信息安全管理基本理论
1、管理:孔茨(美管理过程学派)强调效率、法约尔(法管理学先驱)活动过程、彼得·F·德鲁克(奥地利现代管理学之父)重视结果。
针对特定对象,遵循确定原则,按照规定规定程序,运用恰当方法,为了完成某项任务以及实现既定目标而进行的计划、组织、指导、协调和控制等活动。
三个阶段:通信保密阶段 信息的保密性 信息安全阶段 保密性、完整性和可用性 信息安全保障阶段
信息安全技术与信息安全管理:信息安全技术是实现信息安全要求的方法保障,信息安全技术是实现信息安全产品的技术基础,信息安全产品 是实现组织安全的工具平台,信息安全管理是实现信息安全技术应用的途径,信息安全管理是完成信息安全产品部署的规范,信息安全管理是从事信息安全人员组织的方法。
信息安全管理课程作用:单纯只考虑技术,只能做出功能强大的信息安全产品,并不能对组织机构内部信息的安全保障提供直接支持。单纯只考虑管理,缺少技术产品的支撑,就不能保证信息安全规章制度的实施
信息安全研制者 十分技术。信息安全执行者 三分管理 七分技术 。信息安全管理者 五分管理 五分技术。信息安全决策者 七分管理三分技术信息安全管理: 是通过维护信息的机密性,完整性和可用性等,组织为实现信息安全目标而进行的管理活动,管理和保护信息资产的一项体制,是对安全保障进行指导、规范和指导组织的一系列活动的过程
1. 内容:安全方针和策略 组织安全 资产分类与控制 人员安全 物理与环境安全 通信、运行与操作安全 访问控制 系统获取、开发与维护 安全事故管理 业务挂线性管理 符合性 做什么 明确目标和指导原则 如何做 做得怎样 多方面发扬需求 整体规划长远考虑 建立安全管理体系
课程内容
讲解说明各类安全管理过程——如何运用各类信息安全产品和信息安全知识理论来保证组织机构内信息的安全
讲解说明各类信息安全管理技术——以管理角度讲述,包括谁、风险伍佰、策略管理、审计、监控、容灾等。
全面了解信息安全管理体系
掌握信息安全管理的内涵、体系、内容和实施过程。
掌握信息安全管理的基本理论和手段,体系的构建过程。
信息安全管理发展:零星追加时期,标准化时期,九十年代中期可看作社两个阶段的分界。
国外现状:制订信息安全发展战略和计划,加强信息安全立法实现统一和规范和规范管理步入标准化与系统化管理时代
国内现状:存在问题
客观方面:法律法规不健全,管理方面政出多门,国家信息基础设施建设外国依赖
微观方面:缺乏安全意识与方针,重技术,轻管理岗位不清,职责不分,缺乏系统管理的思想
技术与工程标准 信息安全管理与控制标准:美国信息安全桔皮书TCSEC、信息产品通过测评准则CC、BS7799:控制目标,控制措施、信息基础设施库ITIL、信息有相关技术控制目标COBIT、ISO/IKE 27000系列国际标准
信息安全管理体系:管理体系是组织用来保证其完成任务,实现目标的过程集框架
信息安全管理体系是基于业务风险方法建立,实施,运行监视,评审,保持和改进信息安全的管理体系,即一套过程集框架。
对象范畴: 组织的所有系统、组织部分信息系统、 特定的信息系统
特点:信息安全系统是一个系统化,程序化和文件化管理体系,应具有以下特点:体系建立——预防控制为主、体系的规划——遵守法律法规与要求、体系的建设——动态控制,控制费用与平衡风险、体系的运维——保护关键性信息资产。
建设步骤:信息安全管理体系的策划与准备、信息安全管理体系文件的编制、建立信息安全管理框架、信息安全管理体系的运行、信息安全管理体系的审核与评审。
二、ISO/IEC 2700X信息安全管理体系:信息安全管理体系(isms)系列标准(即27000系列)、27000-27009:isms基本标准、27010-27019:isms标准族的解释性指南与文档、27020-27031:预留各个行业、iso/iec 27001 信息技术-安全技术-信息安全管理体系-要求、iso/iec 27002信息技术-安全技术-信息安全管理实践规划
信息安全管理实用规则 :该标准给了一个信息安全管理范围的划分方法,其将信息安全管理范围划分为11个管理方面,39个安全控制目标和133条控制措施。
管理方面 明确管理的范畴
控制目标 要实现什么
控制措施 用于实现控制目标
控制措施实施控制目标的控制措施介绍说明
实施指南为扶持控制措施的实现和满足控制目标而提供的详细信息
其它信息 提供需要进一步考虑的信息
例:管理方面:访问控制。 控制目标 1。访问控制的业务要求2.用户访问管理3.用户职责4.网络访问控制5.操作系统6.应用和信息7.移动和过程管理
目标解读:确保授权用户访问信息系统,并防止未制空权的访问
控制措施 : 1。用户注册2.特殊权限管理 3.用户口令管理4.用户访问权的复查
控制措施 通过卡式的管理过程控制口令的分配
实施指南: (1).要求用户签署一份声明,以保证个人口令的保密性和组口令仅在该组成员范围内使用(2).若需要助记词维护秘书的口令,要在初始时提供给他们一个安全的临时口令,并强制其立即改变 (3).提供一个新的,代替的或临时口令之前,要建立验证用户身份的规程 (4).要以安全的方式将临时口令给予用户 (5).临时口令要对个人而言是唯一的不可猜测用(6).口令不要以未保护的形式存储在计算机系统内(7).要在系统或在软件安装后改变提供商的默认口令
iso/iec 27001:2005信息安全管理体系要求:该标准为建立、实施、运行监视、评审和改进信息安全管理体系(isms)提供了模型。
isms建立的总的要求和思路:isms建立要基于组织的业务、风险评估结果及相关要求,应形成文件;ISMS中的过程基于PDCA
PDCA模型(戴明环):含义与实施过程(作业)老书P18
PDCA循环螺旋式上升和发展的。老书P22
ISMS四级文件架构:一、?(方针政策)二、?(规范程序)三、?(作业指导书)四、?(记录表单)
ISMS文件的5W+1H模型:信息安全手册(WHY)、程序流程(WHAT/WHEN/WHO/WHERE)、工作指导书(HOW)、记录(Records)
基于等级保护的ISMS
等级保护:是指根据信息系统在国家安全、经济安全、社会稳定和保护公共利益等 方面的重要程度。结合信息系统面临的风险,应对风险的安全保护要求和成本开销等因素,将其划分成不同的安全保护等级,来取相应的安全保护措施,从而保障信息和信息系统的安全。
核心:对信息系统分等级,掐标准进行建设,管理和监督、
等级保护的基本原则:A明确责任,共同保护B依照标准,自行保护C同步建设,动态调整D指导监督,保护重点
级别划分(信息和信息系统的安全保护等级)
四大标准:书P208等级保护基本实施过程:(图)书P215《实施指南》 《基本要求》:(作业)P211 《定级指南》:P214(表)
IS安全:A 业务信息安全:系统所属类型、业务信息类别 。B 系统服务安全:系统服务范围 、业务依赖程度
信息安全策略管理
一、 信息安全策略内涵及重要意义:
1、 信息安全策略是描述组织有哪些重要信息资产,并说明这些信息资产如何被保护的一个计划,其目标是为信息安全提供管理指导和支持。
2、 信息安全策略的作用:①向组织成员阐明如何使用组织中信息系统资源如何处理敏感信息;②用户使用时应承担什么样的责任;③描述对人员的安全意识与技能要求;④如何使用安全技术产品;
3、 信息安全策略的作用方式:管理→防护→测评→监视→响应→管理
4、 信息安全策略是信息安全的灵魂:①信息安全策略是一切信息安全保障的基础和出发点②信息安全策略的规划与实施是保护组织信息安全的重要一步③信息安全策略的正确组织与实施对组织的信息安全起着非常重要的作用。
二、 信息安全策略的分类:
1、 策略层次:①战略性信息安全策略②战术性信息安全策略③操作性信息安全策略。
不同类型的信息安全策略是由不同的层次角色人员负责制定。
2、 策略领域(建立起一个信息安全策略范畴)
三、 信息安全策略的规划与实施:
1、 规划:
系统安全需求→系统安全服务→网络系统
↓ ↓ ↓
需求策略 服务策略 实体策略 信息安全策略的制定是一个非常复杂的智力活动
2、 信息安全策略的制定流程:
(1) 确定应用范围
(2) 获得管理支持
(3) 进行安全分析
(4) 会见关键人员
(5) 制订策略草案
(6) 开展策略评估
(7) 发布安全策略
(8) 随需修订策略
环境与实体安全管理(进入环境+接触实体)
信息系统所面临的威胁和攻击分为两类:一类是对信息所在环境的威胁和攻击,另一类是对信息本身的威胁和攻击。
环境与实体安全管理:为了保证信息系统安全,可靠,确保系统在对信息进行采集、传输、存储处理、显示、分发和利用的过程中还会受到人为的或自然因素的危害而使信息丢失、泄漏和破坏,对安全区域、信息系统环境,信息系统设备以及存储媒介等所进行的安全管理。
环境与实体安全管理的目的:是保护计算机信息系统设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的安全管理。
一、 物理环境安全管理:遵循相关标准,满足防火,防磁等要求。物理环境安全就是要保证信息系统有一个安全环境。
(1) 安全保卫技术:防盗报警、监控、门禁、系统、消防系统……
(2) 计算机机房的温度、湿度:“三度”——温度、湿度、洁净度
(3) 计算机机房的安全管理技术:①机房选址 ②机房制度化 ③建筑安全
二、 电源系统安全管理:电源系统的稳定可靠是计算机网络系统正常运行的先决条件
供电系统安全:一类供电(不间断); 二类供电(带备用);三类供电(一般用户)。
防静电措施:不同物体间的相互摩擦、接触会产生能量不大但电压非常高的静电。如果静电不能及时释放就可能产生火花,容易造成火灾或损坏芯片等意外事故。
接地与防雷要求:接地防雷是保护计算机网络系统和工作场所安全的重要安全措施。要求良好接地的设备、各种计算机外围设备,多相位变压器的中性线、电缆外套管、电子报警系统……。
三、 设备与媒介安全管理:设备与媒介是信息系统的基本组成单元,要保证硬件设备随时处于良好的工作状态。
总体要求:建立健全使用管理规章制度,建立设备运行日志。同时要注意,保护存储媒体的安全性。
设备造型要求:
(1) 严禁采购和使用未经中家信息安全测评机构认可的信息安全产品;
(2) 尽量采用我国自主开发研制的信息安全技术和设备;
(3) 尽量避免直接采用境外的密码设备;
(4) 必有采用境外信息安全产品时,该产品必须通过国家信息安全测评机构的认可。
(5) 严禁使用未经国家密码管理部门批准的安全产品.
设备检测要求:(国家信息安全产品测评认证)
设备购置要求:
(1) 设备符合系统选型要求并获批准,方可购置安装;
(2) 在测试环境下经过连续72小时以上的单机运行测试和联机48小时的应用兼容性运行测试
(3) 通过上述测试后,设备才能进入试运行阶段,试运行时间的长短根据需要自行确定
(4) 通过试运行的设备才能正常连接使用
设备登记要求:(登记工作由设备的专门责任人负责)。。。。设备使用要求:。。。
设备保养与维护:
(1) 坚持对设备运行例行维护和保养,并指定专人负责
(2) 定期检查供电系统的各种保护装置信地线是否正常
(3) 对设备的物理访问权限限制在最小范围内
媒介安全管理:
(1) 是信息系统实体安全中的一项重要内容
(2) 目的是保护存储在媒介上的信息
(3) 保护方式主要包括:物理上的防盗、防毁、防霉、防砸等以防止未授权访问
媒介安全性分类:
(1) 一类记录——关键性记录
(2) 二类记录——重要记录
(3) 三类记录——有用记录
(4) 四类记录——不重要记录
媒介安全性分类防护要求:(1)一、二类具备防火、防高温、防水、防震和防电磁场的性能(2)三类应存放在密闭的代表性文件箱或文件柜中
电子媒介安全管理目标:
(1) 保证电子文档内容逻辑上的准确
(2) 保证电子文档载体物理上的安全
(3) 保证电子文档的原始性
(4) 保证电子文档的可理解性
(5) 对电子文档载体进行有效的检测与维护
签名技术——加密技术——身份认证——防火墙
电子媒介安全管理措施:
(1) 电子文档的制作过程要责任分明
(2) 电子文档形成后应及时进归档
(3) 建立和执行科学的归档制度
(4) 建立和执行严格的保管加强对电子文档使用活动的管理
(5) 建立电子文档的使用规划
移动存储安全管理措施:
(1) 介质中内容的重用问题
(2) 对移动介质保持审核踪迹
(3) 在要求的安全和保密的环境中使用
(4) 避免老化而导致内容丢失
四、 通信线路安全管理:通信线路是连接设备。确保设备间信息交互的通道,也是信息系统整体性的关键衔接。
总体要求:包括防止电磁信息的泄漏、线路截获以及抗电磁干扰
电磁兼容和电磁辐射的防护:(电磁辐射还存在泄露的危险)
截获的两种方式:
(1) 辐射泄露
(2) 传导泄露
电磁兼容和电磁辐射的防护措施:辐射泄露:①电磁屏蔽 ②干扰 传导泄露:滤波器 。。防电磁泄露产品。。
组织与人员安全管理:
信息安全管理实现依赖于组织和人员;人员不仅是信息安全管理的主体,同时也是信息安全管理的客体;组织与人员的安全管理是信息安全保障的核心和基础。
1、 信息安全管理组织:是由信息安全管理机构及其工作规范组成,其目标是管理组织范围内的信息安全。
建立信息安全管理组织的基本要求:
(1) 信息安全组织应当由单位安全负责人领导;
(2) 具体工作应当由专门的安全负责人负责的;
(3) 安全组织成员类型应具有多样性。
信息安全管理组织的标准:①逐级信息安全防范责任制,各级的职责划分明确;②明确信息系统使用部门或岗位的安全责任;③有专职或兼职的安全员,逐级安全管理机制;④有健全的安全管理规章制度;⑤在工作人员中普及安全知识,培训考核,持证上岗;⑥定期进行系统风险评估,并对信息安全实行等级保护制度;⑦在安全各方面采取必要的安全措施;⑧对本部门信息系统的安全保护工作有档案记录和应急计划书;⑨严格执行信息安全事件上报制度;
2、 信息安全管理组织的组成:
(1) 信息安全决策机构;
(2) 信息安全管理机构;
(3) 信息安全执行机构;
3、 信息安全管理组织的基本任务与职能:基本任务:定期或适时进行风险评估,确定信息系统的安全等级和管理总体目标,提出相应的对策并监督实施。信息安全工作只有得到管理层的重视管理活动才能得以顺利开展。 信息安全的管理承诺。
二、人员安全管理(绝大多数的安全威胁都来自于人本身很多系统脆弱性也和人相关)人始终是信息系统安全的最大因素,人员管理必然是安全管理的关键
1、 作用之前:确保雇员,承包方人员和第三方人员理解其职责,考虑对其承担的角色是否合适以降低设施被窃、欺诈和误用的风险
角色和职责→审查→任用条款和条件
2、 任用中:确保雇员,承包方人员和第三方人员知悉信息安全威胁和利害关系,他们的职责和义务,并准备好在其正常工作过程中支持组织的安全方针,以减少人为出错的风险。 管理职责→信息安全意识教育和培训→纪律处理过程
3、 任用终止或变更:确保雇员承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系。终止职责→资产归还→撤销访问权
应急处置管理
应急响应:指人们为了应对各种紧急事件的发生所做的准备以及在事件发生后所采取的措施。
一、 信息安全事件的分类分级:信息安全事件的内涵:
(1) 信息安全事态
(2) 信息安全事件
信息安全事件分类:(分类原则:便于事件处置)。 分类依据是安全事件的:起因——表现——结果
信息安全事件分类:
(1) 有害程度事件
(2) 网络攻击事件
(3) 信息破坏事件
(4) 信息内容安全事件
(5) 设备设施故障
(6) 灾难性事件
(7) 其他事件
信息安全事件分级:
(1) 信息系统的重要程度
(2) 系统损失
(3) 社会影响
二、 信息安全事件应急处置流程:
(1) 规划准备:①制定信息安全事件管理策略和方案,获得管理层承诺②建立信息安全事件响应处置组织③信息安全事件管理能力培训
④信息安全事件方案测试
(2) 使用:①检测并报告信息安全异常现象②评估是否将异常现象归类为信息安全事件③对信息安全事件做出响应其中包括进行法律取证分析
(3) 评审:①进一步进行法律取证分析②总结经验教训③确定安全改进之处④确定信息安全事件管理方案的改进之处
(4) 改进:①改进安全风险分析和管理评审的结果②启动对安全的改进③改进信息安全事件管理
三、 信息安全事件应急响应组织
(1) 应急响应组织的起源与发展
(2) 应急响应组织分类
(3) 中国信息安全事件应急响应组织
信息安全风险评估:是一个用于在组织中识别风险,划分风险优先级并将风险控制在一个可接受的程度上的过程。
2目的:评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件涉及的资产价值来判断安全事件一旦发生对组织造成的影响
3用途:是IS安全保障机制建设过程中的一种评价方法
4要素:资产:对组织具有价值的信息资源,按表现形式:DATA,软件,硬件,服务,文档,人员
威胁:可能对资产或组织造成损害的潜在原因,按威胁源:自然,环境,系统,内部人员,外部人员
脆弱点:一个或一组资产所具有的,可能被威胁利用对资产造成损害的薄弱环节(技术,管理)
安全风险:人为或自然的威胁选用信息系统用其管理体系中存在的脆弱性导致安全事件用其对组织造成的影响R={A,T,V}
安全措施:?
安全需求:?
剩余风险:实施安全措施后,仍存在的安全风险
安全事件:威胁选用脆弱性产生的危害情况
5基本过程(书P25)
(1)评估准备:风险评估目标;确定评估范围;组建评估管理与实施团队;进行系统调研;确定评估依据,方法;揣摩评估方案;获得管理者支持
(2)评价资产的三个安全属性:保密,完整,可用
资产价值=资产在安全属性上的达成程度+未达成时所造成的影响(不等于经济价值)
方法:识别并构造资产列表
(3)威胁识别与评估(书P29):主要任务:各别产生威胁的原因;确认威胁的目标;评估威胁发生的可能性;威胁发生造成的后果或潜在影响
方法:识别并构造资产威胁列表
威胁收集方式:问卷调查,人员访谈,现场考察,查看日志,安全事件报告
可能性因素:资产价值,资产转为报酬的容易程度,威胁实施的技术会计师或脆弱性被选用的难易程度
(4)脆弱性识别与评估
(5)已有安全措施的识别(P33)预防性/保护性措施、
(6)风险分析:可能性+影响
风险值=R(A,T,V)=R[L(T,V),F(Ia,Va)]
常用风险评估方法:A,矩阵法B 相乘法C 威胁分级法
6应用模式(书P23):基线风险评估,评细风险评估,综合风险评估,基于IS生命风险评估