第次课信息安全管理体系PPT课件.ppt

信息安全管理 Informationsecuritymanagement 授课内容 信息安全管理体系2授课对象 主讲教员 唐慧林 1 本节内容 6 2 1 等级测评基本概念 3 信息安全技术和管理概念在发展深化 从信息保密阶段 60 70年代 信息安全保护阶段 80 90年代 发展到信息保障阶段 90年未 IATF发布 信息安全测评也得到同步发展 从80 90年代关注信息安全产品的质量保证和安全评测发展到信息系统的整体安全测试评估和研究上来 从只重技术到技术 管理并重的全面测评 1 等级测评基本概念 1 1基本概念 背景 4 在我国 1994年 中华人民共和国计算机信息系统安全保护条例 的发布 开始关注信息系统的安全和测评 03年和04年 中央办公厅 国务院办公厅27号文 四部委66号文进一步规定 信息和信息系统的运营 使用单位按照等级保护的管理规范和技术标准 确定其信息和信息系统的安全保护等级 进行安全规划设计 安全建设施工 定期进行安全状况检测评估 国家指定信息安全监管职能部门按照等级保护的管理规范和技术标准的要求 对信息和信息系统的安全等级保护状况进行监督检查 1 1基本概念 背景 1 等级测评基本概念 5 测评是ISSE的重要环节 测评活动跨越整个ISSE过程 为信息系统提供安全保证 1 2基本概念 作用 1 等级测评基本概念 6 对信息系统实施等级保护的过程也是一个工程过程 应对其各个实施过程进行测评 以提供等级保护安全保证 确保信息系统安全等级保护标准在信息系统中得到合理的应用 促使信息系统达到应有安全防护能力 1 2基本概念 作用 1 等级测评基本概念 7 1 2基本概念 作用 1 等级测评基本概念 8 等级测评assessmentforclassifiedsecurityprotection具有相关资质的 独立的第三方测评服务机构 对信息系统的等级保护落实情况与信息安全等级保护相关标准要求之间的符合程度的测试评定 主体 测评服务机构对象 信息系统 被测系统 工作内容 等级保护标准要求的符合性评定方式 assessment 1 2基本概念 术语 1 等级测评基本概念 9 涉及到标准 信息系统安全等级保护基本要求 解决测评的目标和内容 信息系统安全等级保护测评准则 解决测评的方法 实施过程和判定要求 信息系统安全等级保护测评指南 解决测评的程序流程和过程要求 1 等级测评基本概念 1 2基本概念 术语 10 测评单元assessmentunit等级测评的最小工作单位 由测评项 测评方法 测评对象 测评实施和结果判定组成 1 2基本概念 术语 1 等级测评基本概念 11 测评强度assessmentintensity测评的广度和深度 体现测评工作的努力程度 访谈interview测评人员通过与信息系统用户 个人 群体 进行交流 讨论等活动 以获取证据证明信息系统安全保障措施是否有效的一种方法 检查examine测评人员通过对测评对象进行观察 查验 分析等活动 以获取证据证明信息系统安全保证措施是否有效的一种方法 测试test测评人员通过对测评对象按照预定的方法 工具使其产生特定的行为等活动 查看输出结果与预期结果的差异 以获取证据证明信息系统安全保证措施是否有效的一种方法 1 等级测评基本概念 1 2基本概念 术语 12 2 基本方法和测评强度 13 2 1基本方法 2 基本方法和测评强度 三种基本测评方法 访谈Interview检查Examine测试Test一种测评技巧 抽样是取出一部分产品或者部件作为其整体的代表性样品进行检测或校准的一种方法 14 2 1基本方法 2 基本方法和测评强度 访谈的对象是人员 典型的访谈包括 访谈信息安全主管 信息系统安全管理员 系统管理员 网络管理员 人力资源管理员 设备管理员和用户等 工具 管理核查表 checklist 适用情况 对技术要求 使用 访谈 方法进行测评的目的是为了了解信息系统的全局性 包括局部 但不是细节 方向 策略性和过程性信息 一般不涉及到具体的实现细节和具体技术措施 对管理要求 访谈的内容应该较为详细和明确的 15 2 1基本方法 2 基本方法和测评强度 检查包括 评审 核查 审查 观察 研究和分析等方式 检查对象包括文档 机制 设备等 工具 技术核查表 checklist 适用情况 对技术要求 检查 的内容应该是具体的 较为详细的机制配置和运行实现 对管理要求 检查 方法主要用于规范性要求 检查文档 16 2 1基本方法 2 基本方法和测评强度 测试包括 功能 性能测试 渗透测试等 测评对象包括机制和设备等 测试一般需要借助特定工具 扫描检测工具网络协议分析仪攻击工具渗透工具适用情况 对技术要求 测试 的目的是验证信息系统当前的 具体的安全机制或运行的有效性或安全强度 对管理要求 一般不采用测试技术 17 2 2测评强度 2 基本方法和测评强度 对信息系统的要求 安全等级级别越高 基本要求强度越强 体现为安全控制点越多 安全控制要求越细 对信息系统的测评 安全等级级别越高 测评强度越强 测评强度体现测评工作的努力程度 反映出测评的广度和深度 18 2 2测评强度 2 基本方法和测评强度 19 2 2测评强度 2 基本方法和测评强度 测评强度体现测评工作的努力程度 反映出测评的广度和深度 测评广度越大 范围越大 包含的测评对象就越多 就需要更大的努力 测评的深度越深 越需要在细节上展开 就越需要更大的努力 越大的努力程度就越能为测评提供更好的保证 体现测评强度越强 20 2 2测评强度 2 基本方法和测评强度 测评的广度和深度落实在具体的测评方法 访谈 检查和测试上 体现出访谈 检查和测试的努力程度不同 21 2 2测评强度 2 基本方法和测评强度 22 2 2测评强度 2 基本方法和测评强度 访谈方法的测评强度 23 2 2测评强度 2 基本方法和测评强度 检查方法的测评强度 24 2 2测评强度 2 基本方法和测评强度 测试方法的测评强度 25 2 2测评强度 2 基本方法和测评强度 测评强度反映到物理层面 举例 26 2 2测评强度 2 基本方法和测评强度 测评强度反映到网络层面 举例 27 3 主要测评内容3 1测评原则3 2被测系统3 3技术部分 五个层面 3 4管理部分 五个方面 28 3 主要测评内容 适当性所有参与安全测评工作的机构 为达到预定的强度等级 所采取的测评活动应该是适当的 公正性所有的测评活动应当没有偏见 相互认可的测评方案必须详细地提出不可接受的利益冲突 客观性既然不能完全摆脱个人主张或判断 测评人员应当在最小主观判断或主张情形下 基于明确定义的测评方法和解释 得到测评结果 3 1测评原则 29 可重复性和可再现性不论谁执行测评 依照同样的要求 使用同样的测评方法 对每个测评项的重复评估应该导出同样的结果 可再现性和可重复性的区别在于 前者与不同测评者测评结果的一致性有关 后者与同一测评者测评结果的一致性有关 可重用性出于成本和工作复杂性考虑 测评工作可以重用以前的测评结果 所有重用的结果 都应基于结果适用于目前的系统 并且能够反映出目前系统的安全状态基础之上 结果的完善性测评所产生的结果应当证明是良好的判断和对测评项的正确理解 测评过程和结果应当服从正确的测评方法以确保其满足了测评项的要求 3 主要测评内容 3 1测评原则 30 进入等级保护范围内的所有重要信息系统云南省人民政府 第130号令 云南省网络与信息系统安全监察管理规定具体而言 下列单位的信息系统 一 各级机关 二 银行 保险 证券等金融单位 三 邮政 电信单位 四 广播 电视 新闻出版单位 五 重点电力 煤炭 燃气 燃油等能源单位 六 航空 铁路和重点公路 水运等运输单位 七 水利及水源供给单位 八 重要物资储备单位 九 重点工程建设单位 十 大型工商 信息技术企业 十一 重点科研 教育机构 十二 医疗卫生 消防 紧急救援等社会应急服务机构 十三 需要实行重点保护的其他单位 3 2被测系统 3 主要测评内容 31 被测系统描述 物理安全 技术部分 管理部分 信息系统 等级 网络安全 主机安全 应用安全 数据安全 安全管理机构 安全管理制度 人员安全管理 系统建设管理 系统运维管理 3 2被测系统 3 主要测评内容 32 3 3被测系统 技术 物理层面物理层面构成组件包括信息系统工作的设施环境以及构成信息系统的硬件设备和介质等 物理层面构成组件可能分布在被测单位物理控制范围内 也可能位于被测单位物理控制范围外 一般来说 大部分物理层面构成组件位于被测单位的物理控制范围内 是物理层面安全测评的重点 3 主要测评内容 33 物理环境可以划分为一般客户机运行场地A 如数据录入室和一般终端室等 重要客户机运行场地B 如重要终端室 通信线路间C 如网络设备室等 和机房和介质存放地S 包括计算机机房和已记录的媒体存放间等 3 3被测系统 技术 3 主要测评内容 34 网络层面网络层面构成组件负责支撑信息系统进行网络互联 为信息系统各个构成组件进行安全通信传输 一般包括计算机 网络设备 连接线路以及它们构成的网络拓扑等 网络层面构成组件可能位于被测单位的物理控制范围内 也可能处于被测单位物理控制范围外 一般来说 大部分网络层面构成组件位于被测单位的物理控制范围内 是网络层面安全保护的重点 3 3被测系统 技术 3 主要测评内容 35 位于被测单位物理控制范围内的网络 通常是局域网 包括客户机 网络设备和服务器等 3 3被测系统 技术 3 主要测评内容 36 被测单位内的两个不同信息系统可能需要交换信息 而进行网络互联 内部互联 被测单位为了与其他单位 网络交换信息 可能需要与他们的网络互联 外部互联 网络互联一般都有网络连接边界 这些边界是网络安全测评的重点之一 3 3被测系统 技术 3 主要测评内容 37 设备共用设备共用是指被测系统和其他信息系统共用网络中的设备 通信线路和 或主机 共用设备的系统可能不需要交换信息 设备共用可能发生在内网 外网或者外网连接处 设备共用一般有三种基本方式 客户机共用 少 网络通信设备共用 服务器共用 3 3被测系统 技术 3 主要测评内容 38 系统层面系统层面主要是指主机系统 构成组件有服务器 终端 工作站等计算机设备 包括他们的操作系统 数据库系统及其相关环境等主机系统直接为信息系统的信息采集 加工 存储 传输 检索等提供运行环境 包括为信息系统用户提供人机交互的环境 通常采取身份鉴别 访问控制 安全审计 系统资源控制等安全功能 以保证系统的安全 目前常见的操作系统有Windows Linux和类UNIX等 数据库系统有Oracle Sybase MSSQLSERVER等 3 3被测系统 技术 3 主要测评内容 39 应用系统应用系统体系结构模型可以根据用户与数据之间所具有的层次来划分 即 单层应用体系结构模型 两层应用体系结构模型 多层 可以是三层或三层以上 应用体系结构模型 3 3被测系统 技术 3 主要测评内容 40 数据层面数据层面构成组件主要包括信息系统安全功能数据和用户数据 这些数据可能处于传输和处理过程中 也可能处于存储状态 对于传输和处理过程中的数据 一般有机密性和完整性的安全要求 而对于存储中的数据 还需要有备份恢复的安全要求 3 3被测系统 技术 3 主要测评内容 41 安全管理机构安全管理机构包括安全管理的岗位设置 人员配备 授权和审批 沟通和合作等方面内容 严格的安全管理应该由相对独立的职能部门和岗位来完成 安全管理制度在被测系统中 安全管理制度一般是文档化的 被正式制定 评审 发布和修订 内容包括策略 制度 规程 表格和记录等 构成一个塔字结构的文档体系 3 被测系统 管理 3 主要测评内容 42 安全管理制度文档体系 3 被测系统 管理 3 主要测评内容 43 人员安全管理人员安全管理包括信息系统用户 安全管理人员和第三方人员的管理 覆盖人员录用 人员离岗 人员考核 安全意识教育和培训 第三方人员管理等方面内容 系统建设管理系统建设管理包括系统定级 安全风险分析 安全方案设计 产品采购 自行软件开发 外包软件开发 工程实施 测试验收 系统交付 安全测评 系统备案等信息系统安全等级建设的各个方面 3 被测系统 管理 3 主要测