信息安全与风险管理

信息安全与风险管理安全管理安全管理风险管理信息安全策略规程标准方针基线信息分级安全组织安全教育安全管理主要内容及概述安全计划是公司的安全管理的核心组成部分，目的是保护公司财产。风险分析是确定公司财产，发现构成威胁的风险并评估这些危险变成现实的时可能承受的危害和损失，风险分析的结果帮助管理者采取可行的安全策略，为在公司中发生的活动提供安全方面的指导，说明安全管理在公司安全计划中的价值。安全教育将上面的信息灌输给公司中的每个员工，这样，每一个人都受到教育，从而能够更容易的朝着同一个安全目标前进。安全管理安全管理过程评定风险和确定需求监控和评估加强意识实施策略和控制安全管理过程是一个不断循环的过程；首先从评估风险和确定需求开始；然后监控和评估相关系统和事件；接下来是加强意识，这包括让企业中的所有相关人员了解需要处理的问题。最后一步是实施解决前面定义的风险和需求的策略和控制。然后这个循环再次从头开始。安全管理安全管理职责安全计划安全计划须包括目标、范围、方针、优先级、标准和策略。资源有人力资源、资本、硬件以及信息等多种形式。管理职责•管理者必须分配职责和任务，从而让安全计划启动并在环境改变的情况下任然能够运行下去。•管理者也必须将安全计划整合到目前的山野环境中，并监控他的完成情况。影响安全计划的因素•管理上的支持是安全计划最重要的因素之一。•从商业目标、安全风险、用户能力以及功能需求和目标，并制定计划，以保证问题都解释清楚而且正确表述。•依赖于对公司信息资产的正确识别、指定安全策略、过程、标准和准则，他们为资产提供了完整性、机密性和可用性。•使用一定的手段对安全风险进行评估和分析。•必要的资源、资金和战略代表需要参与到安全计划中来安全管理自顶向下的方法盖房子•确定蓝图•构建房基•构建框架•装修，详细的房间的布置制定安全计划•根据上级的主导思想和条款制定“蓝图”•开发和执行支持这个安全策略的规程、标准和方针•确定安全组件、构建安全过程•详细的配置设置和系统参数自底向上的方法：在没有足够的管理层支持和知道的时候，IT部门荣祥指定安全计划，就可以使用自底向上的方法；自底向上的方法通产不会很有效，不占主流，而且往往会失败。自顶向下的方法：这个过程坚实系统性的，需要较少的时间、金钱和资源，而且能够在功能和安全保护之间达到合理的平和。安全管理和支持控制管理的、技术的和物理的控制相互协作物理控制：设施保护、安全防护、锁定、监控、环境控制、入侵检测技术控制：逻辑访问控制、加密、安全设备、鉴别和认证管理控制：策略、标准、规程、方针、屏蔽人员、安全意识培训公司数据和财产安全指标安全管理和支持控制安全指标管理控制：包括开发和发布策略、标准、规程以及准则、风险管理，此外还有赛选人员、安全意识培训和变更控制过程。技术控制：包括访问控制机制、密码和资源管理、鉴别和认证方法、按去哪设别以及配置基础架构物理控制：包括控制个人访问设施和各部门，锁定系统，取出不必需要的软驱和CD-ROM驱动器、保护设施、检测润亲以及环境控制。安全管理和支持控制安全的基本原则安全原则可用性机密性完整性保密性（Confidentiality）:确保信息在存储、使用、传输过程中不会泄露给非授权用户或实体。完整性（Integrity）:确保信息在存储、使用、传输过程中不会被非授权篡改，防止授权用户或实体不恰当的修改信息，保持信息内部和外部的一致性。可用性（Availability）:确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。安全定义安全管理和支持控制脆弱性脆弱性（Vulnerability）是一种软件、硬件或是过程缺陷，这种缺陷也许会给攻击者提供正在寻找的方便之门，这样他就能够进入某台计算机或某个网络，并在这个系统中对资源进行未经授权的访问。威胁威胁（Threat）是威胁因素利用错若星所造成的损失的潜能或是可能性。暴露暴露（Exposure）是因威胁因素而遭受损失的一个案例。对策对策（countermeasure）或者安全措施，可以减轻潜在的风险。安全措施威胁因素威胁脆弱性风险资产暴露引起利用导致可以破坏并且引起一个不能够被预防，通过直接作用到机构安全框架在网络中评估这些概念的正确顺序为：威胁、暴露、脆弱性、对策，最后为风险。这是因为：如果具有某种威胁（新的SQL攻击），但是除非你所在公司存在对应的脆弱性（采用必要配置的SQL服务器），否则公司不会暴露在威胁之中，这也不会形成脆弱性。如果环境中确实存在脆弱性，就应该采取对应策略，以降低风险。安全管理和支持控制应用概念的顺序安全管理和支持控制安全框架总体安全机密性完整性可用性代价合理的解决方案安全措施对策法律责任安全意识系统可靠性策略和规程保护需求数据分级功能性评价定量和定性风险评估风险分析定义风险和威胁完整性完整性业务对象机构安全模型包括许多实体、保护机制、逻辑和物理组件、规程和配置组成这些因素在一起相互协作，能够为系统提供一定的安全级别。每个模型都是不相同的，但是所有的模型都分层；每层都为其上层提供支持并未下层提供保护。安全规划安全管理和支持控制安全规划可以分为三个不同的领域：战略、战术、运作规划。•战略规划指与商业和信息技术目标相一致的计划。战略规划的目标的视野更加长远，更加广阔，其期限可能长达五年。•战术规划指必须实施以达到战略规划所提出的更广泛的目标的活动和支持。一般来说与战略计划相比，战略规划的时间更短，或者其远景时间更短。•运作规划主要处理非常特殊的计划、他们的最终期限和目标。这包括完成计划目标的准确日期和时间表，以及如果完成这些目标的特别指导。日常目标或操作目标都集中在工作效率和面向任务的活动和说那个，这样才能保证公司的功能能够以一种平顺而且可以预见的方式实现。中期目标或战术目标，可能是将所有的工作站和资源都整合到一个地方，这样就可以实现集中控制。长期目标，或战略目标，可能会涉及到如下活动；将所有部门从专用通信线路转移到帧中继方式，为所有的远程用户转杯IPsec虚拟专用网；（VPN）以代替拨号方式，向系统中整个带有必要安全措施是的无线技术。安全框架-Cobit安全管理和支持控制信息及相关技术控制目标（Cobit）是信息系统审计和控制协会（ISACA）与信息技术治理学院（ITGI）共同开发的一个框架。它定义用于正确管理IT并确保IT满足商业需求的控制目标。Cobit分为四个领域：计划和组织、获取和实施、交付和支持、监控和评估。每个类别又细分为两个子类。Cobit通过这些领域提供控制目标、控制实施、目标指示、性能指示、成功因素和成熟模型。他列出了一个完整的路线图，公司可以遵照路标完成这个模型中的所有34个控制目标。安全框架——COSO安全管理和支持控制控制活动确保管理活动付诸实施的政策/流程。措施包括审批、授权、确认、建议、业绩考核、资产安全和职责分离。监督不断评估内部控制系统的表现。整合实时和独立的评估。管理层和监督活动。内部审计工作。控制环境营造单位气氛－让公司员工建立内部控制因素包括正直，道德价值，能力，权威和责任是其他内部控制组成部分的基础信息和沟通及时地获取，确定并交流相关的信息从内部和外部获取信息使得形成从职责方面的指示到管理层有关管理行动的发现总结等各方面各类内部控制成功的措施的信息流风险评估风险评估是为了达到企业目标而确认和分析相关的风险-形成内部控制活动的基础所有的五个部分必须同时作用才能使内部控制得以产生影响监控信息和沟通控制活动风险评估控制环境监控信息和沟通控制活动风险评估控制环境coso是一个企业治理模型，而Cobit是一个IT治理模型。coso更多面向策略层面，而Cobit则更关注运营层面。Cobit可以看作是满足许多coso目标的一种方法，但只能从it角度来看，因为coso还处理非IT项目，如公司文化、财务会计原则、董事会责任和内部通信结构。安全框架——ISO17799安全管理和支持控制ISO17799时最常用的标准，它由正式标准——英国标准7799（BS7799）发展而来。这个是一个世界公认的信息安全管理标准，他为企业安全提供高级概念化建议。它由两部分构成；第一部分是一个执行指导，由如何建立一个综合性的信息安全结构体系的指导方针组成；第二部分是一个审计指导，说明一个遵守ISO17799的组织必须满足的要求。组织信息安全策略：详细说明公司安全目标、管理层的支持、安全目标和责任信息安全结构体系的建立：使用安全论坛、安全官员及通过定义安全责任、授权、过程、外包和独立检查，建立和维持一个组织化的安全结构资产分类与控制：通过审计和清单、分类及处理规程建立一个安全结构体系，保护组织资产人员安全：通过筛选员工、定义角色和责任、适当培训员工及记录未达到的预期的目标来降低人员交互的内在风险物理和环境安全：通过正确选择建筑设施位置、建立和维护一个安全周界、实施访问控制及保护设备来保护组织资产通信和运作管理：通过运作规程、正确的变更控制、事故处理、职责分割、产能规划、网络管理和媒介处理执行运作安全。访问控制：根据商业需求、用户管理、认证方法和监控来控制资产访问系统开发和维护：通过制定安全需求、加密、完整性和软件开发规程，在系统生命周期的所有阶段实现安全业务连贯性管理：通过使用联关系规划和测试避免对正常运作的破坏法律遵从：通过技术控制、系统审计和法律意识来遵守法规、合同和法令要求。安全框架——ITIL安全管理和支持控制服务设计服务战略服务转换服务运营产生财务投资组合需求服务目录服务级别可用性连续性供应商度量趋势分析报告改进事件(Event)事故(Incident)问题技术访问变更资产&配置发布和部署有效性变更资产&配置信息技术基础架构库（ITIL）是IT服务管理最佳实践的事实标准。ITIL是一个可定制的框架，他通过一套书籍或以在线个事提供目标、实现这些目标所需的日常活动，以及满足这些既定目标所需的每个流程的输入和输出值。Cobit定义IT目标，而ITIL则在流程曾面上就如何实现这些目标提供所需采取的步骤。安全框架——小结安全管理和支持控制Cobit和COSO提供“要实现什么”，而不是“如何实现它”，这就是ITIL和ISO17799存在的原因。要实现什么CobitCOSOISO17799ITIL如何实现它安全管理安全治理•安全治理（SecurityGovernance）在本质上非常类似于企业的IT治理，因为这三者在功能和目标上有重叠的地方。所有这三种治理都在公司的组织结构内进行，而且都以辅助确保公司的生存和发展为目标——只是侧重点不同。•IT治理学院在《董事会参考之IT治理简介》第二版中对安全治理的定义。“治理是董事会和执行管理层履行的一组责任和实践，其目标在于提供策略指导，确保目标得以实现，封信啊得到适当管理，并证明切叶的资源得到合理的利用。”•这个定义完全正确，但它仍然非常抽象，这更像一个策略性政策声明，然而真正的技巧是正确解释并将他转化成有意义的战术、运作职能和实践。•对于安全治理而言，必须有什么东西的到治理。一个组织必须执行的所有控制共同成为安全计划安全管理制定安全计划计划与组织实施运作和维护监控和评估优点：•书面策略和规程无法和安全活动相对应，获得不到安全活动的支持。•组织内努力保护公司财产的不同个人之间出现眼中分离和混乱•没有办法评估进展和开支与资源分配的投资回报•没有办法完全了解安全计划的缺陷，也不能用一种标准的方法来改善这些缺陷•不能保证遵守法律、法规或策略•完全依赖技术来解决所有安全问题•拼错独立的解决方案，没有整体的企业解决方案•对任何安全违规采用以一种“火警”式的方法，而不是一种平静、主动而探测性的方法。•错误的安全意识，产生混乱的潜在倾向。安全计划是一个永不终止的生命周期；安全管理实施分配任务和责任指定和实施安全策略、规程、标准、基线和指导。确定静态和动态敏感数据。实施以下蓝图（Blueprint）资产确定和管理风险管理脆弱性管理法规遵从身份管理和访问控制变更控制软件开发声明