《信息安全体系规划与建立N》由会员分享,可在线阅读,更多相关《信息安全体系规划与建立N(48页珍藏版)》请在金锄头文库上搜索。
1、信息安全体系规划与建设概 述 信息安全体系规划与建设信息安全体系规划与建设l信息安全概述l信息安全体系建设l风险管理l信息安全服务过程l可供借鉴的范围和标准 信息安全概述n信息和信息安全 n组织的信息安全需求来源 n怎样实现信息安全p信息安全技术p信息安全管理 n对信息安全的正确认识u信息和信息安全(一)n什么是信息 信息是通过在数据上施加某些约定而赋予这些数据的特 殊含义。 通常情况下,可以把信息可以理解为消息、信号、数据 、情报和知识 。 对现代企业来说:信息是一种资产,可以通过媒介传播 。u信息和信息安全(二)n什么是信息安全 保护信息系统的硬件、软件及相关数据,使之不因为 偶然或者恶意
2、侵犯而遭受破坏、更改及泄露,保证信 息系统能够连续、可靠、正常地运行。 信息安全的任务:采取措施(技术手段及有效管理) 让信息资产免遭威胁,或者将威胁带来的后果降到最 低程度。u信息和信息安全(三)n信息安全要素 现代信息安全通常强调所谓CIA 三元组的目标,即保密性、完整性和可用性。 除了CIA,信息安全还有一些其他原则,包括可追溯性、抗抵赖 性、真实性、可控性等 。u组织的信息安全需求来源n法律法规与合同条约的要求n组织的原理、目标和规定n风险评估的结果(风险评估是信息安全管理的基础)u怎样实现信息安全技术路线n信息安全技术包括以下这些技术p物理安全p系统安全p网络安全p应用安全p数据安全
3、p认证授权p访问控制p扫描评估p审计跟综p病毒防护p备份恢复p安全管理u怎样实现信息安全管理路线n信息安全管理 解决信息及信息系统的安全问题,取决于两个因素,一个是技 术,另一个是管理。 信息安全管理(Information Security Management )作为组织完整的管理体系中一个重要的环节,构成了信息安全具有能动 性的部分,是指导和控制组织的关于信息安全风险的相互协调 的活动,其针对对象就是组织的信息资产。 安全管理也要解决组织、制度和人员这三方面的问题 u对信息安全的正确认识n对信息安全的错误观念 网络安全和信息安全的概念混淆 重视技术,轻视管理 重视产品功能,轻视人为因数
4、重视对外安全,轻视对内安全 静态不变的观念 缺乏整体性信息安全体系的考虑n纠正以上错误认识,可以简单概括一下对信息安全应该持有的正确的认识 :安全不是产品的简单堆积,也不是一次性的静态过程,它是人员、技术 、操作这三种要素紧密结合的系统工程,是不断演进、循环发展的动态过 程。 信息安全体系建设n信息安全体系的概念 n信息安全体系的发展历程 n信息安全体系的典型特点 n提出一种新的安全体系模型P-POT-PDR n如何建设信息安全体系u什么是信息安全系统n信息安全建设的指导方针,及实施依据;n做为信息安全建设的指导方针,安全体系的设计应该体 现出可靠性、完备性、可行性、可扩展性和经济实用性 等原
5、则;n设计安全体系的目的:从管理和技术上保证安全策略得以完整准确地实现,安全需求得以全面准确地满足。u信息安全体系的发展n ISO 7498-2 安全体系结构n P2DR 安全模型 n PDRR 安全模型 n IATF 信息保障技术框架 n BS 7799 标准提出的信息安全管理体系n ISO27001:2005u信息安全体系的发展nISO 27001:2005是建立信息安全管理系统(ISMS)的一套需 求规范 n标准族内容:pISO/IEC 27000,基础和术语。 pISO/IEC 27001,信息安全管理体系要求。pISO/IEC 27002,信息安全管理体系最佳实践。pISO/IEC
6、27003,ISMS实施指南,正在开发。 pISO/IEC 27004,信息安全管理度量和改进,正在开发。 pISO/IEC 27005,信息安全风险管理指南,以2005年底刚刚推出的 BS7799-3(基于ISO/IEC 13335-2)为蓝本。 u信息安全的典型特点n全面性n层次性n过程性n动态性n相对性n可管理性u信息安全体系模型P-POT-PDRnP-POT-PDRR 模型的核心思想在于:通过人员组织、安全技术以及运行操作三个支撑体系的综合作用,构成一个完整的信息安全管理体系。nP-POT-PDRR ,即Policy (策略)、People(人)、Operation (操作)、Tech
7、nology (技术)、Protection (保护)、Detection (检 测)、Response (响应)和Recovery (恢复)的首字母缩写nP-POT-PDRR 安全体系模型 u信息安全体系模型P-POT-PDRnP-POT-PDRR 安全体系框 架 u如何建设信息安全系统n信息安全管理体系(ISMS)的建设过程 信息安全整体规划的实践蓝图安全管理组织机构信息安全体系环境安全网络系统本身安全信息存储安全物理安全网络安全信息安全管理安全网络系统运行安全媒体安全设备安全信息传输安全信息内容安全审计设备防盗监控系统 机房门禁管理系统机房信号屏蔽系统安全防雷系统内网访问控制系统 外网访
8、问控制系统 网络反病毒系统网络安全检测系统 审计与监控系统 备份、恢复系统数据库安全系统 终端安全系统信息内容审计系统数据加密系统 数据完整性系统 数字签名系统安全管理的实现安全管理原则多人负责 职责分离根据企业需求建立相关的组 织、管理和技术机构等级保护标准信息系统安全等级保护 定级指南定级规则行业定级规则安全域划分安全策略设计管理策略推广整改建议系统整改信息系统系统调研、子 系统统划分系统定级等级安全指标体系设计解决方案设计技术方案实施等级保护测评系统安全运维系统更新信息系统安全等级保护 实施指南信息系统安全等级保护 基本要求等级评估安全规划设计自评估信息系统安全等级保护 测评准则行业定级
9、知 识库行业等级 指标库等级测评 规则库系 统 等 级 评 估等 级 安 全 体 系 规 划安 全 建 设 运 维 风险管理n风险管理的核心作用 n风险管理的基本概念 n风险管理的前期准备p确定信息安全目标和战略p建立信息安全策略 n风险评估p风险评估的概念p风险评估的可行途径p风险评估的常用方法p风险评估的工具p风险评估的基本过程p风险消减p风险控制p风险管理的跟进活动u风险管理的核心作用n风险管理就是识别风险、评估风险、采取对策将 风险消减到可接受水平,保证信息资产的保密性 、完整性、可用性。u风险管理的核心作用(二)n风险管理周期模型与信息安全管理过程相同,风险管理也是一个动态发展并不断
10、循环的过程 u风险管理的基本概念信息安全风险管理过程中牵涉到诸多要素或者概念,包括:n资产(Asset )n威胁(Threat)n弱点(Vulnerability)n风险(Risk)n可能性(Likelihood) n影响(Impact)n安全措施(Safeguard) n残留风险(Residual Risk)风险管理各要素之间的关系 u风险管理的前期准备(一)1、确定信息安全目标和战略p信息安全目标n确保客户、委托人、股东、纳税人对组织的产品、服务、信誉具有足够的信心。n确保与雇员、客户、消费者和受益人相关的信息资料的保密性。n保护敏感的商务数据,使其免遭不恰当的泄漏。n避免因为组织的计算机
11、或网络资源被利用来实施非法或恶意操作而承担第三方责任。 n确保组织的计算机、网络和数据资源不被误用或浪费。n防止欺诈。n遵守相关的法律法规。p信息安全战略n全组织范围内应采用的风险评估战略和方法n对信息安全策略的需求 对系统安全操作程序的需求n全组织范围内的信息敏感性分类方案n与其他组织连接时需要满足的条件和检查方法n事件处理方案其中,对风险评估战略和方法的考虑是风险管理周期很重要的一个前提 ,只有事先确定了风险评估的途径,风险评估或风险分析活动才能有据而行。u风险管理的前期准备(二)2、建立信息安全策略n 信息安全策略(Information Security Policy )也称做信息安全
12、方针,它是在一个组织内指导如何对包括敏感信息在内 的资产进行管理、保护和分配的规则和指示。n 阐述的不同层次来看,信息安全策略可以分为三类:p 总体方针p 特定问题策略p 特定系统策略u风险评估(一)n 风险评估的概念p 风险评估是对信息资产面临的威胁、存在的弱点、造成的影响,以及 三者综合作用而带来风险的可能性的评估。p 风险评估的任务p 风险评估的过程p 每项资产可能面临多种威胁,威胁源(威胁代理)可能不止一个,每 种威胁可能利用一个或多个弱点。u风险评估(二)n风险评估的可行途径p基线评估p详细评估p组合评估n风险评估常用方法p基于知识的分析方法p基于模型的分析方法u风险评估(三)n风险
13、评估常用方法(续)p定性分析n首先,识别资产并为资产赋值;n通过威胁和弱点评估,评价特定威胁作用于特定资产所造成的影响,即EF(取 值在0100% 之间);n计算特定威胁发生的频率,即ARO;n计算资产的SLE:SLE = Asset Value EFn计算资产的ALE:ALE = SLE ARO p定性分析u风险评估(四)n 风险评估工具p 利用一些辅助性的工具和方法来采集数据调查问卷检查列表人员访谈漏洞扫描器渗透测试p 一些专用的自动化的风险评估工具 foundstoneCOBRACRAMMASSETu风险评估(五)n 风险评估的基本过程风险评估完整的过程模型 u风险评估(八)n风险消减p
14、确定风险消减策略p选择安全措施p制定安全计划p实施安全计划 p检查和测试u风险评估(九)n 风险控制p维护p监视p事件响应p安全意识、培训和教育p再评估与认证 n 风险管理的跟进活动p配置管理p变更管理p业务连续性计划和灾难性恢复计划 信息安全服务过程n信息安全服务概述 n信息安全服务模型-P-PADIS-T n信息安全服务分类 n信息安全服务过程详解p安全策略p准备阶段p评估阶段p设计阶段p实施阶段p支持阶段p安全培训 n信息安全服务的有效保障u信息安全服务概述n 对于信息安全建设,现在更为有效也更切合实际的,就是基 于服务的工程化方法。n 基于服务的信息安全建设方案,侧重点不再是技术产品,
15、而 是组织不断发展变化的安全需求,这种需求是建立在对组织 业务及信息系统充分了解的基础之上的。 n 帮助组织建立和巩固完善的信息安全体系的一系列活动都属 于安全服务的范畴。 u信息安全服务模型P-PADIS-T(一 )n P-PADIS-T 分别代表的是Policy(策略)、Preparation (准备)、 Assessment (评估)、Design (设计)、Implement (实施)、Support (支持)和Training (培训)的首字母缩写n 中心思想是:以安全策略为核心,以准备、评估、设计、实施和支持等环 节的阶段服务活动为途径,以培训为保障的完整的信息安全服务解决方 案。
16、n P-PADIS-T 信息安全服务体系模型u信息安全服务模型P-PADIS-T(二 )n P-P-T 模型中各个阶段是前后继承紧密结合的,前一阶段服务项目的输出是后 一阶段服务项目的输入。如图, PPT 模型中所包含的服务项目及其关系(输入输出)u信息安全服务分类n咨询服务n工程服务n支持服务n培训服务u信息安全服务详解(一)n 安全策略p策略评估服务p策略规划服务p策略实施服务p策略培训服务n 准备阶段p前期咨询服务n 评估阶段p安全服务扫描p渗透测试服务p体系评估服务p风险评估服务u信息安全服务详解(二)n 设计阶段p安全需求定义p安全体系设计n 实施阶段p系统加固服务p安全集成服务p产品方案实施p工程监理服务u信息安全服务详解(三)n 支持阶段p定期扫描评估p定期系统加固p安全审计服务p应急响应服务p攻击取证服务
