1、信息安全管理体系信息安全管理体系培训大纲培训大纲一、信息安全面临的风险一、信息安全面临的风险 二、保护信息安全的方法二、保护信息安全的方法三、三、完善信息安全治理结构完善信息安全治理结构四、审视业务进行风险评估四、审视业务进行风险评估五、进行信息安全控制规划五、进行信息安全控制规划六、建立信息安全管理体系六、建立信息安全管理体系七、建立完备的七、建立完备的“技术防火墙技术防火墙”八、建立有效的八、建立有效的“人力防火墙人力防火墙”九、对信息安全的检查与审计九、对信息安全的检查与审计n信息系统固有的脆弱性信息系统固有的脆弱性n信息本身易传播、易毁损、易伪造n信息技术平台(如硬件、网络、系统)的复
2、杂性与脆弱性n行动的远程化使安全管理面临挑战n信息具有的重要价值信息具有的重要价值n信息社会对信息高度依赖,信息的风险加大n信息的高附加值会引发盗窃、滥用等威胁一、一、信息安全面临的风险信息安全面临的风险企业对信息的依赖程度:企业对信息的依赖程度:美国明尼苏达大学Bush-Kugel的研究报告指出,企业在没有信息资料可用的情况下,金融业至多只能运行2天,商业则为3.3天,工业则为5天,保险业为5.6天。而以经济情况来看,有25%的企业,因为的毁损可能立即破产,40%会在两年内宣布破产,只有7%不到的企业在5年后能够继续存活。n层出不穷网络安全事件层出不穷网络安全事件n全球平均20秒就发生一次计
3、算机病毒入侵,互联网上的防火墙大约25%被攻破;窃取商业信息的事件每月260%的速度增加。n公安部公共信息网络安全监察局2006年8月25日发布的一项调查报告显示,54的被调查单位发生过信息网络安全事件,比去年上升5,其中发生过3次以上的占22,比去年上升7。73的安全事件是由于未修补或防范软件漏洞所导致。n据统计2006年产生的电脑病毒和木马的数量达到23万个,其中90%以上带有明显的利益特征,有窃取个人资料、各种账号密码等行为,严重威胁着互联网的安全。第一毒王“熊猫烧香”病毒己造成超过一千万的个人及企业用户中毒,直接及间接经济损失高达亿元以上。n据统计,2008年初全球产生的电脑病毒和木马
4、的数量达到50万个,其中90%以上带有明显的利益特征,有窃取个人资料、各种账号密码等行为,严重威胁着互联网的安全。Baidu灰鸽子吧n商业间谍无孔不入商业间谍无孔不入n在走向现代市场经济的过程中,由于利益多元化格局的形成和利益驱动机制的强化,侵犯企业商业秘密的事件正在迅速增加。n根据美国对本国1500家公司的调查,有1300家公司承认,它们对国外的竞争对手进行了间谍活动。据估计,美国企业每年投资在经济、科技情报方面的费用高达300亿美元。n许多大公司设立专门的竞争情报部门,建立企业竞争情报系统,进入世界500强的美国公司中90%设有竞争情报部。如IBM、微软、陶氏科宁、可口可乐等公司的竞争情报
5、系统不仅能够时刻监视竞争对手的动向和环境的变化,而且具有对环境的“早期预警”功能。向对手的商业机密说“不”n商业机密泄露使企业遭受损失商业机密泄露使企业遭受损失n2004年的一项调查显示,名列财富杂志前1000名的公司每年因泄露商业机密而出现的损失高达450亿美元,平均 每家公司每年发生2.45次泄密事件,损失超过50万美元。n景泰蓝、宣纸、青蒿素、维生素C生产技术的泄密和铷铁硼专利被封杀都给我国企业和国家带来了重大的经济损失,造成了无可挽回的影响。n思科诉华为,华为诉沪科等知识产权案,使企业和人员都蒙受了损失。华为诉前员工窃密案触目惊心的泄密事件n信息安全损失的信息安全损失的“冰山冰山”理论
6、理论n信息安全直接损失只是冰由之一角,信息安全直接损失只是冰由之一角,间接损失是直接损失是间接损失是直接损失是653倍倍n间接损失包括:间接损失包括:n时间被延误n修复的成本n可能造成的法律诉讼的成本n组织声誉受到的影响n商业机会的损失n对生产率的破坏$60,000$530,000n我国当前信息安全普遍存在的问题我国当前信息安全普遍存在的问题n忽略了信息化的治理机制与控制体系的建立,和信息化忽略了信息化的治理机制与控制体系的建立,和信息化“游戏游戏规则规则”的建立;的建立;n厂商主导的技术型解决方案为主,用户跟着厂商的步子走;厂商主导的技术型解决方案为主,用户跟着厂商的步子走;n安全只重视边界
7、安全,没有在应用层面和内容层面考虑业务安安全只重视边界安全,没有在应用层面和内容层面考虑业务安全问题;全问题;n重视安全技术,轻视安全管理,信息安全可靠性没有保证;重视安全技术,轻视安全管理,信息安全可靠性没有保证;n信息安全建设缺乏绩效评估机制,信息安全成了信息安全建设缺乏绩效评估机制,信息安全成了“投资黑洞投资黑洞”;n信息安全人员变成信息安全人员变成“救火队员救火队员”n如何实现信息安全?如何实现信息安全?n信息安全反病毒软件防火墙入侵检测系统?信息安全反病毒软件防火墙入侵检测系统?n管理制度?人的因素?环境因素?管理制度?人的因素?环境因素?nErnst&Young及国内安全机构的分析
8、:及国内安全机构的分析:n国家政府和军队信息受到的攻击70%来自外部,银行和企业信息受到的攻击70%来自于内部。n75%的被调查者认为员工对信息安全策略和程序的不够了解是实现信息安全的障碍之一,只有35%的组织有持续的安全意识教育与培训计划n66%的组织认为信息系统没有遵守必要的信息安全规则n56%的组织认为在信息安全的投入上不足,60%从不计算信息安全的ROI,83%的组织认为在技术安全产品与技术上投入最多。在整个系统安全工作中,管理(包括管理和法律法规方面)所占比重应该达到70%,而技术(包括技术和实体)应占30%。二、二、保护信息安全的方法保护信息安全的方法n信息安全体系模型的演变信息安
9、全体系模型的演变nISO 7498-2(GB/T 9387.21995)nPDR 模型模型nPDRR 安全模型安全模型(P2DR2)nIATF信息保障技术框架信息保障技术框架n信息安全管理体系信息安全管理体系ISMS人们逐渐认识到安全管理的重要性,作为信息安全建设蓝图的安全体系就应该顾及安全管理的内容。n建立信息安全管理体系建立信息安全管理体系n对信息安全建立系统工程的观念对信息安全建立系统工程的观念n用制度来保证组织的信息安全更有效用制度来保证组织的信息安全更有效n信息安全遵循木桶原理信息安全遵循木桶原理n对信息系统的各个环节进行统一的综合考虑、规划和构架对信息系统的各个环节进行统一的综合考
10、虑、规划和构架n并要时时兼顾组织内不断发生的变化,任何环节上的安全缺并要时时兼顾组织内不断发生的变化,任何环节上的安全缺陷都会对系统构成威胁。陷都会对系统构成威胁。需要对信息安全进行有效管理nBHTP一种实施一种实施ISMS的有效方法的有效方法n业务与策略业务与策略(Business and Policy)n人员与管理人员与管理(Human and management)n技术与产品技术与产品(Technology and products)n流程与体系流程与体系(Process and Framework)治理与控制环境治理与控制环境nBHTP模型的关键要素模型的关键要素n业务与策略业务与策
11、略n根据业务需要在组织中建立信息安全策略,以指导对信息资产进行管理、保护和分配。确定并实施信息安全策略是组织的一项重要使命,也是组织进行有效安全管理的基础和依据。n“保护业务,为业务创造价值”应当是一切安全工作的出发点与归宿,最有效的方式不是从现有的工作方式开始应用信息安全技术,而是在针对工作任务与工作流程重新设计信息系统时,发挥信息安全技术手段支持新的工作方式的能力。n人员与管理人员与管理n人是信息安全最活跃的因素,人的行为是信息安全保障最主要的方面。n从国家的角度考虑有法律、法规、政策问题;从组织角度考虑有安全方针政策程序、安全管理、安全教育与培训、组织文化、应急计划和业务持续性管理等问题
12、;从个人角度来看有职业要求、个人隐私、行为学、心理学等问题。n技术与产品技术与产品n可以综合采用商用密码、防火墙、防病毒、身份识别、网络隔离、可信服务、安全服务、备份恢复、PKI服务、取证、网络入侵陷阱、主动反击等多种技术与产品来保护信息系统安全n考虑安全的成本与效益,采用“适度防范”(Rightsizing)的原则 n流程与体系流程与体系n建立良好的IT治理机制是实施信息安全的基础与重要保证。n在风险分析的基本上引入恰当控制,建立PDCA的安全管理体系,从而保证组织赖以生存的信息资产的安全性、完整性和可用性 n安全体系统还应当随着组织环境的变化、业务发展和信息技术提高而不断改进,不能一劳永逸
13、,一成不变,需要建立完整的控制体系来保证安全的持续完善。nBHTP的方法论的方法论决策层对信息安全看法n建立跨部门的信息安全委员会建立跨部门的信息安全委员会n良好的治理结构要求主体单位的IT 决策必须由最了解组织整体目标与价值的权威部门来决定。三、三、完善信息安全治理结构完善信息安全治理结构信息安全组织结构示例安全工作小组流程示例n审视业务,确定审视业务,确定IT原则和信息安全方针原则和信息安全方针n在进行信息安全规划与实施安全控制措施前,首先要充分了解组织的业务目标和IT目标,建立IT原则,这是实施建立有效的信息安全保障体系的前提。n组织的业务目标和IT原则将直接影响到安全需求,只有从业务发
14、展的需要出发,确定适宜的IT原则,才能指导信息安全方针的制定。n信息安全方针就是组织的信息安全委员会或管理当局制定的一个高层文件,用于指导组织如何对资产,包括敏感性信息进行管理、保护和分配的规则和指示。n在安全方针的指导下,通过了解组织业务所处的环境,对IT基础设施及应用系统可能存在的薄弱点进行风险评估,制定出适宜的安全控制措施、安全策略程序及安全投资计划。IT原则示例 信息安全方针示例 四、四、确定确定IT原则与安全方针原则与安全方针五、五、进行风险评估进行风险评估n风险评估的常用方法风险评估的常用方法n目前国内ISMS风险评估的方法主要参照ISO13335的有关定义及国信办9号文件信息安全
15、风险评估指南,这些标准把重点放在信息资产上。n缺点:风险评估人员一般最容易找到的资产无非就是硬件类、软件类的资产,而对安全来说至关重要的IT治理、组织政策、人员管理、职责分配、业务流程、教育培训等问题,由于不能方便地定义为信息资产,而往往被视而不见。n因此,风险评估经常出现“捡了芝麻、丢了西瓜”,“只见树木,不见森林”的情况。n完备的风险评估方法完备的风险评估方法n信息安全涉及的内容决不仅仅是信息安全、技术安全的问题,它还会涉及到治理机制、业务流程、人员管理、企业文化等内容。n通过“现状调查”获得对组织信息安全现状和控制措施的基本了解;通过“基线风险评估”了解组织与具体的信息安全标准的差距,得
16、到粗粒度的安全评价。通过“资产风险评估”和“流程风险评估”进行详细风险评估,根据三方面的评估得到最终的风险评估报告。n现状调查的主要内容现状调查的主要内容n文档收集与分析n组织的基本信息、组织结构图n组织人员名单、机构设置、岗位职责说明书n业务特征或服务介绍n与信息安全管理相关的政策、制度和规范n现场访谈n安排与相关人员的面谈n对员工工作现场的观察n加强项目组对企业文化的感知访谈提纲:管理层、部门经理、员工,某员工的访问示例n技术评估技术评估n工具扫描、渗透测试1 2 3n人工分析人工分析n系统安全配置完全检测、网络服务安全配置完全检测n包括用户安全、操作系统安全、网络服务安全、系统程序安全人
17、工评估记录示例技术评估综述n问卷调研问卷调研n安全日常运维现状调研问卷:针对组织中实际的应用、系统、网络状况,从日常的管理、维护、系统审计、权限管理等方面全面了解组织在信息系统安全管理和维护上的现实状况。n从安全日常运维角度出发,更贴近实际运维环境。安全日常运维现状调研问卷信息安全现状分析报告n基线风险评估基线风险评估n所谓基线风险评估,就是确定一个信息安全的基本底线,信息安全不仅仅是资产的安全,应当从组织、人员、物理、逻辑、开发、业务持续等各个方面来确定一个基本的要求,在此基础之上,再选择信息资产进行详细风险分析,这样才能在兼顾信息安全风险的方方面面的同时,对重点信息安全风险进行管理与控制。
18、nISO27001确立了组织机构内启动、实施、维护和改进信息安全管理的指导方针和通用原则,以规范组织机构信息安全管理建设的内容,因此,风险评估时,可以把ISO27001作为安全基线,与组织当前的信息安全现状进行比对,发现组织存在的差距,这样一方面操作较方便,更重要的是不会有遗漏 ISO27001调查问卷示例信息安全管理体系风险评估与处置建议报告n信息资产风险评估信息资产风险评估n针对重要的信息资产进行安全影响、威胁、漏洞及可能性分析,从而估计对业务产生的影响,最终可以选择适当的方法对风险进行有效管理。安全风险评估与处置建议报告安全风险评估表示例资产定义及估值确定现有控制威胁评估确定风险水平风险
19、评估过程脆弱性评估安全控制措施的识别与选择降低风险风险管理过程接受风险电子政务风险评估案例nIT流程风险评估流程风险评估n信息安全不仅仅要看IT资产本身是否安全可靠,而且还应当在其所运行的环境和经历的流程中保证安全。n没有可靠的IT流程的保证,静态的安全是不可靠的,而且IT的风险也不仅仅是信息安全的问题,IT的效率与效果也同样是需要考虑的问题,因此评估IT流程的绩效特性并加以完善是风险控制中必不可少的内容。a a d d 一一 般般 流流 程程 描描 述述 业业 务务 流流 程程流流 程程 涉涉 众众输输 入入开 始 业 务 活 动 一 业 务 活 动 二 业 务 活 动 三条 件结 束输输
20、出出目目 标标规规 则则IT相关业务流程风险评估与处置建议报告n确定风险控制策略确定风险控制策略风险控制策略举例六、信息安全控制规划六、信息安全控制规划n选择安全控制措施选择安全控制措施风险控制措施防止商业活动中断和灾难事故的影响。防止商业活动中断和灾难事故的影响。业务持续性管理业务持续性管理信息安全事件管理信息安全事件管理保证系统开发与维护的安全保证系统开发与维护的安全系统开发与维护系统开发与维护控制对业务信息的访问。控制对业务信息的访问。访问控制访问控制保证通讯和操作设备的正确和安全维护。保证通讯和操作设备的正确和安全维护。通信与运营管理通信与运营管理防止对关于防止对关于ITIT服务的未经
21、许可的介入,损伤和干扰服务。服务的未经许可的介入,损伤和干扰服务。物理与环境安全物理与环境安全减少人为造成的风险。减少人为造成的风险。人员安全人员安全维护组织资产的适当保护系统。维护组织资产的适当保护系统。资产管理资产管理建立组织内的管理体系以便安全管理。建立组织内的管理体系以便安全管理。安全组织安全组织为信息安全提供管理方向和支持。为信息安全提供管理方向和支持。安全方针安全方针目的目的ISO27001ISO27001十一个域十一个域避免任何违反法令、法规、合同约定及其他安全要求的避免任何违反法令、法规、合同约定及其他安全要求的行为。行为。符合性符合性确保与信息系统有关的安全事件和弱点的沟通能
22、够确保与信息系统有关的安全事件和弱点的沟通能够及时采取纠正措施及时采取纠正措施n进行安全控制规划进行安全控制规划n安全规划针对组织面临的主要安全风险,在安全管理控制框架和安全技术控制框架方面进行较为详尽的规划。n安全规划对组织未来几年的网络架构、威胁防护、策略、组织、运行等方面的安全,进行设计、改进和加强,是进行安全建设的总体指导。n安全规划方法信息安全实施总体规划报告信息安全实施总体规划图表n安全预算计划安全预算计划n所以安全预算计划是一项具有挑战性的工作,要采用“适度防范”的原则,把有限的资金用在刀刃上。n一般来说,没有特别的需要,为信息安全的投入不应超过信息化建设总投资额的20%,过高的
23、安全成本将使安全失去意义。n投资回报计划投资回报计划n信息安全投资回报计划就是要研究信息安全的成本效益,其成本效益组成如下:n从系统生命周期看信息安全的成本:获取成本和运行成本n从安全防护手段看信息安全的成本:技术成本和管理成本n信息安全的价值效益:减少信息安全事故的经济损失n信息安全的非价值效益:增加声誉、提升品牌价值n信息安全体系模型的演变信息安全体系模型的演变nISO 7498-2(GB/T 9387.21995)nPDR 模型nPDRR 安全模型(P2DR2)nIATF信息保障技术框架n信息安全管理体系ISMS七、建立信息安全管理体系七、建立信息安全管理体系人们逐渐认识到安全管理的重要
24、性,作为信息安全建设蓝图的安全体系就应该顾及安全管理的内容。n信息安全管理体系的定义信息安全管理体系的定义n信息安全管理体系(ISMS:Information Security Management System)是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。nISMS相对应的BS 7799 标准在国际上得到了广泛的应用,目前引标准已被采纳为国际标准ISO17799:2005 ISO27001:2005。n在ISO17799中 信息安全主要指信息的机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保
25、持。用木桶原理说明ISMSnISMS“木桶木桶”由哪些由哪些“板板”组成?组成?n类似于质量管理体系的ISO9000标准,ISMS也有相应的国际标准ISO27001,它确定了ISMS的11个安全领域及133个相应的控制措施。nISO17799及及ISO27001的内容的内容nISO17799:2005 信息安全管理实施规范,主要是给负责开发的人信息安全管理实施规范,主要是给负责开发的人员作为参考文档使用,从而在组织中实施和维护信息安全;员作为参考文档使用,从而在组织中实施和维护信息安全;nISO27001:2005 信息安全管理体系规范,详细说明了建立、实施信息安全管理体系规范,详细说明了建立
26、、实施和维护信息安全管理系统的要求,指出实施组织需要通过风险评估和维护信息安全管理系统的要求,指出实施组织需要通过风险评估来鉴定最适宜的控制对象,并对自己的需求采取适当的控制。来鉴定最适宜的控制对象,并对自己的需求采取适当的控制。获得BS7799和ISO27001认证的组织 ISO17799信息安全信息安全BS15000IT服务管理服务管理职业安全健康管理体职业安全健康管理体系指导意见系指导意见OHSAS18000财务管理体系财务管理体系BS8600 客户满意客户满意管理体系管理体系Finance财务管理财务管理质量管理质量管理业务管理业务管理IT信息管理信息管理人力资源人力资源环境管理环境管
27、理ISO100015培训体系培训体系人力资源管理体系人力资源管理体系ISO9000市场市场/客户满客户满意管理意管理ISO14001 综合管理体系综合管理体系职业职业安全安全战略和投战略和投资管理资管理 战略和投资管理体战略和投资管理体系系行业强制性管理体系及行业强制性管理体系及产品认证如产品认证如QS9000,ISMC,党务党务管理管理ISO17799与其他标准对比nISO27001与其他标准的融合与其他标准的融合nISMS体系设计体系设计n在组织中要实现信息安全,比较切实可行的第一步的是按照PDCA的原则建立信息安全管理体系。n如果没有一个完整的管理体系和有效的过程来保证组织中的人员能理解
28、他们的安全责任与义务,并建立基本的有效的控制措施,那么再好的安全技术也不能保证组织的信息安全。定义安全方针定义ISMS的范围实施风险评估风险管理选择控制目标和实施控制准备适用性声明第 一 步第 二 步第 三 步第 四 步第 五 步第 六 步安 全 方 针 文 档ISMS范 围 文 档风 险 评 估 文 档结 果 与 结 论选 择 控 制适 用 性 声 明识 别 资 产风 险 管 理 策 略控 制 概 要威 胁、脆 弱 点资 产 影 响组 织 风 险 管 理 方 法需 要 保 护 的 程 度BS7799中 的 控 制其 他 控 制 措 施nISMS建设过程:建设过程:n建立ISMS首先要建立一个
29、合理的信息安全管理框架,要从整体和全局的视角,从信息系统的所有层面进行整体安全建设n从信息系统本身出发,通过建立资产清单,进行风险分析和需求分析和选择安全控制等步骤,建立安全体系并提出安全解决方案。体系运行体系审核管理评审体系认证第七步第七步第八步第八步第九步第九步第十步第十步运行说明运行说明内审报告内审报告外审报告外审报告认证证书认证证书nISMS体系文件编写体系文件编写n对ISMS体系的设计首先是以规范化的ISMS体系文件的形式表现出来。把有关ISMS的重要内容用文件的形式表述出来,就形成了组织的ISMS体系文件。nISMS体系文件是实施信息安全管理所必需的结构、规则、过程和资源等因素所组
30、成的有机总体,有效的信息安全管理需要明确管理的具体目标与范围、流程与活动、人员与职责、资源与条件等内容nISMS体系文件的作用体系文件的作用n保护信息安全的指南n对信息安全进行审核的依据n安全管理水平不断改进的保障n促进安全培训工作的开展nISMS体系文档的组成体系文档的组成四级文件三级文件二级文件一级方针、策略文件ISMS体系文件规范、程序作业指导书、记录、表单nISMS的正式运行的正式运行nISMS体系文件编制完成后,组织应按照文件的控制要求进行审核与批准并发布实施,至此,信息安全管理体系将进入运行阶段 n在试运行的基础上,总结经验,进行认真的部署,选择恰当的时机进行ISMS体系的正式运行
31、。n正式运行前,需要领导层进行动员,并进行全员培训,签定相关协议,方针策略、规章制度正式起用。n只有保证ISMS持续运行,才能使ISMS的制度真正落到实处,使组织的安全状况得到改观。ISMS体系建设案例n“技术防火墙技术防火墙”的总体要求的总体要求n技术结构方面:完备的安全技术防御系统应该具备评估,保护,检测,反应和恢复的五种技术能力。实现ISO7498-2所定义的鉴别,访问控制,数据完整性,数据保密性,抗抵赖五类安全功能。n技术产品方面:综合利用商用密码、防火墙、防病毒、身份识别、网络隔离、可信服务、安全服务、备份恢复、PKI服务、取证、网络入侵陷阱、主动反击等多种技术与产品来保证企业的信息
32、系统的机密性、完整性和可靠性。n集中管理方面:实现集成化安全管理和安全信息共享机制,以集中管理安全控制、安全策略、安全配置、安全事件审计、安全事故应急响应,可管理的安全才是真正意义上的安全。n灾难恢复与业务持续性方面:对于突发性的重大灾难,日常安全控制措施不再起作用,此时要采取适当和有效的措施来减轻相关威胁实际发生时所带来的破坏后果,这是组织信息安全的最后一道防线。八、建立八、建立“技术防火墙技术防火墙”n“技术防火墙技术防火墙”的实现框架的实现框架n信息安全框架可通过基础技术系统、安全运维管理系统、应用支撑系统来实现,其最终目的是保证应用系统和数据的安全。基础技术系统安全防护系统应用支撑系统
33、安全运维管理系统n基础技术系统基础技术系统n纵深防御架构纵深防御架构n可信网和不可信网要物理层隔断,网络逻辑连接要割断,应用数据要净化,不可信网络上的计算机不能直接到达可信网络。n使用“应用分层、服务分区、安全分级”的思路,指导网络结构化建设,根据应用类型、物理位置、逻辑位置等的不同,划分不同的网络安全区域和边界。IATF安全域安全域n安全基础设施安全基础设施n一个为整个安全体系提供安全服务的基础性平台,为应用系统和安全支撑平台提供包括数据完整性、真实性、可用性、不可抵赖性和机密性在内的安全服务。包括:n数字证书认证体系(CA/PKI)n密钥管理基础设施(KMI)n授权管理基础设施(AA/PM
34、I)n灾难恢复及业务连续性基础设施(DRI/BCP)CARAInternet或专网鉴别鉴别LDAPn利用利用PKI数字证书进行访问控制数字证书进行访问控制数据库服务访问他是谁?他是谁?有什么权限?有什么权限?用户认证证书用户权限证书设备认证证书设备认证证书软件认证证书nPKI与与PMI的应用:安全认证与授权的应用:安全认证与授权n安全防护系统安全防护系统n网络安全控制采用入侵检测、漏洞扫描、病毒防治、防火墙、网络隔离、安全虚拟专网(VPN)等成熟技术,利用物理环境保护、边界保护、系统加固、节点数据保护、数据传输保护等手段,通过对网络的安全防护的统一设计和统一配置,实现全系统统一、高效、可靠的网
35、络安全防护。n构造网络安全边界构造网络安全边界n安全防护系统的层次安全防护系统的层次n终端安全控制终端安全控制n由于普通用户缺乏应有的网络安全常识,通过浏览隐藏恶意代码的网站,下载有木马的软件到内部网运行,打开邮件中不明来历的附件等给组织的内部网络带来的极大的危害,终端用户触发产生的安全事件逐渐成为企业IT安全问题的主要原因。n应用支撑系统应用支撑系统n应用支撑系统构建在基础技术系统的基础上,利用安全基础设施提供的基于PKI/PMI/KMI技术的安全服务;n采用安全中间件及一站式服务理论和技术,实现包括安全门户、安全认证和访问控制、数据安全传输、数据保密、完整性保护、真实性保护等应用安全功能和
36、服务,支持面向组织和各类专网和互连网的各类安全应用,是安全应用系统所依托的主要安全平台。n应用系统常见安全方案应用系统常见安全方案n业务系统本身必须能够准确地识别使用者的真实身份,防止与业务无关的人员非法使用系统。n解决方案:使用统一的身份认证证书n业务系统本身必须能够对自己的资源进行控制,能够动态地分配权限,控制使用者的操作行为,防止越岗位操作或越权限操作。n解决方案:基于角色的访问控制n业务系统本身必须能够对数据或文件进行保护,防止由于数据的安全得不到保证而失去业务系统本身的可用性。n解决方案:基于密码n业务系统本身必须能够对操作者行为进行跟踪、记录、统计和审计,及时发现工作中出现的问题,
37、使系统可管理,事件可追查。n解决方案:日志与安全事件审计n在电子商务或电子政务环境下,需要利用身份证书对主要核心业务与交易的凭证进行数字签名,以保证重要对已完成的业务与交易的无否定性。n解决方案:基于数字签名n安全运维系统安全运维系统n安全运维管理系统对整个安全系统起管理、监控、调度和应急报警等作用,负责对全网络安全防护设备进行管理,为各个应用系统提供安全管理接口,对需要特别关注的应用系统进行应用审计。n安全运维管理系统通过建立安全运维管理中心(SOC)对组织的安全技术与流程进行集中式的管理。n什么是人力防火墙什么是人力防火墙n在信息安全的所有相关因素中,人是最活跃的因素,人的行为是信息安全保
38、障最主要的方面。组织相关人员特别是内部员工既可以是对信息系统的最大潜在威胁,也可以是最可靠的安全防线。我们把信息安全中对人的有效管理称为“人力防火墙”。n通过建立“人力防火墙”,不仅建立起一套有效的管理体系,而且还能形成“信息安全,人人有责”的企业文化氛围,从而使员工成为企业信息安全的一道“最可靠防线”,实现组织信息系统的长治久安。八、建立八、建立“人力防火墙人力防火墙”n建立人力防火墙的过程建立人力防火墙的过程n得到组织最高管理层的支持n得到高层管理人员的认同和承诺有两个作用一是相应的安全方针政策、控制措施可以在组织的上上下下得到有效的贯彻;n二是可以得到有效的资源保证,比如实施有效安全过程
39、的必要的资金与人力资源的支持,及跨部门之间的协调问题都必须由高层管理人员来推动。n建立信息安全组织,明确角色与责任n安全角色与责任的不明确是实施信息安全过程中的最大障碍,建立安全组织与落实责任是实施信息安全管理的第一步。n信息安全指导委员会 n信息安全主管为核心的、专业的信息安全管理的队伍 n把相应的安全责任落实到每一个员工身上员工ISMS职责表ISMS文件与工作人员矩阵信息安全管理员职责矩阵、工作流程n制定计划n行动计划主要有:n信息安全政策制订与实施n与信息安全相关的人力资源政策的制订n安全事件响应计划n监控日常安全事务及员工对安全政策的遵循n业务连续性计划及灾难恢复计划n安全教育计划n建
40、设企业安全文化n预算计划n有足够资金支持的计划才是切实可行的计划,才能有效地落实信息安全所需要的人、财、物等资源的配置。n预算计划一定要合理,过高的安全预算会使安全失去意义,最好是结合投资回报分析。n制定信息系统安全政策n信息系统安全政策就是为防止信息资产意外损失及被有意滥用而制订的规则,这些政策是应该涵盖组织中生成、加工、使用、储存信息的各个方面,并符合ISO27001对信息系统安全的要求。n信息安全政策要符合组织的业务目标及特定的环境要求,并使之被每个员工所理解和执行,这是实施信息安全的重要环节,是建立人力防火墙的政策依据。n人力资源政策n因此除了技术的控制手段外,要制定合适的人力资源政策
41、,加强对“人”的管理,对潜在的安全入侵者也是一种威慑及惩戒措施,这是建立人力防火墙的有效控制手段。n人力资源管理在信息安全的管理中充分十分重要的作用,信息安全管理人员要与人务资源管理人员密切合作,协同作战,才能实现信息安全中对“人”的有效管理。人力资源政策举例n实施安全教育计划n要制定各种不同范围、不同层次的安全教育计划。n完备的安全教育计划可以提高员工的安全意识与技能,改变他们对待安全事件的态度,使他们具有一定的安全保护技能,以更好地保护组织的信息资产。n好的安全教育计划应该让员工知道组织的信息安全面临的威胁及信息安全事件带来的后果,使员工切身感觉到安全事件与自己息息相关。信息安全教育内容I
42、SO27001培训计划举例n制定安全事件响应机制n组织应明确出现事故、故障和薄弱点的有关部门的责任,并根据安全事故与故障的反应过程建立一个报告、反应、评价和惩戒的机制,这也可称为人力防火墙的反应机制。n目的是把安全事件的损害降到最低的程度,追踪并从事件中吸取教训。安全事件报告程序n营造组织信息安全文化n信息安全文化从属于组织文化,倡导良好的组织信息安全文化就是要在组织中形成团队共同的态度、认识和价值观,形成规范的思维和行为模式,最终转化为行动,实现组织信息安全目标。人的这种对安全价值的认识以及使自己的一举一动符合安全的行为规范的表现,正是所谓的“安全修养”。n如果一个组织建立起浓厚的安全文化环
43、境,不论决策层、管理层还是一般员工,都会在安全文化的约束下规范自己的行为,安全文化就像一支看不见的手,凡是不安全的行为都会被这支手拉回到安全操作的轨道上来。信息安全文化的三个阶段n检查与审计的内容检查与审计的内容n对于安全框架是否已有效的建立起来,技术防火墙、人力防火墙及IT流程控制框架能否起到了应有的作用,组织可以通过定期的自我检查或独立的审核来验证安全控制措施的有效性,并对发现的问题采取有效的纠正措施并实施,对纠正措施实施的结果进行验证。n安全检查工作一般由信息安全管理部门来负责实施,经常性的检查,有利于落实信息安全方针与策略,及时发现信息安全在技术、人员及流程方面存在的隐患,也有利于提高
44、员工安全意识,保证业务的持续运行。n审核工作是审计机构对组织的信息安全控制措施是否完备所做的鉴证过程。利用审核机制进行独立的体系审核是一种强有力的监督机制。可以由组织的内部稽核部门阶段性地组建立审核组,培训审核员,有效地管理在组织中开展的信息安全审核工作,也可外聘的第三方审计机构对组织进行外部审计。九、对安全的检查与审计九、对安全的检查与审计n检查的步骤检查的步骤n信息安全管理部门根据检查的需要组成信息安全检查小组,定期或不定期地对组织的信息安全管理措施、技术措施的落实情况进行检查。n检查小组根据组织的信息安全方针、策略及程序要求,编写各类安全检查列表,进行符合性检查。n检查小组在符合性检查的
45、基础上,进行网络扫描、口令破解、流量分析、日志检查等实质性测试;在适当的条件下可以进行渗透测试。n对检查的内容进行分析与整理,编写信息安全检查报告。n审计的步骤审计的步骤n信息安全在每次检查审计前,由管理层任命适当资质的合适人选组成审计小组,审计小组由2名或以上人员组成,包括但不限于稽核审计部的内审员,并由管理层指定内审组长。n内审小组负责编写本次内审的内部审计方案,其内容一般为:被审部门、审计时间、内容、范围、审计依据、目的、方法;内审小组成员及其分工;审计活动日程安排。n内部审计方案经批准后,至少提前二周通知被审计部门,以便被审计部门有充分时间进行内审,若被审计部门对时间等安排有异议时,应
46、在三天内通知内审小组协商调整具体安排;n内审小组在完成了全部的审计准备工作后,就可按预先约定的日期和时间实施审计。内部审计实施可划分为首次会议、现场审计和末次会议三个阶段进行。Any Question?n陈伟,陈伟,CIOtimes高级咨询顾问,国际注册信息系统审计师高级咨询顾问,国际注册信息系统审计师(CISA),BS7799主任审核员,国际信息系统审计与控制协会会员,管理信息系统主任审核员,国际信息系统审计与控制协会会员,管理信息系统硕士。硕士。n在在IT行业系统集成、软件开发、信息安全与控制领域有十五年工作经验,行业系统集成、软件开发、信息安全与控制领域有十五年工作经验,精通网络技术、软
47、件开发技术、信息安全技术,长期从事企业信息化建精通网络技术、软件开发技术、信息安全技术,长期从事企业信息化建设,对国内大中型企业的计算机网络、应用系统、安全系统的规划、设设,对国内大中型企业的计算机网络、应用系统、安全系统的规划、设计、实施有较丰富的经验。计、实施有较丰富的经验。n目前的工作专业领域集中于目前的工作专业领域集中于IT管理控制领域管理控制领域(ISO27001、ITIL、COBIT)理论与方法研究,并为深圳证券交易所、国家财政部、国家税务总局、理论与方法研究,并为深圳证券交易所、国家财政部、国家税务总局、国家审计署、中国工商银行总行、中国银行、中核集团、首都机场、广国家审计署、中国工商银行总行、中国银行、中核集团、首都机场、广东移动等多个大型组织实施信息安全管理及信息系统审计咨询与培训项东移动等多个大型组织实施信息安全管理及信息系统审计咨询与培训项目。目。n著有著有信息安全管理:全球最佳实务与实施指南信息安全管理:全球最佳实务与实施指南、经营管理与信息经营管理与信息技术技术等,翻译等,翻译索耶内部审计索耶内部审计,发表多篇,发表多篇IT治理论文。治理论文。n联系方式:联系方式: n讲师简介讲师简介
