版CISP信息安全控制措施v课件.ppt

信息安全控制措施,培训机构名称讲师姓名,版本：3.0发布日期：2014-12-1生效日期：2015-1-1,内容组织结构,每个主要安全控制措施类别，包括：一个或多个控制目标，声明要实现什么对于每个控制目标，包含一项或多项控制措施，可被用于实现该控制目标,不是所有的控制措施适用于任何场合，它也不会考虑到使用者的具体环境和技术限制，也不可能对一个组织中所有人都适用,2,课程内容,3,知识体,知识域,知识子域,信息安全管理体系,信息安全管理体系建设,信息安全管理体系基础,信息安全控制措施,知识域：信息安全控制措施,知识子域：安全方针理解信息安全方针控制目标的含义掌握信息安全方针文件和信息安全方针评审两项措施的常规控制方法,4,Why?,有没有遇到过这样的事情？案例1有单位领导说：“听说信息安全工作很重要，可是我不知道对于我们单位来说到底有多重要，也不知道究竟有哪些信息是需要保护的。”,5,安全方针,控制目标（1）信息安全方针,6,信息安全方针,控制目标:组织的安全方针能够依据业务要求和相关法律法规提供信息安全管理指导并支持信息安全控制措施信息安全方针文件信息安全方针文件应由管理者批准、发布并传达给所有员工和外部相关方信息安全方针评审应按计划的时间间隔或当重大变化发生时进行信息安全方针评审，以确保其持续的适宜性、充分性和有效性,7,信息安全方针应符合实际情况，切实可行。对方针的落实尤为重要,信息安全方针文件,信息安全方针是陈述管理者的管理意图，说明信息安全工作目标和原则的文件,信息安全方针应当说明以下内容：本单位信息安全的整体目标、范围以及重要性信息安全工作的基本原则风险评估和风险控制措施的架构需要遵守的法规和制度信息安全责任分配对支持方针的文件的引用,8,信息安全方针主要阐述信息安全工作的原则，具体的技术实现问题，如设备的选型，系统的安全技术方案一般不写在安全方针中,知识域：信息安全控制措施,知识子域：信息安全组织理解内部组织控制目标的含义，掌握信息安全协调等实现这一目标的控制措施的常规实施方法理解外部各方控制目标的含义，掌握与外部各方相关风险的识别等控制措施的实施方法,9,Why?,有没有遇到过这样的事情？案例1我是一名网络管理员，发现最近来自外部的病毒攻击很猖獗，要是有15万买个防毒墙就解决问题了，找谁要这笔钱，谁来采购？案例2我是一名普通工作人员，我的内网计算机上不了外网没办法打补丁，我该找谁获得帮助？,应该有一群人，至少包括单位领导、技术部门和行政部门的人组织在一起，专门负责信息安全的事,10,信息安全组织,控制目标（1）内部组织（2）外部各方,11,(1)内部组织,控制目标：实现对组织内部的信息安全管理控制措施：信息安全的管理承诺,12,信息安全协调信息安全职责的分配信息处理设施的授权过程保密性协议与政府部门的联系与特定利益集团的联系信息安全的独立评审,信息安全的管理承诺,高层管理者参与信息安全建设，负责重大决策，提供资源，并对工作方向、职责分配给出清晰的说明,高层管理者就是说了算的，可以给人、给钱、给设备，提出工作要求还给与资源保障的人,13,信息安全协调,不仅仅由信息化技术部门参与，与信息安全相关的部门（如行政、人事、安保、采购、外联）都应参与到组织体系中各司其责，协调配合。因此需要协调,信息安全工作和其他工作一样不是某个个人、某个部门就可以完成的信息技术部门是信息安全组织中的重要执行机构，但不是全部,14,机构内部达成共识避免流于形式或作假,信息安全职责的分配,为有效实施信息安全管理，保障和实施系统的信息安全，应在机构内部建立信息安全组织，明确角色和职责信息安全责任的重要性在一个机构中，安全角色与责任的不明确是实施信息安全过程中的最大障碍，建立安全组织与落实责任是实施信息安全管理的第一步,15,与政府部门的联系、与特定利益集团的联系,要注意充分利用外部资源，与上级主管单位、国家职能部门、设备和基础设施提供商、安全服务商、有关专家保持良好的沟通和合作关系,例如与电力部门建立良好的协作关系，停电了，UPS的电也要用光了，电力部门可以开个发电车来解决关键信息系统临时电力供应,16,(2)外部各方,控制目标：保持组织被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全控制措施：与外部各方相关风险的识别,17,处理外部各方协议中的安全问题,访问风险：维护软件设备的承包商清洁、送餐人员外部咨询人员审核人员,知识域：信息安全控制措施,知识子域：资产管理理解对资产负责控制目标的含义，掌握资产清单、资产责任人等控制措施的实施方法理解信息分类控制目标的含义，掌握分类指南、信息的标记和处理等控制措施的实施方法,18,Why？,那些曾经发生过的事：案例1：某单位欲安装一台网络防火墙，却发现没有人可以说清楚当前的真实网络拓扑情况，也没有人能说清楚系统中有哪些服务器，这些服务器运行了哪些应用系统。案例2：某单位信息安全评估，发现大部分服务器安全状况良好，只有一台服务器存在严重安全漏洞。研究整改措施时，发现平时没有人对该服务器的安全负责。,19,资产管理,控制目标（1）对资产负责（2）信息分类,20,(1)对资产负责,控制目标：实现和保持对组织资产的适当保护控制措施：资产清单,21,资产责任人资产的可接受使用,资产清单,信息安全管理工作的直接目的是保护组织的资产资产包括：信息：业务数据、合同协议、科研材料、操作手册、系统配置、审计记录、制度流程等软件：应用软件、系统软件、开发工具物理资产：计算机设备、通信设备、存储介质等服务：通信服务、供暖、照明、能源等人员无形资产，如品牌、声誉和形象,22,资产责任人,明确资产责任列出资产清单，明确保护对象明确资产受保护的程度明确谁对资产的安全负责,23,(2)信息分类,控制目标：确保信息受到适当级别的保护控制措施：分类指南,24,信息的标记和处理,分类指南,分类依据根据信息的价值、法律要求和对组织的敏感程度进行分类关注点、重点不同直接影响信息分类军事机构更加关注机密信息的保护，私有企业通常更加关注数据的完整性和可用性,25,分类必要步骤定义分类类别说明决定信息分类的标准制定每种分类所需的安全控制，或保护机制建立一个定期审查信息分类与所有权的程序让所有员工了解如何处理各种不同分类信息,分类指南,建议分类方法不宜复杂，否则容易造成混乱,每种分类应唯一区别于其它分类，同时不能有任何重叠,分类过程还应简单说明如何在其生命周期内控制并处理,26,信息的标记和处理,标识信息类别，表明文件的密级、存储介质的种类（如内网专用U盘）规定重要敏感信息的安全处理、存储、传输、删除和销毁的程序,27,知识域：信息安全控制措施,知识子域：人力资源安全理解任用前控制目标的含义，掌握角色和职责、审查等控制措施的实施方法理解任用中控制目标的含义，掌握管理职责、信息安全意识教育和培训等控制措施的实施方法理解任用的终止或变化控制目标的含义，掌握终止职责、撤销访问权等控制措施的实施方法,28,Why?,那些曾经发生过的事：案例一：2010年3月中旬，汇丰控股发布公告，其旗下汇丰私人银行(瑞士)的一名IT员工，曾于三年前窃取了银行客户的资料，失窃的资料涉及1.5万名于2006年10月前在瑞士开户的现有客户。有鉴于此，汇丰银行三年来共投放1亿瑞士法郎，用来将IT系统升级并加强保安。这让人想起了论语中的一句话：“吾恐季孙之忧，不在颛（zhuan）臾（yu），而在萧墙之内也。”萧墙之祸比喻灾祸、变乱由内部原因所致。案例二：某单位负责信息化工作的领导说：“为什么要买防火墙？我们盖楼时是严格按照国家消防有关规定施工的呀！”,29,人力资源安全,控制目标（1）任用前（2）任用中（3）任用的终止或变化,30,(1)任用前,控制目标：确保雇员、承包方人员和第三方人员理解其工作职责并适合预期角色，以降低设施被窃、欺诈和误用的风险控制措施：角色和职责,31,审查作用条款和条件,任用前,对担任敏感和重要岗位的人员要考察其身份、学历和技术背景、工作履历和以往的违法违规记录要在合同或专门的协议中，明确其信息安全职责明确人员遵守安全规章制度、执行特定的信息安全工作、报告安全事件或潜在风险的责任,32,(2)任用中,控制目标：确保所有雇员、承包方和第三方人员了解信息安全威胁和危害，明确其工作应承担的安全职责和义务，如果违反安全规定将会受到的纪律处理，通过安全培训使其掌握信息处理设施的安全正确使用方法，以减少人为过失造成的风险控制措施：管理职责,33,信息安全意识、教育和培训纪律处理过程,任用中,保证其充分了解所在岗位的信息安全角色和职责有针对性地进行信息安全意识教育和技能培训及时有效的惩戒措施,34,(3)任用的终止或变化,控制目标：确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系，包括调换岗位或岗位职责发生变化控制措施：终止职责,35,资产的归还撤销访问权,离职可能引发的安全隐患,未删除的账户未收回的各种权限VPN、远程主机、企业邮箱和VoIP等应用其它隐含信息网络架构、规划，存在的漏洞同事的账户、口令和使用习惯等,这些信息和权限如果被离职的员工和攻击者们恶意利用，很容易导致信息安全事件,36,任用的终止,终止职责：组织应该清晰定义和分配负责执行任用终止或任用变更的相关职责，如通知相关人员人事变化，向离职者重申离职后仍需遵守的规定和承担的义务归还资产：保证离职人员归还软件、电脑、存储设备、文件和其他设备撤销访问权限：撤销用户名、门禁卡、密钥、数字证书等,37,知识域：信息安全控制措施,知识子域：物理和环境安全理解人身安全的重要性理解安全区域控制目标的含义，掌握物理安全边界、物理入口控制等控制措施的实施方法理解设备安全控制目标的含义，掌握设备安置和保护、支持性设施等控制措施的实施方法,38,Why？,那些曾经发生过的事：案例1：间谍潜入机房，直接用移动硬盘将服务器中的重要数据拷贝走。案例2：机房中气温过高，导致计算机无法正常运行，造成业务中断。,39,物理和环境安全的范畴,物理（Physical）：身体的、物质的、自然的身体的：人身安全是物理安全首要考虑的问题，因为人也是信息系统的一部分物质的：承载信息的物质，包括信息存储、处理、传输和显示的设施和设备自然的：自然环境的保障，如温度、湿度、电力、灾害等,40,物理和环境安全,控制目标（1）安全区域（2）设备安全,41,(1)安全区域,控制目标：防止对组织场所和信息的未授权物理访问、损坏和干扰，关键或敏感的信息及信息处理设施应放在安全区域内，并受到相应保护控制措施：物理安全边界,42,物理入口控制办公室、房间和设施的安全保护外部和环境威胁的安全防护在安全区域工作公共访问、交接区安全,物理安全边界,周边入侵检测系统用来探测未经授权而进入的人，并发出警报现在最常用的入侵监测系统是机电式的，能够探测到电路的变化或断路，例如：窗户贴，绷紧线等一个常被忽略的脆弱点报警系统闭路电视使用照相机通过传输媒介将图片传送到连接的显示器的电视传输系统（三个主要的组件）传输媒介可以使用同轴电缆、光缆、微波、无线电波、或红外光束与广播电视是不同的，尽管也是点对点的无线连接，但CCTV的信号不是公开传输的,43,物理入口控制,必须弄清来访者的身份，并将其进入与离开安全区域的日期与时间记录起来所有人员配戴识别证,44,物理入口控制,卡访问控制磁卡、非接触卡等生物特征系统生理特征：指纹、视网膜、声音、手形等行为特征：签名,45,办公室、房间和设施的安全保护,安全区域关键设备应放在公众无法进入的地方避免写出“机房重地，请勿进入”的字样安全区内，各种打印机、复印机设备齐全,设备如果放在安全区内，可以降低对该设备的保护级别,46,(2)设备安全,控制目标：防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断控制措施：设备安置和保护,47,支持性设施布缆安全设备维护组织场所外的设备安全设备的安全处置和再利用资产的转移,设备安置和保护,来自空中的威胁TEMPEST(抑制和防止电磁泄露)途径以电磁波形式的辐射泄露；电源线、控制线、信号线和地线造成的传导泄露危害使各系统设备相互干扰，降低设备性能电磁泄露会造成信息暴露,电磁辐射强度影响因素功率和频率距离因素屏蔽状况预防措施选用低辐射设备利用噪声干扰源采取屏蔽措施距离防护采用微波吸收材料,48,2019/12/15,49,可编辑,设备运行的良好环境建设机房，应当参照有关国家标准，如GB50174-2008电子信息系统机房设计规范机房的选址和设备的放置要考虑火灾、地震、洪水、风暴等可能的自然威胁，以及爆炸、蓄意破坏、盗窃、恐怖袭击、暴动等可能的人为威胁机房、办公场所和通信线路铺设需要考虑通信中断、电力中断等支撑性基础设施失效的问题,支持性设施,电力供应关系到企业的营运是否正常电源：防止电源故障与供电不正常的现象多路供电、不间断电源UPS、备用发电机,50,支持性设施,HVAC（适当的供暖、通风和空调）数据中心或服务器机房的空调控制应当与大楼其它部分隔离计算机房空调不同于舒适性空调和常规恒温恒湿空调消防设施：火灾的预防、检测和排除火灾燃烧的条件火灾预防-减少火灾起因火灾检测-在火灾发生前，接受火灾警报灭火-如何灭火，并降低到最小损失,51,人身安全的重要性,以人为本，人身安全最重要不要忘记人是系统资产的重要组成部分办公室、机房应为操作人员提供健康的工作环境突发灾难时，人身安全是首先需要保障的,52,知识域：信息安全控制措施,知识子域：通信和操作管理理解操作程序和职责、第三方服务交付管理、系统规划和验收、防范恶意代码、备份、网络安全管理、介质处置、信息的交换、电子商务服务、监视和访问控制这些控制目标的含义掌握实现这些控制目标的控制措施的实施方法,53,Why？,案例1：年月日，美国空军一架战略轰炸机误装枚核弹后，从北部的北达科他州飞往南部的路易斯安那州。这一空前事件显示了美国空军对核武器指挥和控制体系中的漏洞。案例2：数据库管理员由于疏忽进行了误操作,将重要的信息删除了。案例3：涉密计算机出现故障硬盘数据丢失，使用人员将硬盘拿到社会上的数据恢复公司进行恢复，造成秘密泄露。,54,通信和操作管理,控制目标（1）操作程序和职责（2）第三方服务交付管理（3）系统规划和验收（4）防范恶意代码（5）备份（6）网络安全管理（7）介质处置（8）信息的交换（9）电子商务服务（10）监视,55,(1)操作程序和职责,控制目标：确保正确、安全地操作信息处理设施控制措施：文件化的操作程序,56,变更管理责任分割开发、测试和运行设施分离,(2)第三方服务交付管理,控制目标：对第三方服务进行管理，使其交付的服务符合第三方服务交付协议，并保持在适当水平控制措施：服务交付,57,第三方服务的监视和评审第三方服务的变更管理,(3)系统规划和验收,控制目标：将系统失效的风险降至最小控制措施：容量管理,58,系统验收,(4)防范恶意代码,控制目标：保护软件和信息的完整性控制措施：控制恶意代码,59,(5)备份,控制目标：保持信息和信息处理设施的完整性及可用性控制措施：信息备份,60,备份资料必须给予适当级别与保护定期测试备份介质定期检查与测试恢复步骤,(6)网络安全管理,控制目标：确保网络中信息和支持性基础设施的安全性控制措施：网络控制,61,网络服务安全,(7)介质处置,控制目标：防止资产遭受未授权泄露、修改、移动、销毁及业务活动的中断控制措施：可移动介质的管理,62,介质的处置,(8)信息的交换,控制目标：保持组织内以及与外部组织信息和软件交换的安全控制措施：信息交换策略和规程,63,交换协议运输中的物理介质电子消息发送,(9)电子商务服务,控制目标：确保电子商务服务及使用的安全控制措施：电子商务,64,在线交易,(10)监视,控制目标：检测未经授权的信息处理活动控制措施：审计日志,65,监视系统的使用日志信息的保护管理员和操作员日志故障日志时钟同步,知识域：信息安全控制措施,知识子域：访问控制理解访问控制的业务要求、用户访问管理、用户职责、网络访问控制、操作系统访问控制、应用和信息访问控制、移动计算和远程工作这些控制目标的含义掌握实现这些控制目标的控制措施的实施方法,66,Why?,案例1：飞机登机，旅客的身份证号区别了不同的人，身份证证明确实是这名旅客来乘机，安检人员察看身份证和登机牌，扫描违禁物品后允许乘客登上机票中规定的航班。案例2：登录网站，用户ID区别了不同的用户，输入登录密码确定是这位用户，网络防火墙和服务器的权限管理系统允许用户使用网站中可以使用的功能。,67,访问控制,控制目标（1）访问控制的业务要求（2）用户访问管理（3）用户职责（4）网络访问控制（5）操作系统访问控制（6）应用和信息访问控制（7）移动计算和远程工作,68,(1)访问控制的业务要求,控制目标：基于业务目标和业务原则来控制对信息的访问控制措施：访问控制策略,69,(2)用户访问管理,控制目标：确保授权用户能够访问信息系统，防止非授权的访问控制措施：用户注册,70,特殊权限管理用户口令管理用户访问权的复查,(3)用户职责,控制目标：防止未授权用户对信息和信息处理设施的访问、危害或窃取控制措施：口令使用,71,无人值守的用户设备清空桌面和屏幕策略,(4)网络访问控制,控制目标：防止对网络服务的未授权访问控制措施：使用网络服务的策略,72,网络隔离,(5)操作系统访问控制,控制目标：防止对操作系统的未授权访问控制措施：安全登录规程,73,用户标识和鉴别口令管理系统系统实用工具的使用,(6)应用和信息访问控制,控制目标：防止对应用系统中信息的未授权访问控制措施：信息访问限制,74,(7)移动计算和远程工作,控制目标：确保使用移动计算和远程工作设施时的信息安全控制措施：移动计算和通信,75,远程工作,访问控制思路,由于服务是分层次的，攻击可能从各个层次发起，好的访问控制应该在多层面进行,只靠网络防火墙不能抵抗所有的攻击，操作系统层面、应用安全层面都要做好访问控制才行,76,知识域：信息安全控制措施,知识子域：信息系统获取、开发与维护理解信息系统的安全需求、应用中的正确处理、密码控制、系统文件的安全、开发和支持过程中的安全、技术脆弱性管理这些控制目标的含义掌握实现这些控制目标的控制措施的实施方法,77,信息系统获取、开发和维护,控制目标（1）信息系统的安全要求（2）应用中的正确处理（3）密码控制（4）系统文件的安全（5）开发和支持过程中的安全（6）技术脆弱性管理,78,(1)信息系统的安全需求,控制目标：确保安全是信息系统的一个有机组成部分控制措施：安全需求分析和说明,79,安全信息系统获取的基本原则和方法,安全信息系统获取的基本原则符合国家、地区及行业的法律法规量力而行，达到经济性与安全性间的平衡符合组织的安全策略与业务目标安全信息系统的获取策略外部采购自主开发或者自主开发与外包相结合采取何种获取策略在项目立项与可行性分析过程中得出结论,80,信息系统购买流程,选择中标供应商，并签订合同源代码托管(SourceCodeEscrow)安全紧急响应条款售后服务协议安全培训业务连续性与灾备条款,需求分析,市场招标,评标,选择供应商,签订合同,系统实施,系统运维,81,(2)应用中的正确处理,控制目标：防止应用系统中信息的错误、遗失、非授权修改及误用控制措施：输入数据验证,82,内部处理的控制消息完整性输出数据验证,(3)密码控制,控制目标：通过密码方法保护信息的保密性、真实性或完整性控制措施：使用密码控制的策略,83,密钥管理,(4)系统文件的安全,控制目标：确保系统文件的安全控制措施：运行软件的控制,84,系统测试数据的保护对程序源代码的访问控制,(5)开发和支持过程中的安全,控制目标：维护应用系统软件和信息的安全控制措施：变更控制程序,85,操作系统变更后应用的技术评审软件包变更的限制外包软件开发,(6)技术脆弱性管理,控制目标：降低利用公布的技术脆弱性导致的风险控制措施：技术脆弱性控制,86,小结,安全是信息系统需求的重要组成部