【正文】 全 ? 通過技術(shù)手段獲得的安全是有限的，還應(yīng)該通過恰當(dāng)?shù)墓芾砗统绦騺碇С? 信息安全概述 法律法規(guī)與 合同要求 組織原則目標(biāo)和業(yè)務(wù)需要 風(fēng)險(xiǎn)評(píng)估的結(jié)果 從什么方面考慮信息安全？ 信息安全概述 常規(guī)的技術(shù)措施 ? 物理安全技術(shù)：環(huán)境安全、設(shè)備安全、媒體安全 ? 系統(tǒng)安全技術(shù)：操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)的安全性 ? 網(wǎng)絡(luò)安全技術(shù)：網(wǎng)絡(luò)隔離、訪問控制、入侵檢測(cè)、掃描評(píng)估 ? 應(yīng)用安全技術(shù)：安全、訪問安全、內(nèi)容過濾、應(yīng)用系統(tǒng)安全 ? 數(shù)據(jù)加密技術(shù)：硬件和軟件加密，實(shí)現(xiàn)身份認(rèn)證和數(shù)據(jù)信息的特性 ? 認(rèn)證授權(quán)技術(shù)：口令認(rèn)證、認(rèn)證（例如）、證書認(rèn)證等 ? 訪問控制技術(shù)：防火墻、訪問控制列表等 ? 審計(jì)跟蹤技術(shù)：入侵檢測(cè)、日志審計(jì)、辨析取證 ? 防病毒技術(shù)：?jiǎn)螜C(jī)防病毒技術(shù)逐漸發(fā)展成整體防病毒體系 ? 災(zāi)難恢復(fù)和備份技術(shù)：業(yè)務(wù)連續(xù)性技術(shù)，前提就是對(duì)數(shù)據(jù)的備份 信息安全概述 防火墻 網(wǎng)絡(luò)入侵檢測(cè) 病毒防護(hù) 主機(jī)入侵檢測(cè) 漏洞掃描評(píng)估 VPN通道 訪問控制 信息安全概述 有沒有更好的途徑？ 信息安全概述 信息安全管理 ? 信息安全的成敗取決于兩個(gè)因素：技術(shù)和管理。 ? 現(xiàn)實(shí)世界里大多數(shù)安全事件的發(fā)生和安全隱患的存在，與其說是技術(shù)上的原因，不如說是管理不善造成的，理解并重視管理對(duì)于信息安全的關(guān)鍵作用，對(duì)于真正實(shí)現(xiàn)信息安全目標(biāo)來說尤其重要。 ? 控制目標(biāo)與控制方式的選擇應(yīng)該建立在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上。 ? 遵循管理的一般模式 ——模型。 依據(jù)策略、程序、標(biāo)準(zhǔn)和法律法規(guī)，對(duì)安全措施的實(shí)施情況進(jìn)行符合性檢查。 ? 隨著國(guó)際貿(mào)易的發(fā)展，對(duì)國(guó)際標(biāo)準(zhǔn)的要求日益提高，的作用也日趨擴(kuò)大，世界上許多國(guó)家對(duì)也越加重視。 ? 信息安全管理方面最受推崇的國(guó)際標(biāo)準(zhǔn)。 ? 1993年 9月 —— 頒布《信息安全管理實(shí)施細(xì)則》，形成 7799的基礎(chǔ)。 ? 2023年 12月 —— 國(guó)際標(biāo)準(zhǔn)組織 127工作組認(rèn)可通過 77991，頒布 17799:2023《信息技術(shù) ——信息安全管理實(shí)施細(xì)則》。 7799簡(jiǎn)介 7799的發(fā)展現(xiàn)狀 ? 7799技術(shù)委員會(huì)是 2，成員包括： ? 金融服務(wù)：英國(guó)保險(xiǎn)協(xié)會(huì)，渣打會(huì)計(jì)協(xié)會(huì)，匯豐銀行等 ? 通信行業(yè)：大英電訊公司等 ? 零售業(yè)： ? 國(guó)際組織：殼牌，聯(lián)合利華，畢馬威（）等 ? 目前除英國(guó)之外，國(guó)際上已有荷蘭（ 20233）、丹麥和瑞典（ 627799）、挪威、芬蘭、澳大利亞和新西蘭（ 4444）、南非、巴西、日本（ X 5080）等國(guó)采用 7799。（可查詢） ? 目前大陸地區(qū)通過信息安全管理體系認(rèn)證的有近 30家。 ? 向貿(mào)易伙伴證明對(duì)信息安全的承諾，使貿(mào)易伙伴和客戶對(duì)組織充滿信心。工具包，體現(xiàn)了三分技術(shù)七分管理的思想 ? 27001：源自 77992。是信息安全管理方面的指導(dǎo)性標(biāo)準(zhǔn)，專注于領(lǐng)域，并不用于審計(jì)和認(rèn)證 7799簡(jiǎn)介 ? 第一部分 ? 信息安全概述 ? 779927001簡(jiǎn)介 ? 信息安全管理體系認(rèn)證之道 ? 第二部分 ? 風(fēng)險(xiǎn)評(píng)估與管理過程及方法 ? 1－信息安全管理實(shí)施細(xì)則 ? 2－信息安全管理體系規(guī)范 ? 總結(jié)和展望 選擇認(rèn)證機(jī)構(gòu) 信息安全管理體系認(rèn)證 明確認(rèn)證的范圍 ? 定義認(rèn)證范圍是讓認(rèn)證機(jī)構(gòu)和審核員確定評(píng)估程序的基礎(chǔ)。組織必須向認(rèn)證機(jī)構(gòu)通報(bào)任何變化。 風(fēng)險(xiǎn)評(píng)估與管理 風(fēng)險(xiǎn)評(píng)估和管理的目標(biāo) 低影響 高可能性 高影響 高可能性 高影響 低可能性 低影響 低可能性 威脅帶來的影響 威脅發(fā)生的可能性 采取有效措施，降低威脅事件發(fā)生的可能性，或者減小威脅事件造成的影響，從而將風(fēng)險(xiǎn)消減到可接受的水平。 風(fēng)險(xiǎn)評(píng)估與管理 關(guān)鍵是實(shí)現(xiàn)成本利益的平衡 安全控制的成本 安全事件的損失 最小化的總成本 低 高 高 安全成本/損失 所提供的安全水平 風(fēng)險(xiǎn)評(píng)估與管理 與風(fēng)險(xiǎn)管理相關(guān)的概念 ? 資產(chǎn)（） —— 任何對(duì)組織具有價(jià)值的東西，包括計(jì)算機(jī)硬件、通信設(shè)施、建筑物、數(shù)據(jù)庫、文檔信息、軟件、信息服務(wù)和人員等，所有這些資產(chǎn)都需要妥善保護(hù)。 ? 可能性（） —— 對(duì)威脅發(fā)生幾率（）或頻率（）的定性描述。 風(fēng)險(xiǎn)評(píng)估與管理 安全措施 安全需求 防范 采取 提出 減少 威脅 弱點(diǎn) 資產(chǎn) 資產(chǎn)價(jià)值 利用 導(dǎo)致 導(dǎo)致 暴露 增加 具有 風(fēng)險(xiǎn) 風(fēng)險(xiǎn)要素關(guān)系模型 風(fēng)險(xiǎn)評(píng)估與管理 風(fēng)險(xiǎn)管理概念的公式化描述 Risk = Asset Value Threat Vulnerability Residual Risk = Asset Value Threat Vulnerability Control Gap （ ） 風(fēng)險(xiǎn)評(píng)估與管理 風(fēng)險(xiǎn)管理過程 識(shí)別并評(píng)價(jià)資產(chǎn) 識(shí)別并評(píng)估威脅 識(shí)別并評(píng)估弱點(diǎn) 現(xiàn)有控制確認(rèn) 評(píng)估風(fēng)險(xiǎn)（測(cè)量與等級(jí)劃分） 接受 保持現(xiàn)有控制 選擇控制目標(biāo)和控制方式 制定 /修訂適用性聲明 實(shí)施選定的控制 Yes No 確認(rèn)并評(píng)估殘留風(fēng)險(xiǎn) 定期評(píng)估 風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)消減 風(fēng)險(xiǎn)接受 風(fēng)險(xiǎn)管理 風(fēng)險(xiǎn)評(píng)估與管理 定量與定性風(fēng)險(xiǎn)評(píng)估方法 定性風(fēng)險(xiǎn)分析 優(yōu)點(diǎn) 計(jì)算方式簡(jiǎn)單，易于理解和執(zhí)行 不必精確算出資產(chǎn)價(jià)值和威脅頻率 不必精確計(jì)算推薦的安全措施的成本 流程和報(bào)告形式比較有彈性 缺點(diǎn) 本質(zhì)上是非常主觀的，其結(jié)果高度依賴于評(píng)估者的經(jīng)驗(yàn)和能力，很難客觀地跟蹤風(fēng)險(xiǎn)管理的效果 對(duì)關(guān)鍵資產(chǎn)財(cái)務(wù)價(jià)值評(píng)估參考性較低 并不能為安全措施的成本效益分析提供客觀依據(jù) 定量風(fēng)險(xiǎn)分析 優(yōu)點(diǎn) 評(píng)估結(jié)果是建立在獨(dú)立客觀地程序或量化指標(biāo)之上的 可以為成本效益審核提供精確依據(jù)，有利于預(yù)算決策 量化的資產(chǎn)價(jià)值和預(yù)期損失易理解 可利用自動(dòng)化工具幫助分析 缺點(diǎn) 信息量大，計(jì)算量大，方法復(fù)雜 沒有一種標(biāo)準(zhǔn)化的知識(shí)庫，依賴于提供工具或?qū)嵤┱{(diào)查的廠商 投入大，費(fèi)時(shí)費(fèi)力 定量風(fēng)險(xiǎn)評(píng)估：試圖從數(shù)字上對(duì)安全風(fēng)險(xiǎn)進(jìn)行分析評(píng)估的一種方法。 ? 管理性弱點(diǎn)：策略、程序、規(guī)章制度、人員意識(shí)、組織結(jié)構(gòu)等方面的不足。 ISO17799:2023 ? 安全策略 ? 組織信息安全 ? 資產(chǎn)管理 ? 人力資源安全 ? 物理和環(huán)境安全 ? 通信和操作管理 ? 訪問控制 ? 信息系統(tǒng)獲取、開發(fā)和維護(hù) ? 信息安全事件管理 ? 業(yè)務(wù)連續(xù)性管理 ? 符合性 17799:2023 信息安全管理實(shí)施細(xì)則 11個(gè)方面 39個(gè)目標(biāo) 133個(gè)控制措施 10個(gè)方面 36個(gè)目標(biāo) 127個(gè)控制措施 對(duì)比 17799:2023老版 …… 17799:2023 信息安全管理實(shí)施細(xì)則 “ . , . a . . a , , a .” 并不是所有此處描述的控制都與各種環(huán)境相關(guān)，這里并沒有考慮本地系統(tǒng)、環(huán)境或者技術(shù)性的約束，不大可能以一種適合組織內(nèi)部各類潛在用戶的形式展現(xiàn)。 17799:2023 信息安全管理實(shí)施細(xì)則 信息安全策略的定義 ? 信息安全策略（或者方針）是由組織的最高管理者正式制訂和發(fā)布的信息安全目標(biāo)和方向，用于指導(dǎo)信息安全管理體系的建立和實(shí)施過程。也應(yīng)定期復(fù)查安全策略。 信息安全管理委員會(huì) 外部安全專家 信息安全獨(dú)立評(píng)審 信息安全管理 框架 權(quán)威機(jī)構(gòu) 17799:2023 信息安全管理實(shí)施細(xì)則 識(shí)別與外部伙伴相關(guān)的風(fēng)險(xiǎn) ? 外部伙伴可能包括： ? 服務(wù)提供商（例如、網(wǎng)絡(luò)和通信服務(wù)、維護(hù)和支持服務(wù)提供商等），管理安全服務(wù)（） ? 客戶 ? 外包服務(wù)（系統(tǒng)設(shè)施和運(yùn)維、數(shù)據(jù)采集、呼叫中心） ? 管理和業(yè)務(wù)咨詢顧問、審計(jì)師 ? 軟件產(chǎn)品和系統(tǒng)的開發(fā)者和供應(yīng)商 ? 保潔快餐等外部服務(wù) ? 臨時(shí)工、短期兼職人員等 ? 如果需要讓外部伙伴訪問組織的信息處理設(shè)施或信息，有必要先做一次風(fēng)險(xiǎn)評(píng)估，找到特別的安全控制需求。應(yīng)該讓外部伙伴意識(shí)到其責(zé)任和必須遵守的規(guī)定。 ? 組織可以根據(jù)業(yè)務(wù)運(yùn)作流程和信息系統(tǒng)拓?fù)浣Y(jié)構(gòu)來識(shí)別信息資產(chǎn)。 ? 根據(jù)組織采用的分類方案，為信息標(biāo)注和處理定義一套合適的程序。 解聘或變更 解聘責(zé)任 返還資產(chǎn) 去除訪問權(quán)限 目標(biāo)： 確保雇員、合同工和第三方用戶按照既定方式離職或變更職位。 ? 通過背景檢查，可以防止： ? 因?yàn)槿藛T解雇而導(dǎo)致法律訴訟 ? 因?yàn)楣陀檬韬龆鴮?dǎo)致第三方的法律訴訟 ? 雇用不合格的人員 ? 喪失商業(yè)秘密 ? 員工從一般崗位轉(zhuǎn)入信息安全重要崗位，組織也應(yīng)當(dāng)對(duì)其進(jìn)行檢查，對(duì)于處在有相當(dāng)權(quán)力位置的人員，這種檢查應(yīng)定期進(jìn)行。 設(shè)備安全 設(shè)備的安置與保護(hù) 供電 電纜安全 設(shè)備維護(hù) 場(chǎng)外設(shè)備的安全 設(shè)備報(bào)廢或重用時(shí)的安全 財(cái)物遷移 . 17799:2023 信息安全管理實(shí)施細(xì)則 物理安全要點(diǎn)提示 ? 清晰劃定安全區(qū)域邊界 ? 圍墻、門鎖、照明、告警、監(jiān)視系統(tǒng) ? 專門設(shè)立接待區(qū)，限制物理訪問 ? 外來人員登記及陪同 ? 定期檢查訪問記錄 ? 關(guān)鍵設(shè)施不要放置在公共區(qū)域 ? 關(guān)鍵區(qū)域不做顯眼標(biāo)記 ? 防止火災(zāi)、水災(zāi)、地震、爆炸等自然或人為災(zāi)難 ? 安全區(qū)域內(nèi)工作，禁止攝影攝像，加強(qiáng)監(jiān)督 ? 一定要注意那些不在視野范圍內(nèi)的東西 17799:2023 信息安全管理實(shí)施細(xì)則 注意你的身邊！ 注意最細(xì)微的地方！ 17799:2023 信息安全管理實(shí)施細(xì)則 我們來看一個(gè)可怕的案例 您肯定用過銀行的機(jī)，您插入銀行卡，然后輸入密碼，然后取錢，然后拔卡，然后離開，您也許注意到您的旁邊沒有別人，您很小心，可是，您真的足夠小心嗎？ ?? 17799:2023 信息安全管理實(shí)施細(xì)則 17799:2023 信息安全管理實(shí)施細(xì)則 17799:2023 信息安全管理實(shí)施細(xì)則 17799:2023 信息安全管理實(shí)施細(xì)則 17799:2023 信息安全管理實(shí)施細(xì)則 17799:2023 信息安全管理實(shí)施細(xì)則 17799:2023 信息安全管理實(shí)施細(xì)則 關(guān)于場(chǎng)外設(shè)備使用的提示 ? 無論是誰，信息處理設(shè)施要帶到組織邊界外使用，必須得到相關(guān)授權(quán) ? 場(chǎng)外設(shè)備或介質(zhì)不應(yīng)該單獨(dú)置于公共區(qū)域，筆記本電腦應(yīng)該放在不顯眼的包里 ? 注意設(shè)備防暴、防磁、防熱、防水、防震 ? 家庭辦公時(shí)，遵守設(shè)備加鎖保存、桌面凈空、計(jì)算機(jī)訪問控制及安全通信策略 ? 可以考慮購(gòu)買適當(dāng)?shù)谋ｋU(xiǎn) 17799:2023 信息安全管理實(shí)施細(xì)則 目標(biāo)：確保正確并安全地操作信息處理設(shè)施。 17799:2023 信息安全管理實(shí)施細(xì)則 目標(biāo)：維護(hù)信息和信息處理設(shè)施的完整性及可用性。 17799:2023 信息安全管理實(shí)施細(xì)則 目標(biāo)：確保電子商務(wù)服務(wù)的安全性，保證安全使用電子商務(wù)服務(wù)。應(yīng)該根據(jù)業(yè)務(wù)和安全需求對(duì)信息、系統(tǒng)和業(yè)務(wù)流程加以控制，還應(yīng)該考慮信息傳播和授權(quán)的策略。 網(wǎng)絡(luò)訪問控制 網(wǎng)絡(luò)服務(wù)使用策略 對(duì)外部連接用戶進(jìn)行身份認(rèn)證 識(shí)別網(wǎng)絡(luò)中的設(shè)備 遠(yuǎn)程診斷和配置端口的保護(hù) 網(wǎng)絡(luò)隔離 網(wǎng)絡(luò)連接控制 網(wǎng)絡(luò)路由控制 操作系統(tǒng)訪問控制 安全的登錄程序 用戶身份識(shí)別與認(rèn)證 口令管理系統(tǒng) 系統(tǒng)工具的使用 會(huì)話超時(shí) 限制連接時(shí)間 目標(biāo)： 防止對(duì)信息系統(tǒng)的非授權(quán)訪問。如果需要，還要驗(yàn)證每個(gè)合法用戶的終端節(jié)點(diǎn)或位置 ? 記錄成功和失敗的系統(tǒng)訪問 ? 提供適當(dāng)?shù)纳矸蒡?yàn)證方法。 密碼控制 密碼控制使用策略 密鑰管理 目標(biāo)： 通過加密手段， 保護(hù)信息的保密性、真實(shí)性或完整性。 開發(fā)和支持過程的安全 變更控制程序 運(yùn)營(yíng)系統(tǒng)變更后對(duì)應(yīng)用做技術(shù) 評(píng)審 限制對(duì)軟件包的變更 信息泄漏 外包的軟件開發(fā) 技術(shù)漏洞管理 控制技術(shù)漏洞 目標(biāo)： 防止因?yàn)槔靡寻l(fā)布漏洞而實(shí)施的破壞。 分析對(duì)業(yè)務(wù)連續(xù)性的潛在影響 編寫，實(shí)施，測(cè)試和維護(hù)業(yè)務(wù)連續(xù)性計(jì)劃 建立計(jì)劃框架 業(yè)務(wù)連續(xù)性管理過程 ? 理解組織面臨的風(fēng)險(xiǎn)，識(shí)別關(guān)鍵業(yè)務(wù)活動(dòng)和優(yōu)先次序。 ? 根據(jù)業(yè)務(wù)連續(xù)性戰(zhàn)略制定并文檔化業(yè)務(wù)連續(xù)性計(jì)劃。 15 符合性