信息安全管理绪论

,信息安全管理（第二版）,信息安全管理,Informationsecuritymanagement,授课内容：绪论,信息安全管理,课程介绍,全面地了解信息安全管理体系；掌握信息安全管理的内涵、体系、内容和实施过程；掌握信息安全管理的基本理论和手段；理解信息安全管理体系的构建过程；了解民航信息安全方法、实例；熟悉民航信息安全行业标准。,第1章绪论,课程介绍,共36学时，34学时讲授，2学时考试（闭卷）。,第1章绪论,信息安全管理（第2版）徐国爱北邮出版社信息安全管理张红旗人民邮电出版社,教材及参考书,目录,1绪论2信息安全管理体系3信息安全风险评估4系统与网络安全5物理安全6信息系统安全审计7灾难恢复与业务连续性计8信息系统安全标准9信息安全法律法规,第1章绪论,1.1信息安全,1.2信息安全技术,1.3信息安全管理,1.4信息安全发展趋势,1.1.1信息安全的现状由于信息具有易传输、易扩散、易破损的特点，信息资产比传统资产更加脆弱，更易受到损害，信息及信息系统需要严格管理和妥善保护全球平均20秒就发生一次计算机病毒的入侵；互联网上的防火墙大约25被攻破窃取商业信息的事件平均以每月260的速度增加约70的网络主管报告因机密信息泄露而受到损失国家与国家之间的信息战问题更是关系到国家的根本安全问题信息安全已成为信息社会重要的研究课题,1.1信息安全,1.1.2信息安全的概念信息安全的传统内涵：机密性、完整性、可用性,1.1信息安全,“在技术上和管理上为数据处理系统建立的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭至破坏、更改和泄露”,国际标准化组织（ISO）对信息安全的定义,保密性完整性可用性,CONFIDENTIALATYINTEGRITYAVAILABILITY,1.1.2信息安全的概念,1.1信息安全,保密性：confidentiality确保信息只能由那些被授权使用的人获取,完整性：integrity保护信息及其处理方法的准确性和完整性,可用性：availability确保被授权使用人在需要时可以获取信息和使用相关的资产,1.1信息安全,1.1.2信息安全的概念,信息安全的基本要素,可审查性,可控性,可用性,完整性,机密性,对出现的网络安全问题提供依据和手段,可以控制授权范围内的信息流向及行为方式,确保信息不暴露给未授权的实体或进程,只有得到允许的人才能修改数据，并且能够辨别数据是否已被修改,得到授权的实体在需要时可以访问数据，既攻击者不能占用所有资源而阻碍授权者的工作,1.1信息安全,1.1.2信息安全的概念信息安全的内涵扩展，安全属性定义：机密性：信息不泄露给非授权的用户、实体或过程完整性：数据未经授权不能进行改变，即信息在存储或传输过程中保持不被修改、不被破坏和丢失可用性：可被授权实体访问并按需求使用，及当需要时应能存取所需信息真实性：内容的真实性可核查性：对信息的传播及内容具有控制能力可靠性：系统的可靠性,1.1信息安全,1.1.2信息安全的概念信息安全在技术发展和应用过程中，表现出以下重要特点：（1）必然性。当今的信息系统日益复杂，其中必然存在系统设计、实现、内部控制等方面的弱点。如果不采取适当的措施应对系统运行环境中的安全威胁，信息资产就可能会遭受巨大的损失甚至威胁到国家安全发达国家高度重视，在该领域投入了大量的人力、物力、财力，以期提高本国的信息安全水平,1.1信息安全,（2）配角特性。信息安全建设在信息系统建设中角色应该是陪衬，安全不是最终目的，得到安全可靠的应用和服务才是安全建设的最终目的不能为了安全而安全，安全的应用是先导（3）动态性。信息安全威胁会随着技术的发展、周边应用场景的变化等因素而发生变化，新的安全威胁总会不断出现不能指望一项技术、一款产品或一个方案就能一劳永逸地解决组织的安全问题信息安全是一个动态、持续的过程，必须能根据风险变化及时调整安全策略,1.1信息安全,1.1.3信息安全威胁3信息安全威胁安全的所谓信息安全威胁就是指某个人、物、时间或概念对信息资源的保密性、完整性、可用性或合法使用所造成的危险。对安全威胁的深入分析，是安全防范的基础。1.常见安全威胁：（1）有害程序：计算机病毒、蠕虫、木马程序、僵尸网络、网页内嵌恶意代码等（2）网络攻击：拒绝服务攻击、后门攻击、漏洞攻击、网络扫描窃听、干扰等（3）信息破坏：信息篡改、信息假冒、信息泄漏、信息窃取、信息丢失等。（4）信息内容安全（5）设备设施故障（6）环境灾害,1.1信息安全,2.信息安全威胁的根源信息安全威胁源于以下三方面：（1）系统的开放性开放、共享是信息系统的基本目的和优势，但是随着开放规模变大、开放对象的多种多样、开放系统应用环境的不同，简单的开放显然不切实际。相当一部分信息安全威胁由此产生（2）系统的复杂性硬件的规模、软件系统的规模都比一般传统工艺流程大很多，规模庞大特性本身就意味着存在设计隐患，而设计环境和应用环境的差异更是不可避免导致设计过程不可能尽善尽美（3）人的因素信息系统最终为人服务，人与人之间的各种差异、人在传统生活中表现出来的威胁行为（诸如各种犯罪行为）是信息安全威胁出现的根本原因。各种计算机犯罪是其有力的表现,1.1信息安全,1.1信息安全,人，特别是内部人员，是信息安全最大的威胁,3.信息安全威胁趋势（1）攻击手段的智能化（2）针对基础设施、安全设备的攻击（3）业务与内容安全威胁（4）攻击手段与传统犯罪手段的结合（5）攻击组织的战争倾向,1.1信息安全,1.2信息安全技术,1.2.1密码技术、访问控制和鉴权(认证)密码技术仍然是信息安全技术的核心。对称加密算法标准的提出和应用、公钥加密思想的提出是其发展的重要标志。数字签名和各种密码协议则从不同的需求角度将密码技术进行延伸访问控制目的是防止对信息资源的非授权访问和非授权使用。它允许用户对其常用的信息库进行一定权限的访问，限制他随意删除、修改或复制信息文件；还可以使系统管理员跟踪用户在网络中的活动，及时发现并拒绝“黑客”的入侵鉴权（认证）是信息安全的基本机制，通信的双方之间应相互认证对方的身份，以保证赋予正确的操作权利和数据的存取控制。网络也必须认证用户的身份，以保证合法的用户进行正确的操作并进行正确的审计。,1.2.2物理安全技术为了保证信息系统安全、可靠地运行，确保信息系统在信息进行采集、传输、处理、显示、分发和利用的过程中，免遭人为或自然因素的危害，物理安全通过对计算机及网络系统的环境、场地、设备和通信线路等采取的相应安全技术措施，实现对信息系统设备、设施的保护1.环境安全：技术要素包括机房场地选择、机房屏蔽、防火、防雷、防鼠、防盗、防毁、供配电系统、空调系统、综合布线、区域防护等2.设备安全：技术要素包括设备的标志和标记、防止电磁信息泄露、抗电磁干扰、电源保护以及设备振动、碰撞、冲击适应性等方面。此外，还包括媒体安全保管、防盗、防毁、防霉，媒体数据防拷贝、防消磁、防丢失等3.人员安全：人员安全管理的核心是确保有关业务人员的思想素质、职业道德和业务素质，因此，人员安全要加强人员审查和人员安全教育,1.2信息安全技术,1.2.3网络安全技术随着因特网在全世界的迅速发展和普及，因特网中出现的信息泄密、数据篡改、服务拒绝等网络安全问题也越来越严重，因此网络安全技术在互联网中的地位愈发重要，主要包括：防火墙、VPN、入侵检测/入侵防御、安全网关,1.2信息安全技术,1.2.4容灾与数据备份只要发生数据传输、数据存储和数据交换，就可能产生数据故障，如果没有采取数据备份和灾难恢复手段和措施，就会导致数据的丢失。灾难恢复主要涉及的技术和方案由数据的复制、备份和恢复，本地高可用性方案和远程集群等。,1.2信息安全技术,1.3.1信息安全管理的概念信息安全管理是组织为实现信息安全目标而进行的管理活动，是组织完整的管理体系中的一个重要组成部分，是为保护信息资产安全，指导和控制组织的关于信息安全风险的相互协调的活动信息安全管理是通过维护信息的机密性、完整性和可用性等，来管理和保护组织所有信息资产的一系列活动,1.2信息安全技术,1.3信息安全管理,1.3.2信息安全管理的主要内容从信息系统的安全需求出发，结合组织的信息系统建设情况，引入适当的技术控制措施和管理体系，形成综合的信息安全管理架构,1.3信息安全管理,实体安全,运行安全,信息安全,管理安全,1.3.2信息安全管理的主要内容,1.3信息安全管理,信息安全保障,1.3.2信息安全管理的主要内容,1.3信息安全管理,信息安全管理的内涵,信息安全管理是通过维护信息的机密性、完整性和可用性等，来管理和保护信息资产的一项体制，是对信息安全保障进行指导、规范和管理的一系列活动和过程。,信息安全管理是信息安全保障体系建设的重要组成部分。,1.3.2信息安全管理的主要内容,信息安全管理的内涵,信息安全管理的内容：,安全方针和策略；,组织安全；,资产分类与控制；,人员安全；,物理与环境安全；,通信、运行与操作安全；,访问控制；,1.3信息安全管理,1.3.2信息安全管理的主要内容,1.3信息安全管理,信息安全管理的内涵,信息安全管理的内容：,系统获取、开发与维护；,安全事故管理；,业务持续性；,符合性。,1.3.2信息安全管理的主要内容,1.3信息安全管理,信息安全管理的内涵,做什么,如何做,做得怎样,1.3.2信息安全管理的主要内容,信息安全需求是信息安全的出发点，包括：机密性需求、完整性需求、可用性需求、抗抵赖性、真实性需求、可控性需求、可靠性需求等,1.3信息安全管理,1.3.2信息安全管理的主要内容,信息安全管理范围是由信息系统安全需求决定的具体信息安全控制点，对这些实施适当的控制措施可确保组织相应环节的信息安全，从而确保组织整体的信息安全水平信息安全控制措施是指为改善具体信息安全问题而设置技术或管理手段，信息安全控制措施是信息安全管理的基础,1.3信息安全管理,1.3.2信息安全管理的主要内容,1.3信息安全管理,安全威胁,1.3.3信息安全管理的重要性,外部、内部；个人、企业、国家。,“三分技术，七分管理”信息系统的安全问题不能只局限于技术，更重要的还在于管理。,1.3信息安全管理,从国际上看，粗略地把信息安全管理的发展进行分期，大体经历了“零星追加时期”和“标准化时期”两个阶段九十年代中期可以看作这两个阶段的分界。,1.3.4信息安全管理现状,1.3信息安全管理,1.3.4信息安全管理现状,1.3信息安全管理,国外现状,1.3.4信息安全管理现状,1.3信息安全管理,国内现状,1.3.4信息安全管理现状,1.3信息安全管理,存在的问题,谁来管要求不明一把手工程IT和应用服务两张皮多头参与，责任不清。IT人保保密内审稽核,1.3.4信息安全管理现状,1.3信息安全管理,存在的问题,管什么传统明确的：保密上级抓得紧的：信息内容领导交办的：不得不办的：事件事故处理,1.3.4信息安全管理现状,1.3信息安全管理,1.3.4信息安全管理现状,怎么管IT技术部门：上信息安全技术手段应用服务部门：上项目，快开通其它相关部门：无事不登三宝殿、有事登殿也无奈缺乏协调协同,存在的问题,1.3信息安全管理,存在的问题,1.3.4信息安全管理现状,怎么才算管得好没凭据,1.3.5信息安全管理体系信息安全管理体系（ISMS：InformationSecurityManagementSystem）概念：是组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和手段所构成的体系。,1.3信息安全管理,1.3.5信息安全管理体系信息安全管理体系是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进信息安全的一套管理体系，是整个管理体系的一部分管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源BS7799ISO27001SSE-CMM,1.3信息安全管理,1.3信息安全管理,1.3.5信息安全管理体系,信息安全管理体系,1.3.5信息安全法规法律法规是组织从事各种政务、商务活动所处社会环境的重要组成部分，它能为信息安全提供制度保障。信息安全法律法规的保障作用至少包含以下三方面：1.为人们从事在信息安全方面从事各种活动提供规范性指导2.能够预防信息安全事件的发生3.保障信息安全活动参与各方的合法权益，为人们追求合法权益提供了依据和手段,1.3信息安全管理,1.4信息安全发展趋势,信息安全是现代信息系统发展应用带来的新问题，它的解决也需要现代高新技术的支撑1.新安全技术出现2.集成化的安全工具从单一功能的信息安全技术与产品向多种功能的或融于某一信息产品的信息安全技术与产品的方向发展3.针对性的安全工具,1.4信息安全发展趋势,4.管理类