信息安全管理与法律法规-复习2014下_第1页
信息安全管理与法律法规-复习2014下_第2页
信息安全管理与法律法规-复习2014下_第3页
信息安全管理与法律法规-复习2014下_第4页
信息安全管理与法律法规-复习2014下_第5页
已阅读5页,还剩76页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1信息安全管理与法律法规

复习胡勇博士副教授四川大学电子信息学院电话件:huyong@I.1信息的形式文字声音图片视频隐藏的信息2I.3信息的生命周期生成(输入)存储(保护)传送(迁移)使用(访问、输出)更新归档废弃3信息安全目标4看不懂进不来拿不走改不了跑不了可审查打不垮不知晓1、

信息安全属性保密性Confidentiality

完整性Integrity

可用性Availability

不可否认性(抗抵赖)Non-repudiation

真实性Authentication

可控性/可治理性Controllability/Governability

可靠性Reliability…52、

信息安全划分标准信息安全事件信息安全属性被破坏的行为或状态信息系统风险信息安全事件发生的概率和后果

信息系统残留风险采取安全措施后剩余的风险信息安全的划分标准风险大小是信息安全的划分标准风险可接受即为安全的信息安全工作要使得系统的残留风险可接受63、信息安全风险评估资产(保护对象)软件、硬件、数据、人、业务、声誉(品牌)

脆弱性(隐患的关键因素)软件、硬件、制度、人威胁(威胁源与行为)外部、内部,有意、无意、自然、人为可能性(动机和能力)蓄谋、偶然,资源,难度后果本身价值、直接和间接影响

74、实现信息安全的途径降低残留风险资产减少脆弱性降低价值威胁内部人员外部人员自然环境85、信息系统风险-威胁自然环境鼠、蚁、光、磁、灰尘风雨雷电、地震、火山、洪水、磁暴、海啸、山体滑坡、天崩地裂(陨石、地陷、天坑)温度湿度、水、电、火酸碱腐蚀氧化锈蚀器件老化95、信息系统风险-威胁内部人员安全意识、习惯、疏忽技术水平被诈骗、威逼利诱或心怀不满身心被伤害105、信息系统风险-威胁外部人员个人兴趣或利益团伙作案国家对抗115、信息系统风险-威胁行为恶意代码病毒、木马、蠕虫、逻辑炸弹XSS攻击不当使用错误地读写、开关设备、电源供电、接口,…非法访问利用漏洞访问提权125、信息系统风险-威胁行为盗取信息设备失窃木马传输搭线窃听、电磁窃听、无线键盘、显示屏信号还原、…信息流分析破坏系统完整性DDoS信息战、电子战136、信息系统风险-后果直接损失设备购置成本系统恢复人力时间相关业务间接损失内部信心组织信誉法律责任预期业务147、信息系统风险-可能性威胁源技术水平资源攻击兴趣漏洞公开时间与详尽程度相应攻击工具漏洞利用的难易漏洞挖掘的难易15I.4风险无处不在信息安全风险在信息生命周期的任何阶段都可能存在,必须慎之又慎!16I.5信息安全技术的局限性核心技术未掌握,技术一直在发展人为原因技术无法完全解决通过管理使技术正确使用技术可能成本太高组织或国家级对抗,技术防不胜防技术有高低,管理相对容易做到1718“信息安全”问题“信息系统”安全问题信息技术引发的其他安全问题信息系统安全的保护目标与所属组织的安全利益是完全一致的,具体体现为对信息的保护、对系统的保护和对信息使用的监管。0.1.3广义的信息安全190.3信息安全的对策国家层面法律法规、政策、国家标准社会层面道德行业层面行规、行业标准组织层面规章制度个人培训、意识、行为规范201.1.4信息安全管理措施来源要求法律、法规、政策网络道德信息安全管理规范与技术标准风险评估组织开展正常业务的需要211.1.5信息安全管理层次政策、法律/法规国家按照统治阶级的利益和意志制定和认可、并由国家强制力保障其实施的行为规范的总和。

标准、规范、指南衡量事物的准则或作为准则的事物,包含技术规范或其他被一致地用作规则、指南或角色定义的精确的准则,以便保证材料、产品、过程和服务合乎一定的目的。

道德、文化依靠社会舆论、传统习惯、教育和人的信念的力量去调整人与人、个人与社会之间关系的一种特殊的行为规范。

组织的规章制度刑法中惩治计算机犯罪条款非法侵入计算机信息系统罪《中华人民共和国刑法》第285条规定:“违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。”犯罪手段?其他计算机可以侵入?本罪属行为犯刑法中惩治计算机犯罪条款破坏计算机信息系统功能罪《刑法》第286条第1款规定:“违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。”犯罪动机?计算机信息系统的功能有哪些?什么行为可能触犯该条款?本罪属结果犯刑法中惩治计算机犯罪条款破坏计算机信息系统数据、应用程序罪《中华人民共和国刑法》第286条第2款规定:“违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。”刑法中惩治计算机犯罪条款故意制作、传播计算机病毒等破坏性程序罪《刑法》第286第3款规定:“故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。”该罪与破坏计算机信息系统功能罪可能重叠破坏性程序硬件设备(接入时激活)炸弹逻辑炸弹(时间、程序等条件激活)贪婪程序(消耗资源)木马蠕虫刑法中惩治计算机犯罪条款适用于一切利用计算机实施的其他犯罪《刑法》第287条规定:“利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。”

保守国家秘密法制订《中华人民共和国保守国家秘密法》是为保守国家秘密,维护国家的安全和利益,保障改革开放和社会主义建设事业的顺利进行。该法第2条对国家秘密作了明确定义,即国家秘密是关系国家的安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。一切国家机关、武装力量、政党、社会团体、企业事业单位和公民都有保守国家秘密的义务。保守国家秘密的工作,实行积极防范、突出重点、既确保国家秘密又便利各项工作的方针。

保密室的有关规定商用密码管理条例商用密码,是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。商用密码产品,是指采用密码技术对不涉及国家秘密内容的信息进行加密保护或安全认证的产品。商用密码技术属于国家秘密。国家对商用密码产品的科研、生产、销售和使用实行专控管理。291.4.2信息安全分类分级保护

对信息和信息系统进行分级保护是体现统筹规划、积极防范、突出重点的信息安全保护原则的重大措施。最有效和科学的方法是在维护安全、健康、有序的网络运行环境的同时,以分级分类的方式确保信息和信息系统安全既合符政策规范,又满足实际需求。301.4.3信息安全等级保护发展历程以保护程度划分等级以管理程度划分等级以重要程度划分等级31

1.4.5等级保护内容信息系统分等级保护信息安全产品分等级管理信息安全事件分等级响应、处置32涉密信息系统定级信息系统涉及国家秘密的部分按照《涉密信息系统分级保护管理办法》(国保发[2005]16号)和《涉及国家秘密的信息系统分级保护技术要求》(国家保密标准BMBl7-2006)确定信息系统的安全保护等级。跨市或者全省统一联网运行的信息系统可以由主管部门统一确定安全保护等级。涉密信息系统按照所处理信息的最高密级,由低到高分为秘密、机密、绝密三个等级。331.5信息安全管理34信息安全理念木桶原理适度安全原则最小权限原则权限分割原则…351.5.1ISO/IEC27002的发展历程ISO/IEC27002:2005(2007年)ISO/IEC17799:2005ISO/IEC17799:2000BS7799Part1:1999BS7799:1995DTICodeofPracticeforInformationSecurityManagementNCCCodeofPractice361.5.2信息安全管理体系ISO/IEC27000概述和词汇ISO/IEC27001信息安全管理体系要求ISO/IEC27002信息安全管理体系实用规则ISO/IEC27003信息安全管理体系实施指南ISO/IEC27004信息安全管理度量ISO/IEC27005信息安全风险管理ISO/IEC27006ISMS认证机构的认可要求ISO/IEC27007信息安全管理体系审核指南371.5.2ISO27002内容TheContentsofISO17799/27002StructureRiskAssessmentandTreatmentSecurityPolicyOrganizationofInformationSecurityAssetManagementHumanResourcesSecurityPhysicalSecurityCommunicationsandOpsManagementAccessControlInformationSystemsAcquisition,Development,MaintenanceInformationSecurityIncidentmanagementBusinessContinuityCompliance381.5.3控制措施选择选择前提法律约束组织目标安全要求、系统运行可能面临的风险组织能承担的成本安全投入与收益(避损)的平衡将风险降低到可接受的级别在系统和项目需求说明书和设计阶段就应考虑选择控制措施隐私保护、记录保存、知识产权…39风险评估与处理依据组织需求,识别、量化风险。其结果用于指导并确定适当的管理措施及其优先级风险评估应定期/不定期进行风险处置规避降低转嫁接受401.6信息安全管理实用规则

GB/T22081-2008

11个方面,39个控制目标,133个控制措施11个方面(控制目标数)信息安全方针(1)

信息安全的各方(2)资产管理(2)

人力资源安全(3)物理和环境安全(2)

通信和操作管理(10)访问控制(7)信息系统获取、开发和维护(6)信息安全事件管理(2)

业务连续性管理(1)符合性(3)411.6.1信息安全方针信息安全方针(策略)信息安全方针文件(信息安全界定——目标,范围,重要性、管理者意图、控制措施框架、要求与后果、职责、引用文件)直接方便地传达给相关各方(敏感信息处理)信息安全方针的评审(评审程序、输入/输出、方针出台/变更:适应性/改进)42信息安全的各方(1)内部组织管理层的信息安全承诺(支持和领导决策)信息安全协调(各部门合作)信息安全职责分配(资产的责任内容与责任人、个人职责、明确成文)信息处理设施的授权过程(新设施授权、兼容性、个人设备风险控制)保密性协议(保密责任内容、定期评审)43信息安全的各方(2)内部组织(2)与有关部门的联系(运营商、执法/消防等部门)与特定利益集团的联系(安全相关行业)信息安全的独立评审(安全措施适用性、整改)44信息安全的各方(3)外部各方(业务往来方)识别外部各方与组织交互的风险(交互的设施与信息、风险及控制、明确责任)明确对顾客的安全要求(资产保护、访问与控制、各自义务、法律与产权保护)与第三方签订安全协议(协议内容、协议调整)45资产管理(1)对资产负责资产清单(类型——信息/软件/硬件/服务设施/人员/无形资产、位置、业务价值)资产责任人(资产分类、访问控制)资产的可接受使用(使用资产的规章与限制)46资产管理(2)信息分类分类指南(按价值/法律要求/敏感性/关键性的分类规则、保护级别、评审、分类调整)信息的标记和处理(信息资产:物理,电子等、各自的处理程序、安全监督与记录)47人力资源安全(1)任用前角色和职责(清晰定义并传达)人员背景审查(身份、信用、专业水平)任用条款和条件(合同明确安全职责)48人力资源安全(2)任用中管理者要求各方清楚并恪守职责信息安全意识、教育和培训纪律处理过程(证据与分级处理)49人力资源安全(3)任用的终止或变更终止职责(明确责任并传达)资产的归还撤销访问权50物理和环境安全(1)安全区域物理安全周边(门、墙等)物理入口控制(各处出入者标识、记录与限制)办公室、房间和设施的安全保护(隐蔽性)外部和环境威胁的安全防护(灾害预防)在安全区工作(隐秘、受控、上锁、拒摄录)公共访问、交接区安全(授权访问、进出的货物检查/登记/隔离)51物理和环境安全(2)设备安全安置和保护(防灾/盗保护、处理信息的保护)支持性设施(电、水、温度、湿度等)布缆安全(防窃听和损坏)设备维护(保证连续可用)组织场所外的设备安全(看管、正确使用)设备的安全处置或再利用(残余信息防重用)资产的移动(有授权、人员、时间、记录、返回核查)52通信和操作管理(1)操作规程和职责

文件化的操作规程变更管理(程序、记录、测试、评估、通告)责任分割(分权、安全审核独立)开发、测试和运行设施分离53通信和操作管理(2)第三方服务交付管理

服务交付(符合协议)第三方服务的监视和评审第三方服务的变更管理(组织需要、第三方要求)54通信和操作管理(3)系统规划和验收

容量管理(资源使用的监视、调整和预测)系统验收(测试、符合验收条件、新系统投入使用的条件与影响)55通信和操作管理(4)防范恶意和移动代码

控制恶意代码(预防、检测和恢复,意识,多个检测工具,防止维护和紧急期间恶意代码旁路)控制移动代码(运行环境和资源受控、鉴别完整性和真实性)56通信和操作管理(5

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论