构建信息安全保障体系——使命.原则.框架.执行和实践.ppt

构建信息安全保障体系——使命、原则、框架、执行和实践 2006年11月 三观论 摘要 使命——27号文 原则——风险管理 框架——信息安全保障框架 执行 IT风险管理的业务化 从风险管理到合规性管理 实践 安全域 安全管理平台 使命 问题 什么是信息安全？ 到底要解决那些问题？ 怎么实施信息安全建设？ 问题 什么是信息安全？ 通过回答最根本的问题，帮助我们探究事物的本原。 到底要解决那些问题？ 明确工作的目标和要求，从一个大的广泛的概念中寻找自身的定位。 怎么实施信息安全建设？ 通过回答最实际的问题，帮助我们获得需要的实效。 三法则 Q3-WWH 三问题：什么/为什么/怎么 中办发[2003]27号 国家信息化领导小组关于 加强信息安全保障工作的意见 （2003年8月26日） 加强信息安全保障工作-总体要求 总体要求： 坚持积极防御、综合防范的方针， 全面提高信息安全防护能力， 重点保障基础信息网络和重要信息系统安全， 创建安全健康的网络环境， 保障和促进信息化发展， 保护公众利益，维护国家安全。 加强信息安全保障工作-主要原则 主要原则： 立足国情，以我为主， 坚持管理与技术并重； 正确处理安全与发展的关系，以安全保发展，在发展中求安全； 统筹规划，突出重点，强化基础性工作； 明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。 加强信息安全保障工作-九项任务 系统等级保护和风险管理 基于密码技术的信息保护和信任体系 网络信息安全监控体系 应急处理体系 加强技术研究，推进产业发展 法制建设、标准化建设 人才培养与全民安全意识 保证信息安全资金 加强对信息安全保障工作的领导，建立健全信息安全管理责任制 原则 原则——风险管理 风险管理 了解威胁 了解资产和业务 了解保障措施 安全的三个相对性原则 安全没有绝对，没有100% 实践安全相对性的三个原则 风险原则——适合商业机构 生存原则——适合强力机构 保镖原则——适合涉密机构 风险管理 风险管理的理念从90年代开始，已经逐步成为引导信息安全技术应用的核心理念 ISO13335中的风险管理的关系图 ISO13335以风险为核心的安全模型 风险评估的国家标准 国信办报告中的风险９要素关系图 德国ITBPM 最精简的风险管理３要素 三法则 Q3-WWH R3-AST 三问题：什么/为什么/怎么 风险三要素：资产业务/保障措施/威胁 了解威胁 威胁趋势 外部威胁环境 危害的频度、范围越来越大 威胁的方面越来越综合 攻击的技术含量越来越大 攻击的技术成本越来越低 攻击的法律风险还难于真正体现 … … 内部威胁和物理威胁 系统的环境越来越复杂 系统自身的结构越来越复杂 内部发生恶意和非恶意的可能性越来越大 威胁传递和放大的情况更加严重 威胁的总结 恶意代码 人为发起的越权和入侵类 病毒、蠕虫等传播类 发起的拒绝服务攻击类 违规操作 误操作 违规业务 恶意信息 恶意传播有害信息 垃圾信息（垃圾短信、垃圾邮件等） 信息泄漏 物理问题 设备故障 环境事故 自然灾害 针对威胁的主要技术 针对恶意代码 防火墙、防病毒、入侵检测、漏洞扫描… 违规操作 流量监控、审计、应用系统安全措施… 恶意信息 内容监控、内容过滤、加密… 物理问题 容灾、备份… 了解资产和业务 怎么了解资产和业务（IT相关） 分析信息体系架构ITA 业务系统 网络分布形态 系统的层次性 技术和管理 时间（生命周期） 价值（资产价值、影响价值、投入） … … 机构典型的ITA及其安全思维 ITA分析初探-层次 ITA分析初探-分布式 从安全角度梳理网络结构的主要方法 节点路径法 子网边界法 安全域方法 中国移动2004年的6个试点项目 安全域划分与边界整合 服务与端口管理 生产终端统一管理 安全帐号口令 安全补丁与版本管理 安全预警 通过安全域理解6个试点项目的安排 运营商的业务特色 电力系统二次安防的思路 某涉密广域网的特色 业务 没有基于大型的信息系统业务 小型业务部门自成业务单元 各个业务部门之间主要是一些协同数据共享 业务安全特色 强调小网安全，自成小型防护体系 内部大网强调全局监控，提供承载 规范数据共享，保证安全防止泄密 某涉密办公网的特色 将系统和网络进行一个典型分割，分别解决安全问题 边界（物理隔离、防火墙、防病毒网关、入侵检测…） 内网（VLAN、流量监控、异常监控…） 客户端接入区/OA区（非法外联、补丁管理、PC防病毒、内网综合治理…） 服务器区（服务器加固、入侵检测…） 安全支撑（漏洞扫描…） 银行的业务特征 内部经营决策分析系统—OLAP 对外核心业务系统—OLTP 了解保障措施 保障体系的实际组成 技术环境——当前主流的基本安全产品 加密 防病毒 防