信息安全管理体系与技术提纲

第一讲信息安全管理体系信息资产及其价值组织的信息资产有哪些？业务数据、应用系统、专利及标准、设施和环境、关键人员、文件、图纸、管理规章等等。信息安全－信息安全的基本要素、需求来源、目标信息安全基本要素？（在不同历史阶段有着不同的涵义）COMSEC阶段：保密性COMPUSEC阶段：CIA三元组－保密性、完整性、可用性IA阶段：私密性、可追溯性、抗抵赖性、可控性、真实性等信息安全的需求来源？法律法规和合同的约束；组织的原则、目标和规定；风险评估的结果信息安全的目标？一般目标：维护信息的保密性、完整性、可用性、可追溯性、真实性和可靠性。根本目标：维护组织关键业务活动的持续性和有效性。信息安全管理对于信息安全管理的认识（大题）管理最基本的职能：计划、组织、领导、控制信息安全管理就是风险管理。安全技术只是信息安全控制的手段，要让安全技术发挥应有的作用，必须要有适当的管理程序支持。信息安全管理作为组织完整的管理体系中一个重要的环节，构成了信息安全具有能动性部分，是指导和控制组织关于信息安全风险的相互协调的活动。如果说安全技术是信息安全的构筑材料，那安全管理就是真正的粘合剂和催化剂。只有将有效的安全管理从始至终贯彻落实于安全建设的方方面面，信息安全的长期性和稳定性才能有所保证。管理过程而非技术过程高层支持策略并不等于执行力动态而非静态主动而非被动全员参与，培训开路平衡性原则信息安全管理的认识误区重技术、轻管理缺少安全意识缺乏安全策略缺乏系统的管理思想法律法规不完善信息安全管理模型P2DR模型（CC）：P:策略P:防护D:检测R:响应PDRR模型：P:策略P:防护D:检测R:响应R:恢复HTP模型（IATF）：H:人员与管理T:技术与产品P:流程与体系P-POT-PDRR模型：PDCA模型（建设模型）：常见的国际信息标准BS7799（信息安全管理标准）---BS7799-1:信息安全管理体系的实施指南---BS7799-2:信息安全管理体系规范ISO/IEC13335（风险管理标准）-IT安全管理指南GMITSISO/IEC15408（技术与工程标准）-CCITIL（IT服务管理标准）-信息技术基础设施库CobiT（信息系统审计标准）-信息及其相关技术控制目标信息安全管理体系（ISMS）为什么需要ISMS？木桶原理ISMS建设可遵循的模型？BS7799：PDCAIATF：HTPCC：P2DRBS7799BS7799-1覆盖范围原BS7799-1包括10区域，36个控制目标，127项控制措施；新版ISO/IEC27002:2005包括11个区域，39个控制目标，133项控制措施。ISMS的建设模型PDCA－Plan建立ISMS-Do实施和运作ISMS-Check监控和评审ISMS-Act维护和改进ISMSISMS的建设方法1.确定范围2.识别信息资产3.确定信息资产的价值4.确定风险5.策略及控制措施保证程度的确定6.控制目标和控制措施的识别7.定义策略，标准和流程以实施控制措施8.策略，标准和流程的实施9.完成ISMS文件需求10.审核和评审ISMSISMS的审核、有效性验证内部ISMS审核---定期执行内部审核计划---审核计划以及报告结果和维护记录的责任应该在文件和流程中加以规定---审核区域的管理者应该及时采取纠正措施以消除已发现的不符合项---一般包括审核策划、审核准备、审核实施、审核报告、审核跟踪等五个步骤。ISMS的认证认证与认可认证是由第三方进行的，认可是由权威机构进行的：认证证明的是依从性（或符合性），认可证明的是某种能力。认可机构包括：UKAS（英国认可服务组织）、RvA（荷兰国家认可委员会）、Swedac（瑞典认可和合格评定委员会）认证体系对审核员的要求（IRCA）实习审核员（ProvisionalAuditor）：适用于所有希望成为专职审核员或希望暂时停止审核活动或从审核岗位转向管理岗位的原注册审核员。审核员（Auditor）：适用于审核组成员。主任审核员（LeadAuditor）：适用于审核组长，特别是那些就职于认证机构或为大型企业实施供方审核的人员。首席审核员（PrincipalAuditor）：适用于（以独立成组形式）单独实施审核活动的、有经验的审核员。BS7799认证过程对ISMS进行审核时，应当先进行文件审核，再进行现场审核。不符合事项根据其严重程序一般分为三类：观察项、轻微不符合项和严重不符合项。风险评估风险评估一般途径（描述是什么类型的评估）基线评估---优点：耗费资源少、周期短、操作简单、经济有效。---缺点：基线水平较难把握，对安全变化不敏感。详细评估---优点：可使组织对安全风险有一个精确认识。可用来管理安全变化。---缺点：较费资源。组合评估---优点：结合了基线评估和详细评估的优势，既节省了评估所耗费的资源，又能确保获得一个全面系统的评估结果。---缺点：如果初步的高级风险评估不够准确，某些本来需要详细评估的系统可能被忽略，最终导致结果失准。风险控制措施功能分类及目的威慑性控制措施（防止威胁源）-firewall预防性控制措施（保护弱点）检测性控制措施（发现威胁事件）-IDS纠正性控制措施（减小影响）-备份风险识别、评估的时间、方法风险评估是对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性的评估。威胁（Threat）－某种威胁源（threatsource）或威胁代理（threatagent）成功利用特定弱点对资产造成负面影响的潜在可能。弱点（Vulnerability）－也被称作漏洞或脆弱性，即资产或资产组中存在的可被威胁利用的缺点。弱点一旦被利用，就可能对资产造成损害。评估威胁的方法威胁问卷调查；威胁顾问访谈；IDS取样分析弱点评估常用方法工具扫描；人工检查；渗透测试；网络架构分析；管理问卷调查；管理顾问访谈；安全策略分析风险要素之间的关系第二讲网络安全管理协议安全资源的集中管理为什么集中管理安全资源？提高管理效率（管控角度）数据增值利用（审计角度）安全资源协同（策略角度：自动化、最优化）集中管理一般模型结构？信息模型（包括:MIB结构与定义等）SNMP信息模型SMI组织模型（包括:角色,职责）通信模型（包括:MIB访问管理协议等）功能模型（包括：功能域管理功能等）常见的管理数据传输协议SNMPWBEM/CIMSyslog、IDMEFOPSEC简单网络管理协议（SNMP）基本概念管理站UDP162管理代理UDP161管理信息库MIBMIB是由ASN.1定义的MO的集合，每一个MO都有一个全局唯一的OID，OID形成树状结构（MIBTREE）,树状结构由SMI定义。通过OID访问对象实例，当对象所在设备上有且仅有一个实例时以OID.0作为该变量标识；对象在所在设备上超过一个实例的情况，以此对象的对象标识符加上为此对象所定义的索引作为单个变量的标识SMI：ASN.1+BER抽象语法是传输和使用数据的需要。传输者和使用者对数据的理解不同，对于传输者，数据的单位是二进制字节，但对于使用者，必须能够识别出数据类型和数据内容，因此，需要一种对数据类型和数据内容进行描述的语法。编程语言虽然也都有类似的数据定义功能，但它们一方面缺乏统一的标准，另一方面数据定义不是它们的主要功能，不够强大也无法扩展。更重要的，是它们一般缺乏对传输语法的支持。BER编码结构：当标签号大于30时，将标签字段的第一个八位位组的后五位全部置1，标签字段的后继八位位组除最后一个外，最高位均置1，并且第一个后继八位位组不能所有位全为0；长度字段分为确定和非确定格式，确定格式有短格式和长格式；SNMP消息类型GET：由管理站去获取代理的MIB对象值SET：由管理站去设置代理的MIB对象值TRAP：使得代理能够向管理站通告重要事件预定义trap类型：7种ColdStart(0)；WarmStart(1)；LinkDown(2)；LinkUp(3)；AuthenticationFailure(4)；EgpNeighborLoss(5)；EnterpriseSpecific(6)SNMP安全性SNMPv1–共同体、共同体名、共同体框架基于Web的企业级管理/公共信息模型（WBEM/CIM）CIM的三个核心标准通用信息模型—CIM编码规范—xmlCIM编码规范传输机制—CIMOperationsoverHTTPCIM基本概念Schema；类；属性；方法；关联；聚集；引用；描述符；事件；名字空间CIMSchemaSchema是具有相同所有者，用于描述某一个问题域的一组类CIMSchema分为：---MetaSchema：描述CIM元素之间的关系；---核心模型：适用于任何管理领域，与具体实现无关，为剩余的管理环境提供了概念框架，是一种高层次的抽象。---公共模型：适用于特定管理领域，独立于具体的实现技术；---扩展模型：与具体的技术、应用环境相关。模型定义方法VISIOforUML；MOF；XML；WhitePapersSyslogSyslog协议数据包结构：PRI（Facilities*8+Severity）+HEADER（Timestamp+Hostname）+MSG（Tag+Content）TAG=产生消息的程序或进程名UDP514,C/S模式Syslog存在的问题：UDP协议不可靠、安全问题（不加密、无校验、不含身份认证）、同步数据量大于1024不可预测，消息优先级并不决定消息在网络传递时的优先级，导致重要程度高的消息可能由于网络或接收者的阻塞而无法优先抵达。CIM&SNMP各自优缺点CIM面向对象,overHTTPSNMP面向量纲,方法是额外的而不是自带的CIM具备面向对象语言的抽象、继承、重载等概念，并引入了关联类、描述符等机制,即对象之间有关联性;具有极高的灵活性、可扩展性，能够包容现在所有的管理应用模型，能在最大程度上减少模型集成时带来的信息损失。SNMP简单，易于实现。第三讲安全事件管理安全事件管理的需求来源安全建设引入了众多异构技术海量安全事件难以人为管理上报事件中充斥着大量不可靠的信息安全设备之间无法信息共享，管理人员难以及时感知全网安全态势；安全设备独立作战，无法形成有效的、整合的主动安全防御体系。安全事件管理系统功能功能指标：控制安全告警的规模和复杂度；降低安全事件的误报率；减轻潜在安全问题所带来的风险；加快应急响应速度。安全事件的采集IDMEF―IntrusionDetectionMessageExchangeFormat特点IDMEF定义了事件数据格式以及与其它入侵检测响应系统、分析器、管理系统间的信息交换方式。可将不同种类IDS上报的事件存储在同一个数据库中，便于对事件作全局性分析；便于事件关联系统对事件作更为复杂的多源、异构关联；使用户可以在一个图形终端上监控所有上报的事件；便于机构间交换数据；IDMEF解决方案采用了面向对象的数据模型，通过继承、聚合等手段现实灵活性、可扩展性；定义了多种多样的辅助类，支持不同产品的表述需求。IDMEF数据模型采用XML语言描述入侵事件，xmldtd?IDMEF安全性问题安全性的实现依赖于外部数据加密及签名，草案本身未包含强制性措施其它相关标准－CVE、CPE、CCECVE定义了安全漏洞和其他安全问题的标准化的统一名字列表CPE定义了平台/产品的标准化的统一名字列表CCE定义了安全相关的系统配置项的标准化的统一名字列表告警关联告警关联十步模型(大题）基本顺序各步骤主要功能标准化（Normalization）将不同Sensor所产生的告警转换为一种公共的格式，如IDMEF。预处理（Pre-Processing）依照定义的公共格式，填补告警所缺乏的属性字段，如DetectTime、CreateTime、AnalyzerTime。融合（Fusion）将不同IDS对同一攻击事件产生的告警合并。查证（Veri