[精选]信息安全管理体系教材.pptx

《[精选]信息安全管理体系教材.pptx》由会员分享，可在线阅读，更多相关《[精选]信息安全管理体系教材.pptx（64页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全管理体系信息安全管理体系信息安全管理体系信息安全管理体系培训大纲培训大纲一、信息安全面临的风险一、信息安全面临的风险 二、保护信息安全的方法二、保护信息安全的方法三、三、完善信息安全治理结构完善信息安全治理结构四、审视业务进行风险评估四、审视业务进行风险评估五、进行信息安全控制规划五、进行信息安全控制规划六、建立信息安全管理体系六、建立信息安全管理体系七、建立完备的七、建立完备的“技术防火墙技术防火墙八、建立有效的八、建立有效的“人力防火墙人力防火墙九、对信息安全的检查与审计九、对信息安全的检查与审计n信息系统固有的脆弱性信息系统固有的脆弱性n信息本身易传播、易毁损、易伪造n信息技术平

2、台如硬件、网络、系统的复杂性与脆弱性n行动的远程化使安全管理面临挑战n信息具有的重要价值信息具有的重要价值n信息社会对信息高度依赖，信息的风险加大n信息的高附加值会引发盗窃、滥用等威胁一、一、信息安全面临的风险信息安全面临的风险企业对信息的依赖程度：企业对信息的依赖程度：明尼苏达大学Bush-Kugel的研究报告指出，企业在没有信息资料可用的情况下，金融业至多只能运行2天，商业则为3.3天，工业则为5天，保险业为5.6天。而以经济情况来看，有25%的企业，因为的毁损可能立即破产，40%会在两年内宣布破产，只有7%不到的企业在5年后能够继续存活。n层出不穷网络安全事件层出不穷网络安全事件n全球平

3、均20秒就发生一次计算机病毒入侵,互联网上的防火墙大约25%被攻破;窃取商业信息的事件每月260%的速度增加。n 部公共信息网络安全监察局2006年8月25日发布的一项调查报告显示，54的被调查单位发生过信息网络安全事件，比去年上升5，其中发生过3次以上的占22，比去年上升7。73的安全事件是由于未修补或防范软件漏洞所导致。n据统计2006年产生的电脑病毒和木马的数量到达23万个，其中90%以上带有明显的利益特征，有窃取个人资料、各种账号密码等行为，严重威胁着互联网的安全。第一毒王“熊猫烧香病毒己造成超过一千万的个人及企业用户中毒，直接及间接经济损失高达亿元以上。n据统计，2008年初全球产生

4、的电脑病毒和木马的数量到达50万个，其中90%以上带有明显的利益特征，有窃取个人资料、各种账号密码等行为，严重威胁着互联网的安全。Baidu灰鸽子吧n商业间谍无孔不入商业间谍无孔不入n在走向现代市场经济的过程中，由于利益多元化格局的形成和利益驱动机制的强化，侵犯企业商业秘密的事件正在迅速增加。n根据 对本国1500家公司的调查，有1300家公司成认，它们对国外的竞争对手进行了间谍活动。据估计，企业每年投资在经济、科技情报方面的费用高达300亿美元。n许多大公司设立专门的竞争情报部门，建立企业竞争情报系统，进入世界500强的 公司中90%设有竞争情报部。如IBM、微软、陶氏科宁、可口可乐等公司的

5、竞争情报系统不仅能够时刻监视竞争对手的动向和环境的变化，而且具有对环境的“早期预警功能。向对手的商业机密说“不n商业机密泄露使企业遭受损失商业机密泄露使企业遭受损失n2004年的一项调查显示，名列财富杂志前1000名的公司每年因泄露商业机密而出现的损失高达450亿美元，平均 每家公司每年发生2.45次泄密事件，损失超过50万美元。n景泰蓝、宣纸、青蒿素、维生素C生产技术的泄密和铷铁硼专利被 都给我国企业和国家带来了重大的经济损失，造成了无可挽回的影响。n思科诉华为，华为诉沪科等知识产权案，使企业和人员都蒙受了损失。华为诉前员工窃密案触目惊心的泄密事件n信息安全损失的信息安全损失的“冰山冰山理论

6、理论n信息安全直接损失只是冰由之一角，信息安全直接损失只是冰由之一角，间接损失是直接损失是间接损失是直接损失是653倍倍n间接损失包括：间接损失包括：n时间被延误n修复的成本n可能造成的法律诉讼的成本n组织声誉受到的影响n商业时机的损失n对生产率的破坏$10,000$10,000$60,000$530,000n我国当前信息安全普遍存在的问题我国当前信息安全普遍存在的问题n忽略了信息化的治理机制与控制体系的建立，和信息化忽略了信息化的治理机制与控制体系的建立，和信息化“游戏游戏规则规则的建立；的建立；n厂商主导的技术型解决方案为主，用户跟着厂商的步子走；厂商主导的技术型解决方案为主，用户跟着厂商

7、的步子走；n安全只重视边界安全，没有在应用层面和内容层面考虑业务安安全只重视边界安全，没有在应用层面和内容层面考虑业务安全问题；全问题；n重视安全技术，轻视安全管理，信息安全可靠性没有保证；重视安全技术，轻视安全管理，信息安全可靠性没有保证；n信息安全建设缺乏绩效评估机制，信息安全成了信息安全建设缺乏绩效评估机制，信息安全成了“投资黑洞投资黑洞；n信息安全人员变成信息安全人员变成“救火队员救火队员 n如何实现信息安全？如何实现信息安全？n信息安全反病毒软件防火墙入侵检测系统？信息安全反病毒软件防火墙入侵检测系统？n管理制度？人的因素？环境因素？管理制度？人的因素？环境因素？nErnst&You

8、ng及国内安全机构的分析：及国内安全机构的分析：n国家政府和 队信息受到的攻击70%来自外部，银行和企业信息受到的攻击70%来自于内部。n75%的被调查者认为员工对信息安全策略和程序的不够了解是实现信息安全的障碍之一,只有35%的组织有持续的安全意识教育与培训方案n66%的组织认为信息系统没有遵守必要的信息安全规则n56%的组织认为在信息安全的投入上缺乏，60%从不计算信息安全的ROI，83%的组织认为在技术安全产品与技术上投入最多。在整个系统安全工作中,管理包括管理和法律法规方面所占比重应该到达70%,而技术包括技术和实体应占30%。二、二、保护信息安全的方法保护信息安全的方法n信息安全体系

9、模型的演变信息安全体系模型的演变nISO 7498-2GB/T 9387.21995nPDR 模型模型nPDRR 安全模型安全模型P2DR2nIATF信息保障技术框架信息保障技术框架n信息安全管理体系信息安全管理体系ISMS人们逐渐认识到安全管理的重要性，作为信息安全建设蓝图的安全体系就应该顾及安全管理的内容。n建立信息安全管理体系建立信息安全管理体系n对信息安全建立系统工程的观念对信息安全建立系统工程的观念n用制度来保证组织的信息安全更有效用制度来保证组织的信息安全更有效n信息安全遵循木桶原理信息安全遵循木桶原理n对信息系统的各个环节进行统一的综合考虑、规划和构架对信息系统的各个环节进行统一

10、的综合考虑、规划和构架n并要时时兼顾组织内不断发生的变化，任何环节上的安全缺并要时时兼顾组织内不断发生的变化，任何环节上的安全缺陷都会对系统构成威胁。陷都会对系统构成威胁。需要对信息安全进行有效管理nBHTP一种实施一种实施ISMS的有效方法的有效方法n业务与策略业务与策略Business and Policyn人员与管理人员与管理Human and managementn技术与产品技术与产品Technology and productsn流程与体系流程与体系Process and Framework治理与控制环境治理与控制环境nBHTP模型的关键要素模型的关键要素n业务与策略业务与策略n根据

11、业务需要在组织中建立信息安全策略，以指导对信息资产进行管理、保护和分配。确定并实施信息安全策略是组织的一项重要使命，也是组织进行有效安全管理的基础和依据。n“保护业务，为业务创造价值应当是一切安全工作的出发点与归宿，最有效的方式不是从现有的工作方式开始应用信息安全技术，而是在针对工作任务与工作流程重新设计信息系统时，发挥信息安全技术手段支持新的工作方式的能力。n人员与管理人员与管理n人是信息安全最活泼的因素，人的行为是信息安全保障最主要的方面。n从国家的角度考虑有法律、法规、政策问题；从组织角度考虑有安全方针政策程序、安全管理、安全教育与培训、组织文化、应急方案和业务持续性管理等问题；从个人角

12、度来看有职业要求、个人隐私、行为学、心理学等问题。n技术与产品技术与产品n可以综合采用商用密码、防火墙、防病毒、身份识别、网络隔离、可信效劳、安全效劳、备份恢复、PKI效劳、取证、网络入侵陷阱、主动还击等多种技术与产品来保护信息系统安全n考虑安全的成本与效益，采用“适度防范Rightsizing的原则 n流程与体系流程与体系n建立良好的IT治理机制是实施信息安全的基础与重要保证。n在风险分析的基本上引入恰当控制，建立PDCA的安全管理体系，从而保证组织赖以生存的信息资产的安全性、完整性和可用性 n安全体系统还应当随着组织环境的变化、业务开展和信息技术提高而不断改进，不能一劳永逸，一成不变，需要

13、建立完整的控制体系来保证安全的持续完善。nBHTP的方法论的方法论决策层对信息安全看法n建立跨部门的信息安全建立跨部门的信息安全 会会n良好的治理结构要求主体单位的IT 决策必须由最了解组织整体目标与价值的权威部门来决定。三、三、完善信息安全治理结构完善信息安全治理结构信息安全组织结构例如安全工作小组流程例如n审视业务，确定审视业务，确定IT原则和信息安全方针原则和信息安全方针n在进行信息安全规划与实施安全控制措施前，首先要充分了解组织的业务目标和IT目标，建立IT原则，这是实施建立有效的信息安全保障体系的前提。n组织的业务目标和IT原则将直接影响到安全需求，只有从业务开展的需要出发，确定适宜

14、的IT原则，才能指导信息安全方针的制定。n信息安全方针就是组织的信息安全 会或管理当局制定的一个高层文件，用于指导组织如何对资产，包括敏感性信息进行管理、保护和分配的规则和指示。n在安全方针的指导下，通过了解组织业务所处的环境，对IT基础设施及应用系统可能存在的薄弱点进行风险评估，制定出适宜的安全控制措施、安全策略程序及安全投资方案。IT原则例如 信息安全方针例如 四、四、确定确定IT原则与安全方针原则与安全方针五、五、进行风险评估进行风险评估n风险评估的常用方法风险评估的常用方法n目前国内ISMS风险评估的方法主要参照ISO13335的有关定义及国信办9号文件信息安全风险评估指南，这些标准把

15、重点放在信息资产上。n缺点：风险评估人员一般最容易找到的资产无非就是硬件类、软件类的资产，而对安全来说至关重要的IT治理、组织政策、人员管理、职责分配、业务流程、教育培训等问题，由于不能方便地定义为信息资产，而往往被视而不见。n因此，风险评估经常出现“捡了芝麻、丢了西瓜，“只见树木，不见森林的情况。n完备的风险评估方法完备的风险评估方法n信息安全涉及的内容决不仅仅是信息安全、技术安全的问题，它还会涉及到治理机制、业务流程、人员管理、企业文化等内容。n通过“现状调查获得对组织信息安全现状和控制措施的基本了解；通过“基线风险评估了解组织与具体的信息安全标准的差距，得到粗粒度的安全评价。通过“资产风

16、险评估和“流程风险评估进行详细风险评估，根据三方面的评估得到最终的风险评估报告。n现状调查的主要内容现状调查的主要内容n文档收集与分析n组织的基本信息、组织结构图n组织人员 、机构设置、岗位职责说明书n业务特征或效劳介绍n与信息安全管理相关的政策、制度和标准n现场访谈n安排与相关人员的面谈n对员工工作现场的观察n加强工程组对企业文化的感知访谈提纲：管理层、部门经理、员工，某员工的访问例如n技术评估技术评估n工具扫描、渗透测试1 2 3n人工分析人工分析n系统安全配置完全检测、网络效劳安全配置完全检测n包括用户安全、操作系统安全、网络效劳安全、系统程序安全人工评估记录例如技术评估综述n问卷调研问

17、卷调研n安全日常运维现状调研问卷：针对组织中实际的应用、系统、网络状况，从日常的管理、维护、系统审计、权限管理等方面全面了解组织在信息系统安全管理和维护上的现实状况。n从安全日常运维角度出发，更贴近实际运维环境。安全日常运维现状调研问卷信息安全现状分析报告n基线风险评估基线风险评估n所谓基线风险评估，就是确定一个信息安全的基本底线，信息安全不仅仅是资产的安全，应当从组织、人员、物理、逻辑、开发、业务持续等各个方面来确定一个基本的要求，在此基础之上，再选择信息资产进行详细风险分析，这样才能在兼顾信息安全风险的方方面面的同时，对重点信息安全风险进行管理与控制。nISO27001确立了组织机构内启动

18、、实施、维护和改进信息安全管理的指导方针和通用原则，以标准组织机构信息安全管理建设的内容，因此，风险评估时，可以把ISO27001作为安全基线，与组织当前的信息安全现状进行比对，发现组织存在的差距，这样一方面操作较方便，更重要的是不会有遗漏 ISO27001调查问卷例如信息安全管理体系风险评估与处置建议报告n信息资产风险评估信息资产风险评估n针对重要的信息资产进行安全影响、威胁、漏洞及可能性分析，从而估计对业务产生的影响，最终可以选择适当的方法对风险进行有效管理。安全风险评估与处置建议报告安全风险评估表例如资产定义及估值确定现有控制威胁评估确定风险水平风险评估过程脆弱性评估安全控制措施的识别与

19、选择降低风险风险管理过程接受风险电子政务风险评估案例nIT流程风险评估流程风险评估n信息安全不仅仅要看IT资产本身是否安全可靠，而且还应当在其所运行的环境和经历的流程中保证安全。n没有可靠的IT流程的保证，静态的安全是不可靠的，而且IT的风险也不仅仅是信息安全的问题，IT的效率与效果也同样是需要考虑的问题，因此评估IT流程的绩效特性并加以完善是风险控制中必不可少的内容。IT相关业务流程风险评估与处置建议报告n确定风险控制策略确定风险控制策略风险控制策略举例六、信息安全控制规划六、信息安全控制规划n选择安全控制措施选择安全控制措施风险控制措施防止商防止商业业活活动动中断和灾中断和灾难难事故的影响

20、。事故的影响。业务业务持持续续性管理性管理信息安全事件管理信息安全事件管理保保证证系系统统开开发发与与维护维护的安全的安全系系统统开开发发与与维护维护控制控制对业务对业务信息的信息的访问访问。访问访问控制控制保保证证通通讯讯和操作和操作设备设备的正确和安全的正确和安全维护维护。通信与运通信与运营营管理管理防止防止对对关于关于ITIT效效劳劳的未的未经许经许可的介入，可的介入，损伤损伤和干和干扰扰效效劳劳。物理与物理与环环境安全境安全减少人减少人为为造成的造成的风险风险。人人员员安全安全维护组织资产维护组织资产的适当保的适当保护护系系统统。资产资产管理管理建立建立组织组织内的管理体系以便安全管理

21、。内的管理体系以便安全管理。安全安全组织组织为为信息安全提供管理方向和支持。信息安全提供管理方向和支持。安全方安全方针针目的目的ISO27001ISO27001十一个域十一个域防止任何防止任何违违反法令、法反法令、法规规、合同、合同约约定及其他安全要求的定及其他安全要求的行行为为。符合性符合性确保与信息系统有关的安全事件和弱点的沟通能够及确保与信息系统有关的安全事件和弱点的沟通能够及时采取纠正措施时采取纠正措施n进行安全控制规划进行安全控制规划n安全规划针对组织面临的主要安全风险，在安全管理控制框架和安全技术控制框架方面进行较为详尽的规划。n安全规划对组织未来几年的网络架构、威胁防护、策略、组

22、织、运行等方面的安全，进行设计、改进和加强，是进行安全建设的总体指导。序序号号工程内容工程内容紧迫迫性性可可实施性施性难易易程度程度效果效果分析分析综合合分析分析1安全体系建设2安全策略管理3安全组织管理4安全运行管理5物理安全管理6网络访问控制7认证与授权8监控与审计9系统管理10响应和恢复11信息安全12系统开发管理13物理安全14n安全规划方法信息安全实施总体规划报告信息安全实施总体规划图表n安全预算方案安全预算方案n所以安全预算方案是一项具有挑战性的工作，要采用“适度防范的原则，把有限的资金用在刀刃上。n一般来说，没有特别的需要，为信息安全的投入不应超过信息化建设总投资额的20%，过高

23、的安全成本将使安全失去意义。n投资回报方案投资回报方案n信息安全投资回报方案就是要研究信息安全的成本效益，其成本效益组成如下：n从系统生命周期看信息安全的成本：获取成本和运行成本n从安全防护手段看信息安全的成本：技术成本和管理成本n信息安全的价值效益：减少信息安全事故的经济损失n信息安全的非价值效益：增加声誉、提升品牌价值n信息安全体系模型的演变信息安全体系模型的演变nISO 7498-2GB/T 9387.21995nPDR 模型nPDRR 安全模型P2DR2nIATF信息保障技术框架n信息安全管理体系ISMS七、建立信息安全管理体系七、建立信息安全管理体系人们逐渐认识到安全管理的重要性，作

24、为信息安全建设蓝图的安全体系就应该顾及安全管理的内容。n信息安全管理体系的定义信息安全管理体系的定义n信息安全管理体系ISMS：Information Security Management System是组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和体系。nISMS相对应的BS 7799 标准在国际上得到了广泛的应用，目前引标准已被采纳为国际标准ISO17799:2005 ISO27001:2005。n在ISO17799中 信息安全主要指信息的机密性Confidentiality、完整性Integrity和可用性Availability的保持。用木桶原理说明IS

25、MSnISMS“木桶木桶由哪些由哪些“板板组成？组成？n类似于质量管理体系的ISO9000标准，ISMS也有相应的国际标准ISO27001，它确定了ISMS的11个安全领域及133个相应的控制措施。nISO17799及及ISO27001的内容的内容nISO17799:2005 信息安全管理实施标准，主要是给负责开发的人信息安全管理实施标准，主要是给负责开发的人员作为参考文档使用，从而在组织中实施和维护信息安全；员作为参考文档使用，从而在组织中实施和维护信息安全；nISO27001:2005 信息安全管理体系标准，详细说明了建立、实施信息安全管理体系标准，详细说明了建立、实施和维护信息安全管理系

26、统的要求，指出实施组织需要通过风险评估和维护信息安全管理系统的要求，指出实施组织需要通过风险评估来鉴定最适宜的控制对象，并对自己的需求采取适当的控制。来鉴定最适宜的控制对象，并对自己的需求采取适当的控制。获得BS7799和ISO27001认证的组织 ISO17799信息安全信息安全BS15000IT效劳管理效劳管理职业安全健康管理体职业安全健康管理体系指导意见系指导意见OHSAS18000财务管理体系财务管理体系BS8600 客户满意客户满意管理体系管理体系ISO100015培训体系培训体系人力资源管理体系人力资源管理体系ISO9000ISO14001 综合管理体系综合管理体系战略和投战略和投

27、资管理资管理 战略和投资管理体战略和投资管理体系系行业强制性管理体系及行业强制性管理体系及产品认证如产品认证如QS9000，ISMC，ISO17799与其他标准比照nISO27001与其他标准的融合与其他标准的融合nISMS体系设计体系设计n在组织中要实现信息安全，比较切实可行的第一步的是按照PDCA的原则建立信息安全管理体系。n如果没有一个完整的管理体系和有效的过程来保证组织中的人员能理解他们的安全责任与义务，并建立基本的有效的控制措施，那么再好的安全技术也不能保证组织的信息安全。nISMS建设过程：建设过程：n建立ISMS首先要建立一个合理的信息安全管理框架，要从整体和全局的视角，从信息系

28、统的所有层面进行整体安全建设n从信息系统本身出发，通过建立资产清单，进行风险分析和需求分析和选择安全控制等步骤，建立安全体系并提出安全解决方案。体系运行体系审核管理评审体系认证第七步第七步第八步第八步第九步第九步第十步第十步运行说明运行说明内审报告内审报告外审报告外审报告认证证书认证证书nISMS体系文件编写体系文件编写n对ISMS体系的设计首先是以标准化的ISMS体系文件的形式表现出来。把有关ISMS的重要内容用文件的形式表述出来，就形成了组织的ISMS体系文件。nISMS体系文件是实施信息安全管理所必需的结构、规则、过程和资源等因素所组成的有机总体，有效的信息安全管理需要明确管理的具体目标

29、与范围、流程与活动、人员与职责、资源与条件等内容nISMS体系文件的作用体系文件的作用n保护信息安全的指南n对信息安全进行审核的依据n安全管理水平不断改进的保障n促进安全培训工作的开展nISMS体系文档的组成体系文档的组成四级文件三级文件二级文件一级方针、策略文件ISMS体系文件标准、程序作业指导书、记录、表单nISMS的正式运行的正式运行nISMS体系文件编制完成后，组织应按照文件的控制要求进行审核与批准并发布实施，至此，信息安全管理体系将进入运行阶段 n在试运行的基础上，总结经验，进行认真的部署，选择恰当的时机进行ISMS体系的正式运行。n正式运行前，需要领导层进行发动，并进行全员培训，签

30、定相关协议，方针策略、规章制度正式起用。n只有保证ISMS持续运行，才能使ISMS的制度真正落到实处，使组织的安全状况得到改观。ISMS体系建设案例n“技术防火墙的总体要求技术防火墙的总体要求n技术结构方面：完备的安全技术防御系统应该具备评估，保护，检测，反响和恢复的五种技术能力。实现ISO7498-2所定义的鉴别，访问控制，数据完整性，数据保密性，抗抵赖五类安全功能。n技术产品方面：综合利用商用密码、防火墙、防病毒、身份识别、网络隔离、可信效劳、安全效劳、备份恢复、PKI效劳、取证、网络入侵陷阱、主动还击等多种技术与产品来保证企业的信息系统的机密性、完整性和可靠性。n集中管理方面：实现集成化

31、安全管理和安全信息共享机制，以集中管理安全控制、安全策略、安全配置、安全事件审计、安全事故应急响应，可管理的安全才是真正意义上的安全。n灾难恢复与业务持续性方面：对于突发性的重大灾难，日常安全控制措施不再起作用，此时要采取适当和有效的措施来减轻相关威胁实际发生时所带来的破坏后果，这是组织信息安全的最后一道防线。八、建立八、建立“技术防火墙技术防火墙n“技术防火墙的实现框架技术防火墙的实现框架n信息安全框架可通过基础技术系统、安全运维管理系统、应用支撑系统来实现，其最终目的是保证应用系统和数据的安全。基础技术系统安全防护系统应用支撑系统安全运维管理系统n基础技术系统基础技术系统n纵深防御架构纵深

32、防御架构n可信网和不可信网要物理层隔断，网络逻辑连接要割断，应用数据要净化，不可信网络上的计算机不能直接到达可信网络。n使用“应用分层、效劳分区、安全分级的思路，指导网络结构化建设，根据应用类型、物理位置、逻辑位置等的不同，划分不同的网络安全区域和边界。IATF安全域安全域n安全基础设施安全基础设施n一个为整个安全体系提供安全效劳的基础性平台，为应用系统和安全支撑平台提供包括数据完整性、真实性、可用性、不可抵赖性和机密性在内的安全效劳。包括：n数字证书认证体系CA/PKIn密钥管理基础设施KMIn授权管理基础设施AA/PMIn灾难恢复及业务连续性基础设施DRI/BCPCARA证书认证中心证书认

33、证中心证书认证中心证书认证中心注册授权机构注册授权机构注册授权机构注册授权机构Internet或专网申请证书申请证书申请证书申请证书应用系统应用系统应用系统应用系统用户终端用户终端用户终端用户终端使用证书使用证书使用证书使用证书访问访问访问访问鉴别鉴别证书鉴别与证书鉴别与证书鉴别与证书鉴别与访问控制系统访问控制系统访问控制系统访问控制系统LDAP数字证书数字证书数字证书数字证书证书查询效劳证书查询效劳证书查询效劳证书查询效劳n利用利用PKI数字证书进行访问控制数字证书进行访问控制用户用户用户用户CACACACA系统系统系统系统AAAAAAAA系统系统系统系统数据库效劳访问他是谁？他是谁？有什么

34、权限？有什么权限？认证系统认证系统认证系统认证系统授权系统授权系统授权系统授权系统用户认证证书用户权限证书设备认证证书设备认证证书软件认证证书nPKI与与PMI的应用：安全认证与授权的应用：安全认证与授权n安全防护系统安全防护系统n网络安全控制采用入侵检测、漏洞扫描、病毒防治、防火墙、网络隔离、安全虚拟专网VPN等成熟技术，利用物理环境保护、边界保护、系统加固、节点数据保护、数据传输保护等手段，通过对网络的安全防护的统一设计和统一配置，实现全系统统一、高效、可靠的网络安全防护。省级局域网省级局域网省级局域网省级局域网上级接口上级接口上级接口上级接口下级接口下级接口下级接口下级接口横横横横向向向

35、向接接接接口口口口互互互互联联联联网网网网接接接接口口口口加密机：保护离开局域网的加密机：保护离开局域网的信息安全，同时防止非法接信息安全，同时防止非法接入。入。防火墙：防止来自总部内部的攻防火墙：防止来自总部内部的攻击。击。防火墙：防止来自外部防火墙：防止来自外部的攻击。的攻击。防火墙：即防止来自外部的攻击，也防火墙：即防止来自外部的攻击，也要防止来自地市局的内部攻击。要防止来自地市局的内部攻击。入侵检测：发现非法入侵行为入侵检测：发现非法入侵行为 。防病毒网关：防止外部防病毒网关：防止外部病毒入侵。病毒入侵。防非法外联：堵住非法网防非法外联：堵住非法网络接口。络接口。系统加固：设置运行环境

36、的最后一道系统加固：设置运行环境的最后一道防线。网络及主机操作系统、数据防线。网络及主机操作系统、数据库、应用平台的加固库、应用平台的加固安安安安全全全全边边边边界界界界网络行为审计：加强网络安全管网络行为审计：加强网络安全管理，追查安全事件。理，追查安全事件。n构造网络安全边界构造网络安全边界入侵检测入侵检测入侵检测入侵检测组织中心组织中心组织中心组织中心备份中心备份中心备份中心备份中心二级部门二级部门二级部门二级部门三级部门三级部门三级部门三级部门四级部门四级部门四级部门四级部门线路密码机线路密码机线路密码机线路密码机防火墙防火墙防火墙防火墙防病毒网关防病毒网关防病毒网关防病毒网关防非法外

37、联防非法外联防非法外联防非法外联网络行为审计网络行为审计网络行为审计网络行为审计操作系统加固操作系统加固操作系统加固操作系统加固高安全区域高安全区域高安全区域高安全区域n安全防护系统的层次安全防护系统的层次n终端安全控制终端安全控制n由于普通用户缺乏应有的网络安全常识，通过浏览隐藏恶意代码的网站，下载有木马的软件到内部网运行，翻开邮件中不明来历的附件等给组织的内部网络带来的极大的危害，终端用户触发产生的安全事件逐渐成为企业IT安全问题的主要原因。n应用支撑系统应用支撑系统n应用支撑系统构建在基础技术系统的基础上，利用安全基础设施提供的基于PKI/PMI/KMI技术的安全效劳；n采用安全中间件及

38、一站式效劳理论和技术，实现包括安全门户、安全认证和访问控制、数据安全传输、数据保密、完整性保护、真实性保护等应用安全功能和效劳，支持面向组织和各类专网和互连网的各类安全应用，是安全应用系统所依托的主要安全平台。n应用系统常见安全方案应用系统常见安全方案n业务系统本身必须能够准确地识别使用者的真实身份，防止与业务无关的人员非法使用系统。n解决方案:使用统一的身份认证证书n业务系统本身必须能够对自己的资源进行控制，能够动态地分配权限，控制使用者的操作行为，防止越岗位操作或越权限操作。n解决方案:基于角色的访问控制n业务系统本身必须能够对数据或文件进行保护，防止由于数据的安全得不到保证而失去业务系统

39、本身的可用性。n解决方案:基于密码n业务系统本身必须能够对操作者行为进行跟踪、记录、统计和审计，及时发现工作中出现的问题，使系统可管理，事件可追查。n解决方案:日志与安全事件审计n在电子商务或电子政务环境下，需要利用身份证书对主要核心业务与交易的凭证进行数字签名，以保证重要对已完成的业务与交易的无否认性。n解决方案:基于数字签名n安全运维系统安全运维系统n安全运维管理系统对整个安全系统起管理、监控、调度和应急报警等作用，负责对全网络安全防护设备进行管理，为各个应用系统提供安全管理接口，对需要特别关注的应用系统进行应用审计。n安全运维管理系统通过建立安全运维管理中心SOC对组织的安全技术与流程进

40、行集中式的管理。n什么是人力防火墙什么是人力防火墙n在信息安全的所有相关因素中，人是最活泼的因素，人的行为是信息安全保障最主要的方面。组织相关人员特别是内部员工既可以是对信息系统的最大潜在威胁，也可以是最可靠的安全防线。我们把信息安全中对人的有效管理称为“人力防火墙。n通过建立“人力防火墙，不仅建立起一套有效的管理体系，而且还能形成“信息安全，人人有责的企业文化气氛，从而使员工成为企业信息安全的一道“最可靠防线，实现组织信息系统的长治久安。八、建立八、建立“人力防火墙人力防火墙n建立人力防火墙的过程建立人力防火墙的过程n得到组织最高管理层的支持n得到高层管理人员的认同和承诺有两个作用一是相应的

41、安全方针政策、控制措施可以在组织的上上下下得到有效的贯彻；n二是可以得到有效的资源保证，比方实施有效安全过程的必要的资金与人力资源的支持，及跨部门之间的协调问题都必须由高层管理人员来推动。n建立信息安全组织，明确角色与责任n安全角色与责任的不明确是实施信息安全过程中的最大障碍，建立安全组织与落实责任是实施信息安全管理的第一步。n信息安全指导 会 n信息安全主管为核心的、专业的信息安全管理的队伍 n把相应的安全责任落实到每一个员工身上员工ISMS职责表ISMS文件与工作人员矩阵信息安全管理员职责矩阵、工作流程n制定方案n行动方案主要有：n信息安全政策制订与实施n与信息安全相关的人力资源政策的制订

42、n安全事件响应方案n监控日常安全事务及员工对安全政策的遵循n业务连续性方案及灾难恢复方案n安全教育方案n建设企业安全文化n预算方案n有足够资金支持的方案才是切实可行的方案，才能有效地落实信息安全所需要的人、财、物等资源的配置。n预算方案一定要合理，过高的安全预算会使安全失去意义，最好是结合投资回报分析。n制定信息系统安全政策n信息系统安全政策就是为防止信息资产意外损失及被有意滥用而制订的规则，这些政策是应该涵盖组织中生成、加工、使用、储存信息的各个方面，并符合ISO27001对信息系统安全的要求。n信息安全政策要符合组织的业务目标及特定的环境要求，并使之被每个员工所理解和执行，这是实施信息安全

43、的重要环节，是建立人力防火墙的政策依据。n人力资源政策n因此除了技术的控制手段外，要制定适宜的人力资源政策，加强对“人的管理，对潜在的安全入侵者也是一种威慑及惩戒措施，这是建立人力防火墙的有效控制手段。n人力资源管理在信息安全的管理中充分十分重要的作用，信息安全管理人员要与人务资源管理人员密切合作，协同作战，才能实现信息安全中对“人的有效管理。人力资源政策举例n实施安全教育方案n要制定各种不同范围、不同层次的安全教育方案。n完备的安全教育方案可以提高员工的安全意识与技能，改变他们对待安全事件的态度，使他们具有一定的安全保护技能，以更好地保护组织的信息资产。n好的安全教育方案应该让员工知道组织的

44、信息安全面临的威胁及信息安全事件带来的后果，使员工切身感觉到安全事件与自己息息相关。信息安全教育内容ISO27001培训方案举例n制定安全事件响应机制n组织应明确出现事故、故障和薄弱点的有关部门的责任，并根据安全事故与故障的反响过程建立一个报告、反响、评价和惩戒的机制，这也可称为人力防火墙的反响机制。n目的是把安全事件的损害降到最低的程度，追踪并从事件中吸取教训。安全事件报告程序n营造组织信息安全文化n信息安全文化附属于组织文化，倡导良好的组织信息安全文化就是要在组织中形成团队共同的态度、认识和价值观，形成标准的思维和行为模式，最终转化为行动，实现组织信息安全目标。人的这种对安全价值的认识以及

45、使自己的一举一动符合安全的行为标准的表现，正是所谓的“安全修养。n如果一个组织建立起浓厚的安全文化环境，不管决策层、管理层还是一般员工，都会在安全文化的约束下标准自己的行为，安全文化就像一支看不见的手，但凡不安全的行为都会被这支手拉回到安全操作的轨道上来。信息安全文化的三个阶段n检查与审计的内容检查与审计的内容n对于安全框架是否已有效的建立起来，技术防火墙、人力防火墙及IT流程控制框架能否起到了应有的作用，组织可以通过定期的自我检查或独立的审核来验证安全控制措施的有效性，并对发现的问题采取有效的纠正措施并实施，对纠正措施实施的结果进行验证。n安全检查工作一般由信息安全管理部门来负责实施，经常性

46、的检查，有利于落实信息安全方针与策略，及时发现信息安全在技术、人员及流程方面存在的隐患，也有利于提高员工安全意识，保证业务的持续运行。n审核工作是审计机构对组织的信息安全控制措施是否完备所做的鉴证过程。利用审核机制进行独立的体系审核是一种强有力的监督机制。可以由组织的内部稽核部门阶段性地组建立审核组，培训审核员，有效地管理在组织中开展的信息安全审核工作，也可外聘的第三方审计机构对组织进行外部审计。九、对安全的检查与审计九、对安全的检查与审计n检查的步骤检查的步骤n信息安全管理部门根据检查的需要组成信息安全检查小组，定期或不定期地对组织的信息安全管理措施、技术措施的落实情况进行检查。n检查小组根

47、据组织的信息安全方针、策略及程序要求，编写各类安全检查列表，进行符合性检查。n检查小组在符合性检查的基础上，进行网络扫描、口令破解、流量分析、日志检查等实质性测试；在适当的条件下可以进行渗透测试。n对检查的内容进行分析与整理，编写信息安全检查报告。n审计的步骤审计的步骤n信息安全在每次检查审计前，由管理层任命适当资质的适宜人选组成审计小组，审计小组由2名或以上人员组成，包括但不限于稽核审计部的内审员，并由管理层指定内审组长。n内审小组负责编写本次内审的内部审计方案，其内容一般为:被审部门、审计时间、内容、范围、审计依据、目的、方法；内审小组成员及其分工；审计活动日程安排。n内部审计方案经批准后

48、，至少提前二周通知被审计部门，以便被审计部门有充分时间进行内审，假设被审计部门对时间等安排有异议时，应在三天内通知内审小组协商调整具体安排；n内审小组在完成了全部的审计准备工作后，就可按预先约定的日期和时间实施审计。内部审计实施可划分为首次会议、现场审计和末次会议三个阶段进行。Any Question?n陈伟，陈伟，CIOtimes高级咨询参谋，国际注册信息系统审计师高级咨询参谋，国际注册信息系统审计师CISA，BS7799主任审核员，国际信息系统审计与控制协会会员，管理信息系统主任审核员，国际信息系统审计与控制协会会员，管理信息系统硕士。硕士。n在在IT行业系统集成、软件开发、信息安全与控制

49、领域有十五年工作经验，行业系统集成、软件开发、信息安全与控制领域有十五年工作经验，精通网络技术、软件开发技术、信息安全技术，长期从事企业信息化建精通网络技术、软件开发技术、信息安全技术，长期从事企业信息化建设，对国内大中型企业的计算机网络、应用系统、安全系统的规划、设设，对国内大中型企业的计算机网络、应用系统、安全系统的规划、设计、实施有较丰富的经验。计、实施有较丰富的经验。n目前的工作专业领域集中于目前的工作专业领域集中于IT管理控制领域管理控制领域ISO27001、ITIL、COBIT理论与方法研究，并为深圳证券交易所、国家财政部、国家税务总局、理论与方法研究，并为深圳证券交易所、国家财政

50、部、国家税务总局、国家审计署、中国工商银行总行、中国银行、中核集团、首都机场、广国家审计署、中国工商银行总行、中国银行、中核集团、首都机场、广东移动等多个大型组织实施信息安全管理及信息系统审计咨询与培训工东移动等多个大型组织实施信息安全管理及信息系统审计咨询与培训工程。程。n著有著有信息安全管理：全球最正确实务与实施指南信息安全管理：全球最正确实务与实施指南、经营管理与信经营管理与信息技术息技术等，翻译等，翻译索耶内部审计索耶内部审计，发表多篇，发表多篇IT治理论文。治理论文。n联系方式：联系方式：davistewartgmail.n讲师简介讲师简介n9、静夜四无邻，荒居旧业贫。、静夜四无邻，