收藏
下载资源

信息安全导论 CH12

上传人:油条 文档编号:1232556 上传时间:2017-06-04 格式:PPT 页数:57 大小:3.23MB
返回 下载 相关 举报
信息安全导论 CH12_第1页
第1页 / 共57页
信息安全导论 CH12_第2页
第2页 / 共57页
信息安全导论 CH12_第3页
第3页 / 共57页
信息安全导论 CH12_第4页
第4页 / 共57页
信息安全导论 CH12_第5页
第5页 / 共57页
点击查看更多>>
资源描述

《信息安全导论 CH12》由会员分享,可在线阅读,更多相关《信息安全导论 CH12(57页珍藏版)》请在金锄头文库上搜索。

1、信息安全导论 Introduction to Information Security,中央财经大学信息学院,第12章 信息安全管理与审计,信息安全管理体系,12.1 信息安全管理体系,12.1.1 信息安全管理体系概念12.1.2 信息安全管理体系过程方法12.1.3 信息安全管理体系构建流程12.1.4 信息安全管理标准,防火墙能解决这样的问题吗?,WO!3G,精心设计的网络防御体系,因违规外连形同虚设,12.1 信息安全管理体系,信息安全管理需求,信息系统是人机交互系统,设备的有效利用是人为的管理过程,应对风险需要人为的管理过程,12.1 信息安全管理体系,三分技术,七分管理,据有关统计

2、,信息安全事件中大约有70%以上的问题都是由于管理方面的原因造成的。,数据来源CNCERT/CC,12.1 信息安全管理体系,信息安全需要对信息系统的各个环节进行统一的综合考虑、规划和架构,并需要兼顾组织内外不断变化的发生的变化。木桶原理:信息系统安全水平将由与信息安全有关的所有环节中最薄弱的环节所决定要实现信息安全目标,一个组织必须使构成安全防范体系的这只“木桶”的所有木板都达到一定的长度。,信息安全工程,要实现良好的信息安全,需要信息安全技术和信息安全管理有效地配合,12.1 信息安全管理体系,信息安全技术层面建设安全的主机系统和安全的网络系统,包括物理层安全、系统层安全、网络层安全和应用

3、层安全等配备一定的安全产品,如数据加密产品、数据存储备份产品、系统容错产品、防病毒产品、安全网关产品等信息安全管理层面构建信息安全管理体系,12.1 信息安全管理体系,信息安全工程,12.1.1 信息安全管理体系概念,信息安全管理(Information Security Management)的概念没有统一的定义。信息安全管理:组织为了实现信息安全目标和信息资产保护,用来指导和管理各种控制信息安全风险的、一组相互协调的活动。,要实现组织中信息的安全性、高效性和动态性管理,就需要依据信息安全管理模型和信息安全管理标准构建信息安全管理体系,12.1 信息安全管理体系,信息安全管理体系(Infor

4、mation Security Management System, ISMS)组织以信息安全风险评估为基础的系统化、程序化和文件化的管理体系,包括建立、实施、运行、监视、评审、保持和改进信息安全等一系列的管理活动。ISMS是整个管理体系的一部分。,ISMS的建立是基于组织,立足于信息安全风险评估,体现以预防为主的思想,并且是全过程和动态控制。,12.1 信息安全管理体系,12.1.1 信息安全管理体系概念,BS7799-2信息安全管理体系规范:详细说明了建立、实施和维护信息安全管理体系的要求。BS7799-2的修订版本BS7799-2: 2002中引入了PDCA(Plan-Do-Check-

5、Action)过程方法,用于建立、实施和持续改进ISMS。PDCA循环又称“戴明环”,由美国质量管理专家Edwards Deming博士在20世纪50年代提出,是全面质量管理所应遵循的科学程序。PDCA强调应将业务过程看作连续的反馈循环,在反馈循环的过程中识别需要改进的部分,以使过程得到持续的改进,质量得到螺旋式上升。,12.1 信息安全管理体系,12.1.2 信息安全管理体系过程方法,应用于ISMS过程的PDCA模型,12.1 信息安全管理体系,12.1.2 信息安全管理体系过程方法,应用于ISMS过程的PDCA模型在每个阶段的具体内容如下:规划Plan(建立ISMS)完成ISMS的构建工作

6、实施Do(实施和运行ISMS)实施和运行ISMS方针、控制措施、过程和程序检查Check(监视和评审ISMS)进行有关方针、标准、法律法规与程序的符合性检查处置Act(保持和改进ISMS)对ISMS进行评价,寻求改进的机会,采取相应的措施,12.1 信息安全管理体系,12.1.2 信息安全管理体系过程方法,ISMS框架建立流程,12.1 信息安全管理体系,12.1.3 信息安全管理体系构建流程,强化员工的信息安全意识,规范组织的信息安全行为。对组织的关键信息资产进行全面系统的保护,维持竞争优势。在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度。使组织的生意伙伴和客户对组织充满信心。使

7、组织定期地考虑新的威胁和脆弱点,并对系统进行更新和控制。促使管理层坚持贯彻信息安全保障体系。,信息安全管理体系功能,12.1 信息安全管理体系,12.1.3 信息安全管理体系构建流程,BS7799,BS7799是由英国BSI/DISC的BDD/2信息安全管理委员会指导下完成的,是当前国际公认的信息安全实施标准。旨在为一个组织提供用来制定安全标准、实施有效安全管理的通用要素,并不涉及“怎么做”的细节。是制定一个机构自己标准的出发点,因此适用于各种产业和组织。,12.1 信息安全管理体系,12.1.4 信息安全管理标准,BS7799演进发展过程,BS7799发展后分为两部分ISO/IEC 2700

8、1: 2005 信息技术-安全技术-信息安全管理体系-要求主要讨论了以PDCA过程方法建设ISMS以及ISMS评估的内容。该标准详细的说明了建立、实施、监视和维护ISMS的具体任务和要求,指出实施机构应该遵循的风险评估标准。ISO/IEC 27002: 2005 信息技术-安全技术-信息安全控制实用规则标准包含有11项管理内容,133条安全控制措施。作为组织基于ISO/IEC 27001实施ISMS的过程中选择控制措施时的参考,或作为组织实施通用信息安全控制措施时的指南文件,或开发组织自身的信息安全管理指南。,12.1 信息安全管理体系,12.1.4 信息安全管理标准,ISO/IEC 2700

9、2: 2005,12.1 信息安全管理体系,12.1.4 信息安全管理标准,ISO/IEC 27002: 2005安全管理体系,COBIT,COBIT是目前国际上通用的安全与信息技术管理和控制标准它在业务风险、控制需要和技术问题之间架起了一座桥梁,可以辅助管理层进行IT治理,指导组织有效利用信息资源,有效地管理与信息相关的风险。COBIT共分为4个域,34个高级控制目标和318个详细控制目标。,12.1 信息安全管理体系,12.1.4 信息安全管理标准,COBIT框架,ISO/IEC13335是国际标准IT安全管理指南(Guidelines for the Management of IT S

10、ecurity, GMITS)ISO/IEC13335-1:1996IT安全的概念与模型(被ISO/IEC 13335-1:2004信息和通信技术安全管理的概念和模型替代)ISO/IEC13335-2:1997IT安全管理与规划ISO/IEC13335-3:1998IT安全管理技术ISO/IEC13335-4:2000防护措施的选择ISO/IEC13335-5:2001网络安全管理指南,ISO/IEC13335,12.1 信息安全管理体系,12.1.4 信息安全管理标准,GB17895-1999,GB17895-1999计算机信息系统安全保护等级划分准则标准由我国公安部主持制定、国家质量技术监

11、督局1999年发布,2001年1月1日起施行。计算机信息系统安全保护等级被划分为5个级别用户自主保护级系统审计保护级安全标记保护级结构化保护级访问验证保护级,12.1 信息安全管理体系,12.1.4 信息安全管理标准,信息系统安全等级保护划分原则,内容提纲,信息安全风险评估,12.2 信息安全风险评估,12.2.1 信息安全风险评估概念12.2.2 信息安全风险评估组成要素12.2.3 信息安全风险评估流程12.2.4 信息安全风险评估方法与工具,风险(Risk):一定条件下和一定时期内可能发生的不利事件发生的可能性。目前,信息安全风险没有统一的定义澳大利亚/新西兰国家标准AS/NZS4360

12、信息安全风险指对目标产生影响的某种事件发生的可能性,可以用后果和可能性来衡量。ISO/IEC13335-1标准信息安全风险是指某个给定的威胁利用单个或一组资产的脆弱点造成资产受损的潜在可能性。GB/T20984-2013信息安全风险评估规范信息安全风险是指人为或自然的威胁利用信息系统及其管理体系中存在的脆弱点导致安全事件的发生及其对组织造成的影响。,12.2 信息安全风险评估,12.2.1 信息安全风险评估概念,一般而言,信息安全风险可表现为威胁(Threats)、脆弱点(Vulnerabilities)和资产(Assert)之间的相互作用。,风险会随着任一因素的增加而增大,减少而减少,GB/

13、T20984-2013信息安全风险评估规范信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱点导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。,12.2 信息安全风险评估,12.2.1 信息安全风险评估概念,信息安全风险评估的意义如下:对信息安全保障体系建设具有重要的促进作用,能有效帮助组织制定决策策略。没有有效和及时的信息安全风险评估,将使得各个组织无法对其信息安全的状况做出准确的判断。在综合考虑成本和效益的前提下,通过安

14、全措施来控制风险,使残余风险降至用户可控范围内。,12.2 信息安全风险评估,12.2.1 信息安全风险评估概念,1993年,美国,加拿大同欧洲四国组成六国七方,共同制定了国际通用的评估准则CC(Common Criteria)目的是建立一个各国都能接受的通用的信息安全产品和系统的安全性评价标准。在1996年颁布了CC1.0版,1998年颁布了CC2.0版1999年,ISO接纳CC2.0版为ISO/IEC 15408草案,并命名为信息技术-安全技术-IT安全性评估准则,并于同年正式发布国际标准ISO/IEC15408 CC2.1版,12.2 信息安全风险评估,12.2.2 信息安全风险评估组成

15、要素,CC标准,CC标准主要有三部分构成简介和一般模型安全功能要求安全保障要求信息安全风险构成要素威胁、风险、脆弱点、资产、对策等关键风险要素提出了所有者和威胁主体的概念,12.2 信息安全风险评估,12.2.2 信息安全风险评估组成要素,CC标准中风险要素之间的关系,ISO/IEC13335是信息安全管理方面的指导性标准。ISO/IEC13335-1以风险为中心,确定了资产、威胁、脆弱点、影响、风险、防护措施为信息安全风险的要素,并描述了它们之间的关系。,12.2 信息安全风险评估,12.2.2 信息安全风险评估组成要素,ISO13335标准,ISO/IEC13335标准中风险要素之间的关系,GB/T20984-2007标准信息安全风险评估规范风险评估围绕着资产、威胁、脆弱点和安全措施这些基本要素展开。在基本要素的评估过程中,充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。,12.2 信息安全风险评估,12.2.2 信息安全风险评估组成要素,GB/T20984-2007标准,GB/T20984-2007标准中风险评估各要素关系图,我国的GB/T20984-2007标准信息安全风险评估规范风险评估准备资产识别威胁识别脆弱点识别已有安全措施的确认风险分析风险评估文档记录,12.2 信息安全风险评估,12.2.3 信息安全风险评估流程,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 其它相关文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号