信息安全體系概述馮真凱Page2

目錄一、信息安全體系概述信息安全面臨的風(fēng)險硬件架構(gòu)：系統(tǒng)與設(shè)備數(shù)量越來越多系統(tǒng)互連關(guān)系越來越繁雜軟件架構(gòu)：統(tǒng)架構(gòu)越來越復(fù)雜網(wǎng)絡(luò)連接與劃分混亂互聯(lián)網(wǎng)接口抗攻擊性較弱工程管理：規(guī)劃期缺乏安全評審建設(shè)與工程割接缺乏安全管理遺留策略與帳號形成安全漏洞程序開發(fā)：開發(fā)階段缺乏安全監(jiān)管源代碼缺乏安全檢查，可能留下后門1.系統(tǒng)數(shù)量眾多，硬件架構(gòu)多樣，系統(tǒng)間交互與接口繁多，相互關(guān)系復(fù)雜；2.系統(tǒng)軟件架構(gòu)復(fù)雜，網(wǎng)絡(luò)連接與劃分較混亂，互聯(lián)網(wǎng)接口抗攻擊性較弱；3.系統(tǒng)規(guī)劃期缺乏安全評審，工程割接缺少安全管理，工程遺留策略與帳號易形成安全漏洞；4.程序開發(fā)階段缺乏監(jiān)管，程序源代碼缺乏安全檢查，可能留下后門或被攻擊。常見的信息安全問題常見的信息安全問題信息安全損失的“冰山”理論信息安全直接損失只是冰由之一角，間接損失是直接損失是6－53倍間接損失包括：時間被延誤修復(fù)的成本可能造成的法律訴訟的成本組織聲譽(yù)受到的影響商業(yè)機(jī)會的損失對生產(chǎn)率的破壞$10,000$60,000－$530,0009保障信息安全的途徑？IT治理安全風(fēng)險測評

信息安全管理體系強(qiáng)化安全技術(shù)信息系統(tǒng)安全等級保護(hù)亡羊補(bǔ)牢?還是打打補(bǔ)丁?系統(tǒng)地全面整改?我國當(dāng)前信息安全普遍存在的問題保護(hù)信息安全的方法如何實現(xiàn)信息安全？需要對信息安全進(jìn)行有效管理建立統(tǒng)一安全規(guī)劃體系改變以往零敲碎打、因人而起、因事而起的安全管理，形成統(tǒng)一的安全體系，指導(dǎo)安全管理和建設(shè)工作。轉(zhuǎn)變門戶網(wǎng)站防火墻升級信息防泄露DLP維護(hù)區(qū)域擴(kuò)容項目RSA令牌擴(kuò)容項目應(yīng)用漏洞掃描工具項目系統(tǒng)漏洞掃描工具網(wǎng)站頁面防篡改項目。。。。。。零敲碎打引人而起因事而起建立統(tǒng)一的安全規(guī)劃體系總體思路：以防為主，防治結(jié)合防治結(jié)合：自下而上的風(fēng)險反饋以防為主：自上而下的策略管理堅持“以防為主，防治結(jié)合”的安全工作措施，形成成熟的、立體的信息安全運(yùn)行管控體系。以防為主，即以完善的安全策略為指導(dǎo)，使安全策略能自上而下得到落實；防治結(jié)合，即以風(fēng)險管理為核心，使風(fēng)險能自下而上得到反饋和整治。安全管理的幾個階段當(dāng)前目標(biāo)安全管理的幾個階段信息安全體系的內(nèi)容信息安全體系的關(guān)注點(diǎn)信息安全體系的建立流程確定IT原則與安全方針確定IT原則與安全方針進(jìn)行風(fēng)險評估進(jìn)行風(fēng)險評估問卷調(diào)研安全日常運(yùn)維現(xiàn)狀調(diào)研問卷：針對組織中實際的應(yīng)用、系統(tǒng)、網(wǎng)絡(luò)狀況，從日常的管理、維護(hù)、系統(tǒng)審計、權(quán)限管理等方面全面了解組織在信息系統(tǒng)安全管理和維護(hù)上的現(xiàn)實狀況。從安全日常運(yùn)維角度出發(fā)，更貼近實際運(yùn)維環(huán)境。基線風(fēng)險評估所謂基線風(fēng)險評估，就是確定一個信息安全的基本底線，信息安全不僅僅是資產(chǎn)的安全，應(yīng)當(dāng)從組織、人員、物理、邏輯、開發(fā)、業(yè)務(wù)持續(xù)等各個方面來確定一個基本的要求，在此基礎(chǔ)之上，再選擇信息資產(chǎn)進(jìn)行詳細(xì)風(fēng)險分析，這樣才能在兼顧信息安全風(fēng)險的方方面面的同時，對重點(diǎn)信息安全風(fēng)險進(jìn)行管理與控制。ISO27001確立了組織機(jī)構(gòu)內(nèi)啟動、實施、維護(hù)和改進(jìn)信息安全管理的指導(dǎo)方針和通用原則，以規(guī)范組織機(jī)構(gòu)信息安全管理建設(shè)的內(nèi)容，因此，風(fēng)險評估時，可以把ISO27001作為安全基線，與組織當(dāng)前的信息安全現(xiàn)狀進(jìn)行比對，發(fā)現(xiàn)組織存在的差距，這樣一方面操作較方便，更重要的是不會有遺漏信息資產(chǎn)風(fēng)險評估針對重要的信息資產(chǎn)進(jìn)行安全影響、威脅、漏洞及可能性分析，從而估計對業(yè)務(wù)產(chǎn)生的影響，最終可以選擇適當(dāng)?shù)姆椒▽︼L(fēng)險進(jìn)行有效管理。資產(chǎn)定義及估值確定現(xiàn)有控制威脅評估確定風(fēng)險水平風(fēng)險評估過程脆弱性評估安全控制措施的識別與選擇降低風(fēng)險風(fēng)險管理過程接受風(fēng)險IT流程風(fēng)險評估信息安全不僅僅要看IT資產(chǎn)本身是否安全可靠，而且還應(yīng)當(dāng)在其所運(yùn)行的環(huán)境和經(jīng)歷的流程中保證安全。沒有可靠的IT流程的保證，靜態(tài)的安全是不可靠的，而且IT的風(fēng)險也不僅僅是信息安全的問題，IT的效率與效果也同樣是需要考慮的問題，因此評估IT流程的績效特性并加以完善是風(fēng)險控制中必不可少的內(nèi)容。確定風(fēng)險控制策略信息安全控制規(guī)劃選擇安全控制措施防止商業(yè)活動中斷和災(zāi)難事故的影響。業(yè)務(wù)持續(xù)性管理信息安全事件管理保證系統(tǒng)開發(fā)與維護(hù)的安全系統(tǒng)開發(fā)與維護(hù)控制對業(yè)務(wù)信息的訪問。訪問控制保證通訊和操作設(shè)備的正確和安全維護(hù)。通信與運(yùn)營管理防止對關(guān)于IT服務(wù)的未經(jīng)許可的介入，損傷和干擾服務(wù)。物理與環(huán)境安全減少人為造成的風(fēng)險。人員安全維護(hù)組織資產(chǎn)的適當(dāng)保護(hù)系統(tǒng)。資產(chǎn)管理建立組織內(nèi)的管理體系以便安全管理。安全組織為信息安全提供管理方向和支持。安全方針目的ISO27001十一個域避免任何違反法令、法規(guī)、合同約定及其他安全要求的行為。符合性確保與信息系統(tǒng)有關(guān)的安全事件和弱點(diǎn)的溝通能夠及時采取糾正措施序號項目內(nèi)容緊迫性可實施性難易程度效果分析綜合分析1安全體系建設(shè)2安全策略管理3安全組織管理4安全運(yùn)行管理5物理安全管理6網(wǎng)絡(luò)訪問控制7認(rèn)證與授權(quán)8監(jiān)控與審計9系統(tǒng)管理10響應(yīng)和恢復(fù)11信息安全12系統(tǒng)開發(fā)管理13物理安全14……安全規(guī)劃方法二、信息安全組織體系安全組織架構(gòu)決策層為業(yè)務(wù)安全的決策機(jī)構(gòu)，為業(yè)務(wù)安全工作保駕護(hù)航；信息安全組織架構(gòu)信息安全體系的內(nèi)容組織體系：整個公司層面的安全管理組織，要從上到下貫穿到底體現(xiàn)三權(quán)分立的原則實施安全教育計劃要制定各種不同范圍、不同層次的安全教育計劃。完備的安全教育計劃可以提高員工的安全意識與技能，改變他們對待安全事件的態(tài)度，使他們具有一定的安全保護(hù)技能，以更好地保護(hù)組織的信息資產(chǎn)。好的安全教育計劃應(yīng)該讓員工知道組織的信息安全面臨的威脅及信息安全事件帶來的后果，使員工切身感覺到安全事件與自己息息相關(guān)。營造組織信息安全文化信息安全文化從屬于組織文化，倡導(dǎo)良好的組織信息安全文化就是要在組織中形成團(tuán)隊共同的態(tài)度、認(rèn)識和價值觀，形成規(guī)范的思維和行為模式，最終轉(zhuǎn)化為行動，實現(xiàn)組織信息安全目標(biāo)。人的這種對安全價值的認(rèn)識以及使自己的一舉一動符合安全的行為規(guī)范的表現(xiàn)，正是所謂的“安全修養(yǎng)”。如果一個組織建立起濃厚的安全文化環(huán)境，不論決策層、管理層還是一般員工，都會在安全文化的約束下規(guī)范自己的行為，安全文化就像一支看不見的手，凡是不安全的行為都會被這支手拉回到安全操作的軌道上來。三、信息安全管理體系ISMS“木桶”由哪些“板”組成？類似于質(zhì)量管理體系的ISO9000標(biāo)準(zhǔn)，ISMS也有相應(yīng)的國際標(biāo)準(zhǔn)ISO27001，它確定了ISMS的11個安全領(lǐng)域及133個相應(yīng)的控制措施。ISO17799及ISO27001的內(nèi)容ISO17799:2005

信息安全管理實施規(guī)范，主要是給負(fù)責(zé)開發(fā)的人員作為參考文檔使用，從而在組織中實施和維護(hù)信息安全；ISO27001:2005

信息安全管理體系規(guī)范，詳細(xì)說明了建立、實施和維護(hù)信息安全管理系統(tǒng)的要求，指出實施組織需要通過風(fēng)險評估來鑒定最適宜的控制對象，并對自己的需求采取適當(dāng)?shù)目刂啤＋@得BS7799和ISO27001認(rèn)證的組織ISMS建設(shè)過程：建立ISMS首先要建立一個合理的信息安全管理框架，要從整體和全局的視角，從信息系統(tǒng)的所有層面進(jìn)行整體安全建設(shè)從信息系統(tǒng)本身出發(fā)，通過建立資產(chǎn)清單，進(jìn)行風(fēng)險分析和需求分析和選擇安全控制等步驟，建立安全體系并提出安全解決方案。體系運(yùn)行體系審核管理評審體系認(rèn)證第七步第八步第九步第十步運(yùn)行說明內(nèi)審報告外審報告認(rèn)證證書信息安全體系的內(nèi)容管理體系：安全方針、策略文件，程序文件、操作指導(dǎo)書、記錄表格等。安全防護(hù)系統(tǒng)應(yīng)用支撐系統(tǒng)安全運(yùn)維管理系統(tǒng)縱深防御架構(gòu)可信網(wǎng)和不可信網(wǎng)要物理層隔斷，網(wǎng)絡(luò)邏輯連接要割斷，應(yīng)用數(shù)據(jù)要凈化，不可信網(wǎng)絡(luò)上的計算機(jī)不能直接到達(dá)可信網(wǎng)絡(luò)。使用“應(yīng)用分層、服務(wù)分區(qū)、安全分級”的思路，指導(dǎo)網(wǎng)絡(luò)結(jié)構(gòu)化建設(shè)，根據(jù)應(yīng)用類型、物理位置、邏輯位置等的不同，劃分不同的網(wǎng)絡(luò)安全區(qū)域和邊界。IATF安全域安全基礎(chǔ)設(shè)施用戶CA系統(tǒng)AA系統(tǒng)數(shù)據(jù)庫服務(wù)訪問他是誰？有什么權(quán)限？認(rèn)證系統(tǒng)授權(quán)系統(tǒng)用戶認(rèn)證證書用戶權(quán)限證書設(shè)備認(rèn)證證書設(shè)備認(rèn)證證書軟件認(rèn)證證書PKI與PMI的應(yīng)用：安全認(rèn)證與授權(quán)安全防護(hù)系統(tǒng)省級局域網(wǎng)上級接口下級接口橫向接口互聯(lián)網(wǎng)接口加密機(jī)：保護(hù)離開局域網(wǎng)的信息安全，同時防止非法接入。入侵檢測：發(fā)現(xiàn)非法入侵行為。防病毒網(wǎng)關(guān)：防止外部病毒入侵。防非法外聯(lián)：堵住非法網(wǎng)絡(luò)接口。系統(tǒng)加固：設(shè)置運(yùn)行環(huán)境的最后一道防線。（網(wǎng)絡(luò)及主機(jī)操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用平臺的加固）安全邊界網(wǎng)絡(luò)行為審計：加強(qiáng)網(wǎng)絡(luò)安全管理，追查安全事件。構(gòu)造網(wǎng)絡(luò)安全邊界構(gòu)造網(wǎng)絡(luò)安全邊界入侵檢測組織中心備份中心二級部門三級部門四級部門線路密碼機(jī)防病毒網(wǎng)關(guān)防非法外聯(lián)網(wǎng)絡(luò)行為審計操作系統(tǒng)加固高安全區(qū)域安全防護(hù)系統(tǒng)的層次安全防護(hù)系統(tǒng)的層次由于普通用戶缺乏應(yīng)有的網(wǎng)絡(luò)安全常識，通過瀏覽隱藏惡意代碼的網(wǎng)站，下載有木馬的軟件到內(nèi)部網(wǎng)運(yùn)行，打開郵件中不明來歷的附件等給組織的內(nèi)部網(wǎng)絡(luò)帶來的極大的危害，終端用戶觸發(fā)產(chǎn)生的安全事件逐漸成為企業(yè)IT安全問題的主要原因。終端安全控制終端安全控制應(yīng)用支撐系統(tǒng)應(yīng)用支撐系統(tǒng)應(yīng)用系統(tǒng)常見安全方案業(yè)務(wù)系統(tǒng)本身必須能夠準(zhǔn)確地識別使用者的真實身份，防止與業(yè)務(wù)無關(guān)的人員非法使用系統(tǒng)。解決方案:使用統(tǒng)一的身份認(rèn)證證書業(yè)務(wù)系統(tǒng)本身必須能夠?qū)ψ约旱馁Y源進(jìn)行控制，能夠動態(tài)地分配權(quán)限，控制使用者的操作行為，防止越崗位操作或越權(quán)限操作。解決方案:基于角色的訪問控制業(yè)務(wù)系統(tǒng)本身必須能夠?qū)?shù)據(jù)或文件進(jìn)行保護(hù)，防止由于數(shù)據(jù)的安全得不到保證而失去業(yè)務(wù)系統(tǒng)本身的可用性。解決方案:基于密碼業(yè)務(wù)系統(tǒng)本身必須能夠?qū)Σ僮髡咝袨檫M(jìn)行跟蹤、記錄、統(tǒng)計和審計，及時發(fā)現(xiàn)工作中出現(xiàn)的問題，使系統(tǒng)可管理，事件可追查。解決方案:日志與安全事件審計在電子商務(wù)或電子政務(wù)環(huán)境下，需要利用身份證書對主要核心業(yè)務(wù)與交易的憑證進(jìn)行數(shù)字簽名，以保證重要對已完成的業(yè)務(wù)與交易的無否定性。解決方案:基于數(shù)字簽名安全運(yùn)維系統(tǒng)五、信息安全執(zhí)行體系日常安全執(zhí)行內(nèi)容多個PDCA循環(huán)安全日常運(yùn)作過程就是一個大的PDCA循環(huán)風(fēng)險評估與風(fēng)險分析PDCA循環(huán)文件體系的建立與維護(hù)PDCA循環(huán)……對安全的檢查與審計對安全的檢查與審計審計的步驟信息安全在每次檢查審計前，由管理層任命適當(dāng)資質(zhì)的合適人選組成審計小組，審計小組由2名或以上人員組成，包括但不限于稽核審計部的內(nèi)審員，并由管理層指定內(nèi)審