信息安全体系概述.ppt

信息安全体系概述;Page *;一、信息安全体系概述;信息系统固有的脆弱性 信息本身易传播、易毁损、易伪造 信息技术平台（如硬件、网络、系统）的复杂性与脆弱性 行动的远程化使安全管理面临挑战 信息具有的重要价值 信息社会对信息高度依赖，信息的风险加大 信息的高附加值会引发盗窃、滥用等威胁 ;硬件架构： 系统与设备数量越来越多 系统互连关系越来越繁杂;常见的信息安全问题;常见的信息安全问题;信息安全损失的“冰山”理论 信息安全直接损失只是冰由之一角， 　　间接损失是直接损失是6－53倍 间接损失包括： 时间被延误 修复的成本 可能造成的法律诉讼的成本 组织声誉受到的影响 商业机会的损失 对生产率的破坏 ;*;忽略了信息化的治理机制与控制体系的建立，和信息化“游戏规则”的建立； 厂商主导的技术型解决方案为主，用户跟着厂商的步子走； 安全只重视边界安全，没有在应用层面和内容层面考虑业务安全问题； 重视安全技术，轻视安全管理，信息安全可靠性没有保证； 信息安全建设缺乏绩效评估机制，信息安全成了“投资黑洞”； 信息安全人员变成“救火队员” … ;信息安全＝反病毒软件＋防火墙＋入侵检测系统？ 管理制度？人的因素？环境因素？ Ernst Young及国内安全机构的分析： 国家政府和军队信息受到的攻击70%来自外部，银行和企业信息受到的攻击70%来自于内部。 75%的被调查者认为员工对信息安全策略和程序的不够了解是实现信息安全的障碍之一 ,只有35%的组织有持续的安全意识教育与培训计划 66%的组织认为信息系统没有遵守必要的信息安全规则 56%的组织认为在信息安全的投入上不足，60%从不计算信息安全的ROI，83%的组织认为在技术安全产品与技术上投入最多。;建立完善的信息安全体系 对信息安全建立系统工程的观念 用管理、技术、人员、流程来保证组织的信息安全 信息安全遵循木桶原理 对信息系统的各个环节进行统一的综合考虑、规划和构架 并要时时兼顾组织内不断发生的变化，任何环节上的安全缺陷都会对系统构成威胁。;建立统一安全规划体系;总体思路：以防为主，防治结合;安全???理的几个阶段;信息安全体系的内容;业务与策略 根据业务需要在组织中建立信息安全策略，以指导对信息资产进行管理、保护和分配。确定并实施信息安全策略是组织的一项重要使命，也是组织进行有效安全管理的基础和依据。 “保护业务，为业务创造价值”应当是一切安全工作的出发点与归宿，最有效的方式不是从现有的工作方式开始应用信息安全技术，而是在针对工作任务与工作流程重新设计信息系统时，发挥信息安全技术手段支持新的工作方式的能力。 人员与管理 人是信息安全最活跃的因素，人的行为是信息安全保障最主要的方面。 从国家的角度考虑有法律、法规、政策问题；从组织角度考虑有安全方针政策程序、安全管理、安全教育与培训、组织文化、应急计划和业务持续性管理等问题；从个人角度来看有职业要求、个人隐私、行为学、心理学等问题。;技术与产品 可以综合采用商用密码、防火墙、防病毒、身份识别、网络隔离、可信服务、安全服务、备份恢复、PKI服务、取证、网络入侵陷阱、主动反击等多种技术与产品来保护信息系统安全 考虑安全的成本与效益，采用“适度防范”(Rightsizing)的原则 流程与体系 建立良好的IT治理机制是实施信息安全的基础与重要保证。 在风险分析的基本上引入恰当控制，建立PDCA的安全管理体系，从而保证组织赖以生存的信息资产的安全性、完整性和可用性 安全体系统还应当随着组织环境的变化、业务发展和信息技术提高而不断改进，不能一劳永逸，一成不变，需要建立完整的控制体系来保证安全的持续完善。;信息安全体系的建立流程;审视业务，确定IT原则和信息安全方针 在进行信息安全规划与实施安全控制措施前，首先要充分了解组织的业务目标和IT目标，建立IT原则，这是实施建立有效的信息安全保障体系的前提。 组织的业务目标和IT原则将直接影响到安全需求，只有从业务发展的需要出发，确定适宜的IT原则，才能指导信息安全方针的制定。 信息安全方针就是组织的信息安全委员会或管理当局制定的一个高层文件，用于指导组织如何对资产，包括敏感性信息进行管理、保护和分配的规则和指示 。 在安全方针的指导下，通过了解组织业务所处的环境，对IT基础设施及应用系统可能存在的薄弱点进行风险评估，制定出适宜的安全控制措施、安全策略程序及安全投资计划。 ;进行风险评估;完备的风险评估方法 信息安全涉及的内容决不仅仅是信息安全、技术安全的问题，它还会涉及到治理机制、业务流程、人员管理、企业文化等内容。 通过“现状调查”获得对组织信息安全现状和控制措施的基本了解；通过“基线风险评估”了解组织与具体的信息安全标准的差距，得到粗粒度的安全评价。通过“资产风险评估”和“流程风险评估