信息安全体系规划与建立.ppt

信息安全体系规划 与建设概述,信息安全体系规划与建设,信息安全概述 信息安全体系建设 风险管理 信息安全服务过程 可供借鉴的范围和标准,信息安全概述,信息和信息安全 组织的信息安全需求来源 怎样实现信息安全 信息安全技术 信息安全管理 对信息安全的正确认识,信息和信息安全（一）,什么是信息 信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。 通常情况下，可以把信息可以理解为消息、信号、数据、情报和知识 。 对现代企业来说：信息是一种资产，可以通过媒介传播。,信息和信息安全（二）,什么是信息安全 保护信息系统的硬件、软件及相关数据，使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行。 信息安全的任务：采取措施（技术手段及有效管理）让信息资产免遭威胁，或者将威胁带来的后果降到最低程度。,信息和信息安全（三）,信息安全要素 现代信息安全通常强调所谓CIA 三元组的目标，即保密性、完整性和可用性。,除了CIA，信息安全还有一些其他原则，包括可追溯性、抗抵赖 性、真实性、可控性等 。,组织的信息安全需求来源,法律法规与合同条约的要求 组织的原理、目标和规定 风险评估的结果（风险评估是信息安全管理的基础）,怎样实现信息安全技术路线,信息安全技术包括以下这些技术 物理安全 系统安全 网络安全 应用安全 数据安全 认证授权 访问控制 扫描评估 审计跟综 病毒防护 备份恢复 安全管理,怎样实现信息安全管理路线,信息安全管理 解决信息及信息系统的安全问题，取决于两个因素，一个是技术，另一个是管理。 信息安全管理（Information Security Management ）作为组织完整的管理体系中一个重要的环节，构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产。 安全管理也要解决组织、制度和人员这三方面的问题,对信息安全的正确认识,对信息安全的错误观念 网络安全和信息安全的概念混淆 重视技术，轻视管理 重视产品功能，轻视人为因数 重视对外安全，轻视对内安全 静态不变的观念 缺乏整体性信息安全体系的考虑 纠正以上错误认识，可以简单概括一下对信息安全应该持有的正确的认识：安全不是产品的简单堆积，也不是一次性的静态过程，它是人员、技术、操作这三种要素紧密结合的系统工程，是不断演进、循环发展的动态过程。,信息安全体系建设,信息安全体系的概念 信息安全体系的发展历程 信息安全体系的典型特点 提出一种新的安全体系模型P-POT-PDR 如何建设信息安全体系,什么是信息安全系统,信息安全建设的指导方针，及实施依据； 做为信息安全建设的指导方针，安全体系的设计应该体现出可靠性、完备性、可行性、可扩展性和经济实用性等原则； 设计安全体系的目的：从管理和技术上保证安全策略得以完整准确地实现，安全需求得以全面准确地满足。,信息安全体系的发展,ISO 7498-2 安全体系结构 P2DR 安全模型 PDRR 安全模型 IATF 信息保障技术框架 BS 7799 标准提出的信息安全管理体系 ISO27001:2005,信息安全体系的发展,ISO 27001:2005是建立信息安全管理系统（ISMS）的一套需求规范 标准族内容： ISO/IEC 27000，基础和术语。 ISO/IEC 27001，信息安全管理体系要求。 ISO/IEC 27002，信息安全管理体系最佳实践。 ISO/IEC 27003，ISMS实施指南，正在开发。 ISO/IEC 27004，信息安全管理度量和改进，正在开发。 ISO/IEC 27005，信息安全风险管理指南，以2005年底刚刚推出的BS7799-3（基于ISO/IEC 13335-2）为蓝本。,信息安全的典型特点,全面性 层次性 过程性 动态性 相对性 可管理性,信息安全体系模型 P-POT-PDR,P-POT-PDRR 模型的核心思想在于：通过人员组织、安全技术以及运行操作三个支撑体系的综合作用，构成一个完整的信息安全管理体系。 P-POT-PDRR ，即Policy （策略）、People（人）、Operation （操作）、Technology （技术）、Protection （保护）、Detection （检测）、Response （响应）和Recovery （恢复）的首字母缩写 P-POT-PDRR 安全体系模型,信息安全体系模型 P-POT-PDR,P-POT-PDRR 安全体系框架,如何建设信息安全系统,信息安全管理体系（ISMS）的建设过程,信息安全整体规划的实践蓝图,等级保护标准,风险管理,风险管理的核心作用 风险管理的基本概念 风险管理的前期准备 确定信息安全目标和战略 建立信息安全策略 风险评估 风险评估的概念 风险评估的可行途径 风险评估的常用方法 风险评估的工具 风险评估的基本过程 风险消减 风险控制 风险管理的跟进活动,风险管理的核心作用,风险管理就是识别风险、评估风险、采取对策将风险消减到可接受水平，保证信息资产的保密性、完整性、可用性。,风险管理的核心作用（二）,风险管理周期模型,与信息安全管理过程相同，风险管理也是一个动态发展并不断循环的过程,风险管理的基本概念,信息安全风险管理过程中牵涉到诸多要素或者概念，包括： 资产（Asset ） 威胁（Threat） 弱点（Vulnerability） 风险（Risk） 可能性（Likelihood） 影响（Impact） 安全措施（Safeguard） 残留风险（Residual Risk）,风险管理各要素之间的关系,风险管理的前期准备（一）,1、确定信息安全目标和战略 信息安全目标 确保客户、委托人、股东、纳税人对组织的产品、服务、信誉具有足够的信心。 确保与雇员、客户、消费者和受益人相关的信息资料的保密性。 保护敏感的商务数据，使其免遭不恰当的泄漏。 避免因为组织的计算机或网络资源被利用来实施非法或恶意操作而承担第三方责任。 确保组织的计算机、网络和数据资源不被误用或浪费。 防止欺诈。 遵守相关的法律法规。 信息安全战略 全组织范围内应采用的风险评估战略和方法 对信息安全策略的需求 对系统安全操作程序的需求 全组织范围内的信息敏感性分类方案 与其他组织连接时需要满足的条件和检查方法 事件处理方案其中，对风险评估战略和方法的考虑是风险管理周期很重要的一个前提，只有事先确定了风险评估的途径，风险评估或风险分析活动才能有据而行。,风险管理的前期准备（二）,2、建立信息安全策略 信息安全策略（Information Security Policy ）也称做信息安全方针，它是在一个组织内指导如何对包括敏感信息在内的资产进行管理、保护和分配的规则和指示。 阐述的不同层次来看，信息安全策略可以分为三类： 总体方针 特定问题策略 特定系统策略,风险评估（一）,风险评估的概念 风险评估是对信息资产面临的威胁、存在的弱点、造成的影响，以及三者综合作用而带来风险的可能性的评估。 风险评估的任务 风险评估的过程 每项资产可能面临多种威胁，威胁源（威胁代理）可能不止一个，每种威胁可能利用一个或多个弱点。,风险评估（二）,风险评估的可行途径 基线评估 详细评估 组合评估 风险评估常用方法 基于知识的分析方法 基于模型的分析方法,风险评估（三）,风险评估常用方法（续） 定性分析 首先，识别资产并为资产赋值； 通过威胁和弱点评估，评价特定威胁作用于特定资产所造成的影响，即EF（取值在0100% 之间）； 计算特定威胁发生的频率，即ARO； 计算资产的SLE：SLE = Asset Value EF 计算资产的ALE：ALE = SLE ARO 定性分析,风险评估（四）,风险评估工具 利用一些辅助性的工具和方法来采集数据 调查问卷 检查列表 人员访谈 漏洞扫描器 渗透测试 一些专用的自动化的风险评估工具 foundstone COBRA CRAMM ASSET,风险评估（五）,风险评估的基本过程,风险评估完整的过程模型,风险评估（八）,风险消减 确定风险消减策略,选择安全措施 制定安全计划 实施安全计划 检查和测试,风险评估（九）,风险控制 维护 监视 事件响应 安全意识、培训和教育 再评估与认证 风险管理的跟进活动 配置管理 变更管理 业务连续性计划和灾难性恢复计划,信息安全服务过程,信息安全服务概述 信息安全服务模型-P-PADIS-T 信息安全服务分类 信息安全服务过程详解 安全策略 准备阶段 评估阶段 设计阶段 实施阶段 支持阶段 安全培训 信息安全服务的有效保障,信息安全服务概述,对于信息安全建设，现在更为有效也更切合实际的，就是基于服务的工程化方法。 基于服务的信息安全建设方案，侧重点不再是技术产品，而是组织不断发展变化的安全需求，这种需求是建立在对组织业务及信息系统充分了解的基础之上的。 帮助组织建立和巩固完善的信息安全体系的一系列活动都属于安全服务的范畴。,信息安全服务模型P-PADIS-T（一）,P-PADIS-T 分别代表的是Policy（策略）、Preparation （准备）、Assessment （评估）、Design （设计）、Implement （实施）、Support （支持）和Training （培训）的首字母缩写 中心思想是：以安全策略为核心，以准备、评估、设计、实施和支持等环节的阶段性服务活动为途径，以培训为保障的完整的信息安全服务解决方案。 P-PADIS-T 信息安全服务体系模型,信息安全服务模型P-PADIS-T（二）,P-P-T 模型中各个阶段是前后继承紧密结合的，前一阶段服务项目的输出是后一阶段服务项目的输入。如图， PPT 模型中所包含的服务项目及其关系（输入输出）,信息安全服务分类,咨询服务 工程服务 支持服务 培训服务,信息安全服务详解（一）,安全策略 策略评估服务 策略规划服务 策略实施服务 策略培训服务 准备阶段 前期咨询服务 评估阶段 安全服务扫描 渗透测试服务 体系评估服务 风险评估服务,信息安全服务详解（二）,设计阶段 安全需求定义 安全体系设计 实施阶段 系统加固服务 安全集成服务 产品方案实施 工程监理服务,信息安全服务详解（三）,支持阶段 定期扫描评估 定期系统加固 安全审计服务 应急响应服务 攻击取证服务 安全通告服务 安全培训 安全意识培训 安全管理培训 安全技术培训 黑客攻防培训 技术产品培训,安全服务的有效保障,健全的质量保证措施。 安全服务的可信性、可靠性和完整性 通过权威的独立第三方机构，对服务提供者进行测评和监理。,近期项目介绍-实名制与单点登录,公安部第82号令,第七条 互联网服务提供者和联网使用单位应当落实以下互联网安全保护技术措施： （三）记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施； 第八条 提供互联网接入服务的单位除落实本规定第七条规定的互联网安全保护技术措施外，还应当落实具有以下功能的安全保护技术措施： （一）记录并留存用户注册信息； （二）使用内部网络地址与互联网网络地址转换方式为用户提供接入服务的，能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系； （三）记录、跟踪网络运行状态，监测、记录网络安全事件等安全审计功能。,萨班斯法案（ SOX404）,从2006年7月15日起，按照美国证卷交易委员会（SEC)的要求，中国所有在美国上市的企业都要接受SOX404的监管。 IAM (Identity Architecture Management) SIEM (Security Info Event Management),现有系统的不足,存在的问题,造成的影响,审计太复杂，难以统一,大量的网络设备和服务器系统,大量的系统维护带来的认证不便,蠕虫等网络攻击比较严重,用户接入多，容易造成潮涌，影响网络通信,网络边缘只有防火墙的保护,安全与管理体系有缺陷、不完善！,缺,没有实现实名身份和相应的审计,BT，电驴等对网络的影响,帐户太多，记不住,网络不稳定，常常断线,交换机死啦！,防火墙太累了！,只有IP地址，是谁呢？,浏览网页太慢，开不了邮件,IDSentrie 功能概述,兼容Cisco CLI,本地化Web界面,高性能硬件平台,通用的SNMP管理,Testing Market Demand & Defining Platform Requirements,IEM & Auditing,Overcome inhibitors to market growth,AAA,Radius AAA,PAP, CHAP, EAP, Wireless 802.1x,PKI and Security Certificates,UIM,MS Exchange,统一设备,系统和应用的安全身份管理与审计平台,DHCP,