cisp0303信息安全控制措施-v3.0演示教学

信息平安控制措施培训机构名称讲师姓名版本：3.0发布日期：2021-12-1生效日期：2021-1-1内容组织结构每个主要平安控制措施类别，包括：一个或多个控制目标，声明要实现什么对于每个控制目标，包含一项或多项控制措施，可被用于实现该控制目标211个类别39个目标133个控制措施课程内容3知识体知识域知识子域信息平安管理体系信息平安管理体系建设人力资源安全信息安全组织安全方针物理和环境安全信息平安管理体系根底资产管理信息平安控制措施通信和操作管理访问控制信息系统获取、开发和维护符合性知识域：信息平安控制措施知识子域：平安方针理解信息平安方针控制目标的含义掌握信息平安方针文件和信息平安方针评审两项措施的常规控制方法4Why?有没有遇到过这样的事情？案例1有单位领导说：“听说信息平安工作很重要，可是我不知道对于我们单位来说到底有多重要，也不知道究竟有哪些信息是需要保护的。〞5平安方针控制目标 〔1〕信息平安方针6信息平安方针控制目标:组织的平安方针能够依据业务要求和相关法律法规提供信息平安管理指导并支持信息平安控制措施信息平安方针文件信息平安方针文件应由管理者批准、发布并传达给所有员工和外部相关方信息平安方针评审应按方案的时间间隔或当重大变化发生时进行信息平安方针评审，以确保其持续的适宜性、充分性和有效性7信息平安方针应符合实际情况，切实可行。对方针的落实尤为重要信息平安方针文件信息平安方针是陈述管理者的管理意图，说明信息平安工作目标和原那么的文件信息平安方针应当说明以下内容：本单位信息平安的整体目标、范围以及重要性信息平安工作的根本原那么风险评估和风险控制措施的架构需要遵守的法规和制度信息平安责任分配对支持方针的文件的引用8Why?有没有遇到过这样的事情？案例1我是一名网络管理员，发现最近来自外部的病毒攻击很猖獗，要是有15万买个防毒墙就解决问题了，找谁要这笔钱，谁来采购？案例2我是一名普通工作人员，我的内网计算机上不了外网没方法打补丁，我该找谁获得帮助？10信息平安组织控制目标 〔1〕内部组织 〔2〕外部各方11(1)内部组织控制目标：实现对组织内部的信息平安管理控制措施：信息平安的管理承诺12信息平安协调信息平安职责的分配信息处理设施的授权过程保密性协议与政府部门的联系与特定利益集团的联系信息平安的独立评审信息平安的管理承诺高层管理者参与信息平安建设，负责重大决策，提供资源，并对工作方向、职责分配给出清晰的说明高层管理者就是说了算的，可以给人、给钱、给设备，提出工作要求还给与资源保障的人13信息平安协调14机构内部达成共识防止流于形式或作假信息平安职责的分配为有效实施信息平安管理，保障和实施系统的信息平安，应在机构内部建立信息平安组织，明确角色和职责信息平安责任的重要性在一个机构中，平安角色与责任的不明确是实施信息平安过程中的最大障碍，建立平安组织与落实责任是实施信息平安管理的第一步15与政府部门的联系、

与特定利益集团的联系要注意充分利用外部资源，与上级主管单位、国家职能部门、设备和根底设施提供商、平安效劳商、有关专家保持良好的沟通和合作关系例如与电力部门建立良好的协作关系，停电了，UPS的电也要用光了，电力部门可以开个发电车来解决关键信息系统临时电力供给16(2)外部各方控制目标：保持组织被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的平安控制措施：与外部各方相关风险的识别17处理外部各方协议中的平安问题访问风险：维护软件设备的承包商清洁、送餐人员外部咨询人员审核人员知识域：信息平安控制措施知识子域：资产管理理解对资产负责控制目标的含义，掌握资产清单、资产责任人等控制措施的实施方法理解信息分类控制目标的含义，掌握分类指南、信息的标记和处理等控制措施的实施方法18Why？19资产管理控制目标 〔1〕对资产负责 〔2〕信息分类20(1)对资产负责控制目标：实现和保持对组织资产的适当保护控制措施：资产清单21资产责任人资产的可接受使用资产清单信息平安管理工作的直接目的是保护组织的资产资产包括：信息：业务数据、合同协议、科研材料、操作手册、系统配置、审计记录、制度流程等软件：应用软件、系统软件、开发工具物理资产：计算机设备、通信设备、存储介质等效劳：通信效劳、供暖、照明、能源等人员无形资产，如品牌、声誉和形象22资产责任人明确资产责任列出资产清单，明确保护对象明确资产受保护的程度明确谁对资产的平安负责23(2)信息分类控制目标：确保信息受到适当级别的保护控制措施：分类指南24信息的标记和处理分类指南25分类必要步骤定义分类类别说明决定信息分类的标准制定每种分类所需的平安控制，或保护机制建立一个定期审查信息分类与所有权的程序让所有员工了解如何处理各种不同分类信息分类指南建议分类方法不宜复杂，否那么容易造成混乱每种分类应唯一区别于其它分类，同时不能有任何重叠分类过程还应简单说明如何在其生命周期内控制并处理26信息的标记和处理标识信息类别，说明文件的密级、存储介质的种类〔如内网专用U盘〕规定重要敏感信息的平安处理、存储、传输、删除和销毁的程序27知识域：信息平安控制措施知识子域：人力资源平安理解任用前控制目标的含义，掌握角色和职责、审查等控制措施的实施方法理解任用中控制目标的含义，掌握管理职责、信息平安意识教育和培训等控制措施的实施方法理解任用的终止或变化控制目标的含义，掌握终止职责、撤销访问权等控制措施的实施方法28Why?29人力资源平安控制目标 〔1〕任用前 〔2〕任用中 〔3〕任用的终止或变化30(1)任用前控制目标：确保雇员、承包方人员和第三方人员理解其工作职责并适合预期角色，以降低设施被窃、欺诈和误用的风险控制措施：角色和职责31审查作用条款和条件任用前32(2)任用中控制目标：确保所有雇员、承包方和第三方人员了解信息平安威胁和危害，明确其工作应承担的平安职责和义务，如果违反平安规定将会受到的纪律处理，通过平安培训使其掌握信息处理设施的平安正确使用方法，以减少人为过失造成的风险控制措施：管理职责33信息平安意识、教育和培训纪律处理过程任用中保证其充分了解所在岗位的信息平安角色和职责有针对性地进行信息平安意识教育和技能培训及时有效的惩戒措施34(3)任用的终止或变化控制目标：确保雇员、承包方人员和第三方人员以一个标准的方式退出一个组织或改变其任用关系，包括调换岗位或岗位职责发生变化控制措施：终止职责35资产的归还撤销访问权离职可能引发的平安隐患未删除的账户未收回的各种权限VPN、远程主机、企业邮箱和VoIP等应用其它隐含信息网络架构、规划，存在的漏洞同事的账户、口令和使用习惯等这些信息和权限如果被离职的员工和攻击者们恶意利用，很容易导致信息平安事件36任用的终止终止职责：组织应该清晰定义和分配负责执行任用终止或任用变更的相关职责，如通知相关人员人事变化，向离职者重申离职后仍需遵守的规定和承担的义务归还资产：保证离职人员归还软件、电脑、存储设备、文件和其他设备撤销访问权限：撤销用户名、门禁卡、密钥、数字证书等37知识域：信息平安控制措施知识子域：物理和环境平安理解人身平安的重要性理解平安区域控制目标的含义，掌握物理平安边界、物理入口控制等控制措施的实施方法理解设备平安控制目标的含义，掌握设备安置和保护、支持性设施等控制措施的实施方法38Why？那些曾经发生过的事：案例1：间谍潜入机房，直接用移动硬盘将效劳器中的重要数据拷贝走。案例2：机房中气温过高，导致计算机无法正常运行，造成业务中断。39物理和环境平安的范畴物理〔Physical〕：身体的、物质的、自然的身体的：人身平安是物理平安首要考虑的问题，因为人也是信息系统的一局部物质的：承载信息的物质，包括信息存储、处理、传输和显示的设施和设备自然的：自然环境的保障，如温度、湿度、电力、灾害等40物理和环境平安控制目标 〔1〕平安区域 〔2〕设备平安41(1)平安区域控制目标：防止对组织场所和信息的未授权物理访问、损坏和干扰，关键或敏感的信息及信息处理设施应放在平安区域内，并受到相应保护控制措施：物理平安边界42物理入口控制办公室、房间和设施的平安保护外部和环境威胁的平安防护在平安区域工作公共访问、交接区平安物理平安边界周边入侵检测系统用来探测未经授权而进入的人，并发出警报现在最常用的入侵监测系统是机电式的，能够探测到电路的变化或断路，例如：窗户贴，绷紧线等一个常被忽略的脆弱点——报警系统闭路电视使用照相机通过传输媒介将图片传送到连接的显示器的电视传输系统〔三个主要的组件〕传输媒介可以使用同轴电缆、光缆、微波、无线电波、或红外光束与播送电视是不同的，尽管也是点对点的无线连接，但CCTV的信号不是公开传输的43物理入口控制必须弄清来访者的身份，并将其进入与离开平安区域的日期与时间记录起来所有人员配戴识别证44物理入口控制卡访问控制磁卡、非接触卡等生物特征系统生理特征：指纹、视网膜、声音、手形等行为特征：签名45办公室、房间和设施的平安保护平安区域关键设备应放在公众无法进入的地方防止写出“机房重地，请勿进入〞的字样平安区内，各种打印机、复印机设备齐全设备如果放在平安区内，可以降低对该设备的保护级别46(2)设备平安控制目标：防止资产的丧失、损坏、失窃或危及资产平安以及组织活动的中断控制措施：设备安置和保护47支持性设施布缆平安设备维护组织场所外的设备平安设备的平安处置和再利用资产的转移设备安置和保护来自空中的威胁

——TEMPEST(抑制和防止电磁泄露)途径以电磁波形式的辐射泄露；电源线、控制线、信号线和地线造成的传导泄露危害使各系统设备相互干扰，降低设备性能电磁泄露会造成信息暴露电磁辐射强度影响因素功率和频率距离因素屏蔽状况预防措施选用低辐射设备利用噪声干扰源采取屏蔽措施距离防护采用微波吸收材料48支持性设施电力供给——关系到企业的营运是否正常电源：防止电源故障与供电不正常的现象多路供电、不间断电源UPS、备用发电机49支持性设施50人身平安的重要性以人为本，人身平安最重要不要忘记人是系统资产的重要组成局部办公室、机房应为操作人员提供健康的工作环境突发灾难时，人身平安是首先需要保障的51知识域：信息平安控制措施知识子域：通信和操作管理理解操作程序和职责、第三方效劳交付管理、系统规划和验收、防范恶意代码、备份、网络平安管理、介质处置、信息的交换、电子商务效劳、监视和访问控制这些控制目标的含义掌握实现这些控制目标的控制措施的实施方法52Why？案例1：２００７年８月３０日，美国空军一架Ｂ－５２战略轰炸机误装６枚核弹后，从北部的北达科他州飞往南部的路易斯安那州。这一空前事件显示了美国空军对核武器指挥和控制体系中的漏洞。案例2：数据库管理员由于疏忽进行了误操作,将重要的信息删除了。案例3：涉密计算机出现故障硬盘数据丧失，使用人员将硬盘拿到社会上的数据恢复公司进行恢复，造成秘密泄露。53通信和操作管理控制目标 〔1〕操作程序和职责 〔2〕第三方效劳交付管理 〔3〕系统规划和验收 〔4〕防范恶意代码 〔5〕备份 〔6〕网络平安管理 〔7〕介质处置 〔8〕信息的交换 〔9〕电子商务效劳 〔10〕监视54(1)操作程序和职责控制目标：确保正确、平安地操作信息处理设施控制措施：文件化的操作程序55变更管理责任分割开发、测试和运行设施别离(2)第三方效劳交付管理控制目标：对第三方效劳进行管理，使其交付的效劳符合第三方效劳交付协议，并保持在适当水平控制措施：效劳交付56第三方效劳的监视和评审第三方效劳的变更管理(3)系统规划和验收控制目标：将系统失效的风险降至最小控制措施：容量管理57系统验收(4)防范恶意代码控制目标：保护软件和信息的完整性控制措施：控制恶意代码58(5)备份控制目标：保持信息和信息处理设施的完整性及可用性控制措施：信息备份59备份资料必须给予适当级别与保护定期测试备份介质定期检查与测试恢复步骤(6)网络平安管理控制目标：确保网络中信息和支持性根底设施的平安性控制措施：网络控制60网络效劳平安(7)介质处置控制目标：防止资产遭受未授权泄露、修改、移动、销毁及业务活动的中断控制措施：可移动介质的管理61介质的处置(8)信息的交换控制目标：保持组织内以及与外部组织信息和软件交换的平安控制措施：信息交换策略和规程62交换协议运输中的物理介质电子消息发送(9)电子商务效劳控制目标：确保电子商务效劳及使用的平安控制措施：电子商务63在线交易(10)监视控制目标：检测未经授权的信息处理活动控制措施：审计日志64监视系统的使用日志信息的保护管理员和操作员日志故障日志时钟同步知识域：信息平安控制措施知识子域：访问控制理解访问控制的业务要求、用户访问管理、用户职责、网络访问控制、操作系统访问控制、应用和信息访问控制、移动计算和远程工作这些控制目标的含义掌握实现这些控制目标的控制措施的实施方法65Why?66访问控制控制目标 〔1〕访问控制的业务要求 〔2〕用户访问管理 〔3〕用户职责 〔4〕网络访问控制 〔5〕操作系统访问控制 〔6〕应用和信息访问控制 〔7〕移动计算和远程工作67(1)访问控制的业务要求控制目标：基于业务目标和业务原那么来控制对信息的访问控制措施：访问控制策略68(2)用户访问管理控制目标：确保授权用户能够访问信息系统，防止非授权的访问控制措施：用户注册69特殊权限管理用户口令管理用户访问权的复查(3)用户职责控制目标：防止未授权用户对信息和信息处理设施的访问、危害或窃取控制措施：口令使用70无人值守的用户设备清空桌面和屏幕策略(4)网络访问控制控制目标：防止对网络效劳的未授权访问控制措施：使用网络效劳的策略71网络隔离(5)操作系统访问控制控制目标：防止对操作系统的未授权访问控制措施：平安登录规程72用户标识和鉴别口令管理系统系统实用工具的使用(6)应用和信息访问控制控制目标：防止对应用系统中信息的未授权访问控制措施：信息访问限制73(7)移动计算和远程工作控制目标：确保使用移动计算和远程工作设施时的信息平安控制措施：移动计算和通信74远程工作访问控制思路由于效劳是分层次的，攻击可能从各个层次发起，好的访问控制应该在多层面进行网络接口层IP应用TCPUDP75知识域：信息平安控制措施76信息系统获取、开发和维护77(1)信息系统的平安需求控制目标：确保平安是信息系统的一个有机组成局部控制措施：平安需求分析和说明78平安信息系统获取的根本原那么和方法平安信息系统获取的根本原那么符合国家、地区及行业的法律法规量力而行，到达经济性与平安性间的平衡符合组织的平安策略与业务目标平安信息系统的获取策略外部采购自主开发或者自主开发与外包相结合采取何种获取策略在工程立项与可行性分析过程中得出结论79信息系统购置流程选择中标供给商，并签订合同源代码托管(SourceCodeEscrow)平安紧急响应条款售后效劳协议平安培训业务连续性与灾备条款需求分析市场招标评标选择供给商签订合同系统实施系统运维80(2)应用中的正确处