信息安全体系概述

信息安全体系概述冯真凯northkingPage2目录信息安全体系概述信息安全组织体系信息安全管理体系信息安全技术体系信息安全执行体系northking一、信息安全体系概述信息系统固有的脆弱性信息本身易传播、易毁损、易伪造信息技术平台（如硬件、网络、系统）的复杂性与脆弱性行动的远程化使安全管理面临挑战信息具有的重要价值信息社会对信息高度依赖，信息的风险加大信息的高附加值会引发盗窃、滥用等威胁信息安全面临的风险企业对信息的依赖程度：美国明尼苏达大学Bush-Kugel的研究报告指出，企业在没有信息资料可用的情况下，金融业至多只能运行2天，商业则为3.3天，工业则为5天，保险业为5.6天。而以经济情况来看，有25%的企业，因为的毁损可能立即破产，40%会在两年内宣布破产，只有7%不到的企业在5年后能够继续存活。硬件架构：系统与设备数量越来越多系统互连关系越来越繁杂软件架构：统架构越来越复杂网络连接与划分混乱互联网接口抗攻击性较弱工程管理：规划期缺乏安全评审建设与工程割接缺乏安全管理遗留策略与帐号形成安全漏洞程序开发：开发阶段缺乏安全监管源代码缺乏安全检查，可能留下后门1.系统数量众多，硬件架构多样，系统间交互与接口繁多，相互关系复杂；2.系统软件架构复杂，网络连接与划分较混乱，互联网接口抗攻击性较弱；3.系统规划期缺乏安全评审，工程割接缺少安全管理，工程遗留策略与帐号易形成安全漏洞；4.程序开发阶段缺乏监管，程序源代码缺乏安全检查，可能留下后门或被攻击。常见的信息安全问题常见的信息安全问题信息安全损失的“冰山”理论信息安全直接损失只是冰由之一角，间接损失是直接损失是6－53倍间接损失包括：时间被延误修复的成本可能造成的法律诉讼的成本组织声誉受到的影响商业机会的损失对生产率的破坏$10,000$60,000－$530,0009保障信息安全的途径？亡羊补牢?还是打打补丁?系统地全面整改?忽略了信息化的治理机制与控制体系的建立，和信息化“游戏规则”的建立；厂商主导的技术型解决方案为主，用户跟着厂商的步子走；安全只重视边界安全，没有在应用层面和内容层面考虑业务安全问题；重视安全技术，轻视安全管理，信息安全可靠性没有保证；信息安全建设缺乏绩效评估机制，信息安全成了“投资黑洞”；信息安全人员变成“救火队员”…我国当前信息安全普遍存在的问题信息安全＝反病毒软件＋防火墙＋入侵检测系统？管理制度？人的因素？环境因素？Ernst&Young及国内安全机构的分析：国家政府和军队信息受到的攻击70%来自外部，银行和企业信息受到的攻击70%来自于内部。75%的被调查者认为员工对信息安全策略和程序的不够了解是实现信息安全的障碍之一,只有35%的组织有持续的安全意识教育与培训计划66%的组织认为信息系统没有遵守必要的信息安全规则56%的组织认为在信息安全的投入上不足，60%从不计算信息安全的ROI，83%的组织认为在技术安全产品与技术上投入最多。在整个系统安全工作中,管理(包括管理和法律法规方面)所占比重应该达到70%,而技术(包括技术和实体)应占30%。保护信息安全的方法如何实现信息安全？建立完善的信息安全体系对信息安全建立系统工程的观念用管理、技术、人员、流程来保证组织的信息安全信息安全遵循木桶原理对信息系统的各个环节进行统一的综合考虑、规划和构架并要时时兼顾组织内不断发生的变化，任何环节上的安全缺陷都会对系统构成威胁。需要对信息安全进行有效管理建立统一安全规划体系改变以往零敲碎打、因人而起、因事而起的安全管理，形成统一的安全体系，指导安全管理和建设工作。转变门户网站防火墙升级信息防泄露DLP维护区域扩容项目RSA令牌扩容项目应用漏洞扫描工具项目系统漏洞扫描工具网站页面防篡改项目。。。。。。零敲碎打引人而起因事而起建立统一的安全规划体系总体思路：以防为主，防治结合防治结合：自下而上的风险反馈以防为主：自上而下的策略管理坚持“以防为主，防治结合”的安全工作措施，形成成熟的、立体的信息安全运行管控体系。以防为主，即以完善的安全策略为指导，使安全策略能自上而下得到落实；防治结合，即以风险管理为核心，使风险能自下而上得到反馈和整治。初级没有形成体系，只有零散的安全技术措施没有专职安全管理员中级尝试构建安全体系框架，具备较多的安全技术措施，开始有意识朝着有体系的安全建设发展。安全管理员工作繁重，既要处理现有问题，还要准备未来建设。高级在正确的安全体系框架指导下建设多年，形成了完备的安全技术和管理措施。安全管理员的工作主要是对各种管控规则进行微调，关注最新安全发展动态，考核奖惩通报等。安全管理的几个阶段当前目标安全管理的几个阶段信息安全体系的内容业务与策略根据业务需要在组织中建立信息安全策略，以指导对信息资产进行管理、保护和分配。确定并实施信息安全策略是组织的一项重要使命，也是组织进行有效安全管理的基础和依据。“保护业务，为业务创造价值”应当是一切安全工作的出发点与归宿，最有效的方式不是从现有的工作方式开始应用信息安全技术，而是在针对工作任务与工作流程重新设计信息系统时，发挥信息安全技术手段支持新的工作方式的能力。人员与管理人是信息安全最活跃的因素，人的行为是信息安全保障最主要的方面。从国家的角度考虑有法律、法规、政策问题；从组织角度考虑有安全方针政策程序、安全管理、安全教育与培训、组织文化、应急计划和业务持续性管理等问题；从个人角度来看有职业要求、个人隐私、行为学、心理学等问题。信息安全体系的关注点技术与产品可以综合采用商用密码、防火墙、防病毒、身份识别、网络隔离、可信服务、安全服务、备份恢复、PKI服务、取证、网络入侵陷阱、主动反击等多种技术与产品来保护信息系统安全考虑安全的成本与效益，采用“适度防范”(Rightsizing)的原则流程与体系建立良好的IT治理机制是实施信息安全的基础与重要保证。在风险分析的基本上引入恰当控制，建立PDCA的安全管理体系，从而保证组织赖以生存的信息资产的安全性、完整性和可用性安全体系统还应当随着组织环境的变化、业务发展和信息技术提高而不断改进，不能一劳永逸，一成不变，需要建立完整的控制体系来保证安全的持续完善。完善信息安全治理结构审视业务风险评估确定政策安全计划人力防火墙符合安全控制标准？信息系统审计监控业务与安全环境技术防火墙建立信息安全管理体系持续改进调整信息安全体系的建立流程审视业务，确定IT原则和信息安全方针在进行信息安全规划与实施安全控制措施前，首先要充分了解组织的业务目标和IT目标，建立IT原则，这是实施建立有效的信息安全保障体系的前提。组织的业务目标和IT原则将直接影响到安全需求，只有从业务发展的需要出发，确定适宜的IT原则，才能指导信息安全方针的制定。信息安全方针就是组织的信息安全委员会或管理当局制定的一个高层文件，用于指导组织如何对资产，包括敏感性信息进行管理、保护和分配的规则和指示。在安全方针的指导下，通过了解组织业务所处的环境，对IT基础设施及应用系统可能存在的薄弱点进行风险评估，制定出适宜的安全控制措施、安全策略程序及安全投资计划。确定IT原则与安全方针确定IT原则与安全方针进行风险评估风险评估的常用方法目前国内ISMS风险评估的方法主要参照ISO13335的有关定义及国信办9号文件《信息安全风险评估指南》，这些标准把重点放在信息资产上。缺点：风险评估人员一般最容易找到的资产无非就是硬件类、软件类的资产，而对安全来说至关重要的IT治理、组织政策、人员管理、职责分配、业务流程、教育培训等问题，由于不能方便地定义为信息资产，而往往被视而不见。因此，风险评估经常出现“捡了芝麻、丢了西瓜”，“只见树木，不见森林”的情况。进行风险评估完备的风险评估方法信息安全涉及的内容决不仅仅是信息安全、技术安全的问题，它还会涉及到治理机制、业务流程、人员管理、企业文化等内容。通过“现状调查”获得对组织信息安全现状和控制措施的基本了解；通过“基线风险评估”了解组织与具体的信息安全标准的差距，得到粗粒度的安全评价。通过“资产风险评估”和“流程风险评估”进行详细风险评估，根据三方面的评估得到最终的风险评估报告。现状调查基线风险评估资产风险评估流程风险评估详细风险评估风险评估报告现状调查的主要内容文档收集与分析组织的基本信息、组织结构图组织人员名单、机构设置、岗位职责说明书业务特征或服务介绍与信息安全管理相关的政策、制度和规范现场访谈安排与相关人员的面谈对员工工作现场的观察加强项目组对企业文化的感知技术评估工具扫描、渗透测试人工分析系统安全配置完全检测、网络服务安全配置完全检测包括用户安全、操作系统安全、网络服务安全、系统程序安全问卷调研安全日常运维现状调研问卷：针对组织中实际的应用、系统、网络状况，从日常的管理、维护、系统审计、权限管理等方面全面了解组织在信息系统安全管理和维护上的现实状况。从安全日常运维角度出发，更贴近实际运维环境。基线风险评估所谓基线风险评估，就是确定一个信息安全的基本底线，信息安全不仅仅是资产的安全，应当从组织、人员、物理、逻辑、开发、业务持续等各个方面来确定一个基本的要求，在此基础之上，再选择信息资产进行详细风险分析，这样才能在兼顾信息安全风险的方方面面的同时，对重点信息安全风险进行管理与控制。ISO27001确立了组织机构内启动、实施、维护和改进信息安全管理的指导方针和通用原则，以规范组织机构信息安全管理建设的内容，因此，风险评估时，可以把ISO27001作为安全基线，与组织当前的信息安全现状进行比对，发现组织存在的差距，这样一方面操作较方便，更重要的是不会有遗漏0%64%40%67%62%81%56%81%60%60%70%67%0.00%10.00%20.00%30.00%40.00%50.00%60.00%70.00%80.00%90.00%安全政策信息安全的组织资产管理人力资源安全实体与环境安全通讯与操作管理访问控制信息系统取得、开发及维护信息安全事故管理营运持续管理符合性合计系列1信息资产风险评估针对重要的信息资产进行安全影响、威胁、漏洞及可能性分析，从而估计对业务产生的影响，最终可以选择适当的方法对风险进行有效管理。资产定义及估值确定现有控制威胁评估确定风险水平风险评估过程脆弱性评估安全控制措施的识别与选择降低风险风险管理过程接受风险IT流程风险评估信息安全不仅仅要看IT资产本身是否安全可靠，而且还应当在其所运行的环境和经历的流程中保证安全。没有可靠的IT流程的保证，静态的安全是不可靠的，而且IT的风险也不仅仅是信息安全的问题，IT的效率与效果也同样是需要考虑的问题，因此评估IT流程的绩效特性并加以完善是风险控制中必不可少的内容。ad一般流程描述业务流程流程涉众输入开始业务活动一业务活动二业务活动三条件结束输出目标规则确定风险控制策略信息安全控制规划选择安全控制措施确定安全需求所有安全需求与控制目标己满足？检查控制目标与控制措施确定控制目标与控制措施否是从BS7799的十个域选择控制目标与控制措施检查业务因素与约束条件防止商业活动中断和灾难事故的影响。业务持续性管理信息安全事件管理保证系统开发与维护的安全系统开发与维护控制对业务信息的访问。访问控制保证通讯和操作设备的正确和安全维护。通信与运营管理防止对关于IT服务的未经许可的介入，损伤和干扰服务。物理与环境安全减少人为造成的风险。人员安全维护组织资产的适当保护系统。资产管理建立组织内的管理体系以便安全管理。安全组织为信息安全提供管理方向和支持。安全方针目的ISO27001十一个域避免任何违反法令、法规、合同约定及其他安全要求的行为。符合性确保与信息系统有关的安全事件和弱点的沟通能够及时采取纠正措施进行安全控制规划安全规划针对组织面临的主要安全风险，在安全管理控制框架和安全技术控制框架方面进行较为详尽的规划。安全规划对组织未来几年的网络架构、威胁防护、策略、组织、运行等方面的安全，进行设计、改进和加强，是进行安全建设的总体指导。序号项目内容紧迫性可实施性难易程度效果分析综合分析1安全体系建设2安全策略管理3安全