1、信息安全基础概念第1页前言l在数据通信的过程中,由于各种不安全因素将会导致信息泄密、信息不完整不可用等问题,因此在通信过程中必须要保证信息安全。l本章节描述了信息安全的基本概念以及如何保障信息安全,列举了信息安全风险和如何评估规避这些风险。第2页目标l学完本课程后,您将能够:p描述信息安全的定义和特点p描述不同安全模型的特点和区别p区分不同的安全风险第3页目录1.信息与信息安全信息与信息安全2.信息安全风险与管理第4页信息l信息是通过施加于数据上的某些约定而赋予这些数据的特定含义。-ISO/IEC IT安全管理指南(GMITS)什么是信息?什么是信息?第5页l信息安全是指通过采用计算机软硬件技
2、术、网络技术、密钥技术等安全技术和各种组织管理措施,来保护信息在其神秘周期内的产生、传输、交换、处理和存储的各个环节中,信息的机密性、完整性和可用性不被破坏。l假如信息资产遭到损害,将会影响:l信息安全的任务,就是要采取措施(技术手段及有效管理)让这些信息资产免遭威胁。信息安全国家安全国家安全组织系统正常运组织系统正常运作和持续发展作和持续发展个人隐私和财产个人隐私和财产第6页信息安全发展历程通信技术还不发达的时期,数据零散的存储在各个地点。2020世纪初期世纪初期通信保密阶段通信保密阶段从传统安全理念转变到信息化安全理念。2020世纪世纪8080年代年代信息信息保障阶段保障阶段2020世纪世
3、纪6060年代后年代后信息信息安全阶段安全阶段互联网的发展带来了新的挑战,攻击者可以通过互联网威胁信息安全。第7页照片泄密案l中国最著名“照片泄密案”p日本情报专家根据左图破解中国大庆油田的“秘密”,由照片上王进喜的衣着判断出油田位于北纬46度至48度的区域内;通过照片油田手柄的架式,推断出油井的直径;根据这些信息,迅速设计出适合大庆油田开采用的石油设备,在中国征求开采大庆油田的设备方案时,一举中标。第8页通信保密阶段l在通信保密阶段中通信技术还不发达,数据只是零散地位于不同的地点,信息系统的安全仅限于保证信息的物理安全以及通过密码(主要是序列密码)解决通信安全的保密问题。把信息安置在相对安全
4、的地点,不容许非授权用户接近,就基本可以保证数据的安全性了。第9页信息安全阶段l从二十世纪90年代开始,由于互联网技术的飞速发展,信息无论是企业内部还是外部都得到了极大的开放,而由此产生的信息安全问题跨越了时间和空间,信息安全的焦点已经从传统的保密性、完整性和可用性三个原则衍生为诸如可控性、不可否认性等其他的原则和目标。保密性保密性完整性完整性可用性可用性可控性可控性不可否认不可否认性性第10页信息保障阶段l进入面向业务的安全保障阶段,从多角度来考虑信息的安全问题。不同业务流量有不不同业务流量有不同的风险点和防御同的风险点和防御方式方式通过更多的技术手通过更多的技术手段把安全管理与技段把安全管
5、理与技术防护联系起来,术防护联系起来,主动地防御攻击而主动地防御攻击而不是被动保护不是被动保护培养安全管理人才培养安全管理人才建立安全管理制度建立安全管理制度第11页信息安全案例-WannaCryl2017年不法分子利用的危险漏洞“EternalBlue”(永恒之蓝)开始传播一种勒索病毒软件WannaCry,超过10万万台电脑遭到了勒索病毒攻击、感染,造成损失达80亿亿美元。能源能源政府政府教育教育交通交通第12页信息安全案例-海莲花组织l2012年4月起,某境外组织对政府、科研院所、海事机构、海运建设、航运企业等相关重要领域展开了有计划、有针对性的长期渗透和攻击,代号为OceanLotus(
6、海莲花)。意图获取机密资料,截获受害电脑与外界传递的情报,甚至操纵终端自动发送相关情报。第13页讨论:造成此类攻击事件的原因是什么?表面原因深层根源l 病毒l 漏洞l 木马l 后门程序l DDOS攻击 l 信息系统复杂性l 人为和环境第14页信息化越重要,信息安全越重要信息化越重要,信息安全越重要信息网络成为经济繁荣、社会稳定和国家发展的基础。信息化深刻影响着全球经济的整合国家战略的调整和安全观念的转变。从单纯的技术性问题变成事关国家安全的全球性问题。信息信息安全适用于众多技术领域安全适用于众多技术领域例如:军事计算机通讯指挥控制和情报(C4I)系统;电子商务系统;生物医学系统;智能运输系统(
7、ITS)等。建设信息安全的意义重要性适用性第15页目录1.信息与信息安全2.信息安全信息安全风险与管理风险与管理第16页信息安全涉及的风险Page 16风险风险物理风险物理风险其他风险其他风险系统风险系统风险信息风险信息风险管理风险管理风险应用风险应用风险网络风险网络风险第17页物理风险l 设备防盗,防毁l 链路老化,人为破坏,被动物咬断等l 网络设备自身故障l 停电导致网络设备无法工作l 机房电磁辐射第18页信息风险l信息存储安全l信息传输安全l信息访问安全第19页信息风险-信息传输安全Page 19总部下属机构信息泄密信息篡改企业业务信息篡改后信息攻击者第20页信息风险-信息访问安全Pag
8、e 20非法登录网络中有认证服务器第21页系统风险l数据库系统配置安全l安全数据库l系统中运行的服务安全第22页应用风险l网络病毒l操作系统安全l电子邮件应用安全 lWEB服务安全lFTP服务安全lDNS服务安全l业务应用软件安全第23页网络风险安全安全区区域域第24页管理风险l确保信息系统是否存在管理风险,可以从以下几个方面讨论:国家政策 国家是否制定了健全的信息安全法规 国家是否成立了专门的机构来管理信息安全 企业制定安全管理规则、责权分明的机房管理制度 企业可以考虑建立自己的安全管理机构企业制度 明确有效的安全策略、高素质的安全管理人员 行之有效的监督检查体系,保证规章制度被顺利执行管理
9、体系第25页信息安全管理的重要性l据统计,企业信息收到损失的70%是由于内部员工的疏忽或有意泄密造成的。l安全技术知识信息安全控制的手段,要让安全技术发挥应有的作用,必然要有适当的管理程序的支持。7070%三三分技术分技术七分管理七分管理第26页信息安全管理发展现状各个国家都已经制定了自己的信息安全发展战略和发展计划,确保信息安全验证正确的方向发展。制定信息安全发展战略和计划制定信息安全发展战略和计划已法律的形式规定和规范信息安全工作是有效实施安全措施的最有利保证。加强信息安全立法,实现统加强信息安全立法,实现统一和规范管理一和规范管理信息安全管理在20世纪90年代步入了标准化与系统化的管理时
10、代。其中以ISO/IEC制定的27000标准体系最为人所知。步入标准化与系统化管理时代步入标准化与系统化管理时代第27页思考题1.信息安全事件频发的原因是存在漏洞病毒后门程序等安全攻击手段()A.正确B.错误第28页本章总结l信息安全发展过程l信息安全基础概念介绍信息安全标准与规范第30页前言l在信息安全体系建设过程中,标准和规范是企业遵循的范本和努力的方向。根据国际权威的标准规范制定相应的企业信息安全规范,使信息安全运营更加完善。l本章将介绍几种国际通用信息安全标准,分析其内容,使读者对于信息安全有更完整的印象。第31页目标l学完本课程后,您将能够:p描述常见信息安全标准p描述信息安全标准的
11、意义p描述常见信息安全标准的主要内容第32页目录1.信息安全标准与规范信息安全标准与规范2.ISO27001信息安全管理体系3.信息安全等级化保护体系4.其它标准简介第33页信息安全标准的意义l标准是规范性文件之一。其定义是为了在一定的范围内获得最佳秩序,经协商一致制定并由公认机构批准,共同使用的和重复使用的一种规范性文件。企业在建立自己的信息系统时,如企业在建立自己的信息系统时,如何能够确保自己的系统是安全的呢?何能够确保自己的系统是安全的呢?依据国际制定的权威依据国际制定的权威标准来执行和检查每标准来执行和检查每一个步骤是个好办法!一个步骤是个好办法!第34页信息安全标准组织l在国际上,与
12、信息安全标准化有关的组织主要有以下4个:pInternational Organization for Standardization(ISO)国际标准化组织pInternational Electrotechnical Commission(IEC)国际电工委员会pInternational Telecommunication Union(ITU)国际电信联盟pThe Internet Engineering Task Force(IETF)Internet工程任务组l国内的安全标准组织主要有:p信息技术安全标准化技术委员会(CITS)p中国通信标准化协会(CCSA)下辖的网络与信息安全技术
13、工作委员会第35页常见信息安全标准与规范ISO27001欧洲联盟标准欧洲联盟标准ITSEC美国标准美国标准TCSEC 国家国家等级保护制度等级保护制度(GB)第36页目录1.信息安全标准与规范2.ISO27001信息安全管理体系信息安全管理体系3.信息安全等级化保护体系4.其它标准简介第37页l信息安全管理体系(Information Security Management System,简称ISMS)的概念最初来源于英国标准学会制定的BS7799标准,并伴随着其作为国际标准的发布和普及而被广泛地接受。信息安全管理体系(ISMS)PlanActionCheckDolPlan 策划(建立ISMS
14、);lDo 实施(实施和运行ISMS);lCheck 检查(见识和评审ISMS);lAction 改进保持和改进ISMS。ISMS第38页ISO27000信息安全管理体系家族第二部分ISO/IEC 27006ISO/IEC 27007ISO/IEC 27008认证认可及认证认可及审核指南审核指南第一部分ISO/IEC 27000ISO/IEC 27001ISO/IEC 27002ISO/IEC 27003要求要求及支持性指南及支持性指南ISO/IEC 27004ISO/IEC 27005第四部分ISO 27799医疗信息安医疗信息安全管理标准全管理标准处于研究阶段并以新项目提案方式体现的成果,
15、例如:供应链安全、存储安全等。第三部分行业信息安行业信息安全管理要求全管理要求金融业电信业其它专门应用与某个具体的安全域。第39页ISO27001演变历程BS 7799-1BS 7799-1ISO/IEC 17799ISO/IEC 17799ISO/IEC 27002ISO/IEC 27002信息安全管理实施规则信息安全管理实用规范实用规范BS 7799-2BS 7799-2ISO/IEC 27001ISO/IEC 27001信息安全管理体系规范信息安全管理体系要求要求第40页ISMS与ISO/IEC 27000lISO/IEC 27001 是信息安全管理体系(ISMS)的国际规范性标准。lI
16、SO/IEC 27002 从14个方面提出35个控制目标和113个控制措施,这些控制目标和措施是信息安全管理的最佳实践。实施和建设安全管理实施和建设安全管理体系的要求和标准体系的要求和标准信息安全管理信息安全管理体系体系ISMSISO27001标准标准建立ISO/IEC 27001ISO/IEC 27002提供最佳实践规则信息安全管理思想信息安全管理具体操作第41页 ISO27002控制项三、人力资源安全四、资产管理五、访问控制六、加密二、组织信息安全一、信息安全策略七、物理及环境安全八、操作安全九、传输安全十一、供应商关系十、系统获取、开发和维护十二、信息安全事件管理十三、业务连续性管理的信
17、息安全方面十四、合规性第42页目录1.信息安全标准与规范2.ISO27001信息安全管理体系3.信息安全等级化保护体系信息安全等级化保护体系4.其它标准简介第43页等级保护定义中办发中办发200327200327号文:号文:加强信息安全保障工作的意见加强信息安全保障工作的意见主要内容:实行信息安全等级保护政策重视信息安全风险评估工作建设和完善信息安全监控体系保证信息安全资金健全信息安全管理责任制公通字公通字200466200466号:号:关于印发关于印发关于信息安全等关于信息安全等级保护工作的实施意见级保护工作的实施意见的的通知通知公安机关负责信息安全等级保护工作的监督、检查、指导国家保密工作
18、部门负责等级保护工作中有关保密工作的监督、检查、指导 国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。(一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络、经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统(二)铁路、银行、海关、税务、银行、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源能源、交通、文化、教育、统计、工商行政管理、邮政行业部门的生产、调度、管理、办公等重要信息系统。信息安全等级保护信息安全等级保护:对信息和信息载体按照重要性等级分级别进行保护按照重要性等级分级别
19、进行保护的一种工作。是国家政策要求是国家政策要求由公安监督检查由公安监督检查各机关和行业执行各机关和行业执行第44页第三章第三章 网络运行安全网络运行安全第一节第一节 一般规定一般规定第二十一条第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定
20、留存相关的网络日志不少于六个月(四)采取数据分类、重要数据备份和加密等措施(五)法律、行政法规规定的其他义务等级保护的意义n提高提高整体保障水平:整体保障水平:能有效的提高信息安全保障工作的整体水平,有效解决信息系统面临的威胁和存在的主要问题n优化安全资源分配:优化安全资源分配:将有限的财力、物力、人力投入到重点地方,发挥最大的安全经济效益2、合法、合规、合法、合规1、提高保障水平、优化资源分配、提高保障水平、优化资源分配第45页等级保护背景介绍发展历程l等保经历了近20年的发展,大概经历了三个阶段(这三个阶段没有严格的时间界限)开始定级、整改、测评、检查,各行业单位开始全面定级/整改建设。制
21、定了大量等保护相关的标准、规范,并在部分单位进行试点。19942003 起步阶段起步阶段国家呼吁加强信息安全建设,提出要对信息系统进行划分等级来保护。第46页等级保护关键技术要求入侵防范入侵防范恶意代码防范恶意代码防范集中管控集中管控边界防护边界防护l明确限制无线网络的限制无线网络的使用使用,确保无线网络通过受控的边界防护设备接入内部网络。访问控制访问控制通信传输通信传输l明确应在关键网络节关键网络节点处点处对进出网络的信息内容进行过滤,实现对内容的访问控制。l加密传输在网络与通信和应用和数据都有强调。l应采取技术措施对网络行为进行分析,实现对网络攻击特别是未知的新型网络攻击未知的新型网络攻击
22、的检测和的检测和分析分析。l应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾垃圾邮件防护机制邮件防护机制的升级和更新。l强调集中管控,集中集中监测,集中监测,集中分析分析。第47页保护等级保护等级公民、法人的合公民、法人的合法权益法权益社会秩序和社会秩序和公共利益公共利益国家安全国家安全第一级第一级损害否否第二级第二级严重损害损害否第三级第三级/严重损害损害第四级第四级/严重损害严重损害第五级第五级/严重损害等级保护系统定级l主要依据:根据系统被破坏后,对公民、社会、国家造成的损害程度定级。第48页等级保护流程等等保流程保流程定级定级备案备案测评测评整改整改l备案是向监管部门告知将进行等
23、保建设的必要流程。l建设整改是等保工作落实的 关键。l等级测评是评价安全保护状况的方法。l定级是等级保护的首要环节。监督监督l监督检查是等保工作外在动力。第49页目录1.信息安全标准与规范2.ISO27001信息安全管理体系3.信息安全等级化保护体系4.其它标准简介其它标准简介第50页其它标准-美国-TCSEClTrusted Computer System Evaluation Criteria,可信计算机系统评价标准。lTCSEC标准是计算机系统安全评估的第一个正式标准。l1970年由美国国防科学委员会提出,1985年12月由美国国防部公布。l参考:lhttps:/ A:验证保护级:验证保
24、护级A1系统管理员必须从开发者那里接收到一个安全策略的正式模型;所有的安装操作都必须由系统管理员进行;系统管理员进行的每一步安装操作都必须有正式文档。B:强制保护级:强制保护级B1B类系统具有强制性保护功能。强制性保护意味着如果用户没有与安全等级相连,系统就不会让用户存取对象。B2B3C:自主保护级:自主保护级C1该类安全等级能够提供审记的保护,并为用户的行动和责任提供审计能力。C2D:无保护级:无保护级D1只为文件和用户提供安全保护。D1系统最普通的形式是本地操作系统,或者是一个完全没有保护的网络。第51页其它标准-欧洲-ITSEClInformation Technology Securi
25、ty Evaluation Criterial欧洲的安全评价标准,是英国、法国、德国和荷兰制定的IT安全评估准则,较美国军方制定的TCSEC准则在功能的灵活性和有关的评估技术方面均有很大的进步。应用领域为军队、政府和商业。功能功能级别级别描述描述F1F5TCSEC DAF6数据和程序的完整性F7系统的可用性F8数据通信的完整性F9数据通信的保密性F10机密性和完整性的网络安全级别级别描述描述E0不充分的安全保证E1必须有一个安全目标和一个对产品或系统的体系结构设计的非形式化的描述,还需要有功能测试,以表明是否达到安全目标。E2除了E1级的要求外,还必须对详细的设计有非形式化描述。另外,功能测试
26、的证据必须被评估,必须有配置控制系统和认可的分配过程。E3除了E2级的要求外,不仅要评估与安全机制相对应的源代码和硬件设计图,还要评估测试这些机制的证据。E4除了E3级的要求外,必须有支持安全目标的安全策略的基本形式模型。用半形式说明安全加强功能、体系结构和详细的设计。E5除了E4级的要求外,在详细的设计和源代码或硬件设计图之间有紧密的对应关系。E6除了E5级的要求外,必须正式说明安全加强功能和体系结构设计,使其与安全策略的基本形式模型一致。评估评估第52页其它标准-塞班斯法案lSarbanes-Oxley Act,简称SOX法案。该法案全称2002年上市公司会计改革和投资者保护法案(Publ
27、ic Company Accounting Reform and Investor Protection Act of 2002)。lSOX法案中所涉及的例如合同财务流程管理、企业运作过程的跟踪监控同样可用于信息系统检查的需求。SOX法案与信息安全的法案与信息安全的关系是什么?关系是什么?遵守证券法律以提高公司披露的准确性和可靠性,从而保护投资者及其他目的!-塞班斯法案第53页思考题1.国际知名的制定信息安全标准的组织有哪些?()A.ISOB.IECC.ITUD.IETF2.信息安全管理体系遵循的是_流程。第54页本章总结l描述常见信息安全标准l描述信息安全标准的意义l描述常见信息安全标准的主要内容第55页谢谢
