《信息安全管理与法律法规[精品ppt课件]》由会员分享,可在线阅读,更多相关《信息安全管理与法律法规[精品ppt课件](72页珍藏版)》请在金锄头文库上搜索。
1、管理制度篇,信息安全概念,安全 没有危险、不受威胁、不出事故。 安全理念 以风险大小来划分安全与否 没有绝对的安全和零风险 风险可接受即可视为安全 风险大小与安全投入的平衡 信息安全木桶原理 短板理论,系统的安全性取决于系统的最薄弱环节,加强其安全,才能提高整体安全性。,“信息安全”问题 “信息系统”安全问题 信息不安全引发的其他安全问题 信息系统安全的保护目标与所属组织的安全利益是完全一致的,具体体现为对信息的保护、对系统的保护和对信息使用的监管。,广义的信息安全,信息安全属性,信息安全属性 保密性Confidentiality 完整性Integrity 可用性Availability 不可
2、否认性(抗抵赖)Non-repudiation 真实性Authentication 可控性/可治理性Controllability/Governability 可靠性Reliability,信息安全风险评估,资产(保护对象) 软件、硬件、数据、人、业务、声誉(品牌) 脆弱性(隐患的关键因素) 软件、硬件、制度、人 威胁(威胁源与行为) 外部(如黑客攻击)、内部,有意、无意、自然、人为 可能性(动机和能力) 蓄谋、偶然,难度 后果 本身价值、直接和间接影响,信息安全的对策(管理部分),国家层面 法律法规、政策、国家标准 社会层面 道德 行业层面 行规、行业标准 组织层面 规章制度 个人 最脆弱的
3、环节 培训、意识、行为规范,信息安全技术与管理,技术必须与管理结合 技术有局限性,不是万能的,需要管理弥补 技术需要管理来实施和保障 很多(底层)技术不可控 技术的发展需要管理来调整以适应 技术可能被利用 内部原因的信息安全问题比重大,信息安全分类分级保护,对信息和信息系统进行分级保护是体现统筹规划、积极防范、突出重点的信息安全保护原则的重大措施。最有效和科学的方法是在维护安全、健康、有序的网络运行环境的同时,以分级分类的方式确保信息和信息系统安全既合符政策规范,又满足实际需求。实现安全成本与信息系统重要性的平衡。,等级保护内容,信息系统分等级保护 信息安全产品分等级管理 信息安全事件分等级响
4、应、处置,定级要素与安全保护等级的关系,等级保护的原则,自主定级、自主保护与国家监管相统一 谁主管谁负责,谁运营谁负责,信息安全管理体系标准,ISO/IEC 27000 概述和词汇 ISO/IEC 27001 信息安全管理体系 要求 ISO/IEC 27002 信息安全管理体系 实用规则 ISO/IEC 27003 信息安全管理体系 实施指南 ISO/IEC 27004 信息安全管理度量 ISO/IEC 27005 信息安全风险管理 ISO/IEC 27006 ISMS认证机构的认可要求 ISO/IEC 27007 信息安全管理体系审核指南,风险评估与处理,依据组织需求,识别、量化风险。其结果
5、用于指导并确定适当的管理措施及其优先级 风险评估应定期/不定期进行 风险处置 规避 降低 转嫁 接受,信息安全管理实用规则GB/T 22081-2008,11个方面,39个控制目标,133个控制措施 11个方面(控制目标数) 信息安全方针(1) 信息安全的各方(2) 资产管理(2) 人力资源安全(3) 物理和环境安全(2) 通信和操作管理(10) 访问控制(7) 信息系统获取、开发和维护(6) 信息安全事件管理(2)业务连续性管理(1) 符合性(3),人力资源安全,任用前 角色和职责(清晰定义并传达) 人员背景审查(身份、信用、专业水平) 任用条款和条件(合同明确安全职责),人力资源安全(2)
6、,任用中 管理者要求各方清楚并恪守职责 信息安全意识、教育和培训 纪律处理过程(证据与分级处理),人力资源安全(3),任用的终止或变更 终止职责(明确责任并传达) 资产的归还 撤销访问权,物理和环境安全,安全区域 物理安全周边(门、墙等) 物理入口控制(各处出入者标识、记录与限制) 办公室、房间和设施的安全保护(隐蔽性) 外部和环境威胁的安全防护(灾害预防) 在安全区工作(隐秘、受控、上锁、拒摄录) 公共访问、交接区安全(授权访问、进出的货物检查/登记/隔离),物理和环境安全(2),设备安全 设备和保护(设备防灾/盗保护、处理信息的保护) 支持性设施(电、水、温度、湿度等) 布缆安全(防窃听和
7、损坏) 设备维护(保证连续可用) 组织场所外的设备安全(看管、正确使用) 设备的安全处置或再利用(残余信息防重用) 资产的移动(有授权、人员、时间、记录、返回核查),通信和操作管理(5),备份 信息备份(规程、记录、比例/频率、异地、同保护等级存放环境、测试备份信息及恢复规程),通信和操作管理(7),介质处置 可移动介质的管理(规程、授权、记录、防重用、存储安全、介质老化、少用) 介质的处置(敏感信息及部件、大量介质信息综合可能变敏感) 信息处理规程(介质分级并标识、信息访问与接收限制并记录) 系统文件安全(存储与传输安全、授权访问),通信和操作管理(10),监视 审计记录(审计项) 监视系统
8、的使用(使用规程、评审监视结果) 日志信息的保护(完整性、访问控制) 管理员和操作员日志(记录、评审) 故障日志(记录、分析、评估纠正措施) 时钟同步(统一时间、时间漂移核查和校准),信息安全事件管理,报告信息安全事态和弱点 报告信息安全事态(上报规程、明确上报点、反馈、报告必要的事项、违规的纪律规定) 报告安全弱点(尽快报告事件、不宜证明可疑的脆弱点),信息安全事件管理(2),信息安全事件和改进的管理 职责和规程(建立处理各种安全事件的规程、应急计划、事件分析与处置、收集和保护证据、恢复措施应授权,记录,报告和确认其效果) 对信息安全事件的总结(建立事件类型、数量和损失的量化机制、监视、改进
9、措施和方针) 证据的收集(内部规程、法律效力、证据的质量和完备性、电子证据应是可信的副本、注意保存证据、跨域证据),业务连续性管理,业务连续性管理的信息安全方面 在业务连续性管理过程中包含信息安全 业务连续性和风险评估(信息安全事件发生的概率和后果,对业务连续性的影响) 制定和实施包含信息安全的连续性计划(在要求的时间和水平上恢复、计划更新) 业务连续性计划框架(计划项协调一致、计划项的优先级、各项的责任人、安全要求、启动条件、各种运行情况的规程及所需资源、培训) 测试、维护和再评估业务连续性计划(各环节测试和完整的演练),符合性,符合法律要求 可用法律的识别(明确并满足法规合同等的要求、形成
10、文件并及时更新) 知识产权(不侵犯版权、识别有知识产权要求的资产、维护产权证据、防止超限使用、核查) 保护组织的记录(按要求保存记录、分类、介质有效期、记录保存期可用) 数据保护和个人信息的隐私 防止滥用信息处理设施(告知将监视不当使用并处理、通告各方访问范围) 密码控制措施的规则(使用合法的密码、合理使用密码技术),符合性(2),符合安全策略和标准以及技术符合性 符合安全策略和标准(安全规程正确执行、定期评审、纠正措施也要评审) 技术符合性核查(专家通过人工或工具核查、渗透测试和脆弱性评估要谨慎),符合性(3),信息系统审计考虑 信息系统审计控制措施(最小化对系统的干扰、确定审计范围、审计对
11、软件和数据只读、提供审计资源、记录所有访问、时间戳、规程形成文件、审计独立) 信息系统审计工具的保护(审计工具和数据独立并加以保护,防止滥用和被破坏),个人计算机(信息)安全常见问题,一、随便安装外来/盗版程序,打开外来文件 二、误操作 三、上不明网站 四、口令过于简单 五、介质疏于管理 六、随便留个人信息 七、防盗防丢失措施不够 ,如何改进?,业务网络信息系统,网络类型的划分 涉密网络 如电子政务内网,是存储、处理和传输涉及国家秘密信息的计算机信息系统或网络。 非涉密网络,如电子政务外网 互联网,信息的存在形态和运行方式变化,1、存储介质的多样化、便携化 2、信息的存载与保护方式数据化、系统
12、化 3、信息泄漏渠道增多,形式隐蔽,隐患严重 涉密笔记本电脑泄密 移动存储介质交叉使用泄密 无线局域网泄密 手机泄密 数字复印机泄密,主要的违规现象,1、不该连的连,非法外联 2、不该存的存,连接互联网存储、处理 3、不该用的用,如涉密移动介质交叉使用 4、不该发的发,对发布的信息未严格审查,33,标准的分类/性质,执行强制性 中华人民共和国标准化法规定,保障人体健康、人身、财产安全的标准和法律、行政法规规定强制执行的标准是强制性标准,其它标准是推荐性标准。 强制性 GB 17859 1999 计算机信息系统安全保护等级划分准则 推荐性 指导性 对标准化工作的原则和一些具体做法的统一规定。例如
13、:产品型号编制规则、各类标准编制导则等,34,CC的组成,第1部分“简介和一般模型” 正文介绍了CC中的有关术语、基本概念和一般模型以及与评估有关的一些框架; 附录部分主要介绍PP和ST的基本内容; 第2部分“安全功能要求” 按“类子类组件”的方式提出安全功能要求,每一个类除正文以外,还有对应的提示性附录作进一步解释; 第3部分“安全保证要求” 定义了评估保证级,介绍了PP和ST的评估,并按“类子类组件”方式提出安全保证要求。,35,功能要求结构举例,以安全审计为例 审计事件响应(处理、记录、告警) 审计记录产生(审计事件、身份关联) 审计事件选择 审计记录查阅(权限、选择性查阅) 审计记录分
14、析(维护、攻击检测) 审计记录存储(可用性、完整性、防新记录丢失),36,保证要求结构举例,以脆弱性评定为例 隐蔽信道分析 开发者:分析和文档 评估者:测试 误用 开发者:文档说明了各种情况的处理 评估者:测试 TOE功能强度 开发者:分析强度 评估者:测试确认 脆弱性分析 开发者:脆弱性分析及处置 评估者:穿透性测试以确认脆弱性已正确处置,法律法规(1),概述 立法(人大/国务院:制定、修改、废止) 司法(依法审理和评判案件:检察院、法院) 执法(执行法律:法院、检察院、公安部、安全部、工商局、税务局等) 法律分类 适用性:民法、刑法和行政法民事责任、刑事责任和行政责任,法律法规(2),法律
15、法规的作用 指引作用(规范) 评判作用(判决) 预测作用(震慑、警示) 教育作用(引以为戒) 强制作用(惩戒),信息安全法律法规(2),信息安全法律法规概述 信息安全现状与立法的必要性 法人与公民的合法权益(法人与公民的财产权、知识产权、公民的人身权-肖像与隐私等) 信息安全的特殊性(数字出版限制、知识产权、国家信息主权控制、签名法律效力、电子取证等) 网民的权利和义务,信息安全法律法规(3),信息安全法律法规概述 信息安全法律的主要内容 信息系统的规划与建设 信息系统的管理与经营 信息系统的安全 知识产权保护/个人数据保护 传统犯罪在计算机上的延伸 电子商务/电子政务/电子化业务 计算机犯罪
16、/证据与诉讼,信息安全法律法规条款,普适性法律法规 宪法 刑法 国家安全法 保守国家秘密法 信息安全法律法规 计算机犯罪相关法律 电子商务(电子签名法) 计算机信息系统安全保护 国际互联网安全管理 国际互联网服务管理 ,刑 法,与计算机相关的条款 传统犯罪通过计算机实施 利用信息技术非法传播信息 利用信息技术传播非法信息 利用信息技术从事非法活动 针对计算机系统的犯罪 利用信息技术侵入或攻击计算机系统 利用信息技术获取或破坏计算机系统信息,刑法中惩治计算机犯罪条款,非法侵入计算机信息系统罪 中华人民共和国刑法第285条规定:“违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。” 犯罪手段? 其他计算机可以侵入? 本罪属行为犯,刑法中惩治计算机犯罪条款,破坏计算机信息系统功能罪 刑法第286条第1款规定:“违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。”
