第八章信息安全管理.ppt

第八章信息安全管理 第八章信息安全管理 8 1組織基礎架構8 2管理要素和管理模型8 3身份管理8 4人員和物理環(huán)境安全 8 1組織基礎架構 信息系統(tǒng)生命期安全管理問題安全管理貫穿于信息系統(tǒng)生命周期的各個階段 開發(fā) development 包括需求分析 系統(tǒng)設計 組織設計和集成 制造 manufacturing 包括試制和批量生產 驗證 verification 包括對設計的論證 試驗 審查和分析 包括仿真 非正式的演示 全面的開發(fā)測試和評估 以及產品的驗收測試 部署 deployment 包括對系統(tǒng)及其組件的配備 分布和放置 運行 operation 包括對系統(tǒng)及其組件的操作以及系統(tǒng)的運轉 支持和培訓 supportandtraining 包括對系統(tǒng)及其組件的維護 對操作 使用等的了解和指導 處置 disposal 包括報廢處理等 8 1組織基礎架構 信息系統(tǒng)生命期安全管理問題安全管理在信息系統(tǒng)整個生命期的各個階段中的實施內容包括 制定策略 利用安全服務為組織提供管理 保護和分配信息系統(tǒng)資源的準則和指令 資產分類保護 幫助組織識別資產類別并采取措施進行適當?shù)谋Ｗo 人事管理 減少人為錯誤 盜竊 欺詐或設施誤用所產生的風險 物理和環(huán)境安全 防止非授權的訪問 損壞和干擾通信媒體和機房 及其附屬建筑設施 以及信息泄露 通信與運營管理 確保信息處理設施的正確和安全運營 訪問控制 按照策略控制對信息資源的訪問 系統(tǒng)開發(fā)和維護 確保將安全服務功能構建到信息系統(tǒng)中 業(yè)務連續(xù)性管理 制止中斷業(yè)務的活動以及保護關鍵的業(yè)務過程不受大的故障或災害影響 并具有災難備份和快速恢復的能力 遵從 保持與信息安全有關的法律 法規(guī) 政策或合同規(guī)定的一致性 承擔相應的責任 8 1組織基礎架構 信息安全中的分級保護問題信息系統(tǒng)保護的目標信息系統(tǒng)安全的保護目標與所屬組織的安全利益是完全一致的 具體體現(xiàn)為對信息的保護和對系統(tǒng)的保護 信息保護是使所屬組織有直接使用價值 用于交換服務或共享目的 的信息和系統(tǒng)運行中有關 用于系統(tǒng)管理和運行控制目的 的信息的機密性 完整性 可用性和可控性不會受到非授權的訪問 修改和破壞 系統(tǒng)保護則是使所屬組織用于維持運行和履行職能的信息技術系統(tǒng)的可靠性 完整性和可用性不受到非授權的修改和破壞 系統(tǒng)保護的功能有兩個 一是為信息保護提供支持 二是對信息技術系統(tǒng)自身進行保護 信息系統(tǒng)分級保護對信息和信息系統(tǒng)進行分級保護是體現(xiàn)統(tǒng)籌規(guī)劃 積極防范 重點突出的信息安全保護原則的重大措施 最有效和科學的方法是在維護安全 健康 有序的網(wǎng)絡運行環(huán)境的同時 以分級分類的方式確保信息和信息系統(tǒng)安全既符合政策規(guī)范 又滿足實際需求 8 1組織基礎架構 計算機信息系統(tǒng)的安全保護等級gb17859 1999 計算機信息系統(tǒng)安全保護等級劃分準則 是我國計算機信息系統(tǒng)安全保護等級系列標準的基礎 是進行計算機信息系統(tǒng)安全等級保護制度建設的基礎性標準 也是信息安全評估和管理的重要基礎 此標準將計算機信息系統(tǒng)安全保護從低到高劃分為5個等級 即用戶自主保護級 系統(tǒng)審計保護級 安全標記保護級 結構化保護級和訪問驗證保護級 高級別安全要求是低級別安全要求的超集 計算機信息系統(tǒng)安全保護能力隨著安全保護等級的增高逐漸增強 8 1組織基礎架構 基于通用準則的安全等級gb t18336中定義的7個評估保證級為 評估保證級1 eal1 功能測試 評估保證級2 eal2 結構測試 評估保證級3 eal3 系統(tǒng)地測試和檢查 評估保證級4 eal4 系統(tǒng)地設計 測試和復查 評估保證級5 eal5 半形式化設計和測試 評估保證級6 eal6 半形式化驗證的設計和測試 評估保證級7 eal7 形式化驗證的設計和測試 8 1組織基礎架構 信息安全管理的基本內容信息系統(tǒng)的安全管理涉及與信息系統(tǒng)有關的安全管理以及信息系統(tǒng)管理的安全兩個方面 這兩方面的管理又分為技術性管理和法律性管理兩類 其中技術性管理以osi安全機制和安全服務的管理以及物理環(huán)境的技術監(jiān)控為主 法律性管理以法律法規(guī)遵從性管理為主 信息安全管理本身并不完成正常的業(yè)務應用通信 但卻是支持與控制這些通信的安全所必需的手段 信息系統(tǒng)管理的安全包括信息系統(tǒng)所有管理服務協(xié)議的安全 以及信息系統(tǒng)管理信息的通信安全 它們是信息系統(tǒng)安全的重要組成部分 這一類安全管理將借助對信息系統(tǒng)安全服務與機制做適當?shù)倪x取 以確保信息系統(tǒng)管理協(xié)議與信息獲得足夠的保護 8 1組織基礎架構 信息安全管理的指導原則信息安全管理的基本原則包括 以安全保發(fā)展 在發(fā)展中求安全受保護資源的價值與保護成本平衡明確國家 企業(yè)和個人對信息安全的職責和可確認性信息安全需要積極防御和綜合防范定期評估信息系統(tǒng)的殘留風險綜合考慮社會因素對信息安全的制約信息安全管理體現(xiàn)以人為本 8 1組織基礎架構 安全管理過程信息系統(tǒng)安全管理是一個過程 用來實現(xiàn)和維持信息系統(tǒng)及其資源適當?shù)燃壍臋C密性 完整性 可用性 不可抵賴性 可確認性 真實性和可靠性等 信息系統(tǒng)安全管理包括分析系統(tǒng)資產 分析系統(tǒng)風險 分析安全需求 制定滿足安全需求的計劃 執(zhí)行這些計劃并維持和管理安全設備的安全 8 1組織基礎架構 osi管理國際標準化組織 iso 在iso iec7498 4中定義并描述了開放系統(tǒng)互連 opensysteminterconnect osi 管理的術語和概念 提出了一個osi管理的結構并描述了osi管理應有的行為 osi管理包括故障管理 計賬管理 配置管理 性能管理和安全管理等功能 這些管理功能對在osi環(huán)境中進行通信的資源進行監(jiān)視 控制和協(xié)調 8 1組織基礎架構 osi安全管理osi安全管理包括與osi有關的安全管理和osi管理的安全 osi安全管理本身不是正常的業(yè)務應用通信 但卻為支持與控制這些通信的安全所必需 osi安全管理涉及osi安全服務的管理與安全機制的管理 這種管理要求給這些安全服務和機制分配管理信息 并收集與這些服務和機制運行有關的信息 例如 密鑰分配 設置行政管理強加的安全參數(shù) 報告正常的與異常的安全事件以及安全服務的激活與停止等 安全管理并不保證在調用特定安全服務協(xié)議中傳遞與安全有關的信息 這些信息的安全由安全服務來提供 由分布式開放系統(tǒng)的行政管理強加的安全策略可以是各種各樣的 osi安全管理應該支持這些策略 osi安全管理活動可以分為4類 系統(tǒng)安全管理 安全服務管理 安全機制管理和osi管理的安全 8 1組織基礎架構 信息安全組織基礎架構信息安全管理的組織結構可以分為兩類 一類是行政管理 協(xié)調類型的機構 另一類是技術服務 應急響應和技術支持類型的管理機構 在組織內部 組織的管理者應當負責信息安全相關事務的決策 一個規(guī)范的信息安全管理體系必須明確指出 組織機構管理層應當負責相關信息安全管理體系的決策 同時 這個體系也應當能夠反映這種決策 并且在運行過程中能夠提供證據(jù)證明其有效性 所以機構組織內部的信息安全管理體系的建立項目應該由質量管理負責人或者其他負責機構內部重大職能的負責人負責主持 同時 應建立適當?shù)男畔踩芾砦瘑T會對信息安全政策進行審批 對安全權責進行分配 并協(xié)調單位內部安全的實施 如有必要 在單位內部設立特別信息安全顧問并指定相應人選 同時 要設立外部安全顧問 以便跟蹤行業(yè)走向 監(jiān)視安全標準和評估手段 并在發(fā)生安全事故時建立恰當?shù)穆?lián)絡渠道 在此方面 應鼓勵跨學科的信息安全安排 比如 在管理負責人 用戶 程序管理員 應用軟件設計師 審計人員和保安人員間開展合作和協(xié)調 或在保險和風險管理兩個學科領域間進行專業(yè)交流等 8 2管理要素與管理模型 安全目標 方針和策略一個組織的安全目標 方針和策略是有效管理組織內信息安全的基礎 它們支持組織的活動并保證安全措施間的一致性 安全目標表述的是信息系統(tǒng)安全要達到的目的 安全方針是達到這些安全目標的方法和途徑 安全策略則是達到目標所采取的規(guī)則和措施 目標 方針和策略的確定可以從組織的領導層到操作層分層次地進行 它們應該反映組織的行政管理強加給信息系統(tǒng)的安全要求 并且考慮各種來自組織內外的約束 如國家法律法規(guī) 技術規(guī)范 社會文化及意識形態(tài) 組織的企業(yè)文化等 保證在各個層次上和各個層次之間的一致性 還應該根據(jù)定期的安全性評審 如風險評估 安全評估 結果以及業(yè)務目標的變化進行更新 一個組織的安全策略只要由該組織的安全規(guī)劃和指令組成 這些安全策略必須反映更廣泛的組織策略 包括每個人的權利 合法的要求以及各種技術標準 一個信息系統(tǒng)的安全策略必須使包含在組織的安全策略之中的安全規(guī)劃和適用于該組織信息系統(tǒng)安全的指令相一致 8 2管理要素與管理模型 與安全管理相關的要素與安全管理相關的主要要素包括 資產 脆弱性 威脅 影響 風險 殘留風險 安全措施以及約束 8 2管理要素與管理模型 管理模型信息安全管理又多種模型 各種模型都是從不同角度構建的 也都有各自的優(yōu)缺點 幾種模型所提出的概念都有利于對信息安全管理的原理和實踐進行理解 歸納起來有以下幾種模型 安全要素關系模型 風險管理關系模型 基于過程的信息安全管理模型 pdca plan do check act 模型 上述概念模型和組織的業(yè)務目標一起可以形成一個組織的信息安全目標 方針和策略 信息安全的目標就是保證組織能夠安全地運行 并且將風險控制在可以接受的水平 任何安全措施都不是萬能的 即不是對任何風險都是完全有效的 因此需要規(guī)劃和實施意外事件后的恢復計劃 以及構建可將損壞程度限制在一定范圍的安全體系 8 2管理要素與管理模型 安全要素關系模型 8 2管理要素與管理模型 風險管理關系模型 8 2管理要素與管理模型 基于過程的信息安全管理模型 8 2管理要素與管理模型 pdca模型 8 2管理要素與管理模型 風險評估信息安全風險評估作是信息安全建設的起點和基礎 為建立系統(tǒng)安全體系 評價系統(tǒng)安全等級 確定安全風險決策和組織平衡安全投入提供了重要依據(jù) 成為目前急需解決的首要任務 但是 風險是客觀存在的 由于信息系統(tǒng)的復雜性 安全事件發(fā)生的不確定性以及信息技術發(fā)展的局限性 使得試圖通過消除的方式 實現(xiàn)對信息系統(tǒng)的安全保護并完全避免風險是不可能的 信息系統(tǒng)不存在卻對的安全 風險無處不在 因此 在風險管理過程中 我們在安全事件的發(fā)生和影響可控的前提下 接受風險事件的存在 最終達到通過建立相應的安全策略將風險降低可接受的范圍 信息安全風險評估是依照科學的風險管理程序和方法 充分的對組成系統(tǒng)的各部分所面臨的危險因素進行分析評價 針對系統(tǒng)存在的安全問題 根據(jù)系統(tǒng)對其自身的安需求 提出有效的安全措施 達到最大限度減少風險 降低危害和確保系統(tǒng)安全運行的目的 8 2管理要素與管理模型 風險評估 8 3身份管理 身份管理 idm identitymanagement 廣義上講應當包括用戶的認證 授權以及認證和授權之后相關信息的保存和管理 它必須靈活地支持已有的和被廣泛使用的多種身份認證機制和協(xié)議 還要支持各種不同的應用和服務平臺 身份管理的框架必須在用戶 應用平臺和網(wǎng)絡需求中尋求某種平衡 這些網(wǎng)絡需求對身份管理的設計有著深遠的影響 此外 這還為各種身份管理系統(tǒng)的互聯(lián)性提供了新的商機 身份管理所涉及的用戶身份生命周期 主要包括賬戶建立 維護和撤消3個部分 賬戶建立包括給用戶建立賬戶并分配適當?shù)募墑e以訪問完成工作所需的資源 賬戶維護包括保持用戶身份的更新 依據(jù)工作完成的需要適當調整用戶可訪問資源的級別 以及用戶更改自身身份信息時在不同系統(tǒng)之間進行修改的同步 賬戶撤消包括在用戶離開組織或公司之后 使用戶賬戶及時失效以實現(xiàn)對用戶既得資源訪問權限的回收 8 3身份管理 身份管理生命周期 8 3身份管理 itu t身份管理模型目前使用的身份管理生態(tài)系統(tǒng) 8 3身份管理 itu t身份管理模型理想的身份管理生態(tài)系統(tǒng) 8 3身份管理 身份管理的流程身份管理模型是由實體 entity 服務提供方 sp 身份提供方 idp 三個基本要素組成的 itu t提出的身份管理模型分為信任域內的通信和其在一個信任域內的身份認證管理和跨域身份認證管理 8 4人員與物理環(huán)境安全 崗位定義與資源分配安全組織應該在新員工聘用階段就提出安全責任問題并將其包括在聘用合同條款中 在員工的雇傭期間對其進行培訓和監(jiān)管 從而降低人為錯誤的風險 如盜竊 詐騙或者濫用設備和信息等 在條件允許的情況下 組織可以對員工進行充分選拔 尤其是對于從事敏感工作員工 所有雇員以及信息處理設施的第三方用戶 如產品供應商 信息安全咨詢服務商和工程隊伍等 都應該簽署并落實好保密協(xié)議 8 4人員與物理環(huán)境安全 用戶培訓組織應該開展對用戶的安全管理規(guī)程和正確使用信息處理設備的培訓 以盡量降低可靠的安全風險 確保用戶意識到對信息安全的威脅和危害關系 并且具有在日常工作中支持安全策略的能力 組織中所有員工以及相關的第三方用戶 應該接收適當?shù)男畔踩逃团嘤?以適應組織的安全策略和管理規(guī)程 這包括安全要求 法律責任和業(yè)務控制措施 還包括在被授權訪問信息或者服務之前正確使用信息處理設備的培訓 如信息系統(tǒng)登錄程序 軟硬件的使用等 8 4人員與物理環(huán)境安全 對安全事件和故障的響應影響安全的事件應該盡快通過適當?shù)墓芾砬缊蟾?