信息安全和風險管理-CTEC-7799講座146課件

信息安全和風險管理

－7799標準與實施信息安全和風險管理

－7799標準與實施1概述PartI什么是信息安全？PartII什么是風險和風險管理PartIII什么是7799？PartIV如何獲得7799認證？概述PartI什么是信息安全？2PartI

什么是信息安全PartI

什么是信息安全31-1看待信息安全的各種思路需求狀態(tài)結(jié)果功能過程能力1-1看待信息安全的各種思路需求4對信息安全的各種思路需求信息系統(tǒng)乃至信息化社會的需要狀態(tài)對應(yīng)于信息不安全。難于描述。結(jié)果對應(yīng)于人們的努力。表面看只有兩個結(jié)果：出事和不出事。對信息安全的各種思路需求5對信息安全的各種思路功能應(yīng)用和實現(xiàn)的各種安全功能（產(chǎn)品）。比如：訪問控制（防火墻）、審計跟蹤（IDS）等過程對應(yīng)于人們努力的內(nèi)容和時間。能力對應(yīng)于努力的綜合實力對信息安全的各種思路功能6信息安全的三個方面需求保密性——信息的機密性完整性——信息的完整性、一致性可用性——行為完整性、服務(wù)連續(xù)性信息安全的經(jīng)典定義

－需求角度信息安全的三個方面需求信息安全的經(jīng)典定義

－需求角度7安全需求的多樣性6項安全要求CIARAA(ISO13335)保密性Confidentiality完整性Integrity可用性Availability可靠性Reliability認證性Authenticity審計性Accountability安全需求的多樣性6項安全要求CIARAA(ISO133358信息安全需求的演變？信息保密信息保密信息完整信息和系統(tǒng)可用信息保密信息完整信息和系統(tǒng)可用信息和系統(tǒng)可控信息行為不可否認80年代的認識90年代的認識90年代后期的認識信息安全需求的演變？信息保密信息保密信息完整信息和系統(tǒng)可用信9最權(quán)威的傳統(tǒng)評估標準美國國防部在1985年公布可信計算機安全評估準則TrustedComputerSecurityEvaluationCriteria(TCSEC)為安全產(chǎn)品的測評提供準則和方法指導信息安全產(chǎn)品的制造和應(yīng)用最權(quán)威的傳統(tǒng)評估標準美國國防部在1985年公布10可信計算機系統(tǒng)安全等級可信計算機系統(tǒng)安全等級11傳統(tǒng)評估標準的演變美國DoD85TESECTCSEC網(wǎng)絡(luò)解釋（TNI1987）TCSEC數(shù)據(jù)庫管理系統(tǒng)解釋（TDI1991）歐洲–ITSEC美國、加拿大、歐洲等共同發(fā)起CommonCriteria(CC)傳統(tǒng)評估標準的演變美國12ReferenceMonitorReferenceMonitor主體客體控制規(guī)則ReferenceMonitorReference主體客體13主要傳統(tǒng)安全技術(shù)操作系統(tǒng)訪問控制網(wǎng)絡(luò)訪問控制（防火墻）加密（對稱、非對稱）身份認證（口令、強認證……）……主要傳統(tǒng)安全技術(shù)操作系統(tǒng)訪問控制14VRMTCSEC認為，一個安全機制的三個基本要求：不可旁路不可篡改足夠小，可以被證明VRMTCSEC認為，一個安全機制的三個基本要求：15RM傳統(tǒng)安全理念和技術(shù)的局限適合于主機/終端環(huán)境，對網(wǎng)絡(luò)環(huán)境難于適應(yīng)系統(tǒng)和技術(shù)的發(fā)展太快，安全技術(shù)跟進困難沒有研究入侵者的特點和技術(shù)……ReferenceMonitor主體客體控制規(guī)則RM傳統(tǒng)安全理念和技術(shù)的局限適合于主機/終端環(huán)境，對網(wǎng)絡(luò)環(huán)境16UNIXFirewallE-MailServerWebServerRouterNTClients&WorkstationsNetworkUNIXNTUNIXimapCrackNetBus典型的攻擊過程UNIXE-MailServerWebServerRou171-3P2DR安全模型動態(tài)安全模型可適應(yīng)網(wǎng)絡(luò)安全模型1-3P2DR安全模型動態(tài)安全模型18P2DR安全模型動態(tài)/可適應(yīng)安全的典范P2DR安全模型動態(tài)/可適應(yīng)安全的典范19什么是安全？新的定義什么是安全？新的定義20安全——及時的檢測和處理時間PtDtRt安全——及時的檢測和處理時間PtDtRt21什么是安全？PtDtRt>+什么是安全？PtDtRt>+22P2DR安全模型動態(tài)模型基于時間的模型可以量化可以計算P2DR安全模型動態(tài)模型23P2DR的核心問題是檢測檢測是靜態(tài)防護轉(zhuǎn)化為動態(tài)的關(guān)鍵檢測是動態(tài)響應(yīng)的依據(jù)檢測是落實、強制執(zhí)行安全策略的有力工具最重要的檢測技術(shù)漏洞掃描入侵檢測IDSP2DR安全的核心安全策略防護

檢測響應(yīng)P2DR的核心問題是檢測P2DR安全的核心安全防護24PDR理念的不足缺少管理環(huán)節(jié)的描述和表達因此，才有Policy環(huán)節(jié)的引入實用的時間很難測量時間計算的算法非常復(fù)雜和不確定PDR理念的不足缺少管理環(huán)節(jié)的描述和表達25PDR的時間計算目標起點Pt(A)Pt(B)Pt(C)Pt(D)Pt(System)=Pt(A)+Pt(B)+Pt(C)+Pt(D)PDR的時間計算目標起點Pt(A)Pt(B)Pt(C)Pt(26PDR的時間計算目標起點Pt(System)=Minimum(Pt(Ra),Pt(Rb),Pt(Rc),Pt(Rd),Pt(Re))RaRbRcRdRePDR的時間計算目標起點Pt(System)=Minimum27PDR的時間計算目標起點Pt(System)=?新的攻擊手法PDR的時間計算目標起點Pt(System)=?新的攻擊手法28PDR的時間計算目標起點新的攻擊手法PDR的時間計算目標起點新的攻擊手法291-4我們應(yīng)當期待什么效果？1-4我們應(yīng)當期待什么效果？30目前普遍應(yīng)用的信息安全技術(shù)訪問控制操作系統(tǒng)訪問控制網(wǎng)絡(luò)防火墻病毒防火墻審計跟蹤IDS漏洞掃描日志分析加密存儲和備份鑒別和認證PKI和CA雙因子認證生物認證……目前普遍應(yīng)用的信息安全技術(shù)訪問控制加密31信息安全問題的難點超復(fù)雜性牽扯很多技術(shù)環(huán)節(jié)涉及大量的管理問題涉及人的因素……工程方法信息安全問題的難點超復(fù)雜性工程方法32最成熟的“工程”方法風險管理風險評估風險控制和監(jiān)控信息安全管理系統(tǒng)ISMS管理驅(qū)動技術(shù)最成熟的“工程”方法風險管理33PartII

什么是風險和風險管理PartII

什么是風險和風險管理34什么是風險？風險：對目標有所影響的某個事情發(fā)生的可能性。它根據(jù)后果和可能性來度量。Risk thechanceofsomethinghappeningthatwillhaveanimpactuponobjectives.Itismeasuredintermsofconsequencesandlikelihood.-AS/NZS4360:2019《風險管理》什么是風險？風險：35什么是風險風險：指定的威脅利用單一或一群資產(chǎn)的脆弱點造成資產(chǎn)的損失或損壞的潛在的可能性。Risk:thepotentialthatagiventhreatwillexploitvulnerabilitiesofanassetorgroupofassetstocauselossordamagetotheassets.-ISO/IECTR13335-1:2019什么是風險風險：指定的威脅利用單一或一群資產(chǎn)的脆弱點造成資產(chǎn)36ISO15408安全模型ISO/IEC15408-1安全概念和關(guān)系模型所有者威脅主體對策漏洞風險威脅資產(chǎn)ISO15408安全模型ISO/IEC15408-1安全37模型的對抗特性所有者攻擊者對策漏洞風險威脅資產(chǎn)模型的對抗特性所有者攻擊者對策38模型的動態(tài)性和風險性所有者攻擊者對策漏洞風險威脅資產(chǎn)模型的動態(tài)性和風險性所有者攻擊者對策39模型的資產(chǎn)屬性所有者攻擊者對策漏洞風險威脅資產(chǎn)模型的資產(chǎn)屬性所有者攻擊者對策40風險避免vs風險管理風險避免構(gòu)建一個一次性的防御體系。它必須足夠強壯以抵擋各種威脅。它可能是沒有彈性而且非常昂貴的。風險管理動態(tài)的，可以持續(xù)不斷地適應(yīng)威脅的變化。構(gòu)建的防御體系僅僅采用適度的措施去保護有價值的資產(chǎn)，阻止進一步的損失，有效地給予恢復(fù)。只購買你需要的，而不是你可能需要的。但是特別需要有效的管理。風險避免vs風險管理風險避免41風險管理的關(guān)系圖風險管理的關(guān)系圖42ISO13335以風險為核心的安全模型風險防護措施信息資產(chǎn)威脅漏洞防護需求降低增加增加利用暴露價值擁有抗擊增加引出被滿足ISO13335以風險為核心的安全模型風險防護措施信息資產(chǎn)威437799對信息資產(chǎn)的看法“Informationisanassetwhich,likeotherimportantbusinessassets,hasvaluetoanorganisationandconsequentlyneedstobesuitablyprotected.”“信息是一種資產(chǎn)，象其他重要的商務(wù)資產(chǎn)一樣，對組織具有價值，因此需要適當?shù)谋Ｗo。7799對信息資產(chǎn)的看法“Informationisan44風險管理的核心理念資產(chǎn)保護風險管理的核心理念資產(chǎn)保護45什么是風險管理？對潛在機會和不利影響進行有效管理的文化、程序和結(jié)構(gòu)風險管理是由多個定義明確的步驟所組成的一個反復(fù)過程，這些步驟以較深入的洞察風險及其影響為更好的決策提供支持什么是風險管理？對潛在機會和不利影響進行有效管理的文化、程序46風險管理的組成要素建立環(huán)境鑒別風險分析風險評價風險處理風險信息交流與咨詢監(jiān)控與審查－AS/NZS4360風險管理的組成要素建立環(huán)境鑒別風險分析風險評價風險處理風險－47風險管理的組成要素1、建立環(huán)境建立在風險管理過程中將出現(xiàn)的策略、組織和風險管理的背景。應(yīng)建立對風險進行評價的推測、并規(guī)定分析的結(jié)構(gòu)。2、鑒別風險鑒別出會出現(xiàn)什么事，為什么會出現(xiàn)和如何出現(xiàn)，作為進一步分析的基礎(chǔ)風險管理的組成要素1、建立環(huán)境48風險管理的組成要素3、分析風險確定現(xiàn)有的控制，并根據(jù)在這些控制的環(huán)境中的和可能性對風險進行分析。這種分析應(yīng)考慮到潛在后果的范圍和這些后果發(fā)生的可能性有多大?？蓪⒑蠊涂赡苄越Y(jié)合起來得到一個估計的風險程度。4、評價風險將估計的風險程度與預(yù)先建立的水準進行比較。這樣可將風險按等級排列，以便鑒別管理的有限順序。如果建立的風險程度很低，此時的風險可以列入可接受的范疇，而不作處理。風險管理的組成要素3、分析風險49風險管理的組成要素5、處理風險接受并監(jiān)控低優(yōu)先級的風險。對于其他風險，則建立并實施一個特定管理計劃，其中包括考慮到資金的提供。6、監(jiān)控和審查對于風險管理系統(tǒng)的運作情形以及可能影響其運作的那些變化進行監(jiān)控和審查7、信息交流和咨詢在風險管理過程的每個階段以及整個過程中，適時與內(nèi)部和外部的風險承擔者（stakeholder）進行信息交流和咨詢。風險管理的組成要素5、處理風險50風險管理的主要部分風險評估RiskAssessment風險控制（處理）RiskControl風險管理的主要部分風險評估51風險評估風險評估52風險評估報告資產(chǎn)鑒別報告漏洞報告威脅報告風險報告 Risk=f(Asset,Vul,Threat)風險評估報告資產(chǎn)鑒別報告53風險體風險體54安全要素關(guān)系圖安全要素關(guān)系圖55PartIII

什么是7799PartIII

什么是779956信息安全管理標準BS7799/ISO17799信息安全管理綱要、指南

PartI:Codeofpracticeforinformationsecuritymanagement信息安全管理認證體系 PartII:Specificationforinformationsecuritymanagement信息安全管理標準BS7799/ISO1779957信息安全管理標準－BS7799/ISO17799

英國標準BS7799是在BSI/DISC的BDD/2信息安全管理委員會指導下制定完成。1993年，BS7799標準由英國貿(mào)易工業(yè)部立項2019年，BS7799-1：2019《信息安全管理實施細則》2019年，BS7799-2：2019《信息安全管理體系規(guī)范》2019年，對BS7799-1：2019及BS7799-2：2019重新修訂發(fā)布2000年，以標準ISO/IEC17799發(fā)布

信息安全管理標準－BS7799/ISO17799英國標58BS7799和ISO17799的區(qū)別BS7799英國標準已被多個國家認同（如澳大利亞等）第二部分是可認證標準2019年新修訂了第2部分。新版本風格接近ISO9000和ISO14000。ISO177992000年采納了BS7799的第一部分第二部分還在討論中BS7799和ISO17799的區(qū)別BS7799ISO17759BS7799-2:2019BS7799-2:201960BS7799/ISO17799安全策略安全組織資產(chǎn)分類及控制人員安全物理和環(huán)境安全通信和運作管理系統(tǒng)訪問控制系統(tǒng)開發(fā)與維護業(yè)務(wù)連續(xù)性規(guī)劃符合性信息安全管理綱要CodeofpracticeforinformationsecuritymanagementBS7799/ISO17799安全策略通信和運作管理信61“Notallthecontrolsdescribedwillberelevanttoeverysituation,norcantheytakeaccountoflocalenvironmentalortechnologicalconstraints,orbepresentinaformthatsuitseverypotentialuserinanorganisation.”

“不是所有描述的控制措施與所有情況有關(guān)，這些控制措施也沒有考慮地方的環(huán)境和技術(shù)限制，或以適用于任何一個組織中的潛在的使用者的形式展現(xiàn)。BS7799-1:2000包含：36個控制目標和127個控制措施Controlobjectivesandcontrols

控制目標和控制措施“Notallthecontrolsdescribe62Keycontrols關(guān)鍵控制措施BS7799identifies8controlsas–BS7799識別8個控制措施作為-“…guidingprinciplesprovidingagoodstartingpointforimplementinginformationsecurity.”“指導原則提供最佳的實施信息安全的起始點”“Theyareeitherbasedonessentiallegislativerequirementsorconsideredtobecommonbestpracticeforinformationsecurity.”“他們或是建立在基本的法律要求或被認為是公認信息安全的最佳實踐”Keycontrols關(guān)鍵控制措施BS7799iden63Intellectualpropertyrights知識產(chǎn)權(quán)保護Safeguardingoforganisationalrecords保護組織的記錄Dataprotectionandprivacyofpersonalinformation數(shù)據(jù)保護和個人信息隱私Controlswithlegislativeimplications

與法律有關(guān)的控制措施IntellectualpropertyrightsC64Objective–目標Toavoidbreachesofcopyrightthroughpreventionofcopyingwithoutowner’sconsent.防止未經(jīng)擁有者允許的復(fù)制，避免違反產(chǎn)權(quán)保護 Restrictionsoncopying限制復(fù)制 Licenceagreements許可協(xié)議 Policycompliance符合方針Contractrequirements合同要求Intellectualpropertyrights

知識產(chǎn)權(quán)Objective–目標Intellectualpro65Objective–目標Preventionofloss,destructionandfalsificationofimportantrecords.防止丟失，破壞和篡改重要的記錄Retention保持Storage儲存Disposal處置Safeguardingoforganisationalrecords

保護組織記錄Safeguardingoforganisational66Objective–目標Compliancewithanydataorinformationprotectionlegislationinthosecountrieswhereapplicable.如果適用，符合所在國家的任何信息保護法律。Dataprotectionandprivacyofpersonalinformation數(shù)據(jù)保護和個人信息隱私Objective–目標Dataprotectiona67Informationsecuritypolicydocument信息安全方針文件Allocationofinformationsecurityresponsibilities落實信息安全責任Informationsecurityeducationandtraining信息安全教育與培訓Reportingsecurityincidents安全事故匯報Businesscontinuitymanagement業(yè)務(wù)連續(xù)性管理Controlsforcommonbestpractice

與公認最好實踐有關(guān)的控制措施Informationsecuritypolicydo68Objective–目標Toprovidemanagementdirectionandsupportforinformationsecurity.提供管理方向和支持信息安全。

PolicyDocumentInformationsecuritypolicydocument

信息安全方針文件Objective–目標PolicyDocumentIn69Objective–目標Toassignresponsibilitiesforsecuritysothatsecurityiseffectivelymanagedwithintheorganisation.分配安全責任使安全在組織中得到有效管理。Responsibilities責任Owners擁有者Roles角色Allocationofinformationsecurityresponsibilities

落實信息安全責任Objective–目標Allocationofin70Objective–目標Toensureusersareawareofinformationsecuritythreatsandconcernsandareequippedtosupportorganisationalsecuritypolicy.保證使用者明白信息安全的威脅和應(yīng)考慮的問題并準備支持組織的安全方針。Trainingneedsandawareness培訓需要和基本知識Informationsecurityeducationandtraining

信息安全教育與培訓Objective–目標Informationsecu71Objective-目標Tominimizethedamagefromsecurityincidentsandmalfunctionsandtomonitorandlearnfromsuchincidents.減少安全事故和故障的損失，監(jiān)控并從事故中學習。Definition定義Procedure程序Reportingsecurityincidents

安全事故匯報Objective-目標Reportingsecurity72Objective–目標Tocounteractinterruptionstobusinessactivitiesandtoprotectcriticalbusinessprocessesfromtheeffectsofmajorfailuresordisasters。防止業(yè)務(wù)活動中斷和保護關(guān)鍵業(yè)務(wù)過程不受關(guān)鍵故障和災(zāi)害的影響。 Keystepstobusiness continuity業(yè)務(wù)連續(xù)性的關(guān)鍵步驟

Businesscontinuitymanagement

業(yè)務(wù)連續(xù)性管理Objective–目標Businesscontinui73OverviewofcontrolsfromBS7799:2019

BS7799:2019控制措施概述(ClausenumbersrefertoBS7799-1:2019)（條款號對應(yīng)于BS7799-1:2019的條款號）OverviewofcontrolsfromBS77743.Securitypolicy安全方針3.1 Informationsecuritypolicy信息安全方針3.Securitypolicy安全方針3.1 Inf753.1 Informationsecuritypolicy

信息安全方針

InformationsecuritypolicydocumentReviewandevaluation信息安全方針文件評審與評估PolicySdjndkjhkjhkjfdfSdfkjflkjflkjlfklkfEdkjfjffkflkjflRgjlkmblktmglRgl,,g;ggk,glgglklkglFdglgrfrerfkjhnertm5pokFkkjj5tk55okdfgngngggmgmgkmgkmgg3.1 Informationsecuritypolic764.Securityorganisation

安全組織4.1 Informationsecurityinfrastructure信息安全基礎(chǔ)設(shè)施4.2 Securityofthirdpartyaccess第三方訪問安全4.3 Outsourcing 外包4.Securityorganisation

安全組織774.1 Informationsecurityinfrastructure

信息安全基礎(chǔ)設(shè)施Managementinformationsecurityforum信息安全管理委員會Informationsecurityco-ordination信息安全協(xié)作Allocationofinformationsecurityresponsibilities落實信息安全責任Authorisationprocessforinformationprocessingfacilities信息處理設(shè)施授權(quán)過程Specialistinformationsecurityadvice信息安全專家建議Co-operationbetweenorganisations組織間的合作Independentreviewofinformationsecurity獨立評審信息安全4.1 Informationsecurityinfra784.2 Securityofthirdpartyaccess

第三方訪問安全Identificationofrisksfromthirdpartyaccess識別第三方訪問風險Securityrequirementsinthirdpartycontracts第三方合同的安全要求4.2 Securityofthirdpartyac794.3 Outsourcing外包Securityrequirementsinoutsourcingcontracts外包合同中的安全要求OutsourcingContract4.3 Outsourcing外包Securityrequ805.Assetclassificationandcontrol

資產(chǎn)分類和控制5.1 Accountabilityforassets資產(chǎn)責任5.2 Informationclassification信息分類5.Assetclassificationandco815.1 Accountabilityforassets資產(chǎn)責任Inventoryofassets資產(chǎn)目錄5.1 Accountabilityforassets資825.2 Informationclassification

信息分類Classificationguidelines分類指南Informationlabellingandhandling信息標簽和處理TopSecretSecretConfidentialRestrictedRestricteduntil1/1/2019“ProtectivelyMarked”5.2 Informationclassification836.Personnelsecurity

人員安全6.1 Securityinjobdefinitionandresourcing在工作描述和配備資源時考慮安全問題6.2 Usertraining

使用者培訓6.3 Respondingtosecurityincidentsandmalfunctions

響應(yīng)安全事故和故障

6.Personnelsecurity

人員安全6.1 846.1 Securityinjobdefinitionandresourcing

在工作描述和配備資源時考慮安全問題

Includingsecurityinjobresponsibilities在工作責任中包括安全問題Termsandconditionsofemployment聘用條件和合同Personnelscreeningandpolicy人事審查和方針Confidentialityagreements保密協(xié)議6.1 Securityinjobdefinition856.2 Usertraining使用者培訓Informationsecurityeducationandtraining信息安全教育和培訓6.2 Usertraining使用者培訓Informat866.3 Respondingtosecurityincidentsandmalfunctions

響應(yīng)信息安全事故和故障Reportingsecurityincidents安全事故報告Reportingsecurityweaknesses安全弱點報告Reportingsoftwaremalfunctions軟件故障報告Learningfromincidents從事故中學習Disciplinaryprocess懲罰過程6.3 Respondingtosecurityinc877.Physicalandenvironmentalsecurity

物理和環(huán)境安全7.1 Secureareas安全區(qū)域7.2 Equipmentsecurity設(shè)備安全7.3 Generalcontrols一般控制措施7.Physicalandenvironmental887.1 Secureareas安全區(qū)域Physicalsecurityperimeter物理安全邊界Physicalentrycontrols物理入口控制Securingoffices,roomsandfacilities辦公室，房間和設(shè)施保安Workinginsecureareas在安全區(qū)域工作Isolateddeliveryandloadingareas運送和裝卸區(qū)域隔離I.D.7.1 Secureareas安全區(qū)域Physical897.2 Equipmentsecurity設(shè)備安全Equipmentsitingandprotection設(shè)備安裝與保護Powersupplies電力供應(yīng)Cablingsecurity電纜安全Equipmentmaintenance設(shè)備維護Securityofequipmentoff-premises不在辦公場所的設(shè)備Securedisposalorre-useofequipment處置和重新使用設(shè)備的安全7.2 Equipmentsecurity設(shè)備安全Equi907.3 Generalcontrols一般控制Cleardeskandclearscreenpolicy桌面和屏幕清理政策Removalofproperty財產(chǎn)移動7.3 Generalcontrols一般控制Clear918.Communicationsandoperationsmanagement

通信和運營管理8.1 Operationalproceduresandresponsibilities

操作程序和責任8.2 Systemplanningandacceptance

系統(tǒng)計劃和接收8.3 Protectionagainstmalicioussoftware

惡意軟件防護8.4 Housekeeping

內(nèi)務(wù)管理8.5 Networkmanagement 網(wǎng)絡(luò)管理8.6 Mediahandlingandsecurity 媒體處理與安全8.7 Exchangesofinformationandsoftware 信息交換和軟件8.Communicationsandoperatio928.1 Operationalproceduresand

responsibilities

操作程序和責任Documentedoperatingprocedures文件化操作程序Operationalchangecontrol運營變化控制Incidentmanagementprocedure事故管理程序Segregationofduties責任分離Separationofdevelopmentandoperationalfacilities開發(fā)與運營設(shè)備分離Externalfacilitiesmanagement外部設(shè)備管理8.1 Operationalproceduresand938.2 Systemplanningandacceptance

系統(tǒng)計劃和接收Capacityplanning容量計劃Systemacceptance系統(tǒng)接受

201920198.2 Systemplanningandaccept948.3 Protectionagainstmalicioussoftware

惡意軟件防護Controlsagainstmalicioussoftware對惡意軟件的控制8.3 Protectionagainstmalicio958.4 Housekeeping內(nèi)務(wù)管理Informationback-up信息備份Operatorlogs操作日志Faultlogging錯誤日志8.4 Housekeeping內(nèi)務(wù)管理Informati968.5 Networkmanagement網(wǎng)絡(luò)管理Networkcontrols網(wǎng)絡(luò)控制8.5 Networkmanagement網(wǎng)絡(luò)管理Netw978.6 Mediahandlingandsecurity

媒體處理和安全Managementofremovablecomputermedia可移動計算機媒體（介質(zhì)）的管理Disposalofmedia媒體（介質(zhì)）處置Informationhandlingprocedures信息處理程序Securityofsystemdocumentation系統(tǒng)文件安全8.6 Mediahandlingandsecurit988.7 Exchangesofinformationandsoftware

軟件和信息交換Informationandsoftwareexchange信息和軟件交換Securityofmediaintransit媒體轉(zhuǎn)換的安全Electroniccommercesecurity電子商務(wù)安全Securityofelectronicmail電子郵件的安全Securityofelectronicofficesystems電子辦公系統(tǒng)的安全Publiclyavailablesystems公用系統(tǒng)Otherformsofinformationexchange其他形式的信息交換8.7 Exchangesofinformationa999.Accesscontrol訪問控制9.1 Businessrequirementsforaccesscontrol訪問控制的業(yè)務(wù)要求9.2 Useraccessmanagement使用者訪問管理9.3 Userresponsibilities使用者責任9.4 Networkaccesscontrol網(wǎng)絡(luò)訪問控制9.5 Operatingsystemaccesscontrol操作系統(tǒng)訪問控制9.6 Applicationaccesscontrol應(yīng)用訪問控制9.7 Monitoringsystemaccessanduse監(jiān)控系統(tǒng)訪問和使用9.8 Mobilecomputingandteleworking可移動計算設(shè)備和網(wǎng)絡(luò)9.Accesscontrol訪問控制9.1 Bus1009.1 Businessrequirementsforaccesscontrol

控制訪問的業(yè)務(wù)要求Accesscontrolpolicy訪問控制策略Youarenotauthorisedtoaccessthissystem9.1 Businessrequirementsfor1019.2 Useraccessmanagement

使用者訪問管理Userregistration使用者注冊Privilegemanagement特權(quán)管理Userpasswordmanagement使用者口令管理Reviewofuseraccessrights評審使用者訪問權(quán)SystemAdministratorMenu9.2 Useraccessmanagement

使用者1029.3 Userresponsibilities使用者責任Passworduse口令使用Unattendeduserequipment無人照管的設(shè)備9.3 Userresponsibilities使用者責任1039.4 Networkaccesscontrol網(wǎng)絡(luò)訪問控制Policyonuseofnetworkservices使用網(wǎng)絡(luò)服務(wù)的策略Enforcedpath強制路徑Userauthenticationforexternalconnections外部連接者身份認證Nodeauthentication結(jié)點認證Remotediagnosticportprotection遠程診斷端口的防護Segregationinnetworks網(wǎng)絡(luò)分離Networkconnectioncontrol網(wǎng)絡(luò)連接控制

Networkroutingcontrol網(wǎng)絡(luò)路由控制Securityofnetworkservices網(wǎng)絡(luò)服務(wù)的安全9.4 Networkaccesscontrol網(wǎng)絡(luò)訪1049.5 Operatingsystemaccesscontrol

操作系統(tǒng)訪問控制

Automaticterminalidentification自動終端識別Terminallog-inprocedures終端連網(wǎng)程序Useridentificationandauthentication使用者識別和認證Passwordmanagementsystem口令管理系統(tǒng)Useofsystemfacilities系統(tǒng)設(shè)施的使用Duressalarmtosafeguardusers安全裝置使用者強制警報Terminaltime-out終端暫停Limitationofconnectiontime連接時間限制9.5 Operatingsystemaccessco1059.6 Applicationaccesscontrol

應(yīng)用訪問控制Informationaccessrestriction信息訪問限制Sensitivesystemisolation敏感系統(tǒng)隔離9.6 Applicationaccesscontrol1069.7 Monitoringsystemaccessanduse

監(jiān)控系統(tǒng)訪問和使用Eventlogging事件日志Monitoringsystemuse監(jiān)控系統(tǒng)使用Clocksynchronisation時鐘同步14:279.7 Monitoringsystemaccessa1079.8 Mobilecomputingandteleworking

可移動計算設(shè)備和網(wǎng)絡(luò)通信Mobilecomputing移動計算設(shè)備Teleworking網(wǎng)絡(luò)通信9.8 Mobilecomputingandtelew10810.Systemsdevelopmentandmaintenance

系統(tǒng)開發(fā)和維護10.1 Securityrequirementsofsystems系統(tǒng)的安全要求10.2 Securityinapplicationsystems應(yīng)用系統(tǒng)安全10.3 Cryptographiccontrols密碼控制10.4 Securityofsystemfiles系統(tǒng)文件的安全10.5 Securityindevelopmentandsupportprocesses 開發(fā)和支持過程的安全10.Systemsdevelopmentandma10910.1 Securityrequirementsofsystems

系統(tǒng)的安全要求Securityrequirementsanalysisandspecification安全要求分析和說明Specification;oiu;u;p’pjoiu;oiuiu;iou;oiu;oiuoipoipo#po#po#[po#[po[po#[po[pophnjiHhhuhiuhiuyhuy8Jo’oiiuyfuytdyiuy;9uyouo;iuij;oij;Ijijweifjerhfuuhiuyrhqe wu24i5yiufu24O#popo[po[ppo[po#[o#o#o#[o#o#o#hilugiuiugiO[popo[po[po;oiu;u;p’pjoiu;oiuiu;iou;oiu;oiuoipoipo#po#po#[po#[po[po#[po[pophnjiHhhuhiuhiuyhuy8iouo;iu;oiruoiJo’oiiuyfuytdyiuy;9uyouo;iuij;oij;Ijijweifjerhf;ij;oirj;qiruqoriqur;uuhiuyrhqeii;io;iu wu24i5yiufu24O#popo[po[ppo[po#[o#o#o#[o#o#o#hilugiuiugiuoiuoiiouoiu;oiu;o9iuO[popo[po[pou;oiBusinessCase;oiu;u;p’pjoiu;oiuiu;iou;oiu;oiuoipoipo#po#po#[po#[po[po#[po[pophnjiHhhuhiuhiuyhuy8iouo;iu;oiruoiJo’oiiuyfuytdyiuy;9uyouo;iuij;oij;Ijijweifjerhf;ij;oirj;qiruqoriqur;uuhiuyrhqeii;io;iu wu24i5yiufu24O#popo[po[ppo[po#[o#o#o#[o#o#o#hilugiuiugiuoiuoiiouoiu;oiu;o9iuO[popo[po[pou;oiSecurityRequirements10.1 Securityrequirementsof11010.2 Securityinapplicationsystems

應(yīng)用系統(tǒng)安全Inputdatavalidation輸入數(shù)據(jù)驗證Controlofinternalprocessing內(nèi)部處理控制Messageauthentication消息認證Outputdatavalidation輸出數(shù)據(jù)驗證10.2 Securityinapplications11110.3 Cryptographiccontrols

密碼控制Policyonuseofcryptographiccontrols使用密碼控制策略Encryption加密Digitalsignatures數(shù)字簽名Non-repudiationservices不可否認服務(wù)Keymanagement密鑰管理.”￡7ngtsua64dgsConfidential10.3 Cryptographiccontrols

密碼11210.4 Securityofsystemfiles

系統(tǒng)文件安全Controlofoperationalsoftware操作系統(tǒng)軟件的控制Protectionofsystemtestdata保護系統(tǒng)測試數(shù)據(jù)Accesscontroltoprogramsourcelibrary程序資源庫的訪問控制10.4 Securityofsystemfiles

11310.5 Securityindevelopmentandsupport processes

開發(fā)和支持過程的安全Changecontrolprocedures變化控制程序Technicalreviewofoperatingsystemchanges操作系統(tǒng)變化的技術(shù)評審Restrictionsonchangestosoftwarepackages軟件包變化的限制CovertchannelsandTrojancode隱蔽通道和特洛伊代碼Outsourcedsoftwaredevelopment外包的軟件開發(fā)10.5 Securityindevelopmenta11411.Businesscontinuitymanagement

業(yè)務(wù)連續(xù)性管理11.1 Aspectsofbusinesscontinuitymanagement業(yè)務(wù)連續(xù)性管理的各方面11.Businesscontinuitymanage11511.1 Aspectsofbusinesscontinuitymanagement

業(yè)務(wù)連續(xù)性管理的各方面Businesscontinuitymanagementprocess業(yè)務(wù)連續(xù)性管理過程Businesscontinuityandimpactanalysis業(yè)務(wù)連續(xù)性和影響分析Writingandimplementingcontinuityplans書寫和實施連續(xù)性計劃Businesscontinuityplanningframework業(yè)務(wù)連續(xù)性框架Testing,maintainingandre-assessingbusinesscontinuityplans測試，維護和重新評審業(yè)務(wù)連續(xù)性計劃11.1 Aspectsofbusinessconti11612.Compliance

符合12.1 Compliancewithlegalrequirements 符合法律要求12.2 Reviewsofsecuritypolicyandtechnicalcompliance

評審安全方針和技術(shù)符合12.3 Systemauditconsiderations

系統(tǒng)審核考慮12.Compliance

符合12.1 Complian11712.1 Compliancewithlegalrequirements

符合法律要求Identificationofapplicablelegislation識別適應(yīng)的法律Intellectualpropertyrights(IPR)知識產(chǎn)權(quán)Safeguardingoforganisationalrecords保護組織記錄Dataprotectionandprivacyofpersonalinformation數(shù)據(jù)保護和個人信息隱私Preventionofmisuseofinformationprocessingfacilities錯誤使用信息的防護Regulationofcryptographiccontrols密碼控制的法規(guī)Collectionofevidence收集證據(jù)12.1 Compliancewithlegalreq11812.2 Reviewsofsecuritypolicyandtechnical compliance

評審安全方針和技術(shù)符合Compliancewithsecuritypolicy符合安全方針Technicalcompliancechecking技術(shù)符合檢查12.2 Reviewsofsecuritypolic11912.3 Systemauditconsiderations

系統(tǒng)審核考慮Systemauditcontrols系統(tǒng)審核控制Protectionofsystemaudittools系統(tǒng)審核工具的防護12.3 Systemauditconsideratio120PartIV如何獲得7799認證?BS7799-2:2019PartIV如何獲得7799認證?BS7799-2:2121為什么要尋求7799認證貫穿完整供應(yīng)鏈的安全信息機制增強企業(yè)競爭力降低面臨訴訟的風險拓廣商機觸角加強運營有效性事件與資源的更有效運用提升客戶滿意度減少企業(yè)危機增加員工參與感增加營業(yè)利潤降低成本為什么要尋求7799認證貫穿完整供應(yīng)鏈的安全信息機制提升客戶1227799注冊過程

詢問申請預(yù)評估文檔審核初始評估認證持續(xù)評估三年后重審7799注冊過程詢問1237799認證的對象ISMSInformationSecurityManagementSystem信息安全管理系統(tǒng)7799認證的對象ISMS124用PDCA模型實現(xiàn)ISMS用PDCA模型實現(xiàn)ISMS125ISMS的要求建立和管理ISMS建立ISMS實現(xiàn)和運作ISMS監(jiān)控和審核ISMS維護和改進ISMS文檔要求通用文檔的控制文檔的記錄ISMS的要求建立和管理ISMS126建立ISMS定義ISMS的范圍定義ISMS的策略確定一個系統(tǒng)化的風險評估方法鑒別風險評估風險鑒別和評價處理風險的各種選擇選擇應(yīng)對風險的控制目標和控制（對應(yīng)7799中的內(nèi)容）準備一個SOA(statementofApplicability)適應(yīng)性聲明獲得管理層的批準（對殘余風險的認可和ISMS運行的許可）建立ISMS定義ISMS的范圍127如何評估通用評估方法內(nèi)部審計和相關(guān)工具漏洞掃描工具體系架構(gòu)方面的分析業(yè)務(wù)流程分析網(wǎng)絡(luò)架構(gòu)縫隙信息系統(tǒng)層次結(jié)構(gòu)縫隙安全需求分析樹分析事件樹分析故障樹分析：實效模式和后果分析(FMEA)滲透測試…如何評估通用評估方法128安氏安全風險評估流程信息資產(chǎn)列表安全弱點的評估安全威脅的評估現(xiàn)有安全措施列表風險量化和評級風險的處置和接受設(shè)計安全措施安氏安全風險評估流程信息資產(chǎn)列表129信息資產(chǎn)分類信息資產(chǎn)分類130信息資產(chǎn)賦值機密性、完整性和可用性的價值分別賦值信息資產(chǎn)賦值機密性、完整性和可用性的價值分別賦值131安全弱點的評估弱點和資產(chǎn)緊密相連，它可能被威脅利用、引起資產(chǎn)損失或破壞。

安全弱點的評估弱點和資產(chǎn)緊密相連，它可能被威脅利用、引起資產(chǎn)132安全弱點獲取的手段安全策略文檔分析安全審計工具掃描(網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)庫)白客滲透測試顧問訪談人工分析安全弱點獲取的手段安全策略文檔分析133弱點評估工具選擇不增加網(wǎng)絡(luò)負載直觀、易懂的評估報告全面的漏洞檢測廣泛的平臺覆蓋率選擇業(yè)界最先進的ISSScanner系列(Internet,System和DatabaseScanner)弱點評估工具選擇不增加網(wǎng)絡(luò)負載選擇業(yè)界最先進的ISSSca134威脅來源分類：非授權(quán)故意行為人為錯誤軟件、設(shè)備、線路故障不可抗力安全威脅是一種對系統(tǒng)、組織及其資產(chǎn)構(gòu)成潛在破壞能力的可能性因素或者事件安全威脅的評估威脅來源分類：安全威脅是一種對系統(tǒng)、組織及其資產(chǎn)構(gòu)成潛在破壞135威脅的屬性--可能性Likelihood威脅的屬性--可能性Likelihood136威脅的屬性—嚴重性Impact威脅的屬性—嚴重性Impact137IDS取樣白客滲透測試顧問訪談人工分析安全策略文檔分析安全審計安全威脅獲取的手段IDS取樣安全威脅獲取的手段138現(xiàn)有安全措施界定在弱點和威脅評估時充分考慮現(xiàn)有安全措施及強弱程度對其影響。安全技術(shù)措施安全控制手段有效的安全服務(wù)安全策略現(xiàn)有安全措施界定在弱點和威脅評估時充分考慮現(xiàn)有安139風險的計算風險值=資產(chǎn)價值X威脅值X弱點值

（此處弱點和威脅值已經(jīng)考慮現(xiàn)有安全措施對其影響）風險的計算風險值=資產(chǎn)價值X威脅值X弱點值140風險控制措施風險控制措施141選擇控制

－按照可能功能分類防止Prevent保護Protect檢測Detect響應(yīng)和糾正Responseandamendment恢復(fù)Restoreandrecover監(jiān)控和審計Monitorandaudit…選擇控制

－按照可能功能分類防止Prevent142選擇控制

－按照可能的策略分類避免——完全消除風險降低——減小可能性，降低影響接受——承擔一些風險轉(zhuǎn)嫁——責任外包，保險回避——消極地退卻（有時可行）威懾——通過報復(fù)或者追究責任的方式選擇控制

－按照可能的策略分類避免——完全消除風險143適應(yīng)性聲明SOASOA描述機構(gòu)要實現(xiàn)的控制目標和控制。對應(yīng)不選的控制要給予說明。SOA是一個文檔，描述機構(gòu)是如何控制風險的。因此，SOA不能過于詳細以免給機構(gòu)的安全造成損害。SOA是證書的附件。也可以作為單獨的文檔提供給需要的外部機構(gòu)和伙伴。 適應(yīng)性聲明SOASOA描述機構(gòu)要實現(xiàn)的控制目標和控制。對應(yīng)不144總結(jié)PartI什么是信息安全？PartII什么是風險和風險管理PartIII什么是7799？PartIV如何獲得7799認證？總結(jié)PartI什么是信息安全？145ENDEND146信息安全和風險管理

－7799標準與實施信息安全和風險管理

－7799標準與實施147概述PartI什么是信息安全？PartII什么是風險和風險管理PartIII什么是7799？PartIV如何獲得7799認證？概述PartI什么是信息安全？148PartI

什么是信息安全PartI

什么是信息安全1491-1看待信息安全的各種思路需求狀態(tài)結(jié)果功能過程能力1-1看待信息安全的各種思路需求150對信息安全的各種思路需求信息系統(tǒng)乃至信息化社會的需要狀態(tài)對應(yīng)于信息不安全。難于描述。結(jié)果對應(yīng)于人們的努力。表面看只有兩個結(jié)果：出事和不出事。對信息安全的各種思路需求151對信息安全的各種思路功能應(yīng)用和實現(xiàn)的各種安全功能（產(chǎn)品）。比如：訪問控制（防火墻）、審計跟蹤（IDS）等過程對應(yīng)于人們努力的內(nèi)容和時間。能力對應(yīng)于努力的綜合實力對信息安全的各種思路功能152信息安全的三個方面需求保密性——信息的機密性完整性——信息的完整性、一致性可用性——行為完整性、服務(wù)連續(xù)性信息安全的經(jīng)典定義

－需求角度信息安全的三個方面需求信息安全的經(jīng)典定義

－需求角度153安全需求的多樣性6項安全要求CIARAA(ISO13335)保密性Confidentiality完整性Integrity可用性Availability可靠性Reliability認證性Authenticity審計性Accountability安全需求的多樣性6項安全要求CIARAA(ISO13335154信息安全需求的演變？信息保密信息保密信息完整信息和系統(tǒng)可用信息保密信息完整信息和系統(tǒng)可用信息和系統(tǒng)可控信息行為不可否認80年代的認識90年代的認識90年代后期的認識信息安全需求的演變？信息保密信息保密信息完整信息和系統(tǒng)可用信155最權(quán)威的傳統(tǒng)評估標準美國國防部在1985年公布可信計算機安全評估準則TrustedComputerSecurityEvaluationCriteria(TCSEC)為安全產(chǎn)品的測評提供準則和方法指導信息安全產(chǎn)品的制造和應(yīng)用最權(quán)威的傳統(tǒng)評估標準美國國防部在1985年公布156可信計算機系統(tǒng)安全等級可信計算機系統(tǒng)安全等級157傳統(tǒng)評估標準的演變美國DoD85TESECTCSEC網(wǎng)絡(luò)解釋（TNI1987）TCSEC數(shù)據(jù)庫管理系統(tǒng)解釋（TDI1991）歐洲–ITSEC美國、加拿大、歐洲等共同發(fā)起CommonCriteria(CC)傳統(tǒng)評估標準的演變美國158ReferenceMonitorReferenceMonitor主體客體控制規(guī)則ReferenceMonitorReference主體客體159主要傳統(tǒng)安全技術(shù)操作系統(tǒng)訪問控制網(wǎng)絡(luò)訪問控制（防火墻）加密（對稱、非對稱）身份認證（口令、強認證……）……主要傳統(tǒng)安全技術(shù)操作系統(tǒng)訪問控制160VRMTCSEC認為，一個安全機制的三個基本要求：不可旁路不可篡改足夠小，可以被證明VRMTCSEC認為，一個安全機制的三個基本要求：161RM傳統(tǒng)安全理念和技術(shù)的局限適合于主機/終端環(huán)境，對網(wǎng)絡(luò)環(huán)境難于適應(yīng)系統(tǒng)和技術(shù)的發(fā)展太快，安全技術(shù)跟進困難沒有研究入侵者的特點和技術(shù)……ReferenceMonitor主體客體控制規(guī)則RM傳統(tǒng)安全理念和技術(shù)的局限適合于主機/終端環(huán)境，對網(wǎng)絡(luò)環(huán)境162UNIXFirewallE-MailServerWebServerRouterNTClients&WorkstationsNetworkUNIXNTUNIXimapCrackNetBus典型的攻擊過程UNIXE-MailServerWebServerRou1631-3P2DR安全模型動態(tài)安全模型可適應(yīng)網(wǎng)絡(luò)安全模型1-3P2DR安全模型動態(tài)安全模型164P2DR安全模型動態(tài)/可適應(yīng)安全的典范P2DR安全模型動態(tài)/可適應(yīng)安全的典范165什么是安全？新的定義什么是安全？新的定義166安全——及時的檢測和處理時間PtDtRt安全——及時的檢測和處理時間PtDtRt167什么是安全？PtDtRt>+什么是安全？PtDtRt>+168P2DR安全模型動態(tài)模型基于時間的模型可以量化可以計算P2DR安全模型動態(tài)模型169P2DR的核心問題是檢測檢測是靜態(tài)防護轉(zhuǎn)化為動態(tài)的關(guān)鍵檢測是動態(tài)響應(yīng)的依據(jù)檢測是落實、強制執(zhí)行安全策略的有力工具最重要的檢測技術(shù)漏洞掃描入侵檢測IDSP2DR安全的核心安全策略防護

檢測響應(yīng)P2DR的核心問題是檢測P2DR安全的核心安全防護170PDR理念的不足缺少管理環(huán)節(jié)的描述和表達因此，才有Policy環(huán)節(jié)的引入實用的時間很難測量時間計算的算法非常復(fù)雜和不確定PDR理念的不足缺少管理環(huán)節(jié)的描述和表達171PDR的時間計算目標起點Pt(A)Pt(B)Pt(C)Pt(D)Pt(System)=Pt(A)+Pt(B)+Pt(C)+Pt(D)PDR的時間計算目標起點Pt(A)Pt(B)Pt(C)Pt(172PDR的時間計算目標起點Pt(System)=Minimum(Pt(Ra),Pt(Rb),Pt(Rc),Pt(Rd),Pt(Re))RaRbRcRdRePDR的時間計算目標起點Pt(System)=Minimum173PDR的時間計算目標起點Pt(System)=?新的攻擊手法PDR的時間計算目標起點Pt(System)=?新的攻擊手法174PDR的時間計算目標起點新的攻擊手法PDR的時間計算目標起點新的攻擊手法1751-4我們應(yīng)當期待什么效果？1-4我們應(yīng)當期待什么效果？176目前普遍應(yīng)用的信息安全技術(shù)訪問控制操作系統(tǒng)訪問控制網(wǎng)絡(luò)防火墻病毒防火墻審計跟蹤IDS漏洞掃描日志分析加密存儲和備份鑒別和認證PKI和CA雙因子認證生物認證……目前普遍應(yīng)用的信息安全技術(shù)訪問控制加密177信息安全問題的難點超復(fù)雜性牽扯很多技術(shù)環(huán)節(jié)涉及大量的管理問題涉及人的因素……工程方法信息安全問題的難點超復(fù)雜性工程方法178最成熟的“工程”方法風險管理風險評估風險控制和監(jiān)控信息安全管理系統(tǒng)ISMS管理驅(qū)動技術(shù)最成熟的“工程”方法風險管理179PartII

什么是風險和風險管理PartII

什么是風險和風險管理180什么是風險？風險：對目標有所影響的某個事情發(fā)生的可能性。它根據(jù)后果和可能性來度量。Risk thechanceofsomethinghappeningthatwillhaveanimpactuponobjectives.Itismeasuredintermsofconsequencesandlikelihood.-AS/NZS4360:2019《風險管理》什么是風險？風險：181什么是風險風險：指定的威脅利用單一或一群資產(chǎn)的脆弱點造成資產(chǎn)的損失或損壞的潛在的可能性。Risk:thepotentialthatagiventhreatwillexploitvulnerabilitiesofanassetorgroupofassetstocauselossordamagetotheassets.-ISO/IECTR13335-1:2019什么是風險風險：指定的威脅利用單一或一群資產(chǎn)的脆弱點造成資產(chǎn)182ISO15408安全模型ISO/IEC15408-1安全概念和關(guān)系模型所有者威脅主體對策