《信息安全和风险管理CTEC 77讲座》由会员分享,可在线阅读,更多相关《信息安全和风险管理CTEC 77讲座(144页珍藏版)》请在金锄头文库上搜索。
1、信息安全和风险管理信息安全和风险管理 7799标准与实施标准与实施概述Part I 什么是信息安全?Part II 什么是风险和风险管理Part III 什么是7799?Part IV 如何获得7799认证?Part I什么是信息安全什么是信息安全1-1 看待信息安全的各种思路需求状态结果功能过程能力对信息安全的各种思路需求信息系统乃至信息化社会的需要状态对应于信息不安全。难于描述。结果对应于人们的努力。表面看只有两个结果:出事和不出事。对信息安全的各种思路功能应用和实现的各种安全功能(产品)。比如:访问控制(防火墙)、审计跟踪(IDS)等过程对应于人们努力的内容和时间。能力对应于努力的综合实
2、力信息安全的三个方面需求保密性信息的机密性完整性信息的完整性、一致性可用性行为完整性、服务连续性信息安全的经典定义需求角度安全需求的多样性6项安全要求CIARAA (ISO13335)保密性 Confidentiality完整性 Integrity可用性 Availability可靠性 Reliability认证性 Authenticity审计性 Accountability信息安全需求的演变?信息保密信息保密信息保密信息保密信息保密信息保密信息保密信息保密信息完整信息完整信息完整信息完整信息和系统可用信息和系统可用信息和系统可用信息和系统可用信息保密信息保密信息保密信息保密信息完整信息完整信
3、息完整信息完整信息和系统可用信息和系统可用信息和系统可用信息和系统可用信息和系统可控信息和系统可控信息和系统可控信息和系统可控信息行为不可否认信息行为不可否认信息行为不可否认信息行为不可否认80808080年代的认识年代的认识年代的认识年代的认识 90 90 90 90年代的认识年代的认识年代的认识年代的认识 90 90 90 90年代后期的认识年代后期的认识年代后期的认识年代后期的认识 最权威的传统评估标准美国国防部在1985年公布可信计算机安全评估准则Trusted Computer Security Evaluation Criteria (TCSEC)为安全产品的测评提供准则和方法指导
4、信息安全产品的制造和应用可信计算机系统安全等级传统评估标准的演变美国DoD85 TESECTCSEC网络解释(TNI 1987)TCSEC数据库管理系统解释(TDI 1991)欧洲 ITSEC美国、加拿大、欧洲等共同发起Common Criteria(CC)Reference MonitorReferenceMonitor主体客体控制规则主要传统安全技术操作系统访问控制网络访问控制(防火墙)加密(对称、非对称)身份认证(口令、强认证)VRMTCSEC认为,一个安全机制的三个基本要求:不可旁路不可篡改足够小,可以被证明RM传统安全理念和技术的局限适合于主机/终端环境,对网络环境难于适应系统和技术
5、的发展太快,安全技术跟进困难没有研究入侵者的特点和技术ReferenceMonitor主体主体客体客体控制规则控制规则UNIXFirewallE-Mail ServerWeb ServerRouterNTClients & WorkstationsNetworkUNIXNTUNIXimapimapimapCrackCrackNetBusNetBus典型的攻击过程1-3 P2DR安全模型动态安全模型可适应网络安全模型P2DR安全模型动态/可适应安全的典范什么是安全?新的定义安全及时的检测和处理时间PtDtRt什么是安全?Pt Dt Rt +P2DR安全模型动态模型基于时间的模型可以量化可以计算P
6、2DR的核心问题是检测检测是静态防护转化为动态的关键检测是动态响应的依据检测是落实、强制执行安全策略的有力工具最重要的检测技术漏洞扫描入侵检测IDSP2DR安全的核心安全安全安全安全策略策略策略策略防护防护防护防护 检检检检测测测测响响响响 应应应应PDR理念的不足缺少管理环节的描述和表达因此,才有Policy环节的引入实用的时间很难测量时间计算的算法非常复杂和不确定PDR的时间计算目标起点Pt(A)Pt(B)Pt(C)Pt(D)Pt(System)=Pt(A)+Pt(B)+Pt(C)+Pt(D)PDR的时间计算目标起点Pt(System)=Minimum(Pt(Ra),Pt(Rb),Pt(R
7、c),Pt(Rd),Pt(Re)RaRbRcRdRePDR的时间计算目标起点Pt(System)=?新的攻击手法新的攻击手法PDR的时间计算目标起点新的攻击手法新的攻击手法1-4 我们应当期待什么效果?我们应当期待什么效果?目前普遍应用的信息安全技术访问控制操作系统访问控制网络防火墙病毒防火墙审计跟踪IDS漏洞扫描日志分析加密存储和备份鉴别和认证PKI和CA双因子认证生物认证信息安全问题的难点超复杂性牵扯很多技术环节涉及大量的管理问题涉及人的因素最成熟的“工程”方法风险管理风险评估风险控制和监控信息安全管理系统ISMS管理驱动技术Part II 什么是风险和风险管理什么是风险?风险: 对目标有
8、所影响的某个事情发生的可能性。它根据后果和可能性来度量。Riskthe chance of something happening that will have an impact upon objectives. It is measured in terms of consequences and likelihood. -AS/NZS 4360:1999风险管理什么是风险风险:指定的威胁利用单一或一群资产的脆弱点造成资产的损失或损坏的潜在的可能性。Risk: the potential that a given threat will exploit vulnerabilities of
9、 an asset or group of assets to cause loss or damage to the assets. - ISO/IEC TR 13335-1:1996ISO15408安全模型ISO/IEC 15408-1 安全概念和关系模型所所 有有 者者威胁主体威胁主体 对对 策策 漏漏 洞洞 风风 险险 威威 胁胁 资资 产产模型的对抗特性所所 有有 者者攻攻 击击 者者 对对 策策 漏漏 洞洞 风风 险险 威威 胁胁 资资 产产模型的动态性和风险性所所 有有 者者攻攻 击击 者者 对对 策策 漏漏 洞洞 风风 险险 威威 胁胁 资资 产产模型的资产属性所所 有有 者者
10、攻攻 击击 者者 对对 策策 漏漏 洞洞 风风 险险 威威 胁胁 资资 产产风险避免 vs 风险管理风险避免构建一个一次性的防御体系。它必须足够强壮以抵挡各种威胁。它可能是没有弹性而且非常昂贵的。风险管理动态的,可以持续不断地适应威胁的变化。构建的防御体系仅仅采用适度的措施去保护有价值的资产,阻止进一步的损失,有效地给予恢复。只购买你需要的,而不是你可能需要的。但是特别需要有效的管理。风险管理的关系图ISO13335以风险为核心的安全模型风险风险防护措施防护措施信息资产信息资产威胁威胁漏洞漏洞防护需求防护需求降低增加增加利用暴露价值价值拥有抗击增加引出被满足7799对信息资产的看法对信息资产的
11、看法“Information is an asset which, like other important business assets, has value to an organisation and consequently needs to be suitably protected.”“信息是一种资产,象其他重要的商务资产一样,对组织信息是一种资产,象其他重要的商务资产一样,对组织具有价值,因此需要适当的保护。具有价值,因此需要适当的保护。风险管理的核心理念资产保护资产保护什么是风险管理?对潜在机会和不利影响进行有效管理的文化、程序和结构风险管理是由多个定义明确的步骤所组成的一个
12、反复过程,这些步骤以较深入的洞察风险及其影响为更好的决策提供支持风险管理的组成要素建立环境鉴别风险分析风险评价风险处理风险信息交流与咨询监控与审查AS/NZS 4360风险管理的组成要素1、建立环境建立在风险管理过程中将出现的策略、组织和风险管理的背景。应建立对风险进行评价的推测、并规定分析的结构。2、鉴别风险鉴别出会出现什么事,为什么会出现和如何出现,作为进一步分析的基础风险管理的组成要素3、分析风险确定现有的控制,并根据在这些控制的环境中的和可能性对风险进行分析。这种分析应考虑到潜在后果的范围和这些后果发生的可能性有多大。可将后果和可能性结合起来得到一个估计的风险程度。4、评价风险将估计的
13、风险程度与预先建立的水准进行比较。这样可将风险按等级排列,以便鉴别管理的有限顺序。如果建立的风险程度很低,此时的风险可以列入可接受的范畴,而不作处理。风险管理的组成要素5、处理风险接受并监控低优先级的风险。对于其他风险,则建立并实施一个特定管理计划,其中包括考虑到资金的提供。6、监控和审查对于风险管理系统的运作情形以及可能影响其运作的那些变化进行监控和审查7、信息交流和咨询在风险管理过程的每个阶段以及整个过程中,适时与内部和外部的风险承担者(stakeholder)进行信息交流和咨询。风险管理的主要部分风险评估Risk Assessment风险控制(处理)Risk Control风险评估风险评
14、估报告资产鉴别报告漏洞报告威胁报告风险报告Risk = f ( Asset, Vul, Threat )风险体安全要素关系图Part III 什么是7799信息安全管理标准BS7799/ISO17799信息安全管理纲要、指南信息安全管理纲要、指南Part I: Code of practice for information security management信息安全管理认证体系信息安全管理认证体系Part II: Specification for information security management信息安全管理标准信息安全管理标准BS7799/ISO17799BS7799/I
15、SO17799 英国标准BS7799是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成。 1993年,BS7799标准由英国贸易工业部立项 1995年,BS 7799-1:1995 信息安全管理实施细则 1998年,BS 7799-2:1998 信息安全管理体系规范 1999年,对BS 7799-1:1995 及BS 7799-2:1998 重新修订发布 2000年,以标准ISO/IEC 17799发布 BS7799和ISO17799的区别BS7799英国标准已被多个国家认同(如澳大利亚等)第二部分是可认证标准2002年新修订了第2部分。新版本风格接近ISO9000和ISO140
16、00。ISO177992000年采纳了BS7799的第一部分第二部分还在讨论中BS7799-2:2002BS7799 / ISO 17799安全策略安全组织资产分类及控制人员安全物理和环境安全通信和运作管理系统访问控制系统开发与维护业务连续性规划符合性信息安全管理纲要信息安全管理纲要Code of practice for information security management“Not all the controls described will be relevant to every situation, nor can they take account of local en
17、vironmental or technological constraints, or be present in a form that suits every potential user in an organisation.” “不是所有描述的控制措施与所有情况有关,这些控制措施也没不是所有描述的控制措施与所有情况有关,这些控制措施也没有考虑地方的环境和技术限制,或以适用于任何一个组织中的潜有考虑地方的环境和技术限制,或以适用于任何一个组织中的潜在的使用者的形式展现。在的使用者的形式展现。BS 7799-1:2000包含:包含: 36个控制目标和个控制目标和127个控制措施个控制措施
18、Control objectives and controls 控制目标和控制措施控制目标和控制措施Key controls关键控制措施关键控制措施BS 7799 identifies 8 controls as BS 7799 识别识别8个控制措施作为个控制措施作为-“guiding principles providing a good starting point for implementing information security.”“指导原则提供最佳的实施信息安全的起始点指导原则提供最佳的实施信息安全的起始点”“They are either based on essentia
19、l legislative requirements or considered to be common best practice for information security.”“他们或是建立在基本的法律要求或被认为是公认信息安全的最佳实践他们或是建立在基本的法律要求或被认为是公认信息安全的最佳实践”Intellectual property rights 知识产权保护知识产权保护Safeguarding of organisational records保护组织的记录保护组织的记录Data protection and privacy of personal information
20、数据保护和个人信息隐私数据保护和个人信息隐私 Controls with legislative implications与法律有关的控制措施与法律有关的控制措施Objective 目标目标To avoid breaches of copyright through prevention of copying without owners consent. 防止未经拥有者允许的复制,避免防止未经拥有者允许的复制,避免违反产权保护违反产权保护Restrictions on copying限制复制限制复制 Licence agreements许可协议许可协议 Policy compliance符合
21、方针符合方针 Contract requirements合同要求合同要求Intellectual property rights知识产权知识产权Objective 目标目标Prevention of loss, destruction and falsification of important records.防止丢失,破坏和篡改重要的记录防止丢失,破坏和篡改重要的记录 Retention保持保持 Storage储存储存 Disposal处置处置Safeguarding of organisational records保护组织记录Objective 目标目标Compliance with
22、any data or information protection legislation in those countries where applicable.如果适用,符合所在国家的任何信息保护法如果适用,符合所在国家的任何信息保护法律。律。Data protection and privacy of personal information数据保护和个人信数据保护和个人信息隐私息隐私Information security policy document信息安全方针文件信息安全方针文件Allocation of information security responsibilitie
23、s落实信息安全责任落实信息安全责任Information security education and training 信息安全教育与培训信息安全教育与培训Reporting security incidents安全事故汇报安全事故汇报Business continuity management业务连续性管理业务连续性管理Controls for common best practice与公认最好实践有关的控制措施与公认最好实践有关的控制措施Objective 目标目标To provide management direction and support for information se
24、curity.提供管理方向和支持信息安全。提供管理方向和支持信息安全。 Policy DocumentInformation security policy document信息安全方针文件信息安全方针文件Objective 目标目标To assign responsibilities for security so that security is effectively managed within the organisation.分配安全责任使安全在组织分配安全责任使安全在组织中得到有效管理。中得到有效管理。 Responsibilities 责任责任 Owners 拥有者拥有者 Ro
25、les 角色角色Allocation of information security responsibilities落实信息安全责任落实信息安全责任Objective 目标目标To ensure users are aware of information security threats and concerns and are equipped to support organisational security policy.保证使用者明白信息安全的威胁和应考虑保证使用者明白信息安全的威胁和应考虑的问题并准备支持组织的安全方针。的问题并准备支持组织的安全方针。 Training nee
26、ds and awareness 培训需要和基本知识培训需要和基本知识Information security education and training信息安全教育与培训信息安全教育与培训Objective-目标目标To minimize the damage from security incidents and malfunctions and to monitor and learn from such incidents.减少安全事故和故障的损失,减少安全事故和故障的损失,监控并从事故中学习。监控并从事故中学习。 Definition定义定义 Procedure 程序程序Repor
27、ting security incidents安全事故汇报安全事故汇报Objective 目标目标To counteract interruptions to business activities and to protect critical business processes from the effects of major failures or disasters。防止业务活动中断和保护关键业务过程不受防止业务活动中断和保护关键业务过程不受关键故障和灾害的影响。关键故障和灾害的影响。Key steps to business continuity业务连续性的关键步骤业务连续性的关
28、键步骤 Business continuity management业务连续性管理业务连续性管理Overview of controls from BS7799:1999BS7799:1999控制措施概述控制措施概述(Clause numbers refer to BS 7799-1:1999)(条款号对应于条款号对应于BS 7799-1:1999的条款号)的条款号)3. Security policy安全方针安全方针 3.1Information security policy 信息安全方针信息安全方针 3.1Information security policy信息安全方针信息安全方针 I
29、nformation security policy documentReview and evaluation信息安全方针文件评审与评估信息安全方针文件评审与评估PolicySdjndkjhkjhkjfdfSdfkjflkjflkjlfklkfEdkjfjf fkflkjflRgjlkmblktmglRgl,g;ggk,gl gglklkglFdglgrf rerfkjhnertm5pokFkkjj5tk55ok dfgngngggmgmgkmgkmgg4. Security organisation安全组织安全组织4.1Information security infrastructure
30、 信息安全基础设施信息安全基础设施4.2Security of third party access 第三方访问安全第三方访问安全4.3Outsourcing 外包外包4.1Information security infrastructure信息安全基础设施信息安全基础设施Management information security forum信息安全管理委员会信息安全管理委员会Information security co-ordination信息安全协作信息安全协作Allocation of information security responsibilities落实信息安全责任落实
31、信息安全责任Authorisation process for information processing facilities信息处理设施授权过程信息处理设施授权过程Specialist information security advice信息安全专家建议信息安全专家建议Co-operation between organisations组织间的合作组织间的合作Independent review of information security独立评审信息安全独立评审信息安全4.2Security of third party access第三方访问安全第三方访问安全Identifica
32、tion of risks from third party access识别第三方访问风险识别第三方访问风险Security requirements in third party contracts第三方合同的安全要求第三方合同的安全要求4.3Outsourcing外包外包Security requirements in outsourcing contracts外包合同中的安全要求外包合同中的安全要求Outsourcing Contract5. Asset classification and control资产分类和控制资产分类和控制5.1Accountability for asse
33、ts资产责任5.2Information classification信息分类5.1Accountability for assets资产责任资产责任Inventory of assets资产目录资产目录5.2Information classification信息分类信息分类Classification guidelines分类指南分类指南Information labelling and handling信息标签和处理信息标签和处理Top SecretSecretConfidentialRestrictedRestricted until1/1/2005“Protectively Mark
34、ed”6. Personnel security人员安全人员安全6.1 Security in job definition and resourcing 在工作描述和配备资源时考虑安全问题在工作描述和配备资源时考虑安全问题6.2 User training使用者培训使用者培训6.3 Responding to security incidents and malfunctions 响应安全事故和故障响应安全事故和故障 6.1Security in job definition and resourcing 在工作描述和配备资源时考虑安全问题在工作描述和配备资源时考虑安全问题Including
35、 security in job responsibilities在工作责任中包括安全问题在工作责任中包括安全问题Terms and conditions of employment聘用条件和合同聘用条件和合同Personnel screening and policy人事审查和方针人事审查和方针Confidentiality agreements保密协议保密协议6.2User training使用者培训使用者培训Information security education and training信息安全教育和培训信息安全教育和培训6.3Responding to security inci
36、dents and malfunctions响应信息安全事故和故障响应信息安全事故和故障Reporting security incidents安全事故报告安全事故报告Reporting security weaknesses安全弱点报告安全弱点报告Reporting software malfunctions软件故障报告软件故障报告Learning from incidents从事故中学习从事故中学习Disciplinary process惩罚过程惩罚过程7. Physical and environmental security物理和环境安全物理和环境安全7.1Secure areas安全
37、区域7.2Equipment security设备安全7.3General controls一般控制措施7.1Secure areas 安全区域安全区域Physical security perimeter物理安全边界物理安全边界Physical entry controls物理入口控制物理入口控制Securing offices, rooms and facilities办公室,房间和设施保安办公室,房间和设施保安Working in secure areas在安全区域工作在安全区域工作Isolated delivery and loading areas运送和装卸区域隔离运送和装卸区域隔离
38、I.D.7.2Equipment security设备安全设备安全Equipment siting and protection设备安装与保护设备安装与保护Power supplies电力供应电力供应Cabling security电缆安全电缆安全Equipment maintenance设备维护设备维护Security of equipment off-premises不在办公场所的设备不在办公场所的设备Secure disposal or re-use of equipment处置和重新使用设备的安全处置和重新使用设备的安全7.3General controls 一般控制一般控制Clear
39、 desk and clear screen policy桌面和屏幕清理政策桌面和屏幕清理政策Removal of property 财产移动财产移动8. Communications and operations management通信和运营管理通信和运营管理8.1 Operational procedures and responsibilities操作程序和责任操作程序和责任8.2 System planning and acceptance系统计划和接收系统计划和接收8.3 Protection against malicious software恶意软件防护恶意软件防护8.4 Ho
40、usekeeping内务管理内务管理8.5 Network management网络管理网络管理8.6 Media handling and security媒体处理与安全媒体处理与安全8.7 Exchanges of information and software信息交换和软件信息交换和软件8.1Operational procedures and responsibilities操作程序和责任操作程序和责任Documented operating procedures文件化操作程序文件化操作程序Operational change control运营变化控制运营变化控制Incident
41、management procedure事故管理程序事故管理程序Segregation of duties责任分离责任分离Separation of development and operational facilities开发与运营设备分离开发与运营设备分离External facilities management外部设备管理外部设备管理8.2System planning and acceptance系统计划和接收系统计划和接收Capacity planning容量计划容量计划System acceptance系统接受系统接受 201020018.3Protection against
42、 malicious software恶意软件防护恶意软件防护Controls against malicious software对恶意软件的控制对恶意软件的控制8.4Housekeeping 内务管理内务管理Information back-up信息备份信息备份Operator logs操作日志操作日志Fault logging错误日志错误日志8.5Network management网络管理网络管理Network controls 网络控制网络控制8.6Media handling and security媒体处理和安全媒体处理和安全Management of removable com
43、puter media可移动计算机媒体(介质)的管理可移动计算机媒体(介质)的管理Disposal of media媒体(介质)处置媒体(介质)处置Information handling procedures信息处理程序信息处理程序Security of system documentation系统文件安全系统文件安全8.7Exchanges of information and software软件和信息交换软件和信息交换Information and software exchange信息和软件交换信息和软件交换Security of media in transit媒体转换的安全媒体转
44、换的安全Electronic commerce security电子商务安全电子商务安全Security of electronic mail电子邮件的安全电子邮件的安全Security of electronic office systems电子办公系统的安全电子办公系统的安全Publicly available systems公用系统公用系统Other forms of information exchange其他形式的信息交换其他形式的信息交换9. Access control 访问控制访问控制9.1Business requirements for access control访问控制
45、的业访问控制的业务要求务要求9.2User access management使用者访问管理使用者访问管理9.3User responsibilities使用者责任使用者责任9.4Network access control网络访问控制网络访问控制9.5Operating system access control操作系统访问控制操作系统访问控制9.6Application access control应用访问控制应用访问控制9.7Monitoring system access and use监控系统访问和使用监控系统访问和使用9.8Mobile computing and telework
46、ing可移动计算设备和网可移动计算设备和网络络9.1Business requirements for access control控制访问的业务要求控制访问的业务要求Access control policy访问控制策略访问控制策略You are notauthorised to access thissystem9.2User access management使用者访问管理使用者访问管理User registration 使用者注册使用者注册Privilege management 特权管理特权管理User password management使用者口令管理使用者口令管理Review
47、of user access rights评审使用者访问权评审使用者访问权System AdministratorMenu9.3User responsibilities使用者责任使用者责任Password use 口令使用口令使用Unattended user equipment无人照管的设备无人照管的设备9.4Network access control 网络访问控制网络访问控制Policy on use of network services 使用网络服务的策略使用网络服务的策略Enforced path 强制路径强制路径User authentication for external
48、connections 外部连接者身份认证外部连接者身份认证Node authentication 结点认证结点认证Remote diagnostic port protection 远程诊断端口的防护远程诊断端口的防护Segregation in networks 网络分离网络分离Network connection control 网络连接控制网络连接控制 Network routing control 网络路由控制网络路由控制Security of network services 网络服务的安全网络服务的安全9.5Operating system access control操作系统访
49、问控制操作系统访问控制Automatic terminal identification自动终端识别自动终端识别Terminal log-in procedures终端连网程序终端连网程序User identification and authentication使用者识别和认证使用者识别和认证Password management system口令管理系统口令管理系统Use of system facilities系统设施的使用系统设施的使用Duress alarm to safeguard users安全装置使用者强制警报安全装置使用者强制警报Terminal time-out终端暂停终端
50、暂停Limitation of connection time连接时间限制连接时间限制9.6Application access control应用访问控制应用访问控制Information access restriction信息访问限制信息访问限制Sensitive system isolation敏感系统隔离敏感系统隔离9.7Monitoring system access and use监控系统访问和使用监控系统访问和使用Event logging事件日志事件日志Monitoring system use 监控系统使用监控系统使用Clock synchronisation 时钟同步时钟
51、同步14:279.8Mobile computing and teleworking可移动计算设备和网络通信可移动计算设备和网络通信Mobile computing 移动计算设备移动计算设备Teleworking 网络通信网络通信10. Systems development and maintenance系统开发和维护系统开发和维护10.1Security requirements of systems系统的安全要求系统的安全要求10.2Security in application systems应用系统安全应用系统安全10.3Cryptographic controls密码控制密码控制1
52、0.4Security of system files系统文件的安全系统文件的安全10.5Security in development and support processes开发和支持过程的安全开发和支持过程的安全10.1 Security requirements of systems系统的安全要求系统的安全要求Security requirements analysis and specification安全要求分析和说明安全要求分析和说明Specification;oiu;u;ppjoiu;oiuiu;iou;oiu;oiuoipoipo#po#po#po#popo#popophn
53、 jiHhhuhiu hiuyhuy8 J ooiiuyfuytdyiuy;9uyouo;iui j;oij;Ijijweifjerhf uuhiuyrhqewu24i5yiufu24O#popopoppopo#o#o#o#o#o#o#hilugiuiugiOpopopopo;oiu;u;ppjoiu;oiuiu;iou;oiu;oiuoipoipo#po#po#po#popo#popophn jiHhhuhiu hiuyhuy8 iouo;iu;oiruoiJ ooiiuyfuytdyiuy;9uyouo;iui j;oij;Ijijweifjerhf ;ij;oirj;qiruqoriqu
54、r; uuhiuyrhqeii; io;iu wu24i5yiufu24O#popopoppopo#o#o#o#o#o#o#hilugiuiugi uoiuoi iouoiu;oiu;o9iuOpopopopou;oiBusiness Case;oiu;u;ppjoiu;oiuiu;iou;oiu;oiuoipoipo#po#po#po#popo#popophn jiHhhuhiu hiuyhuy8 iouo;iu;oiruoiJ ooiiuyfuytdyiuy;9uyouo;iui j;oij;Ijijweifjerhf ;ij;oirj;qiruqoriqur; uuhiuyrhqeii;
55、 io;iu wu24i5yiufu24O#popopoppopo#o#o#o#o#o#o#hilugiuiugi uoiuoi iouoiu;oiu;o9iuOpopopopou;oiSecurity Requirements10.2 Security in application systems应用系统安全应用系统安全Input data validation输入数据验证输入数据验证Control of internal processing内部处理控制内部处理控制Message authentication消息认证消息认证Output data validation输出数据验证输出数据验
56、证10.3 Cryptographic controls密码控制密码控制Policy on use of cryptographic controls 使用密码控制策略使用密码控制策略Encryption加密加密Digital signatures 数字签名数字签名Non-repudiation services 不可否认服务不可否认服务Key management密钥管理密钥管理.”7ngtsua64dgsConfidential10.4 Security of system files系统文件安全系统文件安全Control of operational software操作系统软件的控制操
57、作系统软件的控制Protection of system test data保护系统测试数据保护系统测试数据Access control to program source library程序资源库的访问控制程序资源库的访问控制 10.5Security in development and support processes开发和支持过程的安全开发和支持过程的安全Change control procedures变化控制程序变化控制程序Technical review of operating system changes操作系统变化的技术评审操作系统变化的技术评审Restrictions
58、on changes to software packages软件包变化的限制软件包变化的限制Covert channels and Trojan code隐蔽通道和特洛伊代码隐蔽通道和特洛伊代码Outsourced software development外包的软件开发外包的软件开发11. Business continuity management业务连续性管理业务连续性管理11.1Aspects of business continuity management业务连续性管理的各方面业务连续性管理的各方面11.1 Aspects of business continuity manage
59、ment业务连续性管理的各方面业务连续性管理的各方面Business continuity management process业务连续性管理过程业务连续性管理过程Business continuity and impact analysis业务连续性和影响分析业务连续性和影响分析Writing and implementing continuity plans书写和实施连续性计划书写和实施连续性计划Business continuity planning framework业务连续性框架业务连续性框架Testing, maintaining and re-assessing business
60、 continuity plans测试,维护和重新评审业务连续性计划测试,维护和重新评审业务连续性计划12. Compliance符合符合12.1Compliance with legal requirements符合法律要求符合法律要求12.2Reviews of security policy and technical compliance评审安全方针和技术符合评审安全方针和技术符合12.3System audit considerations系统审核考虑系统审核考虑12.1 Compliance with legal requirements符合法律要求符合法律要求Identifica
61、tion of applicable legislation识别适应的法律识别适应的法律Intellectual property rights (IPR)知识产权知识产权Safeguarding of organisational records保护组织记录保护组织记录Data protection and privacy of personal information数据保护和个人信息隐私数据保护和个人信息隐私Prevention of misuse of information processing facilities错误使用信息的防护错误使用信息的防护Regulation of cr
62、yptographic controls密码控制的法规密码控制的法规Collection of evidence收集证据收集证据12.2 Reviews of security policy and technical compliance评审安全方针和技术符合评审安全方针和技术符合Compliance with security policy符合安全方针符合安全方针Technical compliance checking技术符合检查技术符合检查12.3 System audit considerations系统审核考虑系统审核考虑System audit controls系统审核控制系统审
63、核控制Protection of system audit tools系统审核工具的防护系统审核工具的防护Part IV 如何获得如何获得7799认证认证?BS7799-2: 2002为什么要寻求7799认证贯穿完整供应链的安全信息机制增强企业竞争力降低面临诉讼的风险拓广商机触角加强运营有效性事件与资源的更有效运用提升客户满意度减少企业危机增加员工参与感增加营业利润降低成本7799注册过程 询问申请预评估文档审核初始评估认证持续评估三年后重审7799认证的对象ISMSInformation Security Management System信息安全管理系统用PDCA模型实现ISMSISMS的
64、要求建立和管理 ISMS建立 ISMS实现和运作 ISMS监控和审核 ISMS维护和改进 ISMS文档要求通用文档的控制文档的记录建立 ISMS定义 ISMS的范围定义 ISMS的策略确定一个系统化的风险评估方法鉴别风险评估风险鉴别和评价处理风险的各种选择选择应对风险的控制目标和控制(对应7799中的内容)准备一个SOA(statement of Applicability)适应性声明获得管理层的批准(对残余风险的认可和ISMS运行的许可)如何评估通用评估方法内部审计和相关工具漏洞扫描工具体系架构方面的分析业务流程分析网络架构缝隙信息系统层次结构缝隙安全需求分析树分析事件树分析故障树分析:实效
65、模式和后果分析 (FMEA)渗透测试安氏安全风险评估流程信息资产列表信息资产列表安全弱点的评估安全弱点的评估安全威胁的评估安全威胁的评估现有安全措施列表现有安全措施列表风险量化和评级风险量化和评级风险的处置和接受风险的处置和接受设计安全措施设计安全措施信息资产分类信息资产赋值 机密性、完整性和可用性的价值分别赋值机密性、完整性和可用性的价值分别赋值机密性、完整性和可用性的价值分别赋值机密性、完整性和可用性的价值分别赋值安全弱点的评估安全弱点的评估 弱点和资产紧密相连,它可能被威胁利用、引起资产弱点和资产紧密相连,它可能被威胁利用、引起资产弱点和资产紧密相连,它可能被威胁利用、引起资产弱点和资产
66、紧密相连,它可能被威胁利用、引起资产损失或破坏。损失或破坏。损失或破坏。损失或破坏。 安全弱点获取的手段安全弱点获取的手段安全策略文档分析安全策略文档分析安全审计安全审计工具扫描工具扫描( (网络、系统、数据库网络、系统、数据库) )白客渗透测试白客渗透测试顾问访谈顾问访谈人工分析人工分析威胁来源分类:威胁来源分类:非授权故意行为非授权故意行为人为错误人为错误软件、设备、线路故障软件、设备、线路故障不可抗力不可抗力安全威胁是一种对系统、组织及其资产构成安全威胁是一种对系统、组织及其资产构成安全威胁是一种对系统、组织及其资产构成安全威胁是一种对系统、组织及其资产构成潜在破坏能力的可能性因素或者事
67、件潜在破坏能力的可能性因素或者事件潜在破坏能力的可能性因素或者事件潜在破坏能力的可能性因素或者事件 安全威胁的评估安全威胁的评估威胁的属性威胁的属性-可能性可能性 LikelihoodLikelihood威胁的属性威胁的属性严严重性重性 ImpactImpactIDSIDS取样取样白客渗透测试白客渗透测试顾问访谈顾问访谈人工分析人工分析安全策略文档分析安全策略文档分析安全审计安全审计安全威胁获取的手段安全威胁获取的手段现有安全措施界现有安全措施界定定在弱点和威胁评估时充分考虑现有安在弱点和威胁评估时充分考虑现有安在弱点和威胁评估时充分考虑现有安在弱点和威胁评估时充分考虑现有安全措施及强弱程度对
68、其影响。全措施及强弱程度对其影响。全措施及强弱程度对其影响。全措施及强弱程度对其影响。安全技术措施安全技术措施安全技术措施安全技术措施安全控制手段安全控制手段安全控制手段安全控制手段有效的安全服务有效的安全服务有效的安全服务有效的安全服务安全策略安全策略安全策略安全策略风险的计算风险的计算风险值风险值= =资产价值资产价值 X X 威胁值威胁值 X X 弱点值弱点值 (此处弱点和威胁值已经考虑现有安全措(此处弱点和威胁值已经考虑现有安全措(此处弱点和威胁值已经考虑现有安全措(此处弱点和威胁值已经考虑现有安全措施对其影响)施对其影响)施对其影响)施对其影响)风险控制措施风险控制措施选择控制按照可
69、能功能分类防止Prevent保护Protect检测Detect响应和纠正Response and amendment恢复Restore and recover监控和审计Monitor and audit选择控制选择控制按照可能的策略分类按照可能的策略分类按照可能的策略分类按照可能的策略分类避免避免完全消除风险完全消除风险降低降低减小可能性,降低影响减小可能性,降低影响接受接受承担一些风险承担一些风险转嫁转嫁责任外包,保险责任外包,保险回避回避消极地退却(有时可行)消极地退却(有时可行)威慑威慑通过报复或者追究责任的方式通过报复或者追究责任的方式适应性声明SOASOA描述机构要实现的控制目标和控制。对应不选的控制要给予说明。SOA是一个文档,描述机构是如何控制风险的。因此,SOA不能过于详细以免给机构的安全造成损害。 SOA是证书的附件。也可以作为单独的文档提供给需要的外部机构和伙伴。总结Part I 什么是信息安全?Part II 什么是风险和风险管理Part III 什么是7799?Part IV 如何获得7799认证?
