第一部分信息安全基础知识.ppt

ISMS内审员培训课程 SGS CSTC通标标准技术服务有限公司SGS CSTCStandardsTechnicalServicesCo Ltd 第一部分信息安全基础知识及案例介绍第二部分ISO27001标准正文部分详解ISO27001标准附录A详解第三部分信息安全风险评估与管理第四部分体系文件编写第五部分信息安全管理体系内部审核 课程内容 了解信息安全基础知识熟悉ISO27001标准熟悉信息安全风险管理的基本方法熟悉和掌握信息安全管理体系内审方法和技巧 总体课程目标 欢迎参加ISMS内审员课程培训 SGS CSTC介绍讲师介绍 第一部分信息安全基础知识 了解信息安全基础知识认识信息安全对组织的重要性了解基本的攻击与防御技术知识通过信息安全案例增强安全意识初步接触ISO IEC27001 2005 教学目标 信息是经过分析 共享和理解的数据 信息的基本概念 信息的处理方式 企业管理关注的信息类型 雇员的大脑 42 纸质文件 26 电子文档 20 其他 12 不论信息采取何种方式或采取何种手段共享或存储 它总应得到妥善保护 组织的 信息 在哪里 信息安全定义 部分 国标 计算机信息系统安全保护等级划分准则 定义 计算机信息人机系统安全的目标是着力于实体安全 运行安全 信息安全和人员安全维护 安全保护的直接对象是计算机信息系统 实现安全保护的关键因素是人 部标 计算机信息系统安全专用产品分类原则 定义是 本标准适用于保护计算机信息系统安全专用产品 涉及实体安全 运行安全和信息安全三个方面 ISO27002定义 信息安全是使信息避免一系列威胁 保障商务的连续性 最大限度地减少商务的损失 最大限度地获取投资和商务的回报 涉及的是机密性 完整性 可用性 国际标准化委员会定义 为数据处理系统而采取的技术的和管理的安全保护 保护计算机硬件 软件 数据不因偶然的或恶意的原因而遭到破坏 可用性 更改 完整性 显露 机密性 信息安全定义 百家争鸣 无一定论 管理 人员安全 数据 信息安全 运行安全 实体 物理安全 应用安全 系统安全 网络安全 物理安全 信息安全 数据安全 信息安全分层 机密性 Cf 真实性 Au 可控性 Ct 可用性 Av 国际 国内一些学者 信息安全的定义 ISO IEC27002 2005保持信息的保密性 完整性 可用性 另外 也包括其他属性 如 真实性 可核查性 不可否认性和可靠性 保密性 完整性 可用性 信息安全的定义 Slide18 rev0 ISO27002 CMM CMMISCAMPI StandardCMMIAppraisalMethodforProcessImprovement ITIL ISO12207ISO15504 SPICE SoftwareProcessImprovementandCapabilitydetermination ISO20000 ISO27001 ISO13335 COBIT 各种概念 BCM BS25999 ISO15408 CC ISO9001 COSO Servicemgmt AP Dev SDLC Projectmgmt ITSecurity ITPlanning QualitySystem ITOperations Enter mgmt Riskmgmt ITGov QualitySystems Mgmt Frameworks COSO BS31100 SOX ISO38500 COBIT ISO20000 ITIL CMMI SVC CMMIISO12207ISO15504 ISO2700X ISO13335 SOXPCI GLBA HIPAA BaseII PMI ISStrategy SIXSigma ISO900X BCM BS25999BS25777 Mainregulationsandstandards SOX impactpubliccompaniesandfocusonfinancialinformationGramm Leach Bliley impactfinancialindustryandfocusoncustomerinformationHIPAA impactmedicalindustryandfocusoninformationofpatients employees customers shareholders PCIDSS impactpaycardindustryandfocusoninformationofcardholdersISO27001 GeneralstandardsISO20000 focusonITservicesindustryOthers BaseII SCANDA CA1386 FISMA NIST 信息具有重要的价值信息社会对信息的高度依赖信息的高附加值会引起盗窃 滥用等威胁信息及系统固有的脆弱性信息本身易传播 易毁坏 易伪造信息平台的脆弱性客观存在 不可避免的因素 技术局限 人的能力局限 没有避免的因素 默认配置 威胁客观存在恶意攻击 企业间谍 内部系统的误用 滥用 敌对势力等 信息为什么会有安全问题 网络为什么不安全 因为你连在网上 网络的美妙之处在于你和每个人都能互相连接网络的可怕之处在于每个人都能和你互相连接 信息资产 内部 外部泄密 拒绝服务攻击 逻辑炸弹 黑客攻击 计算机病毒 信息丢失 篡改 销毁 后门 隐蔽通道 信息安全面临各种安全威胁 TCP IP的每个层次都存在攻击 常规的防护技术措施 物理安全技术 环境安全 设备安全 媒体安全 系统安全技术 操作系统及数据库系统的安全性 网络安全技术 网络隔离 访问控制 VPN 入侵检测 扫描评估 应用安全技术 Email安全 Web访问安全 内容过滤 应用系统安全 数据加密技术 硬件和软件加密 实现身份认证和数据信息的CIA特性 认证授权技术 口令认证 SSO认证 例如Kerberos 证书认证等 访问控制技术 防火墙 访问控制列表等 审计跟踪技术 入侵检测 日志审计 辨析取证 防病毒技术 单机防病毒技术逐渐发展成整体防病毒体系 灾难恢复和备份技术 业务连续性技术 前提就是对数据的备份 信息安全 技术 产品 防病毒软件 防火墙 入侵检测系统 是不是把相关技术及产品都部署到位了 就安全了呢 到底如何做才能真正保障信息安全呢 下面我们先来看几个案例 北京市民抢购热情高奥运售票系统瘫痪 2007年10月30日星期二14 51路透北京10月30日电 记者NickMulvenney 刘蓁 2008北京奥运会门票销售的第二阶段周二早上开始 由于购票者甚多 订票网站和电话线全部堵塞 购票定点银行的门前也排起了长队 奥组委宣布 在售票系统开启後的第一个小时 订票网站的点击量就达到了800万 组委会还接到了200万个订票电话 由于当前访问量过大 票务销售系统数据处理能力相对有所不足 从而造成目前各售票渠道出现售票速度较慢 暂时不能登录系统的情况 北京奥组委在奥运会官方网站 上说 北京奥运票务中心正在积极采取措施 增加系统处理能力 改善目前的运行状况 因此 通过中国银行和呼叫中心购票的公众需晚些时候再尝试申购 诺顿误杀导致操作系统崩溃数百万电脑面临灭顶之灾 诺顿误杀导致操作系统崩溃数百万电脑面临灭顶之灾2007年05月18日17 12 00来源 新华网新华网北京 月 日专电 记者顾洪洪 诺顿误杀导致操作系统崩溃 数以百万计的电脑面临灭顶之灾 月 日 瑞星发布红色安全警报称 赛门铁克公司提供的诺顿杀毒软件在升级病毒库后 会把 系统的关键系统文件当作病毒清除 重启后系统将会瘫痪 瑞星公司表示 截至 日中午 点已有超过 名个人用户和近百家企业用户向瑞星客户服务中心求助 更多用户由于系统繁忙无法打入电话 2001年9月11日 恐怖份子袭击了纽约世界贸易中心 造成3栋塔楼倒塌 近3000人失踪和死亡 DeutscheBank93年开始风险分析 并建立了一整套完整的业务连续性计划 BCP 以应对突发事件或灾难 灾难发生后 德意志银行调动4000多名员工及全球分行的资源 短时间内在距离纽约30公里的地方恢复了业务运行 911后 员工和客户对德意志银行都更加有信心 BankofNewYork 数据中心位于灾场附近 通讯线路全部中断 造成连锁反应 其第三季度的利润因此下降了33 应急预案与BCM 9 11事件中 1200家企业受灾 400家企业启动了灾难恢复计划 其中摩根士丹利公司几天后在新泽西州恢复营业 而无灾备能力的企业损失惨重 据GartnerGroup统计 在经历大型灾难事件而导致系统停运的公司中 有2 5左右再也没有恢复运营 剩下的公司中也有接近1 3在两年内破产 应急预案与BCM 2006年2月27日 中央电视台报道了全国最大的网上盗窃通讯资费案 UT斯达康中国有限公司深圳分公司资深软件研发工程师31岁的程姓工程师 在任华为工程师时负责西藏移动等公司的设备安装工作 自2005年2月 从西藏移动公司系统进入北京移动公司的充值中心数据库 获得最高系统权限 根据 已充值 的充值卡显示的18位密码破解出对应的34位密钥 然后把 已充值 状态改为 未充值 并修改其有效日期 激活了已经使用过的充值卡 利用特权进入充值数据库 案例一 信息来源网易 在随后4个多月中他在充值数据库中如此操作 并复制出了14000个充值密码 他把面值300元的充值密码以281 5到285元面值不等价格在网上售出 获利380万元 2005年7月 程稚瀚在窃取最后一批密码时 忘记了修改有效日期 他的这个 疏忽 让买卡的客户向北京移动投诉 7月16日 北京移动接到用户投诉说购买的充值卡无法充值 这才发现密码被人盗窃并报警 获利380万元 被判处有期徒刑12年 剥夺政治权利2年 罚款5万元 案例一 案例一剖析 原因 措施 加强对系统特权帐户的管理口令强壮 定期更新加强系统审计加密符合国家标准 程有特权帐户和密码承包商未对系统特权帐户善后客户系统管理员未审计日志加密方法简单 软件泄密打开日本信息安全天窗 案例二 网易转载新华网 2006年2月下旬 海上自卫队护卫舰相关密码信息流失到国际互联网上 3月份 陆上自卫队和航空自卫队的业务信息 冈山县和爱媛县警方的搜查信息泄露 其他的流失信息还包括医院的患者个人信息 银行的票据处理记录 学校的学生成绩表等 日本首相小泉纯一郎 指示官房长官安倍晋三调查 人们发现一系列信息泄漏事件有一个共同点 那就是这些机构内部工作人员都曾经用装有winny软件的私人电脑处理公务 案例二 winny是在日本广受欢迎的一款网络文件交换软件 用户可用它在网上检索感兴趣的电影 音乐和游戏等文件 如果在其他winny用户电脑的共享文件夹中找到了需要的文件 就可以随心所欲地下载 该软件于2002年12月问世 可以从网上免费下载 使用以往的软件交换文件需要通过服务器 而winny支持电脑间不经由服务器直接交换数据 winny基于自由网模式 用户的IP地址是保密的 同时它能有效突破防火墙 案例二 如果使用winny下载的文件中隐藏着 Antinny 等病毒 用户只要双击下载的文件图标 就会导致电脑感染病毒 病毒在电脑中任意将个人文件压缩后放置到共享文件夹中 导致信息泄漏 由于电脑本身不会出现异常 用户往往直到被别人告知自己的个人信息泄漏了 才意识到电脑感染了病毒 更为糟糕的是 流失的文件会被记录到许多电脑中 几乎不可能回收 案例二 今年几起事件涉及国家机密才在日本上下引起轩然大波 为尽快堵上信息安全领域的这扇 天窗 安倍晋三在3月9日召开的事务次官会议上要求贯彻信息管理措施 接到指示的各省厅都开始强化电脑管理制度 规定不能在政府机关内使用私人电脑 若需将个人信息或行政文件带出机关 必须获得上司的许可等 考虑到信息泄漏事件已扩散到民间企业 日本政府15日要求金融 航空等和国民生活及社会经济活动密切相关的基础行业彻底采取防止泄密的措施 案例二 案例二剖析 软件使用控制 软件白名单 信息分类分级保护信息安全意识使用正版软件如何使用开源和自由软件企业使用破解 开源 自由软件的风险 信息安全事件的构成 国家计算机应急响应中心2008年发布的数据 信息安全事件的构成 数据来源 中国人民银行 2000 2006 国内银行业信息系统灾难情况统计数据 如果发生信息安全问题 技术往往落后于风险的出现 在计算机病毒与病毒防治软件的对抗过程中 经常是在一种新的计算机病毒出现并已经造成大量损失后 才能开发出查杀该病毒的软件 技术管理不当 带来新风险 即使某些安全技术和产品在指标上达到了实际应用的某些安全需求 如果配置和管理不当 还是不能真正地实现这些安全需求 例如 虽然在网络边界设置了防火墙 但出于风险分析欠缺 安全策略不明或是系统管理人员培训不足等原因 防火墙的配置出现严重漏洞 其安全功效将大打折扣 再如 虽然引入了身份认证机制 但由于用户安全意识薄弱 再加上管理不严 使得口令设置或保存不当 造成口令泄漏 那么依靠口令检查的身份认证机制会完全失效 信息安全不是单纯的技术问题 信息安全是组织的一个业务问题 需要管理的承诺和支持信息安全技术并不能解决所有的安全问题信息安全要从多方面进行管理 人员物理安全网络安全业务持续性知识产权 早期重安全技术 忽略人和制度 信息安全产品越堆越高头痛医头 脚痛医脚 不成体系重外部安全 轻内部安全 Controlfromarrangementguard控制 增加人员 增加人员 每个机器旁都设立一名职业保安 Controlfrommanagementguideline控制 管理方法 改进管理方法 每次下班都将主机搬入仓库 将笔记本带在身边 进行技术改造 主机机箱加锁 USB拷贝软件控制 Controlfromupgradinginfrastructure控制 技术改造 探索怎样才算安全了 很遗憾