CISP培训笔记研讨.docxVIP

PAGE \* MERGEFORMAT25 PPT 信息安全保障 10’ 信息安全保障 中办27号文《国家信息化领导小组关于加强信息安全保障工作的意见》室信息安全保障工作的纲领性文件 信息的安全属性CIA：保密性、完整性、可用性 信息安全的范畴：信息技术问题、组织管理问题，社会问题，国家安全问题 信息安全特征：系统性、动态性，无边界性、非传统性（最终保障业务的安全） 信息安全问题根源： （信息战士和网络战士是最严重的） 内因，过程复杂、结构复杂、应用复杂 外因，人（个人威胁、组织威胁、国家威胁）和自然 信息安全发展阶段 通信安全COMSEC，信息窃取，加密，保证保密性、完整性 计算机安全COMPUSEC，操作系统技术 信息系统安全INFOSEC，防火墙、VPN 、PKI公钥基础设施、 信息安全保障IA，技术、管理、人员培训等 网络空间安全/信息安全保障CS/IA，防御、攻击、利用，强调威慑 传统信息安全的重点是保护和防御；信息安全保障是保护、检测和响应，攻击后的修复 信息安全保障模型 PDR 防护--检测--响应，安防措施是基于时间的，给出攻防时间表，假设了隐患和措施，不适应变化，时间 PPDR 策略--防护--检测--响应，突出控制和对抗，强调系统安全的动态性 信息安全保障技术框架IATF，深度防御的思想，层次化保护，人、技术、操作，关注4个领域： 本地的计算机环境 区域边界 网络和基础设施 支撑性技术设施 信息系统：每一个资质中信息流动的总和，含输入输出、存储、控制、处理等。 信息系统安全保障，从技术、管理、工程、人员方面提出保障要求 信息系统安全保障模型 GB/T 20274 保障要素4：技术、管理、工程、人员 生命周期5：规划组织、开发采购、实施交付、运行维护、废弃 安全特征3：保密性、完整性、可用性 信息系统安全保障工作阶段 确保信息安全需求、设计并实施信息安全方案、信息安全测评、检测与维护信息安全 我国信息安全保障体系 建立信息安全技术体系，实现国家信息化发展的自主可控 信息安全保障实践 现状 美国CNNI《国家网络安全综合倡议》，3道防线 1、减少漏洞和隐患，预防入侵 2、全面应对各类威胁，增强反应能力，加强供应链安全低于各种威胁 3、强化未来安全环境，增强研究、开发和教育，投资先进技术 我国的信息安全保障战略规划，信息安全分：基础信息网络安全、重要信息系统安全和信息内容安全 信息安全保障工作方法，信息系统保护轮廓ISPP（所有者角度考虑安保需求），信息系统安全目标ISST，从建设方制定保障方案 确定信息系统安全保障的具体需求：法规符合性、风险评估、业务需求（只放前2个也对） 信息安全测评对象：信息产品安全测评、信息系统安全测评、服务商资质、信息安全人员资质测评 信息系统安全测评标准 过程测评标准： GB/T 20274 产品安全测评标准：CC GB/T 18336 信息安全管理体系ISMS ISMS信息安全管理体系，按照ISO 27001定义，基于业务风险的方法 信息安全管理体系建设 规划与建立、实施和运行、监视和评审、保持和改进 ISMS的层次化文档结构 一级文件，顶层文件，方针、手册 二级文件，信息安全管控程序、管理规定性文件，管理制度、程序、策略文件 三级文件，操作指南、作业指导书、操作规范、实施标准等 四级文件，各种记录表单，计划、表格、报告、日志文件等 ISMS方法：风险管理方法、过程方法 风险管理方法 风险评估是信息安全管理的基础，风险处理时信息安全管理的核心，风险管理是信息安全管理的根本方法，控制措施是风险管控的具体手段 控制措施的类别 从手段来看，分为技术性、管理性、物理性、法律性等控制措施 从功能来看，分为预防性、检测性、纠正性、威慑性等控制措施 从影响范围来看，常被分为安全方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理和符合性11个类别/域 PDCA循环，戴明环 特点：按顺序进行，组织每部分及个体也可使用，适用任何活动 ISO/IEC 27000标准族 共7个 27001 信息安全管理体系要求，14个领域 ，新版的变动 27002 信息安全控制措施实用规则，11个控制类，内容安全和风险评估不属于 27004 信息安全管理测量 ，度量指标 常见的管理体系标准 ISO 27001定义的信息安全管理系统ISMS , 国际标准 信息安全等级保护 ， 公安部提出 NIST SP800 ，适用美国联邦政府和组织 管理者是实施ISMS的最关键因素 ISMS建设 P阶段 8