企业信息安全管理基础

企业信息安全管理基础－风险评估和BS7799主要实验国内最好的扫描器－XSCAN3.3微软基线与综合风险评估工具MBSA&MAST国际最强大的漏洞扫描器NESSUS3.0.3国际最强大的网络扫描器NMAP4.11被动扫描器天眼1.05信息安全管理基础什么是信息安全管理？信息安全管理一般包括制定信息安全政策、风险评估、控制目标与方式选择、制定规范的操作流程、对员工进行安全意识培训等一系列工作，通过在安全方针策略、组织安全、资产分类与控制、人员安全、物理与环境安全、通信与运营安全、访问控制、系统开发与维护、业务持续性管理、符合法律法规要求等十个领域内建立管理控制措施，来为组织建立起一张完备的信息安全“保护网”，来保证组织信息资产的安全与业务的连续性。宏观和微观管理信息安全管理体系主要的管理体系风险评估－安全管理－风险评估风险评估的要素风险评估的方法风险评估的工具风险评估主要内容信息安全风险是指企业信息资产的保密性、完整性和可用性遭到破坏的可能性。在信息化建设中，建设与运营的网络与信息系统由于可能存在的系统设计缺陷、隐含于软硬件设备的缺陷、系统集成带来的缺陷，以及可能存在的某些管理薄弱环节，尤其当网络与信息系统中拥有极为重要的信息资产时，都将使得面临复杂环境的网络与信息系统潜在着若干不同程度的安全风险。安全源于风险风险的等级灾难性5较大4中等3较小2可以忽略1后果HHMLLE（罕见）EHMLLD（不太可能）EEHMLC(可能）EEHHMB(很可能)EEEHMA(几乎肯定)可能性注：风险的四个级别：E：极度风险H：高风险M：中等风险L:低风险风险评估要素关系图方框部分的内容为风险评估的基本要素;椭圆部分的内容是与基本要素相关的属性（1）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；（1）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；（2）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；（1）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；（2）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；（3）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成安全事件；（1）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；（2）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；（3）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成安全事件；（4）资产的脆弱性可以暴露资产的价值，资产具有的弱点越多则风险越大；（1）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；（2）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；（3）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成安全事件；（4）资产的脆弱性可以暴露资产的价值，资产具有的弱点越多则风险越大；（5）脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产；（1）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；（2）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；（3）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成安全事件；（4）资产的脆弱性可以暴露资产的价值，资产具有的弱点越多则风险越大；（5）脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产；（6）风险的存在及对风险的认识导出安全需求；（1）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；（2）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；（3）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成安全事件；（4）资产的脆弱性可以暴露资产的价值，资产具有的弱点越多则风险越大；（5）脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产；（6）风险的存在及对风险的认识导出安全需求；（7）安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；（1）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；（2）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；（3）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成安全事件；（4）资产的脆弱性可以暴露资产的价值，资产具有的弱点越多则风险越大；（5）脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产；（6）风险的存在及对风险的认识导出安全需求；（7）安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；（8）安全措施可抵御威胁，降低风险；（1）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；（2）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；（3）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成安全事件；（4）资产的脆弱性可以暴露资产的价值，资产具有的弱点越多则风险越大；（5）脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产；（6）风险的存在及对风险的认识导出安全需求；（7）安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；（8）安全措施可抵御威胁，降低风险；（9）残余风险是未被安全措施控制的风险。有些是安全措施不当或无效,需要加强才可控制的风险；而有些则是在综合考虑了安全成本与效益后未去控制的风险；（1）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；（2）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；（3）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成安全事件；（4）资产的脆弱性可以暴露资产的价值，资产具有的弱点越多则风险越大；（5）脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产；（6）风险的存在及对风险的认识导出安全需求；（7）安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；（8）安全措施可抵御威胁，降低风险；（9）残余风险是未被安全措施控制的风险。有些是安全措施不当或无效,需要加强才可控制的风险；而有些则是在综合考虑了安全成本与效益后未去控制的风险；（10）残余风险应受到密切监视，它可能会在将来诱发新的安全事件。风险评估的定义信息安全风险评估，是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，并为防范和化解信息安全风险，或者将风险控制在可接受的水平，从而最大限度地保障网络和信息安全提供科学依据（国信办[2006]5号文件）。三者的关系是什么呢？信息安全等级保护的概念与背景1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》1999年公安部组织起草了《计算机信息系统安全保护等级划分准则》（GB17859-1999）2002年公安部组织起草了GA/T387-2002《计算机信息系统安全等级保护网络技术要求》、GA388-2002《计算机信息系统安全等级保护操作系统技术要求》、GA/T389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T390-2002《计算机信息系统安全等级保护通用技术要求》、GA391-2002《计算机信息系统安全等级保护管理要求》2004年公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室《关于信息安全等级保护工作的实施意见的通知》发展变化趋势是什么？信息安全测评的概念与背景国际标准、国内标准、其它标准（参考：=DWV1_WOUID_URL_2150）例如：ISO15408《信息安全技术评估通用准则》中国人民解放军信息安全测评认证中心中国国家信息安全测评认证中心公安部信息安全产品检测中心三者的关系等级保护是核心，风险评估、安全测评是方法风险评估是出发点，等级保护是系统定级等级保护是目标，安全测评是手段风险评估是起点，安全测评是终点风险评估的目的了解企业的安全现状，识别面临的各种风险评估风险概率和可能带来的负面影响确定企业承受风险的能力确定风险削减和控制的优先等级推进风险削减的对策实施风险评估，有参考标准吗？侧重计算机系统安全的评估标准：1、美国《可信计算机系统评估准则》(TCSEC)2、欧洲《信息技术安全评估准则》(ITSEC),3、加拿大《可信计算机产品评价准则》(CTCPEC)4、我国《计算机信息系统安全保护等级划分准则》(GB17859)侧重对产品的技术指标的评估：1、国际标准化组织《信息技术安全性评估通用准则》ISO/IEC154082、我国《信息技术安全性评估准则》(GB/T18336)。侧重对安全风险的评估标准：1、英国标准协会《信息技术-信息安全管理实践规范》（BS7799）2、公安部《2计算机信息系统安全等级保护管理要求》（GA/T391-2002）3、2006年国信办《信息安全风险评估指南》与《信息安全风险管理指南》其它评估标准：BS7799、OCTAVE、NISTSP800-26、NISTSP800-30、AS/NZS4360、SSE-CMM等标准发展变化趋势是什么呢？风险评估方法基线风险评估详细风险评估综合风险评估风险评估的工作流程确定风险评估范围资产的识别与估计安全威胁评估脆弱性评估信息系统资产列表信息系统资产价值列表信息系统脆弱性评估结果信息系统威胁评估结果风险分析与管理阶段风险评估结果与对策大型商业评估工具比较Asset-1评估工具是以SP800-26(信息系统安全性自我评估向导)为标准制定的用于安全性自我评估的自动化工具。CC评估工具以CC为标准，由CC知识库和CC评估工具集组成，主要采用页面调查形式,用户通过依次填充每个页面的调查项来完成评估,最后生成最终评估报告。RiskWatch是一款自动化软件系统。XACTAWebC&A主要遵循BS7799标准,是自动完成评估过程的唯一商用软件产品。主要依据BS7799、NIACAP、DITSCAP主要依据NIACAP、DITSCAP进行C&A过程成熟产品，有一定客户群XACTAXACTA各类信息安全相关标准综合各类相关标准进行风险评估和风险管理成熟产品，有一定客户群RiskWatchRiskWatchCC依据CC进行信息安全自动化评估NIAP发布NIAPCCNISTSP800-26依据美国NISTSP800-26进行IT安全自动化自我评估NIST发布NISTAsseet-1标准功能成熟度公司工具缩写注释NIST：NationalInstituteofStandardsandTechnologyNIAP：NationalInformationAssurancePartnershipDITSCAP:TheDepartmentofDefenseInformationTechnologySecurityCertificationandAccreditationProcess本地的风险评估工具远程风险评估工具主机安全检查工具常用的评估工具使用本地风险评估金山2006OEM版本机器出场时的安全隐患操作系统漏洞修复应用软件漏洞修复计算机配置错误金山VS瑞星远程风险评估工具（扫描器）前提：网络ip地址清单或范围扫描器目的9确定目标系统是否在活动9确定那些服务在运行9检测目标操作系统类型9试图发现目标系统的漏洞9试图发现目标系统的弱口令XSCAN扫描工具国内著名的安全焦点组织提供，为什么我们需要细讲NMAP呢？主要缺陷－扫描形式单一只有TCP/SYN两种形式远程扫描原理与实现－NAMPNMAP扫描器例子：nmap-sS192.168.0.1-255-p20-v命令，表示执行一次TCPSYN扫描，启用verbose模式，要扫描的网络是192.168.7，检测20号端口扫描器的特点„与操作系统有关„通常情况下，作为风险评估的扫描器是在内网进行扫描从外网到内网的扫描属于渗透测试，因为绝大