IT法规与信息化安全讲座.pptVIP

IT法规与信息安全 IT法规与信息化安全 重庆市信息安全技术中心 胡海波 技术保障部部长、CISP、CASTE 考试内容 第一部分 1.信息安全及其威胁 2.信息安全的实施及风险评估 3.信息安全技术 4.信息安全的信任基础设施 第二部分 5.与IT相关的法律 6.与IT相关的标准 1.信息安全及其威胁 WWW 什么是信息安全？ 谁来保障信息安全？ 信息安全面临的威胁有哪些？ 信息时代? 1.1 信息安全的含义 1 信息安全的概念 信息安全概括地讲，根据保护目标的要求和环境的状况，信息网络和信息系统的硬件、软件及其数据需要受到可靠的保护，通信、交易、作业、访问得到有效保障和合理的控制，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不被中断。 广义的信息安全”域“： 信息安全（内容） 网络安全（通信） 物理安全（载体） 人员安全（管理） 通用模型（最小化原则） 基本原理（木桶原理） 与信息安全相关的法律、法规 法律：《宪法》、《人民警察法》、《刑法》、《治安管理处罚条例》、《刑事诉讼法》、《国家安全法》、《保守国家秘密法》、《行政处罚法》、《行政诉讼法》、《行政复议法》、《国家赔偿法》、《立法法》、《全国人大常委会关于维护互联网安全的决定》等。 行政法规：国务院令147号《中华人民共和国计算机信息系统安全保护条例》、国务院令195号《中华人民共和国计算机信息网络国际联网管理暂行规定》、公安部令33号 《计算机信息网络国际联网安全保护管理办法》、国务院令273号《商用密码管理条例》、国务院令291号《中华人民共和国电信条例》、国务院令292号《互联网信息服务管理办法》、国务院令339号《计算机软件保护条例》等。 谁来保障信息安全？ （1）国家机关：公、保、机、盯、军...... 公安局：立法、执法、监察 保密局：监察 机要局：监察 国安局：国家信息安全 解放军：信息对抗 密码委：密码、算法的管理 （2）机构和组织内部 主管领导、信息主管：政策落实、组织落实、措施到位（帅） 信息安全主管：技术保障、人员培训、应急响应 （将） 安全技术人员：维护、更新、支持、协作 （士） 单位普通用户：安全意识 （兵） （3）个人 法律意识、安全意识 考试内容 第一部分 1.信息安全及其威胁 2.信息安全的实施及风险评估 3.信息安全技术 4.信息安全的信任基础设施 第二部分 5.与IT相关的法律 6.与IT相关的标准 2.1 信息化安全的实施 1 信息化安全实施的含义 信息化安全的实施，需要建立信息化安全管理体系，对信息化安全进行风险评估，决策选择一种合适的安全策略和安全解决方案，构建安全防范队伍和规章制度，搭建安全体系的基本框架，保持监察、响应、维护和脆弱性测试处于正常状态，形成完整的人、制度、技术相结合的信息化安全防范体系，它是一个长期的、持续改进的过程。 基本要素 管理体系：信息安全是一项工程，其实施需要建立健全管理体系；（战略） 风险评估：量体裁衣，有的放矢。确定需要保的信息资产及策略；（战局） 安全策略：分析各种可能性，制定应对策略； （战术） 解决方案：从技术的角度出发，提出完整的解决方案和措施； （布阵） 队伍建设：构建安全防范队伍，作为人员保障； （练兵） 制度建设：制定完善的管理制度和控制、约束机制，保障安全； （军法） 应急响应：在出现问题时保证能及时响应并解决问题。 （战备） 2.1 信息化安全的实施 2 信息安全实施的长期性 信息安全的特殊性决定了其实施过程是一个”持久战“、”全民战”。 信息安全工程实施的目标是不出安全问题，但安全问题总是可能发生。 观点1：挂在楼道里的灭火器有用吗？没有火灾就一点儿用都没有；火灾发生的概率总归很小，所以灭火器确实“没什么用” 观点2：即便火灾并不一定常发生，但是一旦发生就是灾难…所以灭火器不是摆设，即便它一辈子没有被用过，仍然是必不可少的。 点评：不要忽视安全感，尽管只是一种心理的安慰。 安全无绝对：道高一尺，魔高一丈。 技术在不断更新、形势在不断变化 安装了防火墙、IDS就安全了吗？如果不及时更新策略，可能它们形同虚设。 2.1 信息化安全的实施 3 信息化安全实施的原则 究竟是三分技术七分管理，还是七分技术三分管理？ 重要的不在论定“几分”，更要把握规范 相关的规范： 信息安全管理：BS7799/ISO17799，帮助企业构建信息安全管理框架的标准 通用评估准则：CC/ISO15408/GB18336 安全等级保护：桔皮书/GB17859 安全工程：SSE－CMM（系统安全工程能力成熟度模型） 风险分析评估：信息安全风险评估指南、信息安全风险管理指南（草案） 风险评估方法：OCTAVE方