信息安全体系概述-27001

广东计安信息网络培训中心 信息安全体系概述 目 录 信息系统固有的脆弱性 信息本身易传播、易毁损、易伪造 信息技术平台（如硬件、网络、系统）的复杂性与脆弱性 行动的远程化使安全管理面临挑战 信息具有的重要价值 信息社会对信息高度依赖，信息的风险加大 信息的高附加值会引发盗窃、滥用等威胁 信息安全面临的风险 企业对信息的依赖程度： 美国明尼苏达大学 Bush-Kugel的研究报告指出 ，企业在没有信息资料可用的情况下，金融业至 多只能运行 2天，商业则为 3.3天，工业则为 5天 ，保险业为 5.6天。而以经济情况来看，有 25% 的企业，因为的毁损可能立即破产， 40%会在 两年内宣布破产，只有 7%不到的企业在 5年后 能够继续存活。 硬件架构： 系统与设备数量越来越多 系统互连关系越来越繁杂 软件架构： 统架构越来越复杂 网络连接与划分混乱 互联网接口抗攻击性较弱 工程管理： 规划期缺乏安全评审 建设与工程割接缺乏安全管理 遗留策略与帐号形成安全漏洞 程序开发： 开发阶段缺乏安全监管 源代码缺乏安全检查，可能留下后门 1.系统数量众多，硬件架构多样，系统间交互与接口繁多，相互关系复杂； 2.系统软件架构复杂，网络连接与划分较混乱，互联网接口抗攻击性较弱； 3.系统规划期缺乏安全评审，工程割接缺少安全管理，工程遗留策略与帐号易形成安全漏洞； 4.程序开发阶段缺乏监管，程序源代码缺乏安全检查，可能留下后门或被攻击。 常见的信息安全问题 常见的信息安全问题 信息安全损失的 “冰山 ”理论 信息安全直接损失只是冰由之一角， 间接损失是直接损失是 6 53倍 间接损失包括： 时间被延误 修复的成本 可能造成的法律诉讼的成本 组织声誉受到的影响 商业机会的损失 对生产率的破坏 $10,000 $60,000 $530,000 保障信息安全的途径？ IT治理治理 安全风险测评安全风险测评 信息安全管理体系信息安全管理体系 强化安全技术强化安全技术 信息系统安全等级保护信息系统安全等级保护 亡羊补牢 ? 还是打打补丁 ? 系统地全面整改 ? 8 我国当前信息安全普遍存在的问题 忽略了信息化的治理机制与控制体系的建立，和信 息化 “游戏规则 ”的建立； 厂商主导的技术型解决方案为主，用户跟着厂商的 步子走； 安全只重视边界安全，没有在应用层面和内容层面 考虑业务安全问题； 重视安全技术，轻视安全管理，信息安全可靠性没 有保证； 信息安全建设缺乏绩效评估机制，信息安全成了 “投 资黑洞 ”； 信息安全人员变成 “救火队员 ” 如何实现信息安全？ 信息安全反病毒软件防火墙入侵检测系统？ 管理制度？人的因素？环境因素？ Ernst & Young及国内安全机构的分析： 国家政府和军队信息受到的攻击 70%来自外部，银行和企 业信息受到的攻击 70%来自于内部。 75%的被调查者认为员工对信息安全策略和程序的不够了 解是实现信息安全的障碍之一 ,只有 35%的组织有持续的 安全意识教育与培训计划 66%的组织认为信息系统没有遵守必要的信息安全规则 56%的组织认为在信息安全的投入上不足， 60%从不计算信 息安全的 ROI， 83%的组织认为在技术安全产品与技术上投 入最多 。 在整个系统安全工作中 ,管理 (包括管理和法律法规方面 )所占比 重应该达到 70%,而技术 (包括技术和实体 )应占 30%。 保护信息安全的方法 建立完善的信息安全体系 对信息安全建立系统工程的观念 用管理、技术、人员、流程来保证组织的信息安全 信息安全遵循木桶原理 对信息系统的各个环节进行统一的综合考虑、规划和构架 并要时时兼顾组织内不断发生的变化，任何环节上的安全缺 陷都会对系统构成威胁。 需要对信息安全进行有效管理 建立统一安全规划体系 改变以往零敲碎打、因人而起、因事而起的安全管理，形成统一的安全体系，指导安全管 理和建设工作。 转变 门户网站防火墙升级 信息防泄露 DLP 维护区域扩容项目 RSA令牌扩容项目 应用漏洞扫描工具项目 系统漏洞扫描工具 网站页面防篡改项目 。 零敲碎打 引人而起 因事而起 总体思路：以防为主，防治结合 防治结合：自下而上的风险反馈 以防为主：自上而下的策略管理 n坚持 “以防为主，防治结合 ”的安全工作措施，形成成熟的、立体的信息安全运行管 控体系。以防为主，即以完善的安全策略为指导，使安全策略能自上而下得到落实 ；防治结合，即以风险管理为核心，使风险能自下而上得到反馈和整治。 安全管理的几个阶段 当前 目标 信息安全体系的内容 业务与策略 根据业务需要在组织中建立信息安全策略，以指导对信息资产进行 管理、保护和分配。确定并实施信息安全策略是组织的一项重要使 命，也是组织进行有效安全管理的基础和依据。 “保护业务，为业务创造价值 ”应当是一切安全工作的出发点与归宿 ，最有效的方式不是从现有的工作方式开始应用信息安全技术，而 是在针对工作任务与工作流程重新设计信息系统时，发挥信息安全 技术手段支持新的工作方式的能力。 人员与管理 人是信息安全最活跃的因素，人的行为是信息安全保障最主要的方 面。 从国家的角度考虑有法律、法规、政策问题；从组织角度考虑有安 全方针政策程序、安全管理、安全教育与培训、组织文化、应急计 划和业务持续性管理等问题；从个人角度来看有职业要求、个人隐 私、行为学、心理学等问题。 信息安全体系的关注点 技术与产品 可以综合采用商用密码、防火墙、防病毒、身 份识别、网络隔离、可信服务、安全服务、备 份恢复、 PKI服务、取证、网络入侵陷阱、主 动反击等多种技术与产品来保护信息系统安全 考虑安全的成本与效益，采用 “适度防范 ”(Rightsizing)的原则 流程与体系 建立良好的 IT治理机制是实施信息安全的基础 与重要保证。 在风险分析的基本上引入恰当控制，建立 PDCA的安全管理体系，从而保证组织赖以生 存的信息资产的安全性、完整性和可用性 安全体系统还应当随着组织环境的变化、业务 发展和信息技术提高而不断改进，不能一劳永 逸，一成不变，需要建立完整的控制体系来保 证安全的持续完善。 信息安全体系的建立流程 审视业务，确定 IT原则和信息安全方针 在进行信息安全规划与实施安全控制措施前，首先要充分了解组织的业 务目标和 IT目标，建立 IT原则，这是实施建立有效的信息安全保障体系的 前提。 组织的业务目标和 IT原则将直接影响到安全需求，只有从业务发展的需要 出发，确定适宜的 IT原则，才能指导信息安全方针的制定。 信息安全方针就是组织的信息安全委员会或管理当局制定的一个高层文 件，用于指导组织如何对资产，包括敏感性信息进行管理、保护和分配 的规则和指示 。 在安全方针的指导下，通过了解组织业务所处的环境，对 IT基础设施及应 用系统可能存在的薄弱点进行风险评估，制定出适宜的安全控制措施、 安全策略程序及安全投资计划。 确定 IT原则与安全方针 进行风险评估 风险评估的常用方法 目前国内 ISMS风险评估的方法主 要参照 ISO13335的有关定义及国 信办 9号文件 信息安全风险评估 指南 ，这些标准把重点放在信 息资产上 。 缺点：风险评估人员一般最容易 找到的资产无非就是硬件类、软 件类的资产，而对安全来说至关 重要的 IT治理、组织政策、人员 管理、职责分配、业务流程、教 育培训等问题，由于不能方便地 定义为信息资产，而往往被视而 不见。 因此，风险评估经常出现 “捡了芝 麻、丢了西瓜 ”， “只见树木，不见 森林 ”的情况。 完备的风险评估方法 信息安全涉及的内容决不仅仅是信息安全、技术安全的问题，它还会涉及到治理机制、业务流程、人员管理、企业文化等内容。 通过 “现状调查 ”获得对组织信息安全现状和控制措施的基本了解；通过 “基线风险评估 ”了解组织与具体的信息安全标准的差距，得到粗粒度的安 全评价。通过 “资产风险评估 ”和 “流程风险评估 ”进行详细风险评估，根据三方面的评估得到最终的风险评估报告。 现状调查的主要内容 文档收集与分析 组织的基本信息、组织结构图 组织人员名单、机构设置、岗位职责说明书 业务特征或服务介绍 与信息安全管理相关的政策、制度和规范 现场访谈 安排与相关人员的面谈 对员工工作现场的观察 加强项目组对企业文化的感知 技术评估 工具扫描 、 渗透测试 1 2 3 人工分析 系统安全配置完全检测、网络服务安全配置完全检测 包括用户安全、操作系统安全、 网络服务安全、系统程序安全 n 问卷调研 n 安全日常运维现状调研问卷：针对组织中实际 的应用、系统、网络状况，从日常的管理、维 护、系统审计、权限管理等方面全面了解组织 在信息系统安全管理和维护上的现实状况。 n 从安全日常运维角度出发，更贴近实际运维环 境 。 基线风险评估 所谓基线风险评估，就是确定一个信息安全的基本底线，信息安全不仅仅是资产的安全，应当从组织、人员、物理、逻辑、开发、业务持续等 各个方面来确定一个基本的要求，在此基础之上，再选择信息资产进行详细风险分析，这样才能在兼顾信息安全风险的方方面面的同时，对重 点信息安全风险进行管理与控制。 ISO27001确立了组织机构内启动、实施、维护和改进信息安全管理的指导方针和通用原则，以规范组织机构信息安全管理建设的内容，因此， 风险评估时，可以把 ISO27001作为安全基线，与组织当前的信息安全现状进行比对，发现组织存在的差距，这样一方面操作较方便，更重要的 是不会有遗漏 n 信息资产风险评估 n 针对重要的信息资产进行安全影响、威胁、漏洞及可能性分析，从 而估计对业务产生的影响，最终可以选择适当的方法对风险进行有 效管理。 资产定义及估值 确定现有控制 威胁评估 确定风险水平 风险评估过程 脆弱性评估 安全控制措施的识别与选择 降低风险 风险管理过程 接受风险 IT流程风险评估 信息安全不仅仅要看 IT资产本身是否安全可靠，而且还应当在 其所运行的环境和经历的流程中保证安全。 没有可靠的 IT流程的保证，静态的安全是不可靠的，而且 IT的 风险也不仅仅是信息安全的问题， IT的效率与效果也同样是需 要考虑的问题，因此评估 IT流程的绩效特性并加以完善是风险 控制中必不可少的内容。 确定风险控制策略 信息安全控制规划 选择安全控制措施 防止商 业 活 动 中断和灾 难 事故的影响。业务 持 续 性管理 信息安全事件管理 保 证 系 统 开 发 与 维护 的安全系 统 开 发 与 维护 控制 对业务 信息的 访问 。访问 控制 保 证 通 讯 和操作 设备 的正确和安全 维护 。通信与运 营 管理 防止 对 关于 IT服 务 的未 经许 可的介入， 损伤 和干 扰 服 务 。物理与 环 境安全 减少人 为 造成的 风险 。人 员 安全 维护组织资产 的适当保 护 系 统 。资产 管理 建立 组织 内的管理体系以便安全管理。安全 组织 为 信息安全提供管理方向和支持。安全方 针 目的ISO27001十一个域 避免任何 违 反法令、法 规 、合同 约 定及其他安全要求的 行 为 。符合性 确保与信息系统有关的安全事件和弱点的沟通能够及 时采取纠正措施 进行安全控制规划 安全规划针对组织面临的主要 安全风险，在安全管理控制框 架和安全技术控制框架方面进 行较为详尽的规划。 安全规划对组织未来几年的网 络架构、威胁防护、策略、组 织、运行等方面的安全，进行 设计、改进和加强，是进行安 全建设的总体指导。 序 号 项 目内容 紧 迫 性 可 实 施性 难 易 程度 效果 分析 综 合 分析 1 安全体系建 设 2 安全策略管理 3 安全 组织 管理 4 安全运行管理 5 物理安全管理 6 网 络访问 控制 7 认证 与授 权 8 监 控与 审计 9 系 统 管理 10 响 应 和恢复 11 信息安全 12 系 统 开 发 管理 13 物理安全 14 n 安全规划方法 n 安全预算计划 n 所以安全预算计划是一项具有挑战性的工作，要采用 “适度防范 ”的原则 ，把有限的资金用在刀刃上。 n 一般来说，没有特别的需要，为信息安全的投入不应超过信息化建设 总投资额的 20%，过高的安全成本将使安全失去意义。 n 投资回报计划 n 信息安全投资回报计划就是要研究信息安全的成本效益，其成本效益 组成如下： n 从系统生命周期看信息安全的成本：获取成本和运行成本 n 从安全防护手段看信息安全的成本：技术成本和管理成本 n 信息安全的价值效益：减少信息安全事故的经济损失 n 信息安全的非价值效益：增加声誉、提升品牌价值 目 录 建立信息安全组织，明确角色与 责任 安全 角色与责任的不明确是实施信息安全过程中的最大障碍，建立安全 组织与落实责任是实施信息安全管理的第一步。 信息 安全领导小组 信息安全主管为核心的、专业的信息安全管理的队伍 把相应的安全责任落实到每一个员工 身上 建立跨部门的信息安全委员会 良好的治理结构要求主体单位的 IT 决策必须由最了解组织整体目标 与价值的权威部门来决定。 得到组织最高管理层的支持 得到高层管理人员的认同和承诺有两个作用一是相应的安全方针政策、控制 措施可以在组织的上上下下得到有效的贯彻； 二是可以得到有效的资源保证，比如实施有效安全过程的必要的资金与人力 资源的支持，及跨部门之间的协调问题都必须由高层管理人员来推动。 安全 组织架构 决策层为业务安全的决策机构 ，为业务安全工作保驾护航； 管理层工作小组为业务安全工 作的协调管理机构，为业务安 全工作提供支持监督； 管理层监督审计工作组，定期 监督审核工作小组和执行小组 对信息安全政策的执行情况， 并且向领导小组进行汇报； 执行层面业务安全保障工作组 是业务安全政策的执行落地和 相关安全流程手册文档的参与 制定和维护，并且接受工作小 组的管理指导和安全审计机构 的监督审核； 信息安全体系的内容 组织体系：整个公司层面的 安全管理组织，要从上到下贯 穿到底 体现三权分立的原则 制定信息系统安全政策 信息系统安全政策就是为防止信息资产意外损失 及被有意滥用而制订的规则，这些政策是应该涵 盖组织中生成、加工、使用、储存信息的各个方 面，并符合对信息系统安全的要求。 信息安全政策要符合组织的业务目标及特定的环 境要求，并使之被每个员工所理解和执行，这是 实施信息安全的重要环节。 人力资源政策 因此除了技术的控制手段外，要制定合适的人力 资源政策，加强对 “人 ”的管理，对潜在的安全入 侵者也是一种威慑及惩戒措施，这是建立人力防 火墙的有效控制手段。 人力资源管理在信息安全的管理中充分十分重要 的作用，信息安全管理人员要与人务资源管理人 员密切合作，协同作战，才能实现信息安全中对 “人 ”的有效管理。 实施安全教育计划 要制定各种不同范围、不同层次的安全教育计划 。 完备的安全教育计划可以提高员工的安全意识与 技能，改变他们对待安全事件的态度，使他们具 有一定的安全保护技能，以更好地保护组织的信 息资产。 好的安全教育计划应该让员工知道组织的信息安 全面临的威胁及信息安全事件带来的后果，使员 工切身感觉到安全事件与自己息息相关。 营造组织信息安全文化 信息安全文化从属于组织文化，倡导良好的组织 信息安全文化就是要在组织中形成团队共同的态 度、认识和价值观，形成规范的思维和行为模式 ，最终转化为行动，实现组织信息安全目标。人 的这种对安全价值的认识以及使自己的一举一动 符合安全的行为规范的表现，正是所谓的 “安全 修养 ”。 如果一个组织建立起浓厚的安全文化环境，不论 决策层、管理层还是一般员工，都会在安全文化 的约束下规范自己的行为，安全文化就像一支看 不见的手，凡是不安全的行为都会被这支手拉回 到安全操作的轨道上来。 目 录 信息安全管理体系的定义 信息安全管理体系（ ISMS： Information Security Management System ）是组织在整体或特定范围内建立的信息安全方针和目标，以及完成这 些目标所用的方法和体系。 ISMS相对应的 BS 7799 标准在国际上得到了广泛的应用，目前引标准 已被采纳为国际标准 ISO17799:2005 ISO27001:2005。 在 ISO17799中 信息安全主要指信息的机密性 (Confidentiality)、完整性 (Integrity)和可用性 (Availability)的保持。 n ISMS “木桶 ”由哪些 “板 ”组成？ n 类似于质量管理体系的 ISO9000标准， ISMS也有相应的国际标准 ISO27001，它确定了 ISMS的 11个安全领域及 133个相应的控制措施。 ISO17799及 ISO27001的内容 ISO17799:2005 信息安全管理实施规范，主要是给负责开发的人员 作为参考文档使用，从而在组织中实施和维护信息安全； ISO27001:2005 信息安全管理体系规范，详细说明了建立、实施和 维护信息安全管理系统的要求，指出实施组织需要通过风险评估来 鉴定最适宜的控制对象，并对自己的需求采取适当的控制。 获得 BS7799和 ISO27001认证的组织 ISMS体系设计 在组织中要实现信息安全，比较切实可行的第一步的是按照 PDCA的原则建立信息安全管理体系。 如果没有一个完整的管理体系和有效的过程来保证组织中的人员 能理解他们的安全责任与义务，并建立基本的有效的控制措施， 那么再好的安全技术也不能保证组织的信息安全。 ISMS建设过 程： 建立 ISMS首先要建立 一个合理的信息安全 管理框架，要从整体 和全局的视角，从信 息系统的所有层面进 行整体安全建设 从信息系统本身出发 ，通过建立资产清单 ，进行风险分析和需 求分析和选择安全控 制等步骤，建立安全 体系并提出安全解决 方案。 体系运行 体系审核 管理评审 体系认证 第七步 第八步 第九步 第十步 运行说明 内审报告 外审报告 认证证书 信息安全体系的内容 管理体系： 安全方针、策略文件，程序文件、操作指导书、记录 表格等。 目 录 “技术防火墙 ”的总体要求 技术结构方面 ：完备的安全技术防御系统应该具备评估，保护，检测，反应和恢 复的五种技术能力。实现 ISO7498-2所定义的鉴别，访问控制，数据完整性，数 据保密性，抗抵赖五类安全功能。 技术产品方面 ：综合利用商用密码、防火墙、防病毒、身份识别、网络隔离、可 信服务、安全服务、备份恢复、 PKI服务、取证、网络入侵陷阱、主动反击等多 种技术与产品来保证企业的信息系统的机密性、完整性和可靠性。 集中管理方面 ：实现集成化安全管理和安全信息共享机制，以集中管理安全控制 、安全策略、安全配置、安全事件审计、安全事故应急响应，可管理的安全才是 真正意义上的安全。 灾难恢复与业务持续性方面 ：对于突发性的重大灾难，日常安全控制措 施不再起作用，此时要采取适当和有效的措施来减轻相关威胁实际发生 时所带来的破坏后果，这是组织信息安全的最后一道防线。 八、建立 “技术防火墙 ” 技术体系的实现框架 信息安全框架可通过基础技术系统、安全运维 管理系统、应用支撑系统来实现，其最终目的 是保证应用系统和数据的安全。 基础技术系统 安全防护系统 应用支撑系统 安全 运维 管理 系统 纵深防御架构 可信网和不可信网要物理层隔断，网络逻辑连接要 割断，应用数据要净化，不可信网络上的计算机不 能直接到达可信网络。 使用 “应用分层、服务分区、安全分级 ”的思路，指 导网络结构化建设，根据应用类型、物理位置、逻 辑位置等的不同，划分不同的网络安全区域和边界 。 IATF 安全域 基础技术系统 一个为整个安全体系提供安全服务的基础性平台 ，为应用系统和安全支撑平台提供包括数据完整 性、真实性、可用性、不可抵赖性和机密性在内 的安全服务。包括： 数字证书认证体系（ CA/PKI） 密钥管理基础设施（ KMI） 授权管理基础设施（ AA/PMI） 灾难恢复及业务连续性基础设施（ DRI/BCP） 安全基础设施 用户用户 CA系统系统 AA系统系统 数据库 服务 访问 他是谁？ 有什么权限？ 认证系统认证系统 授权系统授权系统 用户认证证书 用户权限证书 设备认证证书设备认证证书软件认证证书 n PKI与 PMI的应用：安全认证与授权 网络安全控制采用入侵检测、漏洞扫描、病毒防治、防火墙、网 络隔离、安全虚拟专网（ VPN）等成熟技术，利用物理环境保护 、边界保护、系统加固、节点数据保护、数据传输保护等手段， 通过对网络的安全防护的统一设计和统一配置，实现全系统统一 、高效、可靠的网络安全防护。 安全防护系统 省级局域网省级局域网 上级接口上级接口 下级接口下级接口 横横 向向 接接 口口 互互 联联 网网 接接 口口 加密机：保护离开局域网的加密机：保护离开局域网的 信息安全，同时防止非法接信息安全，同时防止非法接 入。入。 防火墙：防止来自总部内部的攻防火墙：防止来自总部内部的攻 击。击。 防火墙：防止来自外部防火墙：防止来自外部 的攻击。的攻击。 防火墙：即防止来自外部的攻击，也防火墙：即防止来自外部的攻击，也 要防止来自地市局的内部攻击。要防止来自地市局的内部攻击。 入侵检测：发现非法入侵行为入侵检测：发现非法入侵行为 。 防病毒网关：防止外部防病毒网关：防止外部病毒入侵。病毒入侵。 防非法外联：堵住非法网防非法外联：堵住非法网 络接口。络接口。 系统加固：设置运行环境的最后一道系统加固：设置运行环境的最后一道 防线。（网络及主机操作系统、数据防线。（网络及主机操作系统、数据 库、应用平台的加固）库、应用平台的加固） 安安 全全 边边 界界 网络行为审计：加强网络安全管网络行为审计：加强网络安全管 理，追查安全事件。理，追查安全事件。 构造网络安全边界 入侵检测入侵检测 组织中心组织中心 备份中心备份中心 二级部门二级部门 三级部门三级部门 四级部门四级部门 线路密码机线路密码机 防火墙防火墙 防病毒网关防病毒网关 防非法外联防非法外联 网络行为审计网络行为审计 操作系统加固操作系统加固 高安全区域高安全区域 安全防护系统的层次 由于普通用户缺乏应有的网络安全常识，通过浏览隐藏恶意代码 的网站，下载有木马的软件到内部网运行，打开邮件中不明来历 的附件等给组织的内部网络带来的极大的危害，终端用户触发产 生的安全事件逐渐成为企业 IT安全问题的主要原因。 终端安全控制 应用支撑系统构建在基础技术系统的基础上，利用安全基础设施 提供的基于 PKI/PMI/KMI技术的安全服务； 采用安全中间件及一站式服务理论和技术，实现包括安全门户、 安全认证和访问控制、数据安全传输、数据保密、完整性保护、 真实性保护等应用安全功能和服务，支持面向组织和各类专网和 互连网的各类安全应用，是安全应用系统所依托的主要安全平台 。 应用支撑系统 应用系统常见安全方案 业务系统本身必须能够准确地识别使用者的真实身份，防止与业务无 关的人员非法使用系统。 解决方案 :使用统一的身份认证证书 业务系统本身必须能够对自己的资源进行控制， 能够动态地分配权限 ，控制使用者的操作行为，防止越岗位操作或越权限操作。 解决方案 :基于角色的访问控制 业务系统本身必须能够对数据或文件进行保护，防止由于数据的安全 得不到保证而失去业务系统本身的可用性。 解决方案 :基于密码 业务系统本身必须能够对操作者行为进行跟踪、记录、统计和审计， 及时发现工作中出现的问题，使系统可管理，事件可追查。 解决方案 :日志与安全事件审计 在电子商务或电子政务环境下，需要利用身份证书对主要核心业务与 交易的凭证进行数字签名，以保证重要对已完成的业务与交易的无否 定性。 解决方案 :基于数字签名 安全运维系统 安全运维管理系统对整 个安全系统起管理、监 控