结合实践构建电子政务信息安全保障体系的思路和框架.ppt

服务体系的框架分析 评估加固 教育培训 MSS 应急响应 安全集成 风险评估 管理咨询 最佳实践建议 教育和培训 成熟产品 防病毒、防火墙、VPN、入侵检测、漏洞扫描 风险评估 框架式的安全建设规划 信息安全管理体系 安全域 监控体系、安全监控管理中心 事件管理体系、应急体系 问题 什么是信息安全？ 到底要解决那些问题？ 怎么实施信息安全建设？ 当前构建“保障”体系的要点 强调全面的信息安全管理体系 内控和审计 在安全技术中强调检测技术 漏洞扫描技术、入侵检测技术、日志审计技术 在风险管理中突出风险评估 在生命周期中强调评估和紧急响应体系的能力 达到“计划和跟踪级”的要求 SSE-CMM System Security Engineering － Capability Majority Model 系统安全工程－能力成熟度模型 初始级 Performed Informally 计划跟踪级 Planned and Tracked 良好定义级 Well Defined 量化控制级 Quantitatively Controlled 持续改进级 Continuously Improving 总结 构建信息安全保障体系 原则和要求 了解威胁（4类） 了解资产和业务（ITA、安全域） 了解保障措施（产品和服务） 思路（7类模型） 框架（PPT+AIDARC） 当前构建“保障”体系的要点—检测 总结 整体定位 IT体系结构 安全目标 管理功能 技术功能 方案和决策 工程实施和运行维护 问题 什么是信息安全？ 到底要解决那些问题？ 怎么实施信息安全建设？ * * * * 7个信息安全管理属性为潘柱廷原创。 “7+7”属性最早发表在中国人民银行组织的金融行业标准《银行和相关金融机构 信息系统安全管理规范》中。 * 研究BS7799的127个Control是为了少选，而不是为了全选。 * 这个框架是德国信息安全局(BSI)发布的信息安全框架。 将框架总体分成三个部分，左面是IT components, 右边是威胁，中间是防护措施。 每个项目都和其他互相链接。 * * 这个框架是NIST的800系列文档一直延续的架构，几乎所有的800系列文档都有这个架构的影子。 12信息安全管理类模型 M5: 技术功能模型 PDR及其衍生模型 M6: 评价和决策方法 风险管理 业务连续性管理 投资回报分析 项目方案规划方法 什么是风险？ 风险： 对目标有所影响的某个事情发生的可能性。它根据后果和可能性来度量。 Risk the chance of something happening that will have an impact upon objectives. It is measured in terms of consequences and likelihood. -AS/NZS 4360:1999《风险管理》 风险管理的关系图 ISO13335以风险为核心的安全模型 风险 防护措施 信息资产 威胁 漏洞 防护需求 降低 增加 增加 利用 暴露 价值 拥有 抗击 增加 引出 被满足 风险10要素关系图 风险管理3要素 风险管理的组成要素 建立环境 鉴别风险 分析风险 评价风险 处理风险 信 息 交 流 与 咨 询 监控 与审查 －AS/NZS 4360 处理风险/选择安全措施 在处理风险和选择安全控制措施时的注意点： 从脆弱性出发，突出控制措施的针对性 围绕事件考虑，将控制措施落到实处 考虑纵深防护，最大限度降低风险 考虑防护措施的投入-效益比 M7: 工程和实现的方法 PDCA是最典型的过程改进方法之一 Do 建设和实施 维护和改进 Act Plan 计划和设计 运行和监控 Check 思考信息安全问题的7大模型 M1: 整体定位模型和方法 阐述信息安全的整体定位和结构，综合构架和执行的方法 M2: 信息体系架构 表述我们要保护的对象及其结构 M3: 信息安全属性概念 阐述信息安全要达到的目标 M4: 管理模型和方法 阐述信息安全管理 M5: 技术功能模型和方法 阐述信息安全的功能及其关系，如：PDR等 M6: 评价和决策模型和方法 阐述信息安全的评价和决策方法，如：风险评估等 M7: 工程模型和方法 体现了信息安全的基于过程的工程方法，比如PDCA等 整体定位 IT体系结构 安全目标 管理功能 技术功能 方案和决策 工程实施和运行维护 问题 什么是信息安全？ 到底要解决那些问题？ 怎么实施信息安全建设？ 6、框架 加强信息安全保障工作-九项任务 系统等级保护和风险管理 基于密码技术的信息保护和信任体系 网络信息安全监控体系 应急处理体系 加强技术研究，推进产