基本安全管理措施
DESCRIPTION
基本安全管理措施. 培训机构名称 讲师名字. 人力资源安全. 访问控制. 安全 方针. 物理与环境安全. 信息 系统 获取、开发和维护. 信息安全 事件 管理 与应急响应. 信息安全组织. 资产管理. 符合 性. 通信 和 操作 管理. 业务连续性 管理与 灾难恢复. 课程 内容. 基本安全 管理措施. 信息安全管理 措施. 重要安全 管理过程. 知识体. 知识域. 知识子域. 基本安全管理措施. 信息安全管理措施 理解安全管理控制措施是管理风险的具体手段 了解 8 个基本安全管理控制措施的基本内容 知识子域:安全方针 - PowerPoint PPT PresentationTRANSCRIPT
基本安全管理措施
培训机构名称讲师名字
课程内容
2
信息安全管理措施
知识体 知识域
基本安全管理措施
重要安全管理过程
知识子域
安全方针人力资源安全
访问控制
物理与环境安全
信息系统获取、开发和维护
通信和操作管理
信息安全组织资产管理
符合性
信息安全事件管理与应急响应
业务连续性管理与灾难恢复
信息安全管理措施 理解安全管理控制措施是管理风险的具体手段 了解 8 个基本安全管理控制措施的基本内容
• 知识子域:安全方针• 知识子域:人力资源安全• 知识子域:信息安全组织• 知识子域:资产管理• 知识子域:物理与环境安全• 知识子域:通信和操作管理• 知识子域:访问控制• 知识子域:符合性
基本安全管理措施
3
信息安全的内涵与定义
内涵 保障企业各类信息资产免于“不可承受
的风险”的所有战略、程序与机制考虑所有信息资产的:
保密性 (Confidentiality) :保证信息只让合法用户访问;
完整性 (Integrity) :保障信息及其处理方法的准确性( accuracy )、完全性( completeness );
可用性 (Availability) :保证合法用户在需要时可以访问到信息及相关资产。
范围: 关心的群体(总 / 分 / 子公司)、信息系统设备、人员、信息
记录、服务
完整性 保密性
可用性
风险
4
为什么要信息安全管理
信息安全的成败取决于两个因素:技术和管理。 安全技术是信息安全的构筑材料,安全管理是真正的粘合
剂和催化剂。 一项令人沮丧的调查结果:虽然 90% 的系统安装有防病毒
软件,但这些系统中依然有 85% 感染了计算机病毒;虽然89% 的系统安装有防火墙, 60% 的系统安装有入侵检测系统,但这些系统中依然有 90% 有安全漏洞, 40% 遭受了外来的入侵。
“We've deployed firewalls, virus scanning, and even intrusion detection.
Yet we are still getting hit. Hmmm, maybe technology is not the whole
solution?” 人们常说,三分技术,七分管理,可见管理对信息安全的
重要性。 5
信息安全管理
现实世界里大多数安全事件的发生和安全隐患的存在,与其说是技术上的原因,不如说是管理不善造成的,理解并重视管理对于信息安全的关键作用,对于真正实现信息安全目标来说尤其重要。
信息安全管理( Information Security Management )作为组织完整的管理体系中一个重要的环节,它构成了信息安全具有能动性的部分,是指导和控制组织的关于信息安全风险的相互协调的活动,其针对对象就是组织的信息资产。
6
基于风险分析的安全管理方法
信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动。
信息安全方针方针为信息安全管理提供导向和支持。
控制目标与控制措施的选择应该建立在风险评估的基础上。
考虑控制成本与风险平衡的原则,将风险降低到组织可接受的水平。
需要全员参与。遵循管理的一般模式—— PDCA模型。
7
什么是控制措施
什么是控制措施 管理风险的方法。为达成企业目标提供合理保证,并
能预防、检查和纠正风险。 它们可以是行政、技术、管理、法律等方面的措施。 控制措施的分类:
• 预防性控制• 检查性控制• 纠正性控制
8
控制措施分类
预防性控制措施:在问题发生前潜在问题,并作出纠正 仅雇佣胜任的人员 职责分工 使用访问控制软件,只允许授权用户访问敏感文件
检查性控制:检查控制发生的错误、疏漏或蓄意行为 生产作业中设置检查点 网络通信过程中的 Echo 控制 内部审计
纠正性控制:减少危害影响,修复检查性控制发现的问题 意外处理计划 备份流程 恢复运营流程
9
信息安全管理控制措施的作用
符合控制标准?
持续改进
调整
完善信息安全治理结构
风险评估
安全规划
信息安全管理框架
管理措施 技术手段
信息系统安全审计
信息安全管理框架
10
信息安全实施细则
信息安全方针安全组织资产分类和控制人员安全物理和环境安全通信和操作管理访问控制系统获得、开发和维护信息安全事件管理业务连续性管理依从性
Part 1 – 提供一套由最佳惯例构成的安全控制,涉及11 个方面,包括 39 个控制目标和 133 项控制措施,可作为参考文件使用,但并不是认证评审的依据。
ISO/IEC 27002:2005
11
信息安全实施细则——组织结构
每个主要安全类别,包括: 一个控制目标,声明要实现什么 一个或多个控制措施,可被用于实现该控制目标
控制:是对该控制措施的定义 实施指南:是对实施该控制措施的指导性说明 其它信息:其它需要说明的补充信息
不是所有的控制措施适用于任何场合,它也不会考虑到使用者的具体环境和技术限制,也不可能对一个组织中所有人都适用。
不是所有的控制措施适用于任何场合,它也不会考虑到使用者的具体环境和技术限制,也不可能对一个组织中所有人都适用。
12
信息安全实施细则
11个方面 39个目标 133个控制措施
13
信息安全实施细则
ISO/IEC 27002:2005前言简介
什么是信息安全 (信息是一种资产,有多种存在形式,应该通过有效控制加以保护)为什么需要信息安全如何建立安全需求 (安全需求的三个来源)评估安全风险 (安全需求经过系统地评估安全风险而得到确认 )选择控制 (安全控制可以从 7799或其它有关标准选择,也可以自己设计满足特定要求的控制 )信息安全起点 (基于法律要求和信息安全最佳实践来选择控制措施)关键的成功因素开发你自己的指南
1 范围2 术语和定义
2.1 定义3 本标准的结构
3.1 条款3.2 主安全目录
4 风险评估和处理 4.1 评估安全风险 4.2 处理安全风险
14
1.安全方针
15
Why?
有没有遇到过这样的事情? 案例 1 有单位领导说:“听说信息安全工作很重
要,可是我不知道对于我们单位来说到底有多重要,也不知道究竟有哪些信息是需要保护的。”
案例 2 据说作为管理人员要把个人计算机的登录口令设置好,怎么设置才符合要求呢?
这些问题需要在“安全方针”中寻找答案这些问题需要在“安全方针”中寻找答案
16
具体解释 -1
信息安全方针是陈述管理者的管理意图,说明信息安全工作目标和原则的文件
信息安全方针文件的作用是说明业务要求和法律法规对于信息安全的要求,为安全管理工作提供指导和支持
信息安全方针应当说明以下问题:本单位信息安全的整体目标、范围以及重要性;信息安全工作的基本原则;风险评估和风险控制措施的架构;需要遵守的法规和制度;信息安全责任分配;信息系统用户和运行维护人员应该遵守的规则
信息安全方针应当说明以下问题:本单位信息安全的整体目标、范围以及重要性;信息安全工作的基本原则;风险评估和风险控制措施的架构;需要遵守的法规和制度;信息安全责任分配;信息系统用户和运行维护人员应该遵守的规则
17
安全方针目标
目标: 信息安全方针——为信息安全提供与业务需求和法律法规相
一致的管理指示及支持 评审信息安全方针
安全方针应该做到: 对信息安全加以定义 陈述管理层的意图 分派责任 约定信息安全管理的范围 对特定的原则、标准和遵守要求进行说明 对报告可疑安全事件的过程进行说明 定义用以维护策略的复查过程
18
具体解释 -2
策略的种类: 规章性策略 建议性策略 指示性策略
可以包括: 服从法律和合同要求 避免病毒 安全教育要求 系统和数据访问控制 报告安全事故 对恶意行为和不适当访问及使用的惩处行动
19
关键点
信息安全方针主要阐述信息安全工作的原则,具体的技术实现问题,如设备的选型,系统的安全技术方案一般不写在安全方针中
信息安全方针主要阐述信息安全工作的原则,具体的技术实现问题,如设备的选型,系统的安全技术方案一般不写在安全方针中
信息安全方针应符合实际情况,切实可行。对策略的落实尤为重要信息安全方针应符合实际情况,切实可行。对策略的落实尤为重要
信息安全方针不是一成不变的,要根据安全环境的变化以及执行过程中发现的策略本身的问题及时进行更新调整
信息安全方针不是一成不变的,要根据安全环境的变化以及执行过程中发现的策略本身的问题及时进行更新调整
20
举例——《 XX系统信息安全总体策略》
安全方针概述 XX 系统相关信息和支撑系统、程序等,不论它们
以何种形式存在,均是 XX 系统的关键资产。 信息的可用性、完整性和保密性是信息安全的基
本要素,关系到 XX 机关的形象和业务的持续运行。
必须保护这些资产不受威胁侵害。 定义和监督执行 XX 系统网络与信息安全总体策略
是 XX 部门的责任。
21
举例——《 XX系统信息安全总体策略》
安全方针概述资产分类和控制
信息分类• 资产分类:信息资产,包括计算机和网络,应当依据其价值和敏感性以及保密性、完整性和可用性原则进行分类。信息安全主管部门应当根据各自部门的业务特点制定本系统内具体的资产分类与分级方法,并根据分级和分类办法制定明晰的资产清单。
• 敏感信息、关键信息 资产的可审计性
计算机和网络的运行管理
22
2.信息安全组织
23
Why?
有没有遇到过这样的事情? 案例 1 我是一名网络管理员,发现最近来自外部
的病毒攻击很猖獗,要是有 15万买个防毒墙就解决问题了,找谁要这笔钱,谁来采购?
案例 2 我是一名普通工作人员,我的内网计算机上不了外网没办法打补丁,我该找谁获得帮助?
应该有一群人,至少包括单位领导、技术部门和行政部门的人组织在一起,专门负责信息安全的事
应该有一群人,至少包括单位领导、技术部门和行政部门的人组织在一起,专门负责信息安全的事
24
信息安全组织目标
目标: 信息安全基础设施——在组织内部管理信息安全 外部组织——保持组织的被外部组织访问、处理、沟通或管理的信息及信息处理设备的安全
包含的内容: 与第三方签订的协议中应覆盖所有相关的安全要求 建立管理委员会,定义安全管理的角色和责任 对软硬件的采购建立授权过程 外包合同中的安全需求 包括内部组织和外部伙伴
25
具体解释
为有效实施信息安全管理,保障和实施系统的信息安全,在系统内部建立的组织架构。
信息安全责任的重要性 在一个机构中,安全角色与责任的不明确是实施
信息安全过程中的最大障碍,建立安全组织与落实责任是实施信息安全管理的第一步。
26
具体解释 -内部组织
内部组织 目标:在组织内管理信息安全。
8 个控制措施: 信息安全的管理承诺 信息安全协调 信息安全职责的分配 信息处理设施的授权过程 保密性协议 与政府部门的联系 与特定利益集团的联系 信息安全的独立评审
1.企业内部达成共识2.组织的安全建立责任分工划分,不同责任有不同指导原则3.避免流于形式或作假
1.企业内部达成共识2.组织的安全建立责任分工划分,不同责任有不同指导原则3.避免流于形式或作假
27
关键点
高层管理者参与(如本单位信息化领导小组),负责重大决策,提供资源并对工作方向、职责分配给出清晰的说明
高层管理者就是说了算的,可以给人、给钱、给设备,提出工作要求还给与资源保障的人。
高层管理者就是说了算的,可以给人、给钱、给设备,提出工作要求还给与资源保障的人。
28
关键点
不仅仅由信息化技术部门参与,与信息安全相关的部门(如行政、人事、安保、采购、外联)都应参与到组织体系中各司其责,协调配合
信息安全工作和其他工作一样不是某个个人,某个部门就可以完成的。信息技术部门是信息安全组织中的重要执行机构,但不是全部。
信息安全工作和其他工作一样不是某个个人,某个部门就可以完成的。信息技术部门是信息安全组织中的重要执行机构,但不是全部。
29
不同的部门和层次都必须参与进来
外部股东
董事会 策略
业务单元
风险差距
企业管理
性能
性能 关键风险 风险控制措施
战略发展委员会
执行委员会
30
举例—— XX系统领导干部的信息安全责任
信息安全领导小组 信息安全领导小组是各级系统网络与信息安全工
作的最高领导决策机构,它不隶属于任何部门,直接对本单位最高领导负责,信息安全领导小组是一个常设机构。(负责本单位信息安全工作的宏观管理)。
各级信息安全领导小组的组长一般由各级系统的高层领导挂帅,并结合与信息安全相关各职能部门的主要负责人参加。
31
领导小组责任
领导小组责任 落实 XX 系统安全建设的
总体规划 制定本单位安全规划并监督落实
负责组织细化上级规章制度,制定相应程序指南,并监督落实规章制度
负责本单位信息系统安全管理层以上的人员权限授予工作
审阅本单位信息安全报告 组织重大安全事故查处与汇报工作
信息安全领导小组
信息技术部门
业务应用部门
安全保卫部门
人事行政部门
其他有关部门
32
责任划分
信息技术部门对信息系统及信息系统安全保障提供技术决策和技术支持,在技术上对信息系统和信息系统安全保障承担管理责任。
业务应用部门对信息系统的业务处理以及业务流程的安全承担管理责任。
安全保卫部门对信息系统的场地以及系统资产的防灾、防盗、防破坏等承担管理责任。
行政部门从行政上对信息安全保障执行管理工作。各个部门应与信息技术部门协作,共同对信息系
统的建设和运行维护承担管理责任。
33
信息技术部门岗位及其职责
信息技术部门岗位与职责举例信息安全领导小组
信息技术部门
业务应用部门
安全保卫部门
人事行政部门
其他有关部门
34
具体解释 - 外部各方
外部各方 目标:保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全。
3 个控制措施: 与外部各方相关风险的识别 处理与顾客有关的安全问题 处理第三方协议中的安全问题访问风险:1.维护软件设备的承包商2. 清洁、送餐人员3. 外部咨询人员
访问风险:1.维护软件设备的承包商2. 清洁、送餐人员3. 外部咨询人员
35
关键点
要注意充分理由外部资源,与上级主管单位、国家职能部门、设备和基础设施提供商、安全服务商、有关专家保持良好的沟通和合作关系
要注意外来风险,如与第三方机构签订保密协议,监督和限制其活动等
例如与电力部门建立良好的协作关系,停电了, UPS的电也要用光了,电力部门可以开个发电车来解决关键信息系统临时电力供应
例如与电力部门建立良好的协作关系,停电了, UPS的电也要用光了,电力部门可以开个发电车来解决关键信息系统临时电力供应
36
3.人力资源安全
37
Why?
那些曾经发生过的事: 案例一: 2010年 3月中旬,汇丰控股发布公告,其旗下汇丰私人银行 (瑞士 ) 的一名 IT 员工,曾于三年前窃取了银行客户的资料,失窃的资料涉及 1.5万名于 2006年 10月前在瑞士开户的现有客户。有鉴于此,汇丰银行三年来共投放 1亿瑞士法郎,用来将 IT 系统升级并加强保安。这让人想起了《论语》中的一句话:“吾恐季孙之忧,不在颛( zhuan )臾( yu ),而在萧墙之内也。”萧墙之祸比喻灾祸、变乱由内部原因所致。
案例二:某单位负责信息化工作的领导说:“为什么要买防火墙?我们盖楼时是严格按照国家消防有关规定施工的呀!”
38
人力资源安全目标
目标: 雇佣前——确保员工、合同访和第三方用户了解他们的责任
并适合于他们所考虑的角色,减少盗窃、滥用或设施误用的风险。
雇佣中——确保所有的员工、合同方和第三方用户了解信息安全威胁和相关事宜、他们的责任和义务,并在他们的日常工作中支持组织的信息安全方针,减少人为错误的风险。
解聘和变更——确保员工、合同方和第三方用户离开组织或变更雇佣关系时以一种有序的方式进行。
包含的内容: 故意或者无意的人为活动可能给数据和系统造成风险 在正式的工作描述中建立安全责任,员工入职审查
39
具体解释 -1
雇佣(上岗)前 明确人员遵守安全规章制度、执行特定的信息安
全工作、报告安全事件或潜在风险的责任 对担任敏感和重要岗位的人员要考察其身份、学历和技术背景、工作履历和以往的违法违规记录
要在合同或专门的协议中,明确其信息安全职责
40
具体解释 -2
雇佣中 保证其充分了解所在岗位的信息安全角色和职责 有针对性地进行信息安全意识教育和技能培训 及时有效的惩戒措施
41
举例——一些终端管理的现状
员工缺乏基本的安全意识,特别是一些业务人员等,没有进行统一的、系统的安全培训和学习的机会。 由于员工对发生安全问题后造成的后果不负任何责任,从而也就不能有效的督促员工提高自己的安全意识,最终形成恶性循环、导致员工不能严格遵循公司的安全管理制度。• 个人电脑的密码设置为空或者非常脆弱• 系统默认安装,从不进行补丁升级• 拨号上网,给个人以及整个公司带来后门• 启动众多不用的服务
人员层次不同,流动性大,安全意识薄弱而产生病毒泛滥、终端滥用资源、非授权访问、恶意终端破坏、信息泄露等安全事件不胜枚举。
人员层次不同,流动性大,安全意识薄弱而产生病毒泛滥、终端滥用资源、非授权访问、恶意终端破坏、信息泄露等安全事件不胜枚举。
42
具体解释 -3
离职人员存在的安全隐患 未删除的帐户 未收回的各种权限
• VPN 、远程主机、企业邮箱和 VoIP等应用 其它隐含信息
• 网络机构、规划,存在的漏洞• 同事的帐户、口令和使用习惯等
这些信息和权限如果被离职的员工和攻击者们恶意利用,很容易导致信息安全故障这些信息和权限如果被离职的员工和攻击者们恶意利用,很容易导致信息安全故障
43
具体解释 -4
离职 终止职责,通知相关人员人事变化,明确离职后仍
需遵守的责任规定 归还资产,保证离职人员归还软件、电脑、存储设
备、文件和其他设备 撤销访问权限,撤销用户名、门禁卡、秘钥、数字
证书等
44
4、 资产管理
45
Why ?
那些曾经发生过的事: 案例 1 :某单位欲安装一台网络防火墙,却发现没有
人可以说清楚当前的真实网络拓扑情况,也没有人能说清楚系统中有哪些服务器,这些服务器运行了哪些应用系统。
案例 2 :某单位信息安全评估,发现大部分服务器安全状况良好,只有一台服务器存在严重安全漏洞。研究整改措施时,发现平时没有人对该服务器的安全负责。
46
资产管理目标
目标: 资产责任——实现并保持组织资产的适当保护 信息分类——确保对信息资产的保护达到恰当的水平
包含的内容: 组织可以根据业务运作流程和信息系统拓扑结构来识别信息
资产。 按照信息资产所属系统或所在部门列出资产清单。 所有的信息资产都应该具有指定的属主并且可以被追溯责任。
信息应该被分类,以标明其需求、优先级和保护程度。 根据组织采用的分类方案,为信息标注和处理定义一套合适
的程序。
47
具体解释 -1
信息安全管理工作的根本目的是保护系统中的资产 资产包括:
信息:业务数据、合同协议、科研材料、操作手册、系统配置、审计记录、制度流程等
软件:应用软件、系统软件、开发工具 物理资产:计算机设备、通信设备、存储介质等 安全防护设备 服务:通信服务、供暖、照明、能源等 人员 无形资产,如品牌、声誉和形象
48
具体解释 -2
明确资产责任: 列出资产清单,明确保护对象 明确资产受保护的程度 明确谁对资产的安全负责
49
具体解释 -3
信息分类 根据信息的价值、法律要求和对组织的敏感程度进行分类
信息类别标识,如表明文件的密级、存储介质的种类(内网专用 U盘)
规定重要敏感信息的安全处理、存储、传输、删除和销毁的程序
50
分类方式
关注点、重点不同直接影响信息分类 军事机构更加关注机密信息的保护,私有企业通
常更加关注数据的完整性和可用性。
51
举例 ——私有企业和军事机构信息分类比较
定义 实例使用分级的组
织
公共即使泄漏不会给公司或个人造成
不利影响
有多少人完成某个项 商业公司
私有 可能给公司或个人带来不利影响 人事资源信息 商业公司
绝密如果泄漏会给国家安全带来毁灭
性破坏
新型战时武器设计图 军事机构
秘密 给国家安全造成重大威胁 核弹部署 军事机构
不保密 非保密信息 计算机手册 军事机构52
分类控制
分类必要步骤 定义分类类别 说明决定信息分类的标准 制定每种分类所需的安全控制,或保护机制 建立一个定期审查信息分级与所有权的程序 让所有员工了解如何处理各种不同分类信息
53
关键点
建议分类方法不宜复杂,否则容易造成混乱建议分类方法不宜复杂,否则容易造成混乱
每种分类应唯一区别于其它分类,同时不能有任何重叠每种分类应唯一区别于其它分类,同时不能有任何重叠
分类过程还应简单说明如何在其生命周期内控制并处理分类过程还应简单说明如何在其生命周期内控制并处理
54
5、 物理和环境安全
55
Why ?
那些曾经发生过的事: 案例 1 :间谍潜入机房,直接用移动硬盘将服务器中的重要数据拷贝走。
案例 2 :机房中气温过高,导致计算机无法正常运行,造成业务中断。
56
物理和环境安全目标
目标: 安全区域——防止非授权访问、破坏和干扰业务运行的前提条件及信息。
设备安全——预防资产的丢失、损坏或被盗,以及对组织业务活动的干扰。
包含的内容: 应该建立带有物理入口控制的安全区域 应该配备物理保护的硬件设备 应该防止网络电缆被塔线窃听 将设备搬离场所,或者准备报废时,应考虑其安
全57
具体解释 -1
“ 物理”: Physical, 身体的、物质的、自然的
身体的:人身安全是物理安全首要考虑的问题,因为人也是信息系统的一部分
物质的:承载信息的物质,包括信息存储、处理、传输和显示的设施和设备
自然的:自然环境的保障,如温度、湿度、电力、灾害等
58
安全区域 -1
目标:防止非授权访问、破坏和干扰业务运行的前提条件及信息。 物理安全边界
• 建立安全边界,形成安全区域 物理入口控制
• 必须弄清来访者的身份,并将其进入与离开安全区域的日期与时间记录起来
• 所有人员配戴识别证
59
安全区域 -2
目标:防止非授权访问、破坏和干扰业务运行的前提条件及信息。 区域安全
• 关键设备应放在公众无法进入的地方• 避免写入“机房重地,请勿进入”的字样• 安全区内,各种打印机、复印机设备齐全
设备如果可以放在安全区内,可以降低我们对该设备的保护级别设备如果可以放在安全区内,可以降低我们对该设备的保护级别
60
设备安全 -1
目标:设备安全——预防资产的丢失、损坏或被盗,以及对组织业务活动的干扰。 设备安置和保护 支持性设施
• 电力供应——关系到企业的营运是否正常– 电源:防止电源故障与供电不正常的现象
» 多回路供电» 不间断电源 UPS» 借用发电机
61
设备安全 -2
目标:设备安全——预防资产的丢失、损坏或被盗,以及对组织业务活动的干扰。 设备运行的良好环境:
• 建设一个好机房,应当参照有关国家标准,如GB50174-93 电子计算机机房设计规范
• 机房的选址和设备的放置要考虑火灾、地震、洪水、风暴等可能的自然威胁,以及爆炸、蓄意破坏、盗窃、恐怖袭击、暴动等可能的人为威胁
• 机房、办公场所和通信线路铺设需要考虑,通信中断、电力中断等支撑性基础设施失效的问题
62
设备安全 -3
设备安全——预防资产的丢失、损坏或被盗,以及对组织业务活动的干扰。 布缆安全
• 电源线路应该使用地下暗线• 电力线路应与通讯线路隔离,以避免相互干扰
设备维护• 按照供应商推荐的服务间隔与规范,对设备进行维护
组织场所外的设备安全• 笔记本电脑的取走使用,必须经过授权
63
设备安全 -3
设备安全——预防资产的丢失、损坏或被盗,以及对组织业务活动的干扰。 设备的安全处置和再利用
• 对于储存敏感设备的储存设备,必须销毁或是重写重灌输据资料,不可以只使用简单的删除功能。
资产的移动
64
关键点
以人为本,人身安全最重要 不要忘记人是系统资产的重要组成部分 办公室、机房应为操作人员提供健康的工作环境 突发灾难发生时,人身安全是首先需要保障的
65
举例 1——访问控制措施
卡访问控制或生物特征系统 磁卡、非接触卡等 指纹、视网膜扫描、签名、声音识别、手形等等
66
智能卡
使用智能卡的访问控制门电路 在高安全性和便携性的
基础存储人员信息 - 防篡改
高安全度的信息处理在卡内进行
提供安全的授权级别 使用加密系统存储密钥 具有在卡内执行加密算
法的能力
67
生物识别
生物识别 每个人的身份通过某些特征确认可以通过:
生理特征:独有的:指纹、视网膜、虹膜 行为特征:签名
68
举例 2——物理监控措施
周边入侵检测系统 用来探测未经授权而进入的人,并发出警报 现在最常用的入侵监测系统是机电式的,能够探
测到电路的变化或断路,例如:窗户贴,绷紧线等
一个常被忽略的脆弱点——报警系统闭路电视
使用照相机通过传输媒介将图片传送到连接的显示器的电视传输系统(三个主要的组件)
传输媒介可以使用同轴电缆、光缆、微波、无线电波、或红外光束
与广播电视是不同的,尽管也是点对点的无线连接,但 CCTV 的信号不是公开传输的。
69
闭路电视
CCTV等级: 检测级:能够检测到对象的存在 识别级:能够检测到对象的类型 确认级:能够分辨对象的细节
CCTV- 成功的关键点 充分理解设施的整个监控需求 确定需要监控的区域大小,深度、宽度来决定照相机镜头的尺寸
照明非常重要,不同的灯光和照明将提供不同的效果等级 对象与背景的对比度也非常重要
与周边探测系统进行联动
70
与周边探测系统进行联动
71
举例 3——物理环境支持性设施
常见的 HVAC (适当的供暖、通风和空调)
• 数据中心或服务器机房的空调控制应当与大楼其它部分隔离• 计算机房空调不同于舒适性空调和常规恒温恒湿空调
电力供应• 主电源( primary power source )• 备用电源( alternate power source )
火灾的预防、检测和排除• 火灾燃烧的条件• 火灾预防 -减少火灾起因• 火灾检测 - 在火灾发生前,接受火灾警报• 灭火 - 如何灭火,并降低到最小损失
72
物理环境支持性设施——来自空中的威胁
来自空中的威胁 ——TEMPEST (抑制和防止电磁泄露 )途径:
以电磁波形式的辐射泄露; 电源线、控制线、信号线和地线造成的传导泄露
危害: 使各系统设备相互干扰,降
低设备性能 电磁泄露会造成信息暴露
电磁辐射强度影响因素: 功率和频率 距离因素 屏蔽状况
预防措施: 选用低辐射设备 利用噪声干扰源 采取屏蔽措施 距离防护 采用微波吸收材料
73
6、通信和操作管理
74
Why ?
案例 1 :2007年8月30日,美国空军一架B-52战略轰炸机误装6枚核弹后,从北部的北达科他州飞往南部的路易斯安那州。这一空前事件显示了美国空军对核武器指挥和控制体系中的漏洞。
案例 2 :数据库管理员由于疏忽进行了误操作 ,将重要的信息删除了。
案例 3 :涉密计算机出现故障硬盘数据丢失,使用人员将硬盘拿到社会上的数据恢复公司进行恢复,造成秘密泄露。
75
通信和操作管理目标
Operating Instruction
目标: 操作程序和责任——确保正确、安全的操作信息处
理设施 第三方服务交付管理——实施并保持信息安全的适当水平,确保第三方交付的服务符合协议要求。
系统规划与验收——减少系统失效带来的风险。 防范恶意代码和移动代码——保护软件和信息的完
整性。 备份——保持信息和信息处理设施的完整性和可用
性
76
通信和操作管理目标
目标: 网络安全管理——确保对网络中信息和支持性基
础设施的安全保护。 介质处理和安全——防止对资产的未授权泄漏、修改、移动或损坏,及对业务活动的干扰。
信息和软件的交换——应保持组织内部或组织与外部组织之间交换信息和软件的安全。
电子商务服务 ——确保电子商务的安全及他们的安全使用。
监督——检测未经授权的信息处理活动。
77
具体解释 -1
操作程序和职责 操作程序应形成文件、保持并对有需要的用
户可用•例如:制定各种安全事故的应变措施,包括
通讯故障、拒绝服务等 对信息处理设施和系统的变更应加以控制责任分割,降低未授权或无意识的修改或者误使用组织资产的机会
开发、测试和运行设施分离
78
具体解释 -2
第三方服务交付管理采用第三方服务时需注意控制风险
•例如:使用外部合同商管理,可能造成潜在的安全暴露
系统规划和验收满足未来规划需求,确保系统有足够的处理
能力与储存空间
大型电脑设备尤其需要注意,因为增加大型机的新容量成本会更加高昂并且交付周期更长。大型电脑设备尤其需要注意,因为增加大型机的新容量成本会更加高昂并且交付周期更长。
79
具体解释 -3
防止恶意和移动代码 控制恶意代码
• 实施恶意代码的监测、预防和恢复的控制措施,提高用户安全意识
•例如:避免使用未经授权的软件、定期更新病毒库。
备份 备份资料必须给予适当级别与保护定期测试备份媒体定期检查与测试复原步骤
80
具体解释 -4
网络安全管理网络控制
•例如:制定管理远程设备的管理职责与程序网络服务安全
•例如:实施 VPN ,保护通过 Internet 的数据的保密性与完整性。
81
具体解释 -5
介质处置介质的管理和处置
•例如:制定适当的步骤保护介质的安全,包括烧毁或粉碎的步骤
演示举例——”数据恢复”
82
具体解释 -6
信息的交换 保持内、外部组织信息和软件交换的安全例如:信息交换前应该签署协定
•注明传送与接收信息的管理责任•传送与接收信息的程序• 资料的遗失责任归属
电子商务服务 确保电子商务服务的安全及其安全使用例如:验证、授权、合约与投标程序、定价
和订单
83
具体解释 -6
监督 检测未经授权的信息处理活动
•例如,日志:–覆盖范围–统一时间–用户标识–记录操作活动和系统错误–日志的存储和访问控制
俄罗斯的核武器系统密码保存在总统手中,国防部也保存一份。当最高层作出发动核打击决定时,总统身边的特别专家小组将协助他译出平时存放在黑色提箱内的密码。与此同时,作为军方最高领导人的国防部长也必须译出由他保管的指令密码。总统和国防部长分别通过不同的通讯网,将两组不同的密码传送到总参作战部电脑控制中心,经过运算形成一组有 12位数字的第三套预发密码,再由特种通讯系统通过特殊频率传递给核潜艇指挥官和导弹发射基地,指挥官再按照程序输入密码,完成操作。
84
7、访问控制
85
Why?
案例 1 :飞机登机,旅客的身份证号区别了不同的人,身份证证明确实是这名旅客来乘机,安检人员察看身份证和登机牌,扫描违禁物品后允许乘客登上机票中规定的航班。
案例 2 :登录网站,用户 ID区别了不同的用户,输入登录密码确定是这位用户,网络防火墙和服务器的权限管理系统允许用户使用网站中可以使用的功能。
86
访问控制目标
目标: 访问控制的业务需求——控制对信息的访问。 用户访问管理——确保授权用户的访问,并预防信息系统的非授权访问。
用户责任——预防未授权用户的访问,信息和信息处理设施的破坏或被盗。
网络访问控制——防止对网络服务未经授权的访问。 操作系统访问控制——防止对操作系统的未授权访问。 应用访问控制——防止对应用系统中信息的未授权访问。 移动计算和远程工作——确保在使用移动计算和远程工作设施时
信息的安全。 包含的内容:
口令的正确使用 对终端的物理访问 自动终止时间 软件监视等
87
具体解释 -1
基本概念:
标识( identification ):区别系统用户身份的标志,如用户名、数字证书标识( identification ):区别系统用户身份的标志,如用户名、数字证书
鉴别( authentication ):验证用户的标识,如登录口令验证、指纹验证、电子证书存储器鉴别( authentication ):验证用户的标识,如登录口令验证、指纹验证、电子证书存储器
授权( authorization ):确定用户是否有权访问申请的资源,如作为普通用户登录网站就不能修改新闻的内容,而管理员可以
授权( authorization ):确定用户是否有权访问申请的资源,如作为普通用户登录网站就不能修改新闻的内容,而管理员可以
88
具体解释 -2
可以写
可以
读 可以读
不能写
访问控制的业务需求 建立访问控制策略、形成文件,并基于业务和访问的安全要求进行评审
例如:“除明确允许执行的情况之外,其余皆禁止” 用户访问管理
确保授权用户访问信息系统,并防止未授权的访问 例如:制定一套用户注册与 取消注册的流程。
• 每位用户只有一个用户 ID 。• 检查用户权限是否适当。• 为用户提供访问权限的书面陈述• 要求用户签署,表明其知道访问的条件• 定期检查是否存在多余帐户
89
具体解释 -3
用户访问管理 用户口令管理
• 例如:一开始给用户一个临时密码,并要求用户 立刻更换密码;• 例如不使用明文或电子邮件方式向用户提供密码
90
具体解释 -4
普通工作人员的访问控制责任 个人的登录口令足够复杂,不告诉他人 下班或长时间离开,要锁好重要文件,关闭计算
机 打印保密文件应守在打印机旁 谈论秘密事项注意场合
91
具体解释 -5
由于服务是分层次的,攻击可能从各个层次发起,好的访问控制应该在多层面进行
要控制访问的时间长度• 例如计算机长时间没有操作活动就自
动锁定,要求重新登录
只靠网络防火墙不能抵抗所有的攻击,操作系统层面、应用安全层面都要做好访问控制才行
只靠网络防火墙不能抵抗所有的攻击,操作系统层面、应用安全层面都要做好访问控制才行
网络接口层
IP
应用
TCP UDP
92
具体解释 -6
网络可以提供资源共享与路由选择,但同时也提供了非法访问的风险。因此需要限制路由选择,控制路由路径。 例如:通过为组织内用户组设置不同网域,限制网络访问
远程用户身份验证 NAT等网络隔离方法
93
具体解释 -7
系统和应用程序 例如:在登录未成功前,不显示系统的相关信
息,以免为非法用户提供方便。 登录出错时,系统不应该说明哪一部份数据正
确、哪一部份数据出错。
94
8、符合性
95
Why ?
案例: 目前, Internet 上至少有三万多个公开的黑客网站,这些网站除了黑客知识与技能的培训外,还提供了大量的黑客工具,一个稍具电脑知识的中学生经过黑客网站的培训,利用下载的黑客工具就可以发起有一定威胁性的攻击。最近有人甚至在网上以几百元的价格兜售定制的病毒。
但同样的情况如果发生在现实生活中,结果就不一样了。比如有人想办一个小偷培训学校,可能还没开张就被取缔了;很少有人敢故意培养并散布传染病病毒,否则必将受到法律的严惩。
解决信息安全问题不能仅依靠安全技术,制订并执行一系列完善的法律、法规才是保护信息安全的最重要手段。
96
符合性目标
目标: 与法律法规要求的符合性——避免违反法律、法规、规章、合同要求和其他的安全要求。
符合安全方针、标准,技术符合性——确保系统符合组织安全方针和标准。
信息系统审核的考虑因素——最大化信息系统审核的有效性,最小化来自 / 对信息系统审核的影响。
包含的内容: 组织应该确保遵守相关的法律法规和合同义务 软件版权,知识产权等
97
具体解释 -1
信息系统的设计、运行、使用和管理都受到法律法规要求,有关合同协议,以及本单位安全方针和制度标准的限制
符合性就是要避免违反法律、法规、规章、合同的要求,以及本单位安全方针和制度标准的规定
98
具体解释 -2
首先,要明确适用于本单位的有关国家法律法规、合同条款和正在执行的本单位策略和制度 例如,各国的银行业一般都有针对银行数据保护
的立法,如果由于数据备份恢复程序不完整而造成服务中断,将面临监管部门的严厉处罚。
又如:许多国家已立法对互联网上的服务提供商在保护客户信息的保密性及维护服务的可用性方面进行了约束。
其次,要使有关人员知悉以上要求,以及为满足这些要求应当遵守的行动规范
最后,通过审核和奖惩制度保证符合性的落实99
具体解释 -3
一般通过以下步骤来确定组织对法律、法规的符合性状况: 确定政府及其他团体是否有以下方面的规定和要:
• 计算机的运行与控制• 计算机、程序及数据的存放方式• 信息服务的活动及组织
记录相关法律与法规的要求 评估组织在制定信息系统计划、策略、标准及程序时是否考虑
来自外部法律法规的要求。 检查内部信息系统相关部门是否在正式文件中落实了遵守法律、法规的要求。
检查组织中是否已经建立程序,并遵照执行来满足法律、法规的要求。
100
具体解释 -4
符合性中应当特别注意的问题: 知识产权问题 用户个人隐私保护问题 信息系统被用于非法活动的问题 按规定使用密码设备的问题 保护证明符合性实现的证据记录
101
总结信息安全方针
信息安全组织
内部组织 外部各方
职责分配 授权流程
人力资源安全A.8
任用中
任用前 任用后
访问控制
信息资产管理
资产责任 资产分类
数据
应用
主机
网络
物理环境安全
软件 硬件
信息安全事故管理
安全开发管理
符合法律要求
安全运维管理
安全服务管理
介质处理
存储管理 信息交换
数据加密 病毒防护识别
认证
授权
稽核
目录服务
业务持续性管理
基本安全管理措施
别忘了还有我
102
谢谢,请提问题!