1、信息安全管理标准及规范2022-6-31提 纲 一 信息安全管理体系 二 信息安全标准化分类及体系 三 信息安全管理国际国内标准 四 信息安全管理案例分析2022-6-32一、信息安全管理体系2022-6-33信息面临安全威胁2022-6-34拒绝服务逻辑炸弹黑客渗透内部人员威胁木马后门病毒和蠕虫社会工程系统Bug硬件故障网络通信故障供电中断失火雷雨地震信息安全2022-6-35信息窃取信息传递信息冒充信息篡改信息抵赖加密技术完整性技术认证技术数字签名保障信息安全的三大支柱n信息安全保障是一个复杂的系统工程,需要多管齐下,综合治理。三大支柱:n信息安全技术n信息安全法律法规n信息安全标准202
2、2-6-36信息安全的关键技术2022-6-37信息安全法律法规 从法律层面规范人们的行为,使信息安全工作有法可依,使相关违法犯罪得到处罚,促使组织和个人依法制作、发布、传播和使用信息2022-6-38信息安全标准 目的是为信息安全产品的制造、安全的信息系统的构建、企业或组织安全策略的制定、安全管理体系的构建以及安全工作评估等提供统一的科学依据2022-6-39信息安全管理 三分技术、七分管理 木桶原理 二八原则2022-6-310安全是个过程 安全存在于过程(高层管理者必须明白:信息安全不是一蹴而就的) 安全不仅仅是一个产品,它是一个汇集了硬件、软件、网络、人以及他们之间相互关系和接口的系统
3、。 安全最主要的问题不是安全技术、安全工具或者是安全产品上的缺乏,而是单位负责人、网络管理人员和用户对安全知识的忽视。2022-6-311安全层次体系结构2022-6-312防火墙安全网关VPN反病毒风险评估入侵检测审计分析用户/组管理单机登录身份认证访问控制授权加密存储备份安全产品类型2022-6-313 密钥管理产品高性能加密芯片产品密码加密产品数字 签名产品安全授权认证产品信息保密产品数字证书管理系统用户安全认证卡智能IC卡鉴别与授权服务器安全平台/系统安全操作系统安全数据库系统Web安全平台安全路由器与虚拟专用网络产品网络病毒检查预防和清除产品安全检测与监控产品网络安全隐患扫描检测工具
4、网络安全监控及预警设备网络信息远程监控系统网络舆情分析系统信息安全管理体系ISMS 信息安全管理体系是保障组织信息安全的一套管理体系,专门负责组织信息资产的风险管理、确保组织的信息安全 涉及到人员、技术和操作三个层面2022-6-314 培训 意识培养 物理安全 人事安全 系统安全管理 纵深防御技术领域 安全标准 IT 采购 风险评估 认证和认可 评估 监视 入侵检测 警告 响应 恢复信息安全管理体系模型2022-6-315形成规范化文档Step1:Step1:定义信定义信息安全息安全策略策略Step2:Step2:定义定义ISMSISMS实实施范围施范围Step3:Step3:进行风进行风险
5、评估险评估Step4:Step4:风险管风险管理理Step5:Step5:选择控选择控制目标制目标和控制和控制措施措施Step6:Step6:准备适准备适用申明用申明信息资源结论选择控制策略控制目标纲领性的统筹规划对信息安全的总体目标、要求和规范的说明。例如:u符合法律规定和合同要求;u信息安全岗位及职责;u安全教育的需求;u业务连续性管理;u病毒和其它恶意软件的阻止及检测;u违反安全管理策略的后果。信息安全管理的实施范围:u资产清单的编写;u资产的分类;u信息的分类、标记和处理;u物理和环境的安全评估信息系统中存在的安全隐患:u资产价值量化及评估u资产中的潜在威胁及可能性评估;u资产脆弱性评
6、估;u已有安全措施评估确定、控制和降低或消除潜在安全风险,需考虑因素:u技术和成本的约束;u事务和操作的需要;uIT安全框架和基础设施 信息安全风险评估 信息安全风险识别与评估应考虑的因素:信息资产的脆弱性信息资产的威胁及其发生的可能性信息资产的价值已有安全措施2022-6-3162022-6-317信息安全风险评估流程2022-6-318信息安全风险评估流程 为了明确被保护的信息资产,组织应列出与信息安全有关的资产清单,对每一项资产进行确认和适当的评估。 为了防止资产被忽略或遗漏,在识别资产之前应确定风险评估范围。所有在评估范围之内的资产都应该被识别,因此要列出对组织或组织的特定部门的业务过
7、程有价值的任何事物,以便根据组织的业务流程来识别信息资产。2022-6-319 信息安全风险识别与评估(一)2022-6-320故意破坏(网络攻击、恶意代码传播、邮件炸弹、非授权访问等)和无意失误(如误操作、维护错误)人员威胁12系统威胁环境威胁34自然威胁识别产生威胁的原因 信息安全风险识别与评估(二)2022-6-321系统、网络或服务的故障(软件故障、硬件故障、介质老化等)电源故障、污染、液体泄漏、火灾等洪水、地震、台风、滑坡、雷电等2022-6-322威 胁 识 别与 评 估 的主要任务威胁发生造成的后果或潜在影响评估威胁发生的可能性2022-6-323 仅有威胁还构不成风险。由于组织
8、缺乏充分的安全控制,组织需要保护的信息资产或系统存在着可能被威胁所利用的弱点,即脆弱性。威胁只有利用了特定的脆弱性或者弱点,才可能对资产造成影响。2022-6-324 信息安全风险识别与评估(三)p脆弱性是资产本身存在的,威胁总是要利用资产的脆弱性才能造成危害。p资产的脆弱性具有隐蔽性,有些脆弱性只有在一定条件和环境下才能显现。p脆弱性识别可以资产为核心,即根据每个资产分别识别其存在的弱点,然后综合评价该资产的脆弱性;也可分物理、网络、系统、应用等层次进行识别。2022-6-3252022-6-326系统、程序和设备中存在的漏洞或缺陷,如结构设计问题和编程漏洞等技术脆弱性12操作脆弱性管理脆弱
9、性3软件和系统在配置、操作及使用中的缺陷,包括人员日常工作中的不良习惯、审计或备份的缺乏等策略、程序和规章制度等方面的弱点。脆弱性的分类评估脆弱性需要考虑的因素 脆弱性的严重程度(Severity); 脆弱性的暴露程度(Exposure),即被威胁利用的可能性P, 这两个因素可采用分级赋值的方法。 例如对于脆弱性被威胁利用的可能性可以分级为:非常可能= 4,很可能= 3,可能= 2,不太可能= 1,不可能= 0。2022-6-3272022-6-328 信息安全风险识别与评估(四) 在影响威胁事件发生的外部条件中,除了资产的弱点,再就是组织现有的安全控制措施。 在风险评估过程中,应当识别已有的
10、(或已计划的)安全控制措施,分析安全控制措施的效力,有效的安全控制继续保持,而对于那些不适当的控制应当核查是否应被取消,或者用更合适的控制代替。2022-6-3292022-6-330对系统开发、维护和使用实施管理的措施,包括安全策略、程序管理、风险管理、安全保障和系统生命周期管理等管理性安全控制12操作性安全控制技术性安全控制3用来保护系统和应用操作的流程和机制,包括人员职责、应急响应、事件处理,安全意识培训、系统支持和操作、物理和环境安全等身份识别与认证、访问控制、日志审计和加密等安全控制方式的分类(依据目标和针对性分类)2022-6-331 信息安全风险识别与评估(五) 风险评价就是利用
11、适当的风险测量方法或工具确定风险的大小与等级,对组织信息安全管理范围内的每一信息资产因遭受泄露、修改、不可用和破坏所带来的任何影响做出一个风险测量的列表,以便识别与选择适当和正确的安全控制方式。2022-6-332威胁发生的可威胁发生的可能性能性PT低低 0中中 1高高 2脆弱性被利用脆弱性被利用的可能性的可能性PV低低 0中中 1高高 2低低 0中中 1高高 2低低 0中中 1高高 2资资产产相相对对价价值值V00121232341123234345223434545633454565674456567678332022-6-3 该方法利用威胁发生的可能性、脆弱性被威胁利用的可能性及资产的相
12、对价值三者预定义的三维矩阵来确定风险的大小。2+1+2=52022-6-334 信息安全风险识别与评估(六) 信息安全风险评估人员通过以上评估得到了不同信息资产的风险等级,他们在这一步骤中根据风险等级和其他评估结论,结合被评估组织当前信息安全防护措施的状况,为被评估组织提供加强信息安全防护的建议。二、信息安全标准化分类及体系2022-6-336标准分类 国家标准:对需要在全国范围内统一的技术要求(含标准样品的制作)。GB/T XXXX.X-200X GB XXXX-200X 行业标准:没有国家标准,需要在全国某个行业范围内统一的技术要求。GA ,SJ 地方标准:没有国家标准 、行业标准而又需要
13、在省、自治区、直辖市范围内统一的工业产品的安全、卫生要求。 DBXX/T XXX-200X DBXX/XXX-200X 企业标准:对企业范围内需要统一的技术要求、管理要求和工作要求。QXXX-XXX-200X2022-6-337标准的三要素(对象、内容和级别)2022-6-338国际级区域级国家级行业级地方级企业级人员服务系统产品过程管理应用技术机制体系、框架术语XYZX轴代表标准化对象,Y轴代表标准化的内容,Z轴代表标准化的级别。 我国标准工作归口单位 2001年10月11日成立国家标准化委员会-信息技术标准委员会 全国信息安全标准化技术委员会(简称信息安全标委会,TC260)于2002年4
14、月15日在北京正式成立,是在信息安全技术专业领域内从事信息安全标准化工作的技术工作组织。 2022-6-339信息安全标委会工作组设置 信息安全标准体系与协调工作组(WG1) 涉密信息系统安全保密标准工作组(WG2) 密码技术标准工作组(WG3) 鉴别与授权标准工作组(WG4) 信息安全评估标准工作组(WG5) 通信安全标准工作组(WG6) 信息安全管理标准工作组(WG7) 大数据安全特别工作组( SWG-BDS ) 2022-6-3402022-6-341信息安全标准体系基础标准技术与机制管理标准测评标准密码标准保密标准通信安全标准安全术语体系结构模型框架标识鉴别授权电子签名实体管理物理安全
15、管理基础ISMS管理支撑技术信息安全服务管理个人信息保护测评基础产品测评系统测评能力评估通信基础通信安全技术通信设备安全测评通信管理与服务信息安全标准体系 信息安全技术与机制类标准主要包括标识、鉴别、授权、电子签名等领域的标准。具体诸如实体鉴别、抗抵赖、消息鉴别码、带附录的数字签名、PKI、电子签名等。 信息安全管理类标准主要包括信息安全管理概念和模型、信息安全管理体系(ISMS)、信息安全服务管理、个人信息保护管理以及安全管理支撑等领域的标准。 信息安全评估类标准主要包括测评基础、信息安全产品测评、信息系统安全测评,以及有关测评机构及服务能力评估等标准。 其他标准。主要包括术语、可信计算、保
16、密、密码、通信安全相关标准。2022-6-342三、ISO 27001国际标准及国标GB/T 22080-20162022-6-343国内标准 2005年6月15日,我国发布了国家标准信息安全管理实用规则(GB/T 19716-2005)。该标准修改采用了ISO/IEC 17799:2000标准。 2008年6月19日, GB/T 19716-2005作废,改为GB/T 22080-2008/ISO/IEC 27001:2005 。 2016年8月29日,国家标准委批准发布了ISO 27001:2013版对应的国家标准GB/T 22080-2016(信息技术-安全技术-信息安全管理体系-要求)
17、。2022-6-344 BS7799信息安全管理标准BS7799 是英国标准协会(British Standards Institute,BSI)针对信息安全管理而制定的一个标准。1995 年,BS7799-1:1995信息安全管理实施细则首次出版,它提供了一套综合性的、由信息安全最佳惯例构成的实施细则,目的是为确定各类信息系统通用控制提供唯一的参考基准。1998 年,BS7799-2:1998信息安全管理体系规范公布,这是对BS7799-1 的有效补充,它规定了信息安全管理体系的要求和对信息安全控制的要求,是一个组织信息安全管理体系评估的基础,可以作为认证的依据。1999 年4 月,BS77
18、99 的两个部分被重新修订和扩展,形成了一个完整版的BS7799:1999。新版本充分考虑了信息处理技术应用的最新发展,特别是在网络和通信领域。除了涵盖以前版本所有内容之外,新版本还补充了很多新的控制,包括电子商务、移动计算、远程工作等。2022-6-345ISO/IEC 270012002 年,BSI 对BS7799:2-1999 进行了重新修订,正式引入PDCA 过程模型,2004 年9 月5 日,BS7799-2:2002 正式发布。2005年,BS7799-2:2002 终于被ISO 组织所采纳,于同年10 月推出了ISO/IEC 27001:2005。2022-6-346注:ISO2
19、7001是信息安全领域的管理体系标准,类似于质量管理体系认证的 ISO9000标准。当您的组织通过了ISO27001的认证,表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障。ISMS(信息安全管理系统)建设2022-6-347lISO/IEC 27001主要讲的是ISMS(信息安全管理系统)。l 本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系(Informatio n S ec u r i t y Management System,简称ISMS)提供模型。采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受其需求和目标、安全要求、所
20、采用的过程以及组织的规模和结构的影响,上述因素及其支持系统会不断发生变化。按照组织的需求实施ISMS,是本标准所期望的。 本标准可被内部和外部相关方用于一致性评估。ISO27001:2005标准内容二、组织安全(Organizing Information Security)一、安全方针(Security Policy)三、资产管理(Asset Management)六、通信与操作管理( Communications and Operations Management)五、物理及环境安全(Physical and Environmental Security )四、人员安全(Human Res
21、ource Security)八、信息系统获得、开发和维护(Information System Acquisition,Development and Maintenance)九、信息安全事件管理( Information Security Incident Management)十、业务连续性管理(Business Continuity Management)十一、符合性(Compliance)七、访问控制(Access Control)2022-6-348ISO 27001:2013标准的结构变化2022-6-349ISO 27001:2005版ISO 27001:2013版ISO 27
22、001:2013控制域的变化2022-6-350ISO 27001:2005标准包括11 个控制领域和133 项控制措施ISO 27001:2013标准包括14个控制领域和113 项控制措施实施ISO 27001信息安全管理体系的方法PDCA模型2022-6-351实施所选的安全控制措施Action纠正Check检查Do执行Plan计划 针对检查结果采取应对措施,改进安全状况 依据策略、程序、标准和法律法规,对安全措施的实施情况进行符合性检查根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施lPDCA(Plan、Do、Check 和Act)是管理学惯用的一个过程模型,
23、最早是由休哈特(WalterShewhart)于19 世纪30 年代构想的,后来被戴明(Edwards Deming)采纳、宣传并运用于持续改善产品质量的过程当中。PDCA特点2022-6-352l 大环套小环,小环保大环,推动大循环 nPDCA循环作为质量管理的基本方法,不仅适用于整个工程项目,也适应于整个企业和企业内的科室、工段、班组以至个人。各级部门根据企业的方针目标,都有自己的PDCA循环,层层循环,形成大环套小环,小环里面又套更小的环。大环是小环的母体和依据,小环是大环的分解和保证。各级部门的小环都围绕着企业的总目标朝着同一方向转动。通过循环把企业上下或工程项目的各项工作有机地联系起
24、来,彼此协同,互相促进。PDCA特点(续)2022-6-353l 不断前进、不断提高 n PDCA循环就像爬楼梯一样,一个循环运转结束,生产的质量就会提高一步,然后再制定下一个循环,再运转、再提高,不断前进,不断提高,是一个螺旋式上升的过程。PDCA质量水平螺旋上升的PDCAPDCA和ISMS的结合2022-6-354ISO27001:2013标准正文内容简介2022-6-355ISO27001 信息安全管理体系建设内容2022-6-356l总要求 一个组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的ISMS。就本标准而言,使用的过程基于下图所示的PD
25、CA模型。l 建立和管理ISMSp建立ISMS(PLAN)n定义ISMS 的范围n定义ISMS 策略n定义系统的风险评估途径n识别风险n评估风险n识别并评价风险处理措施n选择用于风险处理的控制目标n准备适用性声明(SoA)n取得管理层对残留风险的承认,并授权实施和操作ISMSPDCAISO27001 信息安全管理体系建设(续)2022-6-357p实施和运行ISMS(DO)n制定风险处理计划n实施风险处理计划n实施所选的控制措施以满足控制目标n实施培训和意识程序n管理操作n管理资源n实施能够激发安全事件检测和响应的程序和控制PDCAISO27001 信息安全管理体系建设(续)2022-6-35
26、8p 监控和评审ISMS(CHECK)n执行监视程序和控制n对ISMS 的效力进行定期复审n复审残留风险和可接受风险的水平n按照预定计划进行内部ISMS 审计n定期对ISMS 进行管理复审n记录活动和事件可能对ISMS 的效力或执行力度造成影响PDCAISO27001 信息安全管理体系建设(续)2022-6-359p 保持和改进ISMS(ACT)n对ISMS 实施可识别的改进n采取恰当的纠正和预防措施n与所有利益伙伴沟通n确保改进成果满足其预期目标PDCAISO27001 信息安全管理体系建设(续)2022-6-360p 文件要求n总则n文件控制n记录控制 ISO27001 标准所要求建立的I
27、SMS 是一个文件化的体系,ISO27001 认证第一阶段就是进行文件审核,文件是否完整、足够、有效,都关乎审核的成败,所以,在整个ISO27001认证项目实施过程中,逐步建立并完善文件体系非常重要。ISO27001 信息安全管理体系建设(续)2022-6-361lISO27001 标准要求的ISMS 文件体系应该是一个层次化的体系,由四个层次构成:l信息安全手册:该手册由信息安全委员会负责制定和修改,是对信息安全管理体系框架的整体描述,以此表明确定范围内ISMS 是按照ISO27001 标准要求建立并运行的。信息安全手册包含各个一级文件。l一级文件:全组织范围内的信息安全方针,以及下属各个方
28、面的策略方针等。一级文件至少包括(可能不限于此):p信息安全方针p风险评估报告p适用性声明(SoA)l二级文件:各类程序文件。至少包括(可能不限于此):p风险评估流程风险管理流程风险处理计划 管理评审程序p信息设备管理程序信息安全组织建设规定新设施管理程序内部审核程序p第三方和外包管理规定信息资产管理规定工作环境安全管理规定介质处理与安全规定p系统开发与维护程序业务连续性管理程序法律符合性管理规定信息系统安全审计规定p文件及材料控制程序安全事件处理流程l三级文件:具体的作业指导书。描述了某项任务具体的操作步骤和方法,是对各个程序文件所规定的领域内工作的细化。l四级文件:各种记录文件,包括实施各
29、项流程的记录成果。四、信息安全管理案例分析2022-6-362武汉某银行信息安全管理体系2022-6-363系统安全物理安全ISO安全管理安全机制入侵监控状态检测安全服务运行环境及系统安全技术ISO安全技术审计技术机制密钥管理安全策略及服务技术管理技术体系机构岗位人事制度培训法律管理体系组织机构体系信息安全体系框架信息安全管理层次模型2022-6-364安全机制和服务系统安全信息安全安全基础平台保密性保护完整性保护访问控制认证与授权应急处理备份与恢复病毒防杀检测与监控安全审计应用层面安全(办公室系统、业务系统、服务系统安全)网络层面安全(网络运行安全、网络数据传输安全)系统层面安全(操作系统安
30、全、数据库管理系统安全)物理层面安全(环境安全、设备安全、介质安全)应急管理密码管理配置管理运行管理工程管理规章、制度机构、人员标准、规范政策、法规风险管理安全管理组织管理技术管理管理层面信息安全管理职责划分2022-6-365应急管理体系建设2022-6-366应急领导小组风险管理组应急执行小组应急保障小组分行应急处理组总行事故处理组分行业务部门分行技术支持网络小组应用小组数据库小组信息安全管理规章制度建设管理办法实施细则信息系统安全管理办法计算机安全检查操作规程、计算机病毒防治操作规程、计算机权限管理操作规程、计算机网络安全管理工作操作规程、计算机重要用户和密码安全管理操作规程信息系统运行维护管理办法应用系统运行维护实施细则、数据库运行维护实施细则、数据备份操作规程、日志管理实施细则信息科技机房管理办法机房供电及发电管理实施细则、机房消防管理实施细则、机房监控管理实施细则、门禁管理实施细则系统业务连续性管理信息系统安全检测与风险预警管理实施细则、突发事件应急预案信息科技档案管理办法档案管理实施细则、公文处理管理实施细则信息科技设备管理办法移动存储介质管理实施细则、计算机设备管理实施细则、计算机设备故障处置操作规程2022-6-367谢谢大家!2022-6-368