CISM0101信息安全保障基础_V30(XXXX年)

信息安全保障基础中国信息安全测评中心版本：3.0课程内容2信息安全保障基础信息安全保障理论及实践信息安全法规政策标准信息安全保障基础知识重点信息安全政策解读信息安全标准知识信息安全保障模型我国信息安全保障工作实践重点信息安全法律法规解读知识域：信息安全保障基础知识理解信息安全的典型安全威胁理解信息安全问题产生的根源掌握信息安全三个基本要素（保密性、完整性和可用性）的概念和含义了解信息安全发展的阶段及各阶段主要特点理解信息安全保障的概念和内涵3信息和信息安全信息消息，泛指人类社会传播的一切内容有意义的数据在计算机系统中，信息通常以文字、声音、图像或数据的形式展现出来，它是按一定方式排列起来的、有意义的符号序列信息安全关注信息自身的安全4什么是信息安全5保持信息的保密性、完整性和可用性，即防止未经授权使用信息、防止对信息的非法修改和破坏、确保及时可靠地使用信息。（CIA）保密性完整性可用性保密性保密性Confidentiality（C）也称机密性确保信息没有泄漏，不被没有授权的个人、组织和计算机程序使用保密性需求举例国家秘密企业或研究机构的核心知识产权银行账号等个人信息6完整性完整性Integrity（I）确保信息没有遭到篡改或破坏信息保持原样，未受损坏没有丢失、被篡改或被破坏完整性需求举例通信数据原样传送到对方信息未被插入、增加、删除、修改7可用性可用性Availability（A）确保拥有授权的用户或程序可以及时、正常使用信息可用性需求举例网站能支撑大量用户访问，正常提供服务系统未受病毒影响，可以正常使用系统能防御攻击者攻击，稳定可用8为什么会有信息安全问题？为什么会有信息安全问题？总有黑客来攻击总有新病毒传播某些软件配置错误操作系统被发现了新的漏洞领导不重视，施工人员不认真写代码的程序员没有获得安全证书...9这些都对，怎么才能罗列完全？根本原因是什么？信息系统安全问题产生的根本原因内因系统自身的脆弱性外因来自恶意攻击者的攻击来自自然灾害的破坏10安全问题根源—内因示例复杂性导致脆弱性凡是人做的东西总会存在问题11安全问题根源—外因示例国家安全威胁信息战士减小国家决策空间、战略优势，制造混乱，进行目标破坏情报机构搜集政治、军事，经济信息组织威胁恐怖分子破坏公共秩序，制造混乱，发动政变商业间谍掠夺竞争优势，恐吓犯罪团伙施行报复，实现经济目的，破坏制度局部威胁社会型黑客攫取金钱，恐吓，挑战，获取声望娱乐型黑客以吓人为乐，喜欢挑战12安全问题根源—外因示例来自大自然的威胁雷击、地震、火灾和洪水等自然灾害电力、空调等被电磁脉冲破坏信息系统机房和设备遭受破坏13信息安全的地位和作用信息网络已逐渐成为经济繁荣、社会稳定和国家发展的基础信息化深刻影响着全球经济的整合、国家战略的调整和安全观念的转变信息安全适用于所有信息技术领域学习、游戏、网络购物、电子邮件信息化办公、电子商务电子政务、电力供应、工业控制系统核设施、军事情报系统从单纯的技术性问题变成事关国家安全的全球性问题14信息安全发展阶段COMSEC通信安全COMPUSEC计算机安全INFOSEC信息系统安全IA信息安全保障15CS/IA网络空间安全/信息安全保障通信安全COMSEC•CommunicationSecurity•20世纪，40年代-70年代核心思想•通过密码技术解决通信保密，保证数据的保密性和完整性•主要关注传输过程中的数据保护安全威胁•搭线窃听、密码学分析安全措施•加密16计算机安全17信息系统安全INFOSEC•InformationSystemsSecurity•20世纪，90年代后核心思想•确保信息在存储、处理和传输过程中免受偶然或恶意的泄密、非法访问或破坏安全威胁•网络入侵、病毒破坏、信息对抗等安全措施•防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN等18信息安全保障IA•InformationAssurance•今天，将来……核心思想•动态安全,保障信息系统的业务正常、稳定的运行•综合技术、管理、过程、人员安全威胁•黑客、恐怖分子、信息战、自然灾难、电力中断等安全措施•技术安全保障体系、安全管理体系、人员意识/培训/教育19阶段年代安全威胁安全措施通信安全20世纪，40—70年代搭线窃听、密码学分析加密计算机安全20世纪，70-90年代非法访问、恶意代码、脆弱口令等安全操作系统设计技术（TCB）信息系统安全20世纪，90年代后网络入侵、病毒破坏、信息对抗等防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN等信息安全保障今天，……黑客、恐怖分子、信息战、自然灾难、电力中断等技术安全保障体系安全管理体系人员意识/培训/教育信息安全发展各阶段特点20信息安全保障概念发展第一次定义1996年，美国国防部DoD指令5-3600.1（DoDD5-3600.1）中，给出了信息安全保障的定义中国中办发27号文《国家信息化领导小组关于加强信息安全保障工作的意见》，是信息安全保障工作的纲领性文件目前，信息安全保障的概念已逐渐被全世界信息安全领域所接受美国英国日本…21信息安全保障含义保障目标信息系统业务和使命安全保障措施防止信息泄露、修改和破坏检测入侵行为，实施响应和改进措施同传统信息安全概念相比较强调检测和响应，强调动态安全注重对信息系统进行全生命周期的保护关注技术、管理、规范等方面要求实现风险管控的目标22新阶段——网络空间安全/信息安全保障CS/IA：CyberspaceSecurity/InformationAssurance威胁有组织网络犯罪、网络恐怖主义、网络空间军事对抗、APT共识：网络安全问题上升到国家安全的重要程度2009年，在美国带动下，世界各国信息安全政策、技术和实践等发生重大变革……核心思想：从传统防御的信息保障（IA），发展到“威慑”为主的防御、攻击和情报三位一体的信息保障/网络安全（IA/CS）的网空安全•网络防御-Defense（运维）•网络攻击-Offense（威慑）•网络利用-Exploitation（情报）23知识体：信息安全保障理论及实践知识域：信息安全保障模型了解信息系统、风险、保障和使命之间的关系掌握信息系统安全保障模型，理解其保障要素、生命周期和安全特征的内容和含义理解PDCA模型内容和特点了解信息保障技术框架（IATF）的核心要素和焦点区域24信息系统、风险、保障和使命风险可能导致信息安全问题影响信息系统业务使命保障制定策略、执行措施降低风险、保障使命使命信息系统业务使命贯穿整个生命周期25什么是信息安全风险外在威胁利用信息系统存在的脆弱性，致其损失或破坏对系统价值造成损害的可能性信息系统威胁防护措施脆弱性风险利用对抗导致增加减少作用于26信息系统为什么需要安全保障组织机构的使命/业务目标实现越来越依赖于信息系统信息系统成为组织机构生存和发展的关键因素信息系统的安全风险也成为组织风险的一部分为了保障组织机构完成其使命，必须加强信息安全保障，抵抗这些风险27信息系统安全保障定义信息系统安全保障是在信息系统的整个生命周期中，通过对信息系统的风险分析，制定并执行相应的安全保障策略，从技术、管理、工程和人员等方面提出安全保障要求，确保信息系统的保密性、完整性和可用性，降低安全风险到可接受的程度，从而保障系统实现组织机构的使命。28技术工程管理人员保障要素开发采购实施交付运行维护完整性可用性废弃保密性安全特征计划组织生命周期《信息安全技术信息系统安全保障评估框架第一部分：简介和一般模型》(GB/T20274.1-2006)信息系统安全保障模型-保障评估框架29信息系统安全保障模型特点安全特征保证其所创建、传输、存储和处理信息的保密性、完整性和可用性。生命周期应贯穿信息系统的整个生命周期，包括计划组织、开发采购、实施交付、运行维护和废弃五个阶段保障要素由合格的信息安全专业人员，使用合格的信息安全技术和产品，通过规范、可持续性改进的工程过程能力和管理能力进行建设和运行维护，保障信息系统安全302019/9/2信息系统安全保障含义解释（1）出发点和核心在信息系统所处的运行环境里，以风险和策略为出发点，即从信息系统所面临的风险出发制定组织机构信息系统安全保障策略动态安全，综合保障信息系统生命周期通过在信息系统生命周期中从技术、管理、工程和人员等方面提出安全保障要求31信息系统安全保障含义解释（2）确保信息的安全特征确保信息的保密性、完整性和可用性特征，从而实现和贯彻组织机构策略并将风险降低到可接受的程度保护资产达到保护组织机构信息和信息系统资产最终保障使命从而保障组织机构实现其使命的最终目的32如何保障信息系统安全？33信息是依赖于承载它的信息技术系统存在的需要在技术层面部署完善的控制措施信息系统需要规划、建设、使用和维护需要通过有效的管理手段来约束和保证今天系统安全了明天未必安全需要贯穿系统生命周期的工程过程信息安全的对抗，归根结底是人员的对抗需要建设高素质的人才队伍信息安全保障体系构成的要素信息安全技术体系信息安全管理体系信息安全工程过程高素质的人员队伍34信息系统安全保障技术要素安全技术体系架构根据系统安全风险评估的结果和系统安全策略的要求，并参考相关标准和最佳实践，建立的符合组织机构信息技术系统安全发展规划的整体安全技术体系框架主要内容密码技术访问控制技术审计和监控技术网络安全技术…3536举例：信息安全技术体系数据安全应用安全主机安全网络安全物理安全信息系统安全保障管理要素覆盖整个生命周期以风险和策略为核心五方面的管理内容相关方信息安全需求&期待实施和运行ISMS保持和改进ISMSPlan计划Do实施Act改进Check检查开发、维护&改进循环相关方受控的信息安全Plan计划（建立ISMS环境）根据组织机构的整体策略和目标，建立同控制风险和改进信息安全相关的安全策略、目的、目标、过程和流程以交付结果。Do做（设计&实施）实施和操作策略（过程和流程）Check检查（监控&审核）通过策略、目的和实践经验测量和评估过程执行，并将结果汇报给决策人。Act行动（改进）建立纠正和预防行动以进一步改进过程的执行建立ISMS监视&评审ISMS信息安全管理体系建设38信息系统安全保障工程要素将信息安全手段动态作用于信息系统的工作过程基于信息系统生命周期建立信息系统安全工程生命周期在生命周期每个阶段融入安全措施，从而有效、科学的实现信息系统安全保障目标39计划组织开发采购实施交付运行维护废弃将安全措施融入信息系统生命周期科学的信息安全工程过程40挖掘安全需求定义安全要求设计体系结构开展详细设计实现系统安全有效性评估高素质的人员队伍信息安全对抗归根结底是人与人的对抗，保障信息安全不仅需要专业信息技术人员，还需要信息系统普通使用者提高安全意识，加强个人防范能力安全意识安全基础和安全文化信息安全专业人员（信息安全相关的岗位和职责）计划组织开发采购实施交付运行维护废弃信息安全从业人员（信息系统相关的岗位和职责）所有员工注册信息安全员（CISM）信息安全保障专家注册信息安全专业人员（CISP）培训意识41基于信息系统生命周期的信息安全保障在信息系统生命周期模型中，将信息系统的整个生命周期抽象成计划组织、开发采购、实施交付、运行维护和废弃五个阶段42变更应用于系统计划组织开发采购实施交付运行维护废弃信息系统安全保障（信息系统技术、管理、工程和人员保障要素）保障要素信息系统生命周期信息系统安全保障模型理解•综合技术、管理、工程、人员不仅仅是一门技术学科•保障信息系统生命周期的全过程不是某一个阶段的暂时性行为•为了保障信息系统业务使命不是为了购买安全设备而实施•是一个需要多方参与的工作不是孤立的自身的问题•通过客观工作提升主观信心不是为了达到绝对的安全43信息系统安全保障A