信息安全管理与法律法规-复习2014下

1、1信息安全管理与法律法规复习胡 勇 博士 副教授四川大学电子信息学院电话件：I.1 信息的形式文字声音图片视频隐藏的信息2I.3 信息的生命周期生成（输入）存储（保护）传送（迁移）使用（访问、输出）更新归档废弃3信息安全目标4看不懂进不来拿不走改不了跑不了可审查打不垮不知晓1、 信息安全属性保密性 Confidentiality 完整性 Integrity 可用性 Availability 不可否认性（抗抵赖） Non-repudiation 真实性 Authentication 可控性/可治理性 Controllability/Governability 可靠性 R

2、eliability 52、 信息安全划分标准信息安全事件信息安全属性被破坏的行为或状态信息系统风险信息安全事件发生的概率和后果 信息系统残留风险采取安全措施后剩余的风险信息安全的划分标准风险大小是信息安全的划分标准风险可接受即为安全的 信息安全工作要使得系统的残留风险可接受63、信息安全风险评估资产（保护对象）软件、硬件、数据、人、业务、声誉（品牌） 脆弱性（隐患的关键因素）软件、硬件、制度、人威胁（威胁源与行为）外部、内部，有意、无意、自然、人为可能性（动机和能力）蓄谋、偶然，资源，难度后果本身价值、直接和间接影响 74、实现信息安全的途径降低残留风险资产减少脆弱性降低价值威胁内部人员外部

3、人员自然环境85、信息系统风险-威胁自然环境鼠、蚁、光、磁、灰尘风雨雷电、地震、火山、洪水、磁暴、海啸、山体滑坡、天崩地裂（陨石、地陷、天坑）温度湿度、水、电、火酸碱腐蚀氧化锈蚀器件老化95、信息系统风险-威胁内部人员安全意识、习惯、疏忽技术水平被诈骗、威逼利诱或心怀不满身心被伤害105、信息系统风险-威胁外部人员个人兴趣或利益团伙作案国家对抗115、信息系统风险-威胁行为恶意代码病毒、木马、蠕虫、逻辑炸弹XSS攻击不当使用错误地读写、开关设备、电源供电、接口，非法访问利用漏洞访问提权125、信息系统风险-威胁行为盗取信息设备失窃木马传输搭线窃听、电磁窃听、无线键盘、显示屏信号还原、信息流分析

4、破坏系统完整性DDoS信息战、电子战136、信息系统风险-后果直接损失设备购置成本系统恢复人力时间相关业务间接损失内部信心组织信誉法律责任预期业务147、信息系统风险-可能性威胁源技术水平资源攻击兴趣漏洞公开时间与详尽程度相应攻击工具漏洞利用的难易漏洞挖掘的难易15I.4 风险无处不在 信息安全风险在信息生命周期的任何阶段都可能存在，必须慎之又慎！16I.5 信息安全技术的局限性核心技术未掌握，技术一直在发展人为原因技术无法完全解决通过管理使技术正确使用技术可能成本太高组织或国家级对抗，技术防不胜防技术有高低，管理相对容易做到1718“信息安全”问题“信息系统”安全问题信息技术引发的其他安全问

5、题信息系统安全的保护目标与所属组织的安全利益是完全一致的，具体体现为对信息的保护、对系统的保护和对信息使用的监管。0.1.3 广义的信息安全190.3 信息安全的对策国家层面法律法规、政策、国家标准社会层面道德行业层面行规、行业标准组织层面规章制度个人培训、意识、行为规范201.1.4 信息安全管理措施来源要求法律、法规、政策网络道德信息安全管理规范与技术标准风险评估组织开展正常业务的需要211.1.5 信息安全管理层次政策、法律/法规国家按照统治阶级的利益和意志制定和认可、并由国家强制力保障其实施的行为规范的总和。 标准、规范、指南衡量事物的准则或作为准则的事物，包含技术规范或其他被一致地用

6、作规则、指南或角色定义的精确的准则，以便保证材料、产品、过程和服务合乎一定的目的。 道德、文化依靠社会舆论、传统习惯、教育和人的信念的力量去调整人与人、个人与社会之间关系的一种特殊的行为规范。 组织的规章制度刑法中惩治计算机犯罪条款非法侵入计算机信息系统罪中华人民共和国刑法第285条规定：“违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。”犯罪手段？其他计算机可以侵入？本罪属行为犯刑法中惩治计算机犯罪条款破坏计算机信息系统功能罪刑法第286条第1款规定：“违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正

7、常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。”犯罪动机？计算机信息系统的功能有哪些？什么行为可能触犯该条款？本罪属结果犯刑法中惩治计算机犯罪条款破坏计算机信息系统数据、应用程序罪中华人民共和国刑法第286条第2款规定：“违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。”刑法中惩治计算机犯罪条款故意制作、传播计算机病毒等破坏性程序罪刑法第286第3款规定：“故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。”该罪与破坏计算机信息系统功

8、能罪可能重叠破坏性程序硬件设备（接入时激活）炸弹逻辑炸弹（时间、程序等条件激活）贪婪程序（消耗资源）木马蠕虫刑法中惩治计算机犯罪条款适用于一切利用计算机实施的其他犯罪刑法第287条规定：“利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。” 保守国家秘密法制订中华人民共和国保守国家秘密法是为保守国家秘密，维护国家的安全和利益，保障改革开放和社会主义建设事业的顺利进行。该法第2条对国家秘密作了明确定义，即国家秘密是关系国家的安全和利益，依照法定程序确定，在一定时间内只限一定范围的人员知悉的事项。一切国家机关、武装力量、政党、社会团体、企业事业单位

9、和公民都有保守国家秘密的义务。 保守国家秘密的工作，实行积极防范、突出重点、既确保国家秘密又便利各项工作的方针。 保密室的有关规定商用密码管理条例商用密码，是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。商用密码产品，是指采用密码技术对不涉及国家秘密内容的信息进行加密保护或安全认证的产品。 商用密码技术属于国家秘密。国家对商用密码产品的科研、生产、销售和使用实行专控管理。 291.4.2 信息安全分类分级保护 对信息和信息系统进行分级保护是体现统筹规划、积极防范、突出重点的信息安全保护原则的重大措施。最有效和科学的方法是在维护安全、健康、有序的网络运行环境的同

10、时，以分级分类的方式确保信息和信息系统安全既合符政策规范，又满足实际需求。301.4.3 信息安全等级保护发展历程以保护程度划分等级以管理程度划分等级以重要程度划分等级311.4.5 等级保护内容信息系统分等级保护信息安全产品分等级管理信息安全事件分等级响应、处置32涉密信息系统定级信息系统涉及国家秘密的部分按照涉密信息系统分级保护管理办法(国保发200516号)和涉及国家秘密的信息系统分级保护技术要求（国家保密标准BMBl7-2006）确定信息系统的安全保护等级。跨市或者全省统一联网运行的信息系统可以由主管部门统一确定安全保护等级。涉密信息系统按照所处理信息的最高密级，由低到高分为秘密、机密

11、、绝密三个等级。331.5 信息安全管理 34信息安全理念木桶原理适度安全原则最小权限原则权限分割原则351.5.1 ISO/IEC 27002的发展历程ISO/IEC 27002:2005 （2007年）ISO/IEC 17799:2005 ISO/IEC 17799:2000 BS 7799 Part 1: 1999 BS 7799:1995 DTI Code of Practice for Information Security Management NCC Code of Practice361.5.2 信息安全管理体系ISO/IEC 27000 概述和词汇ISO/IEC 27001

12、 信息安全管理体系 要求 ISO/IEC 27002 信息安全管理体系 实用规则ISO/IEC 27003 信息安全管理体系 实施指南 ISO/IEC 27004 信息安全管理度量 ISO/IEC 27005 信息安全风险管理 ISO/IEC 27006 ISMS认证机构的认可要求ISO/IEC 27007 信息安全管理体系审核指南371.5.2 ISO 27002内容The Contents of ISO 17799 / 27002StructureRisk Assessment and TreatmentSecurity PolicyOrganization of Information

13、SecurityAsset ManagementHuman Resources SecurityPhysical SecurityCommunications and Ops ManagementAccess ControlInformation Systems Acquisition, Development, MaintenanceInformation Security Incident managementBusiness ContinuityCompliance381.5.3 控制措施选择选择前提法律约束组织目标安全要求、系统运行可能面临的风险组织能承担的成本安全投入与收益（避损）的

14、平衡将风险降低到可接受的级别在系统和项目需求说明书和设计阶段就应考虑选择控制措施隐私保护、记录保存、知识产权39风险评估与处理依据组织需求，识别、量化风险。其结果用于指导并确定适当的管理措施及其优先级风险评估应定期/不定期进行风险处置规避降低转嫁接受401.6 信息安全管理实用规则GB/T 22081-2008 11个方面，39个控制目标，133个控制措施11个方面（控制目标数）信息安全方针（1） 信息安全的各方（2）资产管理（2） 人力资源安全（3）物理和环境安全（2） 通信和操作管理（10）访问控制（7） 信息系统获取、开发和维护（6）信息安全事件管理（2）业务连续性管理（1）符合性（3）

15、411.6.1 信息安全方针信息安全方针（策略）信息安全方针文件（信息安全界定目标，范围，重要性、管理者意图、控制措施框架、要求与后果、职责、引用文件）直接方便地传达给相关各方（敏感信息处理）信息安全方针的评审（评审程序、输入/输出、方针出台/变更：适应性/改进）42信息安全的各方（1）内部组织管理层的信息安全承诺（支持和领导决策）信息安全协调（各部门合作）信息安全职责分配（资产的责任内容与责任人、个人职责、明确成文）信息处理设施的授权过程（新设施授权、兼容性、个人设备风险控制）保密性协议（保密责任内容、定期评审）43信息安全的各方（2）内部组织（2）与有关部门的联系（运营商、执法/消防等部门

16、）与特定利益集团的联系（安全相关行业）信息安全的独立评审（安全措施适用性、整改）44信息安全的各方（3）外部各方（业务往来方）识别外部各方与组织交互的风险（交互的设施与信息、风险及控制、明确责任）明确对顾客的安全要求（资产保护、访问与控制、各自义务、法律与产权保护）与第三方签订安全协议（协议内容、协议调整）45资产管理（1）对资产负责资产清单（类型信息/软件/硬件/服务设施/人员/无形资产、位置、业务价值）资产责任人（资产分类、访问控制）资产的可接受使用（使用资产的规章与限制）46资产管理（2）信息分类分类指南（按价值/法律要求/敏感性/关键性的分类规则、保护级别、评审、分类调整）信息的标记和

17、处理（信息资产：物理，电子等、各自的处理程序、安全监督与记录）47人力资源安全（1）任用前角色和职责（清晰定义并传达）人员背景审查（身份、信用、专业水平）任用条款和条件（合同明确安全职责）48人力资源安全（2）任用中管理者要求各方清楚并恪守职责信息安全意识、教育和培训纪律处理过程（证据与分级处理）49人力资源安全（3）任用的终止或变更终止职责（明确责任并传达）资产的归还撤销访问权50物理和环境安全（1）安全区域物理安全周边（门、墙等）物理入口控制（各处出入者标识、记录与限制）办公室、房间和设施的安全保护（隐蔽性）外部和环境威胁的安全防护（灾害预防）在安全区工作（隐秘、受控、上锁、拒摄录）公共访

18、问、交接区安全（授权访问、进出的货物检查/登记/隔离）51物理和环境安全（2）设备安全安置和保护（防灾/盗保护、处理信息的保护）支持性设施（电、水、温度、湿度等）布缆安全（防窃听和损坏）设备维护（保证连续可用）组织场所外的设备安全（看管、正确使用）设备的安全处置或再利用（残余信息防重用）资产的移动（有授权、人员、时间、记录、返回核查）52通信和操作管理（1）操作规程和职责 文件化的操作规程变更管理（程序、记录、测试、评估、通告）责任分割（分权、安全审核独立）开发、测试和运行设施分离53通信和操作管理（2）第三方服务交付管理 服务交付（符合协议）第三方服务的监视和评审第三方服务的变更管理（组织需

19、要、第三方要求）54通信和操作管理（3）系统规划和验收 容量管理（资源使用的监视、调整和预测）系统验收（测试、符合验收条件、新系统投入使用的条件与影响）55通信和操作管理（4）防范恶意和移动代码 控制恶意代码（预防、检测和恢复，意识，多个检测工具，防止维护和紧急期间恶意代码旁路）控制移动代码（运行环境和资源受控、鉴别完整性和真实性）56通信和操作管理（5）备份 信息备份（规程、记录、比例/频率、异地、同保护等级存放环境、测试备份信息及恢复规程）57通信和操作管理（6）网络安全管理 网络控制（网络操作与计算机操作分开、网络系统/应用和传输数据的安全、日志与监控）网络服务安全（对网络服务提供商的要

20、求、组织增加安全措施）58通信和操作管理（7）介质处置 可移动介质的管理（规程、授权、记录、防重用、存储安全、介质老化、少用）介质的处置（敏感信息及部件、大量介质信息综合可能变敏感）信息处理规程（介质分级并标识、信息访问与接收限制并记录）系统文件安全（存储与传输安全、授权访问）59通信和操作管理（8）信息的交换 信息交换策略和规程（信息交换的安全性、利用交换传输恶意代码、无线传输、密码使用、敏感信息打印、移动电话、传真/邮件误发）信息和软件的交换协议（职责、规程、抗抵赖、版权等）运输中的物理介质（可靠运输、物理保护、机密性保护-锁/专人/防篡改包装/分次交付）电子消息发送业务信息系统（限制访问

21、、共享）60通信和操作管理（9）电子商务服务电子商务（防止欺诈、合同争端、信息泄露或篡改）在线交易（防止不完全传输、错误路由、篡改、泄露、消息复制或重放）公共可用信息（完整性、符合性）61通信和操作管理（10）监视审计记录（审计项）监视系统的使用（使用规程、评审监视结果）日志信息的保护（完整性、访问控制）管理员和操作员日志（记录、评审）故障日志（记录、分析、评估纠正措施）时钟同步（统一时间、时间漂移核查和校准）62访问控制访问控制的业务要求访问控制策略（文件、物理/逻辑、对规则的支持）63访问控制（2）用户访问管理用户注册（注册与注销规程、授权）特殊权限管理（正式授权过程、最小权限、记录、特殊

22、ID）用户口令管理（使用声明、临时口令、口令更改规程）用户访问权的复查（定期和变更后复查、特殊权限更频繁复查）64访问控制（3）用户职责口令使用（保密、存储、变更、强度）无人值守的用户设备（结束时退出、访问控制）清空桌面和屏幕策略（U盘、立即清除、防拷贝重用）65访问控制（4）网络访问控制使用网络服务的策略（权限规则、授权规程、管理措施、访问方式）外部连接的用户鉴别（密码、Token、C-R、VPN、回拨、机器数字证书、专线、无线）网络的设备标识（鉴别、使用范围、物理保护）远程诊断和配置端口的保护（物理和逻辑访问）网络隔离（划安全域）网络连接控制（控制网络应用的访问）网络路由控制（源地址和目标

23、地址校验）66访问控制（5）操作系统访问控制安全登录规程（次数/时间限制、最少提示）用户标识和鉴别（网络/终端鉴别技术）口令管理系统（口令强度与使用）系统实用工具（绕过安全控制）的使用（标识、授权、限制、日志、最少使用）会话超时（设定期限、清屏、关闭会话）联机时间的限定（定时重新鉴别、办公时间）67访问控制（6）控制对应用和信息的访问信息访问控制（限制访问权限、处理敏感信息的应用系统的输出限定内容，授权终端和地点）敏感系统隔离（识别敏感度、专用计算机、共享时对方须可信或接受风险、物理或逻辑隔离）68访问控制（7）移动计算和远程工作移动计算和通信（安全策略和安全措施、公共场所使用、定期备份、联网

24、需访问控制、防窃）远程工作（策略和规程、安全措施到位、远程环境的安全）69信息系统获取、开发和维护信息系统的安全要求安全要求分析和说明（新增或变更时规定安全要求、分析安全措施不足的损害、产品的安全性）70信息系统获取、开发和维护（2）应用中的正确处理输入数据确认（校验、测试规程、职责、日志）内部处理的控制（应用中加入核查，检验处理出错、防止带故障运行、核查列表：输入数据、运行时间、文件校验、涉及者职责、日志等）消息完整性输出数据确认（确保处理的正确性、处理了应处理的所有数据、输出测试、涉及者职责、日志）71信息系统获取、开发和维护（3）密码控制使用密码控制的策略（密码管理方法、密码强度、敏感信

25、息加密、密钥管理方法、角色和职责、加密影响、国家密码管理政策）密钥管理（有密钥的设备物理保护、基于现有规范、覆盖密钥生命期、公私钥不同保护、记录）72信息系统获取、开发和维护（4）系统文件的安全运行软件的控制（控制运行、必要时更新并要授权、执行代码、运行前测试、更新可还原、日志、新软件的影响、监督远程维护或外部支持）系统测试数据的保护（测试时不用敏感信息、运行信息拷贝到测试系统要有授权并在测试后及时清除、运行信息的日志）对程序源代码的访问控制（限制设计/源代码等的访问、管理规程、访问日志）73信息系统获取、开发和维护（5）开发和支持过程中的安全变更控制规程（文件化、变更应有规范，测试，质量控制

26、到实施管理等环节、变更影响分析、隔离测试）操作系统变更后应用的技术评审（对应用测试和评审、系统更新专人管理）软件包变更的限制（必要的变更，控制、测试）信息泄露（防止隐蔽通道、掩盖通信行为、经安全评估的产品、监视系统活动和资源使用）外包软件开发（知识产权、开发工作审核及审核的权限、代码安全与验收、恶意代码检测）74信息系统获取、开发和维护（6）技术脆弱性管理技术脆弱性的控制（获知、评估、处置、资产清单、相关角色与职责、脆弱性识别方法的更新、测试补丁、无合适补丁时的防范、日志、及时处理、高风险优先解决）75信息安全事件管理报告信息安全事态和弱点报告信息安全事态（上报规程、明确上报点、反馈、报告必要的事项、违规的纪律规定