网络信息安全管理培训.ppt
网络信息安全管理培训,一、什么是信息?,消息、信号、数据、情报和知识信息本身是无形的,借助于信息媒体以多种形式存在或传播:存储在计算机、磁带、纸张等介质中记忆在人的大脑里通过网络、打印机、传真机等方式进行传播信息借助媒体而存在,对现代企业来说具有价值,就成为信息资产:计算机和网络中的数据硬件、软件、文档资料关键人员组织提供的服务具有价值的信息资产面临诸多威胁,需要妥善保护,不论信息的形式是什么,不论是文字、数字、图形(像)和声音等,在计算机中都转换成二进制符号0和1来保存和处理。,信息是资产,企业的信息资产包括计算机和网络中的数据、硬件和软件、关键人员、组织提供的服务以及各类文档(专利、标准、商业机密、文件、图纸、管理规章等等)信息是一种资产,像其他重要的业务资产一样对组织具有价值,因此需要妥善保护。,企业关注的信息类型,内部信息,组织不想让其竞争对手知道的信息,客户信息,顾客/客户不想让组织泄漏的信息,共享信息,需要与其他业务伙伴分享的信息,信息生命周期,从安全的角度去考察信息资产,并不能只停留在静态的一个点或者一个层面上。信息是有生命周期的,从创建到被使用或操作,到储存,再到被传递,直至其生命周期结束而被销毁或丢弃,各个环节各个阶段都应被考虑到,安全保护应该兼顾信息存在的各种状态,不能够有所遗漏。,信息的处理方式,创建,传递,销毁,存 储,使用,更改,二、信息安全基本概念,信息安全和其保护的信息对象有关。本质是在信息的安全期内保证其在传输或静态存放时不被非授权用户非法访问。但允许授权用户访问。1.物理安全2.通信安全3.辐射安全4.系统安全5.网络安全6.人员安全,IBM:ASCI White超级计算机,8 192个 CPU 最大平均速度 7.304 TF(1012),1.物理安全,物理安全要点提示,清晰划定安全区域边界围墙、门锁、照明、告警、监视系统专门设立接待区,限制物理访问外来人员登记及陪同定期检查访问记录关键设施不要放置在公共区域关键区域不做显眼标记防止火灾、水灾、地震、爆炸等自然或人为灾难安全区域内工作,禁止摄影摄像,加强监督一定要注意那些不在视野范围内的东西,九城上海机房失火,2007-4-25晚上9点45分,位于上海市浦东新区张江高科技园区碧波路690号3号楼第九城市的1号机房发生严重的火灾,并伴有零星的爆炸声;10点15分上海浦东消防2中队赶来进行现场封锁和火灾扑灭工作,1区部分FWQ在此次火灾中已经烧毁,人物资料全部丢失,预计财产损失在3500万以上!,谁更重要?,各种信息的处理也越来越依赖于各类磁介质载体以电脑、磁盘、声像制品为主的磁介质载体已成为信息化社会中主流的信息载体。对这类新型载体的再认识和管理是做好新形势下保密工作的一项重要工作目前常用的计算机硬磁盘已达上百G的容量,可记载大量信息,存储密度高而体积很小的磁盘在储备传递的过程中很容易遭到窃取、篡改、伪造、销毁等不法行为的威胁。,磁盘管理,计算机磁盘属于磁介质,所有磁介质都存在剩磁效应的问题,保存在磁介质中的信息会使磁介质不同程度地永久性磁化;磁介质上记载的信息在一定程度上是抹除不净的,使用高灵敏度的磁头和放大器可以将已抹除信息的磁盘上的原有信息提取出来。,据一些资料的介绍,即使磁盘已改写了12次,但第一次写入的信息仍有可能复原出来。这使涉密和重要磁介质的管理,废弃磁介质的处理,都成为很重要的问题。国外有的甚至规定记录绝密信息资料的磁盘只准用一次,不用时就必须销毁,不准抹后重录。,注意你的身边!注意最细微的地方!,2.通信安全,消息在传输过程中被截获,那么消息中的信息就可能被敌人知道。其解决方法采用通信安全措施。Julius Caesar发明了恺撒密码,这种密码可以传递即使截获也无法读出的消息。,信号可以描述为数字,也可以描述为文字、图形、音响等在电学中具有两种稳定状态以代表0和1的东西很多。如:电压的高和低,开关的开和关,脉冲的有和无,晶体管的导通和截止等等。,3 辐射安全,人机界面不能使用密码,而只能使用通用的信息表示方法,如显示器显示、打印机打印信息等。信息网络系统的输入和输出端设备总是必有的,事实证明这此设备(系统)电磁泄露造成的信息泄露十分严重。,4 系统安全,美国国防部在1985年正式提出了可信计算系统评估标准(TCSEC,也被称为橙皮书)。橙皮书按照下列级别定义了计算机系统。,1985年美国可信计算机系统评估准则(TCSEC),1991年欧洲信息技术安全性评估准则(ITSEC),1993年加拿大可信计算机产品评估准则(CTCPEC),1993年美国联邦准则(TCSEC),1996年国际通用准则(CC),1999年国际标准(ISO15408),信息安全测评标准发展,我国于2001年3月正式颁布了GB/T 18336-2001信息技术 安全技术 信息技术安全性评估准则(等同于ISO/IEC15408:1999)。,5 网络安全,计算机相互连接形成网络时,就会出现新的安全问题,而且原有的问题也会以不同的方式出现。比如信息系统联网之后,对信息的威胁就增加了来自网络更大范围的黑客攻击间翻,网络病毒的传播和破坏也不同于单机模式。,“红色代码“病毒,“红色代码”是一种计算机蠕虫病毒,能够通过网络服务器和互联网进行传播。在短短不到一周的时间内,这个病毒感染了近40万台服务器,据估计多达100万台计算机受到感染。损失估计:全球约26亿美元,2001年7月19日 20点15分,2001年7月19日 1点05分,Who are you?,网络中,我如何能相信你,6.人员安全,人最常犯的一些错误,将口令写在便签上,贴在电脑监视器旁 开着电脑离开,就像离开家却忘记关灯那样 轻易相信来自陌生人的邮件,好奇打开邮件附件 使用容易猜测的口令,或者根本不设口令 丢失笔记本电脑 不能保守秘密,口无遮拦,泄漏敏感信息 随便在服务器上接Modem,或者随意将服务器连入网络 事不关己,高高挂起,不报告安全事件 在系统更新和安装补丁上总是行动迟缓 只关注外来的威胁,忽视企业内部人员的问题,人员安全重要提示,人员和组织安全是信息安全管理的难点,因为:人本身就是一个最复杂的因素 信息安全的“潜在性”使得安全组织和人才培养不容易获得认可 信息安全人才的培养是一个高难的过程 信息安全组织需要和企业文化进行磨合 避免信息安全组织和业务组织对立,增强全员的安全意识,安全意识(Security awareness),泛指组织员工对安全和安全控制重要性的一般性的、集体的意识。促进安全意识,可以减少人员的非授权活动,可以增强保护控制的效率,有助于避免欺诈和对计算资源的浪费 员工具有安全意识的标志:认知可能存在的安全问题及其危害,理解安全所需 明白自身的安全职责,恪守正确的行为方式 促进安全意识的方法和途径多种多样:交互性的、实时的介绍,课程,视频 出版发布物品,新闻传单,张贴物,简报,布告栏,Intranet 奖金和赞誉等激励机制 提醒物,比如登录banner,笔、便签、鼠标垫等随身物品 安全意识材料应该直接、简单和清楚,易于理解,要有创新和变化,安全培训和教育,培训(Training)不同于意识,其目的是传授安全相关的工作技能,主要对象为信息系统管理和维护人员,通常利用一对一的课堂形式,包括:为操作者和具体用户提供的安全相关的职务培训 为与敏感安全位置相关的具体的部门或人员提供的技能培训 为IT支持人员和系统管理员提供的技术性安全培训 为安全实践者和信息系统审计师提供的高级信息安全培训 为高级管理者、职能经理和业务单位经理提供的安全培训 教育(Education)更为深入,其目的是为安全专业人士提供工作所需的专业技术,一般通过外部程序实现,并且应该成为职业规划的一部分 具体的安全软件和硬件的产品培训也很重要,加强人员离职控制,人员离职往往存在安全风险,特别是雇员主动辞职时 解雇通知应选择恰当的时机,例如重要项目结束,或新项目启动前 使用标准的检查列表(Checklist)来实施离职访谈 离职者需在陪同下清理个人物品 确保离职者返还所有的公司证章、ID、钥匙等物品 与此同时,立即消除离职者的访问权限,包括:解除对系统、网络和物理设施的访问权 解除电话,注销电子邮箱,锁定Internet账号 通知公司其他人员、外部伙伴或客户,声明此人已离职,三、信息安全的C.I.A.原则,所谓C.I.A.原则,即信息的保密性、完整性和可用性,这是信息安全的目标,也是信息安全的基本原则,是对企业信息安全的基本要求。保密性完整性可用性,1)保密性Confidentiality,机密性是指保证信息不能被非授权访问,即使非授权用户得到信息也无法知晓信息内容,因而不能使用。通常通过访问控制阻止非授权用户获得机密信息,通过加密变换阻止非授权用户获知信息内容。,2)完整性Integrity,完整性是指维护信息的一致性,即信息在生成、传输、存储和使用过程中不应发生人为或非人为的非授权篡改。一般通过访问控制阻止篡改行为,同时通过消息摘要算法来检验信息是否被篡改。信息的完整性包括两个方面:(1)数据完整性:数据没有被未授权篡改或者损坏;(2)系统完整性:系统未被非法操纵,按既定的目标运行。,3)可用性Availability,可用性是指保障信息资源随时可提供服务的能力特性,即授权用户根据需要可以随时访问所需信息。可用性是信息资源服务功能和性能可靠性的度量,涉及到物理、网络、系统、数据、应用和用户等多方面的因素,是对信息网络总体可靠性的要求。除了这三方面的要求,信息还要求真实性,即个体身份的认证,适用于用户、进程、系统等;要求可说明性,即确保个体的活动可被跟踪;要求可靠性,即行为和结果的可靠性、一致性。,私密性(Privacy):个人和组织控制私用信息采集、存储和分发的权利;身份识别(Identification):用户向系统声称其真实身份的方式;身份认证(Authentication):测试并认证用户的身份;授权(Authorization):为用户分配并校检资源访问权限的过程;,可追溯性(Accountability):确认系统中个人行为和活动的能力;抗抵赖性(Non-repudiation):确保信息创建者就是真正的发送者的能力;审计(Audit):对系统记录和活动进行独立复查和审核,确保遵守性。而与C.I.A.相对的是D.A.D.即泄漏(Disclosure)、篡改(Alteration)和破坏(Destruction)。,通俗的信息安全,“进不来”使用访问控制机制,阻止非授权用户进入网络,“进不来”“拿不走”使用授权机制,实现对用户的权限控制,即不该拿走的,“拿不走”;“看不懂”使用加密机制,确保信息不暴漏给未授权的实体或进程,即“看不懂”;“改不了”使用数据完整性鉴别机制,保证只有得到允许的人才能修改数据,而其它人“改不了”;“走不脱”使用审计、监控、防抵赖等安全机制,使得攻击者、破坏者、抵赖者走不脱。,四、信息安全管理,Information Security Management:作为组织完整的管理体系中的一个重要环节,构成了信息安全具有能动性的部分,是指导和控制组织的关于信息安全风险的相互协调的活动,其针对对象就是组织的信息资产。,信息安全管理,信息安全的成败取决于两个因素:技术和管理。安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂。人们常说,三分技术,七分管理,可见管理对信息安全的重要性。,信息安全管理,现实世界里大多数安全事件的发生和安全隐患的存在,与其说是技术上的原因,不如说是管理不善造成的,理解并重视管理对于信息安全的关键作用,对于真正实现信息安全目标来说尤其重要。信息安全不是产品的简单堆积,也不是一次性的静态过程,它是人员、技术、操作这三种要素的紧密结合的系统工程,是不断演进、循环发展的动态过程。,信息安全管理面临的一些问题,国家的信息安全法律法规体系建设还不是很完善 组织缺乏信息安全意识和明确的信息安全策略 对信息安全还持有传统的认识,即重技术,轻管理 安全管理缺乏系统管理的思想,还是就事论事式的静态管理,调查显示有8成企业安全管理不理想,什么是ISMS?,信息安全管理体系(Information Security Management System)在信息安全方面指导和控制组织,用以实现信息安全目标的相互关联和相关作用的一组要素。这组要素通常包括:信息安全组织结构 各种活动和过程 信息安全管理体系文件 信息安全控制措施 人力物力等资源,ISMS的重要原则,管理层足够重视 组织保障 指明方向和目标 权威 预算保障,提供所需的资源 监督检查 需要全员参与 信息安全不仅仅是IT部门的事情 每个员工都应明白随时可能出现的安全问题 每个员工都应具备相关的安全意识和能力 让每个员工都明确自己承担的安全责任 遵循过程的方法 信息安全是个管理过程 应该系统地识别每项管理活动并加以控制,需要持续改进 实现信息安全目标的循环活动 信息安全是动态的,时间性强 持续改进才能有最大限度的安全 组织应该为员工提供持续改进的方法和手段 必须做到文件化 文件的作用:有章可循,有据可查 文件的类型:手册、规范、指南、记录,ISMS是一个文档化的体系,对管理框架的概括 包括策略、控制目标、已实施的控制措施、适用性声明(SoA)各种程序文件 实施控制措施并描述责任和活动的程序文件 覆盖了ISMS管理和运行的程序文件 证据 能够表明组织按照BS7799要求采取相应步骤而建立了管理框架 各种Records:在操作ISMS过程当中自然产生的证据,可识别过程并显现符合性,实施ISMS的过程,定义ISMS的范围 定义ISMS策略 定义一个系统化的风险管理途径 识别风险 评估风险 识别并评价风险处理的可选方案 选择控制目标和控制措施,以便处理风险 准备适用性声明(SoA)获得管理层批准,安全策略管理,Max.,Min.,Max.,投资、效率与可用性,Min.,Max.,安全曲线,投资额,安全性,最优平衡点,PDCA模型在ISMS过程中的运用,措施(Action)针对检查结果采取应对措施,改进安全状况;计划(Plan)根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施;实施(Do)实施所选的安全控制措施;检查(Check)依据策略、程序、标准和法律法规,对安全措施的实施情况进行符合性检查。,PDCA模型是一种抽象的模型,具有广泛通用性,PDCA是顺序依次进行的,依靠组织的力量推动,周而复始,不断循环,持续改进.组织中的每个部门和个人,在履行相关职责时,都是基于PDCA这个过程的,组织的内部管理,就构成了大环套小环层层递进的模式每一次循环结束,都要对其进行总结,巩固成绩,改进不足,同时提出新的目标,以便进入下一次更高级的循环,信息安全管理活动,确定组织的信息安全目标和战略;开发信息安全策略;进行风险评估(Risk Assessment);进行风险消减(Risk Mitigation);进行风险控制(Risk Control);配置管理(Configuration Management),确保系统发生的变化不会降低安全措施的效力和组织的整体安全。变更管理(Change Management),当信息系统发生变化时,识别新的安全需求。应急计划(Contingency Planning),包括业务连续性计划、灾难恢复计划等。,制订信息安全策略,进行风险评估,组织确认自己所拥有的资产,分析资产所面临的威胁、所具有的弱点、威胁事件发生的可能性、损害程度等,并最终得出资产所面临的风险等级的过程。,根据风险评估的结果,选择风险控制方法,将组织面临的风险控制在可以接受的范围内。,变更管理一般流程,关于职责分离,不应有人从头到尾地完全控制一项牵涉到敏感的、有价值的、或者关键信息的任务,例如金融交易中,一个人负责数据录入,另一个人负责检查,第三人确认最终交易应该分离:开发/生产;安全管理/审计;加密密钥管理/密钥更改小型组织实施职责分离比较困难,可以采取其他一些控制措施,如活动监控、跟踪检查和监督管理等但安全审计务必要有独立性,业务连续性管理,目标:减少业务活动的中断,保护关键业务过程不受重大事故或灾害的影响,确保其及时恢复。,绝对的零风险是不存在的,要想实现零风险,也是不现实的;计算机系统的安全性越高,其可用性越低,需要付出的成本也就越大,一般来说,需要在安全性和可用性,以及安全性和成本投入之间做一种平衡。,绝对的安全是不存在的!,在计算机安全领域有一句格言:“真正安全的计算机是拔下网线,断掉电源,放置在地下掩体的保险柜中,并在掩体内充满毒气,在掩体外安排士兵守卫。”显然,这样的计算机是无法使用的。,