1、第三讲 信息安全管理措施信息安全管理措施汇编主题一1 12 23 34 45 5关于信息安全的定位安全管理措施信息安全风险的基本概念小结信息安全等级保护简介信息安全管理措施汇编信息安全管理体系(ISMS):27001-2013版的“高要求”1 是一组过程 3 组织管理框架的一部分:两个重要 2 战略性决策 4 用途采用ISMS是组织的一项战略性决策受到组织的需要和目标、安全要求、组织过程以及组织的结构和规模的影响采用风险管理过程来确保信息的CIA-谁的信息?目的:给予相关方信心-风险已被充分管控是组织过程和整体框架的一部分组织的过程、信息系统和控制的设计需考虑安全内外组织使用-评估某组织的能力
2、能力:满足自身安全要求的能力分析 起点和定位高:战略和管理框架 客户交付:信心 能力:满足自身安全要求-非满足客户安全要求 可操作性:不够细 战略因素?与ISMS和风险评估的衔接?如何体现定位的“高度”27001-13版的高要求和高定位信息安全管理措施汇编高定位的解读1 1、是组织的一项战略性决策2、在组织的过程、IS和控制的设计中3 3、风险已被管控的信心信息安全管理体系战略性决策:需要领导力和承诺安全方针、安全目标与组织安全方针、安全目标与组织的战略方向的战略方向一致一致 需要了解业务模式、产品、用户和市场(内外环境识别)需要了解信息对它们的作用(信息的价值)需要明确信息价值可能的损失 明
3、确信息安全方针和安全目标业务设计:过程、IS和控制设计中考虑信息安全企业运行于流程之上,信息在流程中的作用企业运行于流程之上,信息在流程中的作用 战略方向中,信息价值在流程中体现 业务流程设计与优化,信息的作用?需要明确信息价值可能的损失 设计业务流程和支撑系统中的信息安全 需要考虑内控等中的信息安全给予相关利益方风险已被管控的信心谁拥有业务,谁就是业务风险的责任人谁拥有业务,谁就是业务风险的责任人 相关利益方:内外人员-组织环境识别中获取 谁是风险责任人:业务拥有者 信心:内外人员,业务是安全的 手段:信息安全管理体系 ISMS是一种满足自身安全要求的能力-安全要求指风险被管控决策执行绩效-
4、监督信息安全管理措施汇编1、战略性决策决定了高层如何看待信息安全?如何建立与之匹配的安全方针和目标?高层执行团队战略期望行为关键资产人力资产金融资产实物资产知识产权资产信息和IT资产关系资产财务治理机制(委员会、预算等)IT治理机制(委员会、预算等)董事会股东监控利益相关者披露公司治理关键资产治理 需要理解组织内外环境 需要了解业务模式、产品、用户和市场 需要理解信息在战略发展中的价值 需要理解降低信息价值的风险 信息安全风险是其中的风险之一信息安全管理措施汇编物理层面网络层面系统层面安全人员应该主动了解信息安全管理体系的内外环境-内部环境,决定了信息安全的推动力物理环境物理设备存储介质通信设
5、施网络边界网络区域网络设备安全设备服务器DB主机存储系统中间件决策支持管理系统数据处理智能应用应用层面商业智能搜素信息内容管理数据管理统一消息管理客户交易与业务价值虚拟化IT战略符合IT治理-COBIT信息安全风险ITIL运维IT审计合规:20000/27001人员-组织-岗位-绩效业务战略符合企业治理风险管理企业运营审计内控与合规企业管理管理层:IT管理程序PDCAIT资源和IT能力信息准则-IT服务或能力业务过程和IT系统IT管理企业管理信息安全管理措施汇编战略明道(示例):信息安全方针和目标与组织的战略方向一致某组织业务某组织业务的例子的例子产品的战略方向质量成本响应效率业务模式改进人员
6、服务前置,质量为本尽可能降低沟通和交易成本及时响应客户强大的后台能力与客户共享信息与IT要素信息处理或决策支持快速准确持续性降低交易成本应变和灵活性强;对IT依赖高CRM-客户理财与组织能力更密切的结合IT基础设施(容量、可用性)大规模用户远程并发响应一定人员规模下,交易量大增,单位人交易成本低IT技术革新(云计算)更安全批量,交易成本降低更多方式响应用户需求IT展示技术更立体,更直观多维度的宣传,降低市场成本吸引客户市场效果更佳VIP级的可视化技术信息在产品发展的价值 人员数量和服务能力 信息的准确性和及时性至关重要信息价值损失潜在因素 信息不准确:完整性被破坏 信息不及时:可用性被破坏 其
7、余:保守客户秘密-保密性信息安全方针 高层负责,为新业务改进保驾护航信息安全目标 新建IS部分可用性99.9 客户服务数据完整性措施覆盖率100%信息安全管理措施汇编2、协同工作,在业务流程设计中考虑信息安全宗旨、定位战略目标业务与职能战略业务线财务人力资源关键目标指标(KGI)财务角度客户角度内部流程角度学习与发展角度战略方向:明确重点发展的产品和业战略方向:明确重点发展的产品和业务板块,确定信息安全方针和目标务板块,确定信息安全方针和目标覆盖哪些流程,流程优化方案,确定覆盖哪些流程,流程优化方案,确定信息贯穿的场景和安全需求,选择安信息贯穿的场景和安全需求,选择安全措施全措施业务的整体性信
8、息流转拒绝孤岛安全目标分解到相关部门,有效性度安全目标分解到相关部门,有效性度量;安全措施在量;安全措施在ISIS和非和非ISIS中实现中实现职责划分是关键;要有分工和独立职责,更要有整体性信息安全管理措施汇编关键ISMS需要顶层设计,互相协作,承担不同职责 高层业务层IT层职能部门战略-组织环境战术-业务设计操作-业务运营领导和组织 制定战略规划:产品、客户、目标、阶段 影响ISMS的内外因素参与 业务板块的PEST 负责的产品 面向的客户指导和审核 业务板块的PEST组织与负责 确定客户与相关方 设计业务流程负责 业务操作 业务绩效度量指导和监督参与 IT层面的PESTIT服务的用户组织与
9、负责 IT服务的用户与相关方 IT架构与应用系统实现设计信息安全支撑 业务操作支持 信息安全操作参与 职能管理层面的PEST 内部人员管理组织与负责内部服务与管理流程设计内部控制流程设计支撑-负责 职能操作 职能绩效度量部署实现安全需求顶层设计:内外环境和风险业务价值链:信息流转和价值、需求提供资源支持信息安全管理措施汇编整体业务价值链:从信息视角看,是一个通过信息流程实现控制与决策的过程管理者视角:业务环节2.制定愿景和战略1.了解市场和客户3.设计产品和服务4.市场营销5.生产和配送产品及提供服务6.服务性机构提供服务7.向客户开票收款及提供服务信息视角:业务环节客户信息-订单发展战略功能
10、设计策划书配送监测信息回款信息通过信息实现业务支撑信息安全管理措施汇编信息安全设计的基本过程:目标匹配,整体业务和信息,安全架构业务目标信息安全目标安全架构支持业务安全需求信息服务安全要求安全属性准则安全过程信息-安全目标部署安全控制整个系统业务目标-安全准则安全架构交付运行闭环:度量-偏差-控制安全架构来之不易管理层与业务部门业务与IT部门IT部门信息安全管理措施汇编业务过程对数据的依赖或数据对业务流程的作用业务过程输入输出信息流能量流物流资金流信息流能量流物流资金流业务过程的结构信息的作用通过应用系统体现,不同应用系统支持不同业务功能(业务过程类型)经营决策 生产过程(研发、软件开发、制造
11、过程、IT服务、金融服务等)管理过程(财务管理、人力资源管理等)信息的作用(通常是控制)确定:-需明确产品(输出)是什么?可能就是数据,当然也有控制数据 过程控制(制造业-自动生产线,按指令自动执行)-实时性强,完全控制生产线,与生产线同步,决定生产效率 过程管理(软件开发项目管理,过程执行的提示、判断,人根据判断结果执行下面的步骤)-非同步,提高效率、质量,降低成本-辅助 决策支持(BI等)知识查询/辅助 过程记录 产品(流程单元)-决定流程绩效和质量、成本等信息安全管理措施汇编信息的价值与业务过程和时效性密切相关在不同业务环节(岗位)使用在生命周期内使用同样信息不同时间段在不同的应用中使用
12、信息价值 决策 执行 监督时间敏感性 业务高峰 业务低谷 需求规格 设计 归档 核心业务 一般业务与业务处理环节相关:关键环节-组织自定义 关键路径上的环节 产能瓶颈环节-决定运营绩效时效性:业务峰值-决定保护强度 起作用的时间周期-通常业务数据使用后价值大大降低(过业务操作期限-实时业务)业务相关:业务自身的重要程度综合考虑赋值:重要的业务、处于业务高峰、在使用周期内、关键环节上的数据赋值最高信息价值的依据信息价值的依据信息安全管理措施汇编支持性资产识别:从业务过程入手,层次推进,识别资产及依赖关系录入检查交易业务过程管理数据依赖程度凭证完全依赖(价值)应用软件:支付清算、开发、帐号管理等基
13、础软件:OS、DB业务过程数据应用软件基础软件硬件上下依赖关系:被依赖的对象的价值取决于依赖对象,如硬件价值取决于软件 有些依赖程度与组织具体情况相关 这里的价值主要是业务生产(产品或服务)方面的价值,其余的维护维修价值不在此列 人是核心,是特别的“资产”人的工作依赖于应用软件依赖于IT硬件信息安全管理措施汇编物理层面网络层面系统层面信息安全的层次:数据安全是根本,系统安全是基础,业务安全是目标物理环境物理设备存储介质通信设施网络边界网络区域网络设备安全设备服务器DB主机存储系统中间件决策支持管理系统数据处理智能应用应用层面客户交易与业务价值:业务安全虚拟化信息准则-IT服务或能力应用安全主机
14、安全网络安全物理安全数据安全系统安全信息安全 大部分安全措施不属于IS的四个层面 投入分布导致任务信息安全就是系统安全 侧重系统安全,导致忽视信息在整个业务中的贯穿作用,信息孤岛之外出现“安全孤岛-安全缺乏整体性”-随一个服务器或应用部署安全措施 不怎么理解业务过程,对信息安全在组织的本质理解不足,信息安全风险是无源之水 业务运营和信息安全管理脱节太多信息安全管理措施汇编信息安全的误读:认为系统安全是全部!执行过程 业务部门提出安全需求,侧重数据保密、应用系统帐号与权限、性能需求 整体网络环境的安全需求由IT部门自主把握 缺失之处 IT部门极少研究组织整体的业务流程、数据资源及流转情况(需要数
15、据资源规划)、业务对数据的依赖程度等 业务是分割的,信息是孤立的,安全也是孤立的(或者说整体性-体系性)不足 结果 业务和安全条块分割的结果是,一种安全状态(无论怎么实施,一定时间内的信息安全状况是固定的)由不同的人,采用不同的描述方式(目标、语法、语义等)描述,整体性和关联性不足 信息安全是“系统安全”,是IT部门的工作,实践中是自下而上的工作,IT部门疲于奔命信息安全管理措施汇编3、信息安全实施效果,从业务安全需求入手,度量效果是否满足需求明确保护对象选择适度控制安全部署集成安全效果度量 CIA不是笼统的,不同业务的不同数据CIA不同 数据的差异性应该体现出来-通过分级 根据差异性选择对应
16、的控制措施 控制措施的选择考虑数据价值和投入成本的均衡 技术措施:部署不同系统层面 管理措施:确保技术措施的有效利用 技术和管理措施的有效性 安全强度-抗攻击能力-偏差以业务绩效满足与否为目标控制业务中的信息安全风险信息安全管理措施汇编业务中的风险因素:信息和IT资产与其他资源因素一样,是业务风险的可能来源业务过程输入输出信息流能量流物流资金流信息流能量流物流资金流业务过程的结构支持业务过程的关键资产(资源)人力资产金融资产实物资产知识产权资产信息和IT资产关系资产对待IT和信息 是完成业务过程的资源之一,与其他的资源一样 是资源就有产能 是否足以支持理论产能 空闲产能?是否过大 一样的作用,
17、就一样的分摊成本和共享业务价值 根据业务产能等指标赋值信息安全管理措施汇编ISMS是企业风险管理的一部分(PDCA持续改进的风险管理)美国内控研究委员美国内控研究委员会会企业风险管理是一套由企业董事会与管理层共同设立、与企业战略相结合的管理流程。它的功能是识别那些会影响企业运作的潜在事件和把相关的风险管理到一个企业可接受的水平,从而帮助企业达至它的目标。企业风险管理整合框架企业风险管理整合框架风险管理是一个过程,受企业董事会、管理层和其他员工的影响,包括内部控制及其在战略和整个公司的应用,旨在为实现经营的效率和效果、财务报告的可靠性以及法律法规的遵循提供合理保证。结论:从业务风险的整体视角看,
18、没有所谓的信息安全风险,它是组织业务风险的一部分 信息安全风险管理本质上是将信息对业务的风险控制到可容忍的程度内,不了解业务就无法界定可容忍程度 信息安全风险因素(威胁、脆弱性等)是业务风险识别中的潜在原因(cause甚至reason)信息安全风险的影响值必须基于业务绩效(损失)来度量信息安全管理措施汇编风险与业务场景:风险识别需要关注内外环境,依据业务理顺原因和责任链 财务报表欺骗 产品需求错误战略决策信息不准 产品设计不当 业务终端DoS管理员口令破解 缓冲区溢出攻击 客户订单失准 业务人员误操作工单众多风险:看似散乱内部环境外部环境政策社会技术客户经济1234567891283其余的是内
19、部环境284791356 风险是什么 风险分布 风险程度(范围和深度)信息安全管理措施汇编小结:构建ISMS中的四个关键点从顶层识别安全需求,自上而下进行风险管理通过风险管理保障业务安全1234组织环境识别关键业务和相关方相关方安全的期望确定ISMS范围。明确协作要求从相关方及期望入手-首先是经营管理范围其次才是信息及处理设施的范围风险-机会与应对识别宏观层面的风险和机会-应对它们的活动-纳入ISMS中风险分类:经营管理视角层面的分类-四个目标(战略、财务、经营与合规)通过度量和管理评审,明确安全价值ISMS有效执行风险处置措施的价值:需归结到宏观层面的分类上-对应四个目标顶层设计协作范围风险
20、趋向价值度量信息安全管理措施汇编软件开发与信息安全管理:既自成体系,又相互融合项目获取需求开发设计与实现测试安装部署验收需求说明书设计书测试用例、报告上线报告效率过程确认评审验证确认保障过程现有软件开发过程安全风险控制过程相对完整的软件开发过程安全功能确认安全设计安全功能测试、测试用例保护验收性测试(独立性)外包安全需要基本安全开发环境访问权限知识产权交付管理需要支撑安全“信息安全管理”融入到现有软件开发过程中信息安全管理措施汇编主题二1 12 23 34 45 5关于信息安全的定位安全管理措施信息安全风险的基本概念小结信息安全等级保护简介信息安全管理措施汇编关于安全的说法很多,是否有一个衔接
21、这些说法的综合概念?24综合概念:安全风险业务层面:企业风险业务风险风险可接受程度IT系统层面:物理、网络、系统、应用、数据纵深防御不被破坏:威胁和脆弱性不同的人对被破坏的看法和程度不一致越有序越安全风险度量基准?用业务绩效安全价值:安全投入:没有绝对安全,投入适度安全产出:功能强度适度-抗攻击能力适度威胁和脆弱性资产和安全措施安全等级部署安全措施,获得抗攻击能力或更有序对业务的抗攻击或有序安全结构对业务的保护需要有明确的判断结果安全价值不满足,产生新安全需求信息安全管理措施汇编信息安全风险基本概念:生活中的?25资产=100块钱 弱点=打瞌睡影响=钱损失,晚上没饭吃威胁=小偷偷钱风险、风险评
22、估、风险管理?情景假设:口袋里有100块钱,因为打瞌睡,被小偷偷走了,搞得晚上没饭吃。某证券公司的数据库服务器因为存在RPC DCOM的漏洞,遭到入侵者攻击,被迫中断3天。威胁 RPC DCOM漏洞资产 服务器遭到入侵影响 数据库服务器弱点 中断三天风险、风险评估、风险管理?信息安全管理措施汇编信息安全风险:综合安全相关因素的概念业务战略脆弱性IT资产威胁风险业务价值安全需求IT安全控制残余风险安全事件依赖具有被满足成本意图保障暴露利用演变诱发为有价值的未完全削减导出增加未被满足控制防御修补业务是根本技术保障决策过程和内容过去现在未来26信息安全管理措施汇编脆弱性 释义:不足之处 Bug:软件
23、实现中存在的问题,包括功能不当、代码结构不当、代码错误等,安全问题是bug集合的子集,是安全视角看bug但安全问题不局限于软件bug,硬件问题、安全管理问题等均是“问题”错误:安全实现不当 隐患:潜藏的不安全、不稳定因素,可能被诱发识别能力要求强 弱点和薄弱之处:没有按照既定要求实现,或者实现过程不当导致的强度问题 脆弱性:强度不足,可能是弱点,可能是威胁者太强27 期望或标准 比较、识别 潜伏期 Bug需求期望 弱点和薄弱之处标准、结果明显 脆弱性标准、模糊 隐患模糊信息安全管理措施汇编实践中的脆弱性 系统结构系统结构 系统配置系统配置Bug、错误、漏洞软件软件材料质量、结构、老化硬件硬件
24、安全功能配置的粒度,如主客体粒度不足安全功能安全功能 密码等算法的强度安全功能安全功能信息安全管理措施汇编脆弱性的类型 错误 弱点威胁者能力要求 不当,或信任过度 很容易 弱点 隐患 脆弱性威胁者能力要求 强度问题 需要一定爬墙能力:小孩被屏蔽无口令;部署错误口令弱信息安全管理措施汇编脆弱性的类型30 弱点 脆弱性威胁者能力要求 强度不足 需要有较强的挖墙能力 隐患 脆弱性威胁者能力要求 强度的相对性问题 防君子不防小人对能力很强的人鉴别机制存在问题,失败阈值业务和安全强度策划不当信息安全管理措施汇编脆弱性类型31 对常人来说,不算脆弱性 对军队而言,古代不算现代火箭炮来说可能是脆弱性没有绝对
25、的安全信息安全管理措施汇编威胁者行为,从识别脆弱性开始互联网常见网络应用:邮件、Web浏览等存储备份OS、应用软件:CVE漏洞安全策略配置不当,如口令简单网络协议:协议软件漏洞协议自身安全问题,如协议信息明文传输安全功能配置不当抗DoS攻击能力不足漏报和误报新攻击模式识别能力不足安全管理人员人员安全意识淡漠人员能力不足人员职能关联不足安全投资决策失误弱点来源设计中实现中运维管理中信息安全管理措施汇编防御措施:漏洞扫描,预先识别脆弱性主动发现漏洞并修补之信息安全管理措施汇编补丁公告已有设备:补丁操作系统补丁信息安全管理措施汇编脆弱性:出现的阶段产品周期内351)需求不当2)设计不当3)实现不当
26、架构问题 模块问题 程序逻辑问题 输入输出问题信息安全管理措施汇编脆弱性:出现的阶段产品周期内 需求不当 责任:需求分析规划和管理层 识别:在后期很难发现,需要综合分析,甚至客户检验 影响:作为开发标准,影响最大由客户检验是最糟糕的 成本:若后期发现,修改成本大 设计不当 责任:设计人员 识别:可逻辑推理,亦可测试检验;客户需求得到确认 影响:作为实现标准,影响“中”成本:后期发现,成本中 实现不当 责任:具体技术人员 识别:测试 影响:低 成本:修补成本低36信息安全管理措施汇编脆弱性:小结视角37脆弱性标准发生阶段类型与影响寄生体修补与成本威胁者 强度标准:自身 相对性:威胁者 架构 模块
27、 程序逻辑 输入输出 开发团队公司 客户 成本 生命周期 影响程度 修补与否?措施选择:适度 主动方 不确定性 能力与相对性信息安全管理措施汇编关于威胁攻击方人的行为 目的、动机 个人或团队 地点:互联网的任何处 对象:有价值、有脆弱性的IT资产或设备、有结构的路线 手段:专家分析操作方式工具 影响:对防御的破坏设备到业务应用 成本:时间、工具、被抓获38信息安全管理措施汇编威胁轮廓:威胁分类的依据攻击者攻击方法非授权入侵攻击目的黑客间谍恐怖分子故意破坏者职业犯罪设计脆弱性结构脆弱性实现脆弱性脆弱性行为授权欺骗复制修改试探扫描洪水旁路读取窃取删除目标账户数据计算机互联网方法要素网络增进入侵信息
28、泄漏信息破坏拒绝服务资源窃取地位政治经济破坏物理攻击信息交换用户命令脚本程序自动代理工具包分布式工具数据分流信息安全管理措施汇编威胁轮廓 威胁轮廓 目标 威胁者具体威胁方法 脆弱性集合 威胁路线集 威胁路线 路线构成 物理和逻辑结合 路线重要性 脆弱性可利用程度 威胁是否能够发生 将资产、脆弱性和威胁贯穿起来信息安全管理措施汇编威胁分类:直接目标权限提升型包括权限提升信息泄漏欺骗攻击不可否认破坏性包括恶意代码拒绝服务数据篡改41信息安全管理措施汇编威胁或攻击路线,脆弱性的利用不是一件容易的事情物理路线逻辑路线:物理路线上漏洞间的关联关系信息安全管理措施汇编面对威胁的应对措施分析示例:遏制威胁,
29、修补漏洞应对措施应对措施针对性针对性应对者的态度应对者的态度进程查看进程查看可能恶意进程查看可能恶意进程查看主动主动补丁补丁漏洞漏洞被动被动防火墙防火墙非法网络访问非法网络访问被动:威胁被动:威胁防病毒防病毒数据内容数据内容威胁:主动威胁:主动IDSIDS网络数据流中可能的恶意行网络数据流中可能的恶意行为为威胁:主动威胁:主动漏洞扫描漏洞扫描漏洞识别漏洞识别主动主动备份与恢复备份与恢复预防与应对可能的损害预防与应对可能的损害主动主动信息安全管理措施汇编已有设备:防火墙启动开启防火墙信息安全管理措施汇编已有设备:防病毒启用和自定义信息安全管理措施汇编增加设备:部署IDS信息安全管理措施汇编要重视
30、社会工程,威胁和脆弱性合一团队和谐愿景运营管理奖惩(赏罚分明)文化有人有私心堡垒最易从内部攻破CEO:发展与保障的态度快速发展:安全通常难以兼顾稳打稳扎:安全通常有好的基础信息安全管理措施汇编信息安全攻击,也应从上兵伐谋开始纲举目张核心竞争力相关的信息目标:胜敌、战斗达到怎样的程度?最活跃的因素管理层业务人员研发人员市场和销售人员财务人员攻与防博弈的场所信息处理、存储、传输安全措施约束人的操作行为无时或忘上班:信息处理、传输和存储下班:移动设备的保护、商业敏感性安全技术、智慧、过程控制研发与对外合作发表文章演讲商业谈判控制、监督与跟踪信息安全管理措施汇编小结:安全风险因素技术视角:设备或平台隐
31、患导致的风险 物理安全风险:UPS、盗窃等隐患 网络安全风险:VLAN混乱、交换机弱口令 主机安全风险:Windows漏洞、弱口令 应用安全风险:数据未加密、弱口令、代码错误 数据安全风险:数据备份强度不足 终端安全风险:未安装防病毒软件、未打补丁当然,人的安全不可或缺!业务视角:操作风险、影响的结果:业务过程中的信息安全风险:数据价值、追求效率忽视安全 脆弱性威胁源或隐患特性视角:自然灾害或人为故障 黑客攻击风险(如缓冲区溢出攻击、SQL攻击等)恶意代码风险(如病毒、木马、网络钓鱼)运维计划12根本系统安全主动风险因素信息安全管理措施汇编主题三1 12 23 34 45 5关于信息安全的定位
32、安全管理措施信息安全风险的基本概念小结信息安全等级保护简介信息安全管理措施汇编安全的基本原则和工作过程信息安全,预防为主,技术为辅颁布标准执行检查督促整改持续运转 制度、策略 检查指标 执行不当 隐患 明确改进措施 复查 PDCA的递进过程 等级保护 27001 审计 风险评估 针对威胁、脆弱性 年审 报告信息安全管理措施汇编安全管理人员的工作:日常工作之外,需要注意管理闭环信息安全原则:预防为主,适度安全!运行安全项目建设 监测/检测 巡检 报警 处理 评估 报告 问题分析 风险接受策略 需求与立项 选型-方案 集成部署严重风险根本原因运行效果安全目标绩效度量信息安全管理措施汇编管理措施分类
33、,从一个简单的例子入手口令破解被盗用1)口令简单12345,这是直观的技术原因2)深入的:有没有关于口令的策略要求?规定不得全是数字构成?3)再深入:有没有人根据策略定期检查?4)更深入:有没有人对检查过程和结果进行监督?5)最后:有没有回顾当初购买口令产品时投资决策的合理性?考虑其灵活性、长远性?决策失误24)都是管理的原因,涵盖:策略要求按章执行监督检查决策科学 技术是表象和直接因素,管理才是背后深层次的原因 安全效果如何最终取决于管理水平,技术易做,管理难行信息安全管理措施汇编安全管理措施分类,考虑风险背后的原因了解程度使用少缺乏文档知识积累深层次原因分析深层次原因分析一定是管理问题一定
34、是管理问题有效利用程度功能配置率低资源利用率低运维管理程度缺乏系统性的文档体系,如流程文档、操作手册等业务支持程度非重要业务设备,忽视配置与管理合规程度缺乏标准作为依据缺乏标准化工作方法提高意识和认识提高意识和认识讲究价值指标讲究价值指标:功能功能/成本成本关注对业务支持关注对业务支持及关联关系及关联关系提高执行力提高执行力降低对人的依赖降低对人的依赖更高程度的更高程度的安全管理模式安全管理模式信息安全管理措施汇编风险背后的原因:总是意识、运维、业务与合规-内外环境设备使用率设备使用率1)配置率)配置率2)文档规范)文档规范和完整程度和完整程度1)文档规范)文档规范和完整程度和完整程度2)执行
35、状况)执行状况业务支持率业务支持率对标准符对标准符合程度合程度功能使用频率功能使用频率说明手册、记录说明手册、记录正确使用的功能正确使用的功能策略的完备性策略的完备性功能有效程度功能有效程度事件发生或对目标事件发生或对目标的符合程度的符合程度制度要求的一致性制度要求的一致性人员关系的协调人员关系的协调每人的操作程序每人的操作程序第三方监督记录第三方监督记录方法和技术的适用范围方法和技术的适用范围依据的适用范围依据的适用范围法律法规法律法规业务的需求程度:业务的需求程度:成本、有效利用、成本、有效利用、市场适应灵活性、市场适应灵活性、资源约束资源约束信息安全管理措施汇编安全管理措施分类,自上而下
36、,全局分析IT部门工作规范化项目管理组织与岗位制度与流程技术标准化知识管理工作绩效评价IT工作内容和技能要求软件开发管理需求和方案、设备部署、功能和性能配置、测试和上线软件需求、软件设计、代码编程和测试、代码保护等重大变更、审核和测试、风险控制、实施与报告巡检、事件请求和报告、协调、处理、用户满意度关注IT部署与集成IT运维管理重点项目实施信息资源归档、分类、分级;信息安全保障体系建设信息安全保障面向管理层的IT管理工作年度工作计划IT投资预算IT价值和绩效IT部门工作报告重大IT事项报告信息安全发展报告决策与计划标准化、体系化:策略、监督与检查执行:部署与实现信息安全管理措施汇编安全事件:如
37、何防患于未然携程网被爆出重大安全漏洞 安全支付日志可遍历下载和源代码包可直接下载。被泄露的支付日志的信息包括了:持卡人姓名、身份证、银行卡类别、银行卡号、CVV码和银行卡6位Bin等,这些信息可被用于盗刷卡。其后携程确认了漏洞,称已经在漏洞发布两小时 内修复该问题,没有发生盗刷的情况。目前已有大量用户对相关信用卡进行了挂失处理,而专家也建议用户拨打对应银行的客服电话申请停卡,或直接办理挂失。乌云漏洞前已经通过该漏洞获取安全日志,由于日志采用的是明文记录,黑客无需破解就可以拿到支付数据目录遍历。违规:根据中国银联风险管理委员会2008年发布的银联卡收单机构账户信息安全管理标准中命令禁止本地保存银
38、行卡信息:“各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。”安全配置不当:保存日志的服务器未做严格的安全配置,支付过程中的调试数据可被黑客获取。对这一行为,此前携程在接受媒体采访时的回答是:携程网采用的信用卡支付方式符合国际惯例。事件描述漏洞描述原因分析信息安全管理措施汇编安全事件发生及解决之道:PDCA示例现状描述问题分析解决方法方案实施解决效果事件现状抓图的组织逻辑(技术便于诊断分析)技术分析应对措施过程和组织流程职能部门技术方案产品/措施选型投入-产出估算实施路径部署集成效果测试技术度量标准:
39、标准现状检测和对比结果人员继续度量事件解决过程-事后事前的工作?安全预防为主信息安全管理措施汇编理解IT人员的工作:任务众多的IT运维管理工作灾备管理灾备策略灾备切换应急流程资产识别与管理数据文档计算环境软件管理系统软件应用软件专用设备机房设备网络管理介质管理网络区域网络地址文档管理访问管理变更操作技术操作安装部署自动分发系统软件系统变更应用变更用户管理网络访问数据变更补丁管理操作变更数据访问机房访问应用软件VPN访问维修变更网络变更监测故障监测网络监测虚拟化监测应用监测机房监测主机监测网络设备安全设备存储设备负载均衡物理设施服务器中间件监测性能监测-恶意软件防护-备份-日志和监控-运行软件控
40、制(补丁管理等)-脆弱性管理-审计与控制信息安全管理措施汇编安全管理人员一天的工作,解决问题,治标和治本并行日常运维管理项目工作巡检资产-配置操作请求-事件处理记录与报告需求确定供应商选择产品-服务实施验收风险评估处置计划安全管理人员访问控制-通信系统获取-开发定期计划记录记录岗位计划记录实施计划大的安全事件;需求驱动信息安全管理措施汇编示例:服务器安全巡检基准:明确的策略要求方法:人工核查,渗透测试结果:与策略的符合性判断整改:达到的标准-方案疑问:策略中应该包括哪些要求信息安全管理措施汇编发现问题,如何加固 问题发现 缺乏制度或策略规定 口令简单 整改意见 给出判断依据银监会计算机安全规定
41、 达到的目标:口令12个字符 限期:1月 报告或复评:提交给科技风险管理部 被检查方的疑惑 直接配置修改?需要走怎样的流程?监督、复审?信息安全管理措施汇编口令修改操作引发的思考,常见的情景-牛人的世界和程序控制的世界口令简单修改执行规模小或技术高明IT人员直观的工作方法口令简单口令修改操作程序细心的IT人员的工作方法修改执行口令简单制定修改方案方案审核和测试修改执行过程严格的IT人员工作方法分界线的标准?分界线的标准?情景一情景二情景三含策略信息安全管理措施汇编三种情景的对比,效率、成本和风险的均衡 任务和责任明确、风险分担 严谨、工作成熟度高 知识积累完善 逐步降低对人的依赖 人员分工细化
42、正面变化 显得繁琐 初始降低效率 参与人员增多 增加管理人员工作量负面变化作业程序:为什么需要作业程序,适用场景?审核测试:为什么需要它,适用场景?程序越来越复杂 效率可能降低 风险呢?信息安全管理措施汇编牛人的困惑,用得着这么复杂;程序控制将技术问题复杂化,将技术问题变化为管理问题口令强度:密码算法、配置口令加固:本地安全策略账号配置信任什么:如何确保加固工作可控?信人,还是相信程序?风险控制:加固工作存在什么风险?有应对措施吗,应对措施可靠吗?绩效度量:加固工作进展和效果如何,量化指标和度量方法?牛人的技术自信管理层的考量:共性、可重复、绩效-闭环技术问题管理问题信息安全管理措施汇编“情景
43、一、二”的安全管理工作的分析工作过程识别安全隐患针对安全隐患给出改进措施改进措施的执行由“牛人”负责执行与PDCA的对比:P:通过安全风险评估(只是隐患识别一部分)确定安全需求,提出处置建议D:有专人执行处置措施C、A:可能有检查安全状况的活动,可能有定期安全汇报实时性不足文件情况:一级文件:可能没有明确的、全企业范围内的安全目标,很可能有基于可用性的风险接受准则二级文件:可能有口令安全策略文件,内含基本的检查和策略性要求三级文件:看供应商是否提供配置指南四级文件:工作记录由牛人自主现状剖析与改进优势:改进快,短期内效率高安全策略在牛人的记忆中,反应快安全人员少,一岗多人,牛人利用程度高(人员
44、利用不均衡)检查和执行任务安排灵活,适用于小规模系统不足:缺乏规程和记录,成熟度不足依赖于牛人,不同人执行的效果相差大缺乏统筹的发布计划 缺乏全局安全目标和方法,安全职责上下层人员关联不足体系文件缺乏主动完善力量适用环境:1)牛人的工作方法适合于怎样的环境;2)情景一、二的适用环境;3)管理层的考量是否有道理,适用环境。信息安全管理措施汇编各自的适用场景改进方向:1)更复杂和重要的环境中的变更管理;2)具备共性、可操作的度量指标。情景一:1)依赖牛人的记忆,牛人的技能;2)其他人来做呢?3)万一失手,责任算谁的,管理层的?情景二:操作规程。1)其他人也可以实施;2)实施方案或操作的可靠程度?2
45、)风险和责任归属?情景三:1)其他人可实施;2)管理层了解方案的风险和应对措施,管理层可为结果负责;3)可重复程度高资产重要性低规范性不足资产重要性低降低人员成本资产重要性高环境复杂企业规模 小 大信息安全管理措施汇编情景三:影响程度和责任范围是一般设备还是关键设备(如数据库主机)1是否影响业务运行2操作方法是否可行(如经过测试)3是否需要购买新产品4影响和责任系统管理员业务主管IT主管项目管理口令简单制定修改方案方案审核和测试信息安全管理措施汇编影响程度和责任范围现场操作是否需要业务人员配合1是否需要厂商支持2是否需要服务商(如制定专门运维制度)3是否需要通知可能被影响的其他人员4业务操作人
46、员技术支持人员IT服务顾问其他人员方案审核和测试修改执行信息安全管理措施汇编问题的深入剖析:管理的要求比技术内容多强度和加固信任什么风险控制绩效度量口令强度:复杂程度长度登录阈值变更周期存储方式传输方式场景和系统-重要性,操作可能不同必要的程序:风险三道防线-纵深防御人的能力和精力有限人的立场、利益-制衡和职责分离变更管理:控制风险为目标-较大变更的控制方案-测试-风险-应对措施评审-风险分担绩效度量:实施成功率工作时间口令有效程度残余风险成本重要系统风险大信息安全管理措施汇编需要哪些管理程序或活动强度和加固口令强度:复杂程度长度登录阈值变更周期存储方式传输方式场景和系统-重要性,操作可能不同
47、安全策略制定资产管理:资产分类 资产分级 资产责任组织环境:业务和IT规模 物理环境信息安全管理措施汇编需要哪些管理程序或活动信任什么必要的程序:风险三道防线-纵深防御人的能力和精力有限人的立场、利益-制衡和职责分离风险管理:风险识别 风险评价 应对措施安全组织:组织结构 角色 职责分离人力资源安全:任用条件 保密协议 安全责任和纪律 涉及的主要人员实施人员:服务台、系统管理员、测试人员决策人员:IT主管、业务主管、项目主管、高层的委员会之类的外部支持人员:厂商、服务商质量和监督人员:安全管理员信息安全管理措施汇编需要哪些管理程序或活动风险控制变更管理:控制风险为目标-较大变更的控制方案-测试
48、-风险-应对措施评审-风险分担安全组织:变更管理组织 角色和职责分离:制定、评审、测试运行安全:变更管理 操作程序文件化变更执行:访问控制 通信安全:网络隔离与控制供应商管理:供应商安全 供应商交付若需要购买新产品信息安全管理措施汇编需要哪些管理程序或活动绩效度量绩效度量:实施成功率工作时间口令有效程度残余风险成本风险管理:风险识别 风险评价 应对措施符合性:安全策略的符合性 技术符合性评审持续运行:安全事件管理 业务持续性中的信息安全 运行安全:日志、数据备份 访问控制:鉴别信息管理、用户责任信息安全管理措施汇编口令检查中涉及哪些管理要素:且看27001的内容4.组织环境5.领导力6.体系策
49、划7.支持8.运行与控制9.绩效度量10.持续改进PDCA的要求A.5安全策略A.6组织安全A.7人力资源安全A.8资产管理A.9访问控制A.10密码支持A.11物理与环境安全A.12运行安全A.13通信安全A.14系统获取、开发与维护A.15供应商管理A.16安全事件管理A.17业务持续中的信息安全A.18符合性14个控制域信息安全管理措施汇编涉及的非技术因素:总共12个要素服务器:资产分类和分级人力资源和安全组织访问控制-变更管理(运行安全)-通信安全操作约束和风险控制安全策略依据物理和环境安全:边界、安全区域支撑运行安全、安全事件、持续性、有效性现状-改进-持续运行A.9、12、13、1
50、6-17-18A.6-7A.5A.8A.11供应商管理新产品替换A.15信息安全管理措施汇编口令检查和改进中涉及的技术和管理巡检问题与改进安全策略配置操作-技术差距-隐患安全策略-更新技术方案:访问控制、运行安全(文件化)、资产分级变更管理变更组织风险控制测试和审核执行:物理安全、访问控制、网络管理新产品:供应商管理持续改进?运行安全:安全状态安全事件持续性管理符合:技术有效性A.9、12A.6-7A.5A.8A.9、11、13A.15A.12、16-17-18密码支持是基础系统获取与开发暂时未涉及信息安全管理措施汇编具体点:技术和管理的关系,偶然和必然的关系DB服务器常见安全工作:工具或人工
