版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
网络安全学习课件网络与信息安全总纲(NISS培训)P151网络与信息安全综述P2中国移动全员安全意识培训P261123课程提纲课程1—
网络与信息安全综述目录网络与信息安全概述安全现状与趋势分析安全技术及产品介绍安全标准与政策法规安全工作思路与原则案例分析网络与信息安全概述请思考什么是网络与信息安全?什么是网络与信息(1)强调信息:对企业具有价值(或能产生价值)以多种形式存在:纸、电子、影片、交谈等是一种资产同其它重要的商业资产一样需要适合的保护强调网络:网络是信息的一种载体是信息存放、使用、交互的重要途径是一种容易识别的实体是基础通信运营企业的有形资产什么是网络与信息(2)从理论角度信息的范围更大,更广网络只是信息使用过程的一种载体、一种方式从实际工作角度把信息局限在网络上承载的内容、数据、业务保障业务连续性、网络正常运行的配置数据等比理论角度的信息范围要窄,但适合我们的工作实际两种视角的相同点信息是目标网络是基础网络与信息并重什么是网络与信息安全信息安全:保护信息免受各种威胁确保业务的连续性将信息不安全带来的损失降低到最小获得最大的投资回报和商业机会网络安全:网络、设备的安全线路、设备、路由和系统的冗余备份网络及系统的安全稳定运行网络及系统资源的合理使用网络与信息安全的论域对应通信网络及信息化的发展,网络与信息安全大致包含了信息环境、信息网络和通信基础设施、媒体、数据、信息内容、信息应用等多个方面。中国移动按企业实际情况把网络与信息安全划分为七类:物理安全、传统通信安全、网络与系统安全、业务安全、内容安全、信息安全需求属性状态能力功能工程结果安全的多维性——多角度思考信息化社会的需要比如:保密性等对应于信息不安全对应于人们的努力比如:防护、检测等对应于人们努力的时间对应于努力的实力“安全”——动态发展的概念19911989X.800ISO7498-2“安全”是指将资产或资源的脆弱性降到最低限度。ISO154081999当对信息进行正确的控制以确保它能防止冒险,诸如不必要的或无保证的传播、更改或遗失,IT产品和系统应执行它们的功能.“IT安全”用于概括防御和缓解这些及类似的冒险。2000ISO17799:20002005ISO17799:2005信息安全是要在很大的范围内保护信息免受各种威胁,从而确保业务的连续性、减少业务损失并且使投资和商务机会获得最大的回报。特指保护保密性、完整性和可用性。信息安全-保证信息的保密性,完整性,可用性;另外也可包括诸如真实性,可核查性,不可否认性和可靠性等特性.ISOTR13335-2:199719972004ISO13335-1:2004定义获取和维护保密性、完整性、可用性、可核查性、真实性和可靠性。安全的相关属性Confidentiality保密性Dataconfidentiality数据保密性Communicationsecurity通信安全Integrity完整性Dateintegrity数据完整性Availability可用性Non-repudiation抗抵赖性Accountability可核查性Authenticity真实性Reliability可靠性AccessControl访问控制Authentication鉴别Privacy私密性13335:200417799:2005X.800X.805ISO17799:2000信息系统等级保护80年代的认识90年代的认识90年代后期的认识通信保密通信保密信息安全信息保障保密性完整性可用性真实性保密性可核查性完整性抗抵赖性可用性可靠性安全的相关属性使信息不泄露给未授权的个人、实体或过程或不使信息为其所利用的特性。保护信息及处理方法的准确性和完备性。被授权实体一旦需要就可访问和使用的特性。确保主体或资源的身份正是所声称身份的特性。真实性适用于用户、过程、系统和信息之类的实体。确保可将一个实体的行动唯一地追踪到此实体的特性。证明某一动作或事件已经发生的能力,以使事后不能抵赖这一动作或事件。保密性完整性可用性真实性可核查性抗抵赖性可靠性预期行为和结果相一致的特性。请思考企业为什么要投入大量成本实现网络与信息安全?网络与信息安全的重要性网络与信息安全是国家的需要保障国家安全、社会稳定胡总书记提出“三个坚决”:坚决防止发生危害国家安全和社会稳定的重大政治事件;坚决防止发生暴力恐怖事件;坚决防止发生大规模群体性事件。企业生存和发展必须遵循外部网络与信息安全强制要求国家及行业的要求:《电信法》、《增值电信业务网络信息安全保障基本要求》、电信网络安全等级保护等;资本市场:《萨班斯法案》。国家企业用户网络与信息安全的重要性网络与信息安全是企业保持竞争力的内在需要企业战略转变做世界一流企业,成为移动信息专家,网络与信息安全是必要条件:体现了中国移动企业核心观正德厚生:旨于服务和谐社会,保障客户利益臻于至善:打造中国移动安全健康的精品网络实现中国移动对客户及社会的承诺对客户的承诺:提供卓越品质的移动信息专家对社会的承诺:承担社会责任做优秀企业公民体现企业持续发展市场需求驱动安全发展安全服务已成为新的业务增长点。如绿色上网、电子商务等安全服务竞争优势,树立品牌企业正常运营的需求避免名誉、信誉受损避免直接经济损失避免正常工作中断或受到干扰避免效率下降国家企业用户网络与信息安全的重要性网络与信息安全是用户的需要保护个人隐私与财产威胁信息私秘性直接影响用户对信息交互的信任度满足用户业务使用需求客户在业务使用中,对安全的需求越来越强烈。如政府、银行等集团客户对网络运营商提出更高的安全保障要求国家企业用户网络与信息安全的基本特征相对性只有相对的安全,没有绝对的安全系统时效性新的漏洞与攻击方法不断发现相关性日常管理中的不同配置会引入新的问题(安全测评只证明特定环境与特定配置下的安全)新的系统组件也会引入新的问题不确定性攻击发起的时间、攻击者、攻击目标和攻击发起的地点都具有不确定性复杂性信息安全是一项系统工程,需要技术的和非技术的手段,涉及到管理、培训、技术、人员、标准、运行等必要性网络与信息安全必须是企业重点并持续关注和解决的网络与信息安全的特点威胁永远不会消失!漏洞/脆弱性客观存在!客观上无法避免的因素技术发展的局限,系统在设计之初不能认识到所有问题,如Tcp/ip协议人类的能力有限,失误和考虑不周在所难免,如在编码会引入Bug主观上没有避免的因素采用了默认配置而未定制和安全优化新的漏洞补丁跟踪、使用不及时组织、管理和技术体系不完善技术发展和环境变化的动态性……国家间的竞争与敌对势力永远不会消失企业间谍、攻击者、欺诈与偷窃内部系统的误用、滥用问题长期存在新的威胁不断出现使原有防护措施失效或新的威胁产生……随着信息化建设,信息资产的价值在迅速增长资产的无形价值,如商业情报、声誉、品牌等等已远远超过了购买价格……资产价值多样化增长!有效保护网络与信息安全的核心是进行持续、科学的风险管理!风险管理思想风险RISKRISKRISKRISK风险风险的构成风险的降低资产威胁漏洞资产威胁漏洞安全现状与趋势分析案例-中美黑客大战事件背景和经过2001.4.1撞机事件为导火线4月初,以PoizonB0x、pr0phet为代表的美国黑客组织对国内站点进行攻击,约300个左右的站点页面被修改4月下旬,国内红(黑)客组织或个人,开始对美国网站进行小规模的攻击行动,4月26日有人发表了“五一卫国网战”战前声明,宣布将在5月1日至8日,对美国网站进行大规模的攻击行动。各方都得到第三方支援各大媒体纷纷报道,评论,中旬结束大战典型案例-中美黑客大战中经网数据有限公司中国科学院心理研究所国内某政府网站国内某大型商业网站遭PoizonB0x、pr0phet更改的我国部分网站主页典型案例-中美黑客大战美国劳工部网站美国某节点网站美国某大型商业网站美国某政府网站国内黑客组织更改的网站页面常用入侵系统步骤(普通&高级)采用漏洞扫描工具选择会用的方式入侵获取系统一定权限提升为最高权限安装系统后门获取敏感信息或者其他攻击目的端口判断判断系统选择最简方式入侵分析可能有漏洞的服务获取系统一定权限提升为最高权限安装多个系统后门清除入侵脚印攻击其他系统获取替换信息作为其他用途Ping、traceroute等系统自带命令端口扫描NmapOS指纹鉴别漏洞扫描(X-scan、SSS、商业扫描器)构造特殊的攻击和扫描,如firewalking社会工程配置错误信息收集与踩点网络与信息安全面临各种威胁内部、外部泄密拒绝服务攻击欺诈钓鱼信息丢失、篡改、销毁内部网络滥用病毒蠕虫木马黑客攻击信息资产物理偷窃常见安全事件类型-网络钓鱼以假乱真,视觉陷阱域名类似
身份伪装
admin@?改写URL&item=q20299@/pub/msk/Q20299.asp编码http://3633633987DNS劫持+Phishing常见安全事件类型-病毒及恶意代码计算机病毒是指一段具有自我复制和传播功能的计算机代码,这段代码通常能影响计算机的正常运行,甚至破坏计算机功能和毁坏数据。病毒的特点破坏性强传播性强针对性强扩散面广传染方式多病毒的新动向传播速度快:以网络和Internet为主危害很大的病毒以邮件为载体病毒的延伸:特洛伊木马有毒的移动编码--来自Internet网页威胁“熊猫烧香”事件熊猫烧香金猪报喜“熊猫烧香”去年11月中旬被首次发现,短短两个月时间,新老变种已达700多种个常见安全事件类型-病毒蠕虫红色代码2001年6月18日,微软发布安全公告:MicrosoftIIS.IDA/.IDQISAPI扩展远程缓冲区溢出漏洞。一个月后,利用此安全漏洞的蠕虫“红色代码”一夜之间攻击了国外36万台电脑,2001年8月6日,“红色代码Ⅱ”开始在国内发作,造成很多运营商和企事业单位网络瘫痪。给全球造成了高达26亿美元的损失。SQLslammer2002年7月24日,微软发布安全公告:MicrosoftSQLServer2000Resolution服务远程栈缓冲区溢出漏洞。到2003年1月25日,足足6个月后,利用此安全漏洞的蠕虫“SQLSlammer”现身互联网,几天之内给全球造成了12亿美元的损失。冲击波震荡波魔波……常见安全事件类型-特洛伊木马Internet攻击者的计算机攻击者控制的服务器特洛伊木马攻击的计算机特洛伊木马攻击的计算机正向连接反向连接常见安全事件类型-僵尸网络什么是僵尸网络(BotNet)是互联网上受到黑客集中控制的一群计算机,往往被黑客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等,同时黑客控制的这些计算机所保存的信息也都可被黑客随意“取用”。发现僵尸网络是非常困难的因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”,这些主机的用户往往并不知情。因此,僵尸网络是目前互联网上黑客最青睐的作案工具。常见安全事件类型-拒绝服务攻击攻击者就是让你白等伪造地址进行SYN请求SYN(我可以连接吗?)ACK(可以)/SYN(请确认!)不能建立正常的连接受害者为何还没回应拒绝服务(DoS)的分类攻击类型划分I堆栈突破型(利用主机/设备漏洞)远程溢出拒绝服务攻击网络流量型(利用网络通讯协议)SYNFloodACKFloodICMPFloodUDPFlood、UDPDNSQueryFloodConnectionFloodHTTPGetFlood……攻击类型划分II应用层垃圾邮件、病毒邮件DNSFlood网络层SYNFlood、ICMPFlood链路层ARP伪造报文物理层直接线路破坏电磁干扰发起突然可能之前毫无征兆危害巨大极大的破坏了系统和网络的可用性涉及金钱利益的攻击事件开始出现极易实施广为传播的免费工具软件人的好奇心或者其他想法防范困难新的攻击形式不断出现攻击制造的流量日益增大难于追查有意识的攻击1999年Yahoo、ebay被拒绝服务攻击,DDoS出现2001年CERT被拒绝服务攻击2002年CNNIC被拒绝服务攻击2003年全球13台根DNS中有8台被大规模拒绝服务有组织、有预谋的涉及金钱利益的拒绝攻击出现无意识的攻击蠕虫传播Exploit(ProofofConceptCode)DoS/DDoS的历史和特点常见安全事件类型-社会工程社会工程假借客户,骗取资料冒充技术员打电话,询问个人邮件密码搜集员工个人信息,破解用户口令收买公司员工,窃取内部机密其它常见的攻击/入侵方法黑客入侵跳板或肉鸡:通过一个节点来攻击其他节点。攻击者控制一台主机后,经常通过IP欺骗或者主机信任关系来攻击其他节点以隐蔽其入侵路径和擦除攻击证据。电子邮件攻击:邮件炸弹、邮件欺骗网络监听:获取明文传输的敏感信息内部网络滥用:BT下载、大附件邮件转发等主要威胁的统计根据FBI调查统计,位列前五位的威胁分别是内部网络的滥用、病毒和移动设备的偷窃、钓鱼以及即时消息的滥用。威胁主体分析来源描述环境因素
断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外事故等环境危害或自然灾害,以及软件、硬件、数据、通讯线路等方面的故障人为因素恶意人员
不满的或有预谋的内部人员对信息系统进行恶意破坏;采用自主或内外勾结的方式盗窃机密信息或进行篡改,获取利益外部人员利用信息系统的脆弱性,对网络或系统的保密性、完整性和可用性进行破坏,以获取利益或炫耀能力非恶意人员
内部人员由于缺乏责任心,或者由于不关心或不专注,或者没有遵循规章制度和操作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击GB/T20894-2007《信息安全技术-信息安全风险评估规范》人—最主要的威胁主体截至2007年12月,网民数已增至2.1亿人。中国网民数增长迅速,比2007年6月增加4800万人,2007年一年则增加了7300万人,年增长率达到53.3%。在过去一年中平均每天增加网民20万人。目前中国的网民人数略低于美国的2.15亿,位于世界第二位。目前中国4亿手机用户中,在过去半年有过手机接入互联网行为的网民数量是5,040万人。即网民中的24%、手机用户中的12.6%是手机网民,手机上网已经渐成风气。攻击方法及技术趋势高低19801985199019952000密码猜测可自动复制的代码密码破解利用已知的漏洞破坏审计系统后门回话劫持擦除痕迹臭探包欺骗GUI远程控制自动探测扫描拒绝服务www攻击攻击者入侵者技术攻击手法半开放隐蔽扫描控制台入侵检测网络管理DDOS攻击SQL注入Googlehacking2005电信网络面临的威胁网络结构庞大复杂,互联网出入口多不同安全等级的网络、系统隔离不充分,易导致威胁的扩散(生产网、网管网、OA等)业务系统自身的脆弱性(应用软件、业务逻辑漏洞、安全补丁等)IP化及业务开放性趋势导致新的弱点:信令网不再封闭不同安全域的互通控制更复杂ATCA平台/通用操作系统的应用使得设备自身易受攻击OABSS/OSS移动网络安全威胁分析IPCoreNetworkIPAccessNetworkIPIPCSCFMGCFMRFIMSBTSNodeBBSCRNCIPBSSIPRANCSMSCMGWSGSNGGSNPSPSTN/PLMNInternetMMSSMSWAP自有业务系统PresenceIMConferenceGaming第三方ASP/ISP终端来自用户侧(接入/终端)威胁对用户窃听/用户机密信息窃取病毒/蠕虫/木马中间人或伪基站攻击对网络业务盗用非法设备接入网络攻击/拓扑泄露
DoS攻击,资源耗竭来自Internet的威胁黑客入侵
DoS/DDos攻击,资源耗竭非法接入业务系统来自第三方网络的威胁身份欺骗业务欺诈/盗用来自运营商DCN网络的威胁
病毒、蠕虫、木马非法访问越权访问、权限滥用敏感/机密信息泄露StreamHLR/Auc网络技术快速发展,安全风险无处不在网络IP化业务开放化终端智能化123在向全IP网络转变过程中,由于IP协议的不安全以及复杂的互联需求,安全风险逐步渗入到电信网络的核心。移动终端处理能力的提高、功能的丰富,同时意味着传统计算机领域的安全问题也会扩散到移动终端领域,并给通信网络带来安全隐患。运营商、SP构成更加紧密的价值链,该此模式对管理和技术控制措施提出更高要求。安全攻击日益受利益驱动,易于实施攻击工具化驱动利益化45安全工具易于获得,攻击成本逐年降低大量自动化、集成度高的攻击工具,可通过互联网下载。随着互联网的发展,网上可供利用的安全漏洞数量逐年增加,成功实施攻击所需时间不断缩短。在经济利益驱动下,安全事件更加难于处理和防范维护人员、第三方技术支持人员利用其了解的信息和掌握的权限谋取非法收入。传统安全防护手段难于对此类情况进行防护。灰鸽子病毒,垃圾邮件等安全事件,反映出利用安全事件获取非法收益的地下产业链已经形成。影响业务运作信息安全问题引起电信业务中断带来极大的社会影响。如:电信4.11断网、北京网通断网信息安全问题导致业务收入损失。如:智能网盗卡事件竞争力下降新业务模式、投资计划等商业秘密泄漏。由于资本市场提出新的监管要求,信息安全问题更加严重影响企业的融资能力。因业务没有充分的安全保障,造成客户对业务的负向感知,引起客户投诉、离网或不选择相应的服务。安全问题可能导致移动多年精心经营的移动信息专家品牌蒙受重大损失。法律诉讼业务数据受到破坏,广东动感地带网站泄漏用户个人信息香港和黄被起诉安全问题带来的企业风险脆弱性面面观-国家层面我国信息安全保障工作仍存在一些亟待解决的问题:网络与信息系统的防护水平不高,应急处理能力不强;信息安全的管理和技术人才缺乏,信息安全关键技术整体上比较落后,信息安全产业缺乏核心竞争力;信息安全法律法规和标准不完善;全社会的信息安全意识不强,信息安全管理薄弱。国家信息化领导小组关于加强信息安全保障工作的意见(中办发[2003]27号)脆弱性面面观-企业层面安全脆弱性美国中国预算限制29%20%执行安全政策不利21%19%高级管理层对此缺乏关注或兴趣19%28%信息安全策略不完善18%42%关键技术产品存在安全漏洞18%34%补丁产品使用不当17%38%采用外包服务13%9%IT架构陈旧过时12%15%安全产品不兼容或互操作性差10%20%安全政策和技术跟不上组织结构的变化10%17%内部开发的软件未对信息安全予以关注10%16%雇用临时员工9%9%其它6%1%InformationWeek研究部和埃森哲咨询公司《2007年全球信息安全调查》德勤《2007年全球信息安全调查》脆弱性面面观-个人层面应用存在的问题上传下载病毒木马传播、身份伪造、机密泄漏邮件收发漏洞利用、病毒木马传播即时通讯病毒木马传播、Bot扩散、信息泄漏信息浏览网络欺诈、网页病毒攻击网络游戏外挂问题、身份伪造、账号装备失窃信息查询敏感信息泄漏在线音视频漏洞利用、身份伪造文件共享病毒木马传播、带宽消耗电子商务身份伪造、网络欺诈、账号失窃安全技术及产品介绍主流安全产品格局网络安全Web安全Message安全终端安全NetworkFireWallNetworkIPSNGNetworkFirewallUTMHostFirewallHostIPSHost/EndpointAnti-VirusHostAnti-SpywareEndpiontComplianceGatewayAntiVirusGatewayAnti-phishingURL-filteringGatewayAntispywareWebFirewall/IPSAnti-SpamMailServerAntivirusMailEncryptionOutboundContentComplianceConvergedClientSecuritysuitAnti-DDOSDPI/DFIUTMSSL/IPSecVPN带宽管理用户行为审计安全内容与威胁管理基础平台管理基于身份的认证与授权管理SIEMVulnerabilitymanagementUnifysecuritynetworkmanagementPatchmanagementIDMPKISmartCardBiometricalIdentifySSOAuthoritymanagementProvisioningRolemanagement应用安全主流安全产品介绍防火墙IDS/IPS抗DDOS防病毒安全域帐号口令审计安全管理平台防火墙的概念防火墙是一种高级访问控制设备,是置于不同网络安全域之间的一系列部件的组合,是不同网络安全域间通信流的唯一通道,能根据企业有关安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。不可信的网络及服务器可信任的网络防火墙路由器InternetIntranet供外部访问的服务及资源可信任的用户不可信的用户DMZ防火墙的主要技术包过滤技术(PacketFiltering)状态包过滤技术(StatefulPacketFiltering)应用代理技术(ApplicationProxy)应用层表示层会话层传输层网络层数据链路层物理层*包过滤技术的基本原理数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包数据TCP报头IP报头分组过滤判断信息企业内部网屏蔽路由器数据包数据包UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource控制策略*状态包过滤技术的基本原理数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包企业内部网屏蔽路由器数据包数据包数据3TCP报头IP报头分组过滤判断信息数据2TCP报头IP报头数据1TCP报头IP报头数据1TCP报头IP报头数据状态检测控制策略*应用代理技术的基本原理数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包企业内部网屏蔽路由器数据包数据包数据TCP报头IP报头分组过滤判断信息应用代理判断信息控制策略防火墙的局限性防火墙不能防止通向站点的后门。防火墙一般不提供对内部的保护。防火墙无法防范数据驱动型的攻击。防火墙不能防止用户由Internet上下载被病毒感染的计算机程序或者将该类程序附在电子邮件上传输。确保网络的安全,还要对网络内部进行实时的检测,对信息内容进行过滤。入侵检测系统的基本概念入侵检测系统(IDS:Intrusiondetectionsystem)用于监控网络和计算机系统被入侵或滥用的征兆;IDS系统以后台进程的形式运行,发现可疑情况,立即通知有关人员;IDS是监控和识别攻击的标准解决方案,是安防体系的重要组成部分;假如说防火墙是一幢大楼的门锁,那入侵检测系统就是这幢大楼里的监视系统。监控室=控制中心后门保安=防火墙摄像机=探测引擎CardKey入侵检测系统示意形象地说,它就是网络摄象机,能够捕获并记录网络上的所有数据,同时它也是智能摄象机,能够分析网络数据并提炼出可疑的、异常的网络数据,它还是X光摄象机,能够穿透一些巧妙的伪装,抓住实际的内容。它还不仅仅只是摄象机,还包括保安员的摄象机,能够对入侵行为自动地进行反击:阻断连接、关闭道路(与防火墙联动)。入侵检测系统的类型主机入侵检测系统(HostIntrusionDetection)网络入侵检测系统(NetworkIntrusionDetection)网络入侵检测系统,它通过抓取网络上的所有报文,分析处理后,报告异常和重要的数据模式和行为模式,使网络安全管理员清楚地了解网络上发生的事件,并能够采取行动阻止可能的破坏。入侵检测系统的功能实时检测实时地监视、分析网络中所有的数据报文发现并实时处理所捕获的数据报文安全审计对系统记录的网络事件进行统计分析发现异常现象得出系统的安全状态,找出所需要的证据主动响应主动切断连接或与防火墙联动,调用其他程序处理入侵检测系统与防火墙的区别所在的位置不同防火墙是安装在网关上,将可信任区域和非可信任区域分开,对进出网络的数据包进行检测,实现访问控制。一个网段只需要部署一个防火墙。而NIDS是可以装在局域网内的任何机器上,一个网段内可以装上数台NIDS引擎,由一个总控中心来控制。防范的方向不同防火墙主要是实现对外部网络和内部网络通讯的访问控制,防止外部网络对内部网络的可能存在的攻击。网络入侵检测系统在不影响网络性能的情况下能对网络进行检测,从而提供对内部攻击、外部攻击和误操作的实时保护,防止内外部的恶意攻击和网络资源滥用。检测的细粒度不同防火墙为了实现快速的网络包转换,故只能对网络包的IP和端口进行一些防黑检测,比如端口扫描。可是对通过IIS漏洞及Nimda病毒之类的网络入侵,防火墙是毫无办法。而网络入侵检测系统则可以拥有更多特征的入侵数据特征库,可以对整个网络包进行检查过滤。入侵防御系统入侵防御系统IPS(IntrusionPreventionSystem)提供一种主动的、实时的防护,其设计旨在对常规网络流量中的恶意数据包进行检测,阻止入侵活动,预先对攻击性的流量进行自动拦截,使它们无法造成损失,而不是简单地在传送恶意流量的同时或之后发出警报。IPS是通过直接串联到网络链路中或安装在服务器上而实现这一功能的,即IPS接收到外部数据流量时,如果检测到攻击企图,就会自动地将攻击包丢掉。IPS的优点IPS侧重访问控制,注重主动防御。目前,主流的IPS产品都内置了状态包检测防火墙,IPS代表了深度检测和时时防御,IPS是2-7层的检测在加上高性能的硬件的结合体。IPS的缺点:性能:设备性能不够稳定,造成网络延迟或丢包;误报:存在误检测,对正常业务造成影响;漏报:存在漏报现象,影响系统安全性,给企业带来损失。抗DDOS攻击的技术趋势黑洞流量全部丢弃,反而达到了DDoS攻击的目的;ACL针对目的IP过滤或限速;无法防御应用攻击;防火墙性能/扩展差;对运营商网络的影响;被动防御时间异常流量监管按需部署方案安全威胁防范电信业务监管网络保值到增值异常流量监管技术DDoS流量清洗部署在IDC/大用户/运营商网络侧进行DDoS监测和防护;主要针对DDoS流量,其它异常流量防护能力有局限;攻击流量清洗病毒及恶意代码防护技术防病毒系统分类:主机型网关型特点:通过特征规则匹配发现病毒规则必须定期更新从发展上看,病毒及恶意代码,包括木马、蠕虫甚至垃圾邮件、间谍软件逐渐被归纳为内容安全的问题,传统防病毒系统也逐渐演变为安全内容管理。安全域划分组网方式随意性强,缺乏统一规划网络区域之间边界不清晰,互连互通没有统一控制规范安全防护手段部署原则不明确扩展性差无法有效隔离不同业务领域,跨业务领域的非授权互访难于发现和控制无法有效控制网络病毒的发作区域和影响不能及时的发现安全事件和响应第三方维护人员缺乏访问控制和授权管理员密码和权限的难以管理关键服务器、信息资产的缺乏重点防护为什么要划分安全域?安全域划分安全域划分的根本目的是把一个大规模复杂系统的安全问题,化解为更小区域的简单系统的安全保护问题。这也是实现大规模复杂信息的系统安全分等级保护的有效方法。安全域是指具有相同或近似安全保护需求的一系列IT要素的逻辑集合。这些要素主要包括:业务应用网络区域主机/系统组织人员物理环境主体、性质、安全目标和策略等元素的不同来划分的不同逻辑子网或网络,每一个逻辑区域有相同的安全保护需求,具有相同的安全访问控制和边界控制策略,区域间具有相互信任关系,而且相同的网络安全域共享同样的安全策略。安全域划分示例帐号口令管理的需求(4A)随着当前IP网络中,不同种类业务和应用的飞速发展,网络的安全性逐渐得到了人们的认识和重视,因此类如防火墙、IDS/IPS、防病毒网关、终端防护等安全技术产品在网络中越来越流行起来,从某种程度上解决了一些安全上问题,但是如何确定网络中用户身份的真实性,实现用户授权的可靠性,对用户网络行为的可追溯性,以及对用户账号管理的易用性,仍然是信息安全管理中不得不面对的难题。其常见的问题表现为:1、在网络用户只有IP,没有与之对应的真实身份ID的前提下,发生非法网络行为时,不能及时定位隔离。2、网络对登录用户进行认证时,每个节点的设备各自配置自己的用户信息、权限、策略及认证,从而难以管理,易出错。3、网络中不同功能服务区,没有进行按级别访问的权限设制。4、网络中真实用户身份不能确定,存在仿冒的可能,无法对个人行为进行监控。5、对网管人员自身的监控力度不够6、对多种网络接入方式的支持及认证强度不够,不能提供稳定的硬件级别的认证系统7、目前基于IP进行管理的网络,已不适应网络实名化的趋势帐号口令管理方法与目标增强内控安全,满足法规遵从梳理系统帐号,增强系统安全加强对系统的访问控制,提高系统安全性定制工作流,提供管理规范性技术手段支撑建立安全审计中心,及时发现安全问题,追溯违规行为建立管理平台,提高管理效率实现单点登录,提高用户便利集中认证接入集中授权管理集中帐号口令管理………集中安全审计…通过建立基于4A(Account、Authentication、Authorization、Auditing)的统一身份及访问安全管理平台,使得系统安全管理人员可以对各业务系统中的用户和资源进行集中账户管理、集中认证管理、集中权限分配、集中审计,从而在管理、技术上保证各种业务系统安全策略的实施。安全审计产品-需求能够发现潜在的威胁和运行问题,未雨绸缪化解安全和运行风险。对于安全事件发生或关键数据遭到严重破坏之前可以预先通过日志异常行为告警方式通知管理人员,及时进行分析并采取相应措施进行阻止,降低安全事件的最终发生率。定位操作系统和应用程序的日志,忠实地记录了操作系统和应用程序的“一举一动”,能够通过审计这些日志定位系统故障、网络问题和入侵攻击行为。举证安全审计的日志可以用来法律举证的证据,必要时能帮助进行事故的责任认定。一些行业要求定期对日志进行全面备份并保留相当时间。预警安全审计产品-审计目标操作系统日志登陆与SU日志:异常分析命令操作日志:分析异常操作标准系统日志:非法攻击留下的日志痕迹主机运行状态CPU资源监控内存占用监控磁盘空间监控应用系统日志数据库操作和登陆W3C格式的应用系统分析特定应用系统的定制集中日志审计的基本功能保障日志安全传输加密第三方存储访问授权易于管理集中存储方便支持不同应用系统日志审计的扩展采用多种直观的显示方式帮助管理员的分析和提供预警处理海量日志,提高分析效率自动化的日志分析支持海量日志事件的过滤、分析和处理更深层的对日志进行分析安全运行管理平台(ISMP)ISMP不是单纯产品,是承载安全管理与运行工作的平台涵盖安全工作的所有过程(包括预防、评估审计、监控、分析处理、恢复各个环节)承载安全工作流和信息流,针对各个安全流程的每个环节的工作提供相关信息、任务ISMP是安全保障体系的落实与体现形式,是安全保障体系有效运行的技术支撑手段实现动态、可量化的风险管理实现网络安全工作从凌乱、零散、粗放向有序、体系化、精细化的管理模式转变日常的安全运维工作通过ISMP开展,就像网管依赖网管平台开展ISMP从技术体系采集数据,执行和审计策略体系各相关部门通过ISMP实现安全工作有序管理和密切协作ISMP体现管理意图,以全面反映安全工作指导思想贯穿始终对领导层的价值:及时掌握各个部门整体安全状况,辅助决策业务连续性高,绩效好提高效率,减少人员需求,降低维护成本对安全管理者的价值:安全状态可视化。全面、直观识别和显示各系统和设备的安全风险及时和全面的发现的安全事件实现各部门各业务系统的安全产品、网络、主机、应用软件的事件关联分析实现安全事件精确定位,加快安全事件的响应速度,保障业务的连续性;智能化处理,降低对安全管理人员需求,提高工作效率;对系统维护人员、一般员工的价值:业务系统安全状况可视化;安全事件快速定位,并提供处理支持(如补丁加载决策支持),提高生产效率,减少低级劳动对业务人员的价值:安全保障水平提高,实现客户SLA;稳定客户,提高客户满意度安全运行管理平台(ISMP)ISMP产品核心技术发展以网元设备为核心(网管产品发展)基于网管系统开发的ISMP产品通常采用这个思想,把固定的安全事件固定到网元管理上以资产风险管理为核心(目前已应用的ISMP产品)以资产为核心视图,比较直观和灵活的管理事件、资产和脆弱性要素,实现了初步的风险管理思想ISMP产品核心技术的发展以过程管理为核心(未来ISMP发展方向)
主要突出安全运维流程过程管理作为安全运行支撑手段,非事件关联分析告警的平台以安全事件为核心(日志收集与安全审计产品)收集多种不同来源的安全事件,进行关联并可设定监控阀值安全标准与政策法规安全标准与政策法规简介框架标准指南政策法律法规国内相关的政策、法律法规、安全框架及各类适用标准。国际相关国家管理部门标准研究机构企业管理部门行业主管部门发布国家层面的信息战略、信息安全战略、安全相关法律法规等。研究国内外先进标准体系、制订、发布安全国家标准、地方标准等。发布行业安全指南、指引,研究、制订本行业安全相关标准等。发布本企业信息安全政策、策略、制度、指南,以及本企业标准等。研究、制订、发布国际信息安全标准化组织ISOIECITUIETFPGP开发规范;鉴别防火墙遍历;通用鉴别技术;域名服务系统安全;IP安全协议;一次性口令鉴别);X.509公钥基础设施;S/MIME邮件安全;安全Shell;简单公钥基础设施;传输层安全;Web处理安全。TC56可靠性;TC74IT设备安全和功效;TC77电磁兼容;CISPR无线电干扰特别委员会。前身是CCITT消息处理系统;目录系统(X.400系列、X.500系列);安全框架;安全模型等标准。JTC1SC27,信息技术-安全技术,共个工作组发布,主要信息安全标准;其他子委员会主要有SC6、、SC18、SC21、SC22、SC30等等;ISO/TC68,银行和有关的金融服务。除以上国际组织外,各个国家均有自己的信息安全标准化组织,如ANSI(美国国家标准)BIS(印度标准)BSI(英国标准)BS标准目录NF(法国标准)DIN(德国标准)GOST(俄罗斯国家标准)JSA(日本标准)TIS(泰国标准)AS(澳大利亚标准)CSA(加拿大标准协会)等等国际标准化组织ISO介绍ISO的主要工作是制修订与出版国际标准。ISO标准的范围涉及除电工与电子工程以外的所有领域;电工与电子工程标准,由国际电工委员会(IEC)负责制修订;信息技术标准化工作由ISO和IEC共同负责。1987年11月,这两大国际组织成立了ISO/IEC的JTCI联合技术委员会即"信息技术委员会",现有50个成员团体参加其工作。SC02SC27SC37WG1WG2WG3WG4WG5Cs47B/83TC971987国际标准化组织ISO介绍Product(产品)System(系统)Process(流程)Environment(环境)Techniques(技术)Guidelines(指南)Assessment(评估)WG1ISMSWG3EvaluationCriteriaWG2Cryptograph&MechanismsWG4ControlsandServicesWG5IM&PrivacyTechnologies中国信息安全标准化组织与标准体系国标地方标准行业标准企业标准GBGB/TGB/ZDB11北京DB31上海DB44广东GA公安JR金融YD通信Q+*企业中国信息安全标准体系框架合规与遵循的必要性
对于今天身处激烈竟争中的现代企业来说,满足日益复杂的外部合规性要求,提升企业管理水平,有效抵御各类风险,最终实现业务持续性健康发展的目标是实施遵从要求的根本原因。而随着企业对IT技术依赖性的提高,由IT控制而引发的IT遵从成为企业遵从行为的重要形式,由此产生的管理活动和控制目标将贯穿于企业的整个生命周期中。
合规性检查
(SOX,GLBA,HIPAA)迁移到新的软件模型外部威胁员工使用移动设备新技术,例如VoIP不安全的商业计算平台内部威胁来源:高盛安全花费调查,2006财富1000强企业CIOs/CSOs调查(目前在安全方面花费的最主要驱动因素):Sarbanes-Oxley《萨班斯-奥克斯利法案》海外法律法规Gramm-Leach-Bliley《格爱姆-里赤-布里利法案》BaselII巴塞尔新资本协议HIPAA健康保险流通与责任法案国家信息安全等级保护制度《互联网安全保护技术措施规定》公安部第82号令国信办信息安全风险评估规范银监会《商业银行内部控制指引》证监会《证券公司内部控制指引》电监会5号令
保监会《保险公司风险管理指引(试行)》ISO27002CobitITILCOSO国内法律法规行业标准指南最佳实践框架……企业合规与遵循框架IT基础设施企业IT相关资源或元素网络区域物理环境组织人员策略制度主机和系统业务应用政策法规框架标准实践指南自身现状及特点27号文147号令SOX法案等级保护……COSO-ERMCOBITISO27000系列ITILISO27002ISO13335系列等级保护标准……信息安全国标风险评估规范风险管理指南政策法规介绍国际政策法规中国政策法规《萨班斯-奥克斯利法案》(Sarbanes-OxleyAct)《格爱姆-里赤-布里利法案》(Gramm-Leach-BlileyAct)《健康保险流通与责任法案》(HIPAA)《巴塞尔新资本协议》(BaselII)《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)《中华人民共和国计算机信息系统安全保护条例》(国务院令147号)《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)《信息安全等级保护管理办法》(试行公通字[2006]7号文)《信息安全等级保护管理办法》(公通字[2007]43号文)《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号文)《关于开展信息安全风险评估工作的意见》《中华人民共和国保守国家秘密法》《信息安全法》《电子签名法》等国家加强对信息化工作的领导日期信息化领导机构领导1993-12国家经济信息化联席会议邹家华副总理1996-01国务院信息化工作领导小组邹家华副总理1998-03
无1999-12国家信息化工作领导小组吴邦国副总理2001-08国家信息化领导小组朱镕基总理2001-08国务院信息化工作办公室曾培炎部长2003-05国家信息化领导小组温家宝总理2003-05国务院信息化工作办公室王旭东部长电子政务与信息化应用专业委员会网络与信息安全专业委员会政策规划专业委员会技术专业委员会专家委秘书处3、国家信息化专家咨询委员会综合组政策规划网络与信息安全推广应用电子政务2、国务院信息化工作办公室国家信息化的工作体制1、国家信息化领导小组国务院中共中央政策法规介绍-27号文信任体系监控体系应急处理安全技术研究法律法规标准人才与意识资金保障加强领导明确责任总体要求及原则等级保护《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号),2003年8月26日发布。我国第一个信息安全战略层面的文件,是指导我国信息安全保障工作的纲领。27号文件主要内容:一、加强信息安全保障工作的总体要求和主要原则二、实行信息安全等级保护三、加强以密码技术为基础的信息保护和网络信任体系建设四、建设和完善信息安全监控体系五、重视信息安全应急处理工作六、加强信息安全技术研究开发,推进信息安全产业发展七、加强信息安全法制建设和标准化建设八、加快信息安全人才培养,增强全民信息安全意识九、保证信息安全资金十、加强对信息安全保障工作的领导,建立健全信息安全管理责任制政策法规介绍-147号令主要条款(摘要)第六条公安部主管全国计算机信息系统安全保护工作。第九条计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。第十四条对计算机信息系统中发生的案件,有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告。第十七条公安机关对计算机信息系统安全保护工作行使下列监督职权:监督、检查、指导计算机信息系统安全保护工作;查处违法犯罪案件。
第二十条公安机关有权处以警告或者停机整顿。第二十三条危害计算机信息系统安全的,或者未经许可出售安全专用产品的,由公安机关处以警告或者对个人5000元以下、单位处以15000以下罚款;没收违法所得,并可处以违法所得1至3倍的罚款。第二十四条构成违反治安管理行为的,依照《中华人民共和国治安管理处罚条例》的有关规定处罚;构成犯罪的,依法追究刑事责任。《中华人民共和国计算机信息系统安全保护条例》(国务院令147号),1994年2月18日国务院总理李鹏签发。政策法规介绍-等级保护系列66号文7号文43号文861号文《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)。2007年7月16日,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合下发。《信息安全等级保护管理办法》(试行公通字[2006]7号文)。2006年1月由公安部、保密局、国密局、国信办联合印发。主要内容:职能划分;等级划分与保护;实施与管理;定级、建设和管理、测评和自查、备案、监督检查等;涉秘系统的分级保护;密码管理。《信息安全等级保护管理办法》(公通字[2007]43号文)。2007年6月22日,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合下发。在7号文的基础上进行了修订,7号文同时废止。《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)2004年9月16日由公安部、国家保密局、国家密码管理局、国信办联合发文。主要内容包括(6个方面)开展信息安全等级保护工作的重要意义;原则;基本内容;职责分工;工作要求;实施计划。等级保护作为我国一项基本制度,早在94年的国务院147号令中就进行了明确,其后03年27号文件又进行了强调04年起,陆续颁布了66号、7号、43号、861号等一系列文件。《关于电信网络等级保护工作有关问题的通知》(信电函[2006]35号)《关于开展电信网络安全防护试点工作的通知》(信部电函[2007]304号)《关于进一步开展电信网络安全防护工作的实施意见》(信部电[2007]555号)《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)山东省内长途交换网进行了试点去年10月进行了试点总结去年12月召开了专家组会议1月底总部及奥运省完成定级工作3月底其它省完成定级工作各行业安全等级保护工作由公安部牵头电信网络安全等级保护工作政策法规介绍-中办发[2006]5号文《关于开展信息安全风险评估工作的意见》(中办发[2006]5号文)2006年3月16日,国务院信息化工作办公室在昆明召开了《关于开展信息安全风险评估工作的意见》宣贯会。各省、市信息化主管部门、国信办专家组、解放军有关部门和部分信息安全企业的130余名代表出席了会议。会议由国信办网络与信息安全组熊四皓处长主持,国信办网络与信息安全组王渝次司长发表了学习贯彻《国家网络与信息安全协调小组<关于开展信息安全风险评估工作的意见>》的重要讲话。云南省、北京市、上海市、黑龙江省分别介绍了信息安全风险评估试点工作的过程和经验。有关专家介绍了风险评估工作应遵循的标准和方法。政策法规介绍-SOX法案针对安然、世通等财务欺诈事件,美国国会出台了《2002年公众公司会计改革和投资者保护法案》。对于在美上市的中国公司有同样约束力。涉及信息安全的主要有302、404等章节。截至2006年3月底,内地和香港一共有70余家公司在美国上市,其中包括多家大型国有企业,如中海油、东方航空、中国人寿、UT斯达康、中国移动、中国联通、百度等。政策法规介绍-SOX法案302条款公司对财务报告的责任要求公司首要官员及首要财务官在季度/年度报告中保证:对信息披露的控制和程序负责设计必要的内部控制手段并确保其执行可使高层及时获得重要信息对披露控制的有效性进行评估,评估结果需存档不可向审计委员会和外部审计人员隐瞒公司重大的内控失败和人员舞弊行为……404条款管理层对内部控制的评价CEO和CFO必须在年度报告中确保:内部控制的管理层责任评估内部控制的有效性由独立审计机构出具审计报告框架标准介绍IS27000系列(信息技术-安全技术-信息安全管理体系)IS13335系列(信息技术-IT安全管理指南)等级保护标准(测评准则基本要求实施指南测评准则定级指南)国家信息安全相关标准GBeTOM(增强的电信运营图)COSO-ERM(COSO-企业风险管理框架)COBIT(信息及相关技术控制目标)标准框架eTOM业务流程框架模型框架标准介绍-COSOCOSO(CommitteeofSponsoringOrganization,COSO)委员会,专门研究内部控制问题。1992年9月,COSO委员会发布《内部控制整合框架》(COSO-IC),由于COSO报告提出的内部控制理论和体系集内部控制理论和实践发展之大成,成为现代内部控制最具有权威性的框架,因此在业内倍受推崇,在美国及全球得到广泛推广和应用。
2004年9月COSO正式颁布了《企业风险管理整合框架》(COSO-ERM)。COSO将企业风险管理定义为:“企业风险管理是一个过程,受企业董事会、管理层和其他员工的影响,包括内部控制及其在战略和整个公司的应用,旨在为实现经营的效率和效果、财务报告的可靠性以及法规的遵循提供合理保证。”COSO-ERM框架是一个指导性的理论框架,为公司的董事会提供了有关企业所面临的重要风险,以及如何进行风险管理方面的重要信息。
框架标准介绍-COSO四个目标战略目标经营目标报告目标合规目标八个要素内部环境目标设置事件辨识风险评估风险反应控制活动信息与沟通监控COSO-ERM框架标准介绍-COBIT
CoBIT(ControlObjectivesforInformationandrelatedTechnology,信息和相关技术控制目标)由ITGI(ITGovernanceInstitute)制定,是信息、IT以及相关风险控制方面的国际公认标准。CoBIT用于执行IT管理,改善IT控制。它既可以满足管理人员和董事局的IT管理需求,同时也能应对负责交付解决方案和服务的人员的更为具体的要求。这就为在一个具有透明度的环境里优化IT投资、确保价值传递以及减轻IT风险提供了更好的支持。
效果效率保密性完整性可用性合规性可靠性应用软件信息基础架构人员域流程活动企业要求IT流程IT资源COBIT立方体框架标准介绍-COBIT以业务为中心:提供企业实现其目标所需需的信息,企业需要采用结构化的流程来管理、控制IT资源,以交付所需要的信息服务。为了完成企业目标,要设立信息标准和划分IT资源的类别。定位于流程:以一个通用的流程模型在四个控制域里定义IT活动。这些控制域就是计划与组织,获得与实施,交付与支持和监控与评价。这四个控制域包含34个流程,映射到传统的IT职责域:计划、建设、运营和监视。以控制为基础:每个IT流程都有一个高层控制目标和多个详细控制目标,34个流程共有214个控制目标。以衡量为驱动:提供成熟度模型以识别和校验必须提高的能力;提供IT流程的绩效目标和衡量标准;提供使流程高效的活动目标。业务需求COBIT企业信息IT资源IT流程框架标准介绍-27000系列27000标准族框架标准介绍-27000系列相关方信息安全需求和期望相关方受控的信息安全信息安全管理体系的持续改进建立
ISMS4.2.1监控和评审ISMS4.2.3实施和运行ISMS4.2.2维护和改进ISMS4.2.4InputOutputPDACPDACPDACPDAC27001中应用于ISMS的PDCA模型框架标准介绍-27000系列中国大陆地区,可以提供ISO27001认证服务的主要是BSI(BritishStandardsInstitution英国标准协会),DNV(DetNorskeVeritas挪威船级社),BV(BureauVeritas法国国际检验局),以及ISCCC(中国信息安全认证中心)。27001认证基本介绍情况框架标准介绍-27000系列资料来源:ISMSIUG截止2008年2月,获取27001证书的组织为4140.其中中国80个,全球第6位.27001证书获取情况框架标准介绍-13335系列ISO13335是由ISO/IECJTC1制定的技术报告,是一个信息安全管理方面的指导性标准,其目的是为有效实施IT安全管理提供建议和支持。ISO/IECTR13335,(IT安全管理指南”,GuidelinesfortheManagementofITSecurity,GMITS),04年发布ISO/IEC13335-1:2004Part1-概念和模型(“信息和通信技术安全管理”,(ManagementofInformationandCommunicationsTechnologySecurity,MICTS),ISO/IECTR13335series(GMITS)TR13335-1:1996TR13335-2:1997TR13335-3:1998TR13335-4:2000TR13335-5:2001ISO/IEC13335(MICTS)13335-1:2004IT安全概念和模型IT安全管理和规划IT安全管理技术选择控制措施网络安全管理指南ICT安全管理-概念和模型框架标准介绍-电信网络安全等级保护标准32个标准(草案)安全等级描述第1级定级对象受到破坏后,会对其网络和业务运营商的合法权益造成轻微损害,但不损害国家安全、社会秩序、经济运行和公共利益。网络和业务运营商依据国家和通信行业有关标准进行保护。第2级定级对象受到破坏后,会对网络和业务运营商的合法权益产生严重损害,或者对社会秩序、经济运行和公共利益造成轻微损害,但不损害国家安全。网络和业务运营商依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行指导。第3级第3.1级定级对象受到破坏后,会对网络和业务运营商的合法权益产生很严重损害,或者对社会秩序、经济运行和公共利益造成较大损害,或者对国家安全造成轻微损害。网络和业务运营商依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行监督、检查。第3.2级定级对象受到破坏后,会对网络和业务运营商的合法权益产生特别严重损害,或者对社会秩序、经济运行和公共利益造成严重损害,或者对国家安全造成较大损害。网络和业务运营商依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行重点监督、检查。第4级定级对象受到破坏后,会对社会秩序、经济运行和公共利益造成特别严重损害,或者对国家安全造成严重损害。网络和业务运营商依据国家和通信行业有关标准以及业务的特殊安全要求进行保护,主管部门对其安全等级保护工作进行强制监督、检查。第5级定级对象受到破坏后,会对国家安全造成特别严重损害。网络和业务运营商依据国家和通信行业有关标准以及业务的特殊安全需求进行保护,主管部门对其安全等级保护工作进行专门监督、检查。框架标准介绍-电信网络安全等级划分框架标准介绍-等保《实施指南》信息系统定级总体安全规划安全设计与实施安全运行与维护信息系统终止1信息系统定级2总体安全规划3安全设计与实施4安全运行与维护5信息系统终止等级变更系统调整框架标准介绍-等保《实施指南》1信息系统定级2总体安全规划3安全设计与实施4安全运行与维护5信息系统终止信息系统分析确定保护等级安全需求分析总体安全设计建设项目规划方案详细设计管理措施实现技术措施实现运行管理和控制变更管理和控制安全状态监控安全事件处置及应急预案安全检查和持续改进等级测评系统备案监督检查信息转移、储存和清除设备迁移或废弃存储介质的清除或销毁实践指南介绍ITILIS17799信息安全风险评估规范信息安全风险管理指南信息安全事件分类分级指南信息安全事件管理指南信息系统灾难恢复规范最佳实践指南实践指南介绍-ITILITIL,全称InformationTechnologyInfrastructureLibrary,本白皮书统一译为“信息技术基础架构库”或“IT基础架构库”。它是英国国家计算机和电信局CCTA(现在已并入英国商务部)于80年代中期开始开发的一套针对IT行业的服务管理标准库。ITIL产生的背景是,当时英国政府为了提高政府部门IT服务的质量,启动一个项目来邀请国内外知名IT厂商和专家共同开发一套规范化的、可进行财务计量的IT资源使用方法。这种方法应该是独立于厂商的并且可适用于不同规模、不同技术和业务需求的组织。这个项目的最终成果就是现在被广泛认可的ITIL。ITIL虽然最初是为英国政府部门开发的,但它很快在英国企业中得到广泛的应用。在20世纪90年代初期,ITIL被介绍到欧洲的许多其它国家并这些国家得到应用。到90年代中期ITIL已经成为欧洲IT管理领域事实上的标准。90年代后期ITIL又被引入美国、南非和澳大利亚等国。90年代末,ITIL也被有关公司引入中国。ITIL是最佳实践的总结:OGC(英国商务部)组织收集和分析各种有关组织如何解决服务管理问题等方面的信息,找出那些对本部门和在英国政府部门中的客户有益的做法,最后形成了ITIL。ITIL的各部分之间并没有严格的逻辑关系。或者这样说,与一般的标准是先设计整体框架再细化各部分这种“自顶向下”的设计方式不同,ITIL的开发过程是“自下向上”的。实践指南介绍-ITIL实践指南介绍-ISO17799安全策略合规性信息安全组织资产管理信息系统获取开发和维护人力资源安全物理和环境安全通信和操作管理访问控制信息安全事件管理业务连续性管理实践指南介绍-信息安全风险评估规范信息安全风险评估规范信息安全风险管理指南信息安全事件分类分级指南信息安全事件管理指南信息系统灾难恢复规范对指导组织网络信息安全建设有重要指导意义!安全工作思路与原则思考:怎样的信息安全工作算到位?没出过安全事件?已经部署了许多安全设备?全面、完整的安全制度?成熟的安全组织?安全工作成功的关键原则管理层的高度重视统一管理,总体协调同步规划、同步建设、同步运行三分技术、七分管理内外并重整体规划,分步实施全民参与关键原则-领导层高度重视管理层的高度重视:公司管理层要高度重视网络安全工作,并给予明确支持高层重视的优势:组织保障指明方向和目标权威预算保障,提供所需的资源监督检查领导重视关键原则-领导层高度重视将行政管理角色注入安全业务中部门IS主管IS专员安全管理处接口资产管理部xxxxxxxx财务部……指定流程owner和监控评审人员活动测量、改进领导(owner)资源记录输入输出信息安全流程领导对安全工作的要求(1)要把安全问题做为当前工作的重点高度重视网络安全与应急管理在网络安全与应急管理方面,网络部负有双重责任,一方面是职能责任,即集团公司网络部承担全集团的网络与信息安全与应急管理的责任,省公司网络部承担所在省公司的网络信息安全与应急管理的责任。因此,各级网络部要主动推动所在公司各个范围的网络与信息安全及应急管理工作的开展。另一方面是自身网络与信息安全事故的责任,我们强调“谁主管谁负责”,出现问题网络部要负责任,同时将责任进行层层分解。
——摘自李跃总《2006年网络工作座谈会总结》安全问题已时不我待。安全漏洞很多,我们当前的重视还不够。一方面是安全规则、安全规章、安全责任的建设,集团和各省都要加强。另一方面是手段建设要跟上去。安全不光依靠规则,一定要有手段。对内部人员的登陆要有严格的管理规定,后台操作要留有痕迹。对外来人员的进入,我们一定要限人、限时、限范围,明确进入的时间、进入的目的谁放厂家的人进去谁就要负责检查,出了问题要承担责任。
——摘自李跃总《2006年中南五省一市关联维护研讨会的讲话》紧急重要领导对安全工作的要求(2)李跃总在2008年全国网络工作会上做了题为《狠抓网络安全,确保奥运盛会》的重要讲话,对网络与信息安全工作做出重要指示:坚持集中化的网络与信息安全体系建设
1、完善体系,强化能力与手段建设;
2、全网共同努力,快速完善、细化安全管理和安全技术要求;
3、进一步加大安全预警、安全作业执行力度,完善安全考核指标体系;
4、建设满足要求的新一代安全防护系统;
5、坚持日常性的账号口令管理系统、日志审计系统、集中防病毒系统、综合接入网关等基础安全防护手段建设,以手段促管理。关键原则-统一管理总体协调统一管理,总体协调:由信息安全管理相关单位牵头,通过制定和贯彻流程将安全工作要点条理化,将人、标准、技术结合在一起,为管理层支持提供明确依据、为全民参与明确职责及分工界面,从而将各项安全要求真正落地。安全的建设应和业务系统相结合,做到全程全网统一监控和审计,统一管理。
关键原则-统一管理总体协调明确职能在公司统一企业治理框架下,作好IT相关的内部控
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 工商代理注册服务合同
- 冷热型饮水机购销合同
- 实习与补充协议格式
- 信息技术研发合同
- 房屋买卖合同房屋抵押问题解答
- 桥梁施工分包合同协议
- 购销合同签订的坏处
- 毒性物质销售合同
- 温开水型直饮水机购销合同
- 创业合伙合同书范本
- 静疗小组第一季度理论试卷(2024年)复习测试卷附答案
- 文化活动突发舆情应急预案
- 高中技术《第四章控制和设计》单元自测题
- 中国普通食物营养成分表(修正版)
- 掘进机检修工理论知识考试卷及答案
- 一年级科学上册评价方案宫艳春
- 对话大国工匠 致敬劳动模范学习通超星期末考试答案章节答案2024年
- 5.1 中国外交政策的形成与发展 课件高中政治统编版选择性必修一当代国际政治与经济
- 2024-2025学年九年级化学人教版上册检测试卷(1-4单元)
- 2024年大学试题(经济学)-流通经济学考试近5年真题集锦(频考类试题)带答案
- 博弈论完整版本
评论
0/150
提交评论