信息安全体系规划与建设信息安全概述信息安全体系建设风险管理信息安全服务过程可供借鉴的范围和标准信息安全概述信息和信息安全组织的信息安全需求来源怎样实现信息安全信息安全技术信息安全管理对信息安全的正确认识信息和信息安全(一)什么是信息信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。通常情况下,可以把信息可以理解为消息、信号、数据、情报和知识。对现代企业来说:信息是一种资产,可以通过媒介传播。信息和信息安全(二)什么是信息安全保护信息系统的硬件、软件及相关数据,使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行。信息安全的任务:采取措施(技术手段及有效管理)让信息资产免遭威胁,或者将威胁带来的后果降到最低程度。信息和信息安全(三)信息安全要素现代信息安全通常强调所谓CIA三元组的目标,即保密性、完整性和可用性。•除了CIA,信息安全还有一些其他原则,包括可追溯性、抗抵赖性、真实性、可控性等。组织的信息安全需求来源法律法规与合同条约的要求组织的原理、目标和规定风险评估的结果(风险评估是信息安全管理的基础)怎样实现信息安全--技术路线信息安全技术包括以下这些技术物理安全系统安全网络安全应用安全数据安全认证授权访问控制扫描评估审计跟综病毒防护备份恢复安全管理怎样实现信息安全--管理路线信息安全管理解决信息及信息系统的安全问题,取决于两个因素,一个是技术,另一个是管理。信息安全管理(InformationSecurityManagement)作为组织完整的管理体系中一个重要的环节,构成了信息安全具有能动性的部分,是指导和控制组织的关于信息安全风险的相互协调的活动,其针对对象就是组织的信息资产。安全管理也要解决组织、制度和人员这三方面的问题对信息安全的正确认识对信息安全的错误观念网络安全和信息安全的概念混淆重视技术,轻视管理重视产品功能,轻视人为因数重视对外安全,轻视对内安全静态不变的观念缺乏整体性信息安全体系的考虑纠正以上错误认识,可以简单概括一下对信息安全应该持有的正确的认识:安全不是产品的简单堆积,也不是一次性的静态过程,它是人员、技术、操作这三种要素紧密结合的系统工程,是不断演进、循环发展的动态过程。信息安全体系建设信息安全体系的概念信息安全体系的发展历程信息安全体系的典型特点提出一种新的安全体系模型—P-POT-PDR如何建设信息安全体系什么是信息安全系统信息安全建设的指导方针,及实施依据;做为信息安全建设的指导方针,安全体系的设计应该体现出可靠性、完备性、可行性、可扩展性和经济实用性等原则;设计安全体系的目的:从管理和技术上保证安全策略得以完整准确地实现,安全需求得以全面准确地满足。信息安全体系的发展ISO7498-2安全体系结构P2DR安全模型PDRR安全模型IATF信息保障技术框架BS7799标准提出的信息安全管理体系ISO27001:2005信息安全体系的发展ISO27001:2005是建立信息安全管理系统(ISMS)的一套需求规范标准族内容:ISO/IEC27000,基础和术语。ISO/IEC27001,信息安全管理体系要求。ISO/IEC27002,信息安全管理体系最佳实践。ISO/IEC27003,ISMS实施指南,正在开发。ISO/IEC27004,信息安全管理度量和改进,正在开发。ISO/IEC27005,信息安全风险管理指南,以2005年底刚刚推出的BS7799-3(基于ISO/IEC13335-2)为蓝本。信息安全的典型特点全面性层次性过程性动态性相对性可管理性信息安全体系模型——P-POT-PDRP-POT-PDRR模型的核心思想在于:通过人员组织、安全技术以及运行操作三个支撑体系的综合作用,构成一个完整的信息安全管理体系。P-POT-PDRR,即Policy(策略)、People(人)、Operation(操作)、Technology(技术)、Protection(保护)、Detection(检测)、Response(响应)和Recovery(恢复)的首字母缩写P-POT-PDRR安全体系模型信息安全体系模型——P-POT-PDRP-POT-PDRR安全体系框架如何建设信息安全系统信息安全管理体系(ISMS)的建设过程信息安全整体规划的实践蓝图安全管理组织机构信息安全体系环境安全网络系统本身安全信息存储安全物理安全网络安全信息安全管理安全网络系统运行安全媒体安全设备安全信息传输安全信息内容安全审计设备防盗监控系统机房门禁管理系统机房信号屏蔽系统安全防雷系统内网访问控制系统外网访问控制系统网络反病毒系统网络安全检测系统审计与监控系统备份、恢复系统数据库安全系统终端安全系统信息内容审计系统数据加密系统数据完整性系统数字签名系统安全管理的实现安全管理原则多人负责职责分离根据企业需求建立相关的组织、管理和技术机构等级保护标准信息系统安全等级保护定级指南定级规则行业定级规则安全域划分安全策略设计管理策略推广整改建议系统整改信息系统系统调研、子系统统划分系统定级等级安全指标体系设计解决方案设计技术方案实施等级保护测评系统安全运维系统更新信息系统安全等级保护实施指南信息系统安全等级保护基本要求等级评估安全规划设计自评估信息系统安全等级保护测评准则行业定级知识库行业等级指标库等级测评规则库系统等级评估等级安全体系规划安全建设运维风险管理风险管理的核心作用风险管理的基本概念风险管理的前期准备确定信息安全目标和战略建立信息安全策略风险评估风险评估的概念风险评估的可行途径风险评估的常用方法风险评估的工具风险评估的基本过程风险消减风险控制风险管理的跟进活动风险管理的核心作用风险管理就是识别风险、评估风险、采取对策将风险消减到可接受水平,保证信息资产的保密性、完整性、可用性。风险管理的核心作用(二)风险管理周期模型与信息安全管理过程相同,风险管理也是一个动态发展并不断循环的过程风险管理的基本概念信息安全风险管理过程中牵涉到诸多要素或者概念,包括:资产(Asset)威胁(Threat)弱点(Vulnerability)风险(Risk)可能性(Likelihood)影响(Impact)安全措施(Safeguard)残留风险(ResidualRisk)风险管理各要素之间的关系风险管理的前期准备(一)1、确定信息安全目标和战略信息安全目标确保客户、委托人、股东、纳税人对组织的产品、服务、信誉具有足够的信心。确保与雇员、客户、消费者和受益人相关的信息资料的保密性。保护敏感的商务数据,使其免遭不恰当的泄漏。避免因为组织的计算机或网络资源被利用来实施非法或恶意操作而承担第三方责任。确保组织的计算机、网络和数据资源不被误用或浪费。防止欺诈。遵守相关的法律法规。信息安全战略全组织范围内应采用的风险评估战略和方法对信息安全策略的需求„对系统安全操作程序的需求全组织范围内的信息敏感性分类方案与其他组织连接时需要满足的条件和检查方法事件处理方案其中,对风险评估战略和方法的考虑是风险管理周期很重要的一个前提,只有事先确定了风险评估的途径,风险评估或风险分析活动才能有据而行。风险管理的前期准备(二)2、建立信息安全策略信息安全策略(InformationSecurityPolicy)也称做信息安全方针,它是在一个组织内指导如何对包括敏感信息在内的资产进行管理、保护和分配的规则和指示。阐述的不同层次来看,信息安全策略可以分为三类:总体方针特定问题策略特定系统策略风险评估(一)风险评估的概念风险评估是对信息资产面临的威胁、存在的弱点、造成的影响,以及三者综合作用而带来风险的可能性的评估。风险评估的任务风险评估的过程每项资产可能面临多种威胁,威胁源(威胁代理)可能不止一个,每种威胁可能利用一个或多个弱点。风险评估(二)风险评估的可行途径基线评估详细评估组合评估风险评估常用方法基于知识的分析方法基于模型的分析方法风险评估(三)风险评估常用方法(续)定性分析首先,识别资产并为资产赋值;通过威胁和弱点评估,评价特定威胁作用于特定资产所造成的影响,即EF(取值在0%~100%之间);计算特定威胁发生的频率,即ARO;计算资产的SLE:SLE=AssetValue×EF计算资产的ALE:ALE=SLE×ARO定性分析风险评估(四)风险评估工具利用一些辅助性的工具和方法来采集数据调查问卷检查列表人员访谈漏洞扫描器渗透测试一些专用的自动化的风险评估工具foundstoneCOBRACRAMMASSET风险评估(五)风险评估的基本过程风险评估完整的过程模型风险评估(八)风险消减确定风险消减策略选择安全措施制定安全计划实施安全计划检查和测试风险评估(九)风险控制维护监视事件响应安全意识、培训和教育再评估与认证风险管理的跟进活动配置管理变更管理业务连续性计划和灾难性恢复计划信息安全服务过程信息安全服务概述信息安全服务模型----P-PADIS-T信息安全服务分类信息安全服务过程详解安全策略准备阶段评估阶段设计阶段实施阶段支持阶段安全培训信息安全服务的有效保障信息安全服务概述对于信息安全建设,现在更为有效也更切合实际的,就是基于服务的工程化方法。基于服务的信息安全建设方案,侧重点不再是技术产品,而是组织不断发展变化的安全需求,这种需求是建立在对组织业务及信息系统充分了解的基础之上的。帮助组织建立和巩固完善的信息安全体系的一系列活动都属于安全服务的范畴。信息安全服务模型——P-PADIS-T(一)P-PADIS-T分别代表的是Policy(策略)、Preparation(准备)、Assessment(评估)、Design(设计)、Implement(实施)、Support(支持)和Training(培训)的首字母缩写中心思想是:以安全策略为核心,以准备、评估、设计、实施和支持等环节的阶段性服务活动为途径,以培训为保障的完整的信息安全服务解决方案。P-PADIS-T信息安全服务体系模型信息安全服务模型——P-PADIS-T(二)P-P-T模型中各个阶段是前后继承紧密结合的,前一阶段服务项目的输出是后一阶段服务项目的输入。如图,PPT模型中所包含的服务项目及其关系(输入输出)信息安全服务分类咨询服务工程服务支持服务培训服务信息安全服务详解(一)安全策略策略评估服务策略规划服务策略实施服务策略培训服务准备阶段前期咨询服务评估阶段安全服务扫描渗透测试服务体系评估服务风险评估服务信息安全服务详解(二)设计阶段安全需求定义安全体系设计实施阶段系统加固服务安全集成服务产品方案实施工程监理服务信息安全服务详解(三)支持阶段定期扫描评估定期系统加固安全审计服务应急响应服务攻击取证服务安全通告服务安全培训安全意识培训安全管理培训安全技术培训黑客攻防培训技术产品培训安全服务的有效保障健全的质量保证措施。安全服务的可信性、可靠性和完整性通过权威的独立第三方机构,对服务提供者进行测评和监理。近期项目介绍--实名制与单点登录公安部第82号令第七条互联网服务提供者和联网使用单位应当落实以下互联网安全保护技术措施:(三)记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施;第八条提供互联网接入服务的单位除落实本规定第七条规定的互联网安全保护技术措施外,还应当落实具有以下功能的安全