CISP0102信息安全保障基本实践.ppt

资源描述

《CISP0102信息安全保障基本实践.ppt》由会员分享，可在线阅读，更多相关《CISP0102信息安全保障基本实践.ppt（113页珍藏版）》请在三一文库上搜索。

1、讲师名字:樊山,信息安全保障实践,课程内容,2,2,知识域：信息安全保障工作概况,知识子域：国外信息安全保障情况了解发达国家信息安全状况和信息安全保障的主要举措了解发达国家信息安全方面主要动态知识子域：我国信息安全保障工作总体情况了解我国信息安全保障工作发展阶段理解国家信息安全保障基本原则了解国家信息安全保障建设主要内容,3,3,国外信息安全保障情况,发达国家信息安全状况发达国家信息安全保障的主要举措,4,4,发达国家信息安全保障的主要举措,信息安全是国家安全的重要组成部分已成为世界各国的共识; 各国纷纷出台自己的信息安全战略和政策，加强自身的国家信息安全保障体系建设。,5,5,

2、6,国外信息安全保障体系的最新趋势,战略：发布网络安全战略、政策评估报告、推进计划等文件政治：通过设立网络安全协调机构、设立协调官，强化集中领导和综合协调军事：陆续成立网络战司令部，开展大规模攻防演练，招募网络战精英人才，加快军事网络和通信系统的升级改造，网络战成为热门话题外交：信息安全问题的国际交流与对话增多，美欧盟友之间网络协同攻防倾向愈加明显，信息安全成为国际多边或双边谈判的实质性内容科技：各国寻求走突破性跨越式发展路线推进技术创新，力求在科技发展上保持和占据优势地位关键基础设施仍然是信息安全保障的最核心内容,美国信息安全保障战略：一个轮回三届政府四个文件,7,网络空间国

3、家安全战略框架,1998年5月，克林顿政府发布了第63号总统令（PDD63）：克林顿政府对关键基础设施保护的政策,2000年1月，克林顿政府发布了信息系统保护国家计划V1.0，提出了美国政府在21世纪之初若干年的网络空间安全发展规划。,2001年10月16日，布什政府意识到了911之后信息安全的严峻性，发布了第13231号行政令信息时代的关键基础设施保护，宣布成立“总统关键基础设施保护委员会”，简称PCIPB，代表政府全面负责国家的网络空间安全工作,2003年2月，在征求国民意见的基础上，发布了保护网际空间的国家战略的正式版本，对原草案版本做了大篇幅的改动，重点突出国家政府层面上的战略任务，这

4、是一个非常大的跨越,2010年3月2日，奥巴马政府部分解密了CNCI，包括3个重要目标，12个倡议,美国CNCI：网络“曼哈顿计划”,2008年1月2日发布的国家安全总统令54/国土安全总统令23，建立了国家网络安全综合计划(CNCI)。三道防线建立第一线防御：减少当前漏洞和隐患，预防入侵；全面应对各类威胁：增强反间能力，加强供应链安全来抵御各种威胁；强化未来安全环境：增强研究、开发和教育以及投资先进的技术来构建将来的环境。十二项任务,8,国家网际空间战略,2019/2/22,9,国家网际空间战略,2019/2/22,10,构建网络空间政策战略方针成功的构建过程认识到面临的

5、挑战创建的原则,网络空间的未来我们所寻求的未来开放和可操作：网络空间的使用安全和可靠：持续的网络空间通过准则的稳定我们在未来网络空间中的作用外交：加强伙伴关系国防：劝阻和遏制发展：建设繁荣和安全,政策重点经济：促进国际标准和创新，开放的市场保护我们的网络：提高安全性，可靠性和灵活性执法：扩展的协作和法治军事：21世纪的安全挑战做准备互联网治理：促进有效和包容性的结构国际发展的能力建设，安全与繁荣互联网自由：支持基本自由和隐私,继续前进,美国信息安全保障的重点对象,2001年美国出台美国爱国者法案，定义“关键基础实施”的含义； “关键基础实施”定义为关系到美国生死

6、存亡的物理和虚拟的系统和资产，这些系统和资产的功能丧失或遭到破坏，会对国家安全、经济稳定、国家公众健康与安全产生严重影响。 2003年12月发布国土安全总统令/HSPD-7确定了17个关键基础设施； 2008年3月国土安全部将关键制造业类为第18项关键基础设施；目前美国的关键基础设施和主要资源部门；,11,美国信息安全保障组织机构,网络安全协调官：负责领导白宫“网络安全办公室”，制定和发布国家信息安全政策首任网络安全协调官霍华德施密特，被喻为“网络沙皇” 国土安全部（DHS）、国家安全局（NSA）、国防部（DOD）、联邦调查局（FBI）、中央情况报局（CIA）、国家标准技术研究所（NIST

7、）等6个机构具体执行不同的分管职责公私合作机构:国家基础设施顾问委员会（NIAC）、信息共享和分析中心（ISAC）、网络安全全国联盟（NCSA）等等,12,美国信息安全保障基本做法,1993年克林顿政府提出兴建“国家信息基础设施”（信息高速公路），1998年首次提出信息安全的概念和意义； 1998年5月国家安全局制定了信息保障技术框架； 2000年公布首个信息系统保护国家计划； 2002年下半年，以国土安全战略为引导，布什政府逐步出台一系列国家安全政策，将信息保障战略纳入总体国家战略之中： 2003年2月，发布网络空间安全国家战略、保护关键基础设施和重要资产的国家战略,13,美国信息安全保障

8、基本做法,2005年美国建立了国家漏洞库（NVD），利用技术优势掌握全球最全面的信息安全漏洞信息 2008年1月8日，布什以第54号国家安全总统令和第23号国土安全总统令的形式签署国家网络安全综合计划这项计划高度强调国家意志，被称为信息安全的“曼哈顿计划；目标：保护没有网络安全，防止美国遭到敌对的电子攻击，并能对敌方展开在线攻击；预算：高达300-400亿美元属于高度机密，2010年3月奥巴马政府公开了其部分内容要求美国政府与安全有关的部门参与实施,14,英国信息安全保障体系建设动态,全面紧跟美国，2009年6月，英国发布首份国家网络安全战略，宣布成立“网络安全办公室”和“网络安全运

9、行中心”，提出建立新的网络管理机构的具体措施。注重信息安全标准组织建设，重视将本国标准向海外推广，积极参与国际信息安全标准制定。英国BSI 7799标准享誉全球，已成为国际标准，并主导ISO/IEC 27000系列标准强化网络监控，规定警方和国家安全、税务等监察部门有权监控电子邮件和移动电话等系统，成为西方大国中唯一的政府可以要求网络用户交出加密资料密钥的国家,15,英国信息安全保障的重点对象,英国国计民生不可或缺的许多关键服务依赖信息技术，有10个部分被认为是在提供“基本服务”。（1）通信（数字、语音、邮递、无线通信等）（2）应急服务（救护、消防、警察、营救等）（3）能源（电力、

10、石油等）（4）金融（资产管理、金融设施、银行、市场）（5）食品(生产、进口、加工、配送、零售) （6）政府和公共服务（中央、地区和地方政府、议会和立法机关、司法、国家安全）（7）公共安全（化学、生物、辐射和核恐怖袭击；危及百姓生活的事件）（8）健康（医疗保健、公共卫生）（9）交通（航空、海运、铁路、公路）（10）水（饮用水、污水）,16,英国信息安全保障组织机构,国家基础设施安全协调中心负责信息安全工作的跨部门机构运行着英国的计算机应急响应小组信息保障中央主办局和民事应急局负责信息安全工作的重要政府机构,17,英国信息安全保障基本做法,立法工作 1984年制定数据保护法 19

11、90年出台反计算机滥用法 1997年实施电信诈骗法 2000年出台信息自由法 1998年贸易和工业部发表加强竞争力白皮书：确定了英国建设信息社会的方式 2005年英国政府制定发表了信息保障管理框架：作为信息安全保障战略。,18,19,英国信息安全保障基本做法,2009年6月，英国政府推出首份国家网络安全战略，宣布成立“网络安全办公室”和“网络安全运行中心”，提出了建立网络管理机制的具体措施英国建立了两个国家级的计算机应急响应小组英国政府计算机响应小组英国国防部计算机应急响应小组注重政府信息系统安全采用网络逻辑隔离、PKI等安全技术加强政务外网安全构建支持“身份联合管理”的内部电子邮

12、件系统注重标准制定，BS7799是国际信息安全管理标准ISO27000的前身注重网络监管是唯一政府可以要求网络用户交出加密密钥的国家,20,德国信息安全保障体系建设动态,世界上第一个建立电子政务标准的国家。 1991年，德国在内政部下建立信息安全局（BSI），负责处理与网络空间相关的所有问题。重视关键基础设施信息安全保障，建立日尔曼人的“基线”防御。 1997年建立部际关键基础设施工作组； 2005年出台信息基础设施保护计划和关键基础设施保护的基线保护概念,21,法国信息安全保障体系建设动态,2003年12月总理办公室提出强化信息系统安全国家计划并得到政府批准实施，四大目标：确保国家

13、领导通信安全；确保政府信息通信安全；建立计算机反共济能力；将法国信息系统安全纳入欧盟颞部法国安全政策范围。 2009年7月7日，成立国家级“网络和信息安全局”，置于总理领导之下，隶属国防部。,其他西方国家信息安全保障体系建设动态,加拿大： 2004年提出了国家安全政策； 2004年11月发布国家关键基础设施保护战略； 2010年10月3日，发布加拿大网络安全战略。澳大利亚：把信息网络技术作为国家经济和社会发展的重要推动力量。制定并采取一系列与信息安全有关的政策和措施，把建立安全可靠的网络空间作为信息安全保障的战略目标。 ,22,23,重点保护对象：经济、国内和外交政策、科学和技术

14、、国家信息和通信系统、国防、司法、灾害响应机构：俄罗斯联邦安全理事会；俄罗斯联邦安全局（国家安全管理机关，信息安全工作主管和执法机关）；俄罗斯技术和出口控制局；俄罗斯联邦保卫局、信息技术和通信部基本做法：俄罗斯国家安全纲要作为信息安全战略；注重安全测评；实施信息安全分级管理。,俄罗斯信息安全保障体系建设动态,24,亚太地区信息安全保障体系建设动态,日本：实施了“保障型”信息安全战略；强调“信息安全保障是日本综合安全保障体系的核心” 。韩国：将信息安全视为使馆国防安全的重大战略问题，不断加大信息安全保障系统管理力度，加快信息安全系统的建设步伐；在2010年建立信息安全

15、司令部，以维护韩国的国家网络安全。 ,25,日本,重点保护对象：通信、政府和行政管理服务、金融、民航、铁路、后勤保障、电力、天然气、医疗服务、水机构：日本IT战略本部、国家信息安全中心、信息安全政策理事会、经济贸易产业省、国家警察厅基本做法： 1992年建立国家计算机应急响应协调中心； 2001年实施建设先进信息和电信网络社会基本法，同年公布确保电子政务实施过程中的信息安全行动方案； 2003年经济经济贸易产业省开发多种信息安全评估系统； 2004年国家警察厅在每个地区局建立反高科技犯罪科； 2005年成立国家信息安全中心以美国网络空间安全国家战略为蓝本，发布日本计算机安全战略。,26

16、,印度,重点保护对象：银行和金融、保险、民航、电信、原子能、电力、邮政、铁路、太空、石油和天然气、国防、执法机关机构：国家信息委员会、国家信息安全协调中心、信息基础设施保护中心、信息技术局、印度计算机应急响应小组基本做法： 2000年，颁布信息安全法；积极推广互联网和IT基础设施建设等； 2009年印度政府宣布开发“中央监控系统”，直接连接国内所有通信服务商，实现对印度境内所有电话和互联网通信的监听,27,分析总结重点保护对象,各国之间历史、国情、文化不同，具体的重点保护对象也有所差异，但共同特点是将与国家安全、社会稳定和民生密切相关的关键基础设施作为信息安全保障的重点；国际关键信

17、息基础设施保护手册（CIIP Handbook）2008/2009显示，所有国家最常被提到的关键部门都是现代化社会的核心部门，也是被破坏后可能造成极大规模灾害的部门；其中银行和金融被全部24个接受CIIP调查的国家列为国家关键基础设施。,28,分析总结信息安全组织机构,少数国家在中央政府一级设立机构专门负责处理网络信息安全问题，如美国；大多数国家信息安全管理职能由不同政府部门的多个机构和单位共同承担；机构单位的设立，以及机构在信息安全管理中的影响力，受到民防传统、资源配置、历史经验以及决策者对信息安全威胁总体认识程度的影响；两种观念在机构设置问题上具有较大影响力：执法机关强调信息安全属

18、于防范敌对势力入侵及网络犯罪的范畴经营基础设施的部门将调信息安全属于技术问题或经济成本问题在现实信息安全威胁性质的决定下，前一种观念在大多数国家成为主流,29,分析总结基本做法,将信息安全视为国家安全的重要组成部分是主流积极推动信息安全立法和标准规范建设是主流重视对基础网络和重要信息系统的监管和安全测评是主流普遍重视信息安全事件应急响应普遍认识到公共私营合作伙伴关系的重要性，一方面政府加强管理力度，一方面充分利用社会资源,我国信息安全保障总体情况,我国信息安全保障工作发展阶段国家信息安全保障基本原则国家信息安全保障建设主要内容,30,30,国家信息安全保障基本原则,信息安全保障

19、的基本原则立足国情，以我为主，坚持管理与技术并重；正确处理安全与发展的关系，以安全保发展，在发展中求安全；统筹规划，突出重点，强化基础性工作；明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。信息安全保障的基本原则信息安全的等级保护制度等级保护制度：根据应用系统、应用单位的重要程度，将信息系统划分为不同的重要级别，然后采用不同的技术和产品进行保护。,31,31,32,我国信息安全保障建设的主要内容,建立健全国家信息安全组织与管理体制机制，加强信息安全工作的组织保障建立健全信息安全法律法规体系，推进信息安全法制建设建立完善信息安全标准体系，加强信息安

20、全标准化工作建立信息安全技术体系，实现国家信息化发展的自主可控建设信息安全基础设施，提供国家信息安全保障能力支撑建立信息安全人才培养体系，加快信息安全学科建设和信息安全人才培养,33,建立健全信息安全组织与管理体制机制,2002年，国家网络与信息安全协调小组成立； 2003年前我国具备了一套分层次、分领域的信息安全相关法律法规； 2003年第27号文件颁布推动我国信息安全法制建设进入一个新阶段，信息安全法律体系进一步深化和发展；信息安全法制建设工作的现状和发展。,34,建设信息安全基础设施，提供国家信息安全保障能力支撑,建立信息安全通报和应急处置体系信息安全应急处理机制的建立信息

21、安全通报机制的建立建立以密码技术为基础的网络信任体系建立信息安全等级保护和风险评估体系建立信息安全测评认证体系完善信息安全监控体系,35,建立信息安全人才培养体系，加快信息安全学科建设和信息安全人才培养,加强信息安全理论研究和信息安全学科、专业建设加强信息安全的本科、硕士和博士学历教育培养信息安全的“执法”人才、组织决策管理人才、安全技术开发人才和技术服务人才加强安全宣传教育，普及全民信息安全意识,36,我国信息安全保障工作发展阶段,36,启动阶段（ 2001-2002 ）,2001年至2002年，是我国网络与信息安全事件频发且性质严重的时期，鉴于严峻的信息安全形势，国家信息化

22、领导小组重组，网络与信息安全协调小组成立，我国信息安全保障工作正式启动。 2001年至2002年中国发生的网络和信息安全事件：来自境外邪教组织、敌对势力的破坏各种政治谣言、反动宣传和社会敏感热点问题日益增多网络系统、重要信息系统自身存在诸多安全隐患如深圳证券交易所因系统崩溃停市半天，造成直接经济损失和社会影响；北京首都国际机场信息系统出现故障，造成上百个航班延误，数万名旅客滞留。,37,积极推进阶段（ 2003-2005 ）,2003年至2005年，是国家信息安全保障体系建设逐步展开和推进的阶段，国家出台指导政策，召开第一次全国信息安全保障会议，发布国家信息安全战略，国家网络与信息安

23、全协调小组召开了四次会议，信息安全保障各项工作积极推进。 2003年7月，国家信息化领导小组关于加强信息安全保障工作的意见（中办发27号文件件）。 2004年1月9日国家信息安全保障工作会议召开。 2005年3月29日，国家网络与信息安全协调小组第四次会议召开。 2005年12月16日，国家网络与信息安全协调小组第五次会议召开。会议主要关注：高度重视信息安全风险评估、网络信任体系以及保密和密码工作，进一步完善各项措施和政策规定，提高信息安全建设和管理水平。,38,深化落实阶段（2006年至今）,2006年至今，围绕27号文件开展的各项信息安全保障工作迈出了新的坚实步伐。信息安全法律法规、标准

24、化和人才培养工作取得了新成果。指导政策从完善到落实等级保护工作取得重要进展信息安全风险评估工作更加深入推进机制从实践到成型标准规范从研究到实施在全国信息技术标准化技术委员会信息安全技术分委员会和各界、各部门的努力下，本着积极采用国际标准的原则，转化了一批国际信息安全基础技术标准。,39,我国在信息安全保障领域的国际合作,在信息安全领域开展国际合作，是充分利用我国战略发展的机遇期，营造和谐、和平的良好国际环境，谋求我更深更广发展的重要措施。严格遵守联合国宪章和国际公认的信息通信技术的使用准则，妥善解决信息安全问题。倡导加强各国在信息安全领域的交流与合作。,40,41,制定信息安全

25、保障需求的作用制定信息系统安全保障需求的方法和原则信息安全保障解决方案确定安全保障解决方案的原则实施信息安全保障解决方案的原则信息安全测评信息安全测评的重要性国内外信息安全测评现状产品、人员、商资、系统测评的方法和流程持续提高信息系统安全保障能力。信息系统安全监护和维护,信息安全保障工作基本内容,确定需求,制定方案,开展测评,持续改进,41,42,信息安全保障建设步骤,确定需求,制定方案,开展测评,持续改进,步骤一：确定信息系统安全保障需求,步骤二：规范化、结构化的描述信息系统安全保障具体需求,步骤三：根据信息系统安全保障需求编制具体的信息系统安全保障解决方案,步骤五：用户

26、根据信息系统安全保障评估情况进行改进，形成满足安全保障需求的可持续改进的安全保障能力。,步骤四：对信息系统安全保障进行评估,42,知识域：信息安全保障工作基本内容,知识子域：确定安全需求理解确定信息系统安全保障需求的作用理解确定信息系统安全保障需求的方法和原则,43,43,为什么要提取信息安全需求,信息安全需求是安全方案设计和安全措施实施的依据准确地提取安全需求一方面可以保证安全措施可以全面覆盖信息系统面临的风险，是安全防护能力达到业务目标和法规政策的要求的基础另一方面可以提高安全措施的针对性，避免不必要的安全投入，防止浪费,2019/2/22,44,如何制定信息安全保障需求,45,

27、“信息系统安全保障需求描述”,风险评估,确定信息系统安全保障具体需求,45,法规符合性,46,制定信息系统安全保障需求的方法和原则,安全需求的制定流程安全需求的主要内容,46,47,安全需求的制定流程,47,标准化的安全保障需求文档-ISPP,信息系统保护轮廓（ISPP）是根据组织机构使命和所处的运行环境，从组织机构的策略和风险的实际情况出发，对具体信息系统安全保障需求和能力进行具体描述。表达一类产品或系统的安全目的和要求。 ISPP是从信息系统的所有者（用户）的角度规范化、结构化的描述信息系统安全保障需求。,48,信息系统安全保障的具体需求由信息系统保护轮廓(ISPP)确定。,ISPP,

28、48,规范化、结构化信息系统安全保障具体需求,ISSP引言信息系统描述信息系统安全环境安全保障目的安全保障要求 ISPP应用注解符合性声明,49,49,ISPP的框架结构,50,50,51,参考国家标准制定安全需求,51,安全需求的具体内容可以从国家标准信息系统安全保障评估保障评估框架中抽取,52,知识域：信息系统安全保障工作基本内容,知识子域：设计和实施信息安全方案理解信息安全方案的作用和主要内容理解制定信息安全方案的主要原则理解信息安全方案实施的主要原则,52,信息安全保障解决方案,信息安全保障解决方案是一个动态的风险管理过程，通过对信息系统生命周期内风险的控制，来解决在运

29、行环境中信息系统安全建设所面临的各种问题，从而有效保障业务系统及应用的持续发展,53,53,信息安全保障解决方案制定的原则,以风险评估和法规要求得出的安全需求为依据考虑系统的业务功能和价值考虑系统风险哪些是必须处置的，哪些是可接受的贴合实际具有可实施性可接受的成本合理的进度技术可实现性组织管理和文化的可接受性,2019/2/22,54,规范化、结构化信息系统安全保障方案,信息系统安全目标（ISST）是根据信息系统保护轮廓（ISPP）编制的信息系统安全保障方案。某一特定产品或系统的安全需求。 ISST从信息系统安全保障的建设方（厂商）的角度制定的信息系统安全保障方案。,55,信息

30、系统安全目标（ISST）,55,ISST的结构和内容,ISST引言信息系统描述信息系统安全环境安全保障目的安全保障要求信息系统概要规范 ISPP声明符合性声明,56,56,57,信息系统安全保障方案,编制信息系统安全保障目标（ISST）,57,58,信息系统安全保障方案,58,59,以信息安全保障方案为依据覆盖方案提出的建设目标和建设内容规范的实施过程实施的质量、进度和成本必须受控实施过程中出现的变更必须受控充分考虑实施风险，如资源不足、组织文化的抵触情绪、对业务正常运行造成的影响、信息泄露或破坏等,信息安全保障实施的原则,59,60,覆盖信息系统全生命周期以风险和策略

31、为核心风险评估贯穿系统全生命周期建立完整的策略体系涉及技术、管理、工程、人技术：分层多点的深度防御系统管理：建立能力成熟的信息安全管理体系工程：选择有能力的信息安全集成商和服务商人：建立完善的人才体系，增强安全意识和文化,信息安全保障实施的内容,60,61,信息安全保障实施-管理体系,61,62,管理体系建设方法,62,63,信息安全保障实施-技术保障,63,64,信息安全保障实施-工程过程,64,计划组织,开发采购,实施交付,运行维护,废弃,将安全措施融入信息系统生命周期,65,信息安全保障实施-工程过程,65,知识域：信息系统安全保障工作基本内容,66,66,知识子域：信息安

32、全测评了解信息安全测评的重要性了解国内外信息安全测评概况理解信息安全产品测评方法和流程理解信息系统安全测评方法和流程了解服务商资质测评方法和流程了解信息安全人员资质测评方法和流程,信息系统安全保障评估,信息系统安全保障评估在信息系统所处的运行环境中对信息系统安全保障的具体工作和活动进行客观的评估，通过信息系统安全保障评估所搜集的客观证据，向信息系统的所有相关方提供信息系统的安全保障工作能够实现其安全保障策略，能够将其所面临的风险降低到其可接受的程度的主观信心。,67,67,信息系统安全保障评估的作用,68,68,信息安全保障评估,评估是信息系统安全保障的一个重要概念，系统所有者可以

33、根据评估所得到的客观评估结果建立其主观的信心。评估对象是信息系统，不仅包含了信息技术系统，还包括同信息系统所处的运行环境相关的人和管理等领域。评估是一种动态持续的评估过程。,69,69,国内外信息安全保障测评,美国欧洲亚太国际组织中国,70,70,71,国防部: 1997年IT安全认证认可过程（DITSCAP） 2007年信息保障认证和认可过程（DIACAP）国土安全部: 关键信息基础设施保护规划 RAMCAP (Risk Analysis and Management for Critical Asset Protection) 商务部/NIST： IT系统安全自评估指南（SP

34、 800-26） IT系统风险管理指南（SP 800-30）（SP800-53a）审计署/OMB： FISMA 科研机构：CMU OCTAVE,SANDIA RAM-* 政策明确,技术实用,美国风险评估领头羊,2019/2/22,71,72,欧盟：CORAS安全关键系统的风险分析平台英国：COBRA，CRAMM，用例推理德国：德国联邦IT基线防护手册（ITBPM）法国: EBIOS ,MEHARI 瑞典: ATAM(安全架构评估),XMASS 挪威: 安全策略评估芬兰: 安全指标评估技术创新强,未形成明确政策,欧洲-积极探索创新,2019/2/22,72,73,日本：政府和关键信

35、息系统安全基线措施评估韩国：信息安全等级风险评估新加坡：信息安全风险审计和评估追随多,创新少,亚太：及时跟进，确保发展,2019/2/22,73,74,ISO:ISO 27004 信息安全管理的度量指标和测量 ITU:基于通信安全架构(x.805)的风险评估 ISACA：信息系统风险评估指南、安全评估之渗透测试和漏洞分析指南注重操作实用，弱化理论方法,国际组织：规范标准,2019/2/22,74,75,信息安全风险评估指南 -资产/威胁/脆弱性信息系统等级保护测评指南 -安全保护基线信息系统安全保障评估框架 -安全保障措施与能力,我国风险评估技术情况,75,2019/2/22,75

36、,我国信息安全测评认证标准,76,我国信息安全测评认证所使用的标准主要有三个来源：采用国家标准、在没有国家标准的情况下采用国际标准、采用认证中心管委会批准的技术要求和保护轮廓。,76,国家信息安全测评主要对象,77,信息产品安全测评信息系统安全测评服务商资质测评信息安全人员资质测评,77,信息安全产品测评,78,78,信息安全产品测评,信息产品安全评估是测评机构对产品的安全性做出的独立评价，目的是为产品认证提供证据，增强用户对已评估产品安全的信任，向消费者提供信息技术安全产品的采购依据，从而推动信息技术安全产业的发展、提高信息技术安全科研和生产水平。,79,信息产品安全测评依据的标准是：

37、CC、CEM和CNITSEC的要求,79,产品认证的基本要求,产品认证属于典型完整的产品质量认证。产品认证的基本要求是对认证申请者送达的样品进行型式试验（测试评估），同时对申请者的质量体系（即质量保证能力）进行检查、评审。这两方面都符合有关标准要求，则予以认证。认证通过后，认证中心予以发放证书。证书发放以后，认证中心再从市场和、或工厂（车间）抽样进行核查试验，即监督检验，同时对其质量体系进行监督性复查，若两方面都合格，即维持认证，否则取消认证。,80,80,信息安全测评级别,根据国家标准GB/T 183362001，信息产品安全的测评由低到高划分为7级别，即CC的EAL1-7级。目前中国信

38、息安全测评中心开展了14级四个级别的测评工作。5 7级三个级别的测评将视具体情况与委托方研究协商后确定,81,获得的级别越高，安全性与可信度越高,81,信息产品安全测评流程,82,准备阶段,评估阶段,认证阶段,监督和维持阶段,82,83,信息系统安全测评,83,电子商务系统,工业控制系统,电子政务系统,信息系统安全保障评估的内容,信息系统安全保障的评估，是从信息系统安全保障的概念出发，在信息系统的生命周期内，根据组织机构的要求在信息系统的安全技术、安全管理和安全工程领域内对信息系统的安全技术控制措施和技术架构能力、安全管理控制和管理能力以及安全工程实施控制措施和工程实施能力进行评估综合，从而最

39、终得出信息系统在其运行环境中安全保障措施满足其安全保障要求的符合性以及信息系统安全保障能力的评估。,84,84,85,信息系统安全测评标准,信息系统安全测评标准是GB/T20274 信息系统安全保障评估框架，它为信息系统安全测评提供了思路框架和操作规范,保障要素,生命周期,信息特征,85,86,信息安全保障评估总体思路,86,符合性目标及级别目标,评估信息系统安全保障目标（ISST）对信息系统安全保障要求（ISPP）的符合性，即具体的信息系统安全保障措施信息系统在其运行环境下是否满足信息系统安全保障的需求对信息系统安全保障的执行能力进行评估，评估信息系统安全保障级（包括技术架构能力级、工程能

40、力级和管理能力级的评定）,87,87,88,信息系统的分级原则,信息系统安全分级分类,“信息系统安全保障评估框架”,信息系统安全保障级 ISAL,TCML,安全技术架构能力级,MCML,安全管理能力级,ECML,安全过程能力级,信息系统安全分级分类,价值,信息特征保密性完整性可用性,信息系统使命类,信息系统威胁分级,+,88,89,信息系统的安全保障能力成熟度级,管理能力成熟度等级（MCML）： MCML1、MCML2、MCML3、MCML4和 MCML5 工程能力成熟度等级（PCML）： PCML1、PCML2、PCML3、PCML4和CML5 技术体系架构成熟度级别（TCML）：

41、TCML1、TCML2、TCML3、TCML4、TCML5,89,2019/2/22,90,具体而言，管理能力成熟度一级表示组织内部能够依据经验进行部分的安全管理工作；二级表示组织能够建立完善的管理体系来规范安全管理管理能力；三级表示组织能够采取有效措施来敦促所制定管理体系的落实和实施；从而确保了管理体系有效的实施；四级表示组织所制定的管理体系不仅能够有效实施，而且还能够对实施的管理措施的效果进行测试，尽量的采用量化的数据来分析和验证所采用的管理体系；五级表示组织能够对管理体系进行持续改进，使管理体系始终对组织安全保障体系的运行发挥最大效应。,信息系统的安全保障能力成熟度级,91,信息系统安全

42、保障评估总体框架,91,2019/2/22,92,在基于安全风险分析得出的信息系统安全保护等级划分的基础上，提出安全需求、即得到评估对象的保护轮廓。参照评估准则和规范，制定出评估预案和规划，使用相应评估方法和工具，即可实施对评估对象的评估操作。评估中发现的问题、差距再反馈到评估的预案制订和安全需求，评估对象作相应调整、优化，达到信息系统资产所有者保证资产安全的初衷，即残余风险是可以承受的，资产价值受到保护，使命可以完成，最后得到评估结论，并给出安全等级的认证。,信息系统安全保障评估总体框架,93,信息系统安全保障等级评估规范的建立,93,2019/2/22,94,为了提炼出评估对象的安全需求，

43、需要建立安全环境，综合考虑如下因素：需要保护的信息系统资产，系统所要完成的使命、组织管理、所处的物理环境，其面临的威胁、信息对抗的假设，然后在该特定的安全环境下确立系统的安全目标，提出系统的安全需求：包括安全技术需求、安全管理需求、安全过程需求和系统服务安全的需求，最终形成系统安全保障等级评估的规范（即系统保护轮廓和安全目标）,信息系统安全保障等级评估规范的建立,95,服务商资质测评,95,信息安全服务是指信息安全工程的设计、实施、测试、运行和维护，以及相关的咨询和培训活动。,集成商,开发商,运维商,信息安全服务资质测评,信息安全服务资质测评是对信息安全服务商的技术、资源、管理等方面的能力和稳

44、定性、可靠性进行评估目前中国信息安全测评中心开展的信息安全服务资质评估包括3个类别信息安全工程类信息安全开发类信息系统灾难恢复类,96,96,服务资质测评的作用,对安全服务提供方：获得自身安全服务能力的认可获得自身安全服务能力规范和提高（可重复、可预测的过程和实施减少返工）提高组织的市场竞争力（知名度）对安全服务需求方：可获得选择服务商的第三方保证提供有能力、有保障的服务商的范围（选择依据）对社会和行业：规范和指导整个社会和信息安全服务行业的行为搭建起信息安全服务领域科学的、规范的发展框架,97,服务资质测评的程序,98,99,基本资格独立实体本身合法遵守国家有关

45、法规行为合法基本能力组织机构外部协作人员素质资产规模设施环境业绩,信息安全服务资质评估主要内容,99,100,安全工程过程能力级别是评定信息系统安全服务组织资质的主要依据，标志着服务组织提供给客户的安全服务专业水平和质量保证程度。信息系统工程的过程能力级别按成熟性排序，表示依次增加的组织能力。信息系统安全服务资质评估准则将信息系统安全服务组织的工程能力分为五个级别：一级：基本执行级二级：计划跟踪级三级：充分定义级四级：量化控制级五级：连续改进级,信息安全服务资质评估主要内容,100,101,项目和组织过程能力包括： 1、质量保证； 2、管理配置； 3、管理项目风险；

46、4、监控技术活动； 5、规划技术活动； 6、管理系统工程支持环境； 7、提供不短发展的技能和知识； 8、与供应商协调。,信息安全服务资质评估主要内容,101,102,信息安全人员资质测评,102,CISM,概述,“注册信息安全专业人员”(Certified Information Security Engineer，简称CISP)是一种特殊专业岗位人员，其所具备的专业资质和能力，系经国家认证和认可。CISP的基本职能是对信息系统的安全提供技术保障。申请CISP认证的境内人员必须具备相关的教育和工作经历，通过信息安全专业人员培训及考试，提交申请，并由认证中心认证。CISP证书在有效期内实行年度

47、确认制度，在有效期结束进行复查换证。,103,103,104,CISP,CISP分为根据实际岗位工作需要，分为两个基础类别: 注册信息安全工程师（CISE）,适合从事信息安全技术领域的工作；注册信息安全管理人员（CISO）,适合信息安全管理领域的工作；在两个基础类别之上还有两个扩展类别：注册信息安全专业人员-审计师（CISP-AUIT（原CISA），适合从事信息安全审计工作。注册信息安全专业人员-灾难恢复工程师（CISP-DRP），适合从事信息系统灾难恢复工作。,104,105,信息安全人才知识体系战略,105,106,CISP的知识体系架构,106,107,CISP资质认证流程,申请

48、阶段,评估阶段,认证阶段,监督阶段,107,知识域：信息系统安全保障工作基本内容,108,108,知识子域：信息安全监控与维护理解在系统生命周期中持续提高信息系统安全保障能力的意义理解信息系统安全监控与维护的主要原则,109,为什么投入钱、投入人，信息安全问题还是层出不穷？因为风险是动态变化的，信息系统安全保障需要覆盖信息系统的整个生命周期，形成持续改进的信息系统安全保障能力（技术/管理/工程能力）,系统安全监控维护的意义,109,信息系统安全监控与保持,一种是已经被攻破的,从风险的角度看，信息系统只有以下两种：,另一种是即将被攻破的,110,持续的风险评估是信息安全保障的一项基础性工作,持续的风险评估为新的安全决策和需求提供重要依据,风险评估,信息系统安全监控与保持的工作内容,111,112,以风险管理为基础做好以下工作安全漏洞隐患的消控建立有效事件管理与应急响应机制建立强大的信息系统灾难恢复能力,112,信息系统安全监控与保持的工作内容,谢谢，请提问题！,

展开阅读全文