1、标题页,结合实践构建电子政务信息安全保障体系的思路和框架,2005年4月北京启明星辰信息技术有限公司首席战略官 潘柱廷,摘要,构建信息安全保障体系原则和要求了解威胁(4类)了解资产和业务(ITA、安全域)了解保障措施(产品和服务)思路(7类模型)框架(PPT+AIDARC)当前构建“保障”体系的要点检测,问题,什么是信息安全?到底要解决那些问题?怎么实施信息安全建设?,问题,什么是信息安全?通过回答最根本的问题,帮助我们探究事物的本原。到底要解决那些问题?明确工作的目标和要求,从一个大的广泛的概念中寻找自身的定位。怎么实施信息安全建设?通过回答最实际的问题,帮助我们获得需要的实效。,1. 原则
2、、要求,中办发27号文十六届四中全会文件,中办发200327号,国家信息化领导小组关于加强信息安全保障工作的意见(2003年8月26日),加强信息安全保障工作-总体要求,总体要求:坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化发展,保护公众利益,维护国家安全。,加强信息安全保障工作-主要原则,主要原则:立足国情,以我为主,坚持管理与技术并重;正确处理安全与发展的关系,以安全保发展,在发展中求安全;统筹规划,突出重点,强化基础性工作;明确国家、企业、个人的责任和义务,充分发挥各方面的积极性,共同构筑国家信息
3、安全保障体系。,加强信息安全保障工作-九项任务,系统等级保护和风险管理基于密码技术的信息保护和信任体系网络信息安全监控体系应急处理体系加强技术研究,推进产业发展法制建设、标准化建设人才培养与全民安全意识保证信息安全资金加强对信息安全保障工作的领导,建立健全信息安全管理责任制,十六届四中全会文件,中共中央关于加强党的执政能力建设的决定,摘要,三、加强党的执政能力建设的指导思想、总体目标和主要任务 全党要紧紧围绕上述任务,立足现实、着眼长远,抓住重点、整体推进,不断研究新情况、解决新问题、创建新机制、增长新本领,全面加强和改进党的建设,使党的执政方略更加完善、执政体制更加健全、执政方式更加科学、执
4、政基础更加巩固。,摘要关于信息(1),五、坚持党的领导、人民当家作主和依法治国的有机统一,不断提高发展社会主义民主政治的能力(三)改革和完善决策机制,推进决策的科学化、民主化。. . 有组织地广泛联系专家学者,建立多种形式的决策咨询机制和信息支持系统。,摘要关于信息(2),八、坚持独立自主的和平外交政策,不断提高应对国际局势和处理国际事务的能力(四)始终把国家主权和安全放在第一位,坚决维护国家安全。针对传统安全威胁和非传统安全威胁的因素相互交织的新情况,增强国家安全意识,完善国家安全战略,抓紧构建维护国家安全的科学、协调、高效的工作机制。坚决防范和打击各种敌对势力的渗透、颠覆和分裂活动,有效防
5、范和应对来自国际经济领域的各种风险,确保国家的政治安全、经济安全、文化安全和信息安全。,摘要关于信息(3),坚持国防建设与经济建设协调发展,建设一支现代化、正规化的革命军队,确保国防安全,是党执政的一项重大战略任务。. . 坚持积极防御的军事战略方针,积极推进中国特色军事变革和军事斗争准备,坚定不移地走中国特色的精兵之路,按照建设信息化军队、打赢信息化战争的目标,提高信息化条件下的防卫作战能力。. .,信息安全工作的思路,信息安全工作不是仅仅防火墙、防病毒、入侵检测、管理制度 已经逐步从单纯开发技术和产品本身,转向同时从整体保障框架着眼,解决实际问题,实现价值。,专业厂商要协助客户完善保障体系
6、,专业厂商要协助客户完善保障体系,问题,什么是信息安全?到底要解决那些问题?怎么实施信息安全建设?,2、了解威胁,威胁环境攻击事件层出不穷,全球网络安全事件呈迅速上升的趋势,安全威胁无处不在,愈演愈烈,威胁环境漏洞越来越多,威胁环境危害没有停歇的时候,漏洞A,漏洞B,漏洞C,威胁环境漏洞变成实际危害的速度越来越快,高级入侵者发现漏洞,粗糟的攻击工具被发布,Advisory typically released,一些入侵者利用这些工具,自动扫描和攻击工具出现,大量攻击出现,入侵者开始关注其他漏洞,威胁环境攻击越来越高级却越来越容易,攻击技术和实施攻击所需的知识呈相反趋势发展,致使黑客攻击技术越来
7、越容易被掌握和应用,威胁环境威胁金字塔,威胁环境攻击技术大融合,黑客攻击技术和病毒技术互相融合,形成新一代的恶意代码,成为目前网络中的严重威胁,威胁环境总结,危害的频度、范围越来越大攻击的技术含量越来越大攻击的技术成本越来越低攻击的法律风险还难于真正体现 ,威胁的总结,恶意代码人为发起的越权和入侵类病毒、蠕虫等传播类发起的拒绝服务攻击类违规操作误操作违规业务,恶意信息恶意传播有害信息垃圾信息(垃圾短信、垃圾邮件等)信息泄漏物理问题设备故障环境事故自然灾害,针对威胁的主要技术,针对恶意代码防火墙、防病毒、入侵检测、漏洞扫描违规操作流量监控、审计、应用系统安全措施恶意信息内容监控、内容过滤、加密物
8、理问题容灾、备份,问题,什么是信息安全?到底要解决那些问题?怎么实施信息安全建设?,3、了解资产和业务,作安全必须了解资产和业务,“正确处理安全与发展的关系,以安全保发展,在发展中求安全”等级保护的要求也要我们做到对自身的了解,才能做到适度的防护我们对于信息系统的依赖程度决定了我们在安全上的投入,怎么了解资产和业务(IT相关),分析信息体系架构ITA业务系统网络分布形态系统的层次性技术和管理时间(生命周期)价值(资产价值、影响价值、投入),机构典型的ITA及其安全思维,公共网络广域网络,对外发布对外业务渠道,核心业务,内部业务OA、财务等,业务支撑,安全保障,异地内网,异地灾备,机构内网,IT
9、A分析初探-业务,业务分类对外业务核心业务内部支撑业务内部业务对外发布系统,ITA分析初探-层次,物理和环境,网络与通信,主机和系统,应用和业务,数据和介质,人员和组织,使命和价值,ITA分析初探-分布式,从安全角度梳理网络结构的主要方法节点路径法子网边界法安全域方法,关于资产和业务方面的趋势,用结构化的方法描述自身的资产和业务是更加系统化、更加全面地进行安全保护的基础安全域方法逐步成为比较现实地描述网络和系统环境的方法,各种ITA方法的要义,安全域方法等各种信息体系结构表示方法的关键目标就是简化结构化表达出要点,问题,什么是信息安全?到底要解决那些问题?怎么实施信息安全建设?,4、了解保障措
10、施,保障体系的形成,技术环境当前主流的基本安全产品,加密防病毒防火墙入侵检测漏洞扫描身份认证VPN ,技术环境各项技术已经部署的比例,防病毒防火墙VPN漏洞扫描入侵检测IDS软因素认证硬因素认证企业安全管理安全事件信息管理入侵防御系统标识管理IT审计渗透性测试安全管理服务管家安全服务,技术环境各项技术将不被考虑的比例,防病毒防火墙VPN漏洞扫描入侵检测IDS软因素认证硬因素认证企业安全管理安全事件信息管理入侵防御系统标识管理IT审计渗透性测试安全管理服务管家安全服务,技术环境当前主流的基本安全服务,咨询服务整体框架规划和设计评估加固服务对于主机和网络进行技术评估和加固风险评估服务对系统的整体风
11、险进行评估并对风险管理提供设计渗透性测试服务安全教育和培训 ,问题,什么是信息安全?到底要解决那些问题?怎么实施信息安全建设?,5、思路,思考信息安全问题的7大模型(思路),思考信息安全问题的7大模型,M1: 整体定位模型和方法M2: 信息体系架构M3: 信息安全属性概念M4: 管理模型和方法M5: 技术功能模型和方法M6: 评价和决策模型和方法M7: 工程模型和方法,思考信息安全问题的7大模型,M1: 整体定位模型和方法阐述信息安全的整体定位和结构,综合构架和执行的方法M2: 信息体系架构表述我们要保护的对象及其结构M3: 信息安全属性概念阐述信息安全要达到的目标M4: 管理模型和方法阐述信
12、息安全管理M5: 技术功能模型和方法阐述信息安全的功能及其关系,如:PDR等M6: 评价和决策模型和方法阐述信息安全的评价和决策方法,如:风险评估等M7: 工程模型和方法体现了信息安全的基于过程的工程方法,比如PDCA等,M1: 整体定位模型,三观安全论:宏观-中观-微观AST架构:资产/业务-保障-威胁PPT框架:人-过程-技术,三观安全论,宏观,微观,中观,业务-保障-威胁、PPT框架,全面的观点业务保护的目标威胁内部外部的负面因素保障手段、措施、方法,保障的架构People人员组织、能力、动力(使命)Process过程在正确的时间以正确的方式做正确的事情Technology技术当前可以实
13、现的,M2: 信息体系架构ITA,业务分布式网络结构、地理分布等层次性技术和管理并重时间生命周期价值资产和业务,M3: 信息安全属性,经典的安全目标(属性)- CIAConfidentiality 保密性Integrity 完整性Availability 可用性,安全目标:安全属性和安全管理属性,7个信息安全属性保密性Confidentiality完整性Integrity可用性Availability真实性Authenticity不可否认性Non-Reputation可追究性Accountability可控性Controllability,7个信息安全管理属性目标性Focus执行性Execut
14、ion效益性Cost-effective时效性Time-bound适应性Adaptive全局性Coherence合规性Compliance,参考:人民银行的描述,重大应用系统业务工作的连续可用性业务工作责任的不可否认性业务数据和信息的真实完整性涉及国际秘密和行业敏感信息的保密性什么人、可以访问什么资源、有什么权限、以及控制授权范围内的信息流向及行为方式等的可控性,M4: 管理模型,信息安全管理模型BS7799ISO1333512-ISMC,信息安全管理标准,BS7799/ISO17799信息安全管理纲要、指南Part I: Code of practice for information se
15、curity management信息安全管理认证体系Part II: Specification for information security management,BS7799 / ISO 17799,安全策略安全组织资产分类及控制人员安全物理和环境安全,通信和运作管理系统访问控制系统开发与维护业务连续性规划符合性,信息安全管理纲要Code of practice for information security management,12信息安全管理类模型,M5: 技术功能模型,PDR及其衍生模型,M6: 评价和决策方法,风险管理业务连续性管理投资回报分析项目方案规划方法,什么是风险
16、?,风险: 对目标有所影响的某个事情发生的可能性。它根据后果和可能性来度量。Riskthe chance of something happening that will have an impact upon objectives. It is measured in terms of consequences and likelihood. -AS/NZS 4360:1999风险管理,风险管理的关系图,ISO13335以风险为核心的安全模型,风险,防护措施,信息资产,威胁,漏洞,防护需求,价值,风险10要素关系图,风险管理3要素,风险管理的组成要素,AS/NZS 4360,处理风险/选择安
17、全措施,在处理风险和选择安全控制措施时的注意点:从脆弱性出发,突出控制措施的针对性围绕事件考虑,将控制措施落到实处考虑纵深防护,最大限度降低风险考虑防护措施的投入-效益比,M7: 工程和实现的方法,PDCA是最典型的过程改进方法之一,思考信息安全问题的7大模型,M1: 整体定位模型和方法阐述信息安全的整体定位和结构,综合构架和执行的方法M2: 信息体系架构表述我们要保护的对象及其结构M3: 信息安全属性概念阐述信息安全要达到的目标M4: 管理模型和方法阐述信息安全管理M5: 技术功能模型和方法阐述信息安全的功能及其关系,如:PDR等M6: 评价和决策模型和方法阐述信息安全的评价和决策方法,如:
18、风险评估等M7: 工程模型和方法体现了信息安全的基于过程的工程方法,比如PDCA等,问题,什么是信息安全?到底要解决那些问题?怎么实施信息安全建设?,6、框架,加强信息安全保障工作-九项任务,系统等级保护和风险管理基于密码技术的信息保护和信任体系网络信息安全监控体系应急处理体系加强技术研究,推进产业发展法制建设、标准化建设人才培养与全民安全意识保证信息安全资金加强对信息安全保障工作的领导,建立健全信息安全管理责任制,人行信息安全保障体系框架,中国人民银行科技司于2002年9月至12月组织了中国人民银行信息安全保障体系框架的研究编写。,人行框架的主要内容,3个战略阶段规范加强、集中整合、综合保障
19、6项任务保边、护线、强内、应急、规范、严管5个能力预警、保护、检测与评估、应急响应、灾难恢复基本策略适度集中、控制风险突出重点、分级保护统筹规划、分步实施,德国ITBPM,SP800系列:一个从技术到管理的安全认证认可框架,信息安全计划,机构的信息和信息系统,美国NIST和加拿大Canadian Handbook,Part I Introduction and OverviewPart II Management SafeguardsPart III Operational SafeguardsPart IV Technical SafeguardsIdentification and Aut
20、henticationLogical Access ControlAudit Trails Cryptography,NIST SP 800-53的类和族划分,启明星辰信息安全保障整体框架,保障框架-措施,27号文的框架分析,等级保护风险评估,监控体系,应急体系,信任体系,技术和产业,法制建设标准化建设,人才培养全民意识,保证资金,责任制,参考27号文的规划建议,等级保护安全域规划(责任划分)年度风险评估(行业评估、关键基础设施评估、全市评估)信任体系认证中心、信用中心监控体系全局性检测和响应中心应急体系应急协调服务中心,参考27号文的规划建议,技术体系和产业体系产业保障体系促进安全服务外包建
21、立情报中心、知识中心法制和标准化积极参与国家相关法规和标准的制定制定企业规范和标准人才培养和全民意识人才吸引机制人才培训机制全员宣传教育,参考27号文的规划建议,保障资金信息安全的资金计划信息安全人才基金、技术发展基金管理责任制落实关键机构的领导责任制全面建立信息安全管理制度,产品需求和应用的变化趋势,防病毒防火墙VPN漏洞扫描入侵检测IDS软因素认证硬因素认证企业安全管理安全事件信息管理入侵防御系统标识管理IT审计渗透性测试安全管理服务管家安全服务,产品体系的框架分析,IDS,应用审计,防火墙,SAN,防垃圾,安全管理中心,Scanner,远程数据热备,IPS,防病毒,加密机,双因子,PKI
22、,启明星辰产品系,启明星辰当前产品,天阗系NIDS网络入侵检测HIDS主机入侵检测AFMS异常流量监控天镜漏洞扫描系统天玥系天玥网络综合审计系统天玥业务审计(移动业务)天珣非法外联审计系统天燕系产品测评工具服务评估工具风险管理与控制系统辑侦工具,天清系防火墙和病毒网关防拒绝服务系统网络隔离机天清短信过滤系统天清防垃圾邮件系统天榕系天榕Linux网络备份系统Webkeeper网站保护和恢复天瑶系加密机泰合系IMS入侵管理平台综合安全监控平台,启明星辰C-SAS安全服务体系,服务体系的框架分析,评估加固,教育培训,MSS,应急响应,安全集成,风险评估,管理咨询,最佳实践建议,教育和培训成熟产品防病
23、毒、防火墙、VPN、入侵检测、漏洞扫描风险评估框架式的安全建设规划信息安全管理体系安全域监控体系、安全监控管理中心事件管理体系、应急体系,问题,什么是信息安全?到底要解决那些问题?怎么实施信息安全建设?,当前构建“保障”体系的要点,强调全面的信息安全管理体系内控和审计在安全技术中强调检测技术漏洞扫描技术、入侵检测技术、日志审计技术在风险管理中突出风险评估在生命周期中强调评估和紧急响应体系的能力达到“计划和跟踪级”的要求,SSE-CMM,System Security Engineering Capability Majority Model系统安全工程能力成熟度模型初始级 Performed Informally计划跟踪级 Planned and Tracked良好定义级 Well Defined量化控制级 Quantitatively Controlled持续改进级 Continuously Improving,总结,构建信息安全保障体系原则和要求了解威胁(4类)了解资产和业务(ITA、安全域)了解保障措施(产品和服务)思路(7类模型)框架(PPT+AIDARC)当前构建“保障”体系的要点检测,总结,最佳实践,问题,什么是信息安全?到底要解决那些问题?怎么实施信息安全建设?,
