安全生產_信息安全管理課件

2020 2 23 1 信息安全管理 InformationSecurityManagement2003級曹炳文 2020 2 23 2 主要內容 一 信息安全理論相關基本概念 理論體系 發(fā)展歷史 信息安全標準體系 法律法規(guī) 部署與操作二 信息安全管理風險管理 OCTAVE工程角度 SSE CMM三 研究現狀與個人思考四 附錄 參考文獻 2020 2 23 3 信息安全概念 什么是信息安全 ISO 為數據處理系統(tǒng)建立的安全保護 保護計算機硬件 軟件 數據不因偶然的或者惡意的原因而遭受到破壞 更改和泄露 國內 計算機系統(tǒng)的硬件 軟件 數據受到保護 不因偶然的或者惡意的原因而遭受到破壞 更改和泄露以及系統(tǒng)連續(xù)正常運行 2020 2 23 4 信息系統(tǒng)安全 信息系統(tǒng)安全是為確保信息系統(tǒng)體系結構安全 以及與此相關的各種安全技術 安全服務 安全管理的總和 聯系與區(qū)別信息系統(tǒng)安全 更具有體系性 可設計性 可實現性和可操作性 信息安全 更廣泛 概念化 不說明任何個體或系統(tǒng) 2020 2 23 5 信息的安全屬性以及信息安全特性 信息的安全屬性 保密性 Confidentiality 完整性 Integrality 可用性 Availability 可控性 Controllability 不可否認性 Non repudiation 信息安全特性社會性全面性過程性或生命周期性動態(tài)性層次性相對性 2020 2 23 6 信息安全發(fā)展歷史 通信保密階段 COMSEC 標志 1949年Shannon發(fā)表的 保密系統(tǒng)的信息理論 密碼學 數據加密計算機安全 COMPUSEC 和信息安全 INFSEC 標志 1977美國標準局 NBS 發(fā)布的 國家數據加密標準 和1985年美國國防部 DoD 公布的 可信計算機系統(tǒng)評估準則 信息保障 IA 標志 2000年9月NSA 美國家安全局 發(fā)布的 信息保障技術框架 3 0版 2002年更新為3 1版 國防部 第8500 1 信息保障 第8500 2 信息保障的實施 2020 2 23 7 信息安全 理論體系結構 2020 2 23 8 信息安全理論基礎 密碼理論數據加密 對稱算法 DES AES 非對稱算法 RSA ECC 消息摘要數字簽名密鑰管理安全理論身份認證 Authentication 授權和訪問控制 AuthorizationandAccesscontrol 審計追蹤安全協(xié)議 2020 2 23 9 信息安全應用研究 信息安全技術防火墻技術入侵檢測技術漏洞掃描技術防病毒技術平臺安全物理安全網絡安全系統(tǒng)安全數據安全用戶安全邊界安全 2020 2 23 10 我國信息安全標準框架 2020 2 23 11 信息標準內容 基礎標準類信息安全術語 信息安全體系結構 信息安全框架 信息安全模型 安全技術物理安全標準物理環(huán)境和保障 安全產品 介質安全系統(tǒng)與網絡標準硬件應用平臺安全 軟件應用平臺安全 網絡安全 安全協(xié)議 安全信息交換語法規(guī)則 人機接口 業(yè)務應用平臺應用與工程標準安全工程和服務 人員資質 行業(yè)標準管理標準管理基礎 系統(tǒng)管理 測評認證 2020 2 23 12 實例 北京市信息安全標準體系 2020 2 23 13 信息安全管理標準 BS7799 BS7799與ISO17799BS7799 1 信息安全管理實施細則 BS7799 2 信息安全管理體系規(guī)范 BS7799 2包括兩大要求 遵循PDCA這種持續(xù)改進管理模式信息安全體系要求 信息安全控制要求 2020 2 23 14 信息技術安全性評估準則 2020 2 23 15 法律法規(guī) 國家法律如 中華人民共和國保守國家秘密法中華人民共和國標準化法 中華人民共和國國家安全法中華人民共和國產品質量法 維護互聯網安全的決定等 行政法規(guī)如 中華人民共和國計算機信息系統(tǒng)安全保護條例中華人民共和國計算機信息網絡國際聯網管理暫行規(guī)定商用秘密管理條例等部門規(guī)章及規(guī)范性文件計算機信息網絡國際聯網安全保護管理辦法等 行業(yè)性法規(guī) 電信 銀行等 2020 2 23 16 信息安全體系的設計流程 2020 2 23 17 主要內容 一 信息安全理論相關基本概念 理論體系 發(fā)展歷史 信息安全標準體系 法律法規(guī) 部署與操作二 信息安全管理風險管理 OCTAVE工程角度 SSE CMM三 研究現狀與個人思考四 附錄 參考文獻 2020 2 23 18 信息安全管理方法 2020 2 23 19 研究方法 弱點評估 弱點評估方法 側重于技術方面弱點評估包括 使用特定的IT技術標準評估整個計算基礎結構使用擁有的軟件工具分析基礎結構及其全部組件提供詳細的分析 說明檢測到的技術弱點 并且提供具體的建議 2020 2 23 20 基于風險分析的信息安全管理 風險分析的四要素資產 物理 計算機 信息資源等 脆弱性 系統(tǒng)或組織存在的弱點 威脅 不期望發(fā)生的事件 影響 2020 2 23 21 基于風險管理的實施步驟 徹底地調查企業(yè)或組織的資產與資源 標識可能出現或者潛在的威脅 要把人員的因素考慮進去 定義每個威脅的可能性E x 定義每個威脅出現引起的損失因子D x 評估該威脅引起的風險 D x E x 衡量損失與投入等 確定風險的優(yōu)先級 根據風險優(yōu)先級 采取安全措施 2020 2 23 22 基于風險分析的幾個問題 資產如何識別 如何識別和標識威脅 威脅的可能性E x 如何確定 損失因子D x 如何確定 風險如何表示 才能確定其優(yōu)先級 2020 2 23 23 確定資產以及要求的安全屬性 可能的資產 關鍵信息系統(tǒng)以及其支撐系統(tǒng)書面的重要資料網絡 每個資產的安全屬性要求 保密性可用性完整性不可否認性 2020 2 23 24 威脅樹 2020 2 23 25 風險分析方法及其問題 風險分析方法 AHP法工程經驗數據方法問訊表方法技術性測評工具存在問題 無法準確定義威脅的可能性因子E x 無法準確定義損失因子D x 2020 2 23 26 OCTAVEApproach OCTAVE OperationallyCriticalThreat Asset andVulnerabilityEvaluation從系統(tǒng)的 組織角度出發(fā)強調自主性 一系列討論會可操作性 2020 2 23 27 OCTAVEApproach框架 2020 2 23 28 OCTAVEmethod 2020 2 23 29 OCTAVE的弱點以及基于安全需求的方法 OCTAVE的弱點1 基于風險管理方法的固有弱點2 基礎數據完全依賴內部調查基于安全需求的方法原因 計算模式的變化從以計算機為中心 IT為中心 信息為中心安全需求的驅動 除資產外 業(yè)務要求 法律法規(guī)等 2020 2 23 30 從工程角度研究信息安全 信息安全的特性系統(tǒng)工程發(fā)掘需求 定義系統(tǒng)功能 設計系統(tǒng) 實施系統(tǒng) 有效性評估信息安全工程發(fā)展過程 1994年 美國軍方發(fā)布 信息系統(tǒng)安全工程手冊1 0 借鑒CMM 1996年發(fā)布了SSE CMM版本1 01999年4月 形成了SSE CMM2 0版本2002年11月 SSE CMM成為ISO標準 ISO IEC21827 2020 2 23 31 信息系統(tǒng)安全工程 ISSE 以時間維 工程過程 為線索描述參考 信息系統(tǒng)安全工程手冊1 0 和信息系統(tǒng)安全工程學ISSE過程發(fā)掘信息保護需求 機構 信息系統(tǒng) 信息保護策略 定義信息保護系統(tǒng) 信息保護目標 背景 信息保護需求 功能分析 設計信息保護系統(tǒng) 功能分配 概要設計 詳細設計 實施信息保護系統(tǒng) 采購 建設 測試 評估信息保護系統(tǒng)的有效性 2020 2 23 32 信息安全工程 SSE CMM 的體系結構 SSE CMM是面向過程的信息安全方法學SSE CMM的體系結構是其方法學的核心 該模型分為兩維 橫軸定義了11個安全方面的關鍵過程域 管理安全控制 評估影響 評估安全風險 評估威脅 評估脆弱性 建立保證論據 協(xié)調安全 監(jiān)視安全 監(jiān)視安全態(tài)勢 提供安全輸入 確定安全需求 驗證與確認安全 縱軸為0 5六個能力成熟度級別 每個級別的判定反映為一組共同特征 CF 而每個共同特征通過一組確定的通用實踐 GP 來描述 過程能力由GP來衡量 2020 2 23 33 SSE CMM的體系結構 2020 2 23 34 SSE CMM的安全完備性 SSE CMM中的系統(tǒng)安全過程 工程過程 風險過程 保證過程工程過程 PA10 確定安全需求 PA09 提供安全輸入 PA01 管理安全控制 PA08 監(jiān)視安全態(tài)勢 PA07 協(xié)調安全 風險過程PA04 評估威脅 PA05 評估脆弱性 PA02 評估影響 PA03 評估安全風險 保證過程PA11 驗證與確認安全 PA06 建立保證論據 2020 2 23 35 主要內容 一 信息安全理論相關基本概念 理論體系 發(fā)展歷史 信息安全標準體系 法律法規(guī) 部署與操作二 信息安全管理風險管理 OCTAVE工程角度 SSE CMM三 研究現狀與個人思考四 附錄 參考文獻 2020 2 23 36 研究現狀 國內 研究狀況研究熱點對信息安全標準的研究 綜述 如 安全評估標準 技術 從安全技術的角度 訪問控制研究 入侵檢測技術 PKI 安全協(xié)議 網絡信息安全從信息系統(tǒng)角度 安全需求分析 安全體系結構 安全度量 安全模型 信息系統(tǒng)安全度量與評估模型 2020 2 23 37 應用 銀行電信電子商務電子政務電力 2020 2 23 38 個人思考 研究角度安全需求 SecurityRequirement 行業(yè)應用結合具體行業(yè) 電力行業(yè) 企業(yè)發(fā)展特殊時期EAI 企業(yè)應用集成 2020 2 23 39 研究方法中的幾個問題 風險分析的局限性形式化描述自下而上可操作性 2020 2 23 40 主要內容 一 信息安全理論相關基本概念 理論體系 發(fā)展歷史 信息安全標準體系 法律法規(guī) 部署與操作二 信息安全管理風險管理 OCTAVE工程角度 SSE CMM三 研究現狀與個人思考四 附錄 參考文獻 2020 2 23 41 附錄一 相關書 沈昌祥 信息安全工程導論 北京 電子工業(yè)出版社 2003 7戴宗坤 羅萬伯 信息系統(tǒng)安全 北京 電子工業(yè)出版社 2002中國信息安全產品測評認證中心 北京 人民郵電出版社 2003 9卿斯?jié)h 信息系統(tǒng)的安全 北京 科學出版社 2003ChristopherM King 安全體系結構的設計部署與操作 北京 清華大學出版社 2003Alberts C Dorofee A ManagingInformationSecurityRisks 段云所 魏仕民等 信息安全概論 北京 高等教育出版社 2003關義章 戴宗坤 信息系統(tǒng)安全工程學 北京 電子工業(yè)出版社 2002 2020 2 23 42 附錄二 相關論文 RebccaT Mercuri Onauditingaudittrails CommunicationofACM 2003 46 1 17 20JeffSutberlandandWillem JanvandenHeuvel Enterpriseapplicationintegrationandcomplexadaptivesystem CommunicationofACM 2002 45 10 59 64RebccaT Mercuri Computersecurity Qualityratherthanquantity CommunicationofACM 2003 46 1 17 20MichaelE Whitman Enemyatthegate Threatstoinformationsecurity CommunicationofACM 2003 46 8 91 95JackieRees SubhajyotiBandgopadhyay andEugeneH Spafford PFIRES Apolicyframeworkforinformationsecurity CommunicationofACM 2003 46 7 101 106HuaiqingandChenwang Taxonomyofsecurityconsiderationsandsoftwarequality CommunicationofACM 2003 46 6 75 78 2020 2 23 43 附錄二 相關論文 MariannaGerberandRossouwVonSolms Fromriskanalysistosecurityrequirements Computer Security2001 20 7 577 584DenisTrcek AnintegralframeworkforinformationsystemssecuritymanagementComputer Security2003 22 4 337 360Ching Yunlee Modelcalculationstoestimatetheprobabilityofsecretreconstructionincomputerenvironments Informationmanagement computersecurity2001 9 1 13 20Informationsecurity Amultidimensionaldiscipline Computer Security2001 20 6 504 508Amodelforderivinginformationsecuritycontrolattributeprofiles Computer Security2003 22 3 233 244Trendsinacademicresearch Vulnerabilitiesanalysisandintrusiondetection Computer Security2002 21 7 609 612 2020 2 23 44 附錄二 相關論文 閆強 陳鐘等 信息系統(tǒng)安全度量與評估模型 電子學報 2003 7 1351 1355李守鵬 孫紅波 信息系統(tǒng)安全模型研究 電子學報 2003 10 1491 1495李守鵬 孫紅波 信息系統(tǒng)安全策略研究 電子學報 2003 7 977 980訪問控制研究綜述 計算機工程 2004 30 2 1 2基于SSE CMM的信息系統(tǒng)安全工程模型 計算機工程 2003 29 16 35 36王茜 楊德禮 電子商務的安全體系結構及技術研究 計算機工程 2003 29 1 72 75閆強 段云所等 信息安全評估標準 及其進展 計算機工程 2003 29 6 金鳳 蔡家楣等 電子商務系統(tǒng)基本安全問題的分析和描述 計算機工程 2003 29 7 110 112蔣春芳 岳超源 陳太一 信息系統(tǒng)安全體系結構的有關問題研究 計算機工程與應用 2004 40 1 138 140 2020 2 23 45 附錄二 相關論文 蔡昱 張玉清等 安全評估標準綜述 計算機工程與應用 2004 40 2 129 132張友