信息安全治理和风险管理

CBK1信息安全治理和风险控制主要内容n安全术语和原则n保护控制类型n安全框架、模型、标准和最佳实践n安全企业架构n风险管理n安全文档n信息分类和保护n安全意识培训n安全治理0关于安全和组织目标n企业的目的是赚钱；非盈利组织为提供特定服务Ø都不是为了安全策略n组织面临的挑战Ø盗取企业客户数据进行身份欺诈Ø公司机密被外部和内部实体窃取，从事经济间谍活动Ø系统被劫持用作僵尸网络，发送垃圾邮件和DDoS攻击Ø公司资金被跨国有组织犯罪秘密抽取Ø企业网站和系统被不断攻击而无法提供服务n企业需要实践大量安全规则才能维护市场份额、保护顾客和底线、远离法律责任、销售产品1.1安全基本原则n安全的核心目标，是为关键资产提供可用性、完整性和机密性(AIC三元组)Ø每项资产所需的保护级别不同Ø所有安全控制、机制和防护措施的实现都是为AIC中的一个或多个Ø衡量所有风险、威胁和脆弱性，以其中平衡一个或多个原则安全对象可用性完整性机密性1.1.1可用性Availabilityn确保授权用户能够对资源进行及时和可靠的访问Ø网络设计、计算机和应用程序提供充分功能，以可接受的性能级别和可预计的方式访问Ø快速和安全的方式从崩溃中恢复Ø必要的保护措施消除内部或外部威胁，以免影响业务的可用性和效率n可用性威胁Ø网络威胁l路由器、交换机、DNS服务器、DHCP服务器、代理，防火墙等Ø系统威胁l硬件故障，软件漏洞Ø物理和环境威胁l大火、洪水、HVAC、电力、潜在自然灾害、物理偷窃1.1.2完整性n保证信息和系统的准确性和可靠性，并禁止对数据的非授权修改Ø硬件、软件和通信机制协同以确保正确地维护和处理数据；数据传输过程中不被意外更改-数据完整性Ø保护系统和网络免受外界干扰和污染-系统和网络完整性n完整性威胁Ø病毒、逻辑炸弹或后门破坏系统的完整性；进而使数据出错、恶意修改数据/替换为不正确数据，数据完整性被破坏l严格的访问控制、入侵检测和散列运算(Hash)可以抗击这些威胁Ø用户常错误地影响数据和系统的完整性(有意或无意)l精简用户的访问能力，只提供少数选择和功能l限制用户对系统关键文件的查看和修改l应用程序提供输入数据有效性检查l数据库只允许授权用户修改l数据传输通过加密或其他机制进行完整性保护1.1.3机密性n确保在数据处理过程中实施了必要级别的安全保护，并阻止未授权的信息暴漏Ø数据存储在系统和设备上Ø数据传输过程和数据到达目的地n机密性威胁Ø攻击者-网络监控、肩窥、盗取密码文件、社会工程(欺骗)l肩窥-越过别人肩膀浏览未授权信息l社会工程-欺骗他人共享敏感信息以获取未授权访问Ø未加密数据的传输、共享公司商业机密、处理机密信息而未采取额外保护措施l使用严格的访问控制和数据分类l在存储和传输数据时进行加密l对职员进行适当的数据保护措施培训1.1.4平衡安全n平衡安全原则AICØ机密性需求-公司商业机密Ø完整性需求-金融交易数据Ø可用性需求-电子商务网络服务n可用性控制ØRAID廉价磁盘冗余阵列Ø群集Ø负载平衡Ø冗余数据和电源线Ø磁盘映像Ø回滚功能Ø故障切换配置Ø异地备用设施n完整性控制Ø散列（数据完整性）Ø配置管理（系统完整性）Ø变更管理（进程完整性）Ø访问控制（物理和技术控制）Ø软件数字签名Ø传输CRC功能n机密性控制Ø加密存数的数据（磁盘、数据库加密）Ø加密传输的数据（IPsec，SSL/TLS，PPTP，SSH）Ø访问控制（物理和技术控制）1.2关键安全术语n脆弱性vulnerabilityØ指缺少安全措施或者采用的安全措施有缺陷Ø软件、硬件、过程或人为缺陷、管理缺失n威胁threatØ威胁主体利用脆弱性而带来的潜在危险n风险riskØ威胁主体利用脆弱性的可能性，以及相应的业务影响Ø风险将脆弱性、威胁及利用可能性与业务影响联系在一起n暴漏exposureØ造成损失的实例n控制control、对策countermeasure、防护措施safeguardØ软件配置、硬件设备或设施、管理过程，能够消除或降低潜在的风险各种安全概念之间的关系1.3控制类型n3种类型-管理控制、技术控制、物理控制Ø深度防御-分层方法，综合使用多个安全控制类型n管理控制-administrativecontrolØ面向管理，“软控制”Ø安全文档、风险管理、人员安全和培训n技术控制-technicalcontrol-逻辑控制Ø由硬件、软件组成Ø防火墙、入侵检测系统、加密、身份识别和认证n物理控制-physicalcontrolØ保护设备、人员和资源Ø保安、锁、围墙、照明、温湿度控制和空调HVAC安全控制类型n深度防御-defense-in-depthØ以分层的方法，综合使用多个安全控制类型Ø采用的控制类型和公司面临的威胁向对应Ø保护的层数与资产的敏感程度相对应-拇指型规则n物理控制Ø围墙Ø外部上锁的门Ø闭路电视监控Ø保安Ø内部上锁的门Ø上锁的服务器房间Ø物理防护的计算机n技术控制Ø边界防火墙Ø入侵检测系统Ø入侵防御系统Ø恶意代码/病毒防御Ø访问控制ØVPNØ加密n管理控制Ø安全策略Ø安全意识和培训Ø风险管理深度防御安全控制功能类型n安全控制的功能类型-6类Ø预防性-避免意外事件的发生Ø检测性-帮助识别意外活动和潜在入侵者Ø纠正性-意外事件发生后修补组件或系统Ø威慑性-威慑潜在的攻击者Ø恢复性-使环境恢复到正常的操作状态Ø补偿性-能提供可替代的控制方法，备选方案n效率最高的方法-预防性控制Ø使用预防性的安全模型，用检测、恢复和纠正机制支撑该模型Ø多种控制协同工作l预防性和检测性控制一起部署并互补l不能预防的必须能检测到；能检测到，也意味着不能预防l纠正措施防止重复发生Ø控制间冲突或留下安全空缺，将引发不可预见的漏洞预防性控制n预防管理措施Ø策略和规程Ø高效的雇佣实践Ø聘用前的背景调查Ø受控解聘流程Ø数据分类和标签Ø安全意识n预防物理措施Ø证件、磁卡Ø警卫、警犬Ø围墙、锁、双重门n预防技术措施Ø密码、生物识别、智能卡Ø加密Ø安全协议Ø回拨系统Ø数据库视图Ø受约束的用户界面Ø防病毒软件Ø访问控制列表Ø防火墙Ø入侵检测系统安全控制提供的服务控制类别预防检测纠正威慑恢复1-物理控制围墙?x锁x徽章系统x警卫x生物识别系统x双重门控制x照明x移动检测器x闭路监控系统x异地设施x安全控制提供的服务控制类别预防检测纠正威慑恢复3-技术控制访问控制列表x防火墙x加密x日志审计x入侵检测系统x杀毒软件x服务器映像x智能卡x回拨系统x数据备份x安全控制提供的服务控制类别预防检测纠正威慑恢复2-管理控制安全策略x监视和监督x职责分离x岗位轮换x信息分类x人员流程x调查x测试x安全意识培训x1.4安全框架n不能通过隐匿实现安全Ø编译后的程序vs开源代码-逆向工程软件；模糊测试、数据输入校验Ø私有加密算法vs行业认可算法Ø防火墙端口重映射-伪安全更危险；需要成熟、务实的安全实现n不能通过混乱的依赖/信任获得安全Ørelianceonconfusionn一个安全计划program是由很多实体构成的框架Ø逻辑、物理和管理保护机制；程序、业务过程和人有机结合Ø安全计划分层-一层为上一层提供支持，为下层提供保护Ø框架-可选择不同类型的技术、方法和程序1.4.1ISO/IEC27000系列nBS7799Ø信息安全管理体系(ISMS)如何建立和维护Ø目标l指导组织设计、实施和维护策略、过程和技术，以便管理组织的敏感信息资产面临的风险Ø两个部分l第一部分描述控制目标，和为实现该目标可使用的控制措施范文l第二部分描述如何建立和维护安全计划(ISMS)，也是对组织认证的基线Ø事实标准，没有要求每个组织都必须遵守的细节Ø发展过程lBS7799,BS7799v1,BS7799v2,ISO17799,BS7799v3:2005lISO/IEC27000BS7799安全主题n1组织信息安全策略-业务目标到安全的映射，管理层的支持，安全目标和职责n2信息安全框架建立-建立和维护组织的安全结构Ø建立信息安全论坛、设立安全官、定义安全职责、授权流程、业务外包、独立审计等n3资产分类和控制-开发安全基础设施区保护组织资产Ø职责、资产清单、分类和操作规程n4人员安全-减少人际活动中固有的风险Ø人员筛选，角色定义和职责，正确的安全培训，记录异常情况n5物理和环境安全Ø正确选择设施地点，建设和维护安全边界，实现访问控制，保护装备BS7799安全主题n6通讯和运营管理Ø运营流程、正确的变更控制、事件处理、职责分离、承载能力规划、网络处理，媒体关系处理n7访问控制-基于业务需求的资产访问控制、用户管理、认证方法和监控n8系统开发和维护-在系统生命周期的各个阶段实现安全Ø安全需求开发、加密、完整性保护和软件开发流程n9业务连续性管理-通过连续性计划和测试来应对正常运行的中断n10合规-通过采用技术控制、系统审计和法律意识普及来遵循管理、合同和法律方面的要求ISO/IEC27000系列n27000-概述和词汇n27001-ISMS要求n27002-信息安全管理实践准则(code)n27003-信息安全管理体系实施指南n27004-信息安全管理衡量指南与指标框架n27005-信息安全风险管理指南n27006-信息安全管理体系审核与认证机构指南n27011-电信机构信息安全管理指南n27031-业务连续性的ICT(信息和通信技术)准备能力指南n27033-1-网络安全指南n27799-医疗机构信息安全管理指南ISO/IEC27000-developingn27007-信息安全管理体系审核指南n27013-ISO/IEC20000-1和27001一体化实施指南n27014-信息安全治理指南n27015-金融及保险行业信息安全管理指南n27032-网络空间安全指南n27033-IT网络安全指南(基于ISO/IEC18028:2006)n27034-应用安全指南n27035-安全事件管理指南n27036-外包安全指南n27037-识别、收集、获取和保存数字证据指南PDCA-EdwardDemingnISO标准遵循戴明环PDCA，迭代过程Ø计划plan-确定方针、目标和活动计划Ø执行do-实现计划中的内容Ø检查check-衡量结果以验证目标是否实现Ø处理act-如何纠正和改善计划以便更容易获得成功PDCA之ISO/IEC27000nP-计划Ø定义信息安全管理体系的范围Ø定义信息安全管理体系的策略Ø定义风险评估方法Ø识别风险Ø分析和评估风险Ø识别和评估风险处置的备选方案Ø管理层批准残余风险Ø管理层授权信息安全管理体系Ø选择控制目标和措施Ø准备适用性声明SOAPDCA之ISO/IEC27000nD-执行Ø制定风险处置计划Ø实现风险处置计划Ø实施控制措施Ø实现培训和意识教育Ø运营管理Ø资源管理Ø实施安全事件流程和应急响应PDCA之ISO/IEC27000nC-检查Ø行动和事件记录Ø更新安全计划Ø定期的管理评估Ø开展内部信息安全管理体系审核Ø评估残余风险和可接受风险等级Ø测量控制措施的有效性Ø保证周期性信息安全管理体系有效性审核Ø执行监控程序PDCA之ISO/IEC27000nA-处理Ø确保改进已达到目标Ø与利益相关方交流成果Ø应用经验教训（包括从其他组织学到的）Ø采取纠正/预防措施Ø实施标识的改进措施其他标准、最佳实践和框架n安全计划开发-ISO/IEC27000系列n企业框架开发ArchitectureFrameworkØZachman框架-由JohnZachman开发的企业框架开发模型ØTOGAF-开放群组theOpenGroup开发的用于企业架构开发的模型和方法论ØDoDAF-美国国防部架构框架，用于保障军事任务完成过程中系统间的互操作性ØMoDAF-英国国防部开发的架构框架，主要应用在军事任务支持方面n安全企业架构开发ØSABSA-用于企业信息安全架构开发的模型和方法论其他标准、最佳实践和框架n安全控制开发ØCoBiT-由ISACA和IT治理协会ITGI联合开发的IT管理控制目标集ØSP800-53-由NIST开发，保护美国联邦系统的控制集n公司治理ØCOSO-由