信息安全和风险管理-CTEC7799讲座.ppt

信息安全和风险管理 7799标准与实施,概述,Part I 什么是信息安全？ Part II 什么是风险和风险管理 Part III 什么是7799？ Part IV 如何获得7799认证？,Part I 什么是信息安全,1-1 看待信息安全的各种思路,需求 状态 结果 功能 过程 能力,对信息安全的各种思路,需求 信息系统乃至信息化社会的需要 状态 对应于信息不安全。难于描述。 结果 对应于人们的努力。表面看只有两个结果：出事和不出事。,对信息安全的各种思路,功能 应用和实现的各种安全功能（产品）。比如：访问控制（防火墙）、审计跟踪（IDS）等 过程 对应于人们努力的内容和时间。 能力 对应于努力的综合实力,信息安全的三个方面需求 保密性信息的机密性 完整性信息的完整性、一致性 可用性行为完整性、服务连续性,信息安全的经典定义 需求角度,安全需求的多样性,6项安全要求CIARAA (ISO13335) 保密性 Confidentiality 完整性 Integrity 可用性 Availability 可靠性 Reliability 认证性 Authenticity 审计性 Accountability,信息安全需求的演变？,信息保密,信息保密,信息完整,信息和系统可用,信息保密,信息完整,信息和系统可用,信息和系统可控,信息行为不可否认,80年代的认识 90年代的认识 90年代后期的认识,最权威的传统评估标准,美国国防部在1985年公布 可信计算机安全评估准则 Trusted Computer Security Evaluation Criteria (TCSEC) 为安全产品的测评提供准则和方法 指导信息安全产品的制造和应用,可信计算机系统安全等级,传统评估标准的演变,美国 DoD85 TESEC TCSEC网络解释（TNI 1987） TCSEC数据库管理系统解释（TDI 1991） 欧洲 ITSEC 美国、加拿大、欧洲等共同发起Common Criteria(CC),Reference Monitor,主要传统安全技术,操作系统访问控制 网络访问控制（防火墙） 加密（对称、非对称） 身份认证（口令、强认证） ,VRM,TCSEC认为，一个安全机制的三个基本要求： 不可旁路 不可篡改 足够小，可以被证明,RM传统安全理念和技术的局限,适合于主机/终端环境，对网络环境难于适应 系统和技术的发展太快，安全技术跟进困难 没有研究入侵者的特点和技术 ,UNIX Firewall,E-Mail Server,Web Server,Router,NT,Clients & Workstations,Network,UNIX,NT,UNIX,imap,Crack,NetBus,典型的攻击过程,1-3 P2DR安全模型,动态安全模型 可适应网络安全模型,P2DR安全模型,动态/可适应安全的典范,什么是安全？,新的定义,安全及时的检测和处理,时间,什么是安全？,Pt Dt Rt, +,P2DR安全模型,动态模型 基于时间的模型 可以量化 可以计算,P2DR的核心问题是检测 检测是静态防护转化为动态的关键 检测是动态响应的依据 检测是落实、强制执行安全策略的有力工具 最重要的检测技术 漏洞扫描 入侵检测IDS,P2DR安全的核心,PDR理念的不足,缺少管理环节的描述和表达 因此，才有Policy环节的引入 实用的时间很难测量 时间计算的算法非常复杂和不确定,PDR的时间计算,目标,起点,Pt(System)=Pt(A)+Pt(B)+Pt(C)+Pt(D),PDR的时间计算,Pt(System)=Minimum(Pt(Ra),Pt(Rb),Pt(Rc),Pt(Rd),Pt(Re),Ra,Rb,Rc,Rd,Re,PDR的时间计算,目标,起点,Pt(System)=?,PDR的时间计算,目标,起点,1-4 我们应当期待什么效果？,目前普遍应用的信息安全技术,访问控制 操作系统访问控制 网络防火墙 病毒防火墙 审计跟踪 IDS 漏洞扫描 日志分析,加密 存储和备份 鉴别和认证 PKI和CA 双因子认证 生物认证 ,信息安全问题的难点,超复杂性 牵扯很多技术环节 涉及大量的管理问题 涉及人的因素 ,工程方法,最成熟的“工程”方法,风险管理 风险评估 风险控制和监控 信息安全管理系统ISMS 管理驱动技术,Part II 什么是风险和风险管理,什么是风险？,风险： 对目标有所影响的某个事情发生的可能性。它根据后果和可能性来度量。 Risk the chance of something happening that will have an impact upon objectives. It is measured in terms of consequences and likelihood. -AS/NZS 4360:1999风险管理,什么是风险,风险：指定的威胁利用单一或一群资产的脆弱点造成资产的损失或损坏的潜在的可能性。 Risk: the potential that a given threat will exploit vulnerabilities of an asset or group of assets to cause loss or damage to the assets. - ISO/IEC TR 13335-1:1996,ISO15408安全模型,ISO/IEC 15408-1 安全概念和关系模型,模型的对抗特性,模型的动态性和风险性,模型的资产属性,风险避免 vs 风险管理,风险避免 构建一个一次性的防御体系。它必须足够强壮以抵挡各种威胁。它可能是没有弹性而且非常昂贵的。 风险管理 动态的，可以持续不断地适应威胁的变化。构建的防御体系仅仅采用适度的措施去保护有价值的资产，阻止进一步的损失，有效地给予恢复。 只购买你需要的，而不是你可能需要的。 但是特别需要有效的管理。,风险管理的关系图,ISO13335以风险为核心的安全模型,风险,防护措施,信息资产,威胁,漏洞,防护需求,价值,7799对信息资产的看法,“Information is an asset which, like other important business assets, has value to an organisation and consequently needs to be suitably protected.” “信息是一种资产，象其他重要的商务资产一样，对组织具有价值，因此需要适当的保护。,风险管理的核心理念,资产保护,什么是风险管理？,对潜在机会和不利影响进行有效管理的文化、程序和结构 风险管理是由多个定义明确的步骤所组成的一个反复过程，这些步骤以较深入的洞察风险及其影响为更好的决策提供支持,风险管理的组成要素,建立环境,鉴别风险,分析风险,评价风险,处理风险,信 息 交 流 与 咨 询,监控 与审查,AS/NZS 4360,风险管理的组成要素,1、建立环境 建立在风险管理过程中将出现的策略、组织和风险管理的背景。应建立对风险进行评价的推测、并规定分析的结构。 2、鉴别风险 鉴别出会出现什么事，为什么会出现和如何出现，作为进一步分析的基础,风险管理的组成要素,3、分析风险 确定现有的控制，并根据在这些控制的环境中的和可能性对风险进行分析。这种分析应考虑到潜在后果的范围和这些后果发生的可能性有多大。可将后果和可能性结合起来得到一个估计的风险程度。 4、评价风险 将估计的风险程度与预先建立的水准进行比较。这样可将风险按等级排列，以便鉴别管理的有限顺序。如果建立的风险程度很低，此时的风险可以列入可接受的范畴，而不作处理。,风险管理的组成要素,5、处理风险 接受并监控低优先级的风险。对于其他风险，则建立并实施一个特定管理计划，其中包括考虑到资金的提供。 6、监控和审查 对于风险管理系统的运作情形以及可能影响其运作的那些变化进行监控和审查 7、信息交流和咨询 在风险管理过程的每个阶段以及整个过程中，适时与内部和外部的风险承担者（stakeholder）进行信息交流和咨询。,风险管理的主要部分,风险评估 Risk Assessment 风险控制（处理） Risk Control,风险评估,风险评估报告,资产鉴别报告 漏洞报告 威胁报告 风险报告 Risk = f ( Asset, Vul, Threat ),风险体,安全要素关系图,Part III 什么是7799,信息安全管理标准,BS7799/ISO17799 信息安全管理纲要、指南 Part I: Code of practice for information security management 信息安全管理认证体系 Part II: Specification for information security management,信息安全管理标准BS7799/ISO17799,英国标准BS7799是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成。 1993年，BS7799标准由英国贸易工业部立项 1995年，BS 7799-1：1995 信息安全管理实施细则 1998年，BS 7799-2：1998 信息安全管理体系规范 1999年，对BS 7799-1：1995 及BS 7799-2：1998 重新修订发布 2000年，以标准ISO/IEC 17799发布,BS7799和ISO17799的区别,BS7799 英国标准 已被多个国家认同（如澳大利亚等） 第二部分是可认证标准 2002年新修订了第2部分。新版本风格接近ISO9000和ISO14000。,ISO17799 2000年采纳了BS7799的第一部分 第二部分还在讨论中,BS7799-2:2002,BS7799 / ISO 17799,安全策略 安全组织 资产分类及控制 人员安全 物理和环境安全,通信和运作管理 系统访问控制 系统开发与维护 业务连续性规划 符合性,信息安全管理纲要 Code of practice for information security management,“Not all the controls described will be relevant to every situation, nor can they take account of local environmental or technological constraints, or be present in a form that suits every potential user in an organisation.” “不是所有描述的控制措施与所有情况有关，这些控制措施也没有考虑地方的环境和技术限制，或以适用于任何一个组织中的潜在的使用者的形式展现。,BS 7799-1:2000包含： 36个控制目标和127个控制措施,Control objectives and controls 控制目标和控制措施,Key controls关键控制措施,BS 7799 identifies 8 controls as BS 7799 识别8个控制措施作为-,“guiding principles providing a good starting point for implementing information security.” “指导原则提供最佳的实施信息安全的起始点” “They are either based on essential legislative requirements or considered to be common best practice for information security.” “他们或是建立在基本的法律要求或被认为是公认信息安全的最佳实践”,Intellectual property rights 知识产权保护 Safeguarding of organisational records 保护组织的记录 Data protection and privacy of personal information 数据保护和个人信息隐私,Controls with legislative implications 与法律有关的控制措施,Objective 目标 To avoid breaches of copyright through prevention of copying without owners consent. 防止未经拥有者允许的复制，避免违反产权保护 Restrictions on copying限制复制 Licence agreements许可协议 Policy compliance符合方针 Contract requirements合同要求,Intellectual property rights 知识产权,Objective 目标 Prevention of loss, destruction and falsification of important records. 防止丢失，破坏和篡改重要的记录 Retention保持 Storage储存 Disposal处置,Safeguarding of organisational records 保护组织记录,Objective 目标 Compliance with any data or information protection legislation in those countries where applicable. 如果适用，符合所在国家的任何信息保护法律。,Data protection and privacy of personal information数据保护和个人信息隐私,Information security policy document 信息安全方针文件 Allocation of information security responsibilities 落实信息安全责任 Information security education and training 信息安全教育与培训 Reporting security incidents 安全事故汇报 Business continuity management 业务连续性管理,Controls for common best practice 与公认最好实践有关的控制措施,Objective 目标 To provide management direction and support for information security. 提供管理方向和支持信息安全。,Policy Document,Information security policy document 信息安全方针文件,Objective 目标 To assign responsibilities for security so that security is effectively managed within the organisation.分配安全责任使安全在组织中得到有效管理。 Responsibilities 责任 Owners 拥有者 Roles 角色,Allocation of information security responsibilities 落实信息安全责任,Objective 目标 To ensure users are aware of information security threats and concerns and are equipped to support organisational security policy. 保证使用者明白信息安全的威胁和应考虑的问题并准备支持组织的安全方针。 Training needs and awareness 培训需要和基本知识,Information security education and training 信息安全教育与培训,Objective-目标 To minimize the damage from security incidents and malfunctions and to monitor and learn from such incidents.减少安全事故和故障的损失，监控并从事故中学习。 Definition定义 Procedure 程序,Reporting security incidents 安全事故汇报,Objective 目标 To counteract interruptions to business activities and to protect critical business processes from the effects of major failures or disasters。 防止业务活动中断和保护关键业务过程不受关键故障和灾害的影响。 Key steps to business continuity 业务连续性的关键步骤,Business continuity management 业务连续性管理,Overview of controls from BS7799:1999 BS7799:1999控制措施概述,(Clause numbers refer to BS 7799-1:1999) （条款号对应于BS 7799-1:1999的条款号）,3. Security policy安全方针,3.1 Information security policy 信息安全方针,3.1 Information security policy 信息安全方针,Information security policy document Review and evaluation 信息安全方针文件评审与评估,Policy,Sdjndkjhkjhkjfdf Sdfkjflkjflkjlfklkf Edkjfjf fkflkjfl Rgjlkmblktmgl Rgl,g;ggk,gl gglklkgl Fdglgrf rerfkjhnertm5pok Fkkjj5tk55ok dfgngngg gmgmgkmgkmgg,4. Security organisation 安全组织,4.1 Information security infrastructure 信息安全基础设施 4.2 Security of third party access 第三方访问安全 4.3 Outsourcing 外包,4.1 Information security infrastructure 信息安全基础设施,Management information security forum 信息安全管理委员会 Information security co-ordination 信息安全协作 Allocation of information security responsibilities 落实信息安全责任 Authorisation process for information processing facilities 信息处理设施授权过程 Specialist information security advice 信息安全专家建议 Co-operation between organisations 组织间的合作 Independent review of information security 独立评审信息安全,4.2 Security of third party access 第三方访问安全,Identification of risks from third party access 识别第三方访问风险 Security requirements in third party contracts 第三方合同的安全要求,4.3 Outsourcing外包,Security requirements in outsourcing contracts 外包合同中的安全要求,Outsourcing Contract,5. Asset classification and control 资产分类和控制,5.1 Accountability for assets资产责任 5.2 Information classification信息分类,5.1 Accountability for assets资产责任,Inventory of assets 资产目录,5.2 Information classification 信息分类,Classification guidelines分类指南 Information labelling and handling 信息标签和处理,Top Secret Secret Confidential Restricted,Restricted until 1/1/2005,“Protectively Marked”,6. Personnel security 人员安全,6.1 Security in job definition and resourcing 在工作描述和配备资源时考虑安全问题 6.2 User training 使用者培训 6.3 Responding to security incidents and malfunctions 响应安全事故和故障,6.1 Security in job definition and resourcing 在工作描述和配备资源时考虑安全问题,Including security in job responsibilities 在工作责任中包括安全问题 Terms and conditions of employment 聘用条件和合同 Personnel screening and policy 人事审查和方针 Confidentiality agreements 保密协议,6.2 User training使用者培训,Information security education and training 信息安全教育和培训,6.3 Responding to security incidents and malfunctions 响应信息安全事故和故障,Reporting security incidents安全事故报告 Reporting security weaknesses安全弱点报告 Reporting software malfunctions软件故障报告 Learning from incidents从事故中学习 Disciplinary process惩罚过程,7. Physical and environmental security 物理和环境安全,7.1 Secure areas安全区域 7.2 Equipment security设备安全 7.3 General controls一般控制措施,7.1 Secure areas 安全区域,Physical security perimeter物理安全边界 Physical entry controls物理入口控制 Securing offices, rooms and facilities 办公室，房间和设施保安 Working in secure areas在安全区域工作 Isolated delivery and loading areas 运送和装卸区域隔离,7.2 Equipment security设备安全,Equipment siting and protection设备安装与保护 Power supplies电力供应 Cabling security电缆安全 Equipment maintenance设备维护 Security of equipment off-premises不在办公场所的设备 Secure disposal or re-use of equipment 处置和重新使用设备的安全,7.3 General controls 一般控制,Clear desk and clear screen policy 桌面和屏幕清理政策 Removal of property 财产移动,8. Communications and operations management 通信和运营管理,8.1 Operational procedures and responsibilities 操作程序和责任 8.2 System planning and acceptance 系统计划和接收 8.3 Protection against malicious software 恶意软件防护 8.4 Housekeeping 内务管理 8.5 Network management 网络管理 8.6 Media handling and security 媒体处理与安全 8.7 Exchanges of information and software 信息交换和软件,8.1 Operational procedures and responsibilities 操作程序和责任,Documented operating procedures 文件化操作程序 Operational change control运营变化控制 Incident management procedure事故管理程序 Segregation of duties责任分离 Separation of development and operational facilities 开发与运营设备分离 External facilities management外部设备管理,8.2 System planning and acceptance 系统计划和接收,Capacity planning容量计划 System acceptance系统接受,2010,2001,8.3 Protection against malicious software 恶意软件防护,Controls against malicious software 对恶意软件的控制,8.4 Housekeeping 内务管理,Information back-up信息备份 Operator logs操作日志 Fault logging错误日志,8.5 Network management网络管理,Network controls 网络控制,8.6 Media handling and security 媒体处理和安全,Management of removable computer media 可移动计算机媒体（介质）的管理 Disposal of media 媒体（介质）处置 Information handling procedures 信息处理程序 Security of system documentation 系统文件安全,8.7 Exchanges of information and software 软件和信息交换,Information and software exchange 信息和软件交换 Security of media in transit 媒体转换的安全 Electronic commerce security 电子商务安全 Security of electronic mail 电子邮件的安全 Security of electronic office systems 电子办公系统的安全 Publicly available systems 公用系统 Other forms of information exchange 其他形式的信息交换,9. Access control 访问控制,9.1 Business requirements for access control访问控制的业务要求 9.2 User access management使用者访问管理 9.3 User responsibilities使用者责任 9.4 Network access control网络访问控制 9.5 Operating system access control操作系统访问控制 9.6 Application access control应用访问控制 9.7 Monitoring system access and use监控系统访问和使用 9.8 Mobile computing and teleworking可移动计算设备和网络,9.1 Business requirements for access control 控制访问的业务要求,Access control policy 访问控制策略,You are not authorised to access this system,9.2 User access management 使用者访问管理,User registration 使用者注册 Privilege management 特权管理 User password management 使用者口令管理 Review of user access rights 评审使用者访问权,System Administrator Menu,9.3 User responsibilities使用者责任,Password use 口令使用 Unattended user equipment 无人照管的设备,9.4 Network access control 网络访问控制,Policy on use of network services 使用网络服务的策略 Enforced path 强制路径 User authentication for external connections 外部连接者身份认证 Node authentication 结点认证 Remote diagnostic port protection 远程诊断端口的防护 Segregation in networks 网络分离 Network connection control 网络连接控制 Network routing control 网络路由控制 Security of network services 网络服务的安全,9.5 Operating system access control 操作系统访问控制,Automatic terminal identification自动终端识别 Terminal log-in procedures终端连网程序 User identification and authentication使用者识别和认证 Password management system口令管理系统 Use of system facilities系统设施的使用 Duress alarm to safeguard users安全装置使用者强制警报 Terminal time-out终端暂停 Limitation of connection time连接时间限制,9.6 Application access control 应用访问控制,Information access restriction 信息访问限制 Sensitive system isolation 敏感系统隔离,9.7 Monitoring system access and use 监控系统访问和使用,Event logging事件日志 Monitoring system use 监控系统使用 Clock synchronisation 时钟同步,14:27,9.8 Mobile computing and teleworking 可移动计算设备和网络通信,Mobile computing 移动计算设备 Teleworking 网络通信,10. Systems development and maintenance 系统开发和维护,10.1 Security requirements of systems系统的安全要求 10.2 Security in application systems应用系统安全 10.3 Cryptographic controls密码控制 10.4 Security of system files系统文件的安全 10.5 Security in development and support processes 开发和支持过程的安全,10.1 Security requirements of systems 系统的安全要求,Security requirements analysis and specification 安全要求分析和说明,Specification,;oiu;u;ppjoiu;oiuiu;iou;oiu;oiuoipoipo #po#po#po#popo#popophn ji Hhhuhiu hiuyhuy8 J ooiiuyfuytdyiuy;9uyouo;iui j;oij; Ijijweifjerhf uuhiuyrhqe wu24i5yiufu24 O#popopoppopo#o#o#o#o#o#o#hilugiuiugi Opopopopo,10.2 Security in application systems 应用系统安全,Input data validation输入数据验证 Control of internal processing内部处理控制 Message authentication消息认证 Output data validation输出数据验证,10.3 Cryptographic controls 密码控制,Policy on use of cryptographic controls 使用密码控制策略 Encryption加密 Digital signatures 数字签名 Non-repudiation services 不可否认服务 Key management密钥管理,Confidential,10.4 Security of system files 系统文件安全,Control of operational software 操作系统软件的控制 Protection of system test data 保护系统测试数据 Access control to program source library 程序资源库的访问控制,10.5 Security in development and support processes 开发和支持过程的安全,Change control procedures 变化控制程序 Technical review of operating system changes 操作系统变化的技术评审 Restrictions on changes to software packages 软件包变化的限制 Covert channels and Trojan code 隐蔽通道和特洛伊代码 Outsourced software development 外包的软件开发,11. Business continuity management 业务连续性管理,11.1 Aspects of business continuity management 业务连续性管理的各方面,11.1 Aspects of business continuity management 业务连续性管理的各方面,Business continuity management process 业务连续性管理过程 Business continuity and impact analysis 业务连续性和影响分析 Writing and implementing continuity plans 书写和实施连续性计划 Business continuity planning framework 业务连续性框架 Testing, maintaining and re-assessing business continuity plans 测试，维护和重新评审业务连续性计划,12. Compliance 符合,12.1 Compliance with legal requirements 符合法律要求 12.2 Reviews of security policy and technical compliance 评审安全方针和技术符合 12.3 System audit considerations 系统审核考虑,12.1 Compliance with legal requirements 符合法律要求,Identification of applicable legislation 识别适应的法律 Intellectual property rights (IPR) 知识产权 Safeguarding of organisational records 保护组织记录 Data protection and privacy of personal information 数据保护和个人信息隐私 Prevention of misuse of information processing facilities 错误使用信息的防护 Regulation of cryptographic controls 密码控制的法规 Collection of evidence 收集证据,12.2 Reviews of security policy and technical compliance 评审安全方针和技术符合,Compliance with security po