信息安全体系概述.ppt
《信息安全体系概述.ppt》由会员分享,可在线阅读,更多相关《信息安全体系概述.ppt(64页珍藏版)》请在三一文库上搜索。
1、信息安全体系概述,冯真凯,Page 2,目录,信息安全体系概述 信息安全组织体系 信息安全管理体系 信息安全技术体系 信息安全执行体系,一、信息安全体系概述,信息系统固有的脆弱性 信息本身易传播、易毁损、易伪造 信息技术平台(如硬件、网络、系统)的复杂性与脆弱性 行动的远程化使安全管理面临挑战 信息具有的重要价值 信息社会对信息高度依赖,信息的风险加大 信息的高附加值会引发盗窃、滥用等威胁,信息安全面临的风险,企业对信息的依赖程度: 美国明尼苏达大学Bush-Kugel的研究报告指出,企业在没有信息资料可用的情况下,金融业至多只能运行2天,商业则为3.3天,工业则为5天,保险业为5.6天。而以
2、经济情况来看,有25%的企业,因为的毁损可能立即破产,40%会在两年内宣布破产,只有7%不到的企业在5年后能够继续存活。,硬件架构: 系统与设备数量越来越多 系统互连关系越来越繁杂,软件架构: 统架构越来越复杂 网络连接与划分混乱 互联网接口抗攻击性较弱,工程管理: 规划期缺乏安全评审 建设与工程割接缺乏安全管理 遗留策略与帐号形成安全漏洞,程序开发: 开发阶段缺乏安全监管 源代码缺乏安全检查,可能留下后门,1.系统数量众多,硬件架构多样,系统间交互与接口繁多,相互关系复杂; 2.系统软件架构复杂,网络连接与划分较混乱,互联网接口抗攻击性较弱; 3.系统规划期缺乏安全评审,工程割接缺少安全管理
3、,工程遗留策略与帐号易形成安全漏洞; 4.程序开发阶段缺乏监管,程序源代码缺乏安全检查,可能留下后门或被攻击。,常见的信息安全问题,常见的信息安全问题,信息安全损失的“冰山”理论 信息安全直接损失只是冰由之一角, 间接损失是直接损失是653倍 间接损失包括: 时间被延误 修复的成本 可能造成的法律诉讼的成本 组织声誉受到的影响 商业机会的损失 对生产率的破坏,9,保障信息安全的途径?,亡羊补牢? 还是打打补丁?,系统地全面整改?,忽略了信息化的治理机制与控制体系的建立,和信息化“游戏规则”的建立; 厂商主导的技术型解决方案为主,用户跟着厂商的步子走; 安全只重视边界安全,没有在应用层面和内容层
4、面考虑业务安全问题; 重视安全技术,轻视安全管理,信息安全可靠性没有保证; 信息安全建设缺乏绩效评估机制,信息安全成了“投资黑洞”; 信息安全人员变成“救火队员” ,我国当前信息安全普遍存在的问题,信息安全反病毒软件防火墙入侵检测系统? 管理制度?人的因素?环境因素? Ernst & Young及国内安全机构的分析: 国家政府和军队信息受到的攻击70%来自外部,银行和企业信息受到的攻击70%来自于内部。 75%的被调查者认为员工对信息安全策略和程序的不够了解是实现信息安全的障碍之一 ,只有35%的组织有持续的安全意识教育与培训计划 66%的组织认为信息系统没有遵守必要的信息安全规则 56%的组
5、织认为在信息安全的投入上不足,60%从不计算信息安全的ROI,83%的组织认为在技术安全产品与技术上投入最多。,在整个系统安全工作中,管理(包括管理和法律法规方面)所占比重应该达到70%,而技术(包括技术和实体)应占30%。,保护信息安全的方法,如何实现信息安全?,建立完善的信息安全体系 对信息安全建立系统工程的观念 用管理、技术、人员、流程来保证组织的信息安全 信息安全遵循木桶原理 对信息系统的各个环节进行统一的综合考虑、规划和构架 并要时时兼顾组织内不断发生的变化,任何环节上的安全缺陷都会对系统构成威胁。,需要对信息安全进行有效管理,建立统一安全规划体系,改变以往零敲碎打、因人而起、因事而
6、起的安全管理,形成统一的安全体系,指导安全管理和建设工作。,零敲碎打 引人而起 因事而起,建立统一的安全规划体系,总体思路:以防为主,防治结合,防治结合:自下而上的风险反馈,以防为主:自上而下的策略管理,坚持“以防为主,防治结合”的安全工作措施,形成成熟的、立体的信息安全运行管控体系。以防为主,即以完善的安全策略为指导,使安全策略能自上而下得到落实;防治结合,即以风险管理为核心,使风险能自下而上得到反馈和整治。,安全管理的几个阶段,当前,目标,安全管理的几个阶段,信息安全体系的内容,业务与策略 根据业务需要在组织中建立信息安全策略,以指导对信息资产进行管理、保护和分配。确定并实施信息安全策略是
7、组织的一项重要使命,也是组织进行有效安全管理的基础和依据。 “保护业务,为业务创造价值”应当是一切安全工作的出发点与归宿,最有效的方式不是从现有的工作方式开始应用信息安全技术,而是在针对工作任务与工作流程重新设计信息系统时,发挥信息安全技术手段支持新的工作方式的能力。 人员与管理 人是信息安全最活跃的因素,人的行为是信息安全保障最主要的方面。 从国家的角度考虑有法律、法规、政策问题;从组织角度考虑有安全方针政策程序、安全管理、安全教育与培训、组织文化、应急计划和业务持续性管理等问题;从个人角度来看有职业要求、个人隐私、行为学、心理学等问题。,信息安全体系的关注点,技术与产品 可以综合采用商用密
8、码、防火墙、防病毒、身份识别、网络隔离、可信服务、安全服务、备份恢复、PKI服务、取证、网络入侵陷阱、主动反击等多种技术与产品来保护信息系统安全 考虑安全的成本与效益,采用“适度防范”(Rightsizing)的原则 流程与体系 建立良好的IT治理机制是实施信息安全的基础与重要保证。 在风险分析的基本上引入恰当控制,建立PDCA的安全管理体系,从而保证组织赖以生存的信息资产的安全性、完整性和可用性 安全体系统还应当随着组织环境的变化、业务发展和信息技术提高而不断改进,不能一劳永逸,一成不变,需要建立完整的控制体系来保证安全的持续完善。,信息安全体系的建立流程,审视业务,确定IT原则和信息安全方
9、针 在进行信息安全规划与实施安全控制措施前,首先要充分了解组织的业务目标和IT目标,建立IT原则,这是实施建立有效的信息安全保障体系的前提。 组织的业务目标和IT原则将直接影响到安全需求,只有从业务发展的需要出发,确定适宜的IT原则,才能指导信息安全方针的制定。 信息安全方针就是组织的信息安全委员会或管理当局制定的一个高层文件,用于指导组织如何对资产,包括敏感性信息进行管理、保护和分配的规则和指示 。 在安全方针的指导下,通过了解组织业务所处的环境,对IT基础设施及应用系统可能存在的薄弱点进行风险评估,制定出适宜的安全控制措施、安全策略程序及安全投资计划。,确定IT原则与安全方针,确定IT原则
10、与安全方针,进行风险评估,风险评估的常用方法 目前国内ISMS风险评估的方法主要参照ISO13335的有关定义及国信办9号文件信息安全风险评估指南,这些标准把重点放在信息资产上 。 缺点:风险评估人员一般最容易找到的资产无非就是硬件类、软件类的资产,而对安全来说至关重要的IT治理、组织政策、人员管理、职责分配、业务流程、教育培训等问题,由于不能方便地定义为信息资产,而往往被视而不见。 因此,风险评估经常出现“捡了芝麻、丢了西瓜”,“只见树木,不见森林”的情况。,进行风险评估,完备的风险评估方法 信息安全涉及的内容决不仅仅是信息安全、技术安全的问题,它还会涉及到治理机制、业务流程、人员管理、企业
11、文化等内容。 通过“现状调查”获得对组织信息安全现状和控制措施的基本了解;通过“基线风险评估”了解组织与具体的信息安全标准的差距,得到粗粒度的安全评价。通过“资产风险评估”和“流程风险评估”进行详细风险评估,根据三方面的评估得到最终的风险评估报告。,现状调查的主要内容 文档收集与分析 组织的基本信息、组织结构图 组织人员名单、机构设置、岗位职责说明书 业务特征或服务介绍 与信息安全管理相关的政策、制度和规范 现场访谈 安排与相关人员的面谈 对员工工作现场的观察 加强项目组对企业文化的感知,技术评估 工具扫描、渗透测试 人工分析 系统安全配置完全检测、网络服务安全配置完全检测 包括用户安全、操作
12、系统安全、 网络服务安全、系统程序安全,问卷调研 安全日常运维现状调研问卷:针对组织中实际的应用、系统、网络状况,从日常的管理、维护、系统审计、权限管理等方面全面了解组织在信息系统安全管理和维护上的现实状况。 从安全日常运维角度出发,更贴近实际运维环境。,基线风险评估 所谓基线风险评估,就是确定一个信息安全的基本底线,信息安全不仅仅是资产的安全,应当从组织、人员、物理、逻辑、开发、业务持续等各个方面来确定一个基本的要求,在此基础之上,再选择信息资产进行详细风险分析,这样才能在兼顾信息安全风险的方方面面的同时,对重点信息安全风险进行管理与控制。 ISO27001确立了组织机构内启动、实施、维护和
13、改进信息安全管理的指导方针和通用原则,以规范组织机构信息安全管理建设的内容,因此,风险评估时,可以把ISO27001作为安全基线,与组织当前的信息安全现状进行比对,发现组织存在的差距,这样一方面操作较方便,更重要的是不会有遗漏,信息资产风险评估 针对重要的信息资产进行安全影响、威胁、漏洞及可能性分析,从而估计对业务产生的影响,最终可以选择适当的方法对风险进行有效管理。,资产定义及估值,确定现有控制,威胁评估,确定风险水平,风险评估过程,脆弱性评估,安全控制措施的识别与选择,降低风险,风险管理过程,接受风险,IT流程风险评估 信息安全不仅仅要看IT资产本身是否安全可靠,而且还应当在其所运行的环境
14、和经历的流程中保证安全。 没有可靠的IT流程的保证,静态的安全是不可靠的,而且IT的风险也不仅仅是信息安全的问题,IT的效率与效果也同样是需要考虑的问题,因此评估IT流程的绩效特性并加以完善是风险控制中必不可少的内容。,确定风险控制策略,信息安全控制规划,选择安全控制措施,防止商业活动中断和灾难事故的影响。,业务持续性管理,信息安全事件管理,保证系统开发与维护的安全,系统开发与维护,控制对业务信息的访问。,访问控制,保证通讯和操作设备的正确和安全维护。,通信与运营管理,防止对关于IT服务的未经许可的介入,损伤和干扰服务。,物理与环境安全,减少人为造成的风险。,人员安全,维护组织资产的适当保护系
15、统。,资产管理,建立组织内的管理体系以便安全管理。,安全组织,为信息安全提供管理方向和支持。,安全方针,目的,ISO27001十一个域,避免任何违反法令、法规、合同约定及其他安全要求的行为。,符合性,确保与信息系统有关的安全事件和弱点的沟通能够及时采取纠正措施,进行安全控制规划 安全规划针对组织面临的主要安全风险,在安全管理控制框架和安全技术控制框架方面进行较为详尽的规划。 安全规划对组织未来几年的网络架构、威胁防护、策略、组织、运行等方面的安全,进行设计、改进和加强,是进行安全建设的总体指导。,安全规划方法,安全预算计划 所以安全预算计划是一项具有挑战性的工作,要采用“适度防范”的原则,把有
16、限的资金用在刀刃上。 一般来说,没有特别的需要,为信息安全的投入不应超过信息化建设总投资额的20%,过高的安全成本将使安全失去意义。 投资回报计划 信息安全投资回报计划就是要研究信息安全的成本效益,其成本效益组成如下: 从系统生命周期看信息安全的成本:获取成本和运行成本 从安全防护手段看信息安全的成本:技术成本和管理成本 信息安全的价值效益:减少信息安全事故的经济损失 信息安全的非价值效益:增加声誉、提升品牌价值,二、信息安全组织体系,建立信息安全组织,明确角色与责任 安全角色与责任的不明确是实施信息安全过程中的最大障碍,建立安全组织与落实责任是实施信息安全管理的第一步。 信息安全领导小组 信
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 体系 概述
![提示](https://www.31doc.com/images/bang_tan.gif)
链接地址:https://www.31doc.com/p-2784454.html