陕西省财政系统信息安全培训课件.ppt

1、单击此处编辑母版标题样式单击此处编辑母版副标题样式10/3/20221陕西省财政系统信息安全培训内容提纲 国家信息安全产业概述 财政行业安全发展情况 信息安全 信息安全管理内容提纲 国家信息安全产业概述 财政行业安全发展情况 信息安全 信息安全管理国家信息安全产业概述 我国信息化安全产业大致可以划分三个发展阶段：第一阶段：1995年以前，以通信保密和依照TCSEC的计算机安全标准开展计算机的安全工作，其主要的服务对象是政府保密机构和军事机构。主要从事这方面的工作的是一些科研机构和军事机构 第二阶段：在原有基础上，1995年开始，一批从事信息化安全企业的诞生为标志的创业发展阶段，主要从事计算机与

2、互联网的网络安全。从1999年起，将信息安全的工作重点逐步转移到银行与电信信息化安全建设上。2000年我国第一个行业性质的银行计算机系统安全技术规范出台，为我国信息化安全建设奠定了基础和树立了示范。这个时期主要提供的是隔离、防护、检测、监控、过滤等中心的局域网安全服务技术与产品，其主要面对病毒、黑客和非法入侵等威胁。到2001年，一时间全国成立近千家从事信息化安全的企业。第三阶段：以2002年成立中国信息产业商会信息安全产业分会为标志的有序发展阶段。这个阶段不仅从事互联网的信息与网络安全，而且开始对国家基础设施信息化安全开展工作，产生了许多自有知识产权的信息与网络安全产品。2002年法论功对我

3、国广电和信息基础设施的攻击，从反面促使了我国信息安全产业的发展。与此同时，我国电子政务、银行、证券、保险、电信、电力、铁路、交通、民航、海关、税收、工商、公安、安全、保密、机要和军队都相应开展了信息化安全建设，信息化安全建设已经在信息化全方位领域中进行，信息化安全得到了普遍的重视。在这个阶段，有大批的信息安全企业创立，同时也有大批的信息安全企业倒闭或者改做其他，一些优秀企业更加强大，企业资产得到了较大增加。与此同时，一些国内重要的IT企业或许多上市公司开始积极介入信息安全产业，推动了信息安全产业规模扩大。这个时期的技术与产品逐步走向产品芯片化、客户化、平台化和高技术化，并促进了信息安全管理平台

4、的研究与开发。信息化安全的品牌和知识产权的工作得到更多的重视和加强。在企业的呼吁下，相关部门的推动下，我国信息安全产业出台了中国信息安全产业反不正当公约，为建立“遵纪守法、诚信自律、公平竞争和共同监督”的市场秩序，奠定了基础。目前，信息安全产业正在进入新的发展时期目前，信息安全产业正在进入新的发展时期这个时期表现在对十年来信息化安全建设进行总结与分析，树立信息化安全新认识，并在此基础上奠定信息化安全的新起点，从而开辟信息化安全的新领域，积极培养新的发展增长点将发挥重要作用。这个时期主要受到未来信息化安全自主保障、监管、应急和威慑体系建设巨大需求的牵引而逐步展开的，积极推动以多代理技术、标签技术

5、、无第三方认证技术、监管技术、对抗技术等适合于大范围网络环境、针对超海量数据对象和满足高智能应用与管理的新型技术与产品研发工作的开展上。推出了可信网络平台（TNP）、可信应用平台（TAP）和可信计算平台（TCP）的新型市场理念上。内容提纲 国家信息安全产业概述 财政行业安全发展情况 信息安全 信息安全管理财政行业安全发展情况 财政监管现代化系统是保持国家财政稳定、规避和化解财政风险以及确保财政信息化安全发挥效益的最重要的建设。财政行业安全发展情况目前实施的“金财工程”（也称之为国家财政管理信息系统，英文缩写为GFMIS）是财政部领导根据党中央国务院对财政部要求的指挥、决策和管理政府财政系统体系

6、。GFMIS是利用先进的信息技术，支持以预算编制、国库集中收付和宏观经济预测为核心应用的政府财政管理信息综合系统，覆盖各级政府财政管理部门和财政资金使用部门，全面支持部门预算管理、国库单一账户集中收付、宏观经济预测和办公自动化等方面的应用需求。为了支撑部门预算管理和国库集中收付制度改革，按照建立我国公共财政系统框架的总体要求，建设先进的政府财政管理信息系统，有利于预算管理的规范化，提高国库资金的使用效率，提高政府财政管理决策的科学性，增大财政管理的透明度，有利于加强廉政建设。GFMIS系统体系结构依然属于传统联机事务处理（OLTP）和联机分析处理（OLAP）可视化管理信息系统。财政行业安全发展

7、情况 GFMIS安全威胁包括敌对国家和国内外组织、敌对犯罪分子以及黑客的攻击，造成政府财政管理信息的泄露、篡改和删节，造成政府财政管理信息需要使用时不可用等。GFMIS实施了信息保障技术框架防护措施。在信息化安全建设方面做了较多的考虑，但是由于信息化安全的观念依然是建立在“数据与系统（软硬件、网络等）安全保障”之上，整个信息化安全理念依然是在上世纪90年代中期发展起来的局域网安全观念。对于网络与系统的虚拟世界的“行为与内容的监管”和“大范围的网络环境的安全问题”基本上没有考虑。金财工程的风险观念和安全问题应当进行调整，在新起点和新高度上，进行补充总体规划。实现可信网络平台（TNP）建设。内容提

8、纲 国家信息安全产业概述 财政行业安全发展情况 信息安全 信息安全管理信息安全什么是信息安全信息安全的目标信息安全的内容信息资产的安全属性为什么需要信息安全如何建立安全需求评估安全风险选择控制措施信息安全起点关键的成功因素风险评估和处理术语和定义信息安全-什么是信息安全 信息安全是通过实施一组合适的控制措施而达到的，包括策略、过程、规程、组织结构以及软件和硬件功能。在需要时需建立、实施、监视、评审和改进这些控制措施，以确保满足该组织的特定安全和业务目标。这个过程应与其他业务管理过程联合进行。信息安全-信息安全的目标 信息安全是保护信息免受各种威胁的损害，以确保业务连续性，业务风险最小化，投资回

9、报和商业机遇最大化。信息安全-信息安全的目标 信息安全是保证信息的一系列安全属性从而达到对组织业务盈利能力的支撑作用；这个目标是通过一系列的控制措施来实现的，这些措施应该覆盖信息安全相关的各个方面，包括信息、信息处理措施、信息处理者和衍生出来的信息的安全利用。信息安全-信息安全的内容 信息传输的安全 信息存储的安全 信息内容的审计信息安全-信息安全的内容 鉴别 鉴别：对网络中的主体进行验证的过程。鉴别主体身份的方法：A主体的口令、密钥等B主体携带的智能卡和令牌卡等C只有该主体具有的独一无二的特征和能力：指纹、声音、视网膜、签名等信息安全-信息安全的内容 信息传输的安全 数据传输安全系统A.数据

10、传输加密技术该技术的目的是对传输中的数据流加密，以防止通信线路上的窃听、泄露、篡改和破坏等不良操作；实现方式：链路加密，位于OSI网络层以下的加密；节点加密，端到端加密，传输前对文件加密，位于OSI网络层以上的加密。信息安全-信息安全的内容 信息传输的安全 A.1链路加密 侧重通信链路而不考虑信源和信宿，是对保密信息通过各链路采用不同的加密密钥提供安全保护。此加密是面向节点的，对于网络高层的主体是透明的，对高层的协议信息（地址、检错、帧头、帧尾）都加密，中间节点必须解密得到明文信息。信息安全-信息安全的内容 信息传输的安全 A.2端到端加密 信息由发送端自动加密，并进入TCP/IP数据包封装，

11、进入不可阅读和不可识别的数据的数据在网络上传输；这些信息一旦到达目的地，将自动重组、解密，成为明文可读数据。端到端加密是面向网络高层主体的，它不对下层协议进行加密，协议信息可以以明文形式传输，用户数据在中间节点不需解密。信息安全-信息安全的内容 信息传输的安全 B数据完整性鉴别 传统的动态传输的信息，许多协议确保信息完整性的方法大多是收错重传、丢弃后续包的办法，但黑客的攻击可以改变信息包内部的内容，需采取有效的措施进行数据完整性的控制。信息安全-信息安全的内容信息 信息传输的安全 数据完整性鉴别的方法：1、报文鉴别2、校验和3、加密校验和4、消息完整性编码MIC（Message Integri

12、ty Code）信息安全-信息安全的内容信息 信息传输的安全5、防抵赖技术 包括对源和目的地双方的证明，常用的方法是数字签名。数字签名采用一定的数据交换协议，使得通信双方能够满足两个条件：接收方能够鉴别发送方所宣称的身份；发送方以后不能否认他发送过数据这一事实，反之亦然。其他防抵赖的途径：采用可信的第三方的权标、使用时间戳、采用在线的第三方、数字签名与时间戳相结合等。信息安全-信息安全的内容信息存储的安全 数据存储安全系统 在信息系统中存储的信息主要包括纯粹的数据信息和各种功能文件信息两大类。纯粹的数据信息，以数据库信息的保护最为典型；各种功能文件的保护，终端安全很重要。其他：纸质的各种文件，

13、移动存储的数据信息等等。信息安全-信息安全的内容信息存储的安全 A数据库安全a.1物理方面：数据能够免于物理方面的破坏（电、火灾等）a.2逻辑方面：能够保持数据库的结构，如对一个字段的修改不至于影响其他字段a.3元素方面：包括在每个元素中的数据是准确的a.4数据的加密：数据库内容的安全性a.5用户鉴别：确保每个用户被正确识别,避免非法用户入侵a.6可获得性：指用户一般可访问数据库和所授权访问的数据a.7可审计性：能够跟踪到谁访问过数据库,做过什么,操作成功与否信息安全-信息安全的内容信息存储的安全 B终端安全b.1基于口令或(密码)算法的身份认证,防止非法使用机器b.2自主和强制存取控制,防止

14、非法访问文件b.3多级权限管理,防止越权操作b.4存储设备的安全,防止非法软/硬盘拷贝和启动b.6数据和程序代码机密存储,防止信息被窃b.7预防病毒b.8审计跟踪,便于追查事故信息安全-信息安全的内容信息内容的审计 信息内容的审计 实时对进出网络的信息进行内容审计,以防止或追查可能的泄密行为和非法信息 进行内容审计的前提条件:必须对网上流动的数据包进行内容还原,然后再根据设定的条件,如关键字进行内容管理信息安全-信息安全的内容信息内容的审计 内容审计管理的重点技术解密信息插入主要是对各类应用协议进行内容还原信息安全-信息安全的内容信息内容的审计 信息内容审计的过程1.网络数据的捕获技术 方法:

15、网络监听,透明网关,网络代理等2.协议还原技术 网络协议还原：在高效传输的网络过程中包含了大量的协议，需要从有效信息中剔出协议数据。内容审计领域主要分析的协议有：HTTP、FTP、SMTP、POP3、TELNET、IM信息安全-信息安全的内容信息内容的审计3.内容分析技术过滤技术是针对网上不良信息进行阻断的技术。从实现的方法上来看信息过滤技术有两类：旁路阻断存储转发阻断信息安全-信息安全的内容信息内容的审计旁路阻断 采用旁路侦听的手段来获取网络上的数据包，然后在进行协议还原，根据内容进行阻断。优缺点：不影响网络访问速度，对用户来说没有特殊的设置要求。比较适合TCP应用的封堵，如网页访问等。对于

16、特殊的应用如邮件应用，彻底阻断有一定的苦难。信息安全-信息安全的内容信息内容的审计存储转发阻断 就是通常所说的通过代理网关或透明网关来实现对网络数据的控制。优缺点：可以根据审定条件对存储转发的多种协议进行过滤，可以实现对邮件（SMTP、POP3协议）应用的过滤。网络访问有延迟，控制策略越复杂延迟越大，对于时间较为敏感的应用影响较大，可能会影响稳定性，有些时候需要更改终端用户的配置，带来使用上的不方便信息安全-信息安全的内容信息内容的审计 简单总结 旁路阻断和存储转发阻断在实际应用中各有侧重，需要根据不同的需求采用不同的模式。信息安全-信息安全的内容信息内容的审计 在过滤内容的判断上，目前主要有

17、以下技术1.基于URL的站点过滤技术(关键在于过滤列表的收集和维护)2.基于内容关键字的过滤技术(成功应用的产品不多,人工智能+语义分析)3.基于URL内容关键字的过滤技术(域名+过滤列表)4.基于图像识别技术的过滤(实验室研究阶段)信息安全-信息资产的安全属性 保密性:信息不能被为授权的个人、实体或者过程利用或知悉的特性 完整性：保护信息资产的准确和完整的特性 可用行：根据授权实体的要求可访问和利用的特性 真实性：保证主体或资源确系其所声称的身份的特性 可核查性：确保实体行为能被有效跟踪的特性 可靠性：与预想的行为和结果相一致的特性信息安全-信息资产的安全属性 保密性、完整性和可用性是信息最

18、重要的3个安全属性，国际上称之为信息安全金三角：保密性完整性可用性安全安全信息安全属性信息安全-信息资产的安全属性 按照计算机信息系统安全产品分类的层次关系，将信息系统划分为4个层次：数据业务系统软件平台硬件平台4个层次的资产的3个基本属性的要求是不同的信息安全-信息资产的安全属性 保密性图示硬件平台硬件平台软件平台软件平台业务业务系统系统数据数据保密性递增保密性递增数据被破坏，数据被破坏，不一定导致不一定导致业务系统的业务系统的保密性被破保密性被破坏，显然，坏，显然，这样对信息这样对信息安全活动是安全活动是有利的。有利的。信息安全-信息资产的安全属性 可用性图示硬件平台硬件平台软件平台软件平

19、台业务业务系统系统数据数据可用性递增可用性递增可用性，硬件平台是可用性，硬件平台是最高的，硬件的可用最高的，硬件的可用性风险会向数据传递，性风险会向数据传递，如果硬件平台不可用如果硬件平台不可用会导致数据不可用，会导致数据不可用，在进行信息安全的活在进行信息安全的活动的时候，应注意如动的时候，应注意如何来阻断形如可用性何来阻断形如可用性的这种安全属性导致的这种安全属性导致的风险传递的风险传递信息安全-为什么需要信息安全 象其他重要业务资产一样，信息也是对组织业务至关重要的一种资产，因此需要加以适当地保护。在业务环境互连日益增加的情况下这一点显得尤为重要。这种互连性的增加导致信息暴露于日益增多的

20、、范围越来越广的威胁和脆弱性当中信息安全-为什么需要信息安全 信息可以以多种形式存在。它可以打印或写在纸上、以电子方式存储、用邮寄或电子手段传送、呈现在胶片上或用语言表达。无论信息以什么形式存在，用哪种方法存储或共享，都应对它进行适当地保护。信息安全-为什么需要信息安全 信息及其支持过程、系统和网络都是重要的业务资产。定义、实现、保持和改进信息安全对保持竞争优势、现金周转、赢利、守法和商业形象可能是至关重要的。各组织及其信息系统和网络面临来自各个方面的安全威胁，包括计算机辅助欺诈、间谍活动、恶意破坏、毁坏行为、火灾或洪水。诸如恶意代码、计算机黑客捣乱和拒绝服务攻击等导致破坏的安全威胁，已经变得

21、更加普遍、更有野心和日益复杂。信息安全-为什么需要信息安全 信息安全对于公共和专用两部分的业务以及保护关键基础设施是非常重要的。在这两部分中信息安全都将作为一个使动者，例如实现电子政务或电子商务，避免或减少相关风险。公共网络和专用网络的互连、信息资源的共享都增加了实现访问控制的难度。分布式计算的趋势也削弱了集中的、专门控制的有效性。信息安全-为什么需要信息安全 许多信息系统并没有被设计成是安全的。通过技术手段可获得的安全性是有限的，应该通过适当的管理和规程给予支持。确定哪些控制措施要实施到位需要仔细规划并注意细节。信息安全管理至少需要该组织内的所有员工参与，还可能要求利益相关人、供应商、第三方

22、、顾客或其他外部团体的参与。外部组织的专家建议可能也是需要的。信息安全-如何建立安全需求 来源1.考虑组织整体业务战略和目标的情况下，评估该组织的风险所获得的。通过风险评估，识别资产受到的威胁，评价易受威胁利用的脆弱性和威胁发生的可能性，估计潜在的影响。信息安全-如何建立安全需求 来源2.组织、贸易伙伴、合同方和服务提供者必须满足的法律、法规、规章和合同要求，以及他们的社会文化环境。信息安全-如何建立安全需求 来源3.组织开发的支持其运行的信息处理的原则、目标和业务要求的特定集合。信息安全-评估安全风险 安全要求是通过对安全风险的系统评估予以识别的。用于控制措施的支出需要针对可能由安全故障导致

23、的业务损害加以平衡。风险评估的结果将帮助指导和决定适当的管理行动、管理信息安全风险的优先级以及实现所选择的用以防范这些风险的控制措施。信息安全-评估安全风险 风险评估应定期进行，以应对可能影响风险评估结果的任何变化。信息安全-选择控制措施 一旦安全要求和风险已被识别并已作出风险处理决定，则应选择并实现合适的控制措施，以确保风险降低到可接受的级别。控制措施可以从国内外标准或其他控制措施集合中选择，或者当合适时设计新的控制措施以满足特定需求。安全控制措施的选择依赖于组织所作出的决定，该决定是基于组织所应用的风险接受准则、风险处理选项和通用的风险管理方法，同时还要遵守所有相关的国家和国际法律法规。信

24、息安全-信息安全起点 许多控制措施被认为是实现信息安全的良好起点。它们或者是基于重要的法律要求，或者被认为是信息安全的常用惯例。基于法律要求的控制措施:a)数据保护和个人信息的隐私 b)保护组织的记录 c)知识产权信息安全-信息安全起点 常用惯例的控制措施 a)信息安全方针文件；b)信息安全职责的分配；c)信息安全意识、教育和培训；d)应用中的正确处理；e)技术脆弱性管理；f)业务连续性管理；g)信息安全事件和改进管理。信息安全-信息安全起点 注意:虽然基于国内外的标准,所有控制措施都是重要的并且是应被考虑的，但是应根据组织所面临的特定风险来确定任何一种控制措施是否是合适的。因此，虽然上述方法

25、被认为是一种良好的起点，但它并不能取代基于风险评估而选择的控制措施。信息安全-关键的成功因素a)反映业务目标的信息安全方针、目标以及活动；b)和组织文化保持一致的实现、保持、监视和改进信息安全的方法和框架；c)来自所有级别管理者的可视化的支持和承诺；d)正确理解信息安全要求、风险评估和风险管理；e)向所有管理人员、员工和其它方传达有效的信息安全知识以使他们具备安全意识；f)向所有管理人员、员工和其它方分发关于信息安全方针和标准的指导意见；g)提供资金以支持信息安全管理活动；h)提供适当的意识、培训和教育；i)建立一个有效的信息安全事件管理过程；j)实现一个测量 系统，它可用来评价信息安全管理的

26、执行情况和反馈的改进建议。信息安全-风险评估和处理评估安全风险 评估安全风险 a)风险评估应对照风险接受准则和组织相关目标，识别、量化并区分风险的优先次序。b)风险评估的结果应指导并确定适当的管理措施及其优先级，以管理信息安全风险和实施为防范这些风险而选择的控制措施。评估风险和选择控制措施的过程可能需要执行多次，以覆盖组织的不同部门或各个信息系统。c)风险评估应包括估计风险大小的系统方法（风险分析），和将估计的风险与给定的风险准则加以比较，以确定风险严重性的过程（风险评价）。信息安全-风险评估和处理评估安全风险 d)风险评估还应定期进行，以应对安全要求和风险情形的变化，例如资产、威胁、脆弱性、

27、影响，风险评价；当发生重大变化时也应进行风险评估。风险评估应使用一种能够产生可比较和可再现结果的系统化的方式。e)为使信息安全风险评估有效，它应有一个清晰定义的范围。如果合适，应包括与其他领域风险评估的关系。f)如果可行、实际和有帮助，风险评估的范围既可以是整个组织、组织的一部分、单个信息系统、特定的系统部件，也可以是服务。信息安全-风险评估和处理处理安全风险 在考虑风险处理前，组织应确定风险是否能被接受的准则。如果经评估显示，风险较低或处理成本对于组织来说不划算，则风险可被接受。这些决定应加以记录。对于风险评估所识别的每一个风险，必须作出风险处理决定。可能的风险处理选项包括：a)应用适当的控

28、制措施以降低风险；b)只要它们满足组织的方针和风险接受准则，则要有意识的、客观的接受该风险；c)通过禁止可能导致风险发生的行为来避免风险；d)适当地将相关风险转移到其他方，例如，保险或供应商。信息安全-风险评估和处理处理安全风险 对风险处理决定中要采用适当的控制措施的那些风险来说，应选择和实施这些控制措施以满足风险评估所识别的要求。控制措施应确保在考虑以下因素的情况下，将风险降低到可接受级别：a)国家和国际法律法规的要求和约束；b)组织的目标；c)运行要求和约束；d)降低风险相关的实施和运行的成本，并使之与组织的要求和约束保持相称；e)平衡控制措施实施和运行的投资与安全失误可能导致的损害的需要

29、。信息安全-风险评估和处理处理安全风险 控制措施可以从国内外标准或其他控制集合中选择，或者设计新的控制措施以满足组织的特定需求。认识到有些控制措施并不是对每一种信息系统或环境都适用，并且不是对所有组织都可行，这一点非常重要。信息安全控制措施应在系统和项目需求说明书和设计阶段予以考虑。做不到这一点可能导致额外的成本和低效率的解决方案，最坏的情况下可能达不到足够的安全。信息安全-风险评估和处理处理安全风险 应该牢记，没有一个控制措施集合能实现绝对的安全，为支持组织的目标，应实施额外的管理措施来监视、评价和改进安全控制措施的效率和有效性。信息安全术语和定义 资产 asset 对组织有价值的任何东西

30、控制措施 control-防护措施或对策的同义词 管理风险的方法，包括策略、规程、指南、惯例或组织结构。它们可以是行政、技术、管理、法律等方面的。指南 guideline 阐明应做什么和怎么做以达到方针策略中制定的目标的描述信息安全术语和定义 信息处理设施 information processing facilities 任何信息处理系统、服务或基础设施，或放置它们的场所 信息安全 information security 保持信息的保密性，完整性，可用性；另外也可包括诸如真实性，可核查性，不可否认性和可靠性等信息安全术语和定义 信息安全事态 information security eve

31、nt 信息安全事态是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或是和安全关联的一个先前未知的状态 方针 policy 管理者正式发布的总的宗旨和方向信息安全术语和定义 信息安全事件 information security incident 一个信息安全事件由单个的或一系列的有害或意外信息安全事态组成，它们具有损害业务运作和威胁信息安全的极大的可能性 风险 risk 事态的概率及其结果的组合信息安全术语和定义 风险分析 risk analysis 系统地使用信息来识别风险来源和估计风险 风险评估 risk assessment 风险分析和风险评价

32、的整个过程 风险评价 risk evaluation 将估计的风险与给定的风险准则加以比较以确定风险严重性的信息安全术语和定义 风险管理 risk management 指导和控制一个组织相关风险的协调活动 风险管理一般包括风险评估、风险处理、风险接受和风险沟通 风险处理 risk treatment 选择并且执行措施来更改风险的过程信息安全术语和定义 第三方 third party 就所涉及的问题被公认为是独立于有关各方的个人或机构 威胁 threat 可能导致对系统或组织的损害的不期望事件发生的潜在 脆弱性 vulnerability 可能会被一个或多个威胁所利用的资产或一组资产的弱点信息

33、安全术语和定义 可用性 availability 根据授权实体的要求可访问和利用的特性 保密性confidentiality 信息不能被未授权的个人，实体或者过程利用或知悉的特性 信息安全information security 保证信息的保密性，完整性，可用性；另外也可包括诸如真实性，可核查性，不可否认性和可靠性等特性信息安全术语和定义 完整性integrity 保护资产的准确和完整的特性 残余风险 residual risk 经过风险处理后遗留的风险 风险接受risk acceptance 接受风险的决定 风险分析risk analysis 系统地使用信息来识别风险来源和估计风险信息安全术

34、语和定义 风险评估risk assessment 风险分析和风险评价的整个过程 风险评价risk evaluation 将估计的风险与给定的风险准则加以比较以确定风险严重性的过程 风险管理risk management 指导和控制一个组织相关风险的协调活动信息安全术语和定义 风险处理risk treatment措施 选择并且执行措施来更改风险的过程 适用性声明statement of applicability 描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文档。注：控制目标和控制措施基于风险评估和风险处理过程的结果和结论、法律法规的要求、合同义务以及组织对于信息安全的业务要求

35、。Q&A内容提纲 国家信息安全产业概述 财政行业安全发展情况 信息安全 信息安全管理信息安全管理 管理 管理体系 信息安全管理体系 安全管理 控制目标和控制措施信息安全管理-管理 管理是一系列活动,这些活动通过利用一些资源(人力、资金、原材料等)完成既定的目标，但这个过程不是靠自己就能达到目标的，而必须通过他人一起来完成。信息安全管理-管理 管理的职能一般如下：a)计划 PLANb)组织 organizec)领导 commandd)协调 coordinatee)掌控 control信息安全管理-管理体系 管理体系 体系 system:相互关联或相互作用的一组要素。管理体系是组织用来保证其完成任

36、务，实现目标的过程集的框架，管理体系既建立方针和目标实现这些目标的体系。一个组织的管理体系可以包含若干个不同的管理体系，如质量管理体系、财务管理体系等信息安全管理-管理体系 典型的管理体系 要求 要求被满足 管理体系的持续改进管理职责产品实现资源管理分析改进信息安全管理-管理体系 国内的管理结构：国家质量监督检验检疫总局国家认证认可监督管理委员会国家标准化管理委员会中国合格评定国家认可委员会中国认证认可协会信息安全管理信息安全管理体系 信息安全管理体系Informations Security Management System，简称ISMS：是整个管理体系的一部分。它是基于业务风险的方法，来

37、建立、实施、运行、监视、评审、保持和改进信息安全的。ISMS的概念已经跳出了传统的“为了安全信息而信息安全”的理解，它强调的是基于业务风险方法来组织信息安全活动，其本身只是整个管理体系的一部分。这就要求我们站在全局的观点看待信息安全问题。信息安全管理信息安全管理体系 在ISMS中遵循PDCA模型 PDCA（Plan-Do-Check-Action）过程模式作为建立、实施信息安全管理体系并持续改进其有效性的方法。PDCA被BS7799在2002年9月引入，被ISO 9001、ISO 14001等国际管理体系标准广泛采用，是保证管理体系持续改进的有效模式。信息安全管理信息安全管理体系 BS 779

38、9是国际上具有代表性的信息安全管理体系标准，依据BS 7799建立信息安全管理体系时，过程方法鼓励其用户强调下列内容的重要性：1、理解组织的信息安全要求，以及为信息安全建立方针和目标的需求；2、在管理组织整体业务风险背景下实施和运行控制；3、监控并评审信息安全管理体系的业绩和有效性；4、在目标测量的基础上持续改进。信息安全管理信息安全管理体系 PDCA过程模式 策划：依照组织整个方针和目标，建立与控制风险、提高信息安全有关的安全方针、目标、指标、过程和程序。实施：实施和运作方针（过程和程序）。检查：依据方针、目标和实际经验测量，评估过程业绩，并向决策者报告结果。措施：采取纠正和预防措施进一步提

39、高过程业绩信息安全管理信息安全管理体系 PDCA“计划-实施-检查-措施”四个步骤可以应用于所有过程。四个步骤成为一个闭环，通过这个环的不断运转，使信息安全管理体系得到持续改进，使信息安全绩效(performance)不断上升。信息安全管理信息安全管理体系 PDCA过程模式图 信息安全管理信息安全管理体系 ISMS参考模型建立建立ISMS实施和运行实施和运行ISMS监控和评审监控和评审ISMS维护和改进维护和改进ISMS开发、维护和改进周期PlanDoCheckAct经过管理的信息安全有关方面信息安全的要求和期望有关方面信息安全管理信息安全管理体系 PDCA循环将一个过程抽象为策划、实施、检查

40、、措施四个阶段，每个阶段都有阶段任务和目标 信息安全管理信息安全管理体系 四个阶段为一个循环，通过这样一个持续的循环，使过程的目标业绩持续改进 信息安全管理信息安全管理体系P过程 建立和管理ISMS。一、建立ISMSP过程a)根据业务、组织、位置、资产和技术等方面的特性，确定ISMS的范围和边界，包括对范围任何删减的详细说明和正当性理由。信息安全管理信息安全管理体系P过程b)根据业务、组织、位置、资产和技术等方面的特性，确定ISMS方针。ISMS方针应：1)包括设定目标的框架和建立信息安全工作的总方向和原则；2)考虑业务和法律法规的要求，及合同中的安全义务；3)在组织的战略性风险管理环境下，建

41、立和保持ISMS；4)建立风险评价的准则；5)获得管理者批准。信息安全管理信息安全管理体系P过程c)确定组织的风险评估方法 1）识别适合ISMS、已识别的业务信息安全和法律法规要求的风险评估方法。2）制定接受风险的准则，识别可接受的风险级别。d)识别风险 1)识别ISMS范围内的资产及其责任人；2)识别资产所面临的威胁；3)识别可能被威胁利用的脆弱点；4)识别丧失保密性、完整性和可用性可能对资产造成的影响。信息安全管理信息安全管理体系P过程e)分析和评价风险1)在考虑丧失资产的保密性、完整性和可用性所造成的后果的情况下，评估安全失误可能造成的对组织的影响。2)评估由主要威胁和脆弱点导致安全失误

42、的现实可能性、对资产的影响以及当前所实施的控制措施。3)估计风险的级别。4)确定风险是否可接受，或者是否需要使用在c)2)中所建立的接受风险的准则进行处理。信息安全管理信息安全管理体系P过程f)识别和评价风险处理的可选措施可能的措施包括：1)采用适当的控制措施；2)在明显满足组织方针策略和接受风险的准则的条件下，有意识地、客观地接受风险c)2)；3)避免风险；4)将相关业务风险转移到其他方，如：保险，供应商等。信息安全管理信息安全管理体系P过程g)为处理风险选择控制目标和控制措施控制目标和控制措施应加以选择和实施，以满足风险评估和风险处理过程中所识别的要求。这种选择应考虑接受风险的准则（c）2

43、）以及法律法规和合同要求。信息安全管理信息安全管理体系 建立ISMSP过程总结 1确定范围和方针2、定义风险评估的系统性方法 3、识别风险 4、评估风险 5、识别并评价风险处理的方法 6、为风险的处理选择控制目标与控制方式 7、获得最高管理者的授权批准信息安全管理信息安全管理体系D过程 4.2.2实施和运行ISMSD过程a)为管理信息安全风险识别适当的管理措施、资源、职责和优先顺序，即：制定风险处理计划。b)实施风险处理计划以达到已识别的控制目标，包括资金安排、角色和职责的分配。c)实施p过程g）中所选择的控制措施，以满足控制目标。d)确定如何测量所选择的控制措施或控制措施集的有效性，并指明如

44、何用来评估控制措施的有效性，以产生可比较的和可再现的结果（见C过程c)）。注：测量控制措施的有效性可使管理者和员工确定控制措施达到既定的控制目标的程度。信息安全管理信息安全管理体系D过程e)实施培训和意识教育计划f)组织应通过以下方式，确保所有分配有ISMS职责的人员具有执行所要求任务的能力：g)e.1)确定从事影响ISMS工作的人员所必要的能力；h)e.2)提供培训或采取其他措施（如聘用有能力的人员）以满足这些需求；i)e.3)评价所采取的措施的有效性；j)e.4)保持教育、培训、技能、经历和资格的记录。k)记录应建立并加以保持，以提供符合ISMS要求和有效运行的证据。l)记录应加以保护和控

45、制。m)ISMS的记录应考虑相关法律法规要求和合同义务。n)记录应保持清晰、易于识别和检索。o)记录的标识、贮存、保护、检索、保存期限和处置所需的控制措施应形成文件并实施p)组织也要确保所有相关人员意识到其信息安全活动的适当性和重要性，以及如何为达到ISMS目标做出贡献。信息安全管理信息安全管理体系D过程f)管理ISMS的运行。g)管理ISMS的资源。h)组织应确定并提供所需的资源，以：i)g.1)建立、实施、运行、监视、评审、保持和改进ISMS；j)g.2)确保信息安全程序支持业务要求；k)g.3)识别和满足法律法规要求、以及合同中的安全义务；l)g.4)通过正确实施所有的控制措施保持适当的

46、安全；m)g.5)必要时，进行评审，并适当响应评审的结果；n)g.6)在需要时，改进ISMS的有效性。h)实施能够迅速检测安全事态和响应安全事件的程序和其他控制措施（见C过程a）。信息安全管理信息安全管理体系D过程 4.2.2实施和运行ISM-D过程总结见实施文档安全管理中的动态安全防护 PDCA.DOC中PDCA应用D（实施）实施并运行信息安全管理体系部分内容信息安全管理信息安全管理体系C过程 监视和评审ISMSC过程a)执行监视与评审程序和其它控制措施，以：a.1)迅速检测过程运行结果中的错误；a.2)迅速识别试图的和得逞的安全违规和事件；a.3)使管理者能够确定分配给人员的安全活动或通过

47、信息技术实施的安全活动是否被如期执行；a.4)通过使用指示器，帮助检测安全事态并预防安全事件；a.5)确定解决安全违规的措施是否有效。信息安全管理信息安全管理体系C过程b)在考虑安全审核结果、事件、有效性测量结果、所有相关方的建议和反馈的基础上，进行ISMS有效性的定期评审（包括满足ISMS方针和目标，以及安全控制措施的评审）。c)测量控制措施的有效性以验证安全要求是否被满足。信息安全管理信息安全管理体系C过程d)按照计划的时间间隔进行风险评估的评审，以及对残余风险和已确定的可接受的风险级别进行评审，应考虑以下方面的变化：1)组织；2)技术；3)业务目标和过程；4)已识别的威胁；5)已实施的控

48、制措施的有效性；6)外部事态，如法律法规环境的变更、合同义务的变更和社会环境的变更。信息安全管理信息安全管理体系C过程e)按计划的时间间隔，实施ISMS内部审核f)组织应按照计划的时间间隔进行内部ISMS审核，以确定其ISMS的控制目标、控制措施、过程和程序是否：g)e.1)符合本标准和相关法律法规的要求；h)e.2)符合已确定的信息安全要求；i)e.3)得到有效地实施和保持；j)e.4)按预期执行。注：内部审核，有时称为第一方审核，是用于内部目的，由组织自己或以组织的名义所进行的审核。信息安全管理信息安全管理体系C过程f)定期进行ISMS管理评审，以确保ISMS范围保持充分，ISMS过程的改

49、进得到识别。g)管理者应按计划的时间间隔（至少每年1次）评审组织的ISMS，以确保其持续的适宜性、充分性和有效性。评审应包括评估ISMS改进的机会和变更的需要，包括信息安全方针和信息安全目标。评审的结果应清晰地形成文件，记录应加以保持。信息安全管理信息安全管理体系C过程g)考虑监视和评审活动的结果，以更新安全计划。h)记录可能影响ISMS的有效性或执行情况的措施和事态。信息安全管理信息安全管理体系C过程 监视和评审ISMSC过程总结 检查阶段，又叫学习阶段，是PDCA循环的关键阶段，是信息安全管理体系要分析运行效果，寻求改进机会的阶段。如果发现一个控制措施不合理、不充分，就要采取纠正措施，以防

50、止信息系统处于不可接受风险状态。组织应该通过多种方式检查信息安全管理体系是否运行良好，并对其业绩进行监视。信息安全管理信息安全管理体系A过程 保持和改进ISMSA过程组织应经常：a)实施已识别的ISMS改进措施。b)采取合适的纠正和预防措施。从其它组织和组织自身的安全经验中吸取教训。c)向所有相关方沟通措施和改进情况，其详细程度应与环境相适应，需要时，商定如何进行。d)确保改进达到了预期目标。信息安全管理信息安全管理体系A过程 保持和改进ISMS-A过程总结见实施文档安全管理中的动态安全防护 PDCA.DOC中PDCA应用A（措施）改进信息安全管理体系部分内容安全管理 安全管理主要是以技术为基