《信息安全管理精品ppt课件.pptx》由会员分享,可在线阅读,更多相关《信息安全管理精品ppt课件.pptx(102页珍藏版)》请在三一办公上搜索。
1、,第一部分 信息安全管理概论第一章 信息安全概述第二章 信息安全管理基础,第一章 信息安全概述第一节 信息与信息安全第二节 信息安全政策第三节 信息安全法律体系,信息及信息的价值“真相的濒危甚于老虎的濒危”“放映的删节版色,戒,剧情不完整,侵犯消费者的公平交易权和知情权”“剧情”、“真相”等都是一种信息信息、物质、能量是人类社会赖以生存和发展的三大要素灾难备份给银行数据信息上保险公安部:超过一半单位发生过信息网络安全事件,第一章 信息安全概述,第一节 信息与信息安全一、信息与信息资产(一)信息的定义广义:事物的运动状态以及运动状态形式的变化,是一种客观存在。(客观存在并不是区分真假信息的依据)
2、狭义:能被主体感觉到并被理解的东西(客观存在)。本书的定义:通过在数据上施加某些约定而赋予这些数据的特殊含义。信息安全资产的分类:信息具有价值,是一种资产。,第一节 信息与信息安全,信息资产分类数据:存在于电子媒介的各种数据资料软件:应用软件、系统软件、开发工具和资源库硬件:计算机硬件、路由器、交换机、布线等服务:操作系统、WWW、网络管理和安保等文档:纸质文件、传真、财务报告、发展计划等设备:电源、空调、门禁等人员:雇主和各级雇员等其他:企业形象、客户关系等(软资产),(二)信息的特点信息与接受对象和要达到的目的有关(感知和理解)信息的价值与接受信息的对象有关(信息的价值性)信息有多种多样的
3、传递手段(约定的多样性)信息的共享性(可复制性),二、信息安全(一)信息安全的发展三个阶段:通讯保密阶段 重点是保密(点)信息安全阶段 关注信息安全的三属性:保密性 完整性 可用性(线、空间)安全保障阶段 关注点有空间拓展到时间:策略、保护、检测、响应、恢复(系统),(二)信息安全的定义 为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄漏信息安全的三个主要问题:1.保护对象 主要是硬件、软件、数据2.安全目标 保密性、完整性、可用性3.实现途径 技术和管理,(三)信息安全三属性的含义(Pass)保密性 完整性可用性,(四)信息安全
4、模型1.PDR模型Pt(protection)有效保护时间,信息系统的安全措施能够有效发挥保护作用的时间;Dt(detection)检测时间,安全监测机制能够有效发现攻击、破坏行为所需的时间;Rt(reaction)响应时间,安全机制作出反应和处理所需的时间。,安全公式(1)PtDt+Rt,系统安全 保护时间大于检测时间和响应时间之和;(2)PtDt+Rt,系统不安全 信息系统的安全控制措施在检测和响应前就会失效,破坏和后果已经发生。,2.PPDRR模型:保护、检测、响应、恢复四环节在策略的指导下构成相互作用的有机体。,(五)信息安全保障体系,图表说明:1.安全技术体系是整个安全体系的基础,包
5、括安全基础设施平台、安全应用系统平台和安全综合管理平台;安全基础设施平台从物理和通信安全防护、网络安全防护、主机系统安全防护、应用安全防护等多个层次出发,立足于现有的成熟的安全技术和安全机制,建立起防护体系。,安全应用系统平台处理安全基础设施与应用信息系统之间的关联和集成问题。通过使用安全基础设施平台所提供的各类安全服务,提升自身的安全等级,以更加安全的方式,提供业务服务和信息管理服务。,安全综合管理平台对安全机制和安全设备进行统一的管理和控制,负责维护和管理安全策略,配置管理相应的安全机制。促成各类安全手段能与现有的信息系统应用体系紧密地结合,是信息系统安全与信息系统应用一体化。,2.安全组
6、织与管理体系安全组织与管理体系的设计立足于总体安全策略,并与安全技术体系相配合增强防卫效果,弥补安全缺陷。信息安全管理体系由若干信息安全管理类组成,每项信息安全管理类可分解为多个安全目标和安全控制。,3.运行保障体系 内容涵盖安全技术和安全管理紧密结合的部分,包括系统可靠性设计、系统数据额备份设计、安全时间的应急响应计划、安全审计、灾难恢复计划等,第二节 信息安全政策,一、我国信息化发展战略与安全保障工作(一)信息化发展战略(P8)推进国民经济信息化推进电子政务建设先进网略文化推进社会信息化完善综合信息基础设施加强信息资源的开发利用提高信息产业竞争力建设国家信息安全保障体系提高国民信息技术应用
7、能力,造就信息化人才队伍,(二)信息安全保障工作国务院关于加强信息安全保障工作的意见 加强信息安全保障工作须遵循的原则 立足国情,以我为主,坚持管理和技术并重;正确处理安全与发展的关系,以安全保发展,从发展中求安全;统筹规划,突出重点,强化基础性工作;明确国家、企业、个人的责任和义务,充分发挥各方面的积极性,共同构筑国家信息安全保障体系。,处理好发展与建设的关系正确处理发展与安全的关系坚持以改革开放求安全坚持管理与技术并重坚持统筹兼顾、重点突出,二、美国信息安全国家战略简介:1998年5月美国政府颁发了保护美国关键基础设施总统令,围绕信息安全成立多个组织。1998年美国国家安全局制定了信息保障
8、技术框架提出了“深度防御策略”,确定了包括网络与基础设施防御、区域边界防御、计算机环境防御等深度防御在内的目标。,2000年1月,发布了保卫美国的计算机空间保护信息系统的国家计划,确定了计划的目标和范围。2003年2月公布确保网络空间安全的国家战略报告,强调发动社会力量参与保障网络安全,重视发挥高校和科研机构的力量。内容:三项总体战略目标和五项具体的优先目标。P11,背景:美国是第一信息大国,对信息的依赖是其脆弱性的重要根源由大量信息系统组成的国家信息基础结构,已成为美国经济的命脉和国家的生命线,也成为容易受到攻击的高价值目标系统的安全漏洞、黑客的猖獗80年代以来,美国政府陆续发布若干制度,拥
9、有最关键系统的政府部门被指定为第一批实施信息安全保护计划的要害部门,力图实现三个目标:准备和预防、侦查和反应、建立牢固的基础设施,确保网络空间安全的国家战略作用与影响:1、确保网络安全已经被提升为美国国家安全战略的一个重要组成部分;2、是美国在9.11之后为确保网络安全而采取的一系列举措中的核心步骤;3、强调社会力量对网络安全进行全民防御,重视与企业和地方政府合作,重视发挥院校和科研机构力量,重视人才培养和公民安全意识教育。,三、俄罗斯信息安全学说2000年6月国家信息安全学说第一次明确指出了俄罗斯在信息领域的利益、威胁是什么,以及保卫措施。(一)背景科索沃战争、爱虫病毒的爆发是催化剂,(二)
10、内容1、保证信息安全是国家利益的要求2、保证信息安全的方法3、国家在保证信息安全时应采取的基本原则4、信息安全的组织基础此外,信息安全学说还对信息威胁做了评估,论证了信息斗争的打击目标和打击手段。,(三)措施1、成立国家信息安全与对抗的领导机构(国家信息政策委员会)2、建立信息对抗教育防范体系3、建立信息斗争特种部队4、发展信息斗争的关键技术和手段5、改组指挥控制系统,增强战场生存能力,第三节 信息安全法律体系,一、信息安全法律体系(一)体系结构1.法律体系 部门法2.政策体系(拘束力、责任)3.强制性技术标准(强制力),(二)信息系统安全保护法律规范的法律地位 1、信息系统安全立法的必要性和
11、紧迫性 2、信息系统安全保护法律规范的作用违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。(1)指引作用(2)评价作用(3)预测作用(4)教育作用(5)强制作用(预防作用),二、法律法规介绍(P1824)(一)刑法 主要罪名 新增加的罪名及含义(二)治安管理处罚法 相关条文及含义(三)计算机信息系统安全保护条例(计算机信息系统能够发生的案件,应在24小时内向人民政府公安机关报告)(四)关于维护互联网安全的决定(五)计算机信息网络国际互联网安全保护管理办法(六)互联网安全保护技术措施规定,第二章 信息安全管理基础,第一节 信息安全管理体系第二
12、节 信息安全管理标准第三节 信息安全策略第四节 信息安全技术,第一节 信息安全管理体系一、信息安全管理体系定义信息安全管理涉及信息和网络系统的各个层面,以及生命周期的各个阶段,这些不同方面的管理内容彼此间存在着一定的内在联系,构成一个有机的整体,以使管理措施保障达到信息安全目标。(ISMS),二、信息安全管理的基本原则(一)总体原则主要领导负责原则 规范定级原则以人为本原则适度安全原则全面防范重点突出原则系统、动态原则控制社会影响原则,(二)安全管理策略分权制衡(避免权力集中)最小特权(避免多余权力)选用成熟技术普遍参与,三、信息安全管理内容,管理目标:合规性(管理合规)流程规范性(程序合规)
13、整体协调性(各种管理协调)执行落实性(检查监督和审计)变更可控性(变更要监控)责任性持续改进计划性,信息安全管理体系包括以下方面,(一)信息安全方针和策略 1、安全方针和策略2、资金投入管理3、信息安全规划,(二)信息安全人员和组织1、保证有足够的人力资源从事信息安全保障工作2、确保人员有明确的角色和责任3、保证从业人员经过了适当的信息安全教育和培训,有足够的安全意识4、机构中的信息安全相关人员能够在有效的组织结构下展开工作,(三)基于信息系统各个层次的安全管理 1、环境和设备安全 2、网络和通信安全 3、主机和系统安全 4、应用和业务安全 5、数据安全,(四)基于信息系统生命周期的安全管理信
14、息系统生命周期可以分为两个阶段:工程设计和开发阶段、系统的运行和维护阶段系统安全与系统本身“三个同步”:同步规划、同步建设、同步运行安全管理内容:1、项目工程安全管理2、日常运行与维护的安全管理3、配置管理和变更管理(资产和管理措施的配置描述和管理)4、文档化和流程规范化5、新技术、新方法的跟踪和采用,(五)风险管理1、资产鉴别、分类和评价2、威胁鉴别和评价3、脆弱性评价4、安全风险评估和评级5、决策并实施风险处理措施,(六)业务连续性管理:识别潜在影响、建立整体恢复能力和顺应能力,重在危机或灾害发生时的保护(七)符合性审核:将信息安全管理纳入良性的、持续改进的循环中,四、信息安全管理体系构成
15、,信息安全管理体系由12个管理类组成,每个管理类可以分为多个安全目标和安全控制。各管理类的关系图如下,作用关系说明:1、方针和策略是基础和指导2、人员和组织管理要依据方针和策略执行任务3、合规性管理指导如何检验信息安全管理工作的效果4、人员与组织实施的信息安全管理工作,主要从两个方面进行风险管理合业务连续性管理5、根据信息系统生命周期,可以把信息系统划分为项目开发阶段和运行维护阶段6、所有的信息安全管理工作都作用在信息系统之上,第二节 信息安全管理标准,信息安全管理在发展过程中有不同的标准一、BS7799是 英国标准协会针对信息安全管理制定的,发布于1995年,后几经修改,成为目前被广泛接受的
16、标准。分为两个部分:BS77991,是信息安全管理实施细则,供负责信息安全系统开发的人员参考使用;BS77992,是建立信息安全管理体系的规范,最终目的是建立适合企业的信息安全管理体系。,(二)BS7799发展历程(略)1、倡导者 2、发展与修订 3、适用地区,(三)BS7799主要内容1、BS77991(ISO/IEC17799:2005)信息安全管理实施细则将信息安全管理的内容划分为11个主要方面,39个信息安全管理的控制目标,133项安全控制措施(P36-40)说明:不够具体,组织可以根据自身增减信息安全最佳起点:10项几乎适用于所有组织和大多数环境的控制措施,包括三项与法律相关的控制措
17、施和七项与最佳实践相关的控制措施。(体现重管理的思想),与法律相关的控制措施:(略)1、知识产权2、保护组织的记录(保护重要的记录不丢失、破坏、伪造)3、数据保护和个人信息隐私,与最佳实践相关的措施:(略)1、信息安全策略文件2、信息安全责任分配3、信息安全意识、教育、培训4、正确处理应用程序5、漏洞管理6、管理信息安全事件和改进7、业务连续性管理,2、BS77992(ISO/IEC27001:2005)其主要特点一是提供了安全管理体系规范,二是提供了建立信息安全管理体系的目标。该标准强调信息安全管理是一个面向风险的、持续改进的过程,如下图:,二、其他标准BS7799旨在为组织实施信息安全管理
18、体系提供指导性框架,更多体现的是一种目标要求,总体上并没有提及实施的细节(通行标准的必然局限,普适性强则针对性就弱)具体组织要将BS7799标准落实,需补充必要的可实施内容,下面是国际上一些相关的标准,(一)PD3000:PD3001PD3005(P44)特点:更具针对性(二)CC:是国际上最通行的信息技术产品及系统安全性测评标准,也是信息技术安全性评估结果国际互认的基础,CC标准由3个文件构成:1、ISO/IEC15408-1,介绍和一般模型2、ISO/IEC15408-2,安全功能要求3、ISO/IEC15408-3,安全保证要求与BS7799相比,CC侧重系统和产品的技术指标评价上。,(
19、三)ISO/IEC TR13335名称:曾用名,“IT安全管理指南”,现名,“信息和通信技术安全管理”,是一个信息安全管理方面的指导性标准,目的是为有效实施IT安全管理提供建议和支持。共分5个部分:,ISO/IEC 133351:1996 IT安全概念与模型ISO/IEC 133352:1997 IT安全管理和计划ISO/IEC 133353:1998 IT安全管理技术ISO/IEC 133354:2000 安全措施的选择ISO/IEC 133355:2001 网络安全管理指南,ISO/IEC TR 13335 与BS7799的比较:后者只是一个指导性的文件,并不是可依据的认证标准,也没有给出
20、一个全面完整的信息安全管理框架;但是后者在IT安全的具体环节上切入点较深,可实施性较好,另外其风险评估方法过程较清晰。,(四)SSE-CMM由美国国家安全局开发,是专门用于系统安全工程能力成熟度模型。该模型将系统安全工程成熟度分为5个等级。几者比较:SSE-CMM和CC都是评估标准,均可将评估对象划分为不同的等级,但后者针对的是安全系统或安全产品的测评,前者针对的是安全工程过程,SSE-CMM和BS7799都提出了一系列最佳惯例,但后者是一个认证标准而无实现过程;前者是一个评估标准,定义了实现最终安全目标所需要的一系列过程。二者可以互补使用。,(五)NIST SP 800系列由美国国家标准技术
21、协会发布,主要内容是针对信息安全技术和管理领域的实践参考指南,包括四项:SP800-12:计算机安全介绍SP800-30:IT系统风险管理指南SP800-34:IT系统应急计划指南SP800-26:IT系统安全自我评价指南,(六)ITIL由英国中央计算机与电信局发布关于IT服务管理最佳实践的建议和指导方针,目的是解决IT服务质量,是一种基于流程的管理方法,尤其适于企业的IT部门。其精髓体现为“一大功能”和“十大流程”,前者是服务台功能。,十大流程:1、服务支持 2、服务交付事件管理 服务水平管理问题管理 可用性管理变更管理 IT服务财务管理发布管理 容量管理配置管理 IT服务持续性管理,功能比
22、较ITIL与BS7799相比:ITIL关注的信息技术更广泛,侧重于具体的实施流程,但缺少信息安全的内容,BS7799可作为ITIL在信息安全方面的补充。,(七)CobiT(信息及相关技术控制目标)美国信息系统审计与控制协会发布是目前世界上最先进、最权威的安全与信息技术管理和控制标准。主要目的是为业界提供关于IT控制的清晰政策和发展的良好典范。,Cobit与ITIL比较:均关注广泛的IT控制,但是更强调目标要求和度量指标,而后者更关注实施流程。具体在ISMS的建设上,Cobit的框架和目标、ITIL的流程都可以供BS7799借鉴,BS7799的目标只是ITIL和Cobit的一个分支。,第三节 信
23、息安全策略,一、信息安全策略概述(一)定义:是一种处理安全问题的管理策略的描述,是描述程序目标的高层计划。安全策略是在效率和安全之间的一个平衡点。三个基本原则:确定性、完整性、有效性(还应有宏观性),(二)信息安全策略的重要性(三)指定信息安全策略的时间任何业务动作过程均有风险,应尽早制定安全策略无策略的开发,投资和责任都很大发生过一次的事故很可能会再次发生从全局考虑,不要把风险孤立对待,(四)信息安全策略开发流程(略)首先要做的是确定保护对象和原因其次要制定安全策略的目标流程:1、确定策略范围2、风险评估、审计3、策略的审查、批准和实施,二、制定信息安全策略,(一)制定原则1、先进的网络安全
24、技术是网络安全的根本保证2、严格的安全管理是确保信息安全策略落实的基础3、严格的法律、法规是网络安全保障的坚强后盾,(二)信息安全策略的设计范围纵向上分:(略)总体安全策略针对特定问题的安全策略针对特定系统的具体策略,横向分:(略)物理安全策略 灾难恢复策略网络安全策略 事故处理紧急响应策略数据加密策略 安全教育策略病毒防护策略 口令管理策略数据备份策略 补丁管理策略身份认证及授权 系统变更控制策略系统安全策略 复查审计策略商业伙伴、客户关系策略,(三)有效的信息安全策略的特点满足大部分需求并能够维护企业利益策略应该清晰但不能包含太多的细节策略应该不断加强策略的目标应该整合到员工培训课程中去(
25、四)完整信息安全策略的覆盖范围,三、信息安全策略保护对象,(一)信息系统的硬件与软件随系统而变化(二)信息系统的数据第三方数据的使用定义好隐私条例(三)人员权限和公司行为的合法性,四、主要信息安全策略,(一)口令策略总体要求 难以破解易于牢记1、网络服务器口令的管理部门负责人和网络管理员同时在场设定系统管理员记录封存定期更换并销毁原记录封存新记录发现泄密及时报告、保护现场,须接到上一级主管部门批示后再更换口令,2、用户口令管理用户负责人与系统管理员商定口令,负责人确认,管理员登记、存档用户要求查询或更换口令需提交申请单网络提供用户自我更新口令功能时,用户应自行定期更换并设专人负责保密和维护,创
26、建口令规则通用规则:保存口令最安全的地方是脑袋和保险箱口令需相当长以合理的方式使用特殊字符、大写字母、数字,需避免的问题:不要用个人信息不用自己的偶像不用办公桌(室)上的物品不将口令保存在本地机器或共享的网络上,(二)计算机病毒和恶意代码防治策略防护策略须遵守的准则拒绝访问能力(来历不明软件不得进入)病毒检测能力(能否检测病毒是重要指标)控制传播能力清除能力恢复能力替代操作,(三)安全教育与培训策略安全教育的层次性管理人员:企业信息安全的整体策略和目标,信息安全体系的构成、部门建立和制度完善技术人员:理解策略、掌握评估方法,合理运用安全操作和维护技术用户:学习操作流程、了解掌握安全策略,用户安
27、全策略内容:(略)数据和用户所有权(数据的专用和共享)硬件的使用(明确正确的操作方式)互联网的使用(正确的使用方式)帐户管理、补丁管理、事件报告制度(管理员)策略更新强制执行策略(保障),安全教育与培训策略举例:建立专门的安全教育与培训机构制定详细的安全教育和培训计划定期对教育和培训结构进行抽查和考核,五、信息安全策略的执行和维护,(一)执行责任声明和监控制度是最重要的保证(二)维护审查和修订 周期6个月或1年,第四节 信息安全技术,一、物理环境安全技术环境安全:对系统所在环境的保护设备安全:设备防盗、防毁、防电磁辐射干扰等媒体安全:包括媒体数据的安全和媒体本身的安全,二、通讯链路安全技术,(
28、一)链路加密技术设备管理简单成本较高,说明:链路加密技术在数据通过广域网时,提供加密和解密功能链路加密机工作在数据链路层,每个分支机构的广域网与局域网的边界处部署一台链路加密机,在数据中心局域网与广域网边界处,需要一对一进行加密机的部署,形成链路加密机群,提供点对点的保护。,(二)远程拨号安全协议远程拨入用户认证服务协议规定了网络访问服务器与RADIUS服务器之间的交互操作协议,完成集中的用户认证、口令加密、服务选择、记账等。RADIUS服务器部署在拨号访问路由器后面,协同工作,完成 拨入用户的身份认证和权限访问控制。RADIUS与动态口令认证机制结合,能够提供更加安全的接入认证。,三、网络安
29、全技术,(一)防火墙防火墙的工作原理是按照事先制定好的配置和规则,检测和过滤信息的双向流动。发展历程:传统包过滤、应用代理、动态包过滤、深度包检测,(二)网络入侵检测误用检测技术:通过对比已知攻击手段和系统漏洞的签名特征判断是否有入侵行为(.dll)异常检测:根据使用者的行为或资源使用状况判断是否入侵,被称为基于行为的检测(下载)。,(三)网络脆弱性分析又称为漏洞扫描技术,通过与目标主机端口建立连接并请求某些服务,记录目标主机的应答,搜索目标主机相关信息,发现目标主机内在安全弱点。意义在于把繁琐的安检通过自动程序完成,减负、高效,四、系统安全技术,(一)主机入侵检测入侵检测系统分为基于主机分析
30、和基于网络数据包分析两种方式。系统用于分析主机产生的数据就是主机入侵检测。主机入侵检测对主机网络实时连接及系统审计日志进行智能分析和判断可以解决:特权滥用、关键数据的访问和修改、安全配置中的变化、非法获得访问资格的企图,(二)计算机病毒防治,部署的原则是建立一个系统控制中心,从客户端部署到所辖网络中所有的主要服务器主机和每一个桌面操作系统之上,形成全面的防护和管理体系。,五、身份认证安全技术,(一)动态口令认证,动态口令认证技术采用密码算法和身份认证协议,系统为每一个用户分配一个用户名,从而生成一组用户密钥,并且将这些记录加密报讯在服务器端的数据库,认证客户端根据该用户的密钥和当前时间数值,通过密码换算法,生成用户的当前登陆口令。,(二)PKI技术该技术是另一种广泛应用的强身份认证机制,可提供身份认证、可信时间戳等安全服务PKI技术的根基是公钥密码体制PKI技术是一个包括硬件、软件、人员、政策和手续的集合,信息与信息安全信息安全政策信息安全法律体系信息安全管理体系(12管理类)信息安全管理标准信息安全策略(口令、病毒防治、安培)信息安全技术(物理、链路、网络、技术),课程结束,再见,
