仅存在于计算机系统中!这些问题不一定仅存在于计算机系统中!例如:对公开信息、业务流的分析,人员交流等。例如:对公开信息、业务流的分析,人员交流等。人拉肩扛使钻机就位——铁路线边上;人物的着装——寒冷地区+铁路线边;——大庆油田位于齐齐哈尔与哈尔滨之间!所握手柄的架式——钻机的型号——油井直径;井架的密度+油井直径——大致储量和产量!——产油能力71年将达1200万吨/年。王进喜出席了第三届人大——大庆出油了!大庆炼油厂的烟囱——估计直径5米——估计出炼油能力100万吨/年。中国急需炼油设备或出口原油!计算机科学与信息学院网络攻击目的、步骤与方法网络攻击目的、步骤与方法•攻击的基本步骤:–第一步:搜集信息(或采点)–第二步:实施入侵(或获取你计算机的控制权)–第三步:发出攻击–第四步:昀后隐藏或清除攻击痕迹(打扫战场•按照攻击来源可把黑客攻击分为远程攻击、本地攻击和伪远程攻击三种。–据统计,本地攻击和伪远程攻击占全部攻击的高达80%,所以加强内部人员的管理和信息安全防范尤为重要。计算机科学与信息学院33、计算机恶意程序与病毒、计算机恶意程序与病毒木马(TrojanHorse):是以盗取用户个人信息,甚至是远程控制用户计算机为主要目的的恶意代码。病毒(Virus):病毒是通过感染计算机文件进行传播,以破坏或篡改用户数据,影响信息系统正常运行为主要目的恶意代码。蠕虫(Worm):指能自我复制和广泛传播,以占用系统和网络资源为主要目的的恶意代码。按照传播途径,蠕虫可进一步分为:邮件蠕虫、即时消息蠕虫、U盘蠕虫、漏洞利用蠕虫和其它蠕虫五类。僵尸(Bot):僵尸程序是用于构建僵尸网络以形成大规模攻击平台的恶意代码。僵尸网络是被黑客集中控制的计算机群。也可以说是木马的变种。病毒、木马、蠕虫一般人均习惯称为:病毒!计算机病毒有三大特点:传染性、隐蔽性、破坏性。计算机科学与信息学院44、什么是信息安全、什么是信息安全信息安全有许多种定义,但下面观点基本一致:信息安全是指通过投入和消耗一定的资源来保护信息的私密性、完整性、可用性、可控性、不可否认性、真实性。计算机科学与信息学院什么是信息安全什么是信息安全••私密性私密性:保证信息不被窃取。••完整性完整性:保证信息不被篡改和伪造。••可用性可用性:保证信息与信息系统随时可以使用。••可控性可控性:保证能够控制使用信息资源的人或主体对资源的使用。••不可否认性不可否认性:也称抗抵赖性。计算机科学与信息学院进不来进不来拿不走拿不走改不了改不了跑不了跑不了看不懂看不懂5、信息安全的目的可审查可审查打不烂打不烂计算机科学与信息学院66、信息安全是一个综合性学科、信息安全是一个综合性学科物理实体安全措施数据信息安全软件系统安全措施通信网络安全措施硬件系统安全措施管理细则保护措施法律法规道德纪律信息安全七层模型计算机科学与信息学院77、、信息安全保障体系信息安全保障体系•信息安全保障体系,就是关于信息安全防范系统的高层概念抽象,它由各种信息安全防范单元组成,各组成单元按照一定的规则关系,能够有机集成起来,共同实现信息安全目标。•信息安全保障体系由组织体系、技术体系和管理体系组成。••安全安全==风险分析风险分析++执行策略执行策略++系统实施系统实施++漏漏洞监测洞监测++实时响应实时响应计算机科学与信息学院信息安全的发展的三个阶段信息安全的发展信息安全的发展的三个阶段的三个阶段•信息安全3个阶段:•20世纪60年代:倡导通信保密措施•20世纪60到70年代:逐步推行计算机安全、20世纪80年代到90年代:信息安全概念被提出•20世纪90年代以后:开始倡导信息保障(IA,InformationAssurance)。计算机科学与信息学院认证中心CA信息安全是一个系统信息安全是一个系统(企业网(企业网))Internet服务提供商内部网客户IDS安全审计路由器VPN网关MessageMessage家庭用户安全扫描器防火墙防病毒PolicyPolicyPolicy安全策略变更Policy策略服务器策略控制器服务器池集中的安全策略(方针)管理集中的安全策略(方针)管理计算机科学与信息学院P2DRP2DR信息安全保障体系信息安全保障体系以Policy(安全策略)为中心的Protection(防护)、Detection(检测)和Response/Recovery)(响应/恢复)组成了一个完整的、动态的安全循环。计算机科学与信息学院ISAF信息安全保障模型•ISAF模型¾美国国际互联网安全系统公司(ISS)近年提出的“信息安全保障框架模型”,即ISAF模型,如图所示。图ISAF模型安全需求计算机科学与信息学院二、二、信息安全管理及重要性信息安全管理及重要性•“三分技术,七分管理”这个在其他领域总结出来的实践经验和原则,在信息安全领域也同样适用。据有关部门统计,在所有的计算机安全事件中,约有52%是人为因素造成的,25%由火灾、水灾等自然灾害引起,技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员的攻击造成。简单归类,属于管理方面的原因比重高达70%以上,而这些安全问题中的95%是可以通过科学的信息安全管理来避免。因此,管理已成为信息安全保障能力的重要基础。目前,信息安全管理已成为世界信息安全研究领域的热点、重点和难点。•信息安全的建设是一个系统工程,它需求对信息系统的各个环节(包括信息的产生、收集、加工、交换、存储、检索、存档、销毁等)进行统一的综合考虑、规划和构架,并要时时兼顾组织内外不断发生的变化,任何环节上的安全缺陷都会对系统构成威胁。•目前管理与技术的脱节是信息安全的通病。这必然使信息安全的“木桶”出现短板。计算机科学与信息学院1、信息安全管理的地位人管理技术预警W反击C恢复P保护P检测D反应R计算机科学与信息学院保证信息的使用安全保证信息载体的运行安全信息的使用安全是通过实现信息的机密性、完整性和可用性、可控性、不可否认性这些安全属性来保证的。信息载体包括处理载体、传输载体、存储载体和入出载体,其运行安全就是指计算系统、网络系统、存储系统和外设系统能够安全地运行。信息安全管理的任务计算机科学与信息学院•达到信息系统所需的安全级别,将风险控制在用户可以接受的程度。•信息安全管理的对象从内涵上讲是指信息及其载体——信息系统,从外延上说其范围由实际应用环境来界定。信息安全管理的目标计算机科学与信息学院(1)策略指导原则--统一的策略指导(2)风险评估原则--依据风险评估的结果(3)预防为主原则(4)适度安全原则--费用与风险控制的平衡(5)立足国内原则--关键技术和核心技术(6)成熟技术原则(7)规范标准原则(8)均衡防护原则--木桶原理(9)分权制衡原则(10)全体参与原则(11)应急恢复原则(12)持续发展原则信息安全管理的原则计算机科学与信息学院22、、信息安全管理的思想框架信息安全管理的思想框架系统规划管理机构和人员政策和制度系统设计管理系统实施管理系统运行维护管理系统废弃管理信息系统生命周期检查和监督管理(含管理人员、管理制度、管理机构)指导限制执行监督计算机科学与信息学院33、信息安全管理体系、信息安全管理体系ISMSISMS•企业建立一个完整的信息安全管理体系,对信息安全进行动态的、以分析企业面临的安全风险为起点对企业的信息安全风险进行动态的、全面的、有效的、不断改进的管理,并强调信息安全管理的目的是保持企业业务的连续性不受信息安全事件的破坏,要从企业现有的资源和管理基础为出发点,建立信息安全管理体系(ISMS),不断改进信息安全管理的水平,使企业的信息安全以最小代价达到需要的水准。•保护信息安全,建立信息安全管理体系是机构或企业营运的重要工作之一。计算机科学与信息学院信息安全管理体系信息安全管理体系ISMSISMSInformationSecurityManagementSystem••PDCAPDCA模型模型计算机科学与信息学院PDCA模型•规划(建立信息安全管理体系)–建立与管理风险和改进信息安全有关的安全策略(policy)、目标、目的、过程和程序,以达到与组织整体策略和目标相适应的结果。•实施(实施和运行信息安全管理体系)–实施和运行信息安全策略、控制措施、过程和程序。•检查(监控和评审信息安全管理体系)–对照ISMS策略、目标和实践经验,评估并在适当时测量过程的执行情况,并将结果报告管理者以供评审。•处置(维护和改进信息安全管理体系)–基于ISMS内部审核和管理评审的结果或者其他相关信息,采取纠正和预防措施,以持续改进ISMS。计算机科学与信息学院建立信息安全管理体系计算机科学与信息学院4、信息安全管理体系的实施基础知识培训(基础知识培训(持续改善安全策略评估检查执行计划管理评审确定范围风险分析控制目标与控制方式适用性声明业务持续计划组织安全资产分类与控制人员安全实物与环境安全重要作业的保护包含保护的资料法律法规的符合性安全策略符合性安全技术的符合性信息安全管理体系的实施基本上是按照下面来进行的计算机科学与信息学院信息安全的起点信息安全的起点•许多控制措施被认为是实现信息安全的良好起点,有两个大的方面。–1、基于法律方面•知识产权保护•个人隐私保护•等–2、基于信息安全的常用惯例的控制措施•建立信息安全策略•建立信息安全组织•资产分类与管理•等计算机科学与信息学院建立安全要求建立安全要求•组织识别出其安全要求是非常重要的,安全要求有三个主要来源:•a)一个来源是通过对组织进行风险的评估获得。并考虑到组织的整体业务策略与目标。通过风险评估.识别资产受到的威胁,评价遭受威胁的脆弱性和威胁发生的可能性,估计潜在的影响;•b)另一个来源是组织、贸易伙伴、承包方和服务提供者必须满足的法律、法规、规章和合同要求,以及他们的社会文化环境;•c)进一步的来源是组织开发的支持其运行的信息处理的原则、目标和业务要求的特定集合。计算机科学与信息学院信息安全的风险评估与风险控制措施选择信息安全的风险评估与风险控制措施选择••评估安全风险评估安全风险–风险评估宜定期进行。–安全要求是通过对安全风险的系统评估予以识别的。用于风险控制措施的支出需要针对可能由安全失效导致的业务损害加以平衡。–风险评估的结果将帮助指导和决定适当的管理行动、管理信息安全风险的优先级以及实现所选择的用以防范这些风险的控制措施。••选择风险控制措施选择风险控制措施–一旦安全要求和风险已被识别并已作出风险处置决定.则宜选择并实现合适的控制措施,以确保风险降

1 / 54
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功