信息安全管理与法律法规-复习2014下

1信息安全管理与法律法规复习胡勇博士副教授四川大学电子信息学院电话：13982079579邮件：huyong@scu.edu.cnI.1信息的形式文字声音图片视频隐藏的信息2I.3信息的生命周期生成（输入）存储（保护）传送（迁移）使用（访问、输出）更新归档废弃3信息安全目标4看不懂进不来拿不走改不了跑不了可审查打不垮不知晓1、信息安全属性保密性Confidentiality完整性Integrity可用性Availability不可否认性（抗抵赖）Non-repudiation真实性Authentication可控性/可治理性Controllability/Governability可靠性Reliability…52、信息安全划分标准信息安全事件信息安全属性被破坏的行为或状态信息系统风险信息安全事件发生的概率和后果信息系统残留风险采取安全措施后剩余的风险信息安全的划分标准风险大小是信息安全的划分标准风险可接受即为安全的信息安全工作要使得系统的残留风险可接受63、信息安全风险评估资产（保护对象）软件、硬件、数据、人、业务、声誉（品牌）脆弱性（隐患的关键因素）软件、硬件、制度、人威胁（威胁源与行为）外部、内部，有意、无意、自然、人为可能性（动机和能力）蓄谋、偶然，资源，难度后果本身价值、直接和间接影响74、实现信息安全的途径降低残留风险资产减少脆弱性降低价值威胁内部人员外部人员自然环境85、信息系统风险-威胁自然环境鼠、蚁、光、磁、灰尘风雨雷电、地震、火山、洪水、磁暴、海啸、山体滑坡、天崩地裂（陨石、地陷、天坑）温度湿度、水、电、火酸碱腐蚀氧化锈蚀器件老化95、信息系统风险-威胁内部人员安全意识、习惯、疏忽技术水平被诈骗、威逼利诱或心怀不满身心被伤害105、信息系统风险-威胁外部人员个人兴趣或利益团伙作案国家对抗115、信息系统风险-威胁行为恶意代码病毒、木马、蠕虫、逻辑炸弹XSS攻击不当使用错误地读写、开关设备、电源供电、接口，…非法访问利用漏洞访问提权125、信息系统风险-威胁行为盗取信息设备失窃木马传输搭线窃听、电磁窃听、无线键盘、显示屏信号还原、…信息流分析破坏系统完整性DDoS信息战、电子战136、信息系统风险-后果直接损失设备购置成本系统恢复人力时间相关业务间接损失内部信心组织信誉法律责任预期业务147、信息系统风险-可能性威胁源技术水平资源攻击兴趣漏洞公开时间与详尽程度相应攻击工具漏洞利用的难易漏洞挖掘的难易15I.4风险无处不在信息安全风险在信息生命周期的任何阶段都可能存在，必须慎之又慎！16I.5信息安全技术的局限性核心技术未掌握，技术一直在发展人为原因技术无法完全解决通过管理使技术正确使用技术可能成本太高组织或国家级对抗，技术防不胜防技术有高低，管理相对容易做到1718“信息安全”问题“信息系统”安全问题信息技术引发的其他安全问题信息系统安全的保护目标与所属组织的安全利益是完全一致的，具体体现为对信息的保护、对系统的保护和对信息使用的监管。0.1.3广义的信息安全190.3信息安全的对策国家层面法律法规、政策、国家标准社会层面道德行业层面行规、行业标准组织层面规章制度个人培训、意识、行为规范201.1.4信息安全管理措施来源要求法律、法规、政策网络道德信息安全管理规范与技术标准风险评估组织开展正常业务的需要211.1.5信息安全管理层次政策、法律/法规国家按照统治阶级的利益和意志制定和认可、并由国家强制力保障其实施的行为规范的总和。标准、规范、指南衡量事物的准则或作为准则的事物，包含技术规范或其他被一致地用作规则、指南或角色定义的精确的准则，以便保证材料、产品、过程和服务合乎一定的目的。道德、文化依靠社会舆论、传统习惯、教育和人的信念的力量去调整人与人、个人与社会之间关系的一种特殊的行为规范。组织的规章制度刑法中惩治计算机犯罪条款非法侵入计算机信息系统罪《中华人民共和国刑法》第285条规定：“违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。”犯罪手段？其他计算机可以侵入？本罪属行为犯刑法中惩治计算机犯罪条款破坏计算机信息系统功能罪《刑法》第286条第1款规定：“违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。”犯罪动机？计算机信息系统的功能有哪些？什么行为可能触犯该条款？本罪属结果犯刑法中惩治计算机犯罪条款破坏计算机信息系统数据、应用程序罪《中华人民共和国刑法》第286条第2款规定：“违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。”刑法中惩治计算机犯罪条款故意制作、传播计算机病毒等破坏性程序罪《刑法》第286第3款规定：“故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。”该罪与破坏计算机信息系统功能罪可能重叠破坏性程序硬件设备（接入时激活）炸弹逻辑炸弹（时间、程序等条件激活）贪婪程序（消耗资源）木马蠕虫刑法中惩治计算机犯罪条款适用于一切利用计算机实施的其他犯罪《刑法》第287条规定：“利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。”保守国家秘密法制订《中华人民共和国保守国家秘密法》是为保守国家秘密，维护国家的安全和利益，保障改革开放和社会主义建设事业的顺利进行。该法第2条对国家秘密作了明确定义，即国家秘密是关系国家的安全和利益，依照法定程序确定，在一定时间内只限一定范围的人员知悉的事项。一切国家机关、武装力量、政党、社会团体、企业事业单位和公民都有保守国家秘密的义务。保守国家秘密的工作，实行积极防范、突出重点、既确保国家秘密又便利各项工作的方针。保密室的有关规定商用密码管理条例商用密码，是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。商用密码产品，是指采用密码技术对不涉及国家秘密内容的信息进行加密保护或安全认证的产品。商用密码技术属于国家秘密。国家对商用密码产品的科研、生产、销售和使用实行专控管理。291.4.2信息安全分类分级保护对信息和信息系统进行分级保护是体现统筹规划、积极防范、突出重点的信息安全保护原则的重大措施。最有效和科学的方法是在维护安全、健康、有序的网络运行环境的同时，以分级分类的方式确保信息和信息系统安全既合符政策规范，又满足实际需求。301.4.3信息安全等级保护发展历程以保护程度划分等级以管理程度划分等级以重要程度划分等级311.4.5等级保护内容•信息系统分等级保护•信息安全产品分等级管理•信息安全事件分等级响应、处置32涉密信息系统定级信息系统涉及国家秘密的部分按照《涉密信息系统分级保护管理办法》(国保发[2005]16号)和《涉及国家秘密的信息系统分级保护技术要求》（国家保密标准BMBl7-2006）确定信息系统的安全保护等级。跨市或者全省统一联网运行的信息系统可以由主管部门统一确定安全保护等级。涉密信息系统按照所处理信息的最高密级，由低到高分为秘密、机密、绝密三个等级。331.5信息安全管理34信息安全理念木桶原理适度安全原则最小权限原则权限分割原则…351.5.1ISO/IEC27002的发展历程ISO/IEC27002:2005（2007年）ISO/IEC17799:2005ISO/IEC17799:2000BS7799Part1:1999BS7799:1995DTICodeofPracticeforInformationSecurityManagementNCCCodeofPractice361.5.2信息安全管理体系ISO/IEC27000概述和词汇ISO/IEC27001信息安全管理体系要求ISO/IEC27002信息安全管理体系实用规则ISO/IEC27003信息安全管理体系实施指南ISO/IEC27004信息安全管理度量ISO/IEC27005信息安全风险管理ISO/IEC27006ISMS认证机构的认可要求ISO/IEC27007信息安全管理体系审核指南371.5.2ISO27002内容TheContentsofISO17799/27002StructureRiskAssessmentandTreatmentSecurityPolicyOrganizationofInformationSecurityAssetManagementHumanResourcesSecurityPhysicalSecurityCommunicationsandOpsManagementAccessControlInformationSystemsAcquisition,Development,MaintenanceInformationSecurityIncidentmanagementBusinessContinuityCompliance381.5.3控制措施选择选择前提法律约束组织目标安全要求、系统运行可能面临的风险组织能承担的成本安全投入与收益（避损）的平衡将风险降低到可接受的级别在系统和项目需求说明书和设计阶段就应考虑选择控制措施隐私保护、记录保存、知识产权…39风险评估与处理依据组织需求，识别、量化风险。其结果用于指导并确定适当的管理措施及其优先级风险评估应定期/不定期进行风险处置规避降低转嫁接受401.6信息安全管理实用规则GB/T22081-200811个方面，39个控制目标，133个控制措施11个方面（控制目标数）信息安全方针（1）信息安全的各方（2）资产管理（2）人力资源安全（3）物理和环境安全（2）通信和操作管理（10）访问控制（7）信息系统获取、开发和维护（6）信息安全事件管理（2）业务连续性管理（1）符合性（3）411.6.1信息安全方针信息安全方针（策略）信息安全方针文件（信息安全界定——目标，范围，重要性、管理者意图、控制措施框架、要求与后果、职责、引用文件）直接方便地传达给相关各方（敏感信息处理）信息安全方针的评审（评审程序、输入/输出、方针出台/变更：适应性/改进）42信息安全的各方（1）内部组织管理层的信息安全承诺（支持和领导决策）信息安全协调（各部门合作）信息安全职责分配（资产的责任内容与责任人、个人职责、明确成文）信息处理设施的授权过程（新设施授权、兼容性、个人设备风险控制）保密性协议（保密责任内容、定期评审）43信息安全的各方（2）内部组织（2）与有关部门的联系（运营商、执法/消防等部门）与特定利益集团的联系（安全相关行业）信息安全的独立评审（安全措施适用性、整改）44信息安全的各方（3）外部各方（业务往来方）识别外部各方与组织交互的风险（交互的设施与信息、风险及控制、明确责任）明确对顾客的安全要求（资产保护、访问与控制、各自义务、法律与产权保护）与第三方签订安全协议（协议内容、协议调整）45资产管理（1）对资产负责资产清单（类型——信息/软件/硬件/服务设施/人员/无形资产、位置、业务价值）资产责任人（资产分类、访问控制）资产的可接受使用（使用资产的规章与限制）46资产管理（2）信息分类分类指南（按价值/法律要求/敏感性/关键性的分类规则、保护级别、评审、分类调整）信息的标记和处理（信息资产：物理，电子等、各自的处理程序、安全监督与记录）47人力资源安全（1）任用前角