2017-5-安全规划中山大学信息安全管理.ppt
《2017-5-安全规划中山大学信息安全管理.ppt》由会员分享,可在线阅读,更多相关《2017-5-安全规划中山大学信息安全管理.ppt(141页珍藏版)》请在三一文库上搜索。
1、第四章 安全规划,田海博,内容纲要,信息安全政策与程序 信息安全管理标准 安全管理策略的制定与实施 安全教育培训和意识提升 持续性策略,学习目标,管理人员在信息安全政策、标准、实践、过程及方针的发展、维护和实施中的作用 英国标准协会制定的信息安全管理标准 组织、机构或部门如何通过教育、培训和意识提升计划,使它的政策、标准和实践制度化 什么事意外事故计划、它与事件响应计划、灾难恢复计划和业务持续性计划有什么关系,4,一、信息安全政策与程序,信息安全政策与程序,要建立信息安全计划 应首先建立和检查组织、机构、或者部门的信息安全政策和程序 然后选择或建立信息安全体系结构 开发和使用详细的信息安全蓝本
2、,为将来的成功制定计划,为什么要制定安全政策与程序,信息安全很重要 信息安全中最活跃的因素是人,人的因素比技术因素更重要 对人的管理包括 法律、法规 政策的约束 安全指南的帮助 安全意识的提高 安全技能的培训 人力资源管理措施 企业文化的熏陶 可对人管理 可促进全体员工参与 可有效降低人为因素所造成的对安全的损害 有效实施需要详细的执行程序,7,为什么要制定安全政策与程序,1.组织应该有一个完整的信息安全策略 我们可以通过下面一个例子来理解这种情况。 某设计院有工作人员25人,每人一台计算机,Windows 98对等网络通过一台集线器连接起来,公司没有专门的IT管理员。公司办公室都在二楼,同一
3、楼房内还有多家公司,在一楼入口处赵大爷负责外来人员的登记,但是他经常分辨不清楚是不是外来人员。设计院由市内一家保洁公司负责楼道和办公室的清洁工作。总经理陈博士是位老设计师,他经常拨号到Internet访问一些设计方面的信息,他的计算机上还安装了代理软件,其他人员可以通过这个代理软件访问Internet。如果该设计院的信息安全管理停留在一种放任的状态,会发生什么问题呢?下列情况都是有可能的:,8,小偷顺着一楼的防护栏潜入办公室偷走了 保洁公司人员不小心弄脏了准备发给客户的设计方案;错把掉在地上的合同稿当废纸收走了;不小心碰掉了墙角的电源插销 某设计师张先生是公司的骨干,他嫌公司提供的设计软件版本
4、太旧,自己安装了盗版的新版本设计程序。尽管这个盗版程序使用一段时间就会发生莫名其妙的错误导致程序关闭,可是张先生还是喜欢新版本的设计程序,并找到一些办法避免错误发生时丢失文件。,9,后来张先生离开设计院,新员工小李使用原来张先生的计算机。小李抱怨了多次计算机不正常,没有人理会,最后决定自己重新安装操作系统和应用程序。 小李把自己感觉重要的文件备份到陈博士的计算机上,听朋友介绍Windows2000比较稳定,他决定安装Windows2000,于是他就重新给硬盘分区,成功完成了安装。,10,陈博士对张先生的不辞而别没有思想准备,甚至还没来得及交接一下张先生离开时正负责的几个设计项目。这几天他一闲下
5、来就整理张先生的设计方案,可是突然一天提示登录原来张先生的那台计算机需要密码了。小李并不熟悉Windows2000,只是说自己并没有设置密码。,11,尽管小李告诉陈博士已经把文件备份在陈博士的计算机上,可是陈博士没有找到自己需要的文件。 大家通过陈博士的计算机访问Internet,收集了很多有用的资料。可是最近好几台计算机在启动的时候就自动连接上Internet,陈博士收到几封主题不同的电子邮件,内容竟然包括几个还没有提交的设计稿,可是员工都说没有发过这样的信。 ,什么是信息安全政策与程序,信息安全政策的内容 信息安全政策(策略)从本质上来说是描述组织具有哪些重要信息资产,并说明这些信息资产如
6、何被保护的一个计划。,制定信息安全策略的目的:,如何使用组织中的信息系统资源; 如何处理敏感信息; 如何采用安全技术产品; 用户在使用信息时应当承担什么责任 描述对员工安全意识与技能的要求 列出员工被禁止的行为,什么是信息安全政策与程序,信息安全政策的内容 信息安全政策是为人定规矩、建标准,防风险,是安全程序的基础。要求: 目的明确 内容清楚 可广泛接受与遵守 可广泛涵盖各种数据、活动和资源 毕竟是对人的管理,希望员工通过信息安全政策了解自己的责任、理解信息安全的重要性,14,安全政策(策略)涉及的问题:,敏感信息如何被处理? 如何正确地维护用户身份与口令,以及其他账 号信息? 如何对潜在的安
7、全事件和入侵企图进行响应? 如何以安全的方式实现内部网及互联网的连接? 怎样正确使用电子邮件系统?,什么是信息安全政策与程序,信息安全政策的内容,15,信息安全政策的层次:,什么是信息安全政策与程序,信息安全政策的内容,信息安全方针,具体的信息安全策略,定义:信息安全方针是组织、机构或部门的信息安全委员会或管理当局制定的一个高层文件,用于指导如何对资产,包括敏感性信息进行管理、保护和分配的规则和指示。 生成:信息安全方针应当阐明管理层的承诺,提出管理信息安全的方法,并由管理层批准,采用适当的方法传达给每一个员工。 内容: 1)信息安全的定义,总体目标、范围,安全对信息共享的重要性 2)管理层意
8、图,支持目标和信息安全原则的阐述 3)信息安全控制的简要说明,以及依从法律、法规要求对对组织的重要性 4)信息安全管理的一般和具体责任定义包括报告安全事故,实例:全员参与、控制风险;积极预防、持续改进;客户信赖、永续经营,16,信息安全政策的层次:,什么是信息安全政策与程序,信息安全政策的内容,信息安全方针,具体的信息安全策略,定义:具体的信息安全策略是在信息安全方针的框架内,根据风险评估的结果,为保证控制措施的有效执行而指定的明确具体的信息安全实施规则 分类: 1)企业信息安全策略(EISP) 2)特定问题的安全策略(ISSP) 3)特定系统策略(SysSP),17,信息安全政策的层次:,什
9、么是信息安全政策与程序,信息安全政策的内容,信息安全方针,具体的信息安全策略,EISP: 大多数EISP文档包括以下要素: 1)关于企业安全理念的总体看法 2)机构的信息安全部门结构和实施安全策略人员信息 3)机构所有成员共同的安全责任(员工、承包人、顾问、合伙人和访问者) 4)机构所有成员明确的、特有的安全责任,EISP一般性框架,EISP一般性框架,小例子,小例子,小例子,小例子,小例子,1.信息保护必须与他的敏感性,价值和重要性相称。技术人员。 2.公司的某一信息必须只用于管理层明确授权的业务目标。所有人员。 3.信息是机构的重要资产,所有对公司信息的访问,使用和处理必须遵从策略和标准的
10、规定。所有人员。 4.对于由计算机和通信系统负责处理的信息,如果公司已经为保护它们的机密性、完整性、可用性做出了努力,那么就可以否认对数据或者软件的丢失或损坏负责任。所有人员。,小例子,5.公司的安全策略必须满足现有法律法规所规定的保护条例,或者提出比之更严格的要求。当公司的信息安全策略与现有的法律法规冲突时,必须迅速向信息安全管理部门报告。终端用户。 6.信息安全策略只有在极少的情况下才发生异常。当发生异常时,应当进行风险评估以调查引起一场的原因。数据所有者也应当制定一个标准的风险容许表,并且该表要经过信息安全管理部门和内部审计部门的审批。管理层 7.不能因为没有管理层实施安全策略的要求,就
11、允许异常状况持续下去。终端用户,小例子,8.公司的管理层必须慎重考虑对所有违法行为的起诉活动。管理层 9.公司保留随时可撤销用户对信息技术的使用权。终端用户。 10.公司的信息系统必须采用具体行业信息安全标准。技术人员。 11.公司的所有信息安全文档,包括策略标准和过程,除非是明确用于外部业务过程或者合伙人的文档,其它的都必须归类为“仅供内部使用”。所有人 12.所有信息系统安全控制,在作为标准操作过程的一部分之前,必须是可实施的。管理层和技术人员,27,信息安全政策的层次:,什么是信息安全政策与程序,信息安全政策的内容,信息安全方针,具体的信息安全策略,ISSP:在使用特定的技术时所定义的可
12、被接受的行为规则。 通常涉及以下特定技术领域: 1.电子邮件。2.互联网的使用。3.防御病毒时计算机的最低配置。4.禁止攻击或者测试机构的安全控制。5.在家中使用公司的计算机设备。6.在公司网络上使用个人设备。7.电讯技术的使用(传真和电话)。8.影印设备的使用,ISSP,ISSP常见的3类建立方式 独立的ISSP文件,每份文件针对一个特定问题 一个包括所有问题的全面的ISSP文件 一个模块化ISSP文档,它统一了政策(策略)的制定和管理,并考虑了每个特定问题的需求 独立文件意味着策略独立,往往效果不理想 一个文件可能导致考虑不周,存在漏洞 模块化允许特定解决问题的人制定和更新策略,并通过管理
13、中心汇总,获得全面的策略,ISSP的一般性框架,1.目标声明(范围和适用性;定义所设计的技术;责任) 2.授权访问和设备的使用(用户访问;公正且负责人的使用;隐私的保护) 3.设备的禁止使用(破坏性的使用或者误用;用于犯罪;冒充或者侵扰的材料;侵权的、未经批准的或者涉及其他侵犯知识产权的;其它限制) 4.系统管理(存储材料的管理;雇主监控;病毒防护;物理安全;加密) 5.策略违规(通报违规的过程;对违规的惩罚) 6.策略检查和修改(安排策略的检查,修改的过程) 7.责任的限制(责任的声明;拒绝对其它行为承担责任),ISSP,目标声明 ISSP应该以一个清晰的目标声明开始,这个目标概括了策略的范
14、围和适用性。它解决一下问题:这个策略服务于什么目标?由谁来负责实施策略?策略文档涉及到那些技术问题? 设备的授权访问和使用 这一部分解释了谁可以使用策略所规定的技术,用于什么目的。机构的信息系统是机构的专有财产,用户没有使用特权。每项技术和过程都是为业务额运转而准备的,任何意图的使用都会导致设备的滥用,ISSP,设备的禁止使用 与授权使用相对,这部分明确了禁止使用的范围。除非明确禁止在某个方面的使用,否则机构不能以滥用为借口惩罚员工。 系统管理 侧重用户和系统管理层的关系。例如发布规则知道员工如何使用电子邮件和电子文档,如何存储电子文档,授权雇主如何监控,以及如何保护电子邮件和其它电子文档的物
15、理和电子安全。这部分需要知名用户和系统管理员的职责,以便双方能够明确知道他们应该负责什么,ISSP,违反策略 规定了对违规行为的惩罚和员工的反馈方式。惩罚应当针对每种违规类型而设计。针对怎样报告已观察到的或可疑的违规行为,这部分也应该提供指南 策略检查和修改 每个策略应当包含定期检查步骤和时间表。这部分应当包括ISSP的具体检查和修改方法,以便保证用户手上总有反映机构当前技术和需求的指导方针 责任限制 对一般“责任声明”或者一些列的“拒绝承担责任声明”做了概要说明。例如员工使用机构的设备从事非法活动,管理者并不希望机构为这种情况负责。,33,信息安全政策的层次:,什么是信息安全政策与程序,信息
16、安全政策的内容,信息安全方针,具体的信息安全策略,SysSP:通常在设备配置和维护系统时起到标准和知道过程的作用。例如一个文档描述了网络防火墙的配置和操作规程。 SysSP可以分成两个部分:管理指南和技术规范。 1.管理指南由管理层制定,指导技术的实现和配置。例如一个机构不希望它的员工利用机构的网络访问互联网。这种情况下,应该按照这种规则来配置防火墙。 2.技术规范用于把管理目标转变为可以实施的方法。一般分为ACL和配置规则,SysSP:技术规范,ACL包括用户、权限、客体,阐述了用户对客体的权限。这里的ACL也包含了用户的特权管理。 配置规则是输入到安全系统的具体配置代码。配置代码支持的逻辑
17、更多,比ACL更细化,Information Security Management,重庆医科大学信息管理系,35,安全程序,安全程序是保障信息安全策略有效实施的、具体化的、过程性的措施,是信息安全策略从抽象到具体,从宏观管理层落实到具体执行层的重要一环。 程序是为进行某项活动所规定的途径或方法。 信息安全管理程序包括: 实施控制目标与控制方式的安全控制程序(如信息处置与储存程序); 为覆盖信息安全管理体系的管理与运作的程序(如风险评估与管理程序),36,程序文件的内容包括: 活动的目的与范围(Why)。做什么(What) 谁来做(Who) 何时(When) 何地(Where) 如何做(How
18、),程序文件应遵循的原则: 一般不涉及纯技术性的细节 针对影响信息安全的各项活动目标的执行做出的规定 应当简练、明确和易懂 应当采用统一的结构与格式编排,安全策略与程序的格式,安全方针的格式 1.总体目标 2.信息安全方针内容,实例:全员参与、控制风险;积极预防、持续改进;客户信赖、永续经营,38,安全策略的格式,1.目标 2.范围 3.策略内容 4.角色责任 5.执行纪律 6.专业术语 7.版本历史,39,安全策略的格式,1.目标 建立信息系统安全的总体目标,定义信息安全的管理结构和提出对组织成员的安全要求 。 信息安全策略必须有一定的透明度并得到高层管理层的支持,这种透明度和高层支持必须在
19、安全策略中有明确和积极的反映。 信息安全策略要对所有员工强调“信息安全,人人有责”的原则,使员工了解自己的安全责任与义务。,40,安全策略的格式,2.范围 信息安全策略应当有足够的范围广度,包括组织的所有信息资源、设施、硬件、软件、信息、人员。在某些场合下,安全可以定义特殊的资产,比如:组织的主站点、各种重要装置和大型系统。此外,还应包括组织所有信息资源类型的综述,例如,工作站、局域网、单机等。,41,安全策略的格式,3.策略内容 根据ISO17799中定义,对信息安全策略的描述应该集中在三个方面:机密性、完整性和可用性,这三种特性是组织建立信息安全策略的出发点。机密性是指信息只能由授权用户访
20、问,其他非授权用户、或非授权方式不能访问。完整性就是保证信息必须是完整无缺的,信息不能被丢失、损坏,只能在授权方式下修改。可用性是指授权用户在任何时候都可以访问其需要的信息,信息系统在各种意外事故、有意破坏的安全事件中能保持正常运行。,42,安全策略的格式,3.策略内容 根据给定的环境,应当给员工明确描述与这些特性相关的信息安全要求,组织的信息安全策略应当以员工熟悉的活动、信息、术语等方式来反映特定环境下的安全目标, 例如,组织在维护大型但机密性要求并不高的数据库时,其安全目标主要是减少错误、数据丢失或数据破坏;如果组织对数据的机密性要求高时,安全目标的重点就会转移到防止数据的非授权泄露。,4
21、3,安全策略的格式,4.角色责任 信息安全策略除了要建立安全程序及程序管理职责外,还需要在组织中定义各种角色并分配责任,明确要求,比如:部分业务管理人员、应用系统所有者、数据用户、计算机系统安全小组等。 在某些情况下,信息安全策略中要理顺组织中的各种个体与团体的关系,以避免在履行各自的责任与义务时发生冲突。,44,安全策略的格式,5.执行纪律 没有一个正式的、文件化的安全策略,管理层不可能制定出惩戒执行标准与机制,信息安全策略是组织制定和执行纪律措施的基础。信息安全策略中应当描述与安全策略损害行为的类型与程度相对应的惩戒办法。 还要考虑到有时员工违反安全策略并非是有意的,有时也可能是对安全策略
22、缺乏必要的了解造成的。对于这种情况,信息安全策略要预先采取措施,在合理的期限内,进行相关安全策略介绍和安全意识教育培训。,45,安全策略的格式,6.专业术语 对于信息安全策略中涉及的专业术语作必要的描述,使组织成员对策略的了解不会产生歧义。 7.版本历史 对策略版本在各个阶段的修订情况作出说明,程序文件的内容与格式,编号和标题 目的和适用范围 相关文件与术语 职责 工作程序 报告与记录格式 版本历史,Information Security Management,重庆医科大学信息管理系,47,二、信息安全管理标准,信息安全管理标准,BS7799-1:十个领域,127种控制措施 BS7799-2
23、:建立信息安全管理体系的步骤及PDCA方法,Information Security Management,重庆医科大学信息管理系,49,三、安全管理策略的制定与实施,安全管理策略的制定与实施,安全管理策略的制定 安全管理策略的实施 制定和实施安全策略时要注意的问题,Information Security Management,重庆医科大学信息管理系,51,安全策略的制定,理解组织业务特征,充分了解组织业务特征是设计信息安全策略的前提; (做什么),对组织业务的了解包括对其业务内容、性质、目标 及其价值进行分析(明确资产)。 了解人员,得到管理层的明确支持与承诺,使制定的信息安全策略与组织的
24、业务目标一致; 使制定的安全方针、政策和控制措施可以在组 织的上上下下得到有效的贯彻; 可以得到有效的资源保证。,52,安全策略的制定,组建安全策略制定小组,高级管理人员; 信息安全管理员; 熟悉法律事务的人员; 负责安全策略执行的管理人员; 用户部门人员。,确定信息安全整体目标,通过防止和最小化安全事故的影响,保证业务持续 性,使业务损失最小化,并为业务目标的实现提供保障。,53,安全策略的制定,确定安全策略目标和范围,先有目标。再确定范围 组织需要根据自己的实际情况确定信息安全策略要 涉及的范围,可以在整个组织范围内、或者在个别部门 或领域制定信息安全策略 。,风险评估与选择安全控制,风险
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2017 安全 规划 中山大学 信息 安全管理
链接地址:https://www.31doc.com/p-2773370.html