信息安全体系概述

信息安全体系概述冯真凯Page2

目录一、信息安全体系概述信息安全面临的风险硬件架构：系统与设备数量越来越多系统互连关系越来越繁杂软件架构：统架构越来越复杂网络连接与划分混乱互联网接口抗攻击性较弱工程管理：规划期缺乏安全评审建设与工程割接缺乏安全管理遗留策略与帐号形成安全漏洞程序开发：开发阶段缺乏安全监管源代码缺乏安全检查，可能留下后门1.系统数量众多，硬件架构多样，系统间交互与接口繁多，相互关系复杂；2.系统软件架构复杂，网络连接与划分较混乱，互联网接口抗攻击性较弱；3.系统规划期缺乏安全评审，工程割接缺少安全管理，工程遗留策略与帐号易形成安全漏洞；4.程序开发阶段缺乏监管，程序源代码缺乏安全检查，可能留下后门或被攻击。常见的信息安全问题常见的信息安全问题信息安全损失的“冰山”理论信息安全直接损失只是冰由之一角，间接损失是直接损失是6－53倍间接损失包括：时间被延误修复的成本可能造成的法律诉讼的成本组织声誉受到的影响商业机会的损失对生产率的破坏$10,000$60,000－$530,0009保障信息安全的途径？IT治理安全风险测评

信息安全管理体系强化安全技术信息系统安全等级保护亡羊补牢?还是打打补丁?系统地全面整改?我国当前信息安全普遍存在的问题保护信息安全的方法如何实现信息安全？需要对信息安全进行有效管理建立统一安全规划体系改变以往零敲碎打、因人而起、因事而起的安全管理，形成统一的安全体系，指导安全管理和建设工作。转变门户网站防火墙升级信息防泄露DLP维护区域扩容项目RSA令牌扩容项目应用漏洞扫描工具项目系统漏洞扫描工具网站页面防篡改项目。。。。。。零敲碎打引人而起因事而起建立统一的安全规划体系总体思路：以防为主，防治结合防治结合：自下而上的风险反馈以防为主：自上而下的策略管理坚持“以防为主，防治结合”的安全工作措施，形成成熟的、立体的信息安全运行管控体系。以防为主，即以完善的安全策略为指导，使安全策略能自上而下得到落实；防治结合，即以风险管理为核心，使风险能自下而上得到反馈和整治。安全管理的几个阶段当前目标安全管理的几个阶段信息安全体系的内容信息安全体系的关注点信息安全体系的建立流程确定IT原则与安全方针确定IT原则与安全方针进行风险评估进行风险评估问卷调研安全日常运维现状调研问卷：针对组织中实际的应用、系统、网络状况，从日常的管理、维护、系统审计、权限管理等方面全面了解组织在信息系统安全管理和维护上的现实状况。从安全日常运维角度出发，更贴近实际运维环境。基线风险评估所谓基线风险评估，就是确定一个信息安全的基本底线，信息安全不仅仅是资产的安全，应当从组织、人员、物理、逻辑、开发、业务持续等各个方面来确定一个基本的要求，在此基础之上，再选择信息资产进行详细风险分析，这样才能在兼顾信息安全风险的方方面面的同时，对重点信息安全风险进行管理与控制。ISO27001确立了组织机构内启动、实施、维护和改进信息安全管理的指导方针和通用原则，以规范组织机构信息安全管理建设的内容，因此，风险评估时，可以把ISO27001作为安全基线，与组织当前的信息安全现状进行比对，发现组织存在的差距，这样一方面操作较方便，更重要的是不会有遗漏信息资产风险评估针对重要的信息资产进行安全影响、威胁、漏洞及可能性分析，从而估计对业务产生的影响，最终可以选择适当的方法对风险进行有效管理。资产定义及估值确定现有控制威胁评估确定风险水平风险评估过程脆弱性评估安全控制措施的识别与选择降低风险风险管理过程接受风险IT流程风险评估信息安全不仅仅要看IT资产本身是否安全可靠，而且还应当在其所运行的环境和经历的流程中保证安全。没有可靠的IT流程的保证，静态的安全是不可靠的，而且IT的风险也不仅仅是信息安全的问题，IT的效率与效果也同样是需要考虑的问题，因此评估IT流程的绩效特性并加以完善是风险控制中必不可少的内容。确定风险控制策略信息安全控制规划选择安全控制措施防止商业活动中断和灾难事故的影响。业务持续性管理信息安全事件管理保证系统开发与维护的安全系统开发与维护控制对业务信息的访问。访问控制保证通讯和操作设备的正确和安全维护。通信与运营管理防止对关于IT服务的未经许可的介入，损伤和干扰服务。物理与环境安全减少人为造成的风险。人员安全维护组织资产的适当保护系统。资产管理建立组织内的管理体系以便安全管理。安全组织为信息安全提供管理方向和支持。安全方针目的ISO27001十一个域避免任何违反法令、法规、合同约定及其他安全要求的行为。符合性确保与信息系统有关的安全事件和弱点的沟通能够及时采取纠正措施序号项目内容紧迫性可实施性难易程度效果分析综合分析1安全体系建设2安全策略管理3安全组织管理4安全运行管理5物理安全管理6网络访问控制7认证与授权8监控与审计9系统管理10响应和恢复11信息安全12系统开发管理13物理安全14……安全规划方法二、信息安全组织体系安全组织架构决策层为业务安全的决策机构，为业务安全工作保驾护航；信息安全组织架构信息安全体系的内容组织体系：整个公司层面的安全管理组织，要从上到下贯穿到底体现三权分立的原则实施安全教育计划要制定各种不同范围、不同层次的安全教育计划。完备的安全教育计划可以提高员工的安全意识与技能，改变他们对待安全事件的态度，使他们具有一定的安全保护技能，以更好地保护组织的信息资产。好的安全教育计划应该让员工知道组织的信息安全面临的威胁及信息安全事件带来的后果，使员工切身感觉到安全事件与自己息息相关。营造组织信息安全文化信息安全文化从属于组织文化，倡导良好的组织信息安全文化就是要在组织中形成团队共同的态度、认识和价值观，形成规范的思维和行为模式，最终转化为行动，实现组织信息安全目标。人的这种对安全价值的认识以及使自己的一举一动符合安全的行为规范的表现，正是所谓的“安全修养”。如果一个组织建立起浓厚的安全文化环境，不论决策层、管理层还是一般员工，都会在安全文化的约束下规范自己的行为，安全文化就像一支看不见的手，凡是不安全的行为都会被这支手拉回到安全操作的轨道上来。三、信息安全管理体系ISMS“木桶”由哪些“板”组成？类似于质量管理体系的ISO9000标准，ISMS也有相应的国际标准ISO27001，它确定了ISMS的11个安全领域及133个相应的控制措施。ISO17799及ISO27001的内容ISO17799:2005

信息安全管理实施规范，主要是给负责开发的人员作为参考文档使用，从而在组织中实施和维护信息安全；ISO27001:2005

信息安全管理体系规范，详细说明了建立、实施和维护信息安全管理系统的要求，指出实施组织需要通过风险评估来鉴定最适宜的控制对象，并对自己的需求采取适当的控制。获得BS7799和ISO27001认证的组织ISMS建设过程：建立ISMS首先要建立一个合理的信息安全管理框架，要从整体和全局的视角，从信息系统的所有层面进行整体安全建设从信息系统本身出发，通过建立资产清单，进行风险分析和需求分析和选择安全控制等步骤，建立安全体系并提出安全解决方案。体系运行体系审核管理评审体系认证第七步第八步第九步第十步运行说明内审报告外审报告认证证书信息安全体系的内容管理体系：安全方针、策略文件，程序文件、操作指导书、记录表格等。安全防护系统应用支撑系统安全运维管理系统纵深防御架构可信网和不可信网要物理层隔断，网络逻辑连接要割断，应用数据要净化，不可信网络上的计算机不能直接到达可信网络。使用“应用分层、服务分区、安全分级”的思路，指导网络结构化建设，根据应用类型、物理位置、逻辑位置等的不同，划分不同的网络安全区域和边界。IATF安全域安全基础设施用户CA系统AA系统数据库服务访问他是谁？有什么权限？认证系统授权系统用户认证证书用户权限证书设备认证证书设备认证证书软件认证证书PKI与PMI的应用：安全认证与授权安全防护系统省级局域网上级接口下级接口横向接口互联网接口加密机：保护离开局域网的信息安全，同时防止非法接入。入侵检测：发现非法入侵行为。防病毒网关：防止外部病毒入侵。防非法外联：堵住非法网络接口。系统加固：设置运行环境的最后一道防线。（网络及主机操作系统、数据库、应用平台的加固）安全边界网络行为审计：加强网络安全管理，追查安全事件。构造网络安全边界构造网络安全边界入侵检测组织中心备份中心二级部门三级部门四级部门线路密码机防病毒网关防非法外联网络行为审计操作系统加固高安全区域安全防护系统的层次安全防护系统的层次由于普通用户缺乏应有的网络安全常识，通过浏览隐藏恶意代码的网站，下载有木马的软件到内部网运行，打开邮件中不明来历的附件等给组织的内部网络带来的极大的危害，终端用户触发产生的安全事件逐渐成为企业IT安全问题的主要原因。终端安全控制终端安全控制应用支撑系统应用支撑系统应用系统常见安全方案业务系统本身必须能够准确地识别使用者的真实身份，防止与业务无关的人员非法使用系统。解决方案:使用统一的身份认证证书业务系统本身必须能够对自己的资源进行控制，能够动态地分配权限，控制使用者的操作行为，防止越岗位操作或越权限操作。解决方案:基于角色的访问控制业务系统本身必须能够对数据或文件进行保护，防止由于数据的安全得不到保证而失去业务系统本身的可用性。解决方案:基于密码业务系统本身必须能够对操作者行为进行跟踪、记录、统计和审计，及时发现工作中出现的问题，使系统可管理，事件可追查。解决方案:日志与安全事件审计在电子商务或电子政务环境下，需要利用身份证书对主要核心业务与交易的凭证进行数字签名，以保证重要对已完成的业务与交易的无否定性。解决方案:基于数字签名安全运维系统五、信息安全执行体系日常安全执行内容多个PDCA循环安全日常运作过程就是一个大的PDCA循环风险评估与风险分析PDCA循环文件体系的建立与维护PDCA循环……对安全的检查与审计对安全的检查与审计审计的步骤信息安全在每次检查审计前，由管理层任命适当资质的合适人选组成审计小组，审计小组由2名或以上人员组成，包括但不限于稽核审计部的内审员，并由管理层指定内审