《信息安全管理框架V10》由会员分享,可在线阅读,更多相关《信息安全管理框架V10(101页珍藏版)》请在金锄头文库上搜索。
1、信息安全管理框架 Information Security Management Framework主讲 樊山1信息安全发展趋势及整体分析(一)1国家级网络信息安全战略有望出台 2012年10月,华为、中兴在美被调查事件引起业界热议,国内各界审视 自身网络,对我国信息安全表现更加担忧,尤其是国内运营商的网络核心 节点部署着大量国外路由器等设备。为此,工信部在2013年工作会议中 表示,将推动发布中国的信息安全战略,推进信息安全法律及标准研究 制定,开展重点领域网络与信息安全检查和风险评估。2中国网络安全产业与国外差距缩小 与全球信息安全市场相比,我国信息安全行业正处于快速成长期。根据 赛迪顾问
2、的统计数据,2013年我国信息安全产品的市场规模将增长至 186.51亿元。迅速增长的国内市场,成就了多家国内信息安全厂商。3运营商安全防护走向集中化 随着移动互联网、物联网、云计算等划时代技术潮流的迅速到来,通信 产业在面临更大的创新机遇的同时,也面临着更加严峻的信息安全挑 战。另一方面,宽带、3G、4G网络的快速发展,电信运营商网络越来越 庞大,越来越复杂,任何小的安全漏洞都可能带来巨大安全事件,给网 络和业务带来巨大损失,所以运营商将从多个角度加强安全系统建设。2信息安全发展趋势及整体分析(二)4云计算安全防护方案逐步落地 云安全正从前两年的热点宣传逐步转向实际应用,用户向各种云平台迁
3、移的趋势非常明显,云安全市场正在出现大幅增长。目前云安全联盟、 云计算服务商、安全厂商,分别在云安全规范与策略、云安全技术与架 构、云安全产品与方案等方面作出自己的努力,提高云计算平台的可靠 性、可用性、数据的保密性,确保云计算得到健康有序的发展。5云安全SaaS市场将爆发式增长 业界一直认为,由于国内用户需求与国外大不相同,作为“云”的重要 组成部分,SaaS(Security as a service,安全即服务)服务会在中国 “水 土不服”。然而,经过2012年的发展,安全SaaS逐渐受到企业用户欢迎 ,尤其是中小企业用户,市场呈现快速发展态势。6移动智能终端恶意程序逐渐增加 我国是移动
4、互联网安全的“重灾区”,移动恶意程序呈爆发性增长,严 重威胁用户隐私与合法权益,甚至危害国家安全。趋势科技表示,受安 卓系统普及率大幅提升的影响,恶意与高风险的安卓应用数量在2012年 底达到35万个,而这个数字在2013年当中或将攀升四倍,达到140万个。3信息安全发展趋势及整体分析(三)7企业级移动安全市场进入“井喷期”众多企业开始考虑BYOD。相比个人移动安全防护,企业级移动安全防护更加复杂。然 而,随着移动警务、移动金融、移动政务和移动办公快速发展,传统网络面临的移动安 全威胁加剧。可以说,3G网络成熟带来了更多的移动应用,而移动安全与移动应用是共 存的情况。8大数据与安全技术走向融合
5、2012年已经进入大数据时代。大数据分析将带来网络安全防护技术的变革,大数据分析 与安全技术的融合将成为必定趋势,基于传统安全的防病毒、防火墙和入侵防御系统的 技术将加快向以大数据分析监控为基础的安全技术改变。9社会工程攻击威胁增多微博、社交网站等新业务具有两面性,安全管控的难度大。随着社会工程转移到社交网 络,如Facebook等社交网络,攻击者越来越多地使用社会工程,这种方法超越了针对性 的员工的攻击,如黑客可能会调用一个员工的资料,并转移到有针对性的雇员,通过这 样的战术获取企业员工内部资料后,把雇员的信息发布到其社交网络,可以做到社会工 程滚动诈骗。10增值业务安全成新难点近年来,百度
6、、腾讯等国内互联网企业的增值电信业务规模不断扩大,用户数量剧增, 而其遭到网络攻击、黑客入侵等威胁也日益复杂;由于缺乏风险意识、责任意识和必要 的防护措施,一些增值电信企业用户信息泄露、业务中断、域名安全等事件时有发生, 现实危害和负面社会影响越来越大。4信息安全发展趋势及整体分析(四) APT(Advanced Persistent Threat)-高级持续性威胁。 是指组织(特别是政府)或者小团体利用先进的攻击手段 对特定目标进行长期持续性网络攻击的攻击形式。 先进(Advanced)使用未知漏洞的攻击(零日攻击)使用不被任何杀毒软件或签名检测为基础的IDS / IPS产品的定制恶意软件使
7、用混合攻击 持久性(Persistent)几个月或几年,多阶段攻击持久攻击者正在致力于的目标 威胁(Threat)针对特定的个人和组织内的团体,旨在危及机密信息不是随机的攻击5信息安全发展趋势及整体分析(五) APT案列:极光行动(英语:Operation Aurora)1.侦察 2.攻击google员工好友控制了google员工好友主机3.搭建一个伪相册站点上面放置了IE 0DAY攻击代码4.伪造google员工好友发IM邀请打开恶意相册的URL5.Google员工中招访问站点攻击者控制google员工机器6.攻击者利用google员工身份社工和渗透其他人员7.攻击者通过多层渗透最后控制了g
8、mail服务器8.攻击者通过SSL加密把敏感数据传回6轨道交通信息安全事件分析与探讨7某市地铁Wifi干扰事件7.23动车追尾事件 2011年7月23日20时30分05秒,甬温线浙 江省温州市境内,由北京南站开往福州站 的D301次列车与杭州站开往福州南站的 D3115次列车发生动车组列车追尾事故,造 成40人死亡、172人受伤,中断行车32小时 35分,直接经济损失19371.65万元。87.23动车追尾事件经调查认定,导致事故发生的原因是:通号集团所属通号设计院在LKD2-T1型列控中心设备研发中管理混乱,通号集 团作为甬温线通信信号集成总承包商履行职责不力,致使为甬温线温州南站 提供的L
9、KD2-T1型列控中心设备存在严重设计缺陷和重大安全隐患。当温州南站列控中心采集驱动单元采集电路电源回路中保险管F2遭雷击熔断 后,采集数据不再更新,错误地控制轨道电路发码及信号显示,使行车处于 不安全状态。雷击也造成5829AG轨道电路发送器与列控中心通信故障。由于轨道电路发码异常,导致其三次转目视行车模式起车受阻。因温州南站列控中心未能采集到前行D3115次列车在5829AG区段的占用状态 信息,使温州南站列控中心管辖的5829闭塞分区及后续两个闭塞分区防护信 号错误地显示绿灯,向D301次列车发送无车占用码,导致D301次列车驶向 D3115次列车并发生追尾。上海铁路局有关作业人员安全意
10、识不强,在设备故障发生后,未认真正确地 履行职责,故障处置工作不得力,未能起到可能避免事故发生或减轻事故损 失的作用。摘自国务院关于7.23动车追尾事故调查报告9XX市公交卡破解事件 2011年5月,张某发现可以利用技术手段对普通市政 交通一卡通卡内的数据进行修改,并能更改卡的属 性。随后的几个月间,张某在其位于本市石景山区的 家中,多次对多张交通卡进行非法充值,并将数张普 通卡的属性变更为员工卡。随后,张某使用上述非法 交通卡进行乘车、消费,共造成北京市政交通一卡通 公司资费损失7000余元。10北京地铁“王鹏你” 10月8日下午北京地铁5号线信息显示屏上出现 “王鹏你”四个字。北京地铁方面
11、表示该信 息显示系统正在调试中出现异常的原因是一名 正在接受培训的学员将同事间的调侃聊天记录 点击发布并向公众表示歉意。 造成后果 “王鹏你”事件引发了各方媒体争相报道导致了 公众对北京地铁安全管理的质疑,虽然北京地铁已 经诚恳的致歉但带来的负面影响已经无法消除。11北京地铁“王鹏你” 1、受训学员接受的安全教育和规章学习不到位。学 员PIS信息发布管理的相应规章规定缺乏最基本的认 识并且没有基本的安全意识随意操作设备在设备 操作工作站上进行聊天并且误操作将聊天记录发布 于PIS显示屏上。 2、PIS信息发布相应岗位人员监管不到位。在带教 学员对设备进行操作的情况下没有严格的监管把控 导致学员
12、发布信息时无人阻拦。 3、发现和处理不及时事件发生时间为2012年10 月8日下午4时直至下午6时53分地铁乘客信息显 示系统才逐站恢复。由事件发生到结束将近3个小 时的时间“王鹏你”的信息画面没有被屏蔽或 切换。12信息安全治理框架 什么是信息安全? 什么是信息安全管理 探讨信息安全管理的目的与意义 信息安全与业务安全 信息安全保障框架 信息安全管理体系 信息系统安全工程项目管理13什么是信息安全14 防止信息财产被故意的或偶然的非授权泄露、更改、 破坏或使信息被非法的系统辨识,控制。即确保信息 的完整性、保密性,可用性和可控性。避免攻击者利 用系统的安全漏洞进行窃听、冒充、诈骗等有损于合
13、法用户的行为。本质上是保护用户的利益和隐私。信 息安全包括操作系统安全,数据库安全,网络安全, 病毒防护,访问控制,加密与鉴别七个方面。 信息安全的关键在于信息本身,而信息安全的实质是 通过相应的技术手段保护与信息相关的一切人、事、 物。 信息安全的基本目标 信息安全通常强调所谓AIC三元组的目标,即保密性、 完整性和可用性。AIC概念的阐述源自信息技术安全评 估标准(Information Technology Security Evaluation Criteria,ITSEC),它也是信息安全的基本要素和安全 建设所应遵循的基本原则。什么是信息安全机密性可用性完整性15 (1)可用性(A
14、vailability): 确保授权用户或实体对信息及资源的正常使用不会被异常 拒绝,允许其可靠而及时地访问信息及资源。 (2)完整性(Integrity): 确保信息在存储、使用、传输过程中不会被非授权用户篡 改,同时还要防止授权用户对系统及信息进行不恰当的篡 改,保持信息内、外部表示的一致性。 (3)保密性(Confidentiality): 确保信息在存储、使用、传输过程中不会泄漏给非授权用 户或实体。什么是信息安全16 信息安全还有一些其他原则,包括可追溯性( Accountability)、抗抵赖性(Non-repudiation)、真实 性(Authenticity)、可控性(Co
15、ntrollable)等,这些都 是对AIC原则的细化、补充或加强。什么是信息安全1718信息安全管理概念管理体系的持续改进要求要求被满足管理职责分析改进产品实现资源管理输入输出19PDCA过程需求方信息安全 需求与期望PLAN 建立 ISMSCHECK 监视和 评审ISMSACT 保持和改进管理责任ISMS ISMS 过程过程 需求方可管理状态 下的 信息安全DO 实施和操作 ISMS20建立ISMS 范围 组织; 位置; 资产和技术; 任何范围删减的细节与合理性。通过确定外部和内部的情况,判断有 关ISMS目的和影响,以实现预期的结 果。 确定ISMS相关的要求与信息安全相关 的利害关系人
16、。 通过以下方面,确定ISMS的边界和适 用性,建立ISMS的范围: 以往的外部和内部情况; 利益相关方的需求; 组织运转内外部的接口和依赖关系;73附录A变化 ISO/IEC 27001:2005ISO/IEC 27001:2013A.5 安全方针A.5 安全针A.6 信息安全组织A.6 信息安全组织A.8 人力资源安全A.7 人力资源安全A.7 资产管理A.8 资产管理A.11 访问控制A.9 访问控制A.10 密码学A.9 物理与环境安全A.11 物理与环境安全A.10 通信与操作管理A.12 操作安全A.13 通信安全A.12 信息系统获取、开发和维护A.14 信息系统获取、开发和维护A.15 供应关系A.13 信息安全事件管理A.16 信息安全事件管理A.14 业务连续性管理A.17 信息安全面的业务连续性管理A.15 符合性A.18 符合性控
