2015版-CISP0303信息安全控制措施_v3.0.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * (9)电子商务服务 控制目标：确保电子商务服务及使用的安全 控制措施：电子商务 * 在线交易 (10)监视 控制目标：检测未经授权的信息处理活动 控制措施：审计日志 * 监视系统的使用 日志信息的保护 管理员和操作员日志 故障日志 时钟同步 知识域：信息安全控制措施 知识子域： 访问控制 理解访问控制的业务要求、用户访问管理、用户职责、网络访问控制、操作系统访问控制、应用和信息访问控制、移动计算和远程工作这些控制目标的含义 掌握实现这些控制目标的控制措施的实施方法 * Why? 案例1：飞机登机，旅客的身份证号区别了不同的人，身份证证明确实是这名旅客来乘机，安检人员察看身份证和登机牌，扫描违禁物品后允许乘客登上机票中规定的航班。 案例2：登录网站，用户ID区别了不同的用户，输入登录密码确定是这位用户，网络防火墙和服务器的权限管理系统允许用户使用网站中可以使用的功能。 * 访问控制 控制目标 （1）访问控制的业务要求 （2）用户访问管理 （3）用户职责 （4）网络访问控制 （5）操作系统访问控制 （6）应用和信息访问控制 （7）移动计算和远程工作 * (1)访问控制的业务要求 控制目标：基于业务目标和业务原则来控制对信息的访问 控制措施：访问控制策略 * (2)用户访问管理 控制目标：确保授权用户能够访问信息系统，防止非授权的访问 控制措施：用户注册 * 特殊权限管理 用户口令管理 用户访问权的复查 (3)用户职责 控制目标：防止未授权用户对信息和信息处理设施的访问、危害或窃取 控制措施：口令使用 * 无人值守的用户设备 清空桌面和屏幕策略 (4)网络访问控制 控制目标：防止对网络服务的未授权访问 控制措施：使用网络服务的策略 * 网络隔离 (5)操作系统访问控制 控制目标：防止对操作系统的未授权访问 控制措施：安全登录规程 * 用户标识和鉴别 口令管理系统 系统实用工具的使用 (6)应用和信息访问控制 控制目标：防止对应用系统中信息的未授权访问 控制措施：信息访问限制 * (7)移动计算和远程工作 控制目标：确保使用移动计算和远程工作设施时的信息安全 控制措施：移动计算和通信 * 远程工作 访问控制思路 由于服务是分层次的，攻击可能从各个层次发起，好的访问控制应该在多层面进行 只靠网络防火墙不能抵抗所有的攻击，操作系统层面、应用安全层面都要做好访问控制才行 网络接口层 IP 应用 TCP UDP * 知识域：信息安全控制措施 知识子域： 信息系统获取、开发与维护 理解信息系统的安全需求、应用中的正确处理、密码控制、系统文件的安全、开发和支持过程中的安全、技术脆弱性管理这些控制目标的含义 掌握实现这些控制目标的控制措施的实施方法 * 信息系统获取、开发和维护 控制目标 （1）信息系统的安全要求 （2）应用中的正确处理 （3）密码控制 （4）系统文件的安全 （5）开发和支持过程中的安全 （6）技术脆弱性管理 * (1)信息系统的安全需求 控制目标：确保安全是信息系统的一个有机组成部分 控制措施：安全需求分析和说明 * 安全信息系统获取的基本原则和方法 安全信息系统获取的基本原则 符合国家、地区及行业的法律法规 量力而行，达到经济性与安全性间的平衡 符合组织的安全策略与业务目标 安全信息系统的获取策略 外部采购 自主开发或者自主开发与外包相结合 采取何种获取策略在项目立项与可行性分析过程中得出结论 * 信息系统购买流程 选择中标供应商，并签订合同 源代码托管(Source Code Escrow) 安全紧急响应条款 售后服务协议 安全培训 业务连续性与灾备条款 需求 分析 市场 招标 评标 选择 供应商 签订 合同 系统 实施 系统 运维 * (2)应用中的正确处理 控制目标：防止应用系统中信息的错误、遗失、非授权修改及误用 控制措施：输入数据验证 * 内部处理的控制 消息完整性 输出数据验证 (3)密码控制 控制目标：通过密码方法保护信息的保密性、真实性或完整性 控制措施：使用密码控制的策略 * 密钥管理 (4)系统文件的安全 控制目标：确保系统文件的安全 控制措施：运行软件的控制 * 系统测试数据的保护 对程序源代码的访问控制 (5)开发和支持过程中的安全 控制目标：维护应用系统软件和信息的安全 控制措施：变更控制程序 * 操作系统变更后应用的技术评审 软件包变更的限制 外包软件开发 (6)技术脆弱性管理 控制目标：降低利用公布的技术脆弱性导致的风险 控制措施：技术脆弱性控