信息安全管理与信息安全风险评估ppt课件.ppt

李成峰CISSPIS027001 LA 渗透技术培训站“第八军团”创始人出版书籍Tel:13922460735Email:li_,什么是信息安全？您的组织存在那些信息安全问题?当前采取那些信息安全防御策略?这些安全防御策略有效吗、能解决信息安全问题吗？如何构建实施符合国家、行业、企业本身的安全体制？如何确保持续性的运行稳定？,“痛苦”的仓鼠？,信息安全保障,信息安全管理,信息安全保障体系实施,通信保密（ComSEC)计算机安全(CompSEC)IT安全(ITSEC)信息安全保障（IA),信息安全发展历程,信息安全发展历程,第一阶段：通信保密,上世纪40年代70年代重点是通过密码技术解决通信保密问题，保证数据的保密性与完整性主要安全威胁是搭线窃听、密码学分析主要保护措施是加密重要标志1949年Shannon发表的保密系统的通信理论 1977年美国国家标准局公布的数据加密标准（DES）1976年由Diffie与Hellman在“New Directions in Cryptography”一文中提出了公钥密码体制,加 密,解 密,嵌 入,提取,B 嵌入钥匙,B 嵌入钥匙,B 解密钥匙,B 加密钥匙,传送方,接收方,案例分析,影像加密伪装传输,案例分析,微软护照问题,1. 資料來源：2001年11月4日，台湾的联合报5版发表。2. 在西雅图网络安全研究员史蘭科发现一种欺骗微软公司保障网络购 物的护照(Passport)主机，將他人的电子钱包資料傳給他的方法并 通知微软工程部之后，自2001年10月31日起，微软公司暂时关掉 该项服务，以便進行網路修复与测试。3.护照是微软未來最重要的科技之一，至关闭时间为止，已有 2,000,000人註冊使用，而几乎所有XP的用戶均无法使用 到其服務。,信息安全发展历程,第二阶段：计算机安全,上世纪7080年代重点是确保计算机系统中硬件、软件及正在处理、存储、传输信息的机密性、完整性主要安全威胁扩展到非法访问、恶意代码、脆弱口令等主要保护措施是安全操作系统设计技术（TCB）主要标志是1985年美国国防部公布的可信计算机系统评估准则（TCSEC）将操作系统的安全级别分为四类七个级别（D、C1、C2、B1、B2、B3、A1），后补充红皮书TNI（1987）和TDI（1991），构成彩虹（rainbow）系列。,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,案例分析,操作系统安全,信息安全发展历程,第三阶段：IT安全,上世纪90年代以来重点需要保护信息，确保信息在存储、处理、传输过程中及信息系统不被破坏，确保合法用户的服务和限制非授权用户的服务，以及必要的防御攻击的措施。强调信息的保密性、完整性、可控性、可用性主要安全威胁发展到网络入侵、病毒破坏、信息对抗的攻击等主要保护措施包括防火墙、防病毒软件、漏洞扫描、入侵检测、PKI、VPN、安全管理等主要标志是提出了新的安全评估准则CC（ISO 15408、GB/T 18336）,案例分析,入侵技术交流,. 源起：2001年4月1日美國情報偵察機誤闖中國領空與其所導致的殲 八撞機失事、飛行員王偉先生失蹤事件。. 雙方主力： .1 中方：Lion联系了我國紅客聯盟(Honker Union of China， 簡稱HUC)、第八军团、黑客聯盟與鷹派駭客組織。 .2 美方：prOphet與poizonB0 x駭客組織。. 戰爭起迄時間：2001年4月30日晚上20時2001年5月8日。. 雙方戰果： .1 美方被攻破網站：約1,600個。.2 中方被攻破網站：約1,100個。,案例分析,中美黑客大战,入侵方式說明：1. 以 Solaris主機上 buffer overflow 漏洞，在 Solaris 主機上安裝後門程式（包括 Solaris 7）。2. 發動 Solaris 主機上安裝後門程式，利用port 80 及 IIS unicode 漏洞，自動掃瞄攻擊Windows NT IIS 主機（安裝IIS Worm後門程式，並修改網頁 ）。3. Solaris 主機入侵 2,000 台 IIS 主機後，修改 Solaris 主機的 index.html 網頁。,中美黑客大战,前网站入侵描述图,1. Solaris 主機：n 檢查是否存在以下目錄：/dev/cub - contains logs of compromised machines /dev/cuc - contains tools that the worm uses to operate and propagate n 檢查是否有下列後門程式在執行：/bin/sh /dev/cuc/sadmin.sh /dev/cuc/grabbb -t 3 -a .yyy.yyy -b .xxx.xxx 111 /dev/cuc/grabbb -t 3 -a .yyy.yyy -b .xxx.xxx 80 /bin/sh /dev/cuc/uniattack.sh /bin/sh /dev/cuc/time.sh /usr/sbin/inetd -s /tmp/.f /bin/sleep 3002.NT IIS 主機：n IIS Server Log File(Winnt/System32/Logfiles)： 2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET /scripts/././ winnt/system32/cmd.exe /c+dir 200 2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET /scripts/././ winnt/system32/cmd.exe /c+dir+. 200 2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET /scripts/././winnt/system32/cmd.exe /c+copy+winnt system32cmd.exe+root.exe 502 -2 2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET /scripts/root.exe /c+echo+././index.asp 502 -3 3. 被入侵的網頁文字如下：fuck USA Governmentfuck PoizonBOxcontact:,中美黑客大战,前网站入侵方法,1990European InformationTechnology SecurityEvaluation Criteria(ITSEC),1990Canadian TrustedComputer ProductEvaluation Criteria(CTCPEC),1993US Federal Criteria(FC)CTCPEC 3.0,1985US TrustedComputer SystemEvaluation Criteria(TCSEC),1996Common Criteriafor Information Technology SecurityEvaluation (CC),1998ISO/IEC 15408(DIS)(CC 2.0),1999ISO/IEC 15408(CC 2.1),信息安全发展历程,发展历程之间关系,信息安全发展历程,发展历程之间关系,问题:CC中的评估保证级4级（EAL4）对应TCSEC和ITSEC的哪个级别？,1. 1997年10月7日，美国公告了针对 ISO/IEC 15408(以下简称CC)通过后认证机制所需TTAP (Trust Technology Assessment Program) Laboratories,接受CC测试与评估工作，作为NIAP (National Information Assurance Partnership) CCEVS (Common Criteria Evaluation and Validation Scheme)认证建立起来的过渡方案。2. 1997年11月8日，TTAP提出基于CC认证、检测的工作建议。3. 1999年4月，美国、加拿大、德国、英国、法国共同簽署CCMRA (Mutual Recognition Agreement)，預期欧洲、亞太其他国家将陆续加入。4. 1999年5月14日，美國公告了CC认证计划，同時宣布密码組认证计划將并入此计划。5. 1999年6月8日，美国宣布CC 2.1版正式成为ISO/IEC 15408。6. 2000年5月2325日，在美国Baltimore International Convention Center举办第1次CC国际研讨会。7. 2000年8月30日，美国公告Computer Science Corporation (CSC)， Cygna Com Solutions, Science Applications International Corporation (SAIC)與 TUV:T Incoporated 4家民間实验室已經通過NIAP的認可 CCTL (Common Criteria Testing Laboratories)。,信息安全发展历程,发展历程之间关系,美国国家安全局,国家标准技术局,国家认证机构,多个授权测试实验室,认证申请者,国家实验室认可程序,管理监督指导,评估结果,信息安全发展历程,美国测评认证体系模式,信息安全发展历程,国际互认情况,15408: 通用准则(CC)15292: PP注册程序15446: PP和ST生成指南15443: IT安全保障框架 (FRITSA)18045: 通用评估方法（CEM)19790: 密码模块的安全要求19791: 运行系统的安全评估19792: 生物识别技术的安全测评框架 (SETBIT)21827:2002 系统安全工程 能力成熟模型 (SSE-CMM),信息安全发展历程,测评相关标准,信息安全发展历程,第四阶段：信息安全保障,“确保信息和信息系统的可用性、完整性、可 认证性、保密性和不可否认性的保护和防范活动。 它包括了以综合保护、检测、反应能力来提供信息 系统的恢复。” -美国国防部（ DoD）国防部令S-3600.1,信息保障(IA)定义,一个宗旨:保障信息化带来的利益最大化(应用服务安全)两个对象 信息 信息系统三个安全保障能力来源 技术 管理 人,信息保障,信息保障包括什么,四个层面 局域计算环境边界和外部连接基础设施 信息内容,信息保障,信息保障包括什么,五个信息状态产生存储处理 传输 消亡,六个信息保障的环节 预警（W） 保护（P） 检测（D） 响应（R） 恢复（R） 反击（C）,信息保障,应用安全边界分析,七个安全属性保密性 完整性可用性可认证性不可否认性可控性可追究性,信息保障,信息保障包括什么,看不懂,进不来,改不了,跑不了,可审查,打不垮,信息保障,信息安全表现层面,信息安全保障 国家信息安全体系框架,信息安全保障体系框架,安全法规,安全管理,安全标准,安全工程与服务,安全基础设施,教育培训,信息安全保障 国家信息安全体系框架, 信息安全管理基础标准GB/T19715.1-2005信息安全管理指南 第一部分:IT安全管理的概念和模型GB/T19715.2-2005信息安全管理指南 第二部分:管理和规划IT安全 信息安全管理要素标准GB/T19716-2005信息技术 信息安全管理实用规则GB/T20269-2006信息安全技术 信息系统安全管理要求,信息安全保障 我国信息安全管理标准,最近正式公布的标准GB/T20984-2007信息安全技术 信息安全风险评估规范GB/Z20985-2007信息技术安全技术 信息安全事件管理指南GB/Z 20986-2007信息安全技术 信息安全事件分类分级指南GB/T20988-2007信息安全技术 信息系统灾难恢复规范,信息安全保障 我国信息安全管理标准, 2007年制修订： 制定信息安全管理体系要求（27001） 信息安全管理体系认证机构的认可要求（27006） 信息安全风险管理规范 修订GB/T 19716-2005信息技术 信息安全管理实用规则 预编制灾难恢复计划信息安全风险评估实施指南,信息安全保障 我国信息安全管理标准,信息安全等级保护办法 (公通字200743号)电子银行业务管理办法 (银监会20065号)国家电子政务工程建设项目管理暂行办法(发改委 200755号)银监会、保监会、电监会、证监会17大安全工作保证要求2008奥运安保工作要求（民航、铁路、电力、银行、新闻、气象等部门）国税系统安全评估检查（轮巡、抽查）,信息安全保障 各行业落实情况,信息安全保障 我国安全体系落实架构,信息安全保障,历史发展看保障策略,物理和环境安全,自然威胁（如：地震、洪水、风暴、龙卷风等）设施系统（如：通信中断、电力中断）人为/政治事件（如：爆炸、蓄意破坏、盗窃、恐怖袭击、暴动）,物理和环境安全,物理和环境安全威胁,物理和环境安全,物理和环境安全威胁,墙，窗和门入口点门窗屋顶入口服务或运输通道火警通道其它通道,物理和环境安全,设施和建筑物,基础设施支持系统包括电力，水/水管系统，燃气管道，及供热、通风、空调（HVAC）,和冰箱。,物理和环境安全,设施和建筑物,电力电力扰动能造成严重的业务影响；信息系统的运行所需能源；关键是理解停业的成本；目标是获得“干净和稳定的电力”,物理和环境安全,基础设施支持系统,电力脆弱点：停电：完全丧失电力供应超过1-5分钟以上；灯火管制：商业电力持续丧失；故障：电力突然中断,物理和环境安全,基础设施支持系统,电力脆弱点原因：电力降低故意的电压降低；偶尔的电压降低；电力供给中，突然电压升高。,这些支持系统是如何安装的？是否涉及计算机单元？是否保持了合适的温度和湿度水平，空气质量如何？,物理和环境安全,供热、通风、空调（）,周边,大楼地面,大楼大门,楼层、办公室分布,数据中心/设备、媒介,物理和环境安全,层次化安全防护,物理控制措施的目标为： 预防 延迟 监测 评估 对物理入侵的适当反映,物理和环境安全,物理安全控制,周边和大楼场地大楼入口点大楼里边-大楼地板/办公室分布数据中心/服务器机房安全计算机设施保护对象保护,物理和环境安全,物理安全控制措施,物理和环境安全,物理安全控制措施,物理和环境安全,物理安全控制措施,物理和环境安全,物理安全控制措施,物理和环境安全,物理安全控制措施,信息安全防护结构,信息安全防护结构,安全分区图,信息安全防护结构,路径和节点分析,信息安全防护结构,子网和边界分析,信息安全防护结构,相关标准如何借鉴,信息安全防护结构,相关标准比较,信息安全防护结构,案例:安全域划分,信息安全防护结构,案例:安全域划分,还存在那些风险?,1. 2001年华盛頓报引用美国联邦官员的话报道，涉嫌911案的恐怖分子使用隱藏在网络上的訊息，用以计划、伪装並互相协调他們的攻击活动。3. 法国警方发现一本属于涉嫌911案的一名恐怖分子的笔记本，其中记载的密码或可读本拉登网络內的信息。這本笔记本已經送交美国当局处理。4. 許多美國及海外的网络从业者，包括美国在线、微软、雅虎等，已經收到信息，要求其交出所謂的网络隐藏图文的通讯记录。5. ISO TR 13569 1997(E)中，对于信息隐藏学之图像疊加、隐藏痕迹协议、数字浮印等技术日益普及帶來之新的信息安全风险特別要求加以补充。,信息安全保障 案例分析：信息隐蔽,信息安全对策必须以风险管理为基础：安全不必是完美无缺、面面俱到的。但风险必须是能够管理的。最适宜的信息安全策略就是最优的风险管理对策。这是一个在有限资源前提下的最优选择问题：防范不足会造成直接的损失；防范过多又会造成间接的损失。必须根据安全目标审查安全手段。信息安全保障的问题就是安全的效用问题，在解决或预防信息安全问题时，要从经济、技术、管理的可行性和有效性上做出权衡和取舍。,信息安全防护结构,信息风险对策：风险管理,信息安全保障,信息安全管理,信息安全保障体系实施, 英国模式 BS 7799认证 美国模式 认证与认可(C&A)模式认证是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或 者标准的合格评定活动。认可是指由认可机构对认证机构、检查机构、实验室，以及从事评审、审 核等认证活动人员的能力和执业资格，予以承认的合格评定活动。 ISO SC27 WG1 正在构建ISMS标准体系,信息安全管理,几种管理模式, “9.11”事件后，新出现的对美国政府的威胁表明了需要新的安全措施。为应对这些初现的威胁，2002年 电子政府法形成为法律。 这个立法也包含了联邦信息 安全管理法 (FISMA) ，它代替了2001年国防授权法 包括的政府信息安全改革法GISRA)。 FISMA 引起了一个连锁反应，它要求 DoD 和其他的 联邦政府部门更新他们现在的关于信息保障的指南和 标准。,信息安全管理,风险管理重要转折点, 美国是国际上信息化技术和应用最发达的国家。随着信息化应用需求的牵引，安全事件的驱动和信息安全 技术、信息安全管理概念的发展深化，他们对信息安 全风险评估管理的认识也逐步加深。以计算机为对象的信息保密阶段 以计算机和网络为对象的信息安全保护阶段以信息系统关键基础设施为对象的信息保障阶段,信息安全管理,美国信息系统安全认证认可,NIST提出的观点:系统安全不同于产品安全,保护轮廓,IT 产品,NIAP CCEVS,CC 评价,经认可的 测试实验室,NIST CMVP,密码模块,FIPS140-2 测试,产品,保护轮廓,证据, 安全目标 评估报告 认证报告, 标准 指南,运营环境,认可机构,实际的威胁和脆弱性,系统级的保护轮廓,具体的IT系统,通用子系统,产品, 风险管理 安全策略 系统安全规划, 人员安全 过程安全 物理安全, 认证 认可,技术安 全,SP 800-18 IT系统安全计划开发指南 （1998年12月 ）SP 800-26 IT系统安全自评估指南（2001年11月）SP 800-30 IT系统风险管理指南（2002年1月发布，2004年1月21日 修订 ）SP 800-37 联邦IT系统认证认可指南（2002年9月，2003年7月，2004年5月最后文本）FIPS 199联邦信息和信息系统的安全分类标准（草案第一版）（2003年12月）SP 800-53联邦信息系统安全控制（2003年8月31日发布草案）SP 800-53A联邦信息系统安全控制有效性检验技术和流程（2005年7月发布草案）SP 800-60 信息和信息类型与安全目标及风险级别对应指南（2004年3月草案2.0版),信息安全管理,美国配套文件,SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC,8 监控, 分类, 选择, 补充, 计划, 实现, 评估, 批准,信息安全管理,NIST 800-53安全控制,信息安全管理,NIST 800-53安全控制,基准控制总数:低:96中:157 高:188,信息安全管理,NIST 800-53安全控制, 为了支持FISMA，DoD 于2003年发布了信息保障 的实现 DoDI 8500.2。DoDI 8500.2 定义了保证一 个信息系统的保密性、完整性和可用性必需的安 全控制，监控和管理。 美国 DoD 已经开发了一个新的 C&A过程，称为国防信息安全保障认证和认可过程(DIACAP)（DoDI 8510. bb）。它将替代DITSCAP，而不是对DITSCAP的升级。,信息安全管理,美国国防部动态,信息安全管理,DIACAP过程,信息安全管理,英国模式,参照质量管理体系BSI提出了信息安全管理标 准BS 7799系列uInformation security anagement Part 1: Code of practice for information security managementPart 2: Specification for information security management systems.,信息安全管理,英国模式, BS 7799中提出了若干重要概念风险评估:评估信息安全漏洞对信息处理设备带来的威胁和影响及其发生的可能性。风险管理 :以可以接受的成为、确认、控制、排除 可能影响信息系统的安全风险或将其带来的危害最 小化的过程。,信息安全管理,英国模式,信息安全管理,风险管理组织方针,风险评估风险处理,风险评价,风险分析,信息安全管理,信息安全管理, 2005年正式推出27000系列 初步考虑制定将近10个标准全面规范信息安全管理体系(ISMS),信息安全管理,ISO SC27 WG1的ISMS系列,27000 标准 族,27000,ISMS,原则和术语,信息安全管理 体系 要求,2005,27001,信息安全管理实用规则,17799：2005,（现已改为27002）,27002,27003,27004,27005,27006,2700727009,ISMS,实施指南,信息安全,管理度量,信息安全,风险管理,信息安全管理体系认证机构 的认可要求,信息安全管理,ISMS安全管理体系,27000,名称:IS 27000 Information security managementsystem fundamentals and vocabulary (NP) 来源:整合改写13335 内容:阐述ISMS的基本原理和词汇,27001,名称:ISO/IEC 27001 Information security management systems Requirements(信息安全管理体系要求)来源:源于BS7799-2内容:提出ISMS的基本要求状况:2005年正式发布,1 范围2 规范性引用文件3 术语和定义4 信息安全管理体系（ISMS）5 管理职责6 内部ISMS审核7 ISMS的管理评审8 ISMS改进,本标准之间的对照,信息安全管理,结构,组织 受控的 信息安全,P l an,建立ISMS,建立，维,护,改进循环,保持与改进ISMS,实施与运行ISMS,Do,组织,信息安全,需求与期望,Act,监控与评审ISMS,Check,信息安全管理,模型,信息安全管理,控制目标与控制措施,个域、个控制目标、个控制措施,DO,CHECK,ACT,PLAN,公司治理,风险管理处理,系统控制,内部审计功能,ISO/IEC 17799,信息安全管理,与其他体系如何结合,信息安全管理,ISMS 规划阶段的工作,信息安全管理,ISMS实施阶段的工作,信息安全管理,ISMS检查阶段的工作,信息安全管理,ISMS处置阶段的工作,1.制定信息安全目标和实现目标的途径；2.建设信息安全组织机构，设置岗位、配置人员并分配职责；3.实施信息安全风险评估和管理；4.制定并实施信息安全策略；5.为实现信息安全目标提供资源并实施管理；6.信息安全的教育与培训；7.信息安全事故管理；8.信息安全的持续改进。,信息安全管理,信息安全管理主要活动,“物无美恶,过则为灾”-沁园春将止酒,信息安全风险管理与风险评估, 信息安全目标错误定位: 系统永不停机 数据永不丢失 网络永不瘫痪 信息永不泄密,信息安全风险评估,面对风险存在不同认识,索引内容：特殊字符,页面篡改数据失密数据丢失.,政治影响,经济影响,风险,威胁,漏洞,资产,信息安全风险评估,案例：安全威胁无所不在,黑色期: 初学, 样样都有趣, 样样都测试, 样样都不顾 黃色期: 小有成就, 区域霸主, 东躲西藏花色期: 样样都知, 样样都會, 来无影去无踪白色期信息安全证件挂满脸, 安全术语挂满嘴, 机器被黑绝对不是我干的,常常被抓,偷看人家电脑,密码多到用不完,转型成功叫专家, 转型失敗蹲监狱,信息安全风险评估,历程：一黑二黄三花四白,依据国家有关的政策法规及信息技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性 和可用性等安全属性进行科学、公正的综合评估的活动 过程。它要评估信息系统的脆弱性、信息系统面临的威 胁以及脆弱性被威胁源利用后所产生的实际负面影响， 并根据安全事件发生的可能性和负面影响的程度来识别 信息系统的安全风险。,信息安全风险评估,风险评估定义,任何信息系统都会有安全风险，所以，人们要追求 安全的信息系统，实际是指信息系统在实施了风险评 估并做出风险控制后，仍然存在的残余风险可被接受 的信息系统。（1）方法：要追求信息系统的安全，就不能脱离 全面、完整的信息系统的安全评估，就必须运用信息 系统安全风险评估的思想和规范，对信息系统开展安 全风险评估,（2）投资：信息安全建设的宗旨之一，就是在综合考 虑成本与效益的前提下，通过安全措施来控制风险， 使残余风险降低到可接受的程度。（3）方向：依据风险评估结果制定的信息安全解决方 案，最大限度的避免了盲目和浪费。可以使组织在信 息安全方面的投资获得最大的收益。,信息安全风险评估,风险评估意义,风险三角形,威 胁,资 产,脆 弱 性, 风险关键要素资产威胁脆弱性,信息安全风险评估,风险评估基本要素,信息安全风险评估,ISO TR 13335的观点,影响,使命,保障,资产价值,成本,安全需求,被满足,安全措施,未控制,残余风险,事件,威胁,脆弱性,资产,风险,导致,增加,导出,导出,风险关键要素关系图,防 护 措施,脆 弱性,资产,威胁,威胁,威胁,脆 弱性,脆 弱性,脆 弱性,脆 弱性,威胁,风险,残余风险,风险,风险,脆 弱性,防 护 措施,防 护 措施,风险的计算 R=F（A，T，V）,信息安全风险评估,风险评估风险计算方法,系统边界 系统功能 系统和数据的关键性 系统和数据的敏感性,硬件 软件 系统接口 数据和信息 人员 系统使命,系统攻击历史 来自情报机构的数据,以前的风险评估报告 任何审计意见 安全要求 安全测试结果,当前的控制 规划的控制,威胁源的动机 威胁的能力 脆弱性的性质 当前的控制,分析对使命的影响 评估资产的关键性 数据关键性 数据敏感性,威胁破坏的可能性 影响的程度 规划中或当前控制的 足够性,威胁声明,可能的脆弱性列表,当前控制及规划控制清单,可能性级别,影响级别,风险及相关风险的级别,建议的控制,风险评估报告,识别威胁,识别脆弱性,分析安全控制,确定可能性,分析影响完整性损失可用性损失保密性损失,确定风险,对安全控制提出建议,记录评估结果,描述系统特征,系统目标分析,资产收集调查,IT设备审计,主机系统审计,网络设备审计,安全设备审计,网络架构安全评估,安全风险评估报告安全解决方案,应用系统安全评估,渗透测试,安全扫描,安全管理审计,业务连续性审计,信息安全风险评估,风险评估工作内容,1. 80年代後期，美國國家安全局國家電腦安全中心(National Computer Security Center)開始推廣穿透測試。2. 1995年，美國國會正式使用IBM ACF/2 (B1等級)，為證明安 全，由George Kurtz先生主持穿透測試。3. 3天後，George Kurtz先生領導的穿透測試小組證實他們已能 簽入IBM ACF/2主機並取得遍覽甚至修改檔案的權利，並出示 美國國會的機密文件。4. 教訓： 渗透測試能協助擬定資訊系統安全計畫。,信息安全风险评估,渗透测试为安全评估直观反映,1. 1996年冬季，Wheel Group Corp組成5人小組，參加FORTUNE 安排之穿透測試。2. 財星雜誌徵得排名全球500大之內的XYZ跨國企業再由著名的五大 會計師事務所協防下參加測試。3. Wheel Group Corp 5人小組於D日凌晨1:10時開始作業。4. D日晚上21時13分，Wheel Group Corp 5人小組攻進XYZ公司內部 網路，獲得突破性進展。5. D+1日凌晨0時1分，Wheel Group Corp 5人小組攻佔XYZ公司稅務(TAX) 部門電腦。6. D+1日凌晨2時2分，Wheel Group Corp 5人小組佔領XYZ公司技術 (Technology)部門電腦。,信息安全风险评估,渗透测试为安全评估直观反映,7. Wheel Group Corp 5人小組使用偽造的XYZ公司員工帳號發出一 封致批准此次實驗計畫的主管，請求核准獎勵參加此次財星試 驗(FORTUNEs experiment)計畫的員工，U.S.$5,000之耶誕 節獎金。 8. XYZ公司批准此次實驗計畫的主管裁示：Okey,fine，穿透測 試結束。 9. FORTUNEs出資進行財星試驗計畫，取得報導權利。10. 資料來源：Behar, R.(1997)Whos reading your e-mail? FORTUNE,Feb. 1997,pp 3646。,信息安全风险评估,渗透测试为安全评估直观反映,1. 1997年夏季，美國參謀首長聯席會議下令舉行之Eligible Receiver 穿透測試演習開始。2. Eligible Receiver演習證實恐佈分子有能力發動電子珍珠港事件。3. 1999年，美國國防部舉行第2次全國性之穿透測試演習。,信息安全风险评估,渗透测试为安全评估直观反映,physical,people,information systems,Risk threshold,processes,products/services,applications,ICT,信息安全风险评估,风险处置,-98,712,773,775,physical,people,Continual,Improvement,information systems,processes,products/services,applications,ICT,Jan-02,Jun-02,Jan-03,信息安全风险评估,风险处置,信息安全风险评估,规避风险评估产生的新风险,政府开展信息安全风险评估工作, 国家电子政务网络、重点业务信息系统、基础信息库以及相关支撑体系，应开展信息安全风险评估工作； 电子政务项目信息安全风险评估的主要内容：分析信 息系统资产的重要程度，评估信息系统面临的安全威 胁、存在的脆弱性、已有的安全措施和残余风险的影 响等；,信息安全保障,信息安全管理,信息安全保障体系实施,简介,保证论据,风险信息,产品或服务,工程过程Engineering,保证过程Assurance,风险过程Risk,信息安全工程,过程,安全工程与其它科目一样，它是一个包括概念、设计、实现、测试、部署、运行、维护、退出的完整过程。SSE-CMM强调安全工程是一个大的项目队伍中的一部分，需要与其它科目工程师的活动相互协调。,PA10指定安全要求,需求、策略等,配置信息,解决方案、指导等,风险信息,PA08监视安全态势,PA07协调安全,PA01管理安全控制,PA09提供安全输入,信息安全工程,安全工程过程,PA04：评估威胁,威胁信息threat,脆弱性信息vulnerability,影响信息impact,风险信息,PA05：评估脆弱性,PA02：评估影响,PA03：评估安全风险,风险就是有害事件发生的可能性一个有害事件有三个部分组成：威胁、脆弱性和影响。,信息安全工程,安全风险过程,证据,证据,保证论据,PA11验证和证实安全,指定安全要求,其他多个PA,PA06建立保证论据,保证是指安全需要得到满足的信任程度SSE-CMM的信任程度来自于安全工程过程可重复性的结果质量。,信息安全工程,安全保证过程,信息安全工程 周期,计划执行规范化执行跟踪执行验证执行,定义标准过程协调安全实施执行已定义的过程,建立可测量的质量目标客观地管理过程的执行,1,非正式执行,2,计划与跟踪,3,充分定义,4,量化控制,5,连续改进,执行基本实施,改进组织能力改进过程的有效性,公共特性,信息安全工程 能力成熟度,信息安全工程 信息安全工程能力成熟度,信息安全工程 过程,安全保障体系实施,信息安全工程 安全体系实践,评估审查内容：安全管理健康状况安全技术健康状况评估审查方式：问卷调研现场访谈+ 文档复审工具人工检查模拟测试,IT安全策略、安全组织、个人安全、资产分类和控制、网络通信安全、系统访问安全、灾难恢复计划、系统开发和维护、物理和环境安全、一致性,数据备份与信息存储保护计算机访问控制机制网络访问控制机制计算机场地、环境、设备、物理安全入侵检测和攻击保护事件响应规划和灾难恢复规划信息输入控制信息保密机制远程访问安全控制病毒防护系统通信协议使用和设置UNIX系统配置和使用NT服务器配置和使用个人PC配置和使用数据库配置和使用WEB访问安全防火墙配置和使用,信息安全工程 风险评估与审计,管理体系文档安全组织与责任分工安全内部评审及考核办法工作人员安全守则机房安全管理规定信息系统设备安全管理规定用户名、口令安全管理规定电子邮件使用安全管理规定第三方安全须知,日常运维文档系统管理员安全操作手册网络设备安全操作和管理操作系统安全操作和管理用户设置和口令管理信息资产分类与安全责任表信息分类标准与方法应用开发安全管理注意事项新系统上线检查列表预防病毒防范策略外部访问安全策略内部访问安全策略WEB安全保护策略,信息安全工程 安全策略审计,安全管理流程安全基础和系统配置流程访问设置流程安全预防和监视流程安全事件汇报/处理流程安全日志维护流程安全补丁管理流程安全变更管理流程安全风险评估流程业务连续性管理基础流程,技术产品规范预防病毒防范策略（管理员及最终用户）网络设备配置策略；安全产品使用原则（需要根据风险评估和安全策略的具体实际要求确定的安全子项目来确定安全产品范围）；动态口令集中用户管理和单点登录防火墙代理服务器扫描器网络入侵检测防病毒,信息安全工程 安全策略审计,信息安全工程 安全检查列表,信息安全工程 安全检查列表,信息安全工程 建立内部审核体系,信息安全工程 内部审核表,确定不同等级的风险,二 安全风险分析,一 子系统划分与定级,信息安全事件监控予警信息安全事件通报：定级（GB/Z 209822007）启动应急予案事件应急抑制：物理、网络、主机、应用、服务事件应急根除事件应急恢复：恢复、抢救、灾备、回退应急审计评估：设施、数据、服务、审计、修订 “灾难恢复”是BCM关键之一，是“应急恢复”的最后一道防线,信息安全工程 应急预案与响应流程,我国灾难恢复等级划分：六级、七要素 大致可以分为二类：数据类、应用类“第1级”：数据介质转移（异地存放、安全保管、定期更新）“第2级”：备用场地支持（异地介质存放、系统硬件网络可调）“第3级”：电子传送和部分设备支持（网络传送、磁盘镜像复制）“第4级”：电子传送和完整设备支持（网络传送、网络与系统就绪）“第5级”：实时数据传送及完整设备支持（关键数据实时复制、网 络系统就绪、人机切换）“第6级”：数据零丢失和远程（在线实时镜像、作业动态分配、 实时 无缝切换）,信息安全工程 “信息系统灾难恢复规范”(安标委 GB/T 209882007),确定安全区域的保护措施,三 安全策略设计,二 安全风险分析,一 子系统划分与定级,安全评估审计：资产清单工具分析审计报告人工分析审计报告管理分析审计报告访谈记录项目过程文件渗透测试报告风险评估报告安全差距与需求分析报告安全体系框架,信息安全工程 相关项目文件,安全目标,战略,绩效记分卡,指导,指导,评价,评价,IT要实现的业务目标,企业IT基础架构,规范,应用安全,结构安全和人员安全,信息安全,交付,运行,需要,基础安全,信息安全工程 建立信息安全绩效考核,驱 动 执行,确 定 目 标,评价 成果,改进与再校准,了解安全