《信息安全管理.ppt》由会员分享,可在线阅读,更多相关《信息安全管理.ppt(103页珍藏版)》请在三一文库上搜索。
1、信息网络安全管理和技术人员 继续教育培训,信息安全管理 (概论部分),第一部分 信息安全管理概论 第一章 信息安全概述 第二章 信息安全管理基础,第一章 信息安全概述 第一节 信息与信息安全 第二节 信息安全政策 第三节 信息安全法律体系,信息及信息的价值 “真相的濒危甚于老虎的濒危” “放映的删节版色,戒,剧情不完整,侵犯消费者的公平交易权和知情权 ” “剧情”、“真相”等都是一种信息 信息、物质、能量是人类社会赖以生存和发展的三大要素 灾难备份给银行数据信息上保险 公安部:超过一半单位发生过信息网络安全事件,第一章 信息安全概述,第一节 信息与信息安全 一、信息与信息资产 (一)信息的定义
2、 广义:事物的运动状态以及运动状态形式的变化,是一种客观存在。(客观存在并不是区分真假信息的依据) 狭义:能被主体感觉到并被理解的东西(客观存在)。 本书的定义:通过在数据上施加某些约定而赋予这些数据的特殊含义。 信息安全资产的分类:信息具有价值,是一种资产。,第一节 信息与信息安全,信息资产分类 数据:存在于电子媒介的各种数据资料 软件:应用软件、系统软件、开发工具和资源库 硬件:计算机硬件、路由器、交换机、布线等 服务:操作系统、WWW、网络管理和安保等 文档:纸质文件、传真、财务报告、发展计划等 设备:电源、空调、门禁等 人员:雇主和各级雇员等 其他:企业形象、客户关系等(软资产),(二
3、)信息的特点 信息与接受对象和要达到的目的有关 (感知和理解) 信息的价值与接受信息的对象有关 (信息的价值性) 信息有多种多样的传递手段 (约定的多样性) 信息的共享性 (可复制性),二、信息安全 (一)信息安全的发展 三个阶段: 通讯保密阶段 重点是保密(点) 信息安全阶段 关注信息安全的三属性: 保密性 完整性 可用性(线、空间) 安全保障阶段 关注点有空间拓展到时间:策略、 保护、 检测、 响应、恢复(系统),(二)信息安全的定义 为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄漏 信息安全的三个主要问题: 1.保护对象
4、主要是硬件、软件、数据 2.安全目标 保密性、完整性、可用性 3.实现途径 技术和管理,(三)信息安全三属性的含义(Pass) 保密性 完整性 可用性,(四)信息安全模型 1.PDR模型 Pt(protection)有效保护时间,信息系统的安全措施能够有效发挥保护作用的时间; Dt(detection)检测时间,安全监测机制能够有效发现攻击、破坏行为所需的时间; Rt(reaction)响应时间,安全机制作出反应和处理所需的时间。,安全公式 (1)PtDt+Rt, 系统安全 保护时间大于检测时间和响应时间之和; (2)PtDt+Rt, 系统不安全 信息系统的安全控制措施在检测和响应前就会失效,
5、破坏和后果已经发生。,2.PPDRR模型:保护、检测、响应、恢复四环节在策略 的指导下 构成相互 作用的 有机体。,(五)信息安全保障体系,图表说明: 1.安全技术体系是整个安全体系的基础,包括安全基础设施平台、安全应用系统平台和安全综合管理平台; 安全基础设施平台从物理和通信安全防护、网络安全防护、主机系统安全防护、应用安全防护等多个层次出发,立足于现有的成熟的安全技术和安全机制,建立起防护体系。,安全应用系统平台处理安全基础设施与应用信息系统之间的关联和集成问题。通过使用安全基础设施平台所提供的各类安全服务,提升自身的安全等级,以更加安全的方式,提供业务服务和信息管理服务。,安全综合管理平
6、台对安全机制和安全设备进行统一的管理和控制,负责维护和管理安全策略,配置管理相应的安全机制。促成各类安全手段能与现有的信息系统应用体系紧密地结合,是信息系统安全与信息系统应用一体化。,2.安全组织与管理体系 安全组织与管理体系的设计立足于总体安全策略,并与安全技术体系相配合增强防卫效果,弥补安全缺陷。 信息安全管理体系由若干信息安全管理类组成,每项信息安全管理类可分解为多个安全目标和安全控制。,3.运行保障体系 内容涵盖安全技术和安全管理紧密结合的部分,包括系统可靠性设计、系统数据额备份设计、安全时间的应急响应计划、安全审计、灾难恢复计划等,第二节 信息安全政策,一、我国信息化发展战略与安全保
7、障工作 (一)信息化发展战略(P8) 推进国民经济信息化 推进电子政务 建设先进网略文化 推进社会信息化 完善综合信息基础设施 加强信息资源的开发利用 提高信息产业竞争力 建设国家信息安全保障体系 提高国民信息技术应用能力,造就信息化人才队伍,(二)信息安全保障工作 国务院关于加强信息安全保障工作的意见 加强信息安全保障工作须遵循的原则 立足国情,以我为主,坚持管理和技术并重;正确处理安全与发展的关系,以安全保发展,从发展中求安全;统筹规划,突出重点,强化基础性工作;明确国家、企业、个人的责任和义务,充分发挥各方面的积极性,共同构筑国家信息安全保障体系。,处理好发展与建设的关系 正确处理发展与
8、安全的关系 坚持以改革开放求安全 坚持管理与技术并重 坚持统筹兼顾、重点突出,二、美国信息安全国家战略 简介: 1998年5月美国政府颁发了保护美国关键基础设施总统令,围绕信息安全成立多个组织。 1998年美国国家安全局制定了信息保障技术框架提出了“深度防御策略”,确定了包括网络与基础设施防御、区域边界防御、计算机环境防御等深度防御在内的目标。,2000年1月,发布了保卫美国的计算机空间保护信息系统的国家计划,确定了计划的目标和范围。 2003年2月公布确保网络空间安全的国家战略报告,强调发动社会力量参与保障网络安全,重视发挥高校和科研机构的力量。 内容:三项总体战略目标和五项具体的优先目标。
9、P11,背景: 美国是第一信息大国,对信息的依赖是其脆弱性的重要根源 由大量信息系统组成的国家信息基础结构,已成为美国经济的命脉和国家的生命线,也成为容易受到攻击的高价值目标 系统的安全漏洞、黑客的猖獗 80年代以来,美国政府陆续发布若干制度,拥有最关键系统的政府部门被指定为第一批实施信息安全保护计划的要害部门,力图实现三个目标:准备和预防、侦查和反应、建立牢固的基础设施,确保网络空间安全的国家战略作用与影响: 1、确保网络安全已经被提升为美国国家安全战略的一个重要组成部分; 2、是美国在9.11之后为确保网络安全而采取的一系列举措中的核心步骤; 3、强调社会力量对网络安全进行全民防御,重视与
10、企业和地方政府合作,重视发挥院校和科研机构力量,重视人才培养和公民安全意识教育。,三、俄罗斯信息安全学说 2000年6月国家信息安全学说第一次明确指出了俄罗斯在信息领域的利益、威胁是什么,以及保卫措施。 (一)背景 科索沃战争、爱虫病毒的爆发是催化剂,(二)内容 1、保证信息安全是国家利益的要求 2、保证信息安全的方法 3、国家在保证信息安全时应采取的基本原则 4、信息安全的组织基础 此外,信息安全学说还对信息威胁做了评估,论证了信息斗争的打击目标和打击手段。,(三)措施 1、成立国家信息安全与对抗的领导机构 (国家信息政策委员会) 2、建立信息对抗教育防范体系 3、建立信息斗争特种部队 4、
11、发展信息斗争的关键技术和手段 5、改组指挥控制系统,增强战场生存能力,第三节 信息安全法律体系,一、信息安全法律体系 (一)体系结构 1.法律体系 部门法 2.政策体系(拘束力、责任) 3.强制性技术标准(强制力),(二)信息系统安全保护法律规范的法律地位 1、信息系统安全立法的必要性和紧迫性 2、信息系统安全保护法律规范的作用 违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。 (1)指引作用 (2)评价作用 (3)预测作用 (4)教育作用 (5)强制作用 (预防作用),二、法律法规介绍(P1824) (一)刑法 主要罪名 新增加的罪名及含
12、义 (二)治安管理处罚法 相关条文及含义 (三)计算机信息系统安全保护条例(计算机信息系统能够发生的案件,应在24小时内向人民政府公安机关报告) (四)关于维护互联网安全的决定 (五)计算机信息网络国际互联网安全保护管理办法 (六)互联网安全保护技术措施规定,第二章 信息安全管理基础,第一节 信息安全管理体系 第二节 信息安全管理标准 第三节 信息安全策略 第四节 信息安全技术,第一节 信息安全管理体系 一、信息安全管理体系定义 信息安全管理涉及信息和网络系统的各个层面,以及生命周期的各个阶段,这些不同方面的管理内容彼此间存在着一定的内在联系,构成一个有机的整体,以使管理措施保障达到信息安全目
13、标。(ISMS),二、信息安全管理的基本原则 (一)总体原则 主要领导负责原则 规范定级原则 以人为本原则 适度安全原则 全面防范重点突出原则 系统、动态原则 控制社会影响原则,(二)安全管理策略 分权制衡(避免权力集中) 最小特权(避免多余权力) 选用成熟技术 普遍参与,三、信息安全管理内容,管理目标: 合规性(管理合规) 流程规范性(程序合规) 整体协调性(各种管理协调) 执行落实性(检查监督和审计) 变更可控性(变更要监控) 责任性 持续改进 计划性,信息安全管理体系包括以下方面,(一)信息安全方针和策略 1、安全方针和策略 2、资金投入管理 3、信息安全规划,(二)信息安全人员和组织
14、1、保证有足够的人力资源从事信息安全保障工作 2、确保人员有明确的角色和责任 3、保证从业人员经过了适当的信息安全教育和培训,有足够的安全意识 4、机构中的信息安全相关人员能够在有效的组织结构下展开工作,(三)基于信息系统各个层次的安全管理 1、环境和设备安全 2、网络和通信安全 3、主机和系统安全 4、应用和业务安全 5、数据安全,(四)基于信息系统生命周期的安全管理 信息系统生命周期可以分为两个阶段: 工程设计和开发阶段、系统的运行和维护阶段 系统安全与系统本身“三个同步”: 同步规划、同步建设、同步运行 安全管理内容: 1、项目工程安全管理 2、日常运行与维护的安全管理 3、配置管理和变
15、更管理(资产和管理措施的配置描述和管理) 4、文档化和流程规范化 5、新技术、新方法的跟踪和采用,(五)风险管理 1、资产鉴别、分类和评价 2、威胁鉴别和评价 3、脆弱性评价 4、安全风险评估和评级 5、决策并实施风险处理措施,(六)业务连续性管理:识别潜在影响、建立整体恢复能力和顺应能力,重在危机或灾害发生时的保护 (七)符合性审核:将信息安全管理纳入良性的、持续改进的循环中,四、信息安全管理体系构成,信息安全管理体系由12个管理类组成,每个管理类可以分为多个安全目标和安全控制。 各管理类的关系图如下,作用关系说明: 1、方针和策略是基础和指导 2、人员和组织管理要依据方针和策略执行任务 3
16、、合规性管理指导如何检验信息安全管理工作的效果 4、人员与组织实施的信息安全管理工作,主要从两个方面进行风险管理合业务连续性管理 5、根据信息系统生命周期,可以把信息系统划分为项目开发阶段和运行维护阶段 6、所有的信息安全管理工作都作用在信息系统之上,第二节 信息安全管理标准,信息安全管理在发展过程中有不同的标准 一、BS7799 是 英国标准协会针对信息安全管理制定的,发布于1995年,后几经修改,成为目前被广泛接受的标准。 分为两个部分:BS77991,是信息安全管理实施细则,供负责信息安全系统开发的人员参考使用;BS77992,是建立信息安全管理体系的规范,最终目的是建立适合企业的信息安
17、全管理体系。,(二)BS7799发展历程(略) 1、倡导者 2、发展与修订 3、适用地区,(三)BS7799主要内容 1、BS77991(ISO/IEC17799:2005)信息安全管理实施细则将信息安全管理的内容划分为11个主要方面,39个信息安全管理的控制目标,133项安全控制措施(P36-40) 说明:不够具体,组织可以根据自身增减 信息安全最佳起点:10项几乎适用于所有组织和大多数环境的控制措施,包括三项与法律相关的控制措施和七项与最佳实践相关的控制措施。(体现重管理的思想),与法律相关的控制措施:(略) 1、知识产权 2、保护组织的记录(保护重要的记录不丢失、破坏、伪造) 3、数据保
18、护和个人信息隐私,与最佳实践相关的措施: (略) 1、信息安全策略文件 2、信息安全责任分配 3、信息安全意识、教育、培训 4、正确处理应用程序 5、漏洞管理 6、管理信息安全事件和改进 7、业务连续性管理,2、BS77992( ISO/IEC27001:2005 ) 其主要特点一是提供了安全管理体系规范,二是提供了建立信息安全管理体系的目标。 该标准强调信息安全管理是一个面向风险的、持续改进的过程,如下图:,二、其他标准 BS7799旨在为组织实施信息安全管理体系提供指导性框架,更多体现的是一种目标要求,总体上并没有提及实施的细节(通行标准的必然局限,普适性强则针对性就弱) 具体组织要将BS
19、7799标准落实,需补充必要的可实施内容,下面是国际上一些相关的标准,(一)PD3000:PD3001PD3005(P44) 特点:更具针对性 (二)CC:是国际上最通行的信息技术产品及系统安全性测评标准,也是信息技术安全性评估结果国际互认的基础,CC标准由3个文件构成: 1、ISO/IEC15408-1,介绍和一般模型 2、ISO/IEC15408-2,安全功能要求 3、ISO/IEC15408-3,安全保证要求 与BS7799相比,CC侧重系统和产品的技术指标评价上。,(三)ISO/IEC TR13335 名称:曾用名,“IT安全管理指南”,现名, “信息和通信技术安全管理”,是一个信息安
20、全管理方面的指导性标准,目的是为有效实施IT安全管理提供建议和支持。 共分5个部分:,ISO/IEC 133351:1996 IT安全概念与模型 ISO/IEC 133352:1997 IT安全管理和计划 ISO/IEC 133353:1998 IT安全管理技术 ISO/IEC 133354:2000 安全措施的选择 ISO/IEC 133355:2001 网络安全管理指南,ISO/IEC TR 13335 与BS7799的比较: 后者只是一个指导性的文件,并不是可依据的认证标准,也没有给出一个全面完整的信息安全管理框架;但是后者在IT安全的具体环节上切入点较深,可实施性较好,另外其风险评估方
21、法过程较清晰。,(四)SSE-CMM 由美国国家安全局开发,是专门用于系统安全工程能力成熟度模型。该模型将系统安全工程成熟度分为5个等级。 几者比较: SSE-CMM和CC都是评估标准,均可将评估对象划分为不同的等级,但后者针对的是安全系统或安全产品的测评,前者针对的是安全工程过程,SSE-CMM和BS7799都提出了一系列最佳惯例,但后者是一个认证标准而无实现过程;前者是一个评估标准,定义了实现最终安全目标所需要的一系列过程。二者可以互补使用。,(五)NIST SP 800系列 由美国国家标准技术协会发布,主要内容是针对信息安全技术和管理领域的实践参考指南,包括四项: SP800-12:计算
22、机安全介绍 SP800-30: IT系统风险管理指南 SP800-34: IT系统应急计划指南 SP800-26: IT系统安全自我评价指南,(六)ITIL 由英国中央计算机与电信局发布 关于IT服务管理最佳实践的建议和指导方针,目的是解决IT服务质量,是一种基于流程的管理方法,尤其适于企业的IT部门。 其精髓体现为 “一大功能”和“十大流程” ,前者是服务台功能。,十大流程: 1、服务支持 2、服务交付 事件管理 服务水平管理 问题管理 可用性管理 变更管理 IT服务财务管理 发布管理 容量管理 配置管理 IT服务持续性管理,功能比较 ITIL与BS7799相比:ITIL关注的信息技术更广泛
23、,侧重于具体的实施流程,但缺少信息安全的内容,BS7799可作为ITIL在信息安全方面的补充。,(七)CobiT(信息及相关技术控制目标) 美国信息系统审计与控制协会发布 是目前世界上最先进、最权威的安全与信息技术管理和控制标准。主要目的是为业界提供关于IT控制的清晰政策和发展的良好典范。,Cobit与ITIL比较: 均关注广泛的IT控制,但是更强调目标要求和度量指标,而后者更关注实施流程。 具体在ISMS的建设上,Cobit的框架和目标、ITIL的流程都可以供BS7799借鉴,BS7799的目标只是ITIL和Cobit的一个分支。,第三节 信息安全策略,一、信息安全策略概述 (一)定义:是一
24、种处理安全问题的管理策略的描述,是描述程序目标的高层计划。 安全策略是在效率和安全之间的一个平衡点。 三个基本原则:确定性、完整性、有效性(还应有宏观性),(二)信息安全策略的重要性 (三)指定信息安全策略的时间 任何业务动作过程均有风险,应尽早制定安全策略 无策略的开发,投资和责任都很大 发生过一次的事故很可能会再次发生 从全局考虑,不要把风险孤立对待,(四)信息安全策略开发流程(略) 首先要做的是确定保护对象和原因 其次要制定安全策略的目标 流程: 1、确定策略范围 2、风险评估、审计 3、策略的审查、批准和实施,二、制定信息安全策略,(一)制定原则 1、先进的网络安全技术是网络安全的根本
25、保证 2、严格的安全管理是确保信息安全策略落实的基础 3、严格的法律、法规是网络安全保障的坚强后盾,(二)信息安全策略的设计范围 纵向上分:(略) 总体安全策略 针对特定问题的安全策略 针对特定系统的具体策略,横向分:(略) 物理安全策略 灾难恢复策略 网络安全策略 事故处理紧急响应策略 数据加密策略 安全教育策略 病毒防护策略 口令管理策略 数据备份策略 补丁管理策略 身份认证及授权 系统变更控制策略 系统安全策略 复查审计策略 商业伙伴、客户关系策略,(三)有效的信息安全策略的特点 满足大部分需求并能够维护企业利益 策略应该清晰但不能包含太多的细节 策略应该不断加强 策略的目标应该整合到员
26、工培训课程中去 (四)完整信息安全策略的覆盖范围,三、信息安全策略保护对象,(一)信息系统的硬件与软件 随系统而变化 (二)信息系统的数据 第三方数据的使用 定义好隐私条例 (三)人员 权限和公司行为的合法性,四、主要信息安全策略,(一)口令策略 总体要求 难以破解易于牢记 1、网络服务器口令的管理 部门负责人和网络管理员同时在场设定 系统管理员记录封存 定期更换并销毁原记录封存新记录 发现泄密及时报告、保护现场,须接到上一级主管部门批示后再更换口令,2、用户口令管理 用户负责人与系统管理员商定口令,负责人确认,管理员登记、存档 用户要求查询或更换口令需提交申请单 网络提供用户自我更新口令功能
27、时,用户应自行定期更换并设专人负责保密和维护,创建口令规则 通用规则: 保存口令最安全的地方是脑袋和保险箱 口令需相当长 以合理的方式使用特殊字符、大写字母、数字,需避免的问题: 不要用个人信息 不用自己的偶像 不用办公桌(室)上的物品 不将口令保存在本地机器或共享的网络上,(二)计算机病毒和恶意代码防治策略 防护策略须遵守的准则 拒绝访问能力 (来历不明软件不得进入) 病毒检测能力 (能否检测病毒是重要指标) 控制传播能力 清除能力 恢复能力 替代操作,(三)安全教育与培训策略 安全教育的层次性 管理人员:企业信息安全的整体策略和目标,信息安全体系的构成、部门建立和制度完善 技术人员:理解策
28、略、掌握评估方法,合理运用安全操作和维护技术 用户:学习操作流程、了解掌握安全策略,用户安全策略内容:(略) 数据和用户所有权(数据的专用和共享) 硬件的使用(明确正确的操作方式) 互联网的使用(正确的使用方式) 帐户管理、补丁管理、事件报告制度(管理员) 策略更新 强制执行策略(保障),安全教育与培训策略举例: 建立专门的安全教育与培训机构 制定详细的安全教育和培训计划 定期对教育和培训结构进行抽查和考核,五、信息安全策略的执行和维护,(一)执行 责任声明和监控制度是最重要的保证 (二)维护 审查和修订 周期6个月或1年,第四节 信息安全技术,一、物理环境安全技术 环境安全:对系统所在环境的
29、保护 设备安全:设备防盗、防毁、防电磁辐射干扰等 媒体安全:包括媒体数据的安全和媒体本身的安全,二、通讯链路安全技术,(一)链路加密技术 设备管理简单 成本较高,说明: 链路加密技术在数据通过广域网时,提供加密和解密功能 链路加密机工作在数据链路层,每个分支机构的广域网与局域网的边界处部署一台链路加密机,在数据中心局域网与广域网边界处,需要一对一进行加密机的部署,形成链路加密机群,提供点对点的保护。,(二)远程拨号安全协议 远程拨入用户认证服务协议规定了网络访问服务器与RADIUS服务器之间的交互操作协议,完成集中的用户认证、口令加密、服务选择、记账等。 RADIUS服务器部署在拨号访问路由器
30、后面,协同工作,完成 拨入用户的身份认证和权限访问控制。 RADIUS与动态口令认证机制结合,能够提供更加安全的接入认证。,三、网络安全技术,(一)防火墙 防火墙的工作原理是按照事先制定好的配置和规则,检测和过滤信息的双向流动。 发展历程:传统包过滤、应用代理、动态包过滤、深度包检测,(二)网络入侵检测 误用检测技术:通过对比已知攻击手段和系统漏洞的签名特征判断是否有入侵行为(.dll) 异常检测:根据使用者的行为或资源使用状况判断是否入侵,被称为基于行为的检测(下载)。,(三)网络脆弱性分析 又称为漏洞扫描技术,通过与目标主机端口建立连接并请求某些服务,记录目标主机的应答,搜索目标主机相关信
31、息,发现目标主机内在安全弱点。 意义在于把繁琐的安检通过自动程序完成,减负、高效,四、系统安全技术,(一)主机入侵检测 入侵检测系统分为基于主机分析和基于网络数据包分析两种方式。系统用于分析主机产生的数据就是主机入侵检测。 主机入侵检测对主机网络实时连接及系统审计日志进行智能分析和判断 可以解决: 特权滥用、关键数据的访问和修改、安全配置中的变化、非法获得访问资格的企图,(二)计算机病毒防治,部署的原则是建立一个系统控制中心,从客户端部署到所辖网络中所有的主要服务器主机和每一个桌面操作系统之上,形成全面的防护和管理体系。,五、身份认证安全技术,(一)动态口令认证,动态口令认证技术采用密码算法和身份认证协议,系统为每一个用户分配一个用户名,从而生成一组用户密钥,并且将这些记录加密报讯在服务器端的数据库,认证客户端根据该用户的密钥和当前时间数值,通过密码换算法,生成用户的当前登陆口令。,(二)PKI技术 该技术是另一种广泛应用的强身份认证机制,可提供身份认证、可信时间戳等安全服务 PKI技术的根基是公钥密码体制 PKI技术是一个包括硬件、软件、人员、政策和手续的集合,信息与信息安全 信息安全政策 信息安全法律体系 信息安全管理体系(12管理类) 信息安全管理标准 信息安全策略(口令、病毒防治、安培) 信息安全技术(物理、链路、网络、技术),课程结束,再见,
链接地址:https://www.31doc.com/p-3107537.html