ISOIEC资讯安全管理模型.ppt

1、1,一、前言 二、ISO/IEC資訊安全管理模型 三、ISO/IEC 27001:2005(E)之演進 四、ISO資訊安全標準與微軟營運架構(Microsoft Operation Framework，簡稱MOF)之對應 五、瞭解共同準則、選擇高安全度資安產品建置資訊系統安全 六、結論 七、附錄:1.資訊安全技術框架資源初探:以Microsoft為例 2.資訊安全管理系統技術性控制措施之說明與實作 以Microsoft修補程式作業為例,中華資訊安全管理協會長城安全網股份公司,企業資安標準規範與資安產品等級分類(Common Criteria，CC)之發展狀況,樊國楨,中華民國九十五年三月二十日

2、,950320.ppt CISMA(kjf),1,2,資訊社會威脅類型,950320.ppt CISMA(kjf),2,3,資訊社會攻擊類型,950320.ppt CISMA(kjf),3,4,美國通資訊安全發展簡史(一),1987年：Computer Security Act。 1990年：Clark D.D. et al.: Computer at Risk: Safe Computing in the Information Age, National Academy Press。 1995年： 3.1 Presidential Decision Directive 39 (PDD-39

3、)：Policy on Counter-Terrorism(June 21,1995)。 3.2 Paperwork Reduction Act (PRA)：美國OMB(Office of Management and Budget)據以頒布Circular No-A-130(Specifically Appendix III)規定聯邦機構建立包含指定元件之安全計畫，並適時修正。 1996年：The President Executive Order 13010-Critical Infrastructure Protection (July 15, 1996) 1997年：March R.T

4、. et al：The Report of the Presidents Commission on Critical Infrastructure Protection。 1998年：PDD-63：Critical Infrastructure Protection (May 22,1998) National Security Telecommunications and Information Systems Security Instruction (NSTISSI) No.1000：National Information Assurance Certification and Ac

5、creditation Process (NIACAP)。,950320.ppt CISMA(kjf),4,5,美國通資訊安全發展簡史(二),2001年：USA PATRIOT Act：Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act。 2002年： 9.1：網路安全研究與發展法案（註：2002年2月7日，美國國會通過 美國聯邦政府未來5年撥款8.78億美金，其中5.68億美金做為資訊安全專業學生之獎學金，由美國NSF

6、執行；另外的3.1億美金做為博士後研究等研究計畫獎勵，由美國NIST執行之Cyber Security Research and Development Act (CSRDA)）。 9.2：Federal Information Security Management Act (FISMA; December, 2003)。 2003年： 10.1 The National Strategy to Secure Cyberspace(February, 2003)。 10.2 Homeland Security Presidential Directive (HSPD7): Critical

7、Infrastructure Identication, Prioritization, and Protection (December 17,2003)。 2004年：公布執行FISMA之聯邦資訊過程標準第199號(FIPS 199) 。 2005年：公布執行FISMA之聯邦資訊過程標準第201號(FIPS 201) 。,950320.ppt CISMA(kjf),5,6,NSTISSC安全模式,備考：1. NSTISSC: National Security Telecommunications and Information System Security Committee。 2.

8、NSTISSI: National Security Telecommunications and Information System Security Instruction。 3. Source: NSTISSI No. 4011。,950320.ppt CISMA(kjf),6,7,資訊安全的願景,建立任何對通資訊系統關鍵功能的中斷或操縱必須是短暫的、罕見的、易於處理的、地理上孤立的，以及對數位社會繁榮最低限度的危害。之能力，確保資訊安全。 Any interruption or manipulation of these critical functions must be brie

9、f, infrequent, manageable geographically isolated, and minimally detrimental to the welfare of the United States. President Clinton in PDD-63.,950320.ppt CISMA(kjf),7,8,全面性方法- 結合關鍵的評鑑行動,資料來源：Katzke, S.(2003) Protecting Federal Information Systems and Networks, In Presentation of the 4 th Internation

10、al Common Criteria Conference, Sept. 79, 2003, Stockholm, Sweden.,950320.ppt CISMA(kjf),8,9,美國資訊保證認驗證過程之出版品,950320.ppt CISMA(kjf),9,10,美國聯邦政府資訊安全管理法案資訊安全管理系統之安全標準暨指導綱要的關連,950320.ppt CISMA(kjf),10,p11,1.2003瑞士日內瓦召開之世界高峰會 ( World Summit on the Information Society，簡稱WSIS ) :提出原則性聲明(Declaration for Prin

11、ciples)與行動計畫(Plan of Action)。 2.WSIS與資訊安全管理模型相關之原則性聲明主要原則: 建立通資訊技術的信賴與安全 建立各層面足以發展的環境 3.2005年10月15日出版之資訊安全管理系統需求(ISO/IEC 27001:2005(E)成為ISO/IEC 27000系列標準之第一分標準。,ISO資訊安全管理模型與WSIS,950320.ppt CISMA(kjf),11,12,ISO/IEC JTC1/SC27安全管理模型觀點之CNS標準對照,950320.ppt CISMA(kjf),12,p13,資訊安全管理系統驗證之ISO觀點,950320.ppt CIS

12、MA(kjf),13,p14,ISO/IEC 27000 系列標準簡述,1. ISO/IEC 27000 ： 資訊安全管理系統之原則與詞彙。1. ISO/IEC 27001 ： 資訊安全管理系統要求，已於2005-10-15公布。 2. ISO/IEC 27002 ： ISO/IEC 17799：2005(E)於頒布時說明2007年將 改版成為ISO/IEC27002。 4. ISO/IEC 27003： 資訊安全管理系統實作指引 (Information security management system implementation guidance)，預定 2008年10月公布。 5.

13、 ISO/IEC 27004： 資訊安全管理測度與測量(Information security management metrics and measurements)，預定2006年11月公 布。 6. ISO/IEC 27005： 風險管理之原則與實作的通用指導綱要(General guidelines for principles and implementation of risk management)，2005年09月5-7日召開第1次工作小組會議。 7. ISO/IEC 27006：資訊與通訊技術災害回復指導綱要(Guidelines for information and c

14、ommunications technology disaster recovery services)，預定2007年11月公布。 參考資料：IRCA/299/05/01 ：2005-12-09 ，暨作者自行整理。,950320.ppt CISMA(kjf),14,15,ISO/IEC 17799:2005(E)之資訊安全用語釋義,950320.ppt CISMA(kjf),15,16,共同準則要求之缺點修補程序的證據內容和表現元件,950320.ppt CISMA(kjf),16,17,共同準則要求之缺點修補程序的證據內容和表現元件(續),950320.ppt CISMA(kjf),17,

15、18,共同準則要求之缺點修補程序的證據內容和表現元件(續),950320.ppt CISMA(kjf),18,19,微軟(Microsoft) WSSRA(Windows Server System Reference Architecture)發展示意,950320.ppt CISMA(kjf),19,p20,資訊安全管理系統控制措施框架示意說明,950320.ppt CISMA(kjf),20,21,可信賴資訊系統安全評估準則簡史,950320.ppt CISMA(kjf),21,22,共同準則3.1版(ISO/IEC 15408:2006(E)?與ISO/IEC 18045:2006(E

16、)?)預定時程,2005年07月04日：共同準則3.0版之公開審查與試用開始。 2005年11月01日：意見收件截止。 2006年05月：共同準則3.1版發行。 2006年07月：相關成員背書。 2008年01月：無共同準則2.1版(ISO/IEC 15408:1999(E)之評估。,950320.ppt CISMA(kjf),22,23,安全概念與關係,資料來源：ISO/IEC JTC 1/SC 27 WG 3 (2005) ISO/IEC WD 15408-1 Figure 1, p.10。,950320.ppt CISMA(kjf),23,24,脆弱性評比(Rating of Vulne

17、rabilities),資料來源：ISO/IEC JTC 1/SC27 WG 3 (2005) ISO/IEC WD 18045：2005(E), p294。,950320.ppt CISMA(kjf),24,25,開採花費時間(Time taken to identity and exploit，簡稱PAV_TTE)：6組件。 專業技能需求(Specialist technical expertise required，簡稱PAV_STE)：3組件。 評估標的設計與操作之知識(Knowledge of the TOE design and operation，簡稱PAV_KNO)：4組件。

18、機會之窗(Window of opportunity，簡稱PAV_WOP)：5組件。 開採所需之資訊技術硬體與軟體或其他設備(IT hardware/software or other equipment required for exploitation，簡稱PAV_HSW)：3組件。,潛在脆弱性開採類別(Attempted Exploitation of Potential Vulnerabilities，簡稱PAV)之 屬別(Families)與組件(Components),950320.ppt CISMA(kjf),25,26,潛在入侵(Attack Potential)計算對照表 (

19、 * 代表超越高度困難之潛在入侵， *代表幾不存在可開採之潛在入侵路徑),資料來源：ISO/IEC JTC 1/SC 27 WG 3 (2005) ISO/IEC WD 18045：2005(E) p.293。,花費時間,專業技術層次,需具有之評估標的相關知識,機會之窗,所需之相關設備,950320.ppt CISMA(kjf),26,27,共同準則對可信賴資訊使用環境之衝擊-以微軟可信賴資訊使用環境生命週期為例,950320.ppt CISMA(kjf),27,28,Microsoft Window 2000之似亂數產生器架構,950320.ppt CISMA(kjf),28,29,微軟公司

20、通過資訊安全評估共同準則產品列表(2005-12-31),950320.ppt CISMA(kjf),29,30,微軟公司通過資訊安全評估共同準則產品列表(2005-12-31) (續),950320.ppt CISMA(kjf),30,31,美國C strategy is based on concept that attacks must penetrate multiple protections that have been placed throughout the system to be successful.,950320.ppt CISMA(kjf),38,39,說明： 1.

21、 公開金鑰基礎建設(Public Key Infrastructure，簡稱PKI)/金鑰管理基礎建設(Key Management Infrastructure，簡稱KMI)。 2. 偵測與回應。,深度防禦示意說明,950320.ppt CISMA(kjf),39,40,微軟公司2002提出之深度防禦 資訊安全解決方案,資料來源： (2003年2月5日)。,950320.ppt CISMA(kjf),40,41,結論,1.可信賴之網路社會其資訊安全保證之達成，已成為數位空間安全基礎建設的礎石。 2.資訊安全管理系統之標的在於：從確保資訊資源的合法存取，到在所有可能遭受資訊攻擊之階段，提供完整

22、、未中斷的資訊系統運行。 3.資訊技術一日千里，建構數位社會資訊安全之情境： 運籌於虛擬實境之外，決勝在網頁方寸之內；因人員依侍技術操作，故應根基於技術控制、作業控制、 意外控制與管理控制等4個構面實作。,950320.ppt CISMA(kjf),41,42,敬請指教Thank You,950320.ppt CISMA(kjf),42,p43,附錄1:資訊安全管理控制框架與ISO/IEC 27001:2005(E)規範性控制措施，可符合相對應微軟資訊安全管理之產品與文件資源對照,950320.ppt CISMA(kjf),43,p44,附錄1:資訊安全管理控制框架與ISO/IEC 27001

23、:2005(E)規範性控制措施的對照，可符合相對應微軟資訊安全管理之產品與文件資源（續）,950320.ppt CISMA(kjf),44,p45,附錄1:資訊安全管理控制框架與ISO/IEC 27001:2005(E)規範性控制措施的對照，可符合相對應微軟資訊安全管理之產品與文件資源（續）,950320.ppt CISMA(kjf),45,p46,附錄1:資訊安全管理控制框架與ISO/IEC 27001:2005(E)規範性控制措施的對照，可符合相對應微軟資訊安全管理之產品與文件資源（續）,950320.ppt CISMA(kjf),46,p47,附錄1:資訊安全管理控制框架與ISO/IEC

24、 27001:2005(E)規範性控制措施的對照，可符合相對應微軟資訊安全管理之產品與文件資源（續）,950320.ppt CISMA(kjf),47,p48,附錄1:資訊安全管理控制框架與ISO/IEC 27001:2005(E)規範性控制措施的對照，可符合相對應微軟資訊安全管理之產品與文件資源（續）,950320.ppt CISMA(kjf),48,p49,附錄1:資訊安全管理控制框架與ISO/IEC 27001:2005(E)規範性控制措施的對照，可符合相對應微軟資訊安全管理之產品與文件資源（續）,950320.ppt CISMA(kjf),49,p50,附錄1:資訊安全管理控制框架與I

25、SO/IEC 27001:2005(E)規範性控制措施的對照，可符合相對應微軟資訊安全管理之產品與文件資源（續）,950320.ppt CISMA(kjf),50,p51,附錄1:資訊安全管理控制框架與ISO/IEC 27001:2005(E)規範性控制措施的對照，可符合相對應微軟資訊安全管理之產品與文件資源（續）,950320.ppt CISMA(kjf),51,p52,附錄1:資訊安全管理控制框架與ISO/IEC 27001:2005(E)規範性控制措施的對照，可符合相對應微軟資訊安全管理之產品與文件資源（續）,950320.ppt CISMA(kjf),52,53,附錄2:資訊安全管理系

26、統技術性控制措施之說明 與實作以Microsoft修補程式作業為例,12.6 技術脆弱性管理 目標：降低來自於利用已公佈的技術脆弱性導致的風險。 技術脆弱性管理宜以有效的、系統化的、及可重覆的方式實施，並加以量測以確認其有效性。宜考慮作業系統，以及其它使用中的應用。 12.6.1 技術脆弱性的控制 控制 取得關於使用中資訊系統的技術脆弱性之及時資訊，評估組織對該脆弱性的曝露，以及採取適當的量測以處理相關的風險。,950320.ppt CISMA(kjf),53,54,實作指引 有效的技術脆弱性管理的前提是一份目前與完整的資產清冊（見7.1 節）。需要支援技術脆弱性管理的特定資料包括軟體供應商、

27、版本號 碼、目前的部署狀態（例如哪些軟體安裝在哪些系統上）、及組織內負 責該軟體的人員。 採取適當與及時的行動以因應識別出的潛在技術脆弱性。遵循下列指引 以建立有效的技術脆弱性管理程序： 組織宜定義與建立與技術脆弱性管理相關的角色與職責，包括脆弱性監控、脆弱性風險評鑑、修補、資產追蹤、及所需的協調責任； 用來識別相關技術脆弱性與維持認知的資訊資源宜識別其軟體與其它技術（依資產清冊清單，見7.1.1）；這些資訊資源在清冊變更，或發現其它新的或有用的資源時更新；,附錄2:資訊安全管理系統技術性控制措施之說明 與實作以Microsoft修補程式作業為例(續),950320.ppt CISMA(kjf

28、),54,55,定義反應潛在的相關潛在技術脆弱性通知的時間表； 一旦確定有潛在技術脆弱性，組織宜確認相關的風險與將採取的行動，可能包括修補脆弱的系統，以及/或者採用其它控制； 依據技術脆弱性需要處理的緊急程度，依據變更管理（見12.5.1）相關的控制，或採用資訊全事件反應程序（見13.2），實施需採取的行動； 若有可用的修補程式，則評鑑安裝修補程式相關的風險（比較脆弱性造成的風險與安裝修補程式的風險）； 在修補程式安裝之前需測試評估，以保證其有效性與不導致無法容許的副作用；若無可用的修補程式，則考慮其他的控制，如: 關閉與脆弱性相關的服務或功能； 採用或增加存取控制，如：防火牆、網路邊界（見11.4.5）； 增加監控以偵測或預防實際的攻擊； 提昇脆弱性的認知； 記錄採取的所有程序的稽核日誌； 定期監控與評估技術脆弱性管理程序，以保證其有效性與效率。 先處理高風險的系統,附錄2:資訊安全管理系統技術性控制措施之說明 與實作以Microsoft修補程式作業為例(續),950320.ppt CISMA(kjf),55,56,其它資訊 技術脆弱性管理程序的正確運作對許多組織是不可或缺的，因此需要經常的監控。精確的財產清冊對確保識別潛在相關的技術脆弱性而言是基本的。 技術脆弱性管理能被視為