1、12015-8-10 PPT 信息安全保障 10注 册 信 息 安 全 专 业 人 员 ( C I S P ) 知 识 体 系 结 构信息安全保障基础信息安全保障实践信息安全保障信息安全技术信息安全法规标准操作系统安全网络安全应用安全应急响应与灾难恢复信息安全风险管理信息安全管理基础信息安全管理信息安全工程安全工程基础安全工程能力评估信息安全法规与政策信息安全标准信息安全道德规范信息内容安全信息安全管理体系密码技术数据库安全鉴别与访问控制安全攻击与防护软件安全开发信息安全保障1、 中办 27 号文国家信息化领导小组关于加强信息安全保障工作的意见 室信息安全保障工作的纲领性文件2、 信息的安全属
2、性 CIA:保密性、完整性、可用性3、 信息安全的范畴:信息技术问题、组织管理问题,社会问题,国家安全问题4、 信息安全特征:系统性、动态性,无边界性、非传统性(最终保障业务的安全)5、 信息安全问题根源: (信息战士和网络战士是最严重的)内因,过程复杂、结构复杂、应用复杂外因,人(个人威胁、组织威胁、国家威胁)和自然6、 信息安全发展阶段通信安全 COMSEC,信息窃取,加密,保证保密性、完整性计算机安全 COMPUSEC,操作系统技术信息系统安全 INFOSEC,防火墙、VPN 、PKI 公钥基础设施、信息安全保障 IA,技术、管理、人员培训等网络空间安全/信息安全保障 CS/IA,防御、
3、攻击、利用,强调威慑7、 传统信息安全的重点是保护和防御;信息安全保障是保护、检测和响应,攻击后的修复8、 信息安全保障模型PDR 防护-检测 -响应,安防措施是基于时间的,给出攻防时间表,假设了隐患和措施,不适应变化,时间PPDR 策略-防护-检测-响应,突出控制和对抗,强调系统安全的动态性29、 信息安全保障技术框架 IATF,深度防御的思想,层次化保护,人、技术、操作,关注4 个领域:本地的计算机环境区域边界网络和基础设施支撑性技术设施10、 信息系统:每一个资质中信息流动的总和,含输入输出、存储、控制、处理等。11、 信息系统安全保障,从技术、管理、工程、人员方面提出保障要求12、 信
4、息系统安全保障模型 GB/T 20274保障要素 4:技术、管理、工程、人员生命周期 5:规划组织、开发采购、实施交付、运行维护、废弃安全特征 3:保密性、完整性、可用性13、 信息系统安全保障工作阶段确保信息安全需求、设计并实施信息安全方案、信息安全测评、检测与维护信息安全14、 我国信息安全保障体系建立信息安全技术体系,实现国家信息化发展的自主可控信息安全保障实践1、 现状美国 CNNI国家网络安全综合倡议 ,3 道防线1、减少漏洞和隐患,预防入侵2、全面应对各类威胁,增强反应能力,加强供应链安全低于各种威胁3、强化未来安全环境,增强研究、开发和教育,投资先进技术2、 我国的信息安全保障战
5、略规划,信息安全分:基础信息网络安全、重要信息系统安全和信息内容安全3、 信息安全保障工作方法,信息系统保护轮廓 ISPP(所有者角度考虑安保需求) ,信息系统安全目标 ISST,从建设方制定保障方案4、 确定信息系统安全保障的具体需求:法规符合性、风险评估、业务需求(只放前 2 个也对)5、 信息安全测评对象:信息产品安全测评、信息系统安全测评、服务商资质、信息安全人员资质测评6、 信息系统安全测评标准过程测评标准: GB/T 20274产品安全测评标准:CC GB/T 183363信息安全管理体系 ISMS1、 ISMS 信息安全管理体系,按照 ISO 27001 定义,基于业务风险的方法
6、2、 信息安全管理体系建设规划与建立、实施和运行、监视和评审、保持和改进3、 ISMS 的层次化文档结构一级文件,顶层文件,方针、手册二级文件,信息安全管控程序、管理规定性文件,管理制度、程序、策略文件三级文件,操作指南、作业指导书、操作规范、实施标准等四级文件,各种记录表单,计划、表格、报告、日志文件等4、 ISMS 方法:风险管理方法、过程方法5、 风险管理方法风险评估是信息安全管理的基础,风险处理时信息安全管理的核心,风险管理是信息安全管理的根本方法,控制措施是风险管控的具体手段6、 控制措施的类别从手段来看,分为技术性、管理性、物理性、法律性等控制措施从功能来看,分为预防性、检测性、纠
7、正性、威慑性等控制措施从影响范围来看,常被分为安全方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理和符合性 11 个类别/域7、 PDCA 循环,戴明环特点:按顺序进行,组织每部分及个体也可使用,适用任何活动8、 ISO/IEC 27000 标准族 共 7 个27001 信息安全管理体系要求,14 个领域 ,新版的变动27002 信息安全控制措施实用规则,11 个控制类,内容安全和风险评估不属于27004 信息安全管理测量 ,度量指标9、 常见的管理体系标准ISO 27001 定义的信息安全管理系统
8、ISMS , 国际标准信息安全等级保护 , 公安部提出NIST SP800 ,适用美国联邦政府和组织10、 管理者是实施 ISMS 的最关键因素11、 ISMS 建设P 阶段 8 步:确立边界和方针 1-2、风险评估 3-6、获得高层认可,编制适用性声明 7-8D 阶段 7 步:制定风险处理计划,实施培训和教育计划4C 阶段 5 步:审计和检查 A 阶段 2 步:实施纠正和预防,沟通和改进信息安全控制措施1、 安全方针是陈述管理者的管理意图,高层承诺,是一级文件,具体的产品选型,技术实现问题不在方针中体现2、 信息安全组织:内部组织、外部各方3、 资产管理:资产负责和信息分类,信息分类按照信息
9、的价值、法律要求、对组织的敏感程度进行分类4、 员工只要违反了规定,不论是否知悉,就要接受处罚5、 符合性符合法律要求、符合安全策略和标准及技术符合性、信息系统审核考虑6、 任用的终止:终止职责、资产的归还、撤销访问权7、 人身安全是物理安全首要考虑的问题8、 TEMPEST 抑制和防止电磁泄露9、 机房建设,下送风,上排风10、 备份是为了保证完整性和可用性11、 电子商务服务,抗抵赖12、 日志,管路员 读权限;系统员,写权限13、 信息安全管理手册是一级文件,SOA 适用性声明是一级文件,信息安全策略是一级文件,不描述具体操作的都是二级文件14、 网闸,多功能安全网关,实现网络物理隔离1
10、5、 测试数据不需备份;生产数据不能做测试,脱敏处理才可以;测试完成后对平台和数据彻底清除16、 程序源代码需访问控制,不得随意更改17、 不鼓励对商用软件包进行变更,除非获得厂方的合法支持;不包括开源,外包软件开发: 源代码托管,第三方管理,不得使用,为了防止开发方倒闭信息安全标准化1、 国际标准、国家标准、行业标准、地方标准2、 标准化特点:对象是共同的、可重复的实物;动态性;相对性;效益来自标准使用3、 标准化原则:简化原则、统一化、通用化、系列化4、 国家标准代码,GB/Z 在实施后 3 年内必须进行复审,结果为延长 3 年或废止GB 强制性国家标准GB/T 推荐性国家标准GB/Z 国
11、家标准化指导性技术文件5、 ISO 的机构包括 TC 技术委员会、 SC 分技术委员会、WG 工作组、特别工作组6、 IEC 国际电工委员会,和 ISO 成立 JCT1 联合技术委员会57、 ISO/IEC JCT1 SC27(分技术委员会) ,下设 5 个工作组,对口中国 TC260(CISTC ,信息安全标准化 TC) 。TC485(全国通信标准化 TC)8、 IETF Internet 工程任务组,贡献 RFC 系列9、 SAC 国家标准化管理委员会,国家质监总局管理10、 采标等同采用 IDT,内容无变化,审核人由国外改为国家修改采标 MOD非等效采标 NEQ11、 我国的信息安全标准
12、基础标准、技术与机制标准、管理标准、测评标准、密码技术标准、保密技术标准技术与机制:标识与鉴别、授权与访问控制、实体管理、物理安全12、 TCSEC 美国安全评测标准低到高 D、C ( C1C2) 、B(B1B2B3)AB1 开始强制访问控制,B2 开始隐蔽信道控制13、 ITSEC 欧洲的评测标准 FC 美国联邦标准14、 CC 标准 GB/T 18336 信息技术安全性评估准则,主要框架取自 ITSEC 和 FC,不涉及评估方法学,重点关注人为威胁,定义了保护轮廓 PP 和安全目标 ST,PP 创建安全要求集合,ST 阐述安全要求,详细说明一个 TOE 评估对象的安全功能CC 分 3 部分
13、,18336.1 /.2 / .3 简介和一般模型;认证级别,即评估保证级 EAL 由低到高为 7 个级别。目标读者:TOE(评估对象)的客户,TOE 的开发者,TOE 的评估者,其他读者组件是构成 CC 的最小单元评估对象,涉及产品、系统、子系统包:满足一组确定的安全目的而组合在一起的一组可重用的功能或保证组件,如EAL15、 信息安全等级保护管理办法等级保护标准族的 5 级划分2 级以上到公安机关备案,3 级开始对国家安全造成损害定级指南:受侵害的客体,客体的侵害程度定级、备案、安全建设整改、等级测评、检查16、 NIST SP 800,应用于美国联邦政府和其他组织,6 个步骤17、6信息
14、安全风险管理1、 风险是威胁源利用脆弱性造成资产不良的可能性,发生概率和产生后果。风险三要素:资产、威胁、脆弱性2、 风险的构成 5 方面起源(威胁源) 、方式(威胁行为) 、途径(脆弱性) 、受体(资产) 、后果(影响)3、 信息安全风险只考虑对组织有负面影响的事件4、 风险管理范围和对象:信息、信息载体、信息环境5、 风险管理是识别、控制、消减和最小化不确定因素的过程,风险只能消减,不能消除6、 关于开展信息安全风险评估工作的意见7、 国办要求一次等保测评 2 个报告等保测评报告(公安部)和风险评估报告(国家信息安全测评中心发布的模板)8、 IS 风险 管理的主要内容 ,4 阶段、2 贯穿
15、背景建立、风险评估、风险处理、批准监督 ; 监控审查、沟通咨询a) 背景建立四个阶段风险管理准备:确定对象、组建团队、制定计划、获得支持、信息系统调查:信息系统的业务目标、技术和管理上的特点信息系统分析:信息系统的体系结构、关键要素信息安全分析:分析安全要求、分析安全环境b) 风险评估要素识别:威胁识别、脆弱性识别、识别已有的控制措施c) 风险处理-处置方法, (注意顺序)接受风险、降低风险(安全投入小于负面影响价值的情况下采用) 、规避风险、转移风险d) 批准监督批准,残余风险可接受,安措能满足业务的安全需求;监督,环境的变化e) 监控审查和沟通咨询需贯穿整个阶段,监控过程有效性、成本有效性
16、、审查结果有效性和符合性9、 信息安全风险管理主要内容a) 风险评估形式自评估为主,自评估和检查评估相互结合、相互补充国企以自评估为主,自评估、检查评估都可以委托第三方继续b) 风险评估方法7定性风险分析方法,定量风险分析方法,半定量风险分析方法i. 定性分析矩阵法,根据后果的可能性和影响作交叉ii. 定量分析1) 评估资产 AV2) 确定单次预期损失额 SLE ,一种风险带来的损失,暴露系数 EFSLE = AV * EF3) 确定年发生率 ARO,一年中风险发生的次数4) 年度预期损失 ALEALE = SLE *ARO5) 安全投资收益 ROSIROSI = 实施前的 ALE 实施后的
17、ALE 年控制成本iii. 半定量分析相乘法,在矩阵法上改进,影响和可能性赋值后相乘c) 风险评估实施流程风险评估准备:计划、方案、方法工具、评估准则等风险要素识别:资产、威胁、脆弱性识别与赋值,确认已有的安措风险分析:如下公式风险结果判定:评估风险的等级,综合评估风险状况10、信息安全法律框架1、 人大颁布法律,宪法、刑法、国家安全法、国务院-行政法规,地方人大-地方性法规;地方人民政府-规章(条例、办法)2、 刑法-286、286 、287 条285:侵入,3 年以下286:破坏,287:利用计算机进行犯罪,3、 治安管理处罚法 ,未构成犯罪,15 天-1 月4、 国家安全法 ,5、 保守
18、国家秘密法 ,国家保密局出版,国家秘密:,可以不受时间约束,但需制定解密条件。涉密人员,脱密期自离岗之日算绝密 30 年机密 20 年8秘密 10 年泄露国家机密就是犯罪,无故意、过失之分国家秘密:国家安全和利益,一招法定程序确定,一定时间内限一定范围人员知道的6、 电子签名法 ,第一步信息化法律,属于电子签名专人所有;由其控制;电子签名的任何改动都能够被发现;数据电文内容和形式的任何改动能够被发现7、 计算机信息系统安全保护条例 ,行政法规,公安部主管相关保护工作。8、 商用密码管理条例 ,涉及国家秘密,技术属于国家秘密,不对个人使用密码使用进行约束,国家密码管理委员会9、 信息自由法10、
19、 国家信息化领导小组关于加强信息安全保障工作的意见27 号文,提出 5 年内的保障体系,主要原则11、 2 级以上系统备案,3 是12、 CISP 职业道德a) 维护国家、社会和公众的信息安全b) 诚实守信,遵纪守法c) 努力工作,尽职尽责d) 发展自身,维护荣誉应急响应与灾难恢复1、 应急响应组织有 5 个功能小组:领导小组、技术保障小组、专家小组、实施小组和日常运行小组2、 CERT 计算机应急响应组,美国的。FIRST 事件响应与安全组织论坛3、 CNCERT 国家计算机网络应急技术处理协调中心4、 信息安全事件 7 类,4 个级别,1-4,特别重大事件,重大事件,较大事件,一般事件。分
20、级 3 要素:信息系统的重要程度,系统损失,社会影响;5、 应急响应的 6 个阶段准备、确定资产和风险,编制响应计划,检测、确认事件是否发生遏制、限制影响范围根除、依据计划实施根除恢复、跟踪总结6、 计算机取证 5 步骤准备、保护、提取、分析、提交7、 应急响应计划的几个阶段a) 应急响应需求分析b) 应急响应策略的确定c) 编制应急响应计划文档d) 应急响应计划的测试、培训、演练和维护98、 DRP 灾难恢复计划、DCP 灾难恢预案、BCM 业务连续性管理9、 BCP 业务连续性计划,包含:业务恢复计划、运行连续性计划 COP、事件响应计划 IRP、应急响应计划ERP、人员紧急计划 OEP、
21、危机沟通规划 CCP、灾难恢复计划10、 RPO 恢复点目标 ,系统和数据 必须恢复到的时间点要求,代表数据丢失量11、 RTO 恢复时间目标,系统 从停顿到恢复的时间要求,12、 备份、备份数据的测试,是恢复的基础13、 灾难恢复规划a) 灾难恢复需求分析:风险分析 RA、业务影响分析 BIA、确定恢复目标b) 灾难恢复策略制定:制定恢复策略c) 灾难恢复策略实现:实现策略d) 灾难恢复预案的制定和管理,落实和管理14、 灾难恢复级别,由低到高分 6 级,1 最低,7 个资源要素第 1 级:基本支持第 2 级:备用场地支持第 6 级:数据零丢失和远程集群支持15、 灾难恢复存储技术DAS 直
22、接附加存储、NAS 网络附加存储、 SAN 存储区域网络16、 灾难恢复备份技术全备份、增量备份(仅备份数据) 、差分备份(全备后的增备,数据和文件)17、 备份场所冷站(有空间,基础设施,无设备) ,温站(包含部分或所有的设备、资源) ,热站(包含了所有设备)18、 数据备份系统备份的范围、时间间隔、技术和介质、线路速率及设备的规格19、 教育、培训和演练在灾难来临前使相关人员了解灾难恢复的目标和流程,熟悉恢复操作规程20、 根据演练和演习的深度,可分为数据级演练,应用级演练,业务级演练等21、 说道ISO 27001:2013信息安全工程1、 CMM 能力成熟度模型,面向工程过程的方法,定
23、义了 5 个成熟度等级初始级、可重复级、已定义级、已管理级、优化级102、 信息安全工程解决的是“过程安全”问题3、 信息安全建设必须同信息化建设“同步规划、同步实施” , “重功能、轻安全” ,“先建设、后安全”都是信息化建设的大忌4、 系统工程思想,方法论,钱学森提出,涵盖每一个领域霍尔三维结构,时间维、知识维、逻辑维5、 项目管理,有限资源下,对项目的全部工作进行有效管理6、 信息安全工程实施, 5 个阶段发掘信息保护需求、定义系统安全要求、设计系统安全体系结构、开发详细安全设计、实现系统安全7、 需求阶段要建立确认需求,实施阶段不要确认需求8、 信息安全工程监理模型3 个组成:监理咨询
24、阶段过程、监理咨询支撑要素、管理和控制手段、管理和控制手段:质量控制、进度控制、成本控制、合同管理、信息管理、组织协调9、 SSE-CMM 系统安全工程能力成熟度模型,强调 过程控制,评估方法 SSAM帮助获取组织选择合格的投标者帮助工程组织改进工程实施能力帮助认证评估组织获得评估标准10、 SSE-CMM 体系结构,两维模型a) 横向“域”维,表示需执行的安全工程过程;由过程区域 PA 构成。基本实施 BP 构成 过程区域 PA(22 个)再构成 过程类(安全工程过程类、组织管理过程类、项目管理过程类) ,安全工程类描述安全直接相关的活动b) 纵向“能力”维,表示执行域维中各 PA 的能力成
25、熟度级别,由公共特性CF 组成 。通用实施 GP 构成 公共特征 CF 再构成 能力级别(6 个级别,0-5) ,0 未实施1 非正规执行,个人的成熟角度上2 计划与跟踪,项目成熟的角度上,带执行的都是 2 级的(计划、规范化、跟踪、验证执行)3 充分定义,组织层面的成熟4 量化控制5 持续改进11、 信息安全工程过程类a) 11 个 PA,分成风险过程 4(评估威胁、评估脆弱性、评估影响、评估安全风险) 、工程过程 5(确定安全需求、提供安全输入、管理安全控制、监控安全态势、协调安全) 、保证过程 2(验证和证实安全、建立保障论据)b) 保证过程是指安全需要得到满足的信任程度,验证和证实安全为建立保证 论据提供支撑
