2015-8-10 ppt 信息安全保障 10’
1、 中办27号文《国家信息化领导小组关于加强信息安全保障工作的意见》室信息安全保障工作的纲领性文件。
2、 信息的安全属性cia:保密性、完整性、可用性。
3、 信息安全的范畴:信息技术问题、组织管理问题,社会问题,****问题。
4、 信息安全特征:系统性、动态性,无边界性、非传统性(最终保障业务的安全)
5、 信息安全问题根源: (信息战士和网络战士是最严重的)
内因,过程复杂、结构复杂、应用复杂。
外因,人(个人威胁、组织威胁、国家威胁)和自然。
6、 信息安全发展阶段。
通信安全comsec,信息窃取,加密,保证保密性、完整性。
计算机安全compusec,操作系统技术。
信息系统安全infosec,防火墙、vpn 、pki公钥基础设施、
信息安全保障ia,技术、管理、人员培训等。
网络空间安全/信息安全保障cs/ia,防御、攻击、利用,强调威慑。
7、 传统信息安全的重点是保护和防御;信息安全保障是保护、检测和响应,攻击后的修复。
8、 信息安全保障模型。
pdr 防护--检测--响应,安防措施是基于时间的,给出攻防时间表,假设了隐患和措施,不适应变化,时间。
ppdr 策略--防护--检测--响应,突出控制和对抗,强调系统安全的动态性。
9、 信息安全保障技术框架iatf,深度防御的思想,层次化保护,人、技术、操作,关注4个领域:
本地的计算机环境。
区域边界。网络和基础设施。
支撑性技术设施。
10、 信息系统:每一个资质中信息流动的总和,含输入输出、存储、控制、处理等。
11、 信息系统安全保障,从技术、管理、工程、人员方面提出保障要求。
12、 信息系统安全保障模型 gb/t 20274
保障要素4:技术、管理、工程、人员。
生命周期5:规划组织、开发采购、实施交付、运行维护、废弃。
安全特征3:保密性、完整性、可用性。
13、 信息系统安全保障工作阶段。
确保信息安全需求、设计并实施信息安全方案、信息安全测评、检测与维护信息安全。
14、 我国信息安全保障体系。
建立信息安全技术体系,实现国家信息化发展的自主可控。
1、 现状。
美国cnni《国家网络安全综合倡议》,3道防线。
1、减少漏洞和隐患,预防入侵。
2、全面应对各类威胁,增强反应能力,加强**链安全低于各种威胁。
3、强化未来安全环境,增强研究、开发和教育,投资先进技术。
2、 我国的信息安全保障战略规划,信息安全分:基础信息网络安全、重要信息系统安全和信息内容安全。
3、 信息安全保障工作方法,信息系统保护轮廓ispp(所有者角度考虑安保需求),信息系统安全目标isst,从建设方制定保障方案。
4、 确定信息系统安全保障的具体需求:法规符合性、风险评估、业务需求(只放前2个也对)
5、 信息安全测评对象:信息产品安全测评、信息系统安全测评、服务商资质、信息安全人员资质测评。
6、 信息系统安全测评标准。
过程测评标准: gb/t 20274
产品安全测评标准:cc gb/t 18336
1、 isms信息安全管理体系,按照iso 27001定义,基于业务风险的方法。
2、 信息安全管理体系建设。
规划与建立、实施和运行、监视和评审、保持和改进。
3、 isms的层次化文档结构。
一级文件,顶层文件,方针、手册。
二级文件,信息安全管控程序、管理规定性文件,管理制度、程序、策略文件。
**文件,操作指南、作业指导书、操作规范、实施标准等。
四级文件,各种记录表单,计划、**、报告、日志文件等。
4、 isms方法:风险管理方法、过程方法。
5、 风险管理方法。
风险评估是信息安全管理的基础,风险处理时信息安全管理的核心,风险管理是信息安全管理的根本方法,控制措施是风险管控的具体手段。
6、 控制措施的类别。
从手段来看,分为技术性、管理性、物理性、法律性等控制措施。
从功能来看,分为预防性、检测性、纠正性、威慑性等控制措施。
从影响范围来看,常被分为安全方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理和符合性11个类别/域。
7、 pdca循环,戴明环。
特点:按顺序进行,组织每部分及个体也可使用,适用任何活动。
8、 iso/iec 27000标准族共7个。
27001 信息安全管理体系要求,14个领域 ,新版的变动。
27002 信息安全控制措施实用规则,11个控制类,内容安全和风险评估不属于。
27004 信息安全管理测量 ,度量指标。
9、 常见的管理体系标准。
iso 27001定义的信息安全管理系统isms , 国际标准。
信息安全等级保护 , 公安部提出。
nist sp800 ,适用美国联邦**和组织。
10、 管理者是实施isms的最关键因素。
11、 isms建设。
p阶段 8步:确立边界和方针1-2、风险评估3-6、获得高层认可,编制适用性声明7-8
d阶段 7步:制定风险处理计划,实施培训和教育计划。
c阶段 5步:审计和检查
a阶段 2步:实施纠正和预防,沟通和改进。
信息安全控制措施。
1、 安全方针。
是陈述管理者的管理意图,高层承诺,是一级文件,具体的产品选型,技术实现问题不在方针中体现。
2、 信息安全组织:内部组织、外部各方。
3、 资产管理:资产负责和信息分类,信息分类按照信息的价值、法律要求、对组织的敏感程度进行分类。
4、 员工只要违反了规定,不论是否知悉,就要接受处罚。
5、 符合性。
符合法律要求、符合安全策略和标准及技术符合性、信息系统审核考虑。
6、 任用的终止:终止职责、资产的归还、撤销访问权。
7、 人身安全是物理安全首要考虑的问题。
8、 tempest 抑制和防止电磁泄露。
9、 机房建设,下送风,上排风。
10、 备份是为了保证完整性和可用性。
11、 电子商务服务,抗抵赖。
12、 日志,管路员读权限;系统员,写权限。
13、 信息安全管理手册是一级文件,soa适用性声明是一级文件,信息安全策略是一级文件,不描述具体操作的都是二级文件。
14、 网闸,多功能安全网关,实现网络物理隔离。
15、 测试数据不需备份;生产数据不能做测试,脱敏处理才可以;测试完成后对平台和数据彻底清除。
16、 程序源**需访问控制,不得随意更改。
17、 不鼓励对商用软件包进行变更,除非获得厂方的合法支持;不包括开源,外包软件开发: 源**托管,第三方管理,不得使用,为了防止开发方倒闭。
1、 国际标准、国家标准、行业标准、地方标准。
2、 标准化特点:对象是共同的、可重复的实物;动态性;相对性;效益来自标准使用。
3、 标准化原则:简化原则、统一化、通用化、系列化。
4、 国家标准**,gb/z在实施后3年内必须进行复审,结果为延长3年或废止。
gb 强制性国家标准。
gb/t 推荐性国家标准。
gb/z 国家标准化指导性技术文件。
5、 iso的机构包括tc技术委员会、sc分技术委员会、wg工作组、特别工作组。
6、 iec 国际电工委员会,和iso成立jct1联合技术委员会。
7、 iso/iec jct1 sc27(分技术委员会),下设5个工作组,对口中国tc260(cistc,信息安全标准化tc)。tc485(全国通信标准化tc)
8、 ietf internet工程任务组,贡献rfc系列。
9、 sac 国家标准化管理委员会,国家质监总局管理。
10、 采标。
等同采用idt,内容无变化,审核人由国外改为国家。
修改采标mod
非等效采标neq
11、 我国的信息安全标准。
基础标准、技术与机制标准、管理标准、测评标准、密码技术标准、保密技术标准。
技术与机制:标识与鉴别、授权与访问控制、实体管理、物理安全。
12、 tcsec 美国安全评测标准。
低到高 d、c(c1\c2)、b(b1\b2\b3)a
b1开始强制访问控制。
b2开始隐蔽信道控制。
13、 itsec欧洲的评测标准 fc美国联邦标准。
14、 cc标准 gb/t 18336 信息技术安全性评估准则,主要框架取自itsec 和fc,不涉及评估方法学,重点关注人为威胁,定义了保护轮廓pp 和安全目标 st,pp创建安全要求集合,st阐述安全要求,详细说明一个toe评估对象的安全功能。
cc分3部分,18336.1 /.2 / 3 简介和一般模型;认证级别,即评估保证级eal由低到高为7个级别。
目标读者:toe(评估对象)的客户,toe的开发者,toe的评估者,其他读者。
组件是构成cc的最小单元。
评估对象,涉及产品、系统、子系统。
包:满足一组确定的安全目的而组合在一起的一组可重用的功能或保证组件,如eal
15、 《信息安全等级保护管理办法》等级保护标准族的5级划分。
2级以上到公安机关备案,3级开始对****造成损害。
定级指南:受侵害的客体,客体的侵害程度。
定级、备案、安全建设整改、等级测评、检查。
16、 nist sp 800,应用于美国联邦**和其他组织,6个步骤。
1、 风险是威胁源利用脆弱性造成资产不良的可能性,发生概率和产生后果。
风险三要素:资产、威胁、脆弱性。
2、 风险的构成5方面。
起源(威胁源)、方式(威胁行为)、途径(脆弱性)、受体(资产)、后果(影响)
3、 信息安全风险只考虑对组织有负面影响的事件。
4、 风险管理范围和对象:信息、信息载体、信息环境。
5、 风险管理是识别、控制、消减和最小化不确定因素的过程,风险只能消减,不能消除。
6、 《关于开展信息安全风险评估工作的意见》
7、 国办要求一次等保测评2个报告。
等保测评报告(公安部)和风险评估报告(国家信息安全测评中心发布的模板)
8、 is风险管理的主要内容 ,4阶段、2贯穿。
背景建立、风险评估、风险处理、批准监督 ; 监控审查、沟通咨询。
a) 背景建立四个阶段。
风险管理准备:确定对象、组建团队、制定计划、获得支持、
信息系统调查:信息系统的业务目标、技术和管理上的特点。
信息系统分析:信息系统的体系结构、关键要素。
信息安全分析:分析安全要求、分析安全环境。
b) 风险评估。
要素识别:威胁识别、脆弱性识别、识别已有的控制措施。
c) 风险处理-处置方法,(注意顺序)
接受风险、降低风险(安全投入小于负面影响价值的情况下采用)、
规避风险、转移风险。
d) 批准监督。
批准,残余风险可接受,安措能满足业务的安全需求;监督,环境的变化。
e) 监控审查和沟通咨询需贯穿整个阶段,监控过程有效性、成本有效性、审查结果有效性和符合性。
9、 信息安全风险管理主要内容。
a) 风险评估形式。
自评估为主,自评估和检查评估相互结合、相互补充。
国企以自评估为主,自评估、检查评估都可以委托第三方继续。
b) 风险评估方法。
定性风险分析方法,定量风险分析方法,半定量风险分析方法。
i. 定性分析。
矩阵法,根据后果的可能性和影响作交叉。
教师笔记教师师德培训笔记
古语有云 师者,所以传道授业解惑者也。这次市里组织学习 讲座,细细听来,收获不少,迷茫的心里点起里亮堂的明灯,曾经的困惑在次释然,找到了明确的答案。师德师风的学习,我认为很有必要,尤其是在当前社会转型时期,给我们老师上了生动的一课。教师的理想信念 道德情操 行为规范,甚至一言一行,对学生都会起典范作...
教师笔记教师师德培训笔记
古语有云 师者,所以传道授业解惑者也。这次市里组织学习 讲座,细细听来,收获不少,迷茫的心里点起里亮堂的明灯,曾经的困惑在次释然,找到了明确的答案。师德师风的学习,我认为很有必要,尤其是在当前社会转型时期,给我们老师上了生动的一课。教师的理想信念 道德情操 行为规范,甚至一言一行,对学生都会起典范作...
英语培训笔记
专题一 初中英语教学活动的实效性。第一讲 上 教学活动的实效性第1课。观摩了一个完整的课例,在这个课例里,我们看到了七个教学活动。教学活动的实效性第2课。在活动设计中,要想达到活动的实效性,我们需要考虑以下几个方面的要素 第一点,教学活动目标要明确 第二点,情境的设置要合理 第三点,要考虑学生参与活...