信息安全管理基础培训

©2006-2007AryasecInformationTechnologyLimited中远网络(北京)有限公司信息安全管理体系基础培训北京安言信息技术有限公司©2006-2007AryasecInformationTechnologyLimited欢迎您参加这次《信息安全管理体系基础知识》培训班，本课程是我们特意为北京中远网络公司度身定制的，旨在引领大家理解信息安全管理最佳实践，以便更好地开展即将启动的项目。衷心祝愿您在整个课程过程中与我们度过紧凑而富有成效的美好时光。关于课程内容及授课效果的意见和建议，请及时反馈给我们，以便我们改进自身工作。再次欢迎您的参与，真诚感谢您的支持与合作！©2006-2007AryasecInformationTechnologyLimited我们的目标•理解信息、信息安全和信息安全管理•理解信息安全风险评估与风险管理•理解BS7799/ISO27001标准本身的条款内容•掌握一种实施ISMS的方法和途径•了解ISO27001认证的完整过程•用ISO27001指导企业进行信息安全的各项活动©2006-2007AryasecInformationTechnologyLimited•第一部分–信息安全概述–BS7799/ISO27001简介–信息安全管理与认证之道•第二部分–风险评估与管理过程及方法–Part1－信息安全管理实施细则–Part2－信息安全管理体系规范•总结和展望内容目录©2006-2007AryasecInformationTechnologyLimited•积极参与，小组讨论，活跃气氛•遵守时间•请将移动电话设置为震动•有问题请随时提出课堂注意事项©2006-2007AryasecInformationTechnologyLimited让我们开始吧！©2006-2007AryasecInformationTechnologyLimited什么是信息？什么是信息安全？为什么要强调信息安全管理？怎样做好信息安全管理？什么是BS7799/ISO27001？BS7799/ISO27001对信息安全管理有什么指导意义？信息安全管理体系如何认证？需要首先搞清楚的几个问题©2006-2007AryasecInformationTechnologyLimited•第一部分–信息安全概述–BS7799/ISO27001简介–信息安全管理与认证之道•第二部分–风险评估与管理过程及方法–Part1－信息安全管理实施细则–Part2－信息安全管理体系规范•总结和展望©2006-2007AryasecInformationTechnologyLimited什么是信息？信息安全概述©2006-2007AryasecInformationTechnologyLimited什么是信息？消息、信号、数据、情报和知识信息本身是无形的，借助于信息媒体以多种形式存在或传播：•存储在计算机、磁带、纸张等介质中•记忆在人的大脑里•通过网络、打印机、传真机等方式进行传播信息借助媒体而存在，对现代企业来说具有价值，就成为信息资产：•计算机和网络中的数据•硬件、软件、文档资料•关键人员•组织提供的服务具有价值的信息资产面临诸多威胁，需要妥善保护有价值的内容——ISO9000信息安全概述©2006-2007AryasecInformationTechnologyLimited企业信息安全管理关注的信息类型内部信息组织不想让其竞争对手知道的信息客户信息顾客/客户不想让组织泄漏的信息共享信息需要与其他业务伙伴分享的信息信息安全概述©2006-2007AryasecInformationTechnologyLimited信息的处理方式创建传递销毁存储使用更改信息安全概述©2006-2007AryasecInformationTechnologyLimited什么是信息安全？信息安全概述©2006-2007AryasecInformationTechnologyLimited采取措施保护信息资产，使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。信息安全概述©2006-2007AryasecInformationTechnologyLimited信息安全的发展历史20世纪60年代前60年代到80年代20世纪80年代末以后•电话、电报、传真•强调的是信息的保密性•对安全理论和技术的研究只侧重于密码学•通信安全，即COMSEC•计算机软硬件极大发展•关注保密性、完整性和可用性目标•信息安全，即INFOSEC•代表性成果是美国的TCSEC和欧洲的ITSEC测评标准•互联网技术飞速发展，信息无论是对内还是对外都得到极大开放•信息安全从CIA中又衍生出可控性、抗抵赖性、真实性等特性，并且从单一的被动防护向全面而动态的防护、检测、响应、恢复发展•信息保障（InformationAssurance），从整体角度考虑安全体系建设•美国的IATF规范信息安全概述©2006-2007AryasecInformationTechnologyLimitedCIAonfidentialityntegrityvailability信息安全基本目标信息安全概述©2006-2007AryasecInformationTechnologyLimited企业重大泄密事件屡屡发生信息安全概述©2006-2007AryasecInformationTechnologyLimited敏感信息遭受篡改也会导致恶劣后果信息安全概述©2006-2007AryasecInformationTechnologyLimited破坏导致系统瘫痪后果非常严重信息安全概述©2006-2007AryasecInformationTechnologyLimitedC保密性（Confidentiality）——确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。完整性（Integrity）——确保信息在存储、使用、传输过程中不会被非授权篡改，防止授权用户或实体不恰当地修改信息，保持信息内部和外部的一致性。可用性（Availability）——确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。CIA三元组是信息安全的目标，也是基本原则，与之相反的是DAD三元组：C.I.A.和D.A.D.IADisclosureAlterationDestruction泄漏破坏篡改信息安全概述©2006-2007AryasecInformationTechnologyLimitedConfidentiality机密性Availability可用性Integrity完整性信息安全概述©2006-2007AryasecInformationTechnologyLimited其他概念和原则私密性（Privacy）——个人和组织控制私用信息采集、存储和分发的权利。身份识别（Identification）——用户向系统声称其真实身份的方式。身份认证（Authentication）——测试并认证用户的身份。授权（Authorization）——为用户分配并校验资源访问权限的过程。可追溯性（Accountability）——确认系统中个人行为和活动的能力。抗抵赖性（Non-repudiation）——确保信息创建者就是真正的发送者的能力。审计（Audit）——对系统记录和活动进行独立复查和审核，确保遵守性信息安全概述©2006-2007AryasecInformationTechnologyLimited信息安全的重要性信息作为资产，就像其他重要的商务资产那样，有价值，因而要妥善保护信息安全是国家安全的需要信息安全是维持组织竞争优势、赢利能力、守法性和企业形象的保障之一信息安全是保护个人隐私与财产的需要许多组织都曾面临过严重的威胁，包括基于计算机的欺诈和蓄意破坏现在，组织又面临更复杂的威胁，例如计算机病毒、黑客和拒绝服务攻击网络技术的高速发展增加了对计算机系统未授权访问的机会组织跨地区分布，集中式的、专家控制为主的信息安全管理系统比较困难许多信息系统的设计本身就不安全通过技术手段获得的安全是有限的，还应该通过恰当的管理和程序来支持信息安全概述©2006-2007AryasecInformationTechnologyLimited法律法规与合同要求组织原则目标和业务需要风险评估的结果从什么方面考虑信息安全？信息安全概述©2006-2007AryasecInformationTechnologyLimited常规的技术措施物理安全技术：环境安全、设备安全、媒体安全系统安全技术：操作系统及数据库系统的安全性网络安全技术：网络隔离、访问控制、VPN、入侵检测、扫描评估应用安全技术：Email安全、Web访问安全、内容过滤、应用系统安全数据加密技术：硬件和软件加密，实现身份认证和数据信息的CIA特性认证授权技术：口令认证、SSO认证（例如Kerberos）、证书认证等访问控制技术：防火墙、访问控制列表等审计跟踪技术：入侵检测、日志审计、辨析取证防病毒技术：单机防病毒技术逐渐发展成整体防病毒体系灾难恢复和备份技术：业务连续性技术，前提就是对数据的备份信息安全概述©2006-2007AryasecInformationTechnologyLimited防火墙网络入侵检测病毒防护主机入侵检测漏洞扫描评估VPN通道访问控制信息安全概述©2006-2007AryasecInformationTechnologyLimited有没有更好的途径？信息安全概述©2006-2007AryasecInformationTechnologyLimited信息安全管理信息安全的成败取决于两个因素：技术和管理。安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂。人们常说，三分技术，七分管理，可见管理对信息安全的重要性。信息安全管理（InformationSecurityManagement）是组织完整的管理体系中一个重要的环节，它构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产。现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的，理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标来说尤其重要。信息安全管理的核心就是风险管理。信息安全概述©2006-2007AryasecInformationTechnologyLimited信息安全管理面临的一些问题国家的信息安全法律法规体系建设还不是很完善组织缺乏信息安全意识和明确的信息安全策略对信息安全还持有传统的认识，即重技术，轻管理安全管理缺乏系统管理的思想，还是就事论事式的静态管理信息安全概述©2006-2007AryasecInformationTechnologyLimited调查显示有8成企业安全管理不理想信息安全概述©2006-2007AryasecInformationTechnologyLimited各行业安全管理状况都不容乐观信息安全概述©2006-2007AryasecInformationTechnologyLimited安全管理各方面能力都很低下信息安全概述©2006-2007AryasecInformationTechnologyLimited信息安全管理应该是体系化的信息安全必须从整体去考虑，必须做到“有计划有目标、发现问题、分析问题、采取措施解决问题、后续监督避免再现”这样的全程管理的路子这就是信息安全管理体系，它应该成为组织整体经营管理体系的一部分务必重视信息安全管理加强信息安全建设工作信息安全概述©2006-2007AryasecInformationTechnologyLimited怎样实现信息安全？信息安全