【正文】 3/3/8 信息系統(tǒng)安全管理基礎(chǔ) 組織體系 策略制度 遵循性 人 員 安 全 采 購 管 理 投 資 和 預(yù) 算 管 理 持 續(xù) 性 管 理 環(huán) 境 設(shè) 備 緊 急 用 途 和 供 給 變更控制管理 信 息 技 術(shù) 戰(zhàn) 略 規(guī) 劃 變更應(yīng)用于系統(tǒng) 計劃組織 開發(fā)采購 實施交付 運行維護 廢棄 信 息 技 術(shù) 戰(zhàn) 略 規(guī) 劃 系 統(tǒng) 操 作 物 理 訪 問 運 行 環(huán) 境 設(shè) 備 管 理 2023/3/8 的關(guān)系 ? 信息系統(tǒng)安全保障三大部分： ? 技術(shù)保障 ? 過程保障 ? 管理保障 ? 信息安全管理是信息系統(tǒng)安全保障的三大部分之一： ? 管理保障 ? 信息安全管理涉及到系統(tǒng)的整個生命周期 2023/3/8 信息安全標準介紹 ISO17799 ISO17799的歷史及發(fā)展 ISO17799:2023的內(nèi)容框架 BS77992:1999的內(nèi)容框架 ISO/IEC 17799:2023(BS77991:1999)、BS77992:199 BS77992:2023 之區(qū)別 2023/3/8 信息安全標準介紹 ? 信息安全標準 ? 管理體系標準 2023/3/8 信息安全標準 ? ISO74982(GB/) ? ISO13335 ? SSECMM (GB21827) ? ISO15408（ GB/T183362023） ? ISO17799 2023/3/8 ISO74982(GB/) ? 開放系統(tǒng)互聯(lián)安全體系結(jié)構(gòu) ? 由 ISO/ICE JTC1/SC21完成 ? 1982年開始， 1988年結(jié)束， ISO發(fā)布了 ISO74982 ? 給出了基于 OSI參考模型的 7層協(xié)議上的安全體系結(jié)構(gòu) ? 其核心內(nèi)容是：為了保證異構(gòu)計算機進程與進程之間遠距離安全交換信息的安全，它定義了該系統(tǒng)的 5大類安全服務(wù)，以及提供這些服務(wù)的 8大類安全機制及相應(yīng)的安全管理，并可根據(jù)具體系統(tǒng)適當?shù)呐渲糜?OSI模型的 7層協(xié)議中。 2023/3/8 信息本身 信息處理設(shè)施 信息處理者 信息處理 過程 機密 可用 完整 總結(jié) 2023/3/8 請思考： 組織為什么要花錢實現(xiàn)信息安全？ 為什么需要信息安全 2023/3/8 組織自身業(yè)務(wù)的需要 ?自身業(yè)務(wù)和利益的要求 ?客戶的要求 ?合作伙伴的要求 ?投標要求 ?競爭優(yōu)勢，樹立品牌 ?加強內(nèi)部管理的要求 ?…… 2023/3/8 法律法規(guī)的要求 ?計算機信息系統(tǒng)安全保護條例 ?知識產(chǎn)權(quán)保護 ?互聯(lián)網(wǎng)安全管理辦法 ?網(wǎng)站備案管理規(guī)定 ?…… 2023/3/8 信息系統(tǒng)使命的要求 ? 信息系統(tǒng)本身具有特定的使命 ? 信息安全的目的就是使信息系統(tǒng)的使命得到保障 ? 。 2023/3/8 請思考： 目前，解決信息安全問題，通常的做法是什么？ 實踐中的信息安全問題 2023/3/8 “產(chǎn)品導向型”信息安全 ? 初始階段，解決信息安全問題，通常的方法： ? 采購各種安全產(chǎn)品，由產(chǎn)品廠商提供方案； ? AntiVirus、 Firewall、 IDS Scanner?? ? 組織內(nèi)部安排 12人兼職負責日常維護，通常來自以技術(shù)為主的 IT部門； ? 更多的情況是幾乎沒有日常維護 ? 存在的問題 ? 需求難以確定 ? 保護什么、保護對象的邊界到哪里、應(yīng)該保護到什么程度 ?? ? 管理和服務(wù)跟不上，對采購產(chǎn)品運行的效率和效果缺乏評價 ? 通常用漏洞掃描（ Scanner）來代替風險評估 ? 有哪些不安全的因素（威脅、脆弱性）、信息不安全的影響、對風險的態(tài)度 ?? ? “ 頭痛醫(yī)頭，腳痛醫(yī)腳”，很難實現(xiàn)整體安全；不同廠商、不同產(chǎn)品之間的協(xié)調(diào)也是難題 2023/3/8 信息安全管理 ?ISO17799強調(diào)： “ Information security is a management process, not a technological process.” ? 技術(shù)和產(chǎn)品是基礎(chǔ)，管理是關(guān)鍵； ? 產(chǎn)品和技術(shù)，要通過管理的組織職能才能發(fā)揮最好的作用； ? 技術(shù)不高但管理良好的系統(tǒng)遠比技術(shù)高但管理混亂的系統(tǒng)安全； ? 先進、易于理解、方便操作的安全策略對信息安全至關(guān)重要，也證明了管理的重要； ? 建立一個管理框架，讓好的安全策略在這個框架內(nèi)可重復(fù)實施，并不斷得到修正，就會持續(xù)安全。 2023/3/8 ISO74982－安全體系結(jié)構(gòu) 加密 數(shù)字簽名 數(shù)據(jù)完整性 訪問控制 數(shù)據(jù)交換 業(yè)務(wù)流填充 路由控制 公證 抗抵賴 數(shù)據(jù)保密性 數(shù)據(jù)完整性 訪問控制 鑒別服務(wù) 物理層 鏈路層 表示層 應(yīng)用層 傳輸層 網(wǎng)絡(luò)層 會話層 安全機制 安全服務(wù) OSI參考模型 2023/3/8 ISO13335 IT安全管理 ? 分為 5個部分： ? ISO/IEC TR 133351：概念和模型 ? ISO/IEC TR 133352：管理和規(guī)劃 ? ISO/IEC TR 133353：管理技術(shù) ? ISO/IEC TR 133354：安全措施的選擇 ? ISO/IEC TR 133355：網(wǎng)絡(luò)安全性的管理指導 ? 由 ISO/IEC JTC1/SC27完成 2023/3/8 SSECMM 信息系統(tǒng)安全工程能力成熟度模型 ? CMM－ Capability Maturity Model 首先用于軟件工程； ? 1993年 4月，由美國 NSA資助，安全業(yè)界、 DOD、加拿大通信安全機構(gòu)共同組成項目組，研究把 CMM用于安全工程； ? 1996年 10月推出第一版， 97年 4月推出方法（ SSAM）第一版； 98年底推出第二版， 99年 4月推出 SSAM第二版； ? 用于信息系統(tǒng)安全的工程組織、采購組織和評估機構(gòu) ? 5個能力級別， 11個過程區(qū) ? 2023年，出版了 SSECMM 2023/3/8 ? 5個能力級別： 1級：非正式執(zhí)行級 2級：計劃和跟蹤級 3級：充分定義級 4級：量化控制級 5級：持續(xù)改進級 代表安全工程組織的 成熟度級別 ? 11個過程區(qū)： PA 01 管理安全控制 PA 02 評估影響 PA 03 評估安全風險 PA 04 評估威脅 PA 05 評估脆弱性 PA 06 建立保證論據(jù) PA 07 協(xié)調(diào)安全 PA 08 監(jiān)視安全態(tài)勢 PA 09 提供安全輸入 PA 10 指定安全要求 PA 11 驗證和證實安全性 SSECMM 信息系統(tǒng)安全工程能力成熟度模型（續(xù)） 2023/3/8 ISO15408(GB/T18336) 信息技術(shù)安全性評估準則 ? 通常簡稱 CC－通用準則， ISO15408:1999，GB/T18336:2023。作為 ISO或 IEC成員的各國團體通過由各自組織設(shè)立的技術(shù)委員會參與國際標準的開發(fā)，處理特殊領(lǐng)域的技術(shù)活動。目的是為各個組織制定安全標準和有效的安全管理措施提供一個通用平臺，并建立組織間交易時的信心。 Availability Ensuring that authorized users have access to information and associated assets when required. 確保被授權(quán)的用戶在需要時可以訪問信息和相關(guān)的資產(chǎn)。 BS77992:1999的內(nèi)容框架 (續(xù) ) 2023/3/8 2. Term and Definitions (術(shù)語和定義 ) statement of applicability (適用聲明 ) Critique of the objectives and controls applicable to the needs of the anization. 根據(jù)組織需要對所選的控制目標和控制措施的說明 BS77992:1999的內(nèi)容框架 (續(xù) ) 2023/3/8 3. Information security management system requirements (信息安全管理體系的要求 ) General (總則 ) Establishing a management framework(建立管理框架 ) Implementation(實施 ) Documentation (文檔化 ) Document control (文件控制 ) Records (記錄 ) BS77992:1999的內(nèi)容框架 (續(xù) ) 2023/3/8 4. Detailed controls （詳細控制措施） Security policy 安全方針 Security Organizational安全組織 Asset classification and control 資產(chǎn)分類與控制 Personnel security 人員安全 Physical and environmental security 物理和環(huán)境安全 Communications and operationa management 通信和操作管理 Access control 訪問控制 Systems devlopment and maintenance 系統(tǒng)開發(fā)和維護 Business continuity management 業(yè)務(wù)連續(xù)性管理 Compliance 符合性 BS77992:1999的內(nèi)容框架 (續(xù) ) 2023/3/8 ISO/IEC 17799:2023(BS77991:1999)、BS77992:199 BS77992:2023 之區(qū)別 ? ISO/IEC 17799:2023(BS77991:1999)為指南 ? 指導如何進行安全管理實踐 ? BS77992:1999和 BS77992:2023 為標準 ? 建立的信息安全管理體系必須符合的要求 ? BS77992:2023 ? 更接近 ISO9000標準的格式 ? 控制目標和控制措施作為附錄 2023/3/8 4. 信息安全管理體系方法 什么是 ISMS ISMS的重要原則 ISMS的實現(xiàn)方法 2023/3/8 什么是 ISMS ? ISMS： Information Security Management System 信息安全管理體系 ? ISO90002023 術(shù)語和定義 ? 組織 anization – 職責、權(quán)限和相互關(guān)系得到安排的一組人員及設(shè)施 , 如：公司、集團、商行、企事業(yè)單位、研究機構(gòu)、慈善機構(gòu)、代理商、社團、或上述組織的部分或組合。對于沒有解決的問題，應(yīng)提給下一個 PDCA循環(huán)中去解決。 ? 過程方法 – 系統(tǒng)地識別和管理組織所應(yīng)用的過程，特別是這些過程之間的相互作用，稱之為“過程方法” 。要求各部門高度重視， 第一步 制訂信息安全方針 建立 ISMS框架 組織應(yīng)定義信息安全方針。 BS77992對 ISMS的要求： 2023/3/8 ? 可以根據(jù)組織的實際情況，將組織的一部分定義為信息安全管理范圍，也可以將組織整體定義為信息安全管理范圍； ? 信息安全管理范圍必須用正式的文件加以記錄。 建立 ISMS框架 第四步 風險管理 2023/3/8 ? 是否定義了組織的風險管理方法？ ? 是否定義了所需的信息安全保證程度？ ? 是否給出了可選擇的控制措施供管理層做決定？ 建立 ISMS框架 第四步 風險管理 2023/3/8 建立 ISMS框架 第五步 選擇控制目標和控制措施 組織應(yīng)選擇適當?shù)目刂拼胧┖涂刂颇繕藖頋M足風險