《CISM0101信息安全保障基础V3.0(2016年)》由会员分享,可在线阅读,更多相关《CISM0101信息安全保障基础V3.0(2016年)(91页珍藏版)》请在金锄头文库上搜索。
1、信息安全保障基础中国信息安全测评中心版本:3.0课程内容2信息安全 保障基础信息安全保障 理论及实践信息安全 法规政策标准信息安全保障基础知识重点信息安全政策解读信息安全标准知识信息安全保障模型我国信息安全保障工作实践重点信息安全法律法规解读v知识域:信息安全保障基础知识 理解信息安全的典型安全威胁 理解信息安全问题产生的根源 掌握信息安全三个基本要素(保密性、完整性和可 用性)的概念和含义 了解信息安全发展的阶段及各阶段主要特点 理解信息安全保障的概念和内涵3信息和信息安全v信息 消息,泛指人类社会传播的一切内容 有意义的数据 在计算机系统中,信息通常以文字、声音、图像或 数据的形式展现出来
2、,它是按一定方式排列起来的 、有意义的符号序列 v信息安全 关注信息自身的安全4什么是信息安全5保持信息的保密性、完整性和可用性,即防止 未经授权使用信息、防止对信息的非法修改和破坏、 确保及时可靠地使用信息。(CIA)保密性完整性可用性保密性v保密性 Confidentiality(C) 也称机密性 确保信息没有泄漏,不被没有授权的个人、组织和 计算机程序使用 v保密性需求举例 国家秘密 企业或研究机构的核心知识产权 银行账号等个人信息6完整性v完整性 Integrity(I) 确保信息没有遭到篡改或破坏 信息保持原样,未受损坏 没有丢失、被篡改或被破坏 v完整性需求举例 通信数据原样传送到
3、对方 信息未被插入、增加、删除、修改7可用性v可用性 Availability(A) 确保拥有授权的用户或程序可以及时、正常使用信 息 v可用性需求举例 网站能支撑大量用户访问,正常提供服务 系统未受病毒影响,可以正常使用 系统能防御攻击者攻击,稳定可用8为什么会有信息安全问题?v为什么会有信息安全问题? 总有黑客来攻击 总有新病毒传播 某些软件配置错误 操作系统被发现了新的漏洞 领导不重视,施工人员不认真 写代码的程序员没有获得安全证书 .9这些都对,怎么才能罗列完全? 根本原因是什么?信息系统安全问题产生的根本原因v内因 系统自身的脆弱性v外因 来自恶意攻击者的攻击 来自自然灾害的破坏10
4、安全问题根源内因示例 复杂性导致脆弱性 凡是人做的东西总会存在问题11安全问题根源外因示例12安全问题根源外因示例v来自大自然的威胁 雷击、地震、火灾和洪水等自然灾害 电力、空调等被电磁脉冲破坏 信息系统机房和设备遭受破坏13信息安全的地位和作用v信息网络已逐渐成为经济繁荣、社会稳定和国家 发展的基础 v信息化深刻影响着全球经济的整合、国家战略的 调整和安全观念的转变 v信息安全适用于所有信息技术领域 学习、游戏、网络购物、电子邮件 信息化办公、电子商务 电子政务、电力供应、工业控制系统 核设施、军事情报系统 v从单纯的技术性问题变成事关国家安全的全球性 问题14信息安全发展阶段COMSEC通
5、信安全COMPUSEC计算机安全INFOSEC信息系统安全IA信息安全保障15CS/IA网络空间安全/信息安全保障通信安全COMSECCommunication Security 20世纪,40年代-70年代核心思想通过密码技术解决通信保密,保证数据的保密性和完整性 主要关注传输过程中的数据保护 安全威胁搭线窃听、密码学分析安全措施加密16计算机安全COMPUSEC Computer Security 20世纪,70-90年代核心思想 确保信息系统的保密性、完整性和可用性安全威胁 非法访问、恶意代码、脆弱口令等安全措施 安全操作系统设计技术(TCB)17信息系统安全INFOSECInforma
6、tion Systems Security 20世纪,90年代后核心思想确保信息在存储、处理和传输过程中免受偶然或恶意的泄密、非法 访问或破坏 安全威胁网络入侵、病毒破坏、信息对抗等安全措施防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN等18信息安全保障IAInformation Assurance 今天,将来核心思想动态安全,保障信息系统的业务正常、稳定的运行 综合技术、管理、过程、人员安全威胁黑客、恐怖分子、信息战、自然灾难、电力中断等安全措施技术安全保障体系、安全管理体系、人员意识/培训/教育19阶段阶段年代年代安全威胁安全威胁安全措施安全措施通信安全20世纪, 4070年代搭线窃听
7、、 密码学分析加密计算机安全20世纪, 70-90年代非法访问、 恶意代码、 脆弱口令等安全操作系统设计技术(TCB)信息系统安全20世纪, 90年代后网络入侵、 病毒破坏、 信息对抗等防火墙、防病毒、 漏洞扫描、 入侵检测、 PKI、VPN等信息安全保障今天,黑客、恐怖分子、 信息战、 自然灾难、 电力中断等技术安全保障体系 安全管理体系 人员意识/培训/教育信息安全发展各阶段特点20信息安全保障概念发展v 第一次定义 1996年,美国国防部DoD指令5-3600.1(DoDD 5-3600.1) 中,给出了信息安全保障的定义 v 中国 中办发27号文国家信息化领导小组关于加强信息安全保障
8、工作的意见,是信息安全保障工作的纲领性文件 v 目前,信息安全保障的概念已逐渐被全世界信息安全领域 所接受 美国 英国 日本 21信息安全保障含义v保障目标 信息系统业务和使命安全 v保障措施 防止信息泄露、修改和破坏 检测入侵行为,实施响应和改进措施 v同传统信息安全概念相比较 强调检测和响应,强调动态安全 注重对信息系统进行全生命周期的保护 关注技术、管理、规范等方面 要求实现风险管控的目标22新阶段网络空间安全/信息安全保障v CS/IA:Cyberspace Security/Information Assurancev 威胁 有组织网络犯罪、网络恐怖主义、网络空间军事对抗、APT v
9、 共识:网络安全问题上升到国家安全的重要程度v 2009年,在美国带动下,世界各国信息安全政策、技术和实践 等发生重大变革 核心思想:从传统防御的信息保障(IA),发展到“威慑”为主的 防御、攻击和情报三位一体的信息保障/网络安全(IA/CS)的网 空安全 网络防御-Defense(运维) 网络攻击-Offense(威慑) 网络利用-Exploitation(情报)23知识体:信息安全保障理论及实践v知识域:信息安全保障模型 了解信息系统、风险、保障和使命之间的关系 掌握信息系统安全保障模型,理解其保障要素、生命 周期和安全特征的内容和含义 理解PDCA模型内容和特点 了解信息保障技术框架(I
10、ATF)的核心要素和焦点区 域24信息系统、风险、保障和使命v风险 可能导致信息安全问题 影响信息系统业务使命 v保障 制定策略、执行措施 降低风险、保障使命 v使命 信息系统业务使命 贯穿整个生命周期25什么是信息安全风险v外在威胁利用信息系统 存在的脆弱性,致其损 失或破坏对系统价值造 成损害的可能性 信息系统威胁防护措施脆弱性风险利用对抗导 致增 加减 少作 用 于26信息系统为什么需要安全保障v组织机构的使命/业务目标实现越来越依赖于信息 系统 v信息系统成为组织机构生存和发展的关键因素 v信息系统的安全风险也成为组织风险的一部分 v为了保障组织机构完成其使命,必须加强信息安 全保障,
11、抵抗这些风险27信息系统安全保障定义信息系统安全保障是在信息系统的整个生命周期中,通过对信息系统的风险分析,制定并执行相应的安全保障策略,从技术、管理、工程和 人员等方面提出安全保障要求,确保信息系统的 保密性、完整性和可用性,降低安全风险到可接 受的程度,从而保障系统实现组织机构的使命。 28信息安全技术 信息系统安全保障评估框架 第一部分:简 介和一般模型 (GB/T 20274.1-2006 )信息系统安全保障模型-保障评估框架29信息系统安全保障模型特点v安全特征 保证其所创建、传输、存储和处理信息的保密性、 完整性和可用性。 v生命周期 应贯穿信息系统的整个生命周期,包括计划组织、
12、开发采购、实施交付、运行维护和废弃五个阶段 v保障要素 由合格的信息安全专业人员,使用合格的信息安全 技术和产品,通过规范、可持续性改进的工程过程 能力和管理能力进行建设和运行维护,保障信息系 统安全302016/8/17信息系统安全保障含义解释(1)v出发点和核心 在信息系统所处的运行环境里,以风险和策略 为出发点,即从信息系统所面临的风险出发制 定组织机构信息系统安全保障策略 动态安全,综合保障 v信息系统生命周期 通过在信息系统生命周期中从技术、管理、工 程和人员等方面提出安全保障要求 31信息系统安全保障含义解释(2)v确保信息的安全特征 确保信息的保密性、完整性和可用性特征,从 而实
13、现和贯彻组织机构策略并将风险降低到可 接受的程度 v保护资产 达到保护组织机构信息和信息系统资产 v最终保障使命 从而保障组织机构实现其使命的最终目的 32如何保障信息系统安全?33信息是依赖于承载它的信息技术系统存在的 需要在技术层面部署完善的控制措施信息系统需要规划、建设、使用和维护 需要通过有效的管理手段来约束和保证今天系统安全了明天未必安全 需要贯穿系统生命周期的工程过程信息安全的对抗,归根结底是人员的对抗 需要建设高素质的人才队伍信息安全保障体系构成的要素v信息安全技术体系 v信息安全管理体系 v信息安全工程过程 v高素质的人员队伍34信息系统安全保障技术要素v安全技术体系架构 根据
14、系统安全风险评估的结果和系统安全策略的要 求,并参考相关标准和最佳实践,建立的符合组织 机构信息技术系统安全发展规划的整体安全技术体 系框架 v主要内容 密码技术 访问控制技术 审计和监控技术 网络安全技术 3536举例:信息安全技术体系数据安全应用安全主机安全网络安全物理安全信息系统安全保障管理要素v覆盖整个生命周期 v以风险和策略为核心 v五方面的管理内容相关方信息安 全需求& 期待实施和运 行ISMS保持和改 进ISMSPlan计划Do实施Act 改进Check 检查开发、维 护&改进 循环相关方受控的信 息安全Plan计划(建立ISMS环境) 根据组织机构的整体策略和目标,建立 同控制
15、风险和改进信息安全相关的安全 策略、目的、目标、过程和流程以交付 结果。Do做(设计&实施) 实施和操作策略(过程和流程)Check检查(监控&审核) 通过策略、目的和实践经验测量和评估 过程执行,并将结果汇报给决策人。Act行动(改进) 建立纠正和预防行动以进一步 改进过程的执行建立ISMS监视&评审 ISMS信息安全管理体系建设38信息系统安全保障工程要素v将信息安全手段动态作用于信息系统的工作过程 v基于信息系统生命周期建立信息系统安全工程生 命周期 v在生命周期每个阶段融入安全措施,从而有效、 科学的实现信息系统安全保障目标39计划 组织开发 采购实施 交付运行 维护废弃将安全措施融入信息系统生命周期科学的信息安全工程过程40高素质的人员队伍v 信息安全对抗归根结底是人与人的对抗,保障信息安全不仅需要专业 信息技术人员,还需要信息系统普通使用者提高安全意识,加强个人 防范能力 41基于信息系统生命周期的信息安全保障v在信息系统生命周期模型中,将信息系统的整个 生命周期抽象成计划组织、开发采购、实施交付 、运行维护和废弃五个阶段42信息系统安全保障模型理解综合技术、管理、工程、人员保障信息系统生命周期的全过程不仅仅是一门技术学科为了保障信息系统业务使命不是某一个阶段的暂时性行 为是一个需要多方参与的工作不是为了购买安全设备而实 施通过客观工
