2019年信息安全管理基础.ppt

阳光培训课程内容第一章信息安全概述第二章信息安全管理基础第三章信息安全等级保护第四章信息安全管理第五章信息安全监管第一章信息安全概述信息安全现状•国内大多数部门的IT系统已经具有一定的规模，并且在支撑其正常运营和业务发展方面发挥着重要作用；•缺乏成体系的信息安全管理，使得IT系统处于经不起风浪的“亚健康”状态，难以承受突发安全问题的影响，系统整体运行在较高的信息安全风险水平。信息安全现状分析存在信息安全问题是合理和必然的，从唯物辨正的角度看待问题，产生信息安全问题也存在着对立统一的两方面：•在协议设计、系统实现、运行维护过程中，总会存在着安全缺陷或者漏洞－－安全脆弱性Vulnerability，这是决定性的内因。•广泛存在的各类安全威胁，包括来自自然环境的威胁；国家、组织、个人之间的利益冲突导致的人为威胁；以及来自信息技术本身的威胁－－威胁Threat，这是外因。如何有效解决信息安全问题所有的信息安全技术措施或者管理手段都能归结为三个方面：•弥补安全脆弱性，消除安全问题产生的内因，例如使用操作系统补丁管理，使得系统安全性得到保证，从根本上具备免疫能力；•威慑安全威胁，遏制安全问题产生的外因，例如增加计算机机房的监控系统，威慑盗贼闯入机房进行盗窃的动机；•切断内外因之间的联系途径，例如设置网络防火墙，隔离内部网络和外部网络，阻止外部黑客对内网服务器进行攻击。什么是信息？1.1信息与信息安全什么是信息安全？？1.1信息与信息安全什么是信息安全？？1.1信息与信息安全ISO关于信息安全的定义：为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。信息安全保护的对象范围信息安全的基本原则和最终目标实现信息安全的途径或者手段1.1信息与信息安全通信保密阶段（COMSEC）－－关注信息的保密性信息安全发展历史1.1信息与信息安全信息安全发展历史•计算机安全（COMPUSEC）和信息系统安全阶段（INFOSEC）－－关注信息的保密性、完整性和可用性1.1信息与信息安全信息安全发展历史•计算机安全（COMPUSEC）和信息系统安全阶段（INFOSEC）－－关注信息的保密性、完整性和可用性1.1信息与信息安全信息保障阶段（IA）－－保护和防御信息及信息系统，确保其可用性、完整性、保密性、鉴别、不可否认性等特性。这包括在信息系统中融入保护、检测、反应功能，并提供信息系统的恢复功能。信息安全发展历史信息安全的特征？？1.1信息与信息安全机密性－－Confidentiality确保信息在存储、使用、传输过程中不会泄露给非授权的用户或者实体完整性－－Integrity确保信息在存储、使用、传输过程中不被非授权用户篡改；防止授权用户对信息进行不恰当的篡改；保证信息的内外一致性可用性－－Availability确保授权用户或者实体对于信息及资源的正常使用不会被异常拒绝，允许其可靠而且及时地访问信息及资源1.1信息与信息安全信息安全三元组－－CIA1.1信息与信息安全信息安全三元组－－CIA不同的行业对于信息安全CIA三个基本原则的需求侧重不同政府及军队－－保密性银行－－可用性和完整性电子商务网站－－可用性绝对的安全不存在任何安全机制的作用，都是为了在既定的安全目标和允许的投资规模下，有效地抑制和避免系统当前所面临的安全风险，而不是一劳永逸地解决所有的问题。1.1信息与信息安全信息安全的基本观点1.1信息与信息安全信息安全的基本观点实现信息安全要依靠技术措施和管理措施的统一，甚至“三分技术、七分管理”据统计，在所有的计算机安全事件中，约有52%是人为因素造成的，25%由火灾、水灾等自然灾害引起，技术错误占10%，组织内部人员作案占10%，仅有3%左右是由外部不法人员的攻击造成。简单归类，属于管理方面的原因比重高达70%以上。1.1信息与信息安全时间DtPTRt信息安全模型最著名的PDR模型保护Protect检测Detect恢复Restore反应React策略PolicyPPDRR模型1.1信息与信息安全安全域保障，包括三个方面：域内计算环境安全：安全域自身的内部安全；域边界与互联安全：安全域与外部区域，或者安全域之间的边界安全，以及它们进行互联、互通、互操作的安全；通信传输安全：安全域与外部区域，或者安全域之间的数据传输的安全。安全保障体系结构设计1.1信息与信息安全我国信息安全的内涵我国的信息安全，重点是保障基础信息网络、重要信息系统以及信息内容的安全。基础信息网络，包括电信网、广播电视网以及公共互联网等网络，重要信息系统是关系到国计民生的重要领域（银行、民航、税务、证券、海关、铁路、电力等）所依赖的信息系统以及我国各级党政机关的电子政务信息系统。1.2信息安全政策1.2信息安全政策信息化发展九大战略1推进国民经济信息化2推行电子政务3建设先进网络文化4推进社会信息化5完善综合信息基础设施6加强信息资源的开发利用7提高信息产业竞争力8建设国家信息安全保障体系9提高国民信息技术应用能力,造就信息化人才队伍1.2信息安全政策2003年7月22日，国家信息化领导小组第三次会议中共中央政治局常委、国务院总理、国家信息化领导小组组长温家宝主持《关于加强信息安全保障工作的意见》（中办、国办发2003年27号文）对下一时期的信息安全保障工作提出了九项要求针对规范和加强中国信息安全产品测评认证工作，《意见》中专门提出“推进信息安全的认证认可工作，规范和加强信息安全产品测评认证工作”《意见》中指出，“使用国家财政资金建设的信息化项目，要遵照《中华人民共和国政府采购法》的规定采用国产软件、设备和服务”.1.3信息安全法律体系人大关于维护互联网安全的决定中华人民共和国刑法治安管理处罚法中华人民共和国电子签名法中华人民共和国计算机信息系统安全保护条例计算机信息网络国际联网安全保护管理办法互联网信息服务管理办法计算机信息网络国际联网管理暂行规定互联网安全保护技术措施规定计算机病毒防治管理办法信息系统安全专用产品的检测和销售许可证管理办法互联网电子公告服务管理规定互联网站从事登载新闻业务管理暂行规定第二章信息安全管理基础２.１信息安全管理体系信息安全管理的总体原则１主要领导负责原则２规范定级原则３以人为本原则４适度安全原则５全面防范、突出重点原则６系统、动态原则７控制社会影响原则２.１信息安全管理体系信息安全管理的策略１分权制衡２最小特权３选用成熟技术４普遍参与２.１信息安全管理体系信息安全管理的目标•合规性•流程规范性•整体协调性•执行落实性•变更可控性•责任性•持续改进•计划性２.１信息安全管理体系信息安全管理内涵组织•建立信息安全管理组织结构，并明确责任制度•建立健全的安全管理制度体系人员•对人员进行安全教育和培训，加强人员安全意识２.１信息安全管理体系管理内容１基于信息系统各个层次的安全管理：环境和设备安全、网络和通信安全、主机和系统安全、应用和业务安全、数据安全２基于信息系统生命周期的安全管理：信息系统投入使用之前的工程设计和开发阶段、系统的运行和维护阶段３风险管理：资产鉴别、分类和评价，威胁鉴别和评价，脆弱性评估，风险评估和评级，决策并实施风险处理措施。４业务连续性管理５符合性管理方针与策略管理风险管理数据/文档/介质管理应用与业务管理主机与系统管理网络与通信管理环境与设备管理项目工程管理运行维护管理合规性管理人员与组织管理业务连续性管理２.１信息安全管理体系信息安全管理体系构成：２.２信息安全管理标准英国标准协会ＢＳＩ国际标准化组织ＩＳＯＢＳ７７９９－１信息安全管理实施细则ＩＳＯ／ＩＥＣ１７７９９：２００５ＢＳ７７９９－２信息安全管理体系规范ＩＳＯ／ＩＥＣ２７００１：２００５一、ＢＳ７７９９２.２信息安全管理标准1、发展历程英国标准协会(BritishStandardsInstitute,BSI)制订并发布1995年发布BS7799-1:1995，1998年发布BS7799-2:19981999年修订和扩展，发布完整的BS7799:19992000年，第一部分被采纳为ISO/IEC17799:20002002年对BS7799-2:1999再次修订，2004年发布新版本为BS7799-2:2002ISO/IEC17799:2005和BS7799-2:2005发布BS7799称为安全管理事实上的标准２.２信息安全管理标准２.２信息安全管理标准２.２信息安全管理标准２、BS7799-1(ISO/IEC17799)安全策略：包括信息安全策略的制订和管理，例如复查和评估组织安全：包括建立信息安全管理组织机构，明确信息安全责任，第三方和外包安全资产分类与控制：包括建立资产清单、进行信息分类与分级人员安全：包括岗位安全责任和人员录用安全要求，安全教育与培训，安全事件的响应２.２信息安全管理标准２、BS7799-1(ISO/IEC17799)物理与环境安全：包括安全区域控制、设备安全管理等通信与操作管理：包括操作程序和责任，系统规划和验收，防范恶意软件，内务管理，网络管理，介质安全管理，信息与软件交换安全访问控制：包括访问控制策略，用户访问控制，网络访问控制，操作系统访问控制，应用访问控制，监控与审计，移动和远程访问２.２信息安全管理标准２、BS7799-1(ISO/IEC17799)系统开发与维护：安全需求分析，安全机制设计（应用系统安全，密码控制，系统文件安全），开发和支持过程的安全控制业务连续性管理：业务连续性计划的制订，演习，审核，改进符合性管理：符合法律法规，符合安全策略等２.２信息安全管理标准２、BS7799-1(ISO/IEC17799)对控制措施的描述不够细致，导致缺乏可操作性1３３项控制措施未必适合全部的组织，应当有选择的参考使用1３３项控制措施未必全面，可以根据实际情况进行增补２.２信息安全管理标准２.２信息安全管理标准２.２信息安全管理标准２.２信息安全管理标准２.２信息安全管理标准２.２信息安全管理标准２.２信息安全管理标准２.２信息安全管理标准２.２信息安全管理标准３、BS7799-2/ISO27001（1）信息安全管理体系规范(SpecificationforInformationSecurityManagementSystem)说明了建立、实施、维护，并持续改进ISMS的要求指导实施者如何利用BS7799-1来建立一个有效的ISMSBSI提供依据BS7799-2所建立ISMS的认证２.２信息安全管理标准３、BS7799-2（２）建立ISMS（PLAN）定义ISMS的范围和策略识别和评估风险评估现有保证措施准备适用性说明取得管理层对残留风险的认可，并获得实施ISMS的授权２.２信息安全管理标准３、BS7799-2（３）实施ISMS（DO）制订并实施风险处理计划实施安全控制措施实施安全意识和安全教育培训实施检测和响应安全机制２.２信息安全管理标准３、BS7799-2（４）监视和复查ISMS（CHECK）实施监视程序和控制定期复审ISMS的效力定期进行ISMS内部审计复查残留风险和可接受风险的水平２.２信息安全管理标准３、BS7799-2（５）改进ISMS（ACT）对ISMS实施可识别的改进实施纠正和预防措施确保改进成果满足预期目标２.２信息安全管理标准３、BS7799-2（６）强调文档化管理的重要作用，文档体系包括安全策略适用性声明实施安全控制的规程文档ISMS管理和操作规程与ISMS有关的其它文档２.２信息安全管理标准２.３信息安全策略安全策略包括：•总体方针，指导性的战略纲领文件，阐明了企业对于信息安全的看法和立场、信息安全的目标和战略、信息安全所涉及的范围、管理组织构架和责任认定、以及对于信息资产的管理办法等内容•针对特定问题的具体策略，阐述了企业对于特定安全问题的声明、立场、适用办法、强制要求、角色、责任认定等内容•针对特定系统的具体策略，更为具体和细化，阐明了特定系统与信息安全有关的使用和维护规则等内容２.３信息安全风险管理安全策略的特点：•力求