信息安全相關(guān)理論技術(shù)

1、. 信息安全架構(gòu)計算機和網(wǎng)絡(luò)安全法則  安全組織框架 如何建立企業(yè)信息系統(tǒng)的安全架構(gòu) (1)  信息安全涉及到信息的保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。綜合起來說，就是要保障電子信息的有效性。 保密性就是對抗對手的被動攻擊，保證信息不泄漏給未經(jīng)授權(quán)的人。 完整性就是對抗對手主動攻擊，防止信息被未經(jīng)授權(quán)的篡改。 可用性就是保證信息及信息系統(tǒng)確實為授權(quán)使用者所用。 作為一個企業(yè)我們通常通過這樣的標(biāo)準(zhǔn)來劃分信息的保密性，完整性，可用性。 可用性-主要

2、通過信息的使用率來劃分：  1 非常低 合法使用者對信息系統(tǒng)及資源的存取可用度在正常上班時達到25% 2 低 合法使用者對信息資源的存取可用度在正常上班時達到50 3 中等 合法使用者對信息系統(tǒng)及資源的存取可用度在正常上班時達到100% 4 高 合法使用者對信息系統(tǒng)及資源的存取可用度達到每天95%以上。 5 非常高 合法使用者對信息系統(tǒng)及資源的存取可用度達到每天99.9%以上。 完整性-通過信息應(yīng)為修改對公司造成的損失的嚴重性來劃分： 1 非常低 未經(jīng)授權(quán)的破壞和修改不會對信息系統(tǒng)造成重大影響或?qū)I(yè)務(wù)沖擊可忽略 2

3、 低 未經(jīng)授權(quán)的破壞和修改不會對信息系統(tǒng)造成重大影響或?qū)I(yè)務(wù)沖擊可輕微 3 中等 未經(jīng)授權(quán)的破壞和修改已對信息系統(tǒng)造成影響或?qū)I(yè)務(wù)有明顯沖擊 4 高 未經(jīng)授權(quán)的破壞和修改對信息系統(tǒng)造成重大影響或?qū)I(yè)務(wù)沖擊嚴重 5 非常高 未經(jīng)授權(quán)的破壞和修改對信息系統(tǒng)造成重大影響且導(dǎo)致嚴重的業(yè)務(wù)中斷 機密性-通過信息使用的權(quán)限來劃分： 1 公開信息 非敏感信息，公開的信息處理設(shè)施和系統(tǒng)資源 2 內(nèi)部使用 非敏感但僅限公司內(nèi)部使用的信息（非公開） 3 限制使用 受控的信息，需有業(yè)務(wù)需求方得以授權(quán)使用 4 機密 敏感信息，信息處理設(shè)施

4、和系統(tǒng)資源只給比知者 5 極機密 敏感信息，信息處理設(shè)施和系統(tǒng)資源僅適用于少數(shù)比知者 為什么要保證企業(yè)的安全?企業(yè)安全的核心就是保護企業(yè)財產(chǎn)。企業(yè)的目標(biāo)是什么？創(chuàng)造經(jīng)濟價值，而作為安全系統(tǒng)就是為了幫助企業(yè)創(chuàng)造經(jīng)濟價值。安全追根究底的是一種投資，作為一種投資從安全系統(tǒng)的引入，員工的培訓(xùn)到最后安全系統(tǒng)的應(yīng)用都是一種投資，作為投資的目的，就是為了回報。保護公司的核心機密，使其不會外露這就是回報。只有保護了資產(chǎn)，才能說這個安全系統(tǒng)有作用。而判斷安全系統(tǒng)是否起到了作用，則需要從保密性，可用性和完整性來做出判斷。 作為信息安全服務(wù)它需要以下人員來負責(zé)它的安全運行 企

5、業(yè)管理人員 作為一個企業(yè)的決策者，負責(zé)企業(yè)的整體運行。他所關(guān)心的是信息安全所帶來的效益，由于要對整個企業(yè)負責(zé)，所以我們需要他了解：重新獲取或開發(fā)資產(chǎn)的費用、維護和保護資產(chǎn)的費用、資產(chǎn)對于所有者和用戶的價值、資產(chǎn)對于對手的價值、知識產(chǎn)權(quán)的價值、其他人愿意為這些資產(chǎn)所付的價錢、丟失后更換資產(chǎn)所需的費用.、資產(chǎn)受損后的債務(wù)問題、資產(chǎn)受損后可能面臨的法律責(zé)任，資產(chǎn)的價值有助于選擇具體的對策、商業(yè)保險需要了解每項資產(chǎn)的價值、每項資產(chǎn)的價值可以幫助確定什么是真正的風(fēng)險 安全管理人員 他所負責(zé)的是整個系統(tǒng)的網(wǎng)絡(luò)運行，硬件支持，以及機房的安全措施。他所服務(wù)的對象是企業(yè)的上層機構(gòu)，

6、他們的職責(zé)他就是維護好整個安全系統(tǒng)的正常運行。制定好安全系統(tǒng)的運行的規(guī)劃，使其能在運行中實現(xiàn)。 工程師他所關(guān)心的是整個系統(tǒng)的技術(shù)部分，保證系統(tǒng)在運行過程中不會因為數(shù)據(jù)丟失或是程序出現(xiàn)的錯誤而不能運行。  信息安全公式：信息安全先進技術(shù)防患意識完美流程嚴格的制度優(yōu)秀的執(zhí)行團隊法律保障   如何建立企業(yè)信息系統(tǒng)的安全架構(gòu) (2)  作為一次完整的信息安全評估咨詢，需要考慮到以下諸多條件： 漏洞：它包含很多原因，如口令的安全，在一個大的企業(yè)中口令的泄漏是隨時可能發(fā)生的，這對企業(yè)來說是很大的失誤。在一個企業(yè)里，信

7、息的安全要體現(xiàn)在任何地方，所以再各自運行的PC機上要設(shè)有獨立的口令，這些口令不能過于簡單，我曾經(jīng)嘗試破解一個8位數(shù)的口令，共花去了6個小時，所以口令不但不能過于簡單，而且還需要經(jīng)常更換。在優(yōu)利公司，所有員工的口令不能是單一的數(shù)字，必須含有英文字母。 暴露 如果沒有好的安全防護措施，那么就會使企業(yè)機密暴露，至于財產(chǎn)也沒有什么保護可言。 威脅：一套系統(tǒng)在運行過程中存在很多威脅，其中最為常見的威脅是人為錯誤對安全系統(tǒng)所造成的損壞。人為錯誤一般是無意行為，但是這對系統(tǒng)的安全性來說是沒有任何區(qū)別的。2是物理損壞，這主要指的是事故的發(fā)生，非人力直接造成的損壞，比如：洪水，地震，失火，電

8、力中斷以及盜竊等等一系列突發(fā)事件，這些對企業(yè)的設(shè)備，數(shù)據(jù)以及商業(yè)機密都會夠會造成巨大的損失，這在對企業(yè)安全系統(tǒng)的評估過程中是要考慮到的。3 由于設(shè)備的故障而引起的系統(tǒng)不能正常的運行。4受到攻擊，這種攻擊可以來自企業(yè)內(nèi)部，也可以是來自于企業(yè)外部，外部攻擊主要來自于黑客和病毒，他們的攻擊大多是帶有很強的目的性，比如獲取公司信息，破壞公司數(shù)據(jù)等等，這種攻擊無論是對公司的管理階層，還是員工尤其是數(shù)據(jù)庫都會造成嚴重的威脅，甚至?xí)o公司代去長久的潛在威脅。4 機密數(shù)據(jù)的濫用，在一個企業(yè)中機密是很重要的，它包括商業(yè)和管理上的機密。這些數(shù)據(jù)只能被管理階層或是專職部門所掌握，如果被太多的人所了解，那么再好的安全

9、系統(tǒng)也不能保證這些機密不被泄漏出去。5 數(shù)據(jù)的丟失，再安全系統(tǒng)的運行過程中可能會出現(xiàn)數(shù)據(jù)丟失的現(xiàn)象，而安全措施就是為了預(yù)防這些突發(fā)事故，在運行過程中做好備份系統(tǒng)，以防不測。6 應(yīng)用錯誤 這種錯誤主要出現(xiàn)在計算錯誤和輸入錯誤這些環(huán)節(jié)中。而這一環(huán)界是可以通過措施避免的。 風(fēng)險分析 首先 對風(fēng)險進行確認。要對公司的信息和資產(chǎn)做一個了解，告訴企業(yè)的負責(zé)人，這些資產(chǎn)對公司的價值是什么，存在什么樣的危險性，哪里是公司的最需要保護的東西，為什么要維護。否則在發(fā)生事故的時候為公司造成巨大的損失。再這里我們不著重說這些。我們今天針對的是企業(yè)的信息安全管理。而這對一個企業(yè)的負責(zé)人來說，了解這些

10、是至關(guān)重要的。 其次對風(fēng)險的量化。這一過程中我們要使企業(yè)了解這些風(fēng)險一般會以什么方式發(fā)生，如物理損害。使他們準(zhǔn)確的了解到此事故會給公司造成多大的經(jīng)濟，人力和物品的損失。如果機密由此泄漏那么對公司又會造成多大的損失。一但被病毒攻擊消除這種攻擊需要的費用。最后要對所有的風(fēng)險進行一個綜合，要收集以上所有危險發(fā)生可能性的數(shù)據(jù)，計算出發(fā)生這些危險的概率，并預(yù)算出每年發(fā)生這些事件的幾率，一年大概發(fā)生幾次這樣的事故。由以上信息推算出每向風(fēng)險的潛在損失，和在一年中將對公司造成的經(jīng)濟損失。 資產(chǎn)的確定： 即確定公司的資產(chǎn)，指定公司資產(chǎn)的價值、發(fā)展安全策略提供安全性，完整性和可用 性

11、，找到所需的資源和資金 對策 最后 遇到這些風(fēng)險后的對策。我們主要通過降低損失，轉(zhuǎn)移風(fēng)險，和接受風(fēng)險這三種方式解決風(fēng)險的發(fā)生。 降低風(fēng)險：我們主要是通過安裝防火墻，殺毒軟件等方式減少風(fēng)險的發(fā)生。或是改善不規(guī)范的工作流程，再或者就是制定一個連續(xù)性的計劃。以此來降低損失。 轉(zhuǎn)移風(fēng)險：企業(yè)可以通過買保險的方式來轉(zhuǎn)移風(fēng)險發(fā)生后所造成的損失，一但發(fā)生什么事故，一切都會由保險公司來負責(zé)賠償。 接受風(fēng)險：企業(yè)再得知某些風(fēng)險會對公司造成損失，但由于避免此項風(fēng)險所花費的人力和物力的價值遠遠超過此項風(fēng)險給公司所帶來的損失時，我們建議接受風(fēng)險。 完成以上相

12、關(guān)內(nèi)容的評估后，并不意味著評估的結(jié)束，我們還需要安全系統(tǒng)完整的運做一次，確保安全系統(tǒng)可以正常的工作。 一套完整的安全系統(tǒng)運行并不只是靠，一個部門幾個人來維護的，它需要企業(yè)全體員工都了解，所以還需要對公司的員工進行培訓(xùn)，只有采取了這一系列的措施，一套完整的安全系統(tǒng)才可以順利的運行   信息安全管理體系（ISMS） 信息安全管理體系（Information Securitry Management Systems）是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。它是直接管理活動的結(jié)果，表示成方針、原則、目標(biāo)、方法、過程、核查表

13、（Checklists）等要素的集合。 BS 7799-2是建立和維持信息安全管理體系的標(biāo)準(zhǔn)，標(biāo)準(zhǔn)要求組織通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責(zé)、以風(fēng)險評估為基礎(chǔ)選擇控制目標(biāo)與控制方式等活動建立信息安全管理體系；體系一旦建立組織應(yīng)按體系規(guī)定的要求進行運作，保持體系運作的有效性；信息安全管理體系應(yīng)形成一定的文件，即組織應(yīng)建立并保持一個文件化的信息安全管理體系，其中應(yīng)闡述被保護的資產(chǎn)、組織風(fēng)險管理的方法、控制目標(biāo)及控制方式和需要的保證程度  BS 7799-2:2002的PDCA過程模式   BS 7799-2:2002所采用

14、的過程模式如，“計劃-實施-檢查-措施”四個步驟可以應(yīng)用于所有過程。PDCA過程模式可簡單描述如下：    策劃：依照組織整個方針和目標(biāo)，建立與控制風(fēng)險、提高信息安全有關(guān)的安全方針、目標(biāo)、指標(biāo)、過程和程序。  實施：實施和運作方針（過程和程序）。  檢查：依據(jù)方針、目標(biāo)和實際經(jīng)驗測量，評估過程業(yè)績，并向決策者報告結(jié)果。  措施：采取糾正和預(yù)防措施進一步提高過程業(yè)績。 四個步驟成為一個閉環(huán)，通過這個環(huán)的不斷運轉(zhuǎn)，使信息安全管理體系得到持續(xù)改進，使信息安全績效(performance)螺旋上升。（其實和ISO9000, 1400

15、0等完全類似的。）  信息保護技術(shù) （from microsoft)   入侵防護系統(tǒng)（IPS） 入侵防護系統(tǒng)（IPS）是企業(yè)下一代安全系統(tǒng)的大趨勢。它不僅可進行檢測，還能在攻擊造成損壞前阻斷它們，從而將IDS提升到一個新水平。IDS和IPS的明顯區(qū)別在于：IPS阻斷了病毒，而IDS則在病毒爆發(fā)后進行病毒清除工作。  用黑客軟件性質(zhì)分類 一、掃描類軟件： 二、遠程監(jiān)控類軟件：“木馬” 三、病毒和蠕蟲：  四、系統(tǒng)攻擊和密碼破解： 五、監(jiān)聽類軟件： 

16、0; 物理層安全  網(wǎng)絡(luò)安全架構(gòu)    信息安全架構(gòu) 網(wǎng)絡(luò)周邊保護  與信息安全相關(guān)的6個主要活動是： 政策制定使用安全目標(biāo)和核心原理作為框架，圍繞這個框架制定安全政策； 角色和責(zé)任確保每個人清楚知道和理解各自的角色、責(zé)任和權(quán)力； 設(shè)計開發(fā)由標(biāo)準(zhǔn)、評測措施、實務(wù)和規(guī)程組成的安全與控制框架； 實施適時應(yīng)用方案，并且維護實施的方案； 控制建立控制措施，查明安全隱患，并確保其得到改正； 安全意識，培訓(xùn)和教育安全意識的養(yǎng)成，宣貫保護信息的必要性，提供安全運作信息系統(tǒng)所需技巧的培訓(xùn)，提供安全評估和實務(wù)教育。最后一點還要加上激勵，因為人們可能有這種有意識，但需要激發(fā)其行動。   信息安全（INFOSEC）應(yīng)包括以下六個方面：l 通信安全（COMSEC）l 計算機安全（COMPUSEC）l 符合瞬時電磁脈沖輻射標(biāo)準(zhǔn)（TEMPEST）l 傳輸安全（TRANSEC）l 物理安全（Physical Security）l 人員安全（Personnel Security）綜上所述，信息安全的主要內(nèi)容包括：機密性（Co