中企航CISP培训笔记.docx

信息安全保障基础讲师陈阳怀基本安全属性CIA必威体育官网网址性完整性有效性信息安全特征系统的动态的无边界的非传统的安全范畴信息技术问题组织管理问题社会问题国家安全问题产生根源内因（三个复杂）：结构复杂过程复杂应用复杂外因两个威胁人为威胁：重点是网络部队情报机构自然威胁信息安全发展阶段：COMSEC：通过加密解决搭线窃听COMPUSEC：操作系统访问控制解决身份认证、病毒破坏、非法访问、恶意代码INFOSEC：COMSEC+ COMPUSEC：通过防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN等，防止网络入侵、病毒破坏、信息对抗IA：人员、技术、管理、工程CS/IA：三位一体，防御、攻击、情报安全保障发展历史第一次定义：1996年美国国防部DoDD 5-3600.1中办发[2003]27号文《关于加强信息安全保障工作的意见》信息安全保障概念和模型信息安全：数据安全信息系统安全：数据+计算机+网络安全信息安全保障：信息系统安全+人+工程+管理网络空间安全：信息安全保障三大模型P2DR模型：基于时间的策略、防护、检测、响应填充时间间隙整个生命周期都有防护如果Pt＞Dt＋Rt，那么S是安全的；如果Pt＜Dt＋Rt，那么Et＝(Dt＋Rt)－Pt策略：访问控制、加密通信、身份认证、备份恢复……IATF深度防御保障模型三个要素：人、技术、操作四个领域：三保护一支撑本地计算环境区域边界网络和基础设施支撑性基础设施UTM统一威胁管理信息系统安全保障模型在信息系统的整个生命周期中，通过四要素，确保三特征，保障系统实现组织机构的使命。信息安全保障实践关键基础设施是信息安全保障的最核心内容三道防线防御应对威胁加强安全环境中国现状2001年启动，2006年落实27号文九项内容具体内容标准化TC260：“信安标委”--全国信息安全标准化技术委员会（2002年）应急处理：CNCERT/CC：计算机应急响应小组信息安全等级保护（5级）信息安全风险评估2003年成立，2006年成熟每年一次灾难恢复2004年9月启动人才队伍建设信息安全保障工作方法安全保障需求来自法规符合性、业务需求、风险评估ISPP：信息系统保护轮廓（用户提出）ISST：信息系统安全目标（厂商提出）信息系统建设（略）信息系统测评产品测评依据：CC标准（ISO/IEC 15408 GB/T18336最高标准）5级，1级低、3级中、5级高（中国最高3级）系统测评（信息安全等级保护：工程、技术、管理）依据GB/T202745级，1级低、3级中、5级高（中国最高3级）工程测评依据：SSE-CMM（ISO/IEC21827）5级，1级低、3级中、5级高（中国最高3级）厂商工程能力测评一级：基本执行级二级：计划跟踪级三级：充分定义级四级：量化控制级五级：连续改进级中国安全认证特点所有IT产品都做测评产品越简单越容易实现高级别中国安全产品中下级，最高第4级信息安全管理基础和管理体系信息安全管理：管理者为实现信息安全目标（信息资产的CIA等特性，以及业务运作的持续）而进行的计划、组织、指挥、协调和控制的一系列活动。信息管理的对象：人是核心体系化管理的重要性信息安全管理体系：ISMS两种管理体系狭义：依照ISO/IEC27001标准定义的ISMS广义：没有具体标准，只有最终标准三个作用信息安全管理是组织整体管理的重要、固有组成部分，是组织实现其业务目标的重要保障信息安全管理是信息安全技术的融合剂，保障各项技术措施能够发挥作用信息安全管理能预防、阻止或减少信息安全事件的发生信息安全体系对内对外的作用实施信息安全管理的关键成功因素(CSF)反映业务目标与组织文化相一致管理者实质性支持领导的理解人员教育培训足够的资金宣贯安全方针、策略、目标信息安全管理方法和实施风险管理方法风险评估（基础）风险处理（核心）风险处理处理措施手段：技术性、管理性、物理性、法律性功能：预防性、检测性、纠正性、威慑性过程方法PDCA戴明环：计划、执行、检查、改进按顺序进行大环套小环提出新目标（螺旋上升）信息安全管理体系（ISMS）：是PDCA动态持续改进的一个循环体P：规划和建立D：实施和运行C：监视和评审A：保持和改进ISO/IEC2700027001：信息安全管理系统要求27002：信息安全控制措施、实用规则27003：信息安全管理系统实施指南27004：信息安全管理测量27005：信息安全风险管理信息安全管理体系ISMS管理职责：切实履行其管理职责文档控制层次化的文档一级方针、手册四级文档日志、计划、报告、检查记录、表格内部审核和管理评审内部审核发起：内部评审小组依据：所建立体系文件范围：信息安全执行情况目的：信息安全执行是否满足体系文件周期：一季度一次或半年一次管理评审发起：组织高层依据：业务范围：体系文件+执行情况目的：执行情况是否满足