信息安全管理講義PPT課件

1、信息安全管理講義信息安全管理技術(shù)信息安全管理講義信息安全管理引入與內(nèi)涵 信息安全風(fēng)險(xiǎn)識別與評估信息安全等級保護(hù)41234ISO信息安全管理標(biāo)準(zhǔn)54信息安全法規(guī)6主講內(nèi)容信息安全規(guī)劃信息安全管理講義信息安全在其發(fā)展過程中經(jīng)歷的三個(gè)階段信息安全在其發(fā)展過程中經(jīng)歷的三個(gè)階段：n20世紀(jì)80、90年代以前，面對信息交換過程中存在的安全問題，人們強(qiáng)調(diào)的主要是信息的保密性和完整性，該階段稱為通信保密階段；n20世紀(jì)80、90年代，隨著計(jì)算機(jī)和網(wǎng)絡(luò)廣泛應(yīng)用，人們對信息安全的關(guān)注已經(jīng)逐漸擴(kuò)展為以保密性、完整性和可用性為目標(biāo)，并利用密碼、認(rèn)證、訪問控制、審計(jì)與監(jiān)控等多種信息安全技術(shù)為信息和信息系統(tǒng)提供安全服務(wù)，

2、該階段稱為信息安全階段；信息安全管理講義信息安全在其發(fā)展過程中經(jīng)歷的三個(gè)階段信息安全在其發(fā)展過程中經(jīng)歷的三個(gè)階段n20世紀(jì)90年代中后期，由于互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，信息對內(nèi)、對外都極大開放，由此產(chǎn)生的安全問題已經(jīng)不僅僅是傳統(tǒng)的保密性、完整性和可用性三個(gè)方面，人們把信息主體和管理引入信息安全，由此衍生出諸如可控性、抗抵賴性、真實(shí)性等安全原則和目標(biāo)，信息安全也從單一的被動(dòng)防護(hù)向全面而動(dòng)態(tài)的防護(hù)、檢測、響應(yīng)和恢復(fù)等整體建設(shè)方向發(fā)展。該階段稱為信息安全保障階段。信息安全管理講義信息安全技術(shù)是實(shí)現(xiàn)信息安全產(chǎn)品的技術(shù)基礎(chǔ)；信息安全產(chǎn)品是實(shí)現(xiàn)信息安全的工具平臺(tái)；信息安全管理是通過維護(hù)信息的機(jī)密性、完整性和可

3、用性等，來管理和保護(hù)信息資產(chǎn)的一項(xiàng)體制，是對信息安全保障進(jìn)行指導(dǎo)、規(guī)范和管理的一系列活動(dòng)和過程。 信息安全管理講義信息安全管理引入與內(nèi)涵 信息安全風(fēng)險(xiǎn)識別與評估信息安全等級保護(hù)41234ISO信息安全管理標(biāo)準(zhǔn)54信息安全法規(guī)6主講內(nèi)容信息安全規(guī)劃信息安全管理講義信息安全規(guī)劃信息安全規(guī)劃n信息安全規(guī)劃也稱為信息安全計(jì)劃，它用于在較高的層次上確定一個(gè)組織涉及信息安全的活動(dòng)，主要內(nèi)容：p安全策略p安全需求p計(jì)劃采用的安全措施p安全責(zé)任p規(guī)劃執(zhí)行時(shí)間表信息安全管理講義信息安全管理引入與內(nèi)涵 信息安全風(fēng)險(xiǎn)識別與評估信息安全等級保護(hù)41234ISO信息安全管理標(biāo)準(zhǔn)54信息安全法規(guī)6主講內(nèi)容信息安全規(guī)劃信息

4、安全管理講義 信息安全風(fēng)險(xiǎn)識別與評估信息安全風(fēng)險(xiǎn)識別與評估 信息安全風(fēng)險(xiǎn)信息安全風(fēng)險(xiǎn)來自人為或自然的威脅，是威脅利用信息系統(tǒng)的脆弱性造成安全事件的可能性及這類安全事件可能對信息資產(chǎn)等造成的負(fù)面影響。信息安全管理講義 信息安全風(fēng)險(xiǎn)識別與評估信息安全風(fēng)險(xiǎn)識別與評估 信息安全風(fēng)險(xiǎn)評估：信息安全風(fēng)險(xiǎn)評估： 也稱信息安全風(fēng)險(xiǎn)分析，它是指對信息安全威脅進(jìn)行分析和預(yù)測，評估這些威脅對信息資產(chǎn)造成的影響。 信息安全風(fēng)險(xiǎn)評估使信息系統(tǒng)的管理者可以在考慮風(fēng)險(xiǎn)的情況下估算信息資產(chǎn)的價(jià)值，為管理決策提供支持，也可為進(jìn)一步實(shí)施系統(tǒng)安全防護(hù)提供依據(jù)。信息安全管理講義信息安全建設(shè)的起點(diǎn)和基礎(chǔ)信息安全建設(shè)的起點(diǎn)和基礎(chǔ)倡導(dǎo)一種

5、適度安全倡導(dǎo)一種適度安全信息安全建設(shè)和管理的科學(xué)方法信息安全建設(shè)和管理的科學(xué)方法分析確定風(fēng)險(xiǎn)的過程分析確定風(fēng)險(xiǎn)的過程信息安全信息安全風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)評估 信息安全風(fēng)險(xiǎn)識別與評估信息安全風(fēng)險(xiǎn)識別與評估信息安全管理講義 信息安全風(fēng)險(xiǎn)識別與評估信息安全風(fēng)險(xiǎn)識別與評估信息安全管理講義 信息安全風(fēng)險(xiǎn)識別與評估信息安全風(fēng)險(xiǎn)識別與評估 信息安全風(fēng)信息安全風(fēng)險(xiǎn)識別與評險(xiǎn)識別與評估應(yīng)考慮的估應(yīng)考慮的因素：因素：信息資產(chǎn)的脆弱性信息資產(chǎn)的脆弱性信息資產(chǎn)的威脅及其發(fā)生的信息資產(chǎn)的威脅及其發(fā)生的可能性可能性信息資產(chǎn)的價(jià)值信息資產(chǎn)的價(jià)值已有安全措施已有安全措施信息安全管理講義信息安全管理講義 為了明確被保護(hù)的信息資產(chǎn)，組織

6、應(yīng)列出與信息安全有關(guān)的資產(chǎn)清單，對每一項(xiàng)資產(chǎn)進(jìn)行確認(rèn)和適當(dāng)?shù)脑u估。 為了防止資產(chǎn)被忽略或遺漏，在識別資產(chǎn)之前應(yīng)確定風(fēng)險(xiǎn)評估范圍。所有在評估范圍之內(nèi)的資產(chǎn)都應(yīng)該被識別，因此要列出對組織或組織的特定部門的業(yè)務(wù)過程有價(jià)值的任何事物，以便根據(jù)組織的業(yè)務(wù)流程來識別信息資產(chǎn)。 信息安全風(fēng)險(xiǎn)識別與評估信息安全風(fēng)險(xiǎn)識別與評估信息安全管理講義 信息安全風(fēng)險(xiǎn)識別與評估信息安全風(fēng)險(xiǎn)識別與評估 在列出所有信息資產(chǎn)后，應(yīng)對每項(xiàng)資產(chǎn)賦予價(jià)值。資產(chǎn)估價(jià)是一個(gè)主觀的過程，而且資產(chǎn)的價(jià)值應(yīng)當(dāng)由資產(chǎn)的所有者和相關(guān)用戶來確定，只有他們最清楚資產(chǎn)對組織業(yè)務(wù)的重要性，從而能夠準(zhǔn)確地評估出資產(chǎn)的實(shí)際價(jià)值。 為確保資產(chǎn)估價(jià)的一致性和準(zhǔn)確性

7、，組織應(yīng)建立一個(gè)資產(chǎn)的價(jià)值尺度（資產(chǎn)評估標(biāo)準(zhǔn)），以明確如何對資產(chǎn)進(jìn)行賦值。 在信息系統(tǒng)中，采用精確的財(cái)務(wù)方式來給資產(chǎn)確定價(jià)值比較困難，一般采用定性分級的方式來建立資產(chǎn)的相對價(jià)值或重要度，即按照事先確定的價(jià)值尺度將資產(chǎn)的價(jià)值劃分為不同等級，以相對價(jià)值作為確定重要資產(chǎn)及為這些資產(chǎn)投入多大資源進(jìn)行保護(hù)的依據(jù)。信息安全管理講義 信息安全風(fēng)險(xiǎn)識別與評估信息安全風(fēng)險(xiǎn)識別與評估信息安全管理講義信息安全管理講義故意破壞（網(wǎng)絡(luò)攻擊、惡意代碼傳播、郵件炸彈、非授權(quán)訪問等）和無意失誤（如誤操作、維護(hù)錯(cuò)誤）人員威脅人員威脅12系統(tǒng)威脅系統(tǒng)威脅環(huán)境威脅環(huán)境威脅34自然威脅自然威脅識別產(chǎn)生威脅的原因識別產(chǎn)生威脅的原因 信

8、息安全風(fēng)險(xiǎn)識別與評估信息安全風(fēng)險(xiǎn)識別與評估信息安全管理講義人員威脅人員威脅12系統(tǒng)威脅系統(tǒng)威脅環(huán)境威脅環(huán)境威脅34自然威脅自然威脅識別產(chǎn)生威脅的原因識別產(chǎn)生威脅的原因 信息安全風(fēng)險(xiǎn)識別與評估信息安全風(fēng)險(xiǎn)識別與評估系統(tǒng)、網(wǎng)絡(luò)或服務(wù)的故障（軟件故障、硬件故障、介質(zhì)老化等）信息安全管理講義人員威脅人員威脅12系統(tǒng)威脅系統(tǒng)威脅環(huán)境威脅環(huán)境威脅34自然威脅自然威脅電源故障、污染、液體泄漏、火災(zāi)等識別產(chǎn)生威脅的原因識別產(chǎn)生威脅的原因 信息安全風(fēng)險(xiǎn)識別與評估信息安全風(fēng)險(xiǎn)識別與評估信息安全管理講義人員威脅人員威脅12系統(tǒng)威脅系統(tǒng)威脅環(huán)境威脅環(huán)境威脅34自然威脅自然威脅洪水、地震、臺(tái)風(fēng)、滑坡、雷電等識別產(chǎn)生威脅

9、的原因識別產(chǎn)生威脅的原因 信息安全風(fēng)險(xiǎn)識別與評估信息安全風(fēng)險(xiǎn)識別與評估信息安全管理講義 信息安全風(fēng)險(xiǎn)識別與評估信息安全風(fēng)險(xiǎn)識別與評估威 脅 識 別威 脅 識 別與 評 估 的與 評 估 的主要任務(wù)主要任務(wù)威脅發(fā)生造成的后果或潛在影響評估威脅發(fā)生的可能性信息安全管理講義 威脅發(fā)生造成的后果或潛在影響威脅發(fā)生造成的后果或潛在影響 信息安全風(fēng)險(xiǎn)識別與評估信息安全風(fēng)險(xiǎn)識別與評估 威脅一旦發(fā)生會(huì)造成信息保密性、完整性和可用性等安全屬性的損失，從而給組織造成不同程度的影響，嚴(yán)重的威脅發(fā)生會(huì)導(dǎo)致諸如信息系統(tǒng)崩潰、業(yè)務(wù)流程中斷、財(cái)產(chǎn)損失等重大安全事故。不同的威脅對同一資產(chǎn)或組織所產(chǎn)生的影響不同，導(dǎo)致的價(jià)值損失

10、也不同，但損失的程度應(yīng)以資產(chǎn)的相對價(jià)值（或重要程度）為限。信息安全管理講義信息安全管理講義 僅有威脅還構(gòu)不成風(fēng)險(xiǎn)。由于組織缺乏充分的安全控制，組織需要保護(hù)的信息資產(chǎn)或系統(tǒng)存在著可能被威脅所利用的弱點(diǎn)，即脆弱性。威脅只有利用了特定的脆弱性或者弱點(diǎn)，才可能對資產(chǎn)造成影響。 信息安全風(fēng)險(xiǎn)識別與評估信息安全風(fēng)險(xiǎn)識別與評估信息安全管理講義p脆弱性是資產(chǎn)本身存在的，威脅總是要利用資產(chǎn)的脆弱性才能造成危害。p資產(chǎn)的脆弱性具有隱蔽性，有些脆弱性只有在一定條件和環(huán)境下才能顯現(xiàn)。p脆弱性識別可以資產(chǎn)為核心，即根據(jù)每個(gè)資產(chǎn)分別識別其存在的弱點(diǎn)，然后綜合評價(jià)該資產(chǎn)的脆弱性；也可分物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進(jìn)行識別。

11、 信息安全風(fēng)險(xiǎn)識別與評估信息安全風(fēng)險(xiǎn)識別與評估信息安全管理講義 信息安全風(fēng)險(xiǎn)識別與評估信息安全風(fēng)險(xiǎn)識別與評估系統(tǒng)、程序和設(shè)備中存在的漏洞或缺陷，如結(jié)構(gòu)設(shè)計(jì)問題和編程漏洞等技術(shù)脆弱性技術(shù)脆弱性12操作脆弱性操作脆弱性管理脆弱性管理脆弱性3軟件和系統(tǒng)在配置、操作及使用中的缺陷，包括人員日常工作中的不良習(xí)慣、審計(jì)或備份的缺乏等策略、程序和規(guī)章制度等方面的弱點(diǎn)。脆弱性的分類脆弱性的分類信息安全管理講義 信息安全風(fēng)險(xiǎn)識別與評估信息安全風(fēng)險(xiǎn)識別與評估評估脆弱性需要考慮的因素評估脆弱性需要考慮的因素脆弱性的嚴(yán)重程度（Severity）；脆弱性的暴露程度（Exposure），即被威脅利用的可能性P， 這兩個(gè)因

12、素可采用分級賦值的方法。 例如對于脆弱性被威脅利用的可能性可以分級為：非?？赡芊浅？赡? 4= 4，很可能，很可能= 3= 3，可能，可能= 2= 2，不太可能，不太可能= 1= 1，不可，不可能能= 0= 0。信息安全管理講義信息安全管理講義 信息安全風(fēng)險(xiǎn)識別與評估信息安全風(fēng)險(xiǎn)識別與評估 在影響威脅事件發(fā)生的外部條件中，除了資產(chǎn)的弱點(diǎn)，再就是組織現(xiàn)有的安全控制措施。 在風(fēng)險(xiǎn)評估過程中，應(yīng)當(dāng)識別已有的（或已計(jì)劃的）安全控制措施，分析安全控制措施的效力，有效的安全控制繼續(xù)保持，而對于那些不適當(dāng)?shù)目刂茟?yīng)當(dāng)核查是否應(yīng)被取消，或者用更合適的控制代替。信息安全管理講義 信息安全風(fēng)險(xiǎn)識別與評估信息安全風(fēng)險(xiǎn)

13、識別與評估對系統(tǒng)開發(fā)、維護(hù)和使用實(shí)施管理的措施，包括安全策略、程序管理、風(fēng)險(xiǎn)管理、安全保障和系統(tǒng)生命周期管理等管理性安全控制管理性安全控制12操作性安全控制操作性安全控制技術(shù)性安全控制技術(shù)性安全控制3用來保護(hù)系統(tǒng)和應(yīng)用操作的流程和機(jī)制，包括人員職責(zé)、應(yīng)急響應(yīng)、事件處理，安全意識培訓(xùn)、系統(tǒng)支持和操作、物理和環(huán)境安全等身份識別與認(rèn)證、邏輯訪問控制、日志審計(jì)和加密等安全控制方式的分類安全控制方式的分類( (依據(jù)目標(biāo)和針對性分類依據(jù)目標(biāo)和針對性分類) )信息安全管理講義 信息安全風(fēng)險(xiǎn)識別與評估信息安全風(fēng)險(xiǎn)識別與評估此類控制可以降低蓄意攻擊的可能性，實(shí)際上針對的是威脅源的動(dòng)機(jī)威懾性安全控制威懾性安全控制

14、12預(yù)防性安全控制預(yù)防性安全控制檢測性安全控制檢測性安全控制34糾正性安全控制糾正性安全控制此類控制可以保護(hù)脆弱性，使攻擊難以成功，或者降低攻擊造成的影晌此類控制可以檢測并及時(shí)發(fā)現(xiàn)攻擊活動(dòng)，還可以激活糾正性或預(yù)防性安全控制此類控制可以將攻擊造成的影響降到最低安全控制方式的分類安全控制方式的分類（依據(jù)功能分類（依據(jù)功能分類) )信息安全管理講義 信息安全風(fēng)險(xiǎn)識別與評估信息安全風(fēng)險(xiǎn)識別與評估 安全控制應(yīng)對風(fēng)險(xiǎn)各要素的情況安全控制應(yīng)對風(fēng)險(xiǎn)各要素的情況利用利用引發(fā)引發(fā)造成造成信息安全管理講義信息安全管理講義 信息安全風(fēng)險(xiǎn)識別與評估信息安全風(fēng)險(xiǎn)識別與評估 風(fēng)險(xiǎn)評價(jià)就是利用適當(dāng)?shù)娘L(fēng)險(xiǎn)測量方法或工具確定風(fēng)險(xiǎn)

15、的大小與等級，對組織信息安全管理范圍內(nèi)的每一信息資產(chǎn)因遭受泄露、修改、不可用和破壞所帶來的任何影響做出一個(gè)風(fēng)險(xiǎn)測量的列表，以便識別與選擇適當(dāng)和正確的安全控制方式。信息安全管理講義 信息安全風(fēng)險(xiǎn)識別與評估信息安全風(fēng)險(xiǎn)識別與評估 風(fēng)險(xiǎn)度量的目的風(fēng)險(xiǎn)度量的目的是明確當(dāng)前的安全狀態(tài)、改善該狀態(tài)并獲得改善狀態(tài)所需的資源 。信息安全管理講義 信息安全風(fēng)險(xiǎn)識別與評估信息安全風(fēng)險(xiǎn)識別與評估 該方法利用威脅發(fā)生的可能性、脆弱性被威脅利用的可能性及資產(chǎn)的相對價(jià)值三者預(yù)定義的三維矩陣來確定風(fēng)險(xiǎn)的大小。威脅發(fā)生的可威脅發(fā)生的可能性能性PT低低 0中中 1高高 2脆弱性被利用脆弱性被利用的可能性的可能性PV低低 0中中

16、 1高高 2低低 0中中 1高高 2低低 0中中 1高高 2資資產(chǎn)產(chǎn)相相對對價(jià)價(jià)值值V001212323411232343452234345456334545656744565676782+1+2=5信息安全管理講義 信息安全風(fēng)險(xiǎn)識別與評估信息安全風(fēng)險(xiǎn)識別與評估 該方法把風(fēng)險(xiǎn)對資產(chǎn)的影響與威脅發(fā)生的可能性聯(lián)系起來，常用于考察和比較威脅對組織資產(chǎn)的危害程度。第一步第一步：按預(yù)定義的尺度，評估風(fēng)險(xiǎn)對資產(chǎn)的影響即資產(chǎn)的相 對價(jià)值I，例如，尺度可以是從1到5；第二步第二步：評估威脅發(fā)生的可能性PT，PT也可以用PTV（考慮被 利用的脆弱性因素）代替，例如尺度為1到5 ；第三步第三步：測量風(fēng)險(xiǎn)值R，R

17、= RR = R（PTV PTV ，I I）= PTV = PTV I I ； 該方法把風(fēng)險(xiǎn)對資產(chǎn)的影響與威脅發(fā)生的可能性聯(lián)系起來，常用于考察和比較威脅對組織資產(chǎn)的危害程度。方法的實(shí)施過程是：方法的實(shí)施過程是：信息安全管理講義 信息安全風(fēng)險(xiǎn)識別與評估信息安全風(fēng)險(xiǎn)識別與評估威威 脅脅影響影響（資產(chǎn)價(jià)值（資產(chǎn)價(jià)值I）威脅發(fā)生的可能性威脅發(fā)生的可能性PTV風(fēng)險(xiǎn)風(fēng)險(xiǎn)R威脅的等級威脅的等級威脅威脅A52102威脅威脅B2483威脅威脅C35151威脅威脅D1335威脅威脅E4144威脅威脅F2483R = PTV I=3 5=15信息安全管理講義 信息安全風(fēng)險(xiǎn)識別與評估信息安全風(fēng)險(xiǎn)識別與評估R = VR

18、 = V（1 - PD1 - PD）（1 - PO1 - PO）其中：V V系統(tǒng)的重要性，是系統(tǒng)的保密性C、完整性I和可用性A三 項(xiàng)評價(jià)值的乘積，即V = V = C CI IA A； POPO防止威脅發(fā)生的可能性，與用戶的個(gè)數(shù)、原先的信任、備份的頻率以及強(qiáng)制安全措施需求的滿足程度有關(guān)； PDPD防止系統(tǒng)性能降低的可能性，與組織已實(shí)施的保護(hù)性控制措施有關(guān)。 信息安全管理講義 信息安全風(fēng)險(xiǎn)識別與評估信息安全風(fēng)險(xiǎn)識別與評估網(wǎng)絡(luò)系網(wǎng)絡(luò)系統(tǒng)名稱統(tǒng)名稱保密性保密性 C完整性完整性IN可用性可用性A網(wǎng)絡(luò)系網(wǎng)絡(luò)系統(tǒng)重要統(tǒng)重要性性V防止威防止威脅發(fā)生脅發(fā)生PO防止系防止系統(tǒng)性能統(tǒng)性能降低降低PD風(fēng)險(xiǎn)風(fēng)險(xiǎn)R風(fēng)險(xiǎn)風(fēng)險(xiǎn)排序排序管理管理13260.10.33.782工程工程23