信息安全體系概述

信息安全體系概述馮真凱Page2

目錄一、信息安全體系概述信息安全面臨的風(fēng)險(xiǎn)硬件架構(gòu)：系統(tǒng)與設(shè)備數(shù)量越來(lái)越多系統(tǒng)互連關(guān)系越來(lái)越繁雜軟件架構(gòu)：統(tǒng)架構(gòu)越來(lái)越復(fù)雜網(wǎng)絡(luò)連接與劃分混亂互聯(lián)網(wǎng)接口抗攻擊性較弱工程管理：規(guī)劃期缺乏安全評(píng)審建設(shè)與工程割接缺乏安全管理遺留策略與帳號(hào)形成安全漏洞程序開(kāi)發(fā)：開(kāi)發(fā)階段缺乏安全監(jiān)管源代碼缺乏安全檢查，可能留下后門(mén)1.系統(tǒng)數(shù)量眾多，硬件架構(gòu)多樣，系統(tǒng)間交互與接口繁多，相互關(guān)系復(fù)雜；2.系統(tǒng)軟件架構(gòu)復(fù)雜，網(wǎng)絡(luò)連接與劃分較混亂，互聯(lián)網(wǎng)接口抗攻擊性較弱；3.系統(tǒng)規(guī)劃期缺乏安全評(píng)審，工程割接缺少安全管理，工程遺留策略與帳號(hào)易形成安全漏洞；4.程序開(kāi)發(fā)階段缺乏監(jiān)管，程序源代碼缺乏安全檢查，可能留下后門(mén)或被攻擊。常見(jiàn)的信息安全問(wèn)題常見(jiàn)的信息安全問(wèn)題信息安全損失的“冰山”理論信息安全直接損失只是冰由之一角，間接損失是直接損失是6－53倍間接損失包括：時(shí)間被延誤修復(fù)的成本可能造成的法律訴訟的成本組織聲譽(yù)受到的影響商業(yè)機(jī)會(huì)的損失對(duì)生產(chǎn)率的破壞$10,000$60,000－$530,0009保障信息安全的途徑？IT治理安全風(fēng)險(xiǎn)測(cè)評(píng)

信息安全管理體系強(qiáng)化安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)亡羊補(bǔ)牢?還是打打補(bǔ)丁?系統(tǒng)地全面整改?我國(guó)當(dāng)前信息安全普遍存在的問(wèn)題保護(hù)信息安全的方法如何實(shí)現(xiàn)信息安全？需要對(duì)信息安全進(jìn)行有效管理建立統(tǒng)一安全規(guī)劃體系改變以往零敲碎打、因人而起、因事而起的安全管理，形成統(tǒng)一的安全體系，指導(dǎo)安全管理和建設(shè)工作。轉(zhuǎn)變門(mén)戶網(wǎng)站防火墻升級(jí)信息防泄露DLP維護(hù)區(qū)域擴(kuò)容項(xiàng)目RSA令牌擴(kuò)容項(xiàng)目應(yīng)用漏洞掃描工具項(xiàng)目系統(tǒng)漏洞掃描工具網(wǎng)站頁(yè)面防篡改項(xiàng)目。。。。。。零敲碎打引人而起因事而起建立統(tǒng)一的安全規(guī)劃體系總體思路：以防為主，防治結(jié)合防治結(jié)合：自下而上的風(fēng)險(xiǎn)反饋以防為主：自上而下的策略管理堅(jiān)持“以防為主，防治結(jié)合”的安全工作措施，形成成熟的、立體的信息安全運(yùn)行管控體系。以防為主，即以完善的安全策略為指導(dǎo)，使安全策略能自上而下得到落實(shí)；防治結(jié)合，即以風(fēng)險(xiǎn)管理為核心，使風(fēng)險(xiǎn)能自下而上得到反饋和整治。安全管理的幾個(gè)階段當(dāng)前目標(biāo)安全管理的幾個(gè)階段信息安全體系的內(nèi)容信息安全體系的關(guān)注點(diǎn)信息安全體系的建立流程確定IT原則與安全方針確定IT原則與安全方針進(jìn)行風(fēng)險(xiǎn)評(píng)估進(jìn)行風(fēng)險(xiǎn)評(píng)估問(wèn)卷調(diào)研安全日常運(yùn)維現(xiàn)狀調(diào)研問(wèn)卷：針對(duì)組織中實(shí)際的應(yīng)用、系統(tǒng)、網(wǎng)絡(luò)狀況，從日常的管理、維護(hù)、系統(tǒng)審計(jì)、權(quán)限管理等方面全面了解組織在信息系統(tǒng)安全管理和維護(hù)上的現(xiàn)實(shí)狀況。從安全日常運(yùn)維角度出發(fā)，更貼近實(shí)際運(yùn)維環(huán)境?；€風(fēng)險(xiǎn)評(píng)估所謂基線風(fēng)險(xiǎn)評(píng)估，就是確定一個(gè)信息安全的基本底線，信息安全不僅僅是資產(chǎn)的安全，應(yīng)當(dāng)從組織、人員、物理、邏輯、開(kāi)發(fā)、業(yè)務(wù)持續(xù)等各個(gè)方面來(lái)確定一個(gè)基本的要求，在此基礎(chǔ)之上，再選擇信息資產(chǎn)進(jìn)行詳細(xì)風(fēng)險(xiǎn)分析，這樣才能在兼顧信息安全風(fēng)險(xiǎn)的方方面面的同時(shí)，對(duì)重點(diǎn)信息安全風(fēng)險(xiǎn)進(jìn)行管理與控制。ISO27001確立了組織機(jī)構(gòu)內(nèi)啟動(dòng)、實(shí)施、維護(hù)和改進(jìn)信息安全管理的指導(dǎo)方針和通用原則，以規(guī)范組織機(jī)構(gòu)信息安全管理建設(shè)的內(nèi)容，因此，風(fēng)險(xiǎn)評(píng)估時(shí)，可以把ISO27001作為安全基線，與組織當(dāng)前的信息安全現(xiàn)狀進(jìn)行比對(duì)，發(fā)現(xiàn)組織存在的差距，這樣一方面操作較方便，更重要的是不會(huì)有遺漏信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估針對(duì)重要的信息資產(chǎn)進(jìn)行安全影響、威脅、漏洞及可能性分析，從而估計(jì)對(duì)業(yè)務(wù)產(chǎn)生的影響，最終可以選擇適當(dāng)?shù)姆椒▽?duì)風(fēng)險(xiǎn)進(jìn)行有效管理。資產(chǎn)定義及估值確定現(xiàn)有控制威脅評(píng)估確定風(fēng)險(xiǎn)水平風(fēng)險(xiǎn)評(píng)估過(guò)程脆弱性評(píng)估安全控制措施的識(shí)別與選擇降低風(fēng)險(xiǎn)風(fēng)險(xiǎn)管理過(guò)程接受風(fēng)險(xiǎn)IT流程風(fēng)險(xiǎn)評(píng)估信息安全不僅僅要看IT資產(chǎn)本身是否安全可靠，而且還應(yīng)當(dāng)在其所運(yùn)行的環(huán)境和經(jīng)歷的流程中保證安全。沒(méi)有可靠的IT流程的保證，靜態(tài)的安全是不可靠的，而且IT的風(fēng)險(xiǎn)也不僅僅是信息安全的問(wèn)題，IT的效率與效果也同樣是需要考慮的問(wèn)題，因此評(píng)估IT流程的績(jī)效特性并加以完善是風(fēng)險(xiǎn)控制中必不可少的內(nèi)容。確定風(fēng)險(xiǎn)控制策略信息安全控制規(guī)劃選擇安全控制措施防止商業(yè)活動(dòng)中斷和災(zāi)難事故的影響。業(yè)務(wù)持續(xù)性管理信息安全事件管理保證系統(tǒng)開(kāi)發(fā)與維護(hù)的安全系統(tǒng)開(kāi)發(fā)與維護(hù)控制對(duì)業(yè)務(wù)信息的訪問(wèn)。訪問(wèn)控制保證通訊和操作設(shè)備的正確和安全維護(hù)。通信與運(yùn)營(yíng)管理防止對(duì)關(guān)于IT服務(wù)的未經(jīng)許可的介入，損傷和干擾服務(wù)。物理與環(huán)境安全減少人為造成的風(fēng)險(xiǎn)。人員安全維護(hù)組織資產(chǎn)的適當(dāng)保護(hù)系統(tǒng)。資產(chǎn)管理建立組織內(nèi)的管理體系以便安全管理。安全組織為信息安全提供管理方向和支持。安全方針目的ISO27001十一個(gè)域避免任何違反法令、法規(guī)、合同約定及其他安全要求的行為。符合性確保與信息系統(tǒng)有關(guān)的安全事件和弱點(diǎn)的溝通能夠及時(shí)采取糾正措施序號(hào)項(xiàng)目?jī)?nèi)容緊迫性可實(shí)施性難易程度效果分析綜合分析1安全體系建設(shè)2安全策略管理3安全組織管理4安全運(yùn)行管理5物理安全管理6網(wǎng)絡(luò)訪問(wèn)控制7認(rèn)證與授權(quán)8監(jiān)控與審計(jì)9系統(tǒng)管理10響應(yīng)和恢復(fù)11信息安全12系統(tǒng)開(kāi)發(fā)管理13物理安全14……安全規(guī)劃方法二、信息安全組織體系安全組織架構(gòu)決策層為業(yè)務(wù)安全的決策機(jī)構(gòu)，為業(yè)務(wù)安全工作保駕護(hù)航；信息安全組織架構(gòu)信息安全體系的內(nèi)容組織體系：整個(gè)公司層面的安全管理組織，要從上到下貫穿到底體現(xiàn)三權(quán)分立的原則實(shí)施安全教育計(jì)劃要制定各種不同范圍、不同層次的安全教育計(jì)劃。完備的安全教育計(jì)劃可以提高員工的安全意識(shí)與技能，改變他們對(duì)待安全事件的態(tài)度，使他們具有一定的安全保護(hù)技能，以更好地保護(hù)組織的信息資產(chǎn)。好的安全教育計(jì)劃應(yīng)該讓員工知道組織的信息安全面臨的威脅及信息安全事件帶來(lái)的后果，使員工切身感覺(jué)到安全事件與自己息息相關(guān)。營(yíng)造組織信息安全文化信息安全文化從屬于組織文化，倡導(dǎo)良好的組織信息安全文化就是要在組織中形成團(tuán)隊(duì)共同的態(tài)度、認(rèn)識(shí)和價(jià)值觀，形成規(guī)范的思維和行為模式，最終轉(zhuǎn)化為行動(dòng)，實(shí)現(xiàn)組織信息安全目標(biāo)。人的這種對(duì)安全價(jià)值的認(rèn)識(shí)以及使自己的一舉一動(dòng)符合安全的行為規(guī)范的表現(xiàn)，正是所謂的“安全修養(yǎng)”。如果一個(gè)組織建立起濃厚的安全文化環(huán)境，不論決策層、管理層還是一般員工，都會(huì)在安全文化的約束下規(guī)范自己的行為，安全文化就像一支看不見(jiàn)的手，凡是不安全的行為都會(huì)被這支手拉回到安全操作的軌道上來(lái)。三、信息安全管理體系ISMS“木桶”由哪些“板”組成？類似于質(zhì)量管理體系的ISO9000標(biāo)準(zhǔn)，ISMS也有相應(yīng)的國(guó)際標(biāo)準(zhǔn)ISO27001，它確定了ISMS的11個(gè)安全領(lǐng)域及133個(gè)相應(yīng)的控制措施。ISO17799及ISO27001的內(nèi)容ISO17799:2005

信息安全管理實(shí)施規(guī)范，主要是給負(fù)責(zé)開(kāi)發(fā)的人員作為參考文檔使用，從而在組織中實(shí)施和維護(hù)信息安全；ISO27001:2005

信息安全管理體系規(guī)范，詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理系統(tǒng)的要求，指出實(shí)施組織需要通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)鑒定最適宜的控制對(duì)象，并對(duì)自己的需求采取適當(dāng)?shù)目刂?。獲得BS7799和ISO27001認(rèn)證的組織ISMS建設(shè)過(guò)程：建立ISMS首先要建立一個(gè)合理的信息安全管理框架，要從整體和全局的視角，從信息系統(tǒng)的所有層面進(jìn)行整體安全建設(shè)從信息系統(tǒng)本身出發(fā)，通過(guò)建立資產(chǎn)清單，進(jìn)行風(fēng)險(xiǎn)分析和需求分析和選擇安全控制等步驟，建立安全體系并提出安全解決方案。體系運(yùn)行體系審核管理評(píng)審體系認(rèn)證第七步第八步第九步第十步運(yùn)行說(shuō)明內(nèi)審報(bào)告外審報(bào)告認(rèn)證證書(shū)信息安全體系的內(nèi)容管理體系：安全方針、策略文件，程序文件、操作指導(dǎo)書(shū)、記錄表格等。安全防護(hù)系統(tǒng)應(yīng)用支撐系統(tǒng)安全運(yùn)維管理系統(tǒng)縱深防御架構(gòu)可信網(wǎng)和不可信網(wǎng)要物理層隔斷，網(wǎng)絡(luò)邏輯連接要割斷，應(yīng)用數(shù)據(jù)要凈化，不可信網(wǎng)絡(luò)上的計(jì)算機(jī)不能直接到達(dá)可信網(wǎng)絡(luò)。使用“應(yīng)用分層、服務(wù)分區(qū)、安全分級(jí)”的思路，指導(dǎo)網(wǎng)絡(luò)結(jié)構(gòu)化建設(shè)，根據(jù)應(yīng)用類型、物理位置、邏輯位置等的不同，劃分不同的網(wǎng)絡(luò)安全區(qū)域和邊界。IATF安全域安全基礎(chǔ)設(shè)施用戶CA系統(tǒng)AA系統(tǒng)數(shù)據(jù)庫(kù)服務(wù)訪問(wèn)他是誰(shuí)？有什么權(quán)限？認(rèn)證系統(tǒng)授權(quán)系統(tǒng)用戶認(rèn)證證書(shū)用戶權(quán)限證書(shū)設(shè)備認(rèn)證證書(shū)設(shè)備認(rèn)證證書(shū)軟件認(rèn)證證書(shū)PKI與PMI的應(yīng)用：安全認(rèn)證與授權(quán)安全防護(hù)系統(tǒng)省級(jí)局域網(wǎng)上級(jí)接口下級(jí)接口橫向接口互聯(lián)網(wǎng)接口加密機(jī)：保護(hù)離開(kāi)局域網(wǎng)的信息安全，同時(shí)防止非法接入。入侵檢測(cè)：發(fā)現(xiàn)非法入侵行為。防病毒網(wǎng)關(guān)：防止外部病毒入侵。防非法外聯(lián)：堵住非法網(wǎng)絡(luò)接口。系統(tǒng)加固：設(shè)置運(yùn)行環(huán)境的最后一道防線。（網(wǎng)絡(luò)及主機(jī)操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用平臺(tái)的加固）安全邊界網(wǎng)絡(luò)行為審計(jì)：加強(qiáng)網(wǎng)絡(luò)安全管理，追查安全事件。構(gòu)造網(wǎng)絡(luò)安全邊界構(gòu)造網(wǎng)絡(luò)安全邊界入侵檢測(cè)組織中心備份中心二級(jí)部門(mén)三級(jí)部門(mén)四級(jí)部門(mén)線路密碼機(jī)防病毒網(wǎng)關(guān)防非法外聯(lián)網(wǎng)絡(luò)行為審計(jì)操作系統(tǒng)加固高安全區(qū)域安全防護(hù)系統(tǒng)的層次安全防護(hù)系統(tǒng)的層次由于普通用戶缺乏應(yīng)有的網(wǎng)絡(luò)安全常識(shí)，通過(guò)瀏覽隱藏惡意代碼的網(wǎng)站，下載有木馬的軟件到內(nèi)部網(wǎng)運(yùn)行，打開(kāi)郵件中不明來(lái)歷的附件等給組織的內(nèi)部網(wǎng)絡(luò)帶來(lái)的極大的危害，終端用戶觸發(fā)產(chǎn)生的安全事件逐漸成為企業(yè)IT安全問(wèn)題的主要原因。終端安全控制終端安全控制應(yīng)用支撐系統(tǒng)應(yīng)用支撐系統(tǒng)應(yīng)用系統(tǒng)常見(jiàn)安全方案業(yè)務(wù)系統(tǒng)本身必須能夠準(zhǔn)確地識(shí)別使用者的真實(shí)身份，防止與業(yè)務(wù)無(wú)關(guān)的人員非法使用系統(tǒng)。解決方案:使用統(tǒng)一的身份認(rèn)證證書(shū)業(yè)務(wù)系統(tǒng)本身必須能夠?qū)ψ约旱馁Y源進(jìn)行控制，能夠動(dòng)態(tài)地分配權(quán)限，控制使用者的操作行為，防止越崗位操作或越權(quán)限操作。解決方案:基于角色的訪問(wèn)控制業(yè)務(wù)系統(tǒng)本身必須能夠?qū)?shù)據(jù)或文件進(jìn)行保護(hù)，防止由于數(shù)據(jù)的安全得不到保證而失去業(yè)務(wù)系統(tǒng)本身的可用性。解決方案:基于密碼業(yè)務(wù)系統(tǒng)本身必須能夠?qū)Σ僮髡咝袨檫M(jìn)行跟蹤、記錄、統(tǒng)計(jì)和審計(jì)，及時(shí)發(fā)現(xiàn)工作中出現(xiàn)的問(wèn)題，使系統(tǒng)可管理，事件可追查。解決方案:日志與安全事件審計(jì)在電子商務(wù)或電子政務(wù)環(huán)境下，需要利用身份證書(shū)對(duì)主要核心業(yè)務(wù)與交易的憑證進(jìn)行數(shù)字簽名，以保證重要對(duì)已完成的業(yè)務(wù)與交易的無(wú)否定性。解決方案:基于數(shù)字簽名安全運(yùn)維系統(tǒng)五、信息安全執(zhí)行體系日常安全執(zhí)行內(nèi)容多個(gè)PDCA循環(huán)安全日常運(yùn)作過(guò)程就是一個(gè)大的PDCA循環(huán)風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)分析PDCA循環(huán)文件體系的建立與維護(hù)PDCA循環(huán)……對(duì)安全的檢查與審計(jì)對(duì)安全的檢查與審計(jì)審計(jì)的步驟信息安全在每次檢查審計(jì)前，由管理層任命適當(dāng)資質(zhì)的合適人選組成審計(jì)小組，審計(jì)小組由2名或以上人員組成，包括但不限于稽核審計(jì)部的內(nèi)審員，并由管理層指定內(nèi)審