信息安全管理

第一章信息安全管理概论1.信息安全管理内涵1.1信息安全定义在技术上和管理上为数据处理系统建立的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏(可用)、更改（完整）和泄露（机密）。1.2发展过程及阶段１）通信保密时代：二十世纪40-50年代时代标志是1949香农发表的《保密通信的信息理论》２）信息安全时代：二十世纪70-90年代关注信息安全的三属性：保密性、完整性和可用性。3）信息安全保障时代：进入二十一世纪时代标志《信息保障技术框架》（IATF）1.3信息安全保障可信的人员精湛的技术完善的管理1.4信息安全管理定义信息安全管理是通过维护信息的机密性、完整性和可用性等，来管理和保护信息资产的一项体质，是对信息安全保障进行指导、规范和管理的一系列活动和过程。信息安全管理是信息安全保障体系建设的重要组成部分，对于保护信息资产、降低信息系统安全风险、指导信息安全体系建设具有重要作用。1.5技术与管理关系信息安全技术是实现信息安全产品的技术基础；信息安全产品是实现组织信息安全的系统设备；单纯只考虑技术，只能做出功能强大的安全保障提供直接的支持。技术只是个手段，不是趋势，趋势源于需求，技术满足需求，管理起到连接作用。从管理着眼，从技术入手。管理驱动技术，技术实现管理。技术与管理并重。三分技术七分管理2.信息安全管理的内容2.1基于信息系统各个层次的安全管理环境和设备安全网络和通信安全主机和系统安全应用和业务安全数据安全2.2基于信息系统生命周期的安全管理工程设计和开发阶段系统的运行和维护阶段2.3ISO/IEC27002:2005（GB/T22081-2008）11个方面信息安全方针信息安全组织资产管理人力资源安全物理与环境安全通信及操作管理访问控制系统获取、开发和维护信息安全事件管理业务持续性管理符合性3.信息安全管理体系（ISMS）3.1定义基于业务风险方法，建立、实施、运行、监视、评审、保持和改进信息安全的管理体系，即一套过程框架。第二章1.ISO/IEC2700X系列国际标准ISO/IEC27000信息安全管理体系基础和术语ISO/IEC27001信息技术—安全技术—信息安全管理体系—要求ISO/IEC27002信息技术—安全技术—信息安全管理实践规则ISO/IEC27003信息安全管理体系实施指南ISO/IEC27005信息安全风险管理2.ISO/IEC27002:2005实用规则控制目标：声明要实现什么；控制措施：可被用于实现控制目标，描述结构如下：控制措施：实现控制目标的控制措施介绍说明实施指南：为支持控制措施的实施和满足控制目标而提供的详细信息其它信息：提供进一步考虑的信息以访问控制为例：访问控制的控制目标数量为7，控制措施数量为25.控制目标：1、访问控制的业务要求2、用户访问管理3、用户职责4、网络访问控制5、操作系统访问控制6、应用和信息访问控制7、移动计算和远程工作如用户访问管理：一、目标：确保授权用户访问信息系统，并防止未授权的访问。宜有正式的规程来控制对信息系统和服务的访问权的分配。这些规程宜涵盖用户访问生存周期内的各个阶段，从新用户初始注册到用户的最终注销。四个措施：1、用户注册2、特殊权限管理3、用户口令管理4、用户访问权的复查用户口令管理控制措施：宜通过正式的管理过程控制口令的分配。实施指南：1、要求用户签署一份声明，以保证个人口令的保密性和组口令仅在该组成员范围内使用；2、若需要用户维护自己的口令，要在初始时提供给他们一个安全的临时口令，并强制其立即改变；3、在提供一个新的、代替的或临时口令之前，要建立验证用户身份的规程；4、要以安全的方式将临时口令给予用户；5、临时口令要对个人而言是唯一的、不可猜测的；6、口令不要以未保护的形式存储在计算机系统内；7、要在系统或软件安装后改变提供商的默认口令。3.ISO/IEC2700X信息安全管理体系（ISMS）3.127001:2005信息安全管理体系要求该标准为建立、实施、运行、监视、评审、保持和改进信息安全管理体系（ISMS）提供模型。1）指导和规范信息安全管理体系设计建立、实施运行的标准，最佳实践；2）进行信息安全管理体系评审的依据。审核的重点不是组织信息安全现状，而是审核组织是否按照本标准进行部署。3.2ISMS建立的总的要求和思路1）ISMS建立要基于组织的业务、风险评估结果及相关要求；2）ISMS应形成文件；3）ISMS体系中的过程基于PDCA模型。3.3PDCA（戴明环）P:分析并找出管理中的主要问题，制定计划，确定要点。D：执行制定的方案。C：检查并总结执行的结果。A：对已解决的问题标准化，找出尚未解决的问题。各级部门可以有自己的PDCA循环，层层循环，形成大环套小环，小环里面又套更小的环。大环是小环的母环的分解和保证。PDCA循环就像爬楼梯一样，一个循环运转结束，生产的质量就会提高一步，然后再制定下一个循环，再运转、再提高，不断前进，不断提高，是一个螺旋式上升的过程。4.ISMS的流程4.1ISMS建立（PLAN）1）根据业务特点、组织结构、资产和技术等，确定ISMS的范围和边界，包括对例外于此范围的对象；2）根据业务特点、组织结构、资产和技术等，确定ISMS方针ISMS方针的目的：（1）为组织提供信息安全关注的焦点，指明方向，确定目标；（2）用简洁通俗的方式阐述组织最重要的信息安全问题，确保ISMS被充分理解和贯彻实施；（3）统领整个ISMS是所有的其他文件和措施的基础。3）确定组织的风险评估方法4）识别与分析评价风险5）为处理风险选择控制目标和控制措施可选择的风险处置项可归结为4条：（1）减缓风险（2）接受风险（3）规避风险（4）转移风险6）获得管理者对建议的残余风险的批准7）获得管理者对实施和运行ISMS的授权8）准备适用性声明“适用性声明”是说明控制目标和控制措施的文件，该文件是ISMS认证所需要的工作文件之一。实施哪项控制目标、措施，不实施哪项控制目标、措施应记入“适用性声明”中。适用性声明包括：（1）选择的控制目标与控制措施的理由（2）当前实施的控制目标与控制措施（3）对附录A中任何控制目标和控制措施的删减，以及删减的合理性说明。4.2ISMS实施和运行（DO）1）制定信息安全风险处理计划；包括：（1）为处理风险所选择的管理措施（2）实施所需要的资源（3）管理者应承担的职责（4）计划的优先级或者时间安排风险处理计划属于ISMS规定必须的文件之一。2）实施信息安全风险处理计划，执行选中的控制措施，以达到控制目标；3）确定如何测量所选择的控制措施的有效性；控制措施的有效性必须能够进行测量，测量控制措施有效性的方法以及如何进行测量要预先确定，测量程序要文件化，作为ISMS体系文件之一。4）实施培训和意识教育计划，以保证组织具备实现其安全目标的能力；5）管理ISMS运行与资源；6）实施能够迅速检测安全事件和响应安全事故的程序和其他控制措施。4.3ISMS监视和评审（CHECK）1）执行监视和评审程序，及其他控制措施；确保控制措施按计划有效运行，并确保ISMS持续有效（1）识别试图或已得逞的安全违规行为及事故（2）确定解决安全的措施是否有效（3）检测过程运行结果中的错误（4）检查安全活动是否被执行2）在安全审核结果、事故、有效性测量结果、所有相关方的建议和反馈的基础上，进行ISMS有效性的定期评审；3）基于监视和评审活动的结果，更新安全计划；4）记录可能影响ISMS有效性或执行情况的措施和事件。4.4ISMS保持和改进（ACT）5.信息安全管理体系文件性质及要求ISO27001标准所要求建立的ISMS是一个文件化的体系，ISO27001认证第一阶段就是进行文件审核，文件是否完整、足够、有效，都关乎审核的成败，所以，在整个ISO27001认证项目实施过程中，逐步建立并完善文件体系非常重要。第三章信息安全策略1.信息安全策略的内涵及重要意义1.1信息安全策略的内涵信息安全策略从本质上来说是描述组织具有哪些重要信息资产，并说明这些信息资产如何被保护的一个计划，其目标是为信息安全提供管理指导和支持。信息安全策略是信息安全的灵魂。信息安全策略是一切信息安全保障活动的基础和出发点。1.2信息安全策略的作用向组织成员阐明如何使用组织中信息系统资源，如何处理敏感信息；用户在使用信息时应当承担什么样的责任；描述对人员的安全意识与技能要求；如何使用安全技术产品；1.3信息安全策略的作用方式信息安全策略的规划与实施是保护组织信息安全的重要一步。信息安全策略的正确制定与实施对组织的信息安全起着非常重要的作用。1.4信息安全策略的重要意义随着全球信息化程度越来越高，信息系统越来越复杂、所受的威胁也越来越多，信息安全保障工作复杂性和难度随之增强，在制定信息安全措施时必须考虑一套科学的、系统的安全策略规划与实施程序。2.信息安全策略的分类2.1按信息安全策略层次划分战略性信息安全策略战术性信息安全策略操作性信息安全策略2.2按信息安全策略领域划分国家标准：“GB/T22239--2008信息系统安全等级保护基本要求”中信息安全策略划分。国际标准：“ISO/IEC27002信息技术—安全技术—信息安全管理实践规则”中信息安全策略划分。3.策略的规划与实施需求策略是编写和定义安全策略的依据和基础。服务策略是需求策略的具体化，是对具体实体策略的抽象。3.1需求策略（系统安全需求）需求策略描述了系统要达到的安全要求和提供的安全功能，以及应该阻止或避免什么事件的发生，这是编写和定义安全策略的依据和基础。安全要求的三个来源：①来源一是通过对组织进行风险评估获得，并考虑组织的整体业务策略与目标。②来源二是组织、贸易伙伴、承包方和服务提供者满足的法律、法规、规章制度和合同要求，及他们的社会文化环境。③来源三是组织开发的支持其运行的信息处理的原则、目标和业务要求的特定集合。3.2服务策略（系统安全服务）服务策略指明实现系统安全需求应提供的安全服务。安全服务具体包括：标识与认证、授权与访问控制、保密性与完整性、数字签名与抗抵赖、安全审计、入侵检测、响应与恢复、病毒防范、容错与备份等。服务策略是需求策略的具体化，是对具体实体策略的抽象。3.3实体策略（网络系统）实体策略描述的是如何将上两层策略付诸工程实现，该层策略进一步细分为描述层策略和配置命令策略。实体策略描述的是如何将上两层策略付诸工程实现。4.策略的制定（通用）原则起点进入原则长远安全预期原则最小特权原则适度复杂与经济原则5.策略的制定与执行流程确定应用范围获得管理支持进行安全分析会见关键人员制订策略草案开展策略评估发布安全策略随需修订策略6.策略的管理手段6.1策略管理的文档组织策略需要文档支持三类文档被视为“策略实施”文档或策略配套文档：标准：规定策略中最低要求准则：完成某项任务的最佳方式的建议规程：提供实施策略的方法，是执行策略的指导6.2策略管理的关键技术安全策略统一描述技术安全策略自动翻译转换技术安全策略一致性验证技术安全策略发布与分发技术第四章终端安全核心配置1.功能与作用对操作系统、办公软件、浏览器等常用软件中关键的安全属性进行参数设置、限制或禁止存在安全隐患或漏洞的功能，启用或加强安全保护功能，增强终端抵抗安全风险的能力。2.术语与定义核心配置项：计算机操作系统、办公软件、浏览器、BIOS系统和防恶意代码软件等基础软件中影响计算机安全的关键参数可选项。核心配置：对核心配置项进行参数设置的过程。通过核心配置限制或禁止存在安全隐患或漏洞的功能，启用或加强安全保护功能，来增强计算机抵抗安全风险的能力。核心配置项基值：按照核心配置基本要求对配置项的参数设置。核心配置基线：能够满足计算机安全基本要求的一组核心配置项基值构成的集合。核心配置基线包：为实现核心配置基线自动化部署而制定的一种具有特定语法格式的核心配置数据文件。3.FDCC（联邦桌面核心配置计划）3.1概述该计划由美国联邦预算管理办公室（OMB）和美国国家标准与技术研究院（NIST）共同负责实施，旨在提高美国联邦政府计算机终端的安全性