Lecture2信息安全测评与风险评估教学课件

1、s信息安全测评与风险评估信息安全测评与风险评估信息安全实验室教学团队信息安全实验室教学团队2 信息安全测评与风险评估信息安全测评与风险评估 工程工程 艺术艺术 天作之合天作之合Lecture2信息安全测评与风险评估教学信息安全测评与风险评估教学本次课程要点本次课程要点数据安全测评要点数据安全测评要点 数据安全询问条款数据安全询问条款 数据安全检查条款数据安全检查条款 数据安全测试条款数据安全测试条款 3 信息安全测评与风险评估信息安全测评与风险评估 工程工程 艺术艺术 天作之合天作之合Lecture2信息安全测评与风险评估教学信息安全测评与风险评估教学信息系统安全测评手段信息系统安全测评手段

2、医生看病：医生看病： “望、闻、问、切望、闻、问、切” 安全工程师看病：安全工程师看病： “闻与问闻与问” = 访谈访谈 “望与切望与切” = 检测检测 4 信息安全测评与风险评估信息安全测评与风险评估 工程工程 艺术艺术 天作之合天作之合Lecture2信息安全测评与风险评估教学信息安全测评与风险评估教学数据安全测评要点数据安全测评要点 CIA n 机密性机密性 n 完整性完整性 n 可用性可用性 数据安全数据安全 n 数据完整性数据完整性 n 数据保密性数据保密性 n 数据灾备性数据灾备性 检检 查查 测试测试 访谈访谈 5 信息安全测评与风险评估信息安全测评与风险评估 工程工程 艺术艺术

3、 天作之合天作之合Lecture2信息安全测评与风险评估教学信息安全测评与风险评估教学数据完整性访谈举例数据完整性访谈举例 第第3级测评要求级测评要求：应访谈：应访谈安全管理员安全管理员，询问主要，询问主要应用系统数据应用系统数据在存储、在存储、传输过程中是否有完整性保证措施，具体措施有哪些；在检测到完整传输过程中是否有完整性保证措施，具体措施有哪些；在检测到完整性错误时是否能恢复，恢复措施有哪些性错误时是否能恢复，恢复措施有哪些询问技术措施询问技术措施n 操作系统（操作系统（Windows/Linux/Unix） n 数据库数据库 （Oracle/SQL） n 硬件环境（磁盘阵列、硬件环境（

4、磁盘阵列、UPS电源、移动介质电源、移动介质）n 应用系统数字证书（电子签章应用系统数字证书（电子签章）n 询问管理措施询问管理措施n 有无灾备计划有无灾备计划/应急响应计划应急响应计划n 灾备计划灾备计划/应急响应计划中的相关条款有哪些？应急响应计划中的相关条款有哪些？n 6 信息安全测评与风险评估信息安全测评与风险评估 工程工程 艺术艺术 天作之合天作之合Lecture2信息安全测评与风险评估教学信息安全测评与风险评估教学数据保密性访谈研讨数据保密性访谈研讨 第第3级测评要求级测评要求：1）应访谈）应访谈网络管理员网络管理员，询问信息系统中的主要网络设备的鉴别信息、，询问信息系统中的主要网

5、络设备的鉴别信息、 敏感的系统管理数据和敏感的用户数据是否采用加密或其他有效措施敏感的系统管理数据和敏感的用户数据是否采用加密或其他有效措施 实现传输保密性；是否采用加密或其他保护措施实现存储保密性；实现传输保密性；是否采用加密或其他保护措施实现存储保密性； n 哪些是需要保密的网络数据？哪些是需要保密的网络数据？ n 哪些是敏感的系统管理数据？哪些是敏感的系统管理数据？n 哪些是敏感的用户数据？哪些是敏感的用户数据？n 如何保护？如何保护？ n 技术措施技术措施/管理措施管理措施 7 信息安全测评与风险评估信息安全测评与风险评估 工程工程 艺术艺术 天作之合天作之合Lecture2信息安全测

6、评与风险评估教学信息安全测评与风险评估教学数据保密性访谈研讨数据保密性访谈研讨 第第3级测评要求级测评要求：2）应访谈）应访谈系统管理员系统管理员，询问信息系统中的主要操作系统的鉴别信息、，询问信息系统中的主要操作系统的鉴别信息、敏感的系统管理数据和敏感的用户数据是否采用加密或其他有效措施敏感的系统管理数据和敏感的用户数据是否采用加密或其他有效措施实现传输保密性；是否采用加密或其他保护措施实现存储保密性；实现传输保密性；是否采用加密或其他保护措施实现存储保密性；n 哪些是需要保密的操作系统数据？哪些是需要保密的操作系统数据？ n 哪些是敏感的系统管理数据？哪些是敏感的系统管理数据？n 哪些是敏

7、感的用户数据？哪些是敏感的用户数据？n 如何保护？如何保护？ n 技术措施技术措施/管理措施管理措施 8 信息安全测评与风险评估信息安全测评与风险评估 工程工程 艺术艺术 天作之合天作之合Lecture2信息安全测评与风险评估教学信息安全测评与风险评估教学数据保密性访谈研讨数据保密性访谈研讨 第第3级测评要求级测评要求：3）应访谈）应访谈数据库管理员数据库管理员，询问信息系统中的主要数据库管理系统的鉴，询问信息系统中的主要数据库管理系统的鉴别信息、敏感的系统管理数据和敏感的用户数据是否采用加密或其他别信息、敏感的系统管理数据和敏感的用户数据是否采用加密或其他有效措施实现传输保密性；是否采用加密

8、或其他保护措施实现存储保有效措施实现传输保密性；是否采用加密或其他保护措施实现存储保密性；密性；n 哪些是需要保密的数据库管理系统数据？哪些是需要保密的数据库管理系统数据？ n 哪些是敏感的系统管理数据？哪些是敏感的系统管理数据？n 哪些是敏感的用户数据？哪些是敏感的用户数据？n 如何保护？如何保护？ n 技术措施技术措施/管理措施管理措施 9 信息安全测评与风险评估信息安全测评与风险评估 工程工程 艺术艺术 天作之合天作之合Lecture2信息安全测评与风险评估教学信息安全测评与风险评估教学数据保密性访谈研讨数据保密性访谈研讨 第第3级测评要求级测评要求：4）应访谈）应访谈安全管理员安全管理

9、员，询问信息系统中的主要，询问信息系统中的主要应用系统应用系统的鉴别信息、的鉴别信息、敏感的系统管理数据和敏感的用户数据是否采用加密或其他有效措施敏感的系统管理数据和敏感的用户数据是否采用加密或其他有效措施实现传输保密性；是否采用加密或其他保护措施实现存储保密性；实现传输保密性；是否采用加密或其他保护措施实现存储保密性；n 哪些是需要保密的应用系统数据？哪些是需要保密的应用系统数据？ n 哪些是敏感的系统管理数据？哪些是敏感的系统管理数据？n 哪些是敏感的用户数据？哪些是敏感的用户数据？n 如何保护？如何保护？ n 技术措施技术措施/管理措施管理措施 10 信息安全测评与风险评估信息安全测评与

10、风险评估 工程工程 艺术艺术 天作之合天作之合Lecture2信息安全测评与风险评估教学信息安全测评与风险评估教学数据保密性访谈研讨数据保密性访谈研讨 第第3级测评要求级测评要求：5）应访谈应访谈安全管理员安全管理员，询问当使用，询问当使用便携式和移动式设备便携式和移动式设备时，是否加密时，是否加密或者采用可移动磁盘存储敏感信息。或者采用可移动磁盘存储敏感信息。n如何保护？如何保护？ n 技术措施技术措施/管理措施管理措施 11 信息安全测评与风险评估信息安全测评与风险评估 工程工程 艺术艺术 天作之合天作之合Lecture2信息安全测评与风险评估教学信息安全测评与风险评估教学数据灾备访谈研讨

11、数据灾备访谈研讨 第第3级测评要求级测评要求：1）应访谈）应访谈网络管理员网络管理员，询问信息系统中的，询问信息系统中的主要网络设备主要网络设备是否提供本地是否提供本地数据备份与恢复功能，完全数据备份是否每天一次；备份介质是否场数据备份与恢复功能，完全数据备份是否每天一次；备份介质是否场外存放；是否提供利用通信网络将关键数据定时批量传送的异地数据外存放；是否提供利用通信网络将关键数据定时批量传送的异地数据备份功能；是否不存在关键节点的单点故障；关键网络设备、通信线备份功能；是否不存在关键节点的单点故障；关键网络设备、通信线路和数据处理系统是否具有高可用性；路和数据处理系统是否具有高可用性；n

12、需要查看哪些文档资料？（这属于现场检查的工作吗？）需要查看哪些文档资料？（这属于现场检查的工作吗？） n 需要核对哪些情况？（这属于现场检查的工作吗？）需要核对哪些情况？（这属于现场检查的工作吗？） n 技术措施技术措施/管理措施管理措施 12 信息安全测评与风险评估信息安全测评与风险评估 工程工程 艺术艺术 天作之合天作之合Lecture2信息安全测评与风险评估教学信息安全测评与风险评估教学数据灾备访谈研讨数据灾备访谈研讨 第第3级测评要求级测评要求：2）应访谈）应访谈系统管理员系统管理员，询问信息系统中的主要，询问信息系统中的主要主机操作系统主机操作系统是否提供是否提供本地数据备份与恢复功

13、能，完全数据备份是否每天一次；备份介质是本地数据备份与恢复功能，完全数据备份是否每天一次；备份介质是否场外存放；否场外存放；n 需要查看哪些文档资料？（这属于现场检查的工作吗？）需要查看哪些文档资料？（这属于现场检查的工作吗？） n 需要核对哪些情况？（这属于现场检查的工作吗？）需要核对哪些情况？（这属于现场检查的工作吗？） n 技术措施技术措施/管理措施管理措施 13 信息安全测评与风险评估信息安全测评与风险评估 工程工程 艺术艺术 天作之合天作之合Lecture2信息安全测评与风险评估教学信息安全测评与风险评估教学数据灾备访谈研讨数据灾备访谈研讨 第第3级测评要求级测评要求：3）应访谈）应

14、访谈数据库管理员数据库管理员，询问信息系统中的，询问信息系统中的主要数据库管理系统主要数据库管理系统是否是否提供本地数据备份与恢复功能，完全数据备份是否每天一次；备份介提供本地数据备份与恢复功能，完全数据备份是否每天一次；备份介质是否场外存放；质是否场外存放；n 需要查看哪些文档资料？（这属于现场检查的工作吗？）需要查看哪些文档资料？（这属于现场检查的工作吗？） n 需要核对哪些情况？（这属于现场检查的工作吗？）需要核对哪些情况？（这属于现场检查的工作吗？） n 技术措施技术措施/管理措施管理措施 14 信息安全测评与风险评估信息安全测评与风险评估 工程工程 艺术艺术 天作之合天作之合Lect

15、ure2信息安全测评与风险评估教学信息安全测评与风险评估教学数据灾备访谈研讨数据灾备访谈研讨 第第3级测评要求级测评要求：4）应访谈）应访谈安全管理员安全管理员，询问信息系统中的，询问信息系统中的主要应用系统主要应用系统是否提供本地是否提供本地数据备份与恢复功能，完全数据备份是否每天一次；备份介质是否场数据备份与恢复功能，完全数据备份是否每天一次；备份介质是否场外存放。外存放。n 需要查看哪些文档资料？（这属于现场检查的工作吗？）需要查看哪些文档资料？（这属于现场检查的工作吗？） n 需要核对哪些情况？（这属于现场检查的工作吗？）需要核对哪些情况？（这属于现场检查的工作吗？） 参阅教材参阅教材

16、 表表3.1 “数据安全测评访谈问卷调查表数据安全测评访谈问卷调查表” 15 信息安全测评与风险评估信息安全测评与风险评估 工程工程 艺术艺术 天作之合天作之合Lecture2信息安全测评与风险评估教学信息安全测评与风险评估教学数据完整性检查项数据完整性检查项 第第3级测评要求级测评要求：1）应检查）应检查主机操作系统主机操作系统、网络设备操作系统网络设备操作系统、数据库管理系统数据库管理系统的设的设计计/验收文档或相关证明性材料（如证书、检验报告等）等，查看其验收文档或相关证明性材料（如证书、检验报告等）等，查看其是否有能检测是否有能检测/验证到系统管理数据（如验证到系统管理数据（如WIND

17、OWS域管理、目录管域管理、目录管理数据）、鉴别信息（如用户名和口令）和用户数据（如用户数据理数据）、鉴别信息（如用户名和口令）和用户数据（如用户数据文件）在传输过程中完整性受到破坏，能检测到系统管理数据、身文件）在传输过程中完整性受到破坏，能检测到系统管理数据、身份鉴别信息和用户数据（如防火墙的访问控制规则）在存储过程中份鉴别信息和用户数据（如防火墙的访问控制规则）在存储过程中完整性受到破坏，能检测到重要程序的完整性受到破坏，在检测到完整性受到破坏，能检测到重要程序的完整性受到破坏，在检测到完整性错误时采取必要的恢复措施的描述；如果有相关信息，查看完整性错误时采取必要的恢复措施的描述；如果有

18、相关信息，查看其配置是否正确；其配置是否正确；n 怎样查看相关文档和证明材料（如验收文档怎样查看相关文档和证明材料（如验收文档/证书信息证书信息/等）等） 相关链接相关链接 16 信息安全测评与风险评估信息安全测评与风险评估 工程工程 艺术艺术 天作之合天作之合Lecture2信息安全测评与风险评估教学信息安全测评与风险评估教学数据完整性检查项数据完整性检查项 第第3级测评要求级测评要求：2）应检查主要）应检查主要应用系统应用系统，查看其是否配备检测，查看其是否配备检测/验证系统管理数据、验证系统管理数据、 鉴别信息和用户数据在传输过程中完整性受到破坏的功能；是否配备鉴别信息和用户数据在传输过

19、程中完整性受到破坏的功能；是否配备 检测检测/验证系统管理数据、身份鉴别信息和用户数据在存储过程中完验证系统管理数据、身份鉴别信息和用户数据在存储过程中完 整性受到破坏的功能；是否配备检测整性受到破坏的功能；是否配备检测/验证重要程序完整性受到破坏验证重要程序完整性受到破坏 的功能；在检测的功能；在检测/验证到完整性错误时能采取必要的恢复措施；验证到完整性错误时能采取必要的恢复措施； n 课堂实验一课堂实验一 17 信息安全测评与风险评估信息安全测评与风险评估 工程工程 艺术艺术 天作之合天作之合Lecture2信息安全测评与风险评估教学信息安全测评与风险评估教学数据完整性检查项数据完整性检查

20、项 第第3级测评要求级测评要求：3）应检查主要）应检查主要应用系统应用系统，查看其是否配备检测程序完整性受到破坏，查看其是否配备检测程序完整性受到破坏的功能；并在检测到完整性错误时采取必要的恢复措施。的功能；并在检测到完整性错误时采取必要的恢复措施。n 课外实验一课外实验一 18 信息安全测评与风险评估信息安全测评与风险评估 工程工程 艺术艺术 天作之合天作之合Lecture2信息安全测评与风险评估教学信息安全测评与风险评估教学数据保密性检查项数据保密性检查项 第第3级测评要求级测评要求：1）应检查主要）应检查主要主机操作系统主机操作系统、网络设备操作系统、数据库管理系网络设备操作系统、数据库

21、管理系统统、应用系统应用系统的设计的设计/验收文档或相关证明性材料（如证书等），查验收文档或相关证明性材料（如证书等），查看其是否有关于鉴别信息、敏感的系统管理数据和敏感的用户数据采看其是否有关于鉴别信息、敏感的系统管理数据和敏感的用户数据采用加密或其他有效措施实现传输保密性描述，是否有采用加密或其他用加密或其他有效措施实现传输保密性描述，是否有采用加密或其他保护措施实现存储保密性的描述；保护措施实现存储保密性的描述；n 怎样查看相关文档和证明材料（如验收文档怎样查看相关文档和证明材料（如验收文档/证书信息证书信息/等）等） 相关链接相关链接 19 信息安全测评与风险评估信息安全测评与风险评估 工程工程 艺术艺术 天作之合天作之合Lecture2信息安全测评与风险评估教学信息安全测评与风险评估教学数据保密性检查项数据保密性检查项 第第3级测评要求级测评要求：2）应检查主要）应检查主要应用系统应用系统，查看其鉴别信息、敏感的系统管理数据和，查看其鉴别信息、敏感的系统管理数据和敏感的用户数据是否采用加密或其他有效措施实现传输保密性描述，敏感的用户数据是否采用加密或其他有效措施实现传输保密性描述，是否采用加密或其他保护措施实现存储保密性是否采用加密或其他保护措施实现存储保密性n 课堂实验二课堂实验二 20