信息安全導論

信息安全導論

IntroductiontoInformationSecurity中央財經(jīng)大學信息學院第12章信息安全管理與審計信息安全管理體系信息安全風險評估信息安全審計本章小結(jié)12.1

信息安全管理體系12.1.1信息安全管理體系概念12.1.2信息安全管理體系過程方法12.1.3信息安全管理體系構(gòu)建流程12.1.4信息安全管理標準防火墻能解決這樣的問題嗎？WO!3G精心設(shè)計的網(wǎng)絡(luò)防御體系，因違規(guī)外連形同虛設(shè)12.1信息安全管理體系信息安全管理需求信息系統(tǒng)是人機交互系統(tǒng)設(shè)備的有效利用是人為的管理過程應(yīng)對風險需要人為的管理過程12.1信息安全管理體系三分技術(shù)，七分管理據(jù)有關(guān)統(tǒng)計，信息安全事件中大約有70%以上的問題都是由于管理方面的原因造成的。數(shù)據(jù)來源CNCERT/CC12.1信息安全管理體系信息安全需要對信息系統(tǒng)的各個環(huán)節(jié)進行統(tǒng)一的綜合考慮、規(guī)劃和架構(gòu)，并需要兼顧組織內(nèi)外不斷變化的發(fā)生的變化。木桶原理：信息系統(tǒng)安全水平將由與信息安全有關(guān)的所有環(huán)節(jié)中最薄弱的環(huán)節(jié)所決定要實現(xiàn)信息安全目標，一個組織必須使構(gòu)成安全防范體系的這只“木桶”的所有木板都達到一定的長度。信息安全工程要實現(xiàn)良好的信息安全，需要信息安全技術(shù)和信息安全管理有效地配合12.1信息安全管理體系信息安全技術(shù)層面建設(shè)安全的主機系統(tǒng)和安全的網(wǎng)絡(luò)系統(tǒng)，包括物理層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全和應(yīng)用層安全等配備一定的安全產(chǎn)品，如數(shù)據(jù)加密產(chǎn)品、數(shù)據(jù)存儲備份產(chǎn)品、系統(tǒng)容錯產(chǎn)品、防病毒產(chǎn)品、安全網(wǎng)關(guān)產(chǎn)品等信息安全管理層面構(gòu)建信息安全管理體系12.1信息安全管理體系信息安全工程12.1.1信息安全管理體系概念信息安全管理(InformationSecurityManagement)的概念沒有統(tǒng)一的定義。信息安全管理：組織為了實現(xiàn)信息安全目標和信息資產(chǎn)保護，用來指導和管理各種控制信息安全風險的、一組相互協(xié)調(diào)的活動。要實現(xiàn)組織中信息的安全性、高效性和動態(tài)性管理，就需要依據(jù)信息安全管理模型和信息安全管理標準構(gòu)建信息安全管理體系12.1信息安全管理體系信息安全管理體系(InformationSecurityManagementSystem,ISMS)組織以信息安全風險評估為基礎(chǔ)的系統(tǒng)化、程序化和文件化的管理體系，包括建立、實施、運行、監(jiān)視、評審、保持和改進信息安全等一系列的管理活動。ISMS是整個管理體系的一部分。ISMS的建立是基于組織，立足于信息安全風險評估，體現(xiàn)以預(yù)防為主的思想，并且是全過程和動態(tài)控制。12.1信息安全管理體系12.1.1信息安全管理體系概念BS7799-2《信息安全管理體系規(guī)范》：詳細說明了建立、實施和維護信息安全管理體系的要求。BS7799-2的修訂版本BS7799-2:2002中引入了PDCA(Plan-Do-Check-Action)過程方法，用于建立、實施和持續(xù)改進ISMS。PDCA循環(huán)又稱“戴明環(huán)”，由美國質(zhì)量管理專家EdwardsDeming博士在20世紀50年代提出，是全面質(zhì)量管理所應(yīng)遵循的科學程序。PDCA強調(diào)應(yīng)將業(yè)務(wù)過程看作連續(xù)的反饋循環(huán)，在反饋循環(huán)的過程中識別需要改進的部分，以使過程得到持續(xù)的改進，質(zhì)量得到螺旋式上升。12.1信息安全管理體系12.1.2信息安全管理體系過程方法應(yīng)用于ISMS過程的PDCA模型12.1信息安全管理體系12.1.2信息安全管理體系過程方法應(yīng)用于ISMS過程的PDCA模型在每個階段的具體內(nèi)容如下：規(guī)劃Plan(建立ISMS)完成ISMS的構(gòu)建工作實施Do(實施和運行ISMS)實施和運行ISMS方針、控制措施、過程和程序檢查Check(監(jiān)視和評審ISMS)進行有關(guān)方針、標準、法律法規(guī)與程序的符合性檢查處置Act(保持和改進ISMS)對ISMS進行評價，尋求改進的機會，采取相應(yīng)的措施12.1信息安全管理體系12.1.2信息安全管理體系過程方法ISMS框架建立流程12.1信息安全管理體系12.1.3信息安全管理體系構(gòu)建流程強化員工的信息安全意識，規(guī)范組織的信息安全行為。對組織的關(guān)鍵信息資產(chǎn)進行全面系統(tǒng)的保護，維持競爭優(yōu)勢。在信息系統(tǒng)受到侵襲時，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度。使組織的生意伙伴和客戶對組織充滿信心。使組織定期地考慮新的威脅和脆弱點，并對系統(tǒng)進行更新和控制。促使管理層堅持貫徹信息安全保障體系。信息安全管理體系功能12.1信息安全管理體系12.1.3信息安全管理體系構(gòu)建流程BS7799BS7799是由英國BSI/DISC的BDD/2信息安全管理委員會指導下完成的，是當前國際公認的信息安全實施標準。旨在為一個組織提供用來制定安全標準、實施有效安全管理的通用要素，并不涉及“怎么做”的細節(jié)。是制定一個機構(gòu)自己標準的出發(fā)點，因此適用于各種產(chǎn)業(yè)和組織。12.1信息安全管理體系12.1.4信息安全管理標準BS7799演進發(fā)展過程BS7799發(fā)展后分為兩部分ISO/IEC27001:2005

《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》主要討論了以PDCA過程方法建設(shè)ISMS以及ISMS評估的內(nèi)容。該標準詳細的說明了建立、實施、監(jiān)視和維護ISMS的具體任務(wù)和要求，指出實施機構(gòu)應(yīng)該遵循的風險評估標準。ISO/IEC27002:2005

《信息技術(shù)-安全技術(shù)-信息安全控制實用規(guī)則》標準包含有11項管理內(nèi)容，133條安全控制措施。作為組織基于ISO/IEC27001實施ISMS的過程中選擇控制措施時的參考，或作為組織實施通用信息安全控制措施時的指南文件，或開發(fā)組織自身的信息安全管理指南。12.1信息安全管理體系12.1.4信息安全管理標準ISO/IEC27002:200512.1信息安全管理體系12.1.4信息安全管理標準ISO/IEC27002:2005安全管理體系COBITCOBIT是目前國際上通用的安全與信息技術(shù)管理和控制標準它在業(yè)務(wù)風險、控制需要和技術(shù)問題之間架起了一座橋梁，可以輔助管理層進行IT治理，指導組織有效利用信息資源，有效地管理與信息相關(guān)的風險。COBIT共分為4個域，34個高級控制目標和318個詳細控制目標。12.1信息安全管理體系12.1.4信息安全管理標準COBIT框架ISO/IEC13335是國際標準《IT安全管理指南》(GuidelinesfortheManagementofITSecurity,GMITS)ISO/IEC13335-1:1996《IT安全的概念與模型》（被ISO/IEC13335-1:2004《信息和通信技術(shù)安全管理的概念和模型》替代）ISO/IEC13335-2:1997《IT安全管理與規(guī)劃》ISO/IEC13335-3:1998《IT安全管理技術(shù)》ISO/IEC13335-4:2000《防護措施的選擇》ISO/IEC13335-5:2001《網(wǎng)絡(luò)安全管理指南》ISO/IEC1333512.1信息安全管理體系12.1.4信息安全管理標準GB17895-1999GB17895-1999《計算機信息系統(tǒng)安全保護等級劃分準則》標準由我國公安部主持制定、國家質(zhì)量技術(shù)監(jiān)督局1999年發(fā)布，2001年1月1日起施行。計算機信息系統(tǒng)安全保護等級被劃分為5個級別用戶自主保護級系統(tǒng)審計保護級安全標記保護級結(jié)構(gòu)化保護級訪問驗證保護級12.1信息安全管理體系12.1.4信息安全管理標準信息系統(tǒng)安全等級保護劃分原則內(nèi)容提綱信息安全風險評估信息安全管理體系信息安全審計本章小結(jié)12.2

信息安全風險評估12.2.1信息安全風險評估概念12.2.2信息安全風險評估組成要素12.2.3信息安全風險評估流程12.2.4信息安全風險評估方法與工具風險(Risk)：一定條件下和一定時期內(nèi)可能發(fā)生的不利事件發(fā)生的可能性。目前，信息安全風險沒有統(tǒng)一的定義澳大利亞/新西蘭國家標準AS/NZS4360信息安全風險指對目標產(chǎn)生影響的某種事件發(fā)生的可能性，可以用后果和可能性來衡量。ISO/IEC13335-1標準信息安全風險是指某個給定的威脅利用單個或一組資產(chǎn)的脆弱點造成資產(chǎn)受損的潛在可能性。GB/T20984-2013《信息安全風險評估規(guī)范》信息安全風險是指人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱點導致安全事件的發(fā)生及其對組織造成的影響。12.2信息安全風險評估12.2.1信息安全風險評估概念一般而言，信息安全風險可表現(xiàn)為威脅(Threats)、脆弱點(Vulnerabilities)和資產(chǎn)(Assert)之間的相互作用。風險會隨著任一因素的增加而增大，減少而減少GB/T20984-2013《信息安全風險評估規(guī)范》信息安全風險評估是指依據(jù)有關(guān)信息安全技術(shù)與管理標準，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的過程。它要評估資產(chǎn)面臨的威脅以及威脅利用脆弱點導致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響。12.2信息安全風險評估12.2.1信息安全風險評估概念信息安全風險評估的意義如下：對信息安全保障體系建設(shè)具有重要的促進作用，能有效幫助組織制定決策策略。沒有有效和及時的信息安全風險評估，將使得各個組織無法對其信息安全的狀況做出準確的判斷。在綜合考慮成本和效益的前提下，通過安全措施來控制風險，使殘余風險降至用戶可控范圍內(nèi)。12.2信息安全風險評估12.2.1信息安全風險評估概念1993年，美國，加拿大同歐洲四國組成六國七方，共同制定了國際通用的評估準則CC(CommonCriteria)目的是建立一個各國都能接受的通用的信息安全產(chǎn)品和系統(tǒng)的安全性評價標準。在1996年頒布了CC1.0版，1998年頒布了CC2.0版1999年，ISO接納CC2.0版為ISO/IEC15408草案，并命名為信息技術(shù)-安全技術(shù)-IT安全性評估準則，并于同年正式發(fā)布國際標準ISO/IEC15408CC2.1版12.2信息安全風險評估12.2.2信息安全風險評估組成要素CC標準CC標準主要有三部分構(gòu)成簡介和一般模型安全功能要求安全保障要求信息安全風險構(gòu)成要素威脅、風險、脆弱點、資產(chǎn)、對策等關(guān)鍵風險要素提出了所有者和威脅主體的概念12.2信息安全風險評估12.2.2信息安全風險評估組成要素CC標準中風險要素之間的關(guān)系ISO/IEC13335是信息安全管理方面的指導性標準。ISO/IEC13335-1以風險為中心，確定了資產(chǎn)、威脅、脆弱點、影響、風險、防護措施為信息安全風險的要素，并描述了它們之間的關(guān)系。12.2信息安全風險評估12.2.2信息安全風險評估組成要素ISO13335標準ISO/IEC13335標準中風險要素之間的關(guān)系GB/T20984-2007標準《信息安全風險評估規(guī)范》風險評估圍繞著資產(chǎn)、威脅、脆弱點和安全措施這些基本要素展開。在基本要素的評估過程中，充分考慮業(yè)務(wù)戰(zhàn)略、資產(chǎn)價值、安全需求、安全事件、殘余風險等與這些基本要素相關(guān)的各類屬性。12.2信息安全風險評估12.2.2信息安全風險評估組成要素GB/T20984-2007標準GB/T20984-2007標準中風險評估各要素關(guān)系圖我國的GB/T20984-2007標準《信息安全風險評估規(guī)范》風險評估準備資產(chǎn)識別威脅識別脆弱點識別已有安全措施的確認風險分析風險評估文檔記錄12.2信息安全風險評估12.2.3信息安全風險評估流程風險評估流程圖1.風險評估準備確定風險評估的目標確定風險評估的對象與范圍組建適當?shù)脑u估管理與實施團隊進行系統(tǒng)調(diào)研確定評估依據(jù)和方法制定風險評估方案獲得最高管理者對風險評估工作的支持12.2信息安全風險評估12.2.3信息安全風險評估流程資產(chǎn)分類根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為物理資產(chǎn)、信息資產(chǎn)、軟件資產(chǎn)、服務(wù)以及無形資產(chǎn)等方面。資產(chǎn)賦值：對資產(chǎn)的價值或重要程度進行評估一般地，資產(chǎn)的價值可由資產(chǎn)在安全屬性上的達成程度或其他安全屬性未達成時所造成的影響程度來決定，可分為對保密性、完整性、可用性三個方面的賦值。在此基礎(chǔ)上，經(jīng)過綜合評定得到資產(chǎn)重要性等級。加權(quán)平均原則、最大化原則等12.2信息安全風險評估2.資產(chǎn)識別12.2.3信息安全風險評估流程根據(jù)威脅來源，威脅可分為環(huán)境威脅和人為威脅。環(huán)境威脅：自然界不可抗力威脅和其它物理因素威脅人為威脅：惡意和非惡意威脅賦值對威脅出現(xiàn)的頻率進行等級化處理，不同等級分別代表威脅出現(xiàn)的頻率的高低。以往安全事件報告中出現(xiàn)過的威脅、威脅的頻率、破壞力的統(tǒng)計。實際環(huán)境中通過檢測工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計。近一兩年來國際組織發(fā)布的對于整個社會或特定行業(yè)的威脅出頻率及其破壞力的統(tǒng)計。12.2信息安全風險評估3.威脅識別12.2.3信息安全風險評估流程技術(shù)和管理技術(shù)脆弱點：物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等管理脆弱點：技術(shù)管理和組織管理脆弱點賦值一般是對脆弱點被利用后對資產(chǎn)損害程度、技術(shù)實現(xiàn)的難易程度、弱點流行程度進行評估，然后以定性等級劃分形式，綜合給出脆弱點的嚴重程度。12.2信息安全風險評估4.脆弱點識別12.2.3信息安全風險評估流程預(yù)防性安全措施降低威脅利用脆弱點導致安全事件發(fā)生的可能性：減少威脅出現(xiàn)的頻率：培訓、懲罰等減少脆弱點：打補丁、定期檢查等保護性安全措施減少因安全事件發(fā)生對信息系統(tǒng)造成的影響：業(yè)務(wù)持續(xù)性計劃。12.2信息安全風險評估5.已有安全措施的確認12.2.3信息安全風險評估流程該階段主要完成風險計算、風險處理計劃、殘余風險評估三個方面的內(nèi)容。在風險計算方面，主要通過綜合安全事件所作用的資產(chǎn)價值及脆弱點的嚴重程度，判斷安全事件造成的損失對組織的影響，即得到安全風險。在風險處理計劃方面，主要完成對不可接受的風險的處理工作。風險處理計劃中應(yīng)明確采取的彌補脆弱點的安全措施、預(yù)期效果、實施條件、進度安排、責任部門等。在殘余風險評估方面，主要用來評估在安全措施實施后，殘余風險是否降低到可以接受的水平。若仍然不滿足風險水平的要求，則需要進一步調(diào)整風險處理計劃，增加相應(yīng)的安全措施。12.2信息安全風險評估6.風險分析12.2.3信息安全風險評估流程R：風險函數(shù)A：資產(chǎn)T：威脅V：脆弱點Ia：安全事件所作用的資產(chǎn)價值Va：脆弱點等級大小L：威脅利用資產(chǎn)的脆弱點而導致安全事件的可能性F：安全事件發(fā)生后造成的損失風險值計算12.2信息安全風險評估6.風險分析12.2.3信息安全風險評估流程主要記錄在整個風險評估過程中產(chǎn)生的評估過程文檔和評估結(jié)果文檔。風險評價計劃風險評估程序資產(chǎn)識別清單重要資產(chǎn)清單威脅列表脆弱點列表已有安全措施確認表風險評估報告風險處理計劃風險評估記錄12.2信息安全風險評估7.風險評估文檔記錄12.2.3信息安全風險評估流程定性分析方法定性的評估分析方法是一種采用比較廣泛的模糊分析方法。主要依靠專家的知識和經(jīng)驗、被評估對象的相關(guān)記錄以及相關(guān)走訪調(diào)查來對資源、威脅、脆弱點和現(xiàn)有的防范措施進行系統(tǒng)評估。定性分析方法很多，包括小組討論（如Delphi方法）、調(diào)查、人員訪談、問卷和檢查列表等。典型的定性分析方法主觀評分法故障樹分析法12.2信息安全風險評估12.2.4信息安全風險評估方法和工具1.信息安全風險評估方法定量分析方法對構(gòu)成風險的各個要素和潛在損失的水平賦以數(shù)值，進而來量化風險評估的整個過程和結(jié)果。典型的定量分析方法決策樹法模糊綜合評價法層次分析法…12.2信息安全風險評估12.2.4信息安全風險評估方法和工具1.信息安全風險評估方法定性和定量結(jié)合的分析方法定性分析要求分析者具有一定的能力和經(jīng)驗，且分析基于主觀性，其結(jié)果很難統(tǒng)一。定量分析依賴大量的統(tǒng)計數(shù)據(jù)，且分析基于客觀，其結(jié)果很直觀，容易理解。信息安全風險評估是一個復(fù)雜的過程，涉及多個因素、多個層面，具有不確定性，它是一個多約束條件下的多屬性決策問題有些要素的量化很容易，而有些卻是很困難甚至是不可能的。如果單純的使用定性或定量的方法，對風險有效的評估則是很難的。12.2信息安全風險評估12.2.4信息安全風險評估方法和工具1.信息安全風險評估方法工具名稱COBRARACRAMM@RISKBDSS組織/國家C&A/BritainBSI/BritainCCTA/BritainPalisade/AmericaTheIntegratedRiskManagementGroup/America體系結(jié)構(gòu)C/S模式單機版單機版單機版單機版采用方法專家系統(tǒng)過程式算法過程式算法專家系統(tǒng)專家系統(tǒng)定性/定量算法定性/定量結(jié)合定性/定量結(jié)合定性/定量結(jié)合定性/定量結(jié)合定性/定量結(jié)合數(shù)據(jù)采集形式調(diào)查問卷過程過程調(diào)查問卷調(diào)查問卷對使用人員的要求不需要有風險評估的專業(yè)知識依靠評估人的知識和經(jīng)驗依靠評估人的知識和經(jīng)驗不需要有風險評估的專業(yè)知識不需要有風險評估的專業(yè)知識結(jié)果輸出形式結(jié)果報告：風險等級與控制措施風險等級與控制措施（基于BS7799提供的控制措施）風險等級與控制措施（基于BS7799提供的控制措施）決策支持信息安全防護措施列表12.2信息安全風險評估12.2.4信息安全風險評估方法和工具2.信息安全風險評估工具常見的自動化評估工具的比較內(nèi)容提綱信息安全審計信息安全管理體系信息安全風險評估本章小結(jié)審計（Audit）Audit審計,查賬aninspectionoftheaccountingproceduresandrecordsbyatrainedaccountantorCPA審計審計是對資料作出證據(jù)搜集及分析，以評估企業(yè)財務(wù)狀況，然后就資料及一般公認準則之間的相關(guān)程度作出結(jié)論及報告。進行審計的人員必需有獨立性及具相關(guān)專業(yè)知識。12.3信息安全審計信息安全審計信息安全審計/IT審計/信息系統(tǒng)安全審計審計應(yīng)該是獨立的，審計與信息安全的目標是一致的，而不是對立的。信息安全與信息安全審計信息安全其中一項必不可少的內(nèi)容是IT審計IT審計主要針對的是信息安全，也包含其他內(nèi)容信息安全與IT審計有很大的重合點要做好IT審計必須了解信息安全12.3信息安全審計信息安全審計師信息安全審計師，英文為CertifiedInformationSecurityProfessional-Auditor（簡稱CISP-Auditor），CISP-Auditor是中國信息安全測評中心在CISP現(xiàn)有人員資格認證注冊工作的基礎(chǔ)上，于2012年推出的又一項信息安全專業(yè)人員資格認證項目，是CISP家族的新成員，是國家對信息安全審計人員資質(zhì)的最高認可。要求：博士研究生；碩士研究生以上，具有1年工作經(jīng)歷；或本科畢業(yè)，具有2年工作經(jīng)歷；或大專畢業(yè)，具有4年工作經(jīng)歷。知識體系結(jié)構(gòu)共包括：信息安全保障、信息安全標準與法律法規(guī)、信息安全技術(shù)、信息安全管理、信息安全工程、信息安全審計概述、信息安全審計組織和實施、信息安全控制措施審計實務(wù)這八個知識類。12.3信息安全審計SOX(Sarbanes-Oxley)法案2002年頒布的Sarbanes-Oxley法案的一些強制要求。此法案要求上市公司的工作人員個人不僅對公司的財務(wù)報表負責，而且還需要負責設(shè)置恰當?shù)目刂拼胧?，以確保報表的準確性。如果沒有遵守這些規(guī)定，則需要負刑事責任，并會向公眾公開以示懲罰。12.3信息安全審計SOX(Sarbanes-Oxley)法案盡管此法案不包含關(guān)于IT、計算機或技術(shù)方面的內(nèi)容，但是審計事務(wù)所還是已經(jīng)將IT組織包括在其調(diào)查的范圍之內(nèi)。這些事務(wù)所認為，SOX不僅包括對財務(wù)進行恰當?shù)目刂?；而且還包括如何保護股東資產(chǎn)。這些資產(chǎn)容易受到操作問題的影響，其中包括IT風險，如系統(tǒng)災(zāi)難、違犯安全，等等。12.3信息安全審計SOX(Sarbanes-Oxley)法案公司高級管理人員被判定行為不當?shù)哪承┳畛裘恐陌咐ㄖ甘笽T人員涉嫌操縱數(shù)據(jù)、修改程序和忽略基本系統(tǒng)控制，以便為財務(wù)報表和審計提供不正確的數(shù)據(jù)。因此，是美國上市公司審