信息安全管理

信息安全管理信息安全现状黑客攻击猖獗网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒后门、隐蔽通道蠕虫安全威胁日益严重复合威胁：蠕虫、病毒、特洛伊木马黑客攻击基础设施Flash威胁大规模蠕虫侵入分布式Dos攻击可加载病毒和蠕虫（如脚本病毒….）4BCC-北京新世纪认证有限公司信息安全事件回放（一）全国最大的网上盗窃通讯资费案某合作方工程师，负责某电信运营商的设备安装，获得充值中心数据库最高系统权限。从2005年2月开始，复制出了14000个充值密码。获利380万。2005年7月16日才接到用户投诉说购买的充值卡无法充值，这才发现密码被人盗窃并报警。无法充值的原因是他最后盗取的那批密码忘了修改有效日期反映的问题：系统监控不到位，未能探查出“后门”5BCC-北京新世纪认证有限公司信息安全事件回放（二）北京ADSL断网事件2006年7月12日14:35左右，北京地区互联网大面积断网。事故原因：路由器软件设置发生故障，直接导致了这次大面积断网现象。事故分析：操作设备的过程中操作失误或软件不完善属于“天灾-难以避免”，但问题是事故出现后不能及时恢复，没有应急响应机制或事件处理流程，实际反映的是管理缺失。6BCC-北京新世纪认证有限公司信息安全事件回放（三）百度被黑2010年1月12日上午8时许，国内著名搜索引擎百度遭遇DNS劫持攻击，百度首页被重定向至一署名为“伊朗网军”的网页。国内大型网站被攻击早有先例2000年8月31日

新浪网被黑；2006年9月12日

百度网站服务器被黑，导致无法访问2007年11月26日

新浪网站出现访问故障，导致无法访问2008年12月2日

CCTV官网频道被黑7BCC-北京新世纪认证有限公司保障信息安全的途径？IT治理安全风险测评

信息安全管理体系强化安全技术信息系统安全等级保护亡羊补牢?还是打打补丁?系统地全面整改?8BCC-北京新世纪认证有限公司第一节概述一、信息安全管理1、信息安全：涵盖了以下方面机密性完整性可用性不可抵赖性可靠性可控性真实性一、信息安全管理1、信息安全管理特点：是一个系统工程：信息的生命周期：产生、收集、加工、交换、存储、检索、销毁（例：gps数据、超市商品价格及进货价格）多层面、综合的、动态的过程：木通理论（例：碟中谍）一、信息安全管理1、信息安全信息安全的概念：二、信息安全管理模型信息安全需求信息安全管理范围信息安全技术体系信息安全控制措施信息安全管理方法信息安全保障体系三、信息安全管理体系保障信息安全的途径之一：信息安全管理体系（ISMS）基于业务风险方法，建立、实施、运行、监视、评审、保持和改进信息安全的体系，是一个组织整个管理体系的一部分。注：管理体系包括组织结构、方针策略、规划活动、职责、实践、规程、过程和资源。[ISO/IEC27001:2005]为保护本组织的信息和信息系统的安全而建立、运行和不断改进的管理架构。结合信息安全管理标准汇集的最佳实践和控制措施，形成安全管理的相关制度、过程、操作规程和日常活动等。14信息安全管理体系标准信息安全管理体系要求为建立、实施、运行、保持和改进信息安全管理体系提供模型规范了一种基于风险的管理体系，确保组织选择并运行充分且适当的安全控制措施以保护信息资产由信息安全领域最佳实践所构成的一整套综合性控制措施适用于各种类型和规模的组织强调预防为主注:

ISO/IEC

27001:2005

idt

GB/T

22080-200815信息安全管理体系的架构三级文件二级文件一级文件信息安全手册安全方针策略文件过程/规程/制度文件

作业指导书、检查单、表格方针目标机构职责风险评估描述工作流程Who,What,When,Where描述任务、活动是如何完成的16信息安全管理体系的目的和特点目标：提升信息安全管理能力，实现满足安全要求和期望的结果—受控的信息安全特点：重点关注，全面布防基于对关键资产的风险评估，确定保护重点；通过对133项控制措施的选择和落实，实现对信息安全的全面保障通过PDCA的持续循环，确保管理体系适应安全环境和形势的变化17信息安全管理的PDCA模型D实施C检查P规划A处置ISO/IEC27001安全目标时间ISMS的PDCA周期循环安全管理能力18A5安全方针A7资产管理A11访问控制A14业务连续性管理15符合性A13信息安全事件管理A6信息安全组织A8人力资源安全A9物理和环境安全A10通信和操作管理A12信息系统获取、开发和维护安全控制域信息安全管理涉及的领域19信息资产分类管理信息资产管理列出资产清单:资产名称,位置,安全级别信息:DB\数据文件\系统文件\用户手册\...软件资产:应用软件\系统软件\开发工具\设备实物资产:\计算机\存储介质\其他技术设备可计量:价值(直接价值,损失成本)\重要性指定所有权人\分配职责信息资产分类分类原则:考虑业务需求\信息共享;信息敏感度变化;信息标识和处理:定义信息的复制,存储,输出,销毁的处理流程信息资产安全属性A6信息安全组织信息安全架构,组织内部管理,第三方访问信息安全基本架构论坛(技术人员\高层\各重要部门参与)协作责任分配信息处理方法授权过程组织间合作独立检查第三方访问安全A9物理和环境的安全重要性:反恐24小时-CTA下水道接入系统绕过防火墙安全区域:安全界线\进入控制\保护办公室\安全区域工作\隔离设备安全:设备定位\电力供应\电缆安全\设备维护\外部设备完全\设备淘汰一般管理措施:财产转移--不能把设备转移到工作场所之外A15符合性要求组织高度重视有关信息安全相关法律法规的要求。确保组织及员工的行为合法合规，并符合本组织的信息安全方针和相关规定；防止因违反法律法规和相关要求而造成不良后果。31A15符合性控制措施：防止滥用信息处理设施禁止使用信息处理设施用于未授权的目的。案例通信公司内部人员擅自利用通信系统的手机定位功能，向“侦探公司”提供用户的位置信息，导致命案。32A8人力资源安全人力资源安全领域强调如何降低人员交互作用对组织造成的内在风险，包括任用前的考察，任用中的管理和培训以及任用终止的处置。33A8人力资源安全人员安全是造成信息损毁的重要原因信息损毁原因分布图34A8人力资源安全公安部曾作过统计70％的泄密犯罪来自于内部；计算机应用单位80％未设立相应的安全管理体系；58％无严格的管理制度。如果相关技术人员违规操作（如管理员泄露密码），即便组织有最好的安全技术的支持，也保证不了信息安全。在信息技术高度发达的美国，信息安全中对人的管理也是一个大问题。在近年一次对600名CIO的调查表明：有66%的被调查公司没有完整的信息安全方针和策略，这就意味着无法对员工进行有效的管理。有32%的被调查公司要求员工熟悉安全方针与指南只有23%的被调查公司的员工得到过信息安全的培训35A8人力资源安全安全控制措施：管理职责管理者应要求雇员、承包方人员和第三方人员按照组织已建立的方针策略和规程对安全尽心尽力。案例电信公司员工出卖用户个人信息案2010年6月8日，北京东方亨特商务调查中心等5家调查公司因涉嫌敲诈勒索等非法经营被查，牵出其信息来源竟是电信公司工作人员。最终中国移动、中国联通的三名被告被判2年5-6个月有期徒刑。36A10通信和操作管理通信涉及信息的交流和传输，操作是对信息处理设施和系统的操作和运行管理。通信和操作管理是信息安全管控的重要运行领域，对这一领域的控制体现了组织安全可靠地运行其信息资产的能力37A10通信和操作管理操作过程责任记录变更流程意外事故管理流程开发过程与运行过程的分离--开发错误\恶意系统规划验收:预测:容量\资源A10通信和操作管理控制恶意代码应实施恶意代码的检测、预防和恢复的控制措施，提高用户安全意识。案例特洛伊木马病毒在1998年7月，黑客CultoftheDeadCow（cDc）推出强大的远程控制工具BackOrifice（或称BO）可以使黑客通过网络远程入侵并控制受攻击的Win95系统，从而使受侵电脑“形同玩偶”。2007年“灰鸽子”木马曾在我国大量传播，使09年“照片门”事件的央视主持人马斌“落马”39A12信息系统获取、开发和维护信息系统获取、开发和维护领域涉及信息系统的安全需求、信息和数据在应用系统的确认及处理、密码、系统测试和技术脆弱性管理等安全控制实践，以确保将安全要求有机地集成到信息系统40A12信息系统获取、开发和维护安全控制措施：技术脆弱性控制应及时得到现用信息系统技术脆弱性的信息，评价组织对这些脆弱性的暴露程度，并采取适当的措施来处理相关的风险。案例市政一卡通破解案。由于发现卡内芯片的漏洞，及时升级系统，监测出不法充值，使作案人被捕判刑。41A14业务连续性管理关注于在发生重大灾难或故障时确保将业务中断的影响最小化，保证组织的基本业务继续运行。业务连续性管理反映了组织对信息系统运行中断后的应对及安全保障能力。42A14业务连续性管理案例911恐怖袭击中位于世贸中心内的著名财经咨询公司摩根斯坦利公司，由于实施了业务连续性战略及规划，灾后第二天成功地恢复了正常的业务运营，将突发危机的不利影响降低到了最低程度。43A14业务连续性管理受灾的场所后备场所转移到后备场所据美国的一项研究报告显示，在遭受灾害之后，如果无法在14天内恢复业务数据，75%的公司业务会完全停顿，43%的公司再也无法重新开业，20%的公司将在2年内宣告破产。44小结建立、实施、运行、保持和改进信息安全管理体系，或采取并保持体系化的安全管控可有效防范风险、降低损失；对信息安全缺乏全面准备，损失的风险得不到控制。45四、信息安全技术体系基础支撑技术：提供包括机密性、完整性和抗抵赖性等在内的最基本的信息安全服务，同时为信息安全攻防技术提供支撑主动防御技术和被动防御技术是两类基本的信息安全防范思路主动防御技术提供阻断、控制信息安全威胁的能力被动防御技术着眼信息安全威胁的发现和如何在信息安全威胁发生后将损失降到最低面向管理技术：以如何提高信息安全技术效率和集成使用信息安全技术为基本出发点，引入了管理的思想，是一种综合的技术手段安全网管系统、网络监控、资产管理、威胁管理等属于这类技术四、信息安全技术体系基础支撑技术密码技术：密码、签名、PKI认证技术：消息认证、身份鉴别访问控制：人员限制、数据标识、权限控制、风险控制（例如：MAC地址邦定）2023/2/148身分认证安全技术动态口令认证PKI技术2023/2/149动态口令身份认证原理时间/事件信息卡内密钥当前登录口令密码运算2023/2/150数字签名A的签名私钥用户A

明文用户Bhash加密签名A的签名公钥解密摘要摘要2023/2/151数字签名(cont.)使用公钥系统等效于纸上物理签名如报文被改变，则与签名不匹配只有有私钥的人才可生成签名，并用于证明报文来源于发送方A使用其私钥对报文签名，B用公钥查验（解密）报文2023/2/152数字信封加密对称密钥用户A

明文

密文用户B的公钥数字信封解密用户B

密文

明文用户B的私钥对称密钥2023/2/153数字签名较报文摘要昂贵，因其处理强度大为提高其效率，对一个长文进行签名的常用方法是先生成一个报文摘要，然后再对报文摘要进行签名。使用这种方法，我们不但可以证明报文来源于A(A对报文签名，不可否认)，而且确定报文在传输过程中未被修改(报文摘要，机密性)。由于只有A知道其私有密钥，一旦他加密(签名)了报文摘要(加密的报文)，他对报文负责(不可否认)。报文摘要与数字签名(cont.)2023/2/154证书的版本号数字证书的序列号证书拥有者的姓名证书拥有者的公开密钥公开密钥的有效期签名算法颁发数字证书的验证数字证书格式（X.509）2023/2/155数字时间戳服务（DTS）提供电子文件发表时间的安全保护和证明，由专门机构提供。它包括三个部分：需要加时间戳的文件的摘要DTS机构收到文件的日期和时间DTS机构的数字签名

数字时间戳四、信息安全技术体系主动防御技术防火墙：包过滤、应用代理、地址翻译NAT、安全路由VPN：高层封装底层反病毒：病毒特征码AAA认证：2023/2/157Internet防火墙防火墙受保护网络受保护网络2023/2/158计算机病毒计算机病毒的定义编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码——《中华人民共和国计算机信息系统安全保护条例》2023/2/159计算机病毒的特征自我复制能力感染性潜伏性触发性破坏性2023/2/160引起网络病毒感染的主要原因在于网络用户自身。

2023/2/161病毒攻击的操作系统MicrosoftDOSMicrosoftWindows95/98/MEMicrosoftWindowsNT/2000/XPUnix(Linux)其他操作系统2023/2/162计算机病毒的分类

按寄生方式分为引导型、病毒文件型病毒和复合型病毒引导型病毒是指寄生在磁盘引导区或主引导区的计算机病毒。此种病毒利用系统引导时,不对主引导区的内容正确与否进行判别的缺点,在引导系统的过程中侵入系统,驻留内存,监视系统运行,待机传染和破坏。2023/2/163

文件型病毒是指寄生在文件中的计算机病毒。这类病毒程序感染可执行文件或数据文件。如COM和.EXE等可执行文件;Macro/Concept、Macro/Atoms等宏病毒感染.DOC文件。复合型病毒是指具有引导型病毒和文件型病毒寄生方式的计算机病毒。这种病毒扩大了病毒程序的传染途径,它既感染磁盘的引导记录,又感染可执行文件。四、信息安全技术体系被动防御技术IDSIntrusionDetectionSystems网络扫描蜜罐技术五、信息安全管理方法1、信息安全风险评估依据信息安全技术与管理标准评估信息资产、威胁、脆弱点五、信息安全管理方法2、信息安全事件管理--（应急预案）识别风险后，预先制定管理机制：控制影响重要密码泄露、系统崩溃、地震信息安全事件管理标准：GB/Z20985-2007管理指南GB/Z20986-2007分级指南GB/Z20988-2007恢复规范五、信息安全管理方法3、信息安全测评认证4、信息安全工程管理SSE-CMM系统安全工程能力成熟度模型--基于软件生命周期理论2023/2/168第二节信息安全管理标准一、BS7799二、其他标准2023/2/169BS7799简介BS7799概述：BS7799是英国标准委员会（BritshStandardsInsstitute,BSI）针对信息安全管理而制定的标准。分为两个部分：第一部分：被国际标准化组织ISO采纳成为ISO/IEC17799:2005标准的部分，是信息安全管理实施细则（CodeofPracticeforInformationSecurityManage-ment），主要供负责信息安全系统开发的人员参考使用，其主要内容分为11方面，提供了133项安全控制措施（最佳实践）。第二部分：被国际标准化组织ISO采纳成为ISO/IEC20071:2005标准的部分，是建立信息安全管理体系（ISMS）的一套规范（SpecificationforInformationSecurityManagementSystems）,其中详细说明了建立、实施和维护信息安全管理体系的要求，可以用来指导相关人员应用ISO/IEC17799:2005,其最终目的在于建立适合企业需要的信息安全管理体系。2023/2/170BS7799发展历程BS7799最初由英国贸工部立项，是业界、政府和商业机构共同倡导的，旨在开发一套可供开发、实施和衡量有效信息安全管理实践的通用框架。1995年，BS7799-1:1995《信息安全管理实施细则》首次发布1998年，BS7799-2:1998《信息安全管理体系规范》发布1999年4月，BS7799的两个部分被修订，形成了完整的BS7799-1:19992000年国际信息化标准组织将其转化为国际标准，即ISO/IEC17799:2000《信息技术—信息安全管理实施细则》2002年BSI对BS7799-2：1999进行了重新修订，正式引入PDCA过程模型；2004年9月BS7799-2:2002正式发布2005年6月，ISO/IEC17799:2000经过改版，形成了新的ISO/IEC17799:2005,同年10月推出了ISO/IEC27001:2005目前有20多个国家和地区引用BS7799作为本国（地区）标准，有40多个国家和地区开展了与此相关的业务。在我国ISO17799:2000已经被转化为GB/T19716-20052023/2/171BS7799的内容*BS7799-1:《信息安全管理实施规则》

主要是给负责开发的人员作为参考文档使用，从而在他们的机构内部实施和维护信息安全。*BS7799-2:《信息安全管理体系规范》

详细说明了建立、实施和维护信息安全管理体系的要求，指出实施组织需要通过风险评估来鉴定最适宜的控制对象，并根据自己的需求采取适当的安全控制。2023/2/172

信息安全管理实施细则将信息安全管理内容划分为11个方面，39个控制目标，133项控制措施，供信息安全管理体系实施者参考使用，这11个方面包括：1、安全策略（SecurityPolicy）2、组织信息安全(OrganizingInformationSecurity)3、资产管理(AssetMangement)4、人力资源安全(HumanResourcesSecurity)5、物理与环境安全(PhysicalandEnvironmentalSecurity)BS7799-1(ISO/IEC17799)2023/2/1736、通信与操作管理(CommunicationandOperationManagement)7、访问控制(AccessControl)8、信息系统获取、开发与维护(InformationSystemsAcquisition,DevelopmentandMaintenance)9、信息安全事件管理(InformationSecurityIncidentManagement)10、业务连续性管理(BusinessContinuityManagement)11、符合性(Compliance)2023/2/174安全策略：包括信息安全策略文件和信息安全策略复查。组织安全：包括在组织内建立发起和控制信息安全实施的管理框架；维护被外部伙伴访问、处理和管理的组织的信息，处理设施和信息资产的安全。资产管理：包括建立资产清单、进行信息分类与分级人力资源安全：包括岗位安全责任和人员录用安全要求，安全教育与培训，安全意识，离职及变更职位等。BS7799-1(ISO/IEC17799)2023/2/175物理与环境安全：包括安全区域控制、设备安全管理等通信与操作管理：包括操作程序和责任，系统规划和验收，防范恶意软件，内务管理，网络管理，介质安全管理，信息与软件交换安全访问控制：包括访问控制策略，用户访问控制，网络访问控制，操作系统访问控制，应用访问控制，监控与审计，移动和远程访问BS7799-1(ISO/IEC17799)2023/2/176信息系统获取、开发与维护：安全需求分析，安全机制设计（应用系统安全，密码控制，系统文件安全），开发和支持过程的安全控制信息安全事件管理：报告信息安全事件、安全缺陷；责任和程序、从信息安全事件吸取教训、证据收集。业务连续性管理：业务连续性计划的制订，演习，审核，改进符合性管理：符合法律法规，符合安全策略等。BS7799-1(ISO/IEC17799)2023/2/177对控制措施的描述不够细致，导致缺乏可操作性；133项控制措施未必适合全部的组织，应当有选择的参考使用；133项控制措施未必全面，可以根据实际情况进行增补。BS7799-1(ISO/IEC17799)2023/2/178ISO/IEC17799:2005列举了十项适用于几乎所有组织和大多数环境的控制措施：1、与法律相关的控制措施：（1）知识产权：遵守知识产权保护和软件产品保护的法律；（2）保护组织的记录：保护重要的记录不丢失，不被破坏和伪造；（3）数据保护和个人信息隐私：遵守所在国的数据保护法律。BS7799-1(ISO/IEC17799)2023/2/1792、与最佳实践相关的控制措施：（1）信息安全策略文件：高管批准发布信息安全策略文件，并广泛告知；（2）信息安全责任的分配：清晰地所有的信息安全责任；（3）信息安全意识、教育和培训：全体员工及相关人员应该接受恰当的意识培训；BS7799-1(ISO/IEC17799)2023/2/180（4）正确处理应用程序：防止应用程序中的信息出错、丢失或被非授权篡改及误用；（5）漏洞管理：防止利用已发布的漏洞信息来实施破坏；（6）管理信息安全事件和改进：确保采取一致和有效的方法来管理信息安全事件。（7）业务连续性管理：减少业务活动中断，保护关键业务过程不受重大事故或灾难影响。BS7799-1(ISO/IEC17799)2023/2/181信息安全管理体系规范(SpecificationforInformationSecurityManagementSystem)说明了建立、实施、维护，并持续改进ISMS的要求指导实施者如何利用BS7799-1来建立一个有效的ISMSBSI提供依据BS7799-2所建立ISMS的认证BS7799-2/ISO270012023/2/182

建立ISMS（PLAN）定义ISMS的范围和策略识别和评估风险评估现有保证措施准备适用性说明取得管理层对残留风险的认可，并获得实施ISMS的授权BS7799-2/ISO270012023/2/183

实施ISMS（DO）制订并实施风险处理计划实施安全控制措施实施安全意识和安全教育培训实施检测和响应安全机制BS7799-2/ISO270012023/2/184

监视和复查ISMS（CHECK）实施监视程序和控制定期复审ISMS的效力定期进行ISMS内部审计复查残留风险和可接受风险的水平BS7799-2/ISO270012023/2/185

改进ISMS（ACT）对ISMS实施可识别的改进实施纠正和预防措施确保改进成果满足预期目标BS7799-2/ISO270012023/2/186

强调文档化管理的重要作用，文档体系包括安全策略适用性声明实施安全控制的规程文档ISMS管理和操作规程与ISMS有关的其它文档BS7799-2/ISO270012023/2/187

建立ISMS的过程制订安全策略确定体系范围明确管理职责通过安全风险评估确定控制目标和控制措施复查、维护与持续改进BS7799-2/ISO270012023/2/188二、其他标准1、PD3000BS7799标准本身是不具有很强的可实施性的，为了指导组织更好地建立ISMS并应对BS7799认证审核的要求，BSIDISC提供了一组有针对性的指导文件，即PD3000系列