1-信息安全管理体系建设

©2015绿盟科技信息安全管理体系建设绿盟科技：冯冲ISO27001LAPMPCISP2015-081信息安全基本概述2信息安全管理体系建设目录信息安全基本概述请思考：什么是信息安全？什么是网络安全？信息安全基本概念我们要保护什么资产硬件软件信息服务人员无形任何对组织有价值的东西•ISO17799中的描述“Informationisanassetwhich,likeotherimportantbusinessassets,hasvaluetoanorganizationandconsequentlyneedstobesuitablyprotected.”“Informationcanexistinmanyforms.Itcanbeprintedorwrittenonpaper,storedelectronically,transmittedbypostorusingelectronicmeans,shownonfilms,orspokeninconversation.•强调信息：是一种的资产对组织具有价值,同其它重要的商业资产一样需要适当的保护以各种形式存在：如纸、电子数据、视屏、交谈等等。什么是信息？147号令中的描述信息：是指在信息系统中存储、传输、处理的数字化信息。什么是信息安全?•ISO17799中的描述“Informationsecurityprotectsinformationfromawiderangeofthreatsinordertoensurebusinesscontinuity,minimizebusinessdamageandmaximizereturnoninvestmentsandbusinessopportunities.”•信息安全：保护信息免受各方威胁确保组织业务连续性将信息不安全带来的损害降低到最小获得最大的投资回报和商业机会网络安全：是指计算机网络环境下的信息安全。是实现信息安全的手段之一。信息安全的属性（CIA）•ISO17799中的描述Informationsecurityischaracterizedhereasthepreservationof:ConfidentialityIntegrityAvailability•信息在安全方面三个属性：保密性：确保只有被授权的人才可以访问信息；完整性：确保信息和信息处理方法的准确性和完整性；可用性：确保在需要时，被授权的用户可以访问信息和相关的资产。实施信息安全管理的必要性信息安全的攻击和防护严重不对称，相对来说攻击成功很容易，防护成功却极为困难信息安全水平的高低遵循木桶原理：信息安全水平有多高，取决于防护最薄弱的环节信息安全水平被侵害的资产防护措施信息系统安全保障模型技术过程管理人员保证对象生命周期信息特征安全技术工程过程安全管理人员保障要素信息系统生命周期安全特征P2DR2安全攻防模型P2DR模型是一个从安全攻防角度来考虑的动态的安全模型。该模型提出的一项安全目标是：•安全防护时间（Pt）安全检测时间（Dt）+安全响应时间（Rt）•暴露时间（Et）=安全检测时间（Dt）+安全响应时间（Rt）早于攻击者发现漏洞，并将其修补安全的本质/***/#includestdio.hintmain(intargc,char*argv[]){char*str=Hello;char*p=NULL;char*format=%s%s\n;if(argc1){p=argv[1];}else{p=(char*)getenv(USER);}printf(format,str,p);}/***/#includestdio.hintmain(intargc,char*argv[]){char*str=Hello;char*p=NULL;char*format=%s%s\n;if(argc1){p=argv[1];}else{p=(char*)getenv(USER);}printf(format,str,p);}安全事件关键词NumTypeDispEnbAddressWhat1breakpointkeepy0x0804836cinmainattgdb.c:7breakpointalreadyhit1time2breakpointkeepy0x4204f0e6printf+6(gdb)delete1(gdb)infobreakNumTypeDispEnbAddressWhat2breakpointkeepy0x4204f0e6printf+6(gdb)disassmainDumpofassemblercodeforfunctionmain:0x0804835cmain+0:push%ebp0x0804835dmain+1:mov%esp,%ebp0x0804835fmain+3:sub$0x18,%esp0x08048362main+6:and$0xfffffff0,%esp0x08048365main+9:mov$0x0,%eax0x0804836amain+14:sub%eax,%esp0x0804836cmain+16:movl$0x804846c,0xfffffffc(%ebp)0x08048373main+23:movl$0x0,0xfffffff8(%ebp)0x0804837amain+30:movl$0x8048472,0xfffffff4(%ebp)0x08048381main+37:cmpl$0x1,0x8(%ebp)0x08048385main+41:jle0x8048394main+560x080483b3main+87:call0x804829cprintf0x080483b8main+92:add$0x10,%esp0x080483bbmain+95:leave0x080483bcmain+96:retEndofassemblerdump.(gdb)inforegeax0x00ecx0x420155541107383636edx0x40016c681073835112ebx0x42130a141108544020esp0xbffffad00xbffffad0ebp0xbffffae80xbffffae8esi0x400153601073828704edi0x80483f0134513648eip0x804836c0x804836ceflags0x282642cs0x73115ss0x7b123信息泄漏APT-先进持续性威胁震网病毒Anonymous僵尸网络信息安全的内忧外患工业基础设施安全Zeus网络钓鱼拖库传统的网络攻击流程侦查定位/绘制目标系统/网络渗透拒绝服务扩大战果打扫战场•社会工程•物理侦查•侦查•IP/网络侦查•DNS侦查•网络绘制•端口扫描•脆弱性扫描•研究和探查脆弱性•基于系统•基于网络•帐号/口令破解•应用攻击•缓存侵犯•文件系统攻击•编程战术•进程操作•Shell攻击•会话劫持•伪装•基于状态攻击•流量捕获•信任关系侵犯•扩展访问（操作系统和网络）•扩展访问：特洛伊木马、后门、Rootkits、内核级Rootkits•躲避安全控制•日志、审计和IDS躲避•取证躲避“下一代威胁”来势汹汹什么是“APT”？有特定目标企业机构商业信息国家政治军事核心机密持续时间长信息收集过程攻击流程设计隐蔽性强无明显破坏性往往从内部发起“钓鱼”攻击实例访问mail.XXX.com.cn，利用”整站下载器”研究出登陆是post到某地址,进行验证、登陆制作一个简单的能够接收参数的php将“钓鱼”页面发布到一个免费空间伪造身份给员工发送包含“钓鱼”页链接邮件收获！下载整个网站目录结构获取员工登录邮箱系统后的验证过程方式制作“钓鱼”页面使员工能够从互联网访问“钓鱼”页面引“鱼”上钩仅15分钟，成功捕获几个员工登陆授权信息“鱼”上钩了APT攻击实例对此网站SQL注入，拿到日志数据信息利用网站XSS漏洞，给管理员发诱骗邮件再次给管理员发诱骗邮件，利用浏览器0day利用ERPweb服务tomcat0day伪造身份给研发发送包含恶意链接的邮件利用研发就餐时间，修改项目代码项目上线，利用后门拿下服务器，黑客持续潜伏得到管理员邮箱获取管理员计算机操作系统和浏览器版本信息管理员计算机植入木马控制管理员计算机获取ERP数据库得到项目研发人员邮箱控制该项目研发人员计算机在项目代码中留下后门计算环境变化InternetEnterpriseDataCenterEmployeeIntranetTodayPublicCloudCommunityCloudInternetPrivateCloudBrowserBasedCloudClientTomorrow3rdParty传统安全产品逐渐钝化业务越来越复杂，新应用太多，用户位置多变，终端BYOD多样化并且很难规范化端口失效-ApplicationsIP地址失效-Users数据包层面的检查失效-Content攻击变化太快，现有的黑名单机制总是更新不及时AdvancedMalware，Zero-Day，TargetedAPTAttacks病毒样本难以计数，反病毒程序过度消耗计算资源，主机难堪其重病毒样本库更新太慢“特征”匹配很容易被“躲避”…信息安全保障体系建设烟草十二五规划“2419”安全架构动态安全保障体系静态安全保障体系安全技术计算环境安全管理制度检查与考核教育与培训日常安全管理体系建设适情修订制度执行专项检查安全指标体系全面检查定期考核安全意识CISP（技术）安全技能CISE（管理）人员安全项目建设安全安全审计安全测评态势分析应急保障安全监控预警通告风险分析应急组织应急演练应急预案设备状态系统应用安全事件终端安全登陆认证行为管理主机安全访问控制补丁管理病毒防护补丁管理移动介质管理安全配置违规外联策略管理应用安全身份认证用户管理访问控制开发安全数据安全传输安全存储安全数据备份区域边界安全域划分与隔离入侵防御边界安全准入防篡改通信网络网络冗余网络传输安全网络流量管理网络节点安全支撑基础设施公钥基础设施（PKI/CA)同城异地容灾基础设施物理安全门禁电力保障环境监控温湿度控制安全策略动态与静态结合技术与管理同步安全管理平台应急响应事件处理容灾恢复烟草行业信息安全体系建设规范YCT453-2012安全策略技术体系运维体系管理体系组织机构访问控制信息系统完整保护系统与通信保护物理与环境保护监测与响应备份与恢复规章制度人员安全安全意识和培训流程与规范安全分级风险评估阶段性工作计划采购与实施过程管理日常运维管理应急计划与应急响应信息安全体系建设是管理与技术同步，集“组织机构、规章制度、技术架构”三位一体的系统工程。行业信息安全体系的建设与发展遵循《ISO/IEC27001:2005信息安全管理系统要求》提出的PDCA循环模式。CT-155——行业网络安全技术架构什么是ISMS组织整体管理体系的一部分，基于业务风险方法以建立、实施、运行、监控、评审、保持和改进信息安全。---ISO/IEC27000:2014信息安全管理的作用一．信息安全管理是组织整体管理的重要、固有组成部分，是组织实现其业务目标的重要保障二．信息安全管理是信息安全技术的融合剂，保障各项技术措施能够发挥作用三．信息安全管理能预防、阻止或减少信息安全事件的发生3分技术7分管理？对信息安全正确的理解安全不是产品的简单堆积，也不是一次性的静态过程，它是人员、技术、操作三者紧密结合的系统工程，是不断演进、循环发展的动态过程。IATF信息安全管理体系，包括的要素有：信息安全组织架构信息安全方针信息安全规划活动信息安全职责信息安全相关的实践、规程、过程和资源......这些要素既相互关联又