1、信息安全分析信息安全分析万 洋2019.1.4课程的目的课程的目的l提升信息安全风险评估意识l强化信息安全保障体系建立领导重视、管理较严、常规的系统和外防机制基本到位领导重视、管理较严、常规的系统和外防机制基本到位深层隐患值得深思深层隐患值得深思 l内控机制脆弱内控机制脆弱l高危漏洞存在高危漏洞存在l信息安全域界定与边控待探索信息安全域界定与边控待探索l风险自评估能力弱风险自评估能力弱l灾难恢复不到位灾难恢复不到位l用户自控权不落实用户自控权不落实l -l早期:通信保密阶段(ComSec),通信内容保密为主l中期:信息安全阶段(InfoSec),信息自身的静态防护为主l近期:信息保障阶段(In
2、formation AssuranceIA),强调动态的、纵深的、生命周期的、整个信息系统资产的信息对抗。l我们当前所指“信息安全”=“信息保障”,即“在整个生命周期中,处在纵深防御和动态对抗的信息系统,为保障其中数据及服务的完整性、保密性、可用性(防拒绝和破坏)、真实性(交互双方的数据、人员的身份和权限、设施的鉴别)、可控性(监控、审计、取证、防有害内容传播)、可靠性而抵制各类威胁所提供的一种能力(一一)构建构建信息安全保障体系信息安全保障体系(二二)作好作好信息安全风险评估信息安全风险评估(一一)构建构建信息安全保障体系信息安全保障体系安安全全法法规规安安全全管管理理安安全全标标准准安安全
3、全工工程程与与服服务务安安全全基基础础设设施施安安全全技技术术与与产产品品行政管理体制行政管理体制:国家网络信息安全协调小组,部门,地区国家网络信息安全协调小组,部门,地区技术管理体制技术管理体制:CSO信息系统安全管理准则(信息系统安全管理准则(ISO 17799)-GBxxxxl管理策略管理策略l组织与人员组织与人员l资产分类与安全控制资产分类与安全控制l配置与运行配置与运行l网络信息安全域与通信安全网络信息安全域与通信安全l异常事件与审计异常事件与审计l信息标记与文档信息标记与文档l物理与环境物理与环境l开发与维护开发与维护l作业连续性保障作业连续性保障l符合性符合性 安安全全功功能能定
4、定义义安安全全要要素素设设物物理、理、网网络、络、系系统、统、应应用、用、管管理理全全程程安安全全控控制制风风险险全全程程管管理理安安全全有有效效评评估估强强壮壮性性策策略略信息网络安全域纵深防御框架(二二)作好作好信息安全风险评估信息安全风险评估威胁脆弱性防护措施风险资产防护需求价值抗击利用增加增加暴露被满足引出增加拥有风险管理要素关系图风险管理要素关系图信息系统安全风险评估的特征l信息系统是一个巨型复杂系统(系统要素、安全要素)信息系统是一个巨型复杂系统(系统要素、安全要素)l信息系统受制于外部因素(物理环境、行政管理、人员)信息系统受制于外部因素(物理环境、行政管理、人员)l信息系统安全
5、风险评估是一项系统工程信息系统安全风险评估是一项系统工程l发现隐患、采取对策、提升强度、总结经验发现隐患、采取对策、提升强度、总结经验l自评估、委托评估、检察评估自评估、委托评估、检察评估l国家信息安全标准化委员会(国家信息安全标准化委员会(“信息安全评估工作组信息安全评估工作组-WG5)l国家信息安全测评中心(信息技术安全性评估准则国家信息安全测评中心(信息技术安全性评估准则-GB/T 18336)(EG信息系统安全保障评估准则)信息系统安全保障评估准则)l公安部(计算机信息系统安全保护等级划分准则公安部(计算机信息系统安全保护等级划分准则-GB 17859-2019)(计算机信息系统安全等
6、级保护通用技术要求(计算机信息系统安全等级保护通用技术要求-GA/T 390-2019)l国家保密局(涉及国家秘密的计算机信息系统安全保密测评指国家保密局(涉及国家秘密的计算机信息系统安全保密测评指南南-BMZ 3-2019)l北京市信息办(党政机关信息系统安全测评规范)北京市信息办(党政机关信息系统安全测评规范)l上海市信息办(信息系统安全测评规范)上海市信息办(信息系统安全测评规范)l解放军(信息系统安全评估规范)解放军(信息系统安全评估规范)l其它其它 l信息安全评估标准和规范体系信息安全评估标准和规范体系 IT产品、产品、IT系统、系统、IT服务服务l信息安全评估监管体系信息安全评估监
7、管体系 对评估组织与评估行为的监管对评估组织与评估行为的监管(等级等级,资质资质,规则规则)l信息安全评估组织体系,在认监委、信息办领导下信息安全评估组织体系,在认监委、信息办领导下 lNIACAPl DICSCAPlNSTISSI lFIPS 102FIPS 102 l行业与企业的风险评估投入明显行业与企业的风险评估投入明显 (1%5%)l定性分析与定量结合定性分析与定量结合l评估机构与评估专家结合评估机构与评估专家结合l评估考查与评估检测结合评估考查与评估检测结合l技术安全与管理安全结合技术安全与管理安全结合l管理安全分析管理安全分析 组织、人员、制度、资产控制、物理、操作、连续性、应急组
8、织、人员、制度、资产控制、物理、操作、连续性、应急l过程安全分析过程安全分析 威胁、风险、脆弱性、需求、策略、方案、符合性威胁、风险、脆弱性、需求、策略、方案、符合性 分发、运行、维护、更新、废弃分发、运行、维护、更新、废弃l技术安全分析与检测技术安全分析与检测 安全机制、功能和强度分析安全机制、功能和强度分析 网络设施、安全设施及主机配置安全分析网络设施、安全设施及主机配置安全分析 网络设备和主机设备脆弱性分析网络设备和主机设备脆弱性分析 系统穿透性测试系统穿透性测试风险评估实施步骤(1)1)风险评估的准备风险评估的准备(2)(2)资产识别资产识别(3)(3)威胁识别威胁识别(4)(4)脆弱
9、性识别脆弱性识别(5)(5)已有安全措施的确认已有安全措施的确认(6)(6)风险分析风险分析(7)(7)风险评估文件记录风险评估文件记录(8)(8)风险评估对策风险评估对策 风险评估流程 风险分析示意图风险评估工具 (1 1)风险评估管理工具)风险评估管理工具 基于安全标准、基于知识、基于模型基于安全标准、基于知识、基于模型 采点、收集、描述、分析采点、收集、描述、分析 (2 2)风险评估检测工具风险评估检测工具 脆弱性扫描:网络、主机、数据库、网站、脆弱性扫描:网络、主机、数据库、网站、滲透性测试:黑客、病毒、木马、谍件、劫持、拒绝、破译滲透性测试:黑客、病毒、木马、谍件、劫持、拒绝、破译 (3 3)风险评估辅助工具风险评估辅助工具 入侵检测、安全审计、拓扑发现、资产收集入侵检测、安全审计、拓扑发现、资产收集 知识库、漏洞库、算法库、模型库、指标库知识库、漏洞库、算法库、模型库、指标库(一一)构建构建信息安全保障体系信息安全保障体系 (重视(重视顶层顶层设计)设计)(二二)作好信息安全风险评估作好信息安全风险评估 (是是起点、起点、也覆盖也覆盖终生终生)
