信息安全管理标准及规范.pptx

信息安全管理标准及规范提 纲 一 信息安全管理体系 二 信息安全标准化分类及体系 三 信息安全管理国际国内标准 四 信息安全管理案例分析一、信息安全管理体系木马后门黑客渗透病毒和蠕虫内部人员威胁逻辑炸弹拒绝服务信息资产系统Bug社会工程硬件故障地震雷雨网络通信故障失火供电中断信息面临安全威胁信息安全加密技术数字签名信息窃取信息篡改完整性技术信息抵赖信息传递认证技术信息冒充保障信息安全的三大支柱信息安全保障是一个复杂的系统工程，需要多管齐下，综合治理。三大支柱：信息安全技术信息安全法律法规信息安全标准防病毒技术防火墙技术VPN技术入侵检测技术安全评估技术审计分析技术主机安全技术身份认证技术访问控制技术密码技术备份与恢复技术信息安全的关键技术安全集成技术安全管理技术信息安全法律法规从法律层面规范人们的行为，使信息安全工作有法可依，使相关违法犯罪得到处罚，促使组织和个人依法制作、发布、传播和使用信息信息安全标准目的是为信息安全产品的制造、安全的信息系统的构建、企业或组织安全策略的制定、安全管理体系的构建以及安全工作评估等提供统一的科学依据信息安全管理三分技术、七分管理木桶原理二八原则安全是个过程安全存在于过程（高层管理者必须明白：信息安全不是一蹴而就的）安全不仅仅是一个产品，它是一个汇集了硬件、软件、网络、人以及他们之间相互关系和接口的系统。安全最主要的问题不是安全技术、安全工具或者是安全产品上的缺乏，而是单位负责人、网络管理人员和用户对安全知识的忽视。数据安全层加密应用安全层授权访问控制用户安全层单机登录身份认证用户/组管理反病毒风险评估审计分析入侵检测系统安全层网络安全层物理安全层防火墙安全网关存储备份VPN安全层次体系结构安全产品类型信息保密产品安全授权认证产品安全平台/系统安全检测与监控产品 网络舆情分析系统密码加密产品密钥管理产品高性能加密芯片产品数字 签名产品数字证书管理系统用户安全认证卡智能IC卡鉴别与授权服务器安全操作系统安全数据库系统Web安全平台安全路由器与虚拟专用网络产品网络病毒检查预防和清除产品网络安全隐患扫描检测工具网络安全监控及预警设备网络信息远程监控系统人员技术操作 培训 意识培养 物理安全 人事安全 系统安全管理 纵深防御技术领域 安全标准 IT 采购 风险评估 认证和认可 评估 监视 入侵检测 警告 响应 恢复信息安全管理体系ISMS信息安全管理体系是保障组织信息安全的一套管理体系，专门负责组织信息资产的风险管理、确保组织的信息安全涉及到人员、技术和操作三个层面信息安全管理体系模型纲领性的统筹规划对信息安全的总体目标、要求和规范的说明。例如：符合法律规定和合同要求；信息安全岗位及职责；安全教育的需求；业务连续性管理；病毒和其它恶意软件的阻止及检测；违反安全管理策略的后果。信息安全管理的实施范围：资产清单的编写；资产的分类；信息的分类、标记和处理；物理和环境的安全信息资源评估信息系统中存在的安全隐患：资产价值量化及评估资产中的潜在威胁及可能性评估；资产脆弱性评估；已有安全措施评估形成规范化文档结论确定、控制和降低或消除潜在安全风险，需考虑因素：技术和成本的约束；事务和操作的需要；IT安全框架和基础设施选择控制策略控制目标信息资产的价值信息资产的威胁及其发生的可能性信息资产的脆弱性已有安全措施 信息安全风险评估 信息安全风险识别与评估应考虑的因素：信息安全风险评估流程信息安全风险评估流程 信息安全风险识别与评估（一）资产的识别与估价 为了明确被保护的信息资产，组织应列出与信息安全有关的资产清单，对每一项资产进行确认和适当的评估。 为了防止资产被忽略或遗漏，在识别资产之前应确定风险评估范围。所有在评估范围之内的资产都应该被识别，因此要列出对组织或组织的特定部门的业务过程有价值的任何事物，以便根据组织的业务流程来识别信息资产。故意破坏（网络攻击、恶意代码传播、邮件炸弹、非授权访问等）和无意失误（如误操作、维护错误）系统、网络或服务的故障（软件故障、硬件故障、介质老化等）电源故障、污染、液体泄漏、火灾等洪水、地震、台风、滑坡、雷电等 信息安全风险识别与评估（二）威胁识别与评估识别产生威胁的原因4231自然威胁环境威胁人员威胁系统威胁识别产生威胁的原因确认威胁的目标威胁发生造成的后果或潜在影响评估威胁发生的可能性威胁识别与评估威胁识别与评估的主要任务 信息安全风险识别与评估（三）脆弱性识别与评估 仅有威胁还构不成风险。由于组织缺乏充分的安全控制，组织需要保护的信息资产或系统存在着可能被威胁所利用的弱点，即脆弱性。威胁只有利用了特定的脆弱性或者弱点，才可能对资产造成影响。脆弱性识别与评估脆弱性是资产本身存在的，威胁总是要利用资产的脆弱性才能造成危害。资产的脆弱性具有隐蔽性，有些脆弱性只有在一定条件和