信息安全案例教程：技術(shù)與應(yīng)用（第2版）課件-信息安全管理

信息安全管理本章知識結(jié)構(gòu)案例與思考例與思考9-1：動畫片《三只小豬》與信息安全管理案例與思考9-2：BYOD與信息安全管理9.1信息安全管理概述9.1.1信息安全管理的概念信息安全管理是在信息安全這一特定領(lǐng)域里的管理活動，是指為了完成信息安全保障的核心任務(wù)，實(shí)現(xiàn)既定的信息與信息系統(tǒng)安全目標(biāo)，針對特定的信息安全相關(guān)工作對象，遵循確定的原則，按照規(guī)定的程序（規(guī)程），運(yùn)用恰當(dāng)?shù)姆椒?，所進(jìn)行的與信息系統(tǒng)安全相關(guān)的組織、計劃、執(zhí)行、檢查和處理等活動。信息安全管理的最終目標(biāo)是將系統(tǒng)（即管理對象）的安全風(fēng)險降低到用戶可接受的程度，保證系統(tǒng)的安全運(yùn)行和使用。9.1信息安全管理概述9.1.1信息安全管理的概念信息安全管理的要素包括：安全內(nèi)容：網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全、通信基礎(chǔ)設(shè)施安全、信息系統(tǒng)安全、信息安全生產(chǎn)、信息內(nèi)容安全等。工作對象：相應(yīng)的戰(zhàn)略規(guī)劃、日常工作計劃、安全目標(biāo)、安全原則、安全法律法規(guī)、安全標(biāo)準(zhǔn)、安全規(guī)范、安全技術(shù)開發(fā)與應(yīng)用、安全工程、安全服務(wù)、安全市場、安全產(chǎn)品的認(rèn)證、安全保障體系與制度、安全監(jiān)督與檢查等。工作計劃：工作目標(biāo)、步驟、工作策略、工作方法、角色與職責(zé)、日常運(yùn)行保障、安全運(yùn)行指標(biāo)等。9.1信息安全管理概述9.1.2信息安全管理的模式信息安全管理的程序遵循PDCA循環(huán)模式，4個階段的主要工作如下:1）計劃。根據(jù)法律、法規(guī)的要求和組織內(nèi)部的安全需求制定信息安全方針、策略，進(jìn)行風(fēng)險評估，確定風(fēng)險控制目標(biāo)與控制方式，制定信息安全工作計劃等內(nèi)容，明確責(zé)任分工，安排工作進(jìn)度，形成工作文件。2）執(zhí)行。按照所選擇的控制目標(biāo)與控制方式進(jìn)行信息安全管理實(shí)施，包括建立權(quán)威安全機(jī)構(gòu)，落實(shí)各項安全措施，開展全員安全培訓(xùn)等。9.1信息安全管理概述9.1.2信息安全管理的模式信息安全管理的程序遵循PDCA循環(huán)模式，4個階段的主要工作如下:3）檢查。在實(shí)踐中檢查、評估工作計劃執(zhí)行后的結(jié)果，包括：制定的安全目標(biāo)是否合適，是否符合安全管理的原則，是否符合安全技術(shù)的標(biāo)準(zhǔn)，是否符合法律法規(guī)的要求，是否符合風(fēng)險控制的指標(biāo)，控制手段是否能夠保證安全目標(biāo)的實(shí)現(xiàn)等，并報告結(jié)果。4）行動。行動階段也可以稱之為處理階段，依據(jù)上述檢查結(jié)果，對現(xiàn)有信息安全管理策略的適宜性進(jìn)行評審與評估，評價現(xiàn)有信息安全管理體系的有效性。9.2信息安全管理制度9.2.1信息安全管理與立法1.保護(hù)的目標(biāo)信息系統(tǒng)安全法律體系不僅僅是簡單的對一般違法犯罪或者侵權(quán)行為的規(guī)制，更重要的是促進(jìn)網(wǎng)絡(luò)社會和相關(guān)產(chǎn)業(yè)的健康發(fā)展，保障國家安全和公共安全，規(guī)范網(wǎng)絡(luò)社會活動秩序等。9.2信息安全管理制度9.2.1信息安全管理與立法2.保護(hù)的對象（1）對信息資源客體的保護(hù)1）對信息載體的保護(hù)。2）對信息運(yùn)行的保護(hù)。3）對信息內(nèi)容的保護(hù)。4）對信息價值的保護(hù)。（2）對于信息資源產(chǎn)生和使用主體的保護(hù)1）對國家安全利益的保護(hù)。2）對社會公共秩序以及公民涉及網(wǎng)絡(luò)的各項合法權(quán)益的保護(hù)。9.2信息安全管理制度9.2.1信息安全管理與立法3.保護(hù)的范圍網(wǎng)絡(luò)空間安全法律應(yīng)貫穿于網(wǎng)絡(luò)安全保護(hù)的各個環(huán)節(jié)、各個階段，通過法律的規(guī)制、指引作用，使網(wǎng)絡(luò)空間安全保護(hù)的各種要素高效組合，促使網(wǎng)絡(luò)空間安全技術(shù)和管理的不斷快速發(fā)展，有效控制網(wǎng)絡(luò)空間安全風(fēng)險因素。即網(wǎng)絡(luò)空間安全的法律保護(hù)涉及信息系統(tǒng)的整個生命周期，包括系統(tǒng)規(guī)劃、系統(tǒng)分析、系統(tǒng)設(shè)計、系統(tǒng)實(shí)施、運(yùn)維及消亡等階段。9.2信息安全管理制度9.2.1信息安全管理與立法4.信息系統(tǒng)安全現(xiàn)有法律法規(guī)體系（1）信息系統(tǒng)安全政策相關(guān)的法律法規(guī)（2）信息系統(tǒng)安全刑事處罰相關(guān)的法律法規(guī)（3）信息系統(tǒng)安全民事侵權(quán)相關(guān)的法律法規(guī)（4）信息系統(tǒng)安全行政處罰相關(guān)的法律法規(guī)（5）信息系統(tǒng)安全訴訟程序相關(guān)的法律法規(guī)9.2信息安全管理制度9.2.2信息安全管理與標(biāo)準(zhǔn)1.信息系統(tǒng)安全評測國際標(biāo)準(zhǔn)（1）TCSEC（TrustedComputerSystemEvaluationCriteria，《可信計算機(jī)系統(tǒng)評估標(biāo)準(zhǔn)》）（2）ITSEC（InformationTechnologySecurityEvaluationCriteria，《信息技術(shù)安全性評估標(biāo)準(zhǔn)》）（3）CC（CommonCriteriaofInformationTechnicalSecurityEvaluation，CCITSE，簡稱CC，《信息技術(shù)安全評估通用標(biāo)準(zhǔn)》）（4）ISO/IEC15408：2008（2009）（InformationTechnologySecurityTechniques—EvaluationCriteriaforITSecurity）（《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則》）（5）ISO/IEC18045：2008（InformationTechnology—SecurityTechnology—MethodologyforITSecurityEvaluation）（《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估方法》）9.2信息安全管理制度9.2.2信息安全管理與標(biāo)準(zhǔn)2.信息安全管理國際標(biāo)準(zhǔn)信息安全管理體系（InformationSecurityManagementSystem，ISMS）是1998年前后從英國發(fā)展起來的信息安全領(lǐng)域中的一個新概念，是管理體系（ManagementSystem，MS）思想和方法在信息安全領(lǐng)域的應(yīng)用。9.2信息安全管理制度9.2.2信息安全管理與標(biāo)準(zhǔn)3.信息系統(tǒng)安全工程國際標(biāo)準(zhǔn)ISO/IEC21827：2008SystemSecurityEngineeringCapabilityMaturityModel（SSE-CMM，《信息安全工程能力成熟度模型》）是關(guān)于信息安全建設(shè)工程實(shí)施方面的標(biāo)準(zhǔn)。SSE-CMM的目的是建立和完善一套成熟的、可度量的安全工程過程。該模型定義了一個安全工程過程應(yīng)有的特征，這些特征是完善的安全工程的根本保證。SSE-CMM模型通常以過程改善、能力評估和保證3種方式來應(yīng)用。我們國家也已將SSE-CMM作為安全產(chǎn)品和信息系統(tǒng)安全性檢測、評估和認(rèn)證的標(biāo)準(zhǔn)之一，2006年頒布實(shí)施了GB/T20261—2006《信息技術(shù)系統(tǒng)安全工程能力成熟度模型》。9.2信息安全管理制度9.2.2信息安全管理與標(biāo)準(zhǔn)4.我國主要標(biāo)準(zhǔn)1）信息安全體系、框架類標(biāo)準(zhǔn)。主要包括《信息技術(shù)開放系統(tǒng)互連開放系統(tǒng)安全框架》（GB/T18794.1~7），共7個部分，分別為：概述、鑒別框架、訪問控制、抗抵賴框架、機(jī)密性框架、完整性框架、安全審計和報警框架。2）信息安全機(jī)制標(biāo)準(zhǔn)。包含各種安全性保護(hù)的實(shí)現(xiàn)方式，如加密、實(shí)體鑒別、抗抵賴、數(shù)字簽名等等。這部分有很多標(biāo)準(zhǔn)，要求也比較細(xì)。例如，《信息技術(shù)安全技術(shù)IT網(wǎng)絡(luò)安全》（GB/T25068.1~5），共5個部分，分別為：網(wǎng)絡(luò)安全管理、網(wǎng)絡(luò)安全體系結(jié)構(gòu)、使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護(hù)、遠(yuǎn)程接入的安全保護(hù)、使用虛擬專用網(wǎng)的跨網(wǎng)通信安全保護(hù)。其中第1、2部分已于2012年更新。9.2信息安全管理制度9.2.2信息安全管理與標(biāo)準(zhǔn)4.我國主要標(biāo)準(zhǔn)3）信息安全管理標(biāo)準(zhǔn)。包括信息安全管理測評、管理工程等標(biāo)準(zhǔn)。例如，《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》（GB/T20984—2007）、《信息安全技術(shù)信息安全風(fēng)險評估實(shí)施指南》（GB/T31509—2015）、《信息技術(shù)系統(tǒng)安全工程能力成熟度模型》（GB/T20261—2006）等。4）信息系統(tǒng)安全等級保護(hù)標(biāo)準(zhǔn)。5）信息安全產(chǎn)品標(biāo)準(zhǔn)。其中也包含產(chǎn)品的測評標(biāo)準(zhǔn)等。例如，《信息技術(shù)安全技術(shù)安全性評估準(zhǔn)則》（GB/T18336.1~3—2015），共3部分，分別為簡介和一般模型、安全功能要求、安全性能要求。9.3信息安全等級保護(hù)9.3.1等級保護(hù)的概念1.等級保護(hù)的重要性（1）對信息安全分級保護(hù)是客觀需求（2）等級化保護(hù)是信息安全發(fā)展規(guī)律（3）等級保護(hù)是國家法律和政策要求9.3信息安全等級保護(hù)9.3.1等級保護(hù)的概念2.等級保護(hù)2.0的內(nèi)容和要求（1）網(wǎng)絡(luò)安全等級保護(hù)對象和內(nèi)容（2）5個安全保護(hù)等級劃分（3）5個安全保護(hù)能力等級劃分（4）網(wǎng)絡(luò)安全保護(hù)要求（5）等級保護(hù)2.0的特點(diǎn)9.3信息安全等級保護(hù)9.3.2等級保護(hù)的實(shí)施1.等級保護(hù)政策標(biāo)準(zhǔn)體系9.3信息安全等級保護(hù)9.3.2等級保護(hù)的實(shí)施2.網(wǎng)絡(luò)安全等級保護(hù)實(shí)施基本流程根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)實(shí)施指南》（GB/T25058—2019）的規(guī)定，對等級保護(hù)對象實(shí)施等級保護(hù)的基本流程包括：等級保護(hù)對象定級與備案階段總體安全規(guī)劃階段安全設(shè)計與實(shí)施階段安全運(yùn)行與維護(hù)階段定級對象終止階段9.3信息安全等級保護(hù)9.3.2等級保護(hù)的實(shí)施3.確定安全保護(hù)等級的建議第一級信息系統(tǒng)：鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級單位中一般的信息系統(tǒng)、小型私營、個體企業(yè)、中小學(xué)的信息系統(tǒng)。第二級信息系統(tǒng)：縣級單位中的重要信息系統(tǒng)，地市級以上國家機(jī)關(guān)、企事業(yè)單位內(nèi)部一般的信息系統(tǒng)。非涉及工作秘密、商業(yè)秘密、敏感信息的辦公和管理系統(tǒng)。9.3信息安全等級保護(hù)9.3.2等級保護(hù)的實(shí)施3.確定安全保護(hù)等級的建議第三級信息系統(tǒng)：地市級以上國家機(jī)關(guān)、重要企事業(yè)單位內(nèi)部信息系統(tǒng)。涉及工作和商業(yè)秘密、敏感信息的辦公管理系統(tǒng)，跨省、市聯(lián)網(wǎng)運(yùn)行的生產(chǎn)、調(diào)度、管理等重要系統(tǒng)，重要系統(tǒng)在省、市的分支，中央各部委、?。▍^(qū)、市）門戶網(wǎng)站。第四級信息系統(tǒng)：國家重要領(lǐng)域、重要部門中的特別重要系統(tǒng)以及核心系統(tǒng)。例如全國鐵路、民航、電力等部門的調(diào)度系統(tǒng)，銀行、證券、保險、稅務(wù)、海關(guān)等幾十個重要行業(yè)、部門中的涉及國計民生的核心系統(tǒng)。第五級信息系統(tǒng)：國家重要領(lǐng)域、重要部門中的極端重要系統(tǒng)。9.4信息安全風(fēng)險評估9.4.1風(fēng)險評估的概念1.風(fēng)險和風(fēng)險評估的定義（1）風(fēng)險的定義本書將風(fēng)險（Risk）定義為：在特定客觀環(huán)境下，特定時期內(nèi)，某一事件的期望結(jié)果與實(shí)際結(jié)果之間變動程度的概率分布。9.4信息安全風(fēng)險評估9.4.1風(fēng)險評估的概念1.風(fēng)險和風(fēng)險評估的定義（2）信息安全風(fēng)險評估的定義信息安全風(fēng)險評估（RiskAssessment）是指，在風(fēng)險事件發(fā)生之前或之后，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生，給組織和個人各個方面造成的影響和損失程度，提出有針對性的抵御威脅的防護(hù)對策和整改措施，并為防范和化解信息安全風(fēng)險，將風(fēng)險控制在可接受的水平，最大程度地為保障計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全提供科學(xué)依據(jù)。9.4信息安全風(fēng)險評估9.4.1風(fēng)險評估的概念1.風(fēng)險和風(fēng)險評估的定義（3）安全風(fēng)險評估與安全測評的關(guān)系通常，人們也將風(fēng)險事件發(fā)生后再進(jìn)行的評估稱為安全測評。風(fēng)險評估可以看做是安全建設(shè)的起點(diǎn)，系統(tǒng)測評是安全建設(shè)的終點(diǎn)，或者可以理解為，系統(tǒng)安全測評是對實(shí)施風(fēng)險管理措施后的風(fēng)險再評估。9.4信息安全風(fēng)險評估9.4.1風(fēng)險評估的概念2.風(fēng)險評估的途徑（1）基線評估（BaselineRiskAssessment）組織根據(jù)自己的實(shí)際情況（所在行業(yè)、業(yè)務(wù)環(huán)境與性質(zhì)等），對信息系統(tǒng)進(jìn)行安全基線檢查，即拿現(xiàn)有的安全措施與安全基線規(guī)定的措施進(jìn)行比較，找出其中的差距，得出基本的安全需求，通過選擇并實(shí)施標(biāo)準(zhǔn)的安全措施來消減和控制風(fēng)險。9.4信息安全風(fēng)險評估9.4.1風(fēng)險評估的概念2.風(fēng)險評估的途徑（2）詳細(xì)評估詳細(xì)評估要求對資產(chǎn)進(jìn)行詳細(xì)識別和評估，對可能引起風(fēng)險的威脅和脆弱點(diǎn)進(jìn)行評估，根據(jù)風(fēng)險評估的結(jié)果來識別和選擇安全措施。（3）組合評估在實(shí)踐中多采用將基線評估和詳細(xì)評估二者結(jié)合的組合評估方式，這樣對于兩種評估方式揚(yáng)長避短。9.4信息安全風(fēng)險評估9.4.1風(fēng)險評估的概念3.風(fēng)險評估的基本方法（1）基于知識的評估方法（2）基于模型的評估方法（3）定性評估方法（4）定量評估方法（5）定性與定量相結(jié)合的綜合評估方法9.4信息安全風(fēng)險評估9.4.1風(fēng)險評估的概念4.風(fēng)險評估的工具（1）管理型風(fēng)險評估工具1）基于信息安全標(biāo)準(zhǔn)的風(fēng)險評估與管理工具。2）基于知識的風(fēng)險評估與管理工具。3）基于模型的風(fēng)險評估與管理工具。（2）技術(shù)型風(fēng)險評估工具1）脆弱性掃描工具2）滲透性測試工具9.4信息安全風(fēng)險評估9.4.1風(fēng)險評估的概念4.風(fēng)險評估的工具（3）風(fēng)險評估輔助工具1）檢查列表。2）入侵檢測系統(tǒng)。3）安全審計工具。4）拓?fù)浒l(fā)現(xiàn)工具。5）資產(chǎn)信息收集系統(tǒng)。6）其他。9.4信息安全風(fēng)險評估9.4.2風(fēng)險評估的實(shí)施1.風(fēng)險評估準(zhǔn)備階段風(fēng)險評估準(zhǔn)備是整個風(fēng)險評估過程有效性的保證。在正式進(jìn)行風(fēng)險評估之前，組織應(yīng)該制定一個有效的風(fēng)險評估計劃，確定安全風(fēng)險評估的目標(biāo)、范圍；組建評估團(tuán)隊，并進(jìn)行充分的系統(tǒng)調(diào)研，以確定風(fēng)險評估的依據(jù)和方法；根據(jù)評估對象和評估內(nèi)容合理選擇相應(yīng)的評估工具；制定評估方案。9.4信息安全風(fēng)險評估9.4.2風(fēng)險評估的實(shí)施2.風(fēng)險要素識別階段識別階段是風(fēng)險評估工作的重要工作階段，對組織和信息系統(tǒng)中資產(chǎn)、威脅、脆弱性等要素的識別，是進(jìn)行信息系統(tǒng)安全風(fēng)險分析