《信息安全管理》由会员分享,可在线阅读,更多相关《信息安全管理(103页珍藏版)》请在金锄头文库上搜索。
1、信息网络安全管理和技术人员继续教育培训,信息安全管理(概论部分),第一部分 信息安全管理概论第一章 信息安全概述第二章 信息安全管理基础,第一章 信息安全概述第一节 信息与信息安全第二节 信息安全政策第三节 信息安全法律体系,信息及信息的价值“真相的濒危甚于老虎的濒危”“放映的删节版色,戒,剧情不完整,侵犯消费者的公平交易权和知情权 ”“剧情”、“真相”等都是一种信息信息、物质、能量是人类社会赖以生存和发展的三大要素灾难备份给银行数据信息上保险公安部:超过一半单位发生过信息网络安全事件,第一章 信息安全概述,第一节 信息与信息安全一、信息与信息资产(一)信息的定义广义:事物的运动状态以及运动状
2、态形式的变化,是一种客观存在。(客观存在并不是区分真假信息的依据)狭义:能被主体感觉到并被理解的东西(客观存在)。本书的定义:通过在数据上施加某些约定而赋予这些数据的特殊含义。信息安全资产的分类:信息具有价值,是一种资产。,第一节 信息与信息安全,信息资产分类数据:存在于电子媒介的各种数据资料软件:应用软件、系统软件、开发工具和资源库硬件:计算机硬件、路由器、交换机、布线等服务:操作系统、WWW、网络管理和安保等文档:纸质文件、传真、财务报告、发展计划等设备:电源、空调、门禁等人员:雇主和各级雇员等其他:企业形象、客户关系等(软资产),(二)信息的特点信息与接受对象和要达到的目的有关(感知和理
3、解)信息的价值与接受信息的对象有关(信息的价值性)信息有多种多样的传递手段(约定的多样性) 信息的共享性(可复制性),二、信息安全(一)信息安全的发展三个阶段:通讯保密阶段 重点是保密(点)信息安全阶段 关注信息安全的三属性: 保密性 完整性 可用性(线、空间)安全保障阶段 关注点有空间拓展到时间:策略、 保护、 检测、 响应、恢复(系统),(二)信息安全的定义 为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄漏信息安全的三个主要问题:1.保护对象 主要是硬件、软件、数据2.安全目标 保密性、完整性、可用性3.实现途径 技术和管理
4、,(三)信息安全三属性的含义(Pass)保密性 完整性可用性,(四)信息安全模型1.PDR模型Pt(protection)有效保护时间,信息系统的安全措施能够有效发挥保护作用的时间;Dt(detection)检测时间,安全监测机制能够有效发现攻击、破坏行为所需的时间;Rt(reaction)响应时间,安全机制作出反应和处理所需的时间。,安全公式(1)PtDt+Rt, 系统安全 保护时间大于检测时间和响应时间之和;(2)PtDt+Rt, 系统不安全 信息系统的安全控制措施在检测和响应前就会失效,破坏和后果已经发生。,2.PPDRR模型:保护、检测、响应、恢复四环节在策略的指导下构成相互作用的有机
5、体。,(五)信息安全保障体系,图表说明:1.安全技术体系是整个安全体系的基础,包括安全基础设施平台、安全应用系统平台和安全综合管理平台;安全基础设施平台从物理和通信安全防护、网络安全防护、主机系统安全防护、应用安全防护等多个层次出发,立足于现有的成熟的安全技术和安全机制,建立起防护体系。,安全应用系统平台处理安全基础设施与应用信息系统之间的关联和集成问题。通过使用安全基础设施平台所提供的各类安全服务,提升自身的安全等级,以更加安全的方式,提供业务服务和信息管理服务。,安全综合管理平台对安全机制和安全设备进行统一的管理和控制,负责维护和管理安全策略,配置管理相应的安全机制。促成各类安全手段能与现
6、有的信息系统应用体系紧密地结合,是信息系统安全与信息系统应用一体化。,2.安全组织与管理体系安全组织与管理体系的设计立足于总体安全策略,并与安全技术体系相配合增强防卫效果,弥补安全缺陷。信息安全管理体系由若干信息安全管理类组成,每项信息安全管理类可分解为多个安全目标和安全控制。,3.运行保障体系 内容涵盖安全技术和安全管理紧密结合的部分,包括系统可靠性设计、系统数据额备份设计、安全时间的应急响应计划、安全审计、灾难恢复计划等,第二节 信息安全政策,一、我国信息化发展战略与安全保障工作(一)信息化发展战略(P8)推进国民经济信息化推进电子政务建设先进网略文化推进社会信息化完善综合信息基础设施加强
7、信息资源的开发利用提高信息产业竞争力建设国家信息安全保障体系提高国民信息技术应用能力,造就信息化人才队伍,(二)信息安全保障工作国务院关于加强信息安全保障工作的意见 加强信息安全保障工作须遵循的原则 立足国情,以我为主,坚持管理和技术并重;正确处理安全与发展的关系,以安全保发展,从发展中求安全;统筹规划,突出重点,强化基础性工作;明确国家、企业、个人的责任和义务,充分发挥各方面的积极性,共同构筑国家信息安全保障体系。,处理好发展与建设的关系正确处理发展与安全的关系坚持以改革开放求安全坚持管理与技术并重坚持统筹兼顾、重点突出,二、美国信息安全国家战略简介:1998年5月美国政府颁发了保护美国关键
8、基础设施总统令,围绕信息安全成立多个组织。1998年美国国家安全局制定了信息保障技术框架提出了“深度防御策略”,确定了包括网络与基础设施防御、区域边界防御、计算机环境防御等深度防御在内的目标。,2000年1月,发布了保卫美国的计算机空间保护信息系统的国家计划,确定了计划的目标和范围。2003年2月公布确保网络空间安全的国家战略报告,强调发动社会力量参与保障网络安全,重视发挥高校和科研机构的力量。内容:三项总体战略目标和五项具体的优先目标。P11,背景:美国是第一信息大国,对信息的依赖是其脆弱性的重要根源由大量信息系统组成的国家信息基础结构,已成为美国经济的命脉和国家的生命线,也成为容易受到攻击
9、的高价值目标系统的安全漏洞、黑客的猖獗80年代以来,美国政府陆续发布若干制度,拥有最关键系统的政府部门被指定为第一批实施信息安全保护计划的要害部门,力图实现三个目标:准备和预防、侦查和反应、建立牢固的基础设施,确保网络空间安全的国家战略作用与影响:1、确保网络安全已经被提升为美国国家安全战略的一个重要组成部分;2、是美国在9.11之后为确保网络安全而采取的一系列举措中的核心步骤;3、强调社会力量对网络安全进行全民防御,重视与企业和地方政府合作,重视发挥院校和科研机构力量,重视人才培养和公民安全意识教育。,三、俄罗斯信息安全学说2000年6月国家信息安全学说第一次明确指出了俄罗斯在信息领域的利益
10、、威胁是什么,以及保卫措施。(一)背景科索沃战争、爱虫病毒的爆发是催化剂,(二)内容1、保证信息安全是国家利益的要求2、保证信息安全的方法3、国家在保证信息安全时应采取的基本原则4、信息安全的组织基础此外,信息安全学说还对信息威胁做了评估,论证了信息斗争的打击目标和打击手段。,(三)措施1、成立国家信息安全与对抗的领导机构(国家信息政策委员会)2、建立信息对抗教育防范体系3、建立信息斗争特种部队4、发展信息斗争的关键技术和手段5、改组指挥控制系统,增强战场生存能力,第三节 信息安全法律体系,一、信息安全法律体系(一)体系结构1.法律体系 部门法2.政策体系(拘束力、责任)3.强制性技术标准(强
11、制力),(二)信息系统安全保护法律规范的法律地位 1、信息系统安全立法的必要性和紧迫性 2、信息系统安全保护法律规范的作用违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。 (1)指引作用(2)评价作用(3)预测作用(4)教育作用(5)强制作用(预防作用),二、法律法规介绍(P1824)(一)刑法 主要罪名 新增加的罪名及含义(二)治安管理处罚法 相关条文及含义(三)计算机信息系统安全保护条例(计算机信息系统能够发生的案件,应在24小时内向人民政府公安机关报告)(四)关于维护互联网安全的决定(五)计算机信息网络国际互联网安全保护管理办法(六)
12、互联网安全保护技术措施规定,第二章 信息安全管理基础,第一节 信息安全管理体系第二节 信息安全管理标准第三节 信息安全策略第四节 信息安全技术,第一节 信息安全管理体系一、信息安全管理体系定义信息安全管理涉及信息和网络系统的各个层面,以及生命周期的各个阶段,这些不同方面的管理内容彼此间存在着一定的内在联系,构成一个有机的整体,以使管理措施保障达到信息安全目标。(ISMS),二、信息安全管理的基本原则 (一)总体原则主要领导负责原则 规范定级原则以人为本原则适度安全原则全面防范重点突出原则系统、动态原则控制社会影响原则,(二)安全管理策略分权制衡(避免权力集中)最小特权(避免多余权力)选用成熟技
13、术普遍参与,三、信息安全管理内容,管理目标:合规性(管理合规)流程规范性(程序合规)整体协调性(各种管理协调)执行落实性(检查监督和审计)变更可控性(变更要监控)责任性持续改进计划性,信息安全管理体系包括以下方面,(一)信息安全方针和策略 1、安全方针和策略2、资金投入管理3、信息安全规划,(二)信息安全人员和组织1、保证有足够的人力资源从事信息安全保障工作2、确保人员有明确的角色和责任3、保证从业人员经过了适当的信息安全教育和培训,有足够的安全意识4、机构中的信息安全相关人员能够在有效的组织结构下展开工作,(三)基于信息系统各个层次的安全管理 1、环境和设备安全 2、网络和通信安全 3、主机
14、和系统安全 4、应用和业务安全 5、数据安全,(四)基于信息系统生命周期的安全管理信息系统生命周期可以分为两个阶段:工程设计和开发阶段、系统的运行和维护阶段系统安全与系统本身“三个同步”:同步规划、同步建设、同步运行安全管理内容:1、项目工程安全管理2、日常运行与维护的安全管理3、配置管理和变更管理(资产和管理措施的配置描述和管理)4、文档化和流程规范化5、新技术、新方法的跟踪和采用,(五)风险管理1、资产鉴别、分类和评价2、威胁鉴别和评价3、脆弱性评价4、安全风险评估和评级5、决策并实施风险处理措施,(六)业务连续性管理:识别潜在影响、建立整体恢复能力和顺应能力,重在危机或灾害发生时的保护(
15、七)符合性审核:将信息安全管理纳入良性的、持续改进的循环中,四、信息安全管理体系构成,信息安全管理体系由12个管理类组成,每个管理类可以分为多个安全目标和安全控制。各管理类的关系图如下,作用关系说明:1、方针和策略是基础和指导2、人员和组织管理要依据方针和策略执行任务3、合规性管理指导如何检验信息安全管理工作的效果4、人员与组织实施的信息安全管理工作,主要从两个方面进行风险管理合业务连续性管理5、根据信息系统生命周期,可以把信息系统划分为项目开发阶段和运行维护阶段6、所有的信息安全管理工作都作用在信息系统之上,第二节 信息安全管理标准,信息安全管理在发展过程中有不同的标准一、BS7799是 英国标准协会针对信息安全管理制定的,发布于1995年,后几经修改,成为目前被广泛接受的标准。分为两个部分:BS77991,是信息安全管理实施细则,供负责信息安全系统开发的人员参考使用;BS77992,是建立信息安全管理体系的规范,最终目的是建立适合企业的信息安全管理体系。,
