收藏
下载资源 加入VIP免费专享

2017-5-安全规划中山大学信息安全管理.ppt

上传人:本田雅阁 文档编号:2770151 上传时间:2019-05-13 格式:PPT 页数:141 大小:5.88MB
返回 下载 相关 举报
2017-5-安全规划中山大学信息安全管理.ppt_第1页
第1页 / 共141页
2017-5-安全规划中山大学信息安全管理.ppt_第2页
第2页 / 共141页
2017-5-安全规划中山大学信息安全管理.ppt_第3页
第3页 / 共141页
2017-5-安全规划中山大学信息安全管理.ppt_第4页
第4页 / 共141页
2017-5-安全规划中山大学信息安全管理.ppt_第5页
第5页 / 共141页
点击查看更多>>
资源描述

《2017-5-安全规划中山大学信息安全管理.ppt》由会员分享,可在线阅读,更多相关《2017-5-安全规划中山大学信息安全管理.ppt(141页珍藏版)》请在三一文库上搜索。

1、第四章 安全规划,田海博,内容纲要,信息安全政策与程序 信息安全管理标准 安全管理策略的制定与实施 安全教育培训和意识提升 持续性策略,学习目标,管理人员在信息安全政策、标准、实践、过程及方针的发展、维护和实施中的作用 英国标准协会制定的信息安全管理标准 组织、机构或部门如何通过教育、培训和意识提升计划,使它的政策、标准和实践制度化 什么事意外事故计划、它与事件响应计划、灾难恢复计划和业务持续性计划有什么关系,4,一、信息安全政策与程序,信息安全政策与程序,要建立信息安全计划 应首先建立和检查组织、机构、或者部门的信息安全政策和程序 然后选择或建立信息安全体系结构 开发和使用详细的信息安全蓝本

2、,为将来的成功制定计划,为什么要制定安全政策与程序,信息安全很重要 信息安全中最活跃的因素是人,人的因素比技术因素更重要 对人的管理包括 法律、法规 政策的约束 安全指南的帮助 安全意识的提高 安全技能的培训 人力资源管理措施 企业文化的熏陶 可对人管理 可促进全体员工参与 可有效降低人为因素所造成的对安全的损害 有效实施需要详细的执行程序,7,为什么要制定安全政策与程序,1.组织应该有一个完整的信息安全策略 我们可以通过下面一个例子来理解这种情况。 某设计院有工作人员25人,每人一台计算机,Windows 98对等网络通过一台集线器连接起来,公司没有专门的IT管理员。公司办公室都在二楼,同一

3、楼房内还有多家公司,在一楼入口处赵大爷负责外来人员的登记,但是他经常分辨不清楚是不是外来人员。设计院由市内一家保洁公司负责楼道和办公室的清洁工作。总经理陈博士是位老设计师,他经常拨号到Internet访问一些设计方面的信息,他的计算机上还安装了代理软件,其他人员可以通过这个代理软件访问Internet。如果该设计院的信息安全管理停留在一种放任的状态,会发生什么问题呢?下列情况都是有可能的:,8,小偷顺着一楼的防护栏潜入办公室偷走了 保洁公司人员不小心弄脏了准备发给客户的设计方案;错把掉在地上的合同稿当废纸收走了;不小心碰掉了墙角的电源插销 某设计师张先生是公司的骨干,他嫌公司提供的设计软件版本

4、太旧,自己安装了盗版的新版本设计程序。尽管这个盗版程序使用一段时间就会发生莫名其妙的错误导致程序关闭,可是张先生还是喜欢新版本的设计程序,并找到一些办法避免错误发生时丢失文件。,9,后来张先生离开设计院,新员工小李使用原来张先生的计算机。小李抱怨了多次计算机不正常,没有人理会,最后决定自己重新安装操作系统和应用程序。 小李把自己感觉重要的文件备份到陈博士的计算机上,听朋友介绍Windows2000比较稳定,他决定安装Windows2000,于是他就重新给硬盘分区,成功完成了安装。,10,陈博士对张先生的不辞而别没有思想准备,甚至还没来得及交接一下张先生离开时正负责的几个设计项目。这几天他一闲下

5、来就整理张先生的设计方案,可是突然一天提示登录原来张先生的那台计算机需要密码了。小李并不熟悉Windows2000,只是说自己并没有设置密码。,11,尽管小李告诉陈博士已经把文件备份在陈博士的计算机上,可是陈博士没有找到自己需要的文件。 大家通过陈博士的计算机访问Internet,收集了很多有用的资料。可是最近好几台计算机在启动的时候就自动连接上Internet,陈博士收到几封主题不同的电子邮件,内容竟然包括几个还没有提交的设计稿,可是员工都说没有发过这样的信。 ,什么是信息安全政策与程序,信息安全政策的内容 信息安全政策(策略)从本质上来说是描述组织具有哪些重要信息资产,并说明这些信息资产如

6、何被保护的一个计划。,制定信息安全策略的目的:,如何使用组织中的信息系统资源; 如何处理敏感信息; 如何采用安全技术产品; 用户在使用信息时应当承担什么责任 描述对员工安全意识与技能的要求 列出员工被禁止的行为,什么是信息安全政策与程序,信息安全政策的内容 信息安全政策是为人定规矩、建标准,防风险,是安全程序的基础。要求: 目的明确 内容清楚 可广泛接受与遵守 可广泛涵盖各种数据、活动和资源 毕竟是对人的管理,希望员工通过信息安全政策了解自己的责任、理解信息安全的重要性,14,安全政策(策略)涉及的问题:,敏感信息如何被处理? 如何正确地维护用户身份与口令,以及其他账 号信息? 如何对潜在的安

7、全事件和入侵企图进行响应? 如何以安全的方式实现内部网及互联网的连接? 怎样正确使用电子邮件系统?,什么是信息安全政策与程序,信息安全政策的内容,15,信息安全政策的层次:,什么是信息安全政策与程序,信息安全政策的内容,信息安全方针,具体的信息安全策略,定义:信息安全方针是组织、机构或部门的信息安全委员会或管理当局制定的一个高层文件,用于指导如何对资产,包括敏感性信息进行管理、保护和分配的规则和指示。 生成:信息安全方针应当阐明管理层的承诺,提出管理信息安全的方法,并由管理层批准,采用适当的方法传达给每一个员工。 内容: 1)信息安全的定义,总体目标、范围,安全对信息共享的重要性 2)管理层意

8、图,支持目标和信息安全原则的阐述 3)信息安全控制的简要说明,以及依从法律、法规要求对对组织的重要性 4)信息安全管理的一般和具体责任定义包括报告安全事故,实例:全员参与、控制风险;积极预防、持续改进;客户信赖、永续经营,16,信息安全政策的层次:,什么是信息安全政策与程序,信息安全政策的内容,信息安全方针,具体的信息安全策略,定义:具体的信息安全策略是在信息安全方针的框架内,根据风险评估的结果,为保证控制措施的有效执行而指定的明确具体的信息安全实施规则 分类: 1)企业信息安全策略(EISP) 2)特定问题的安全策略(ISSP) 3)特定系统策略(SysSP),17,信息安全政策的层次:,什

9、么是信息安全政策与程序,信息安全政策的内容,信息安全方针,具体的信息安全策略,EISP: 大多数EISP文档包括以下要素: 1)关于企业安全理念的总体看法 2)机构的信息安全部门结构和实施安全策略人员信息 3)机构所有成员共同的安全责任(员工、承包人、顾问、合伙人和访问者) 4)机构所有成员明确的、特有的安全责任,EISP一般性框架,EISP一般性框架,小例子,小例子,小例子,小例子,小例子,1.信息保护必须与他的敏感性,价值和重要性相称。技术人员。 2.公司的某一信息必须只用于管理层明确授权的业务目标。所有人员。 3.信息是机构的重要资产,所有对公司信息的访问,使用和处理必须遵从策略和标准的

10、规定。所有人员。 4.对于由计算机和通信系统负责处理的信息,如果公司已经为保护它们的机密性、完整性、可用性做出了努力,那么就可以否认对数据或者软件的丢失或损坏负责任。所有人员。,小例子,5.公司的安全策略必须满足现有法律法规所规定的保护条例,或者提出比之更严格的要求。当公司的信息安全策略与现有的法律法规冲突时,必须迅速向信息安全管理部门报告。终端用户。 6.信息安全策略只有在极少的情况下才发生异常。当发生异常时,应当进行风险评估以调查引起一场的原因。数据所有者也应当制定一个标准的风险容许表,并且该表要经过信息安全管理部门和内部审计部门的审批。管理层 7.不能因为没有管理层实施安全策略的要求,就

11、允许异常状况持续下去。终端用户,小例子,8.公司的管理层必须慎重考虑对所有违法行为的起诉活动。管理层 9.公司保留随时可撤销用户对信息技术的使用权。终端用户。 10.公司的信息系统必须采用具体行业信息安全标准。技术人员。 11.公司的所有信息安全文档,包括策略标准和过程,除非是明确用于外部业务过程或者合伙人的文档,其它的都必须归类为“仅供内部使用”。所有人 12.所有信息系统安全控制,在作为标准操作过程的一部分之前,必须是可实施的。管理层和技术人员,27,信息安全政策的层次:,什么是信息安全政策与程序,信息安全政策的内容,信息安全方针,具体的信息安全策略,ISSP:在使用特定的技术时所定义的可

12、被接受的行为规则。 通常涉及以下特定技术领域: 1.电子邮件。2.互联网的使用。3.防御病毒时计算机的最低配置。4.禁止攻击或者测试机构的安全控制。5.在家中使用公司的计算机设备。6.在公司网络上使用个人设备。7.电讯技术的使用(传真和电话)。8.影印设备的使用,ISSP,ISSP常见的3类建立方式 独立的ISSP文件,每份文件针对一个特定问题 一个包括所有问题的全面的ISSP文件 一个模块化ISSP文档,它统一了政策(策略)的制定和管理,并考虑了每个特定问题的需求 独立文件意味着策略独立,往往效果不理想 一个文件可能导致考虑不周,存在漏洞 模块化允许特定解决问题的人制定和更新策略,并通过管理

13、中心汇总,获得全面的策略,ISSP的一般性框架,1.目标声明(范围和适用性;定义所设计的技术;责任) 2.授权访问和设备的使用(用户访问;公正且负责人的使用;隐私的保护) 3.设备的禁止使用(破坏性的使用或者误用;用于犯罪;冒充或者侵扰的材料;侵权的、未经批准的或者涉及其他侵犯知识产权的;其它限制) 4.系统管理(存储材料的管理;雇主监控;病毒防护;物理安全;加密) 5.策略违规(通报违规的过程;对违规的惩罚) 6.策略检查和修改(安排策略的检查,修改的过程) 7.责任的限制(责任的声明;拒绝对其它行为承担责任),ISSP,目标声明 ISSP应该以一个清晰的目标声明开始,这个目标概括了策略的范

14、围和适用性。它解决一下问题:这个策略服务于什么目标?由谁来负责实施策略?策略文档涉及到那些技术问题? 设备的授权访问和使用 这一部分解释了谁可以使用策略所规定的技术,用于什么目的。机构的信息系统是机构的专有财产,用户没有使用特权。每项技术和过程都是为业务额运转而准备的,任何意图的使用都会导致设备的滥用,ISSP,设备的禁止使用 与授权使用相对,这部分明确了禁止使用的范围。除非明确禁止在某个方面的使用,否则机构不能以滥用为借口惩罚员工。 系统管理 侧重用户和系统管理层的关系。例如发布规则知道员工如何使用电子邮件和电子文档,如何存储电子文档,授权雇主如何监控,以及如何保护电子邮件和其它电子文档的物

15、理和电子安全。这部分需要知名用户和系统管理员的职责,以便双方能够明确知道他们应该负责什么,ISSP,违反策略 规定了对违规行为的惩罚和员工的反馈方式。惩罚应当针对每种违规类型而设计。针对怎样报告已观察到的或可疑的违规行为,这部分也应该提供指南 策略检查和修改 每个策略应当包含定期检查步骤和时间表。这部分应当包括ISSP的具体检查和修改方法,以便保证用户手上总有反映机构当前技术和需求的指导方针 责任限制 对一般“责任声明”或者一些列的“拒绝承担责任声明”做了概要说明。例如员工使用机构的设备从事非法活动,管理者并不希望机构为这种情况负责。,33,信息安全政策的层次:,什么是信息安全政策与程序,信息

16、安全政策的内容,信息安全方针,具体的信息安全策略,SysSP:通常在设备配置和维护系统时起到标准和知道过程的作用。例如一个文档描述了网络防火墙的配置和操作规程。 SysSP可以分成两个部分:管理指南和技术规范。 1.管理指南由管理层制定,指导技术的实现和配置。例如一个机构不希望它的员工利用机构的网络访问互联网。这种情况下,应该按照这种规则来配置防火墙。 2.技术规范用于把管理目标转变为可以实施的方法。一般分为ACL和配置规则,SysSP:技术规范,ACL包括用户、权限、客体,阐述了用户对客体的权限。这里的ACL也包含了用户的特权管理。 配置规则是输入到安全系统的具体配置代码。配置代码支持的逻辑

17、更多,比ACL更细化,Information Security Management,重庆医科大学信息管理系,35,安全程序,安全程序是保障信息安全策略有效实施的、具体化的、过程性的措施,是信息安全策略从抽象到具体,从宏观管理层落实到具体执行层的重要一环。 程序是为进行某项活动所规定的途径或方法。 信息安全管理程序包括: 实施控制目标与控制方式的安全控制程序(如信息处置与储存程序); 为覆盖信息安全管理体系的管理与运作的程序(如风险评估与管理程序),36,程序文件的内容包括: 活动的目的与范围(Why)。做什么(What) 谁来做(Who) 何时(When) 何地(Where) 如何做(How

18、),程序文件应遵循的原则: 一般不涉及纯技术性的细节 针对影响信息安全的各项活动目标的执行做出的规定 应当简练、明确和易懂 应当采用统一的结构与格式编排,安全策略与程序的格式,安全方针的格式 1.总体目标 2.信息安全方针内容,实例:全员参与、控制风险;积极预防、持续改进;客户信赖、永续经营,38,安全策略的格式,1.目标 2.范围 3.策略内容 4.角色责任 5.执行纪律 6.专业术语 7.版本历史,39,安全策略的格式,1.目标 建立信息系统安全的总体目标,定义信息安全的管理结构和提出对组织成员的安全要求 。 信息安全策略必须有一定的透明度并得到高层管理层的支持,这种透明度和高层支持必须在

19、安全策略中有明确和积极的反映。 信息安全策略要对所有员工强调“信息安全,人人有责”的原则,使员工了解自己的安全责任与义务。,40,安全策略的格式,2.范围 信息安全策略应当有足够的范围广度,包括组织的所有信息资源、设施、硬件、软件、信息、人员。在某些场合下,安全可以定义特殊的资产,比如:组织的主站点、各种重要装置和大型系统。此外,还应包括组织所有信息资源类型的综述,例如,工作站、局域网、单机等。,41,安全策略的格式,3.策略内容 根据ISO17799中定义,对信息安全策略的描述应该集中在三个方面:机密性、完整性和可用性,这三种特性是组织建立信息安全策略的出发点。机密性是指信息只能由授权用户访

20、问,其他非授权用户、或非授权方式不能访问。完整性就是保证信息必须是完整无缺的,信息不能被丢失、损坏,只能在授权方式下修改。可用性是指授权用户在任何时候都可以访问其需要的信息,信息系统在各种意外事故、有意破坏的安全事件中能保持正常运行。,42,安全策略的格式,3.策略内容 根据给定的环境,应当给员工明确描述与这些特性相关的信息安全要求,组织的信息安全策略应当以员工熟悉的活动、信息、术语等方式来反映特定环境下的安全目标, 例如,组织在维护大型但机密性要求并不高的数据库时,其安全目标主要是减少错误、数据丢失或数据破坏;如果组织对数据的机密性要求高时,安全目标的重点就会转移到防止数据的非授权泄露。,4

21、3,安全策略的格式,4.角色责任 信息安全策略除了要建立安全程序及程序管理职责外,还需要在组织中定义各种角色并分配责任,明确要求,比如:部分业务管理人员、应用系统所有者、数据用户、计算机系统安全小组等。 在某些情况下,信息安全策略中要理顺组织中的各种个体与团体的关系,以避免在履行各自的责任与义务时发生冲突。,44,安全策略的格式,5.执行纪律 没有一个正式的、文件化的安全策略,管理层不可能制定出惩戒执行标准与机制,信息安全策略是组织制定和执行纪律措施的基础。信息安全策略中应当描述与安全策略损害行为的类型与程度相对应的惩戒办法。 还要考虑到有时员工违反安全策略并非是有意的,有时也可能是对安全策略

22、缺乏必要的了解造成的。对于这种情况,信息安全策略要预先采取措施,在合理的期限内,进行相关安全策略介绍和安全意识教育培训。,45,安全策略的格式,6.专业术语 对于信息安全策略中涉及的专业术语作必要的描述,使组织成员对策略的了解不会产生歧义。 7.版本历史 对策略版本在各个阶段的修订情况作出说明,程序文件的内容与格式,编号和标题 目的和适用范围 相关文件与术语 职责 工作程序 报告与记录格式 版本历史,Information Security Management,重庆医科大学信息管理系,47,二、信息安全管理标准,信息安全管理标准,BS7799-1:十个领域,127种控制措施 BS7799-2

23、:建立信息安全管理体系的步骤及PDCA方法,Information Security Management,重庆医科大学信息管理系,49,三、安全管理策略的制定与实施,安全管理策略的制定与实施,安全管理策略的制定 安全管理策略的实施 制定和实施安全策略时要注意的问题,Information Security Management,重庆医科大学信息管理系,51,安全策略的制定,理解组织业务特征,充分了解组织业务特征是设计信息安全策略的前提; (做什么),对组织业务的了解包括对其业务内容、性质、目标 及其价值进行分析(明确资产)。 了解人员,得到管理层的明确支持与承诺,使制定的信息安全策略与组织的

24、业务目标一致; 使制定的安全方针、政策和控制措施可以在组 织的上上下下得到有效的贯彻; 可以得到有效的资源保证。,52,安全策略的制定,组建安全策略制定小组,高级管理人员; 信息安全管理员; 熟悉法律事务的人员; 负责安全策略执行的管理人员; 用户部门人员。,确定信息安全整体目标,通过防止和最小化安全事故的影响,保证业务持续 性,使业务损失最小化,并为业务目标的实现提供保障。,53,安全策略的制定,确定安全策略目标和范围,先有目标。再确定范围 组织需要根据自己的实际情况确定信息安全策略要 涉及的范围,可以在整个组织范围内、或者在个别部门 或领域制定信息安全策略 。,风险评估与选择安全控制,风险

25、评估的结果是选择适合组织的控制目标与控制 方式的基础,组织选择出了适合自己安全需求的控制目 标与控制方式后,安全策略的制定才有了最直接的依据。,起草拟定安全策略,安全策略要尽可能地涵盖所有的风险和控制,没有 涉及的内容要说明原因,并阐述如何根据具体的风险和 控制来决定制订什么样的安全策略。,54,起草-网络服务器口令的管理,(1)服务器的口令,由部门负责人和系统管理员商议确定,必须两人同时在场设定。 (2)服务器的口令需部门负责人在场时,由系统管理员记录封存。 (3)口令要定期更换(视网络具体情况),更换后系统管理员要销毁原记录,将新口令记录封存。 (4)如发现口令有泄密迹象,系统管理员要立刻

26、报告部门负责人,有关部门负责人报告安全部门,同时,要尽量保护好现场并记录,须接到上一级主管部门批示后再更换口令。,55,起草-用户口令的管理,(1)对于要求设定口令的用户,由用户方指定负责人与系统管理员商定口令,由系统管理员登记并请用户负责人确认(签字或电话通知)之后系统管理员设定口令,并保存用户档案。 (2)在用户由于责任人更换或忘记口令时要求查询口令或要求更换口令的情况下,需向网络服务管理部门提交申请单,由部门负责人或系统管理员核实后,对用户档案做更新记载。 (3)如果网络提供用户自我更新口令的功能,用户应自己定期更换口令,并设专人负责保密和维护工作。,56,起草-防病毒策略,(1)拒绝访

27、问能力:来历不明的入侵软件不得进入系统。 (2)病毒检测能力:系统中应设置检测病毒的机制。检测已知类病毒和未知病毒。 (3)控制病毒传播的能力:系统一定要有控制病毒传播的能力。 (4)清除能力: (5)恢复能力:提供高效的方法来恢复这些数据。 (6)替代操作:系统应该提供一种替代操作方案。在恢复系统时可用替代系统工作。,57,起草-安全教育与培训策略,(1)主管信息安全工作的高级负责人或各级管理人员:重点是了解、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部门的建立和管理制度的制定等。 (2)负责信息安全运行管理及维护的技术人员:重点是充分理解信息安全管理策略,掌握安全评估的

28、基本方法,对安全操作和维护技术的合理运用等。 (3)用户:重点是学习各种安全操作流程,了解和掌握与其相关的安全策略,包括自身应该承担的安全职责等。,58,起草-可接受使用策略,可接受使用策略(Acceptable Use Policy,AUP)是指这些网络能够被谁使用的约束策略。AUPs的执行是随网络变化的。许多公共网络服务有一个AUP。这个AUP是一个正式的或非正式的文件,其定义了网络的应用意图、不接受的使用和不服从的结果。一个人注册一个基于网络的服务或工作在一个社团内部网时经常会遇到一个AUP。一个好的AUP 将包括网络礼节的规定,限制网络资源的使用和明确指出网络应该尊敬的成员的隐私,最好

29、的AUPs使“what if”关一体化,其举例说明这个策略在现实世界协商中的作用。,59,安全策略的制定,评估安全策略,安全策略是否符合法津、法规、技术标准及合同的要求? 管理层是否已批准了安全策略,并明确承诺支持政策的实施? 安全策略是否损害组织、组织人员及第三方的利益? 安全策略是否实用、可操作并可以在组织中全面实施? 安全策略是否满足组织在各个方面的安全要求? 安全策略是否已传达给组织中的人员与相关利益方,并得到了 他们的同意?,60,安全策略的实施,实施安全策略,安全策略通过测试评估后,需要由管理层正式批准。 把安全方针与具体安全策略编制成组织信息安全策略 手册,然后发布到组织中的每个

30、组织人员与相关利益方。,几乎所有层次的所有人员都会涉及到这些政策; 组织中的主要资源将被这些政策所涵盖; 将引入许多新的条款、程序和活动来执行安全策略。,组织所处的内外环境在不断变化; 信息资产所面临的风险也是一个变数; 人的思想和观念也在不断的变化。,政策的持续改进,制定和实施安全策略时要注意的问题,1.控制成本 2.安全可靠性与业务灵活性之间进行平衡 3.制定合适的人力资源政策 新员工筛选 劳动合同中明确安全责任 岗前教育与培训 保密协议 明确遵守法律法规与信息安全策略 技术成果和知识产权归属 尊重个人隐私,但是工作数据无隐私 工作说明中渗透信息安全 关注心怀不满员工,避免引入内部攻击 中

31、止离职人员对系统的访问权限,62,制定和实施安全策略时要注意的问题,注重企业安全文化建设 强制管理人心不服,文化建设潜移默化 教育、宣传、奖励为主 通过总体理念、形象识别、工作目标与规划、岗位责任制的制定、生产过程控制和反馈等融合安全文化的内容,63,四、安全教育、培训和意识提升,来自人员的信息安全威胁,通常是由于 1.安全意识薄弱 2.对信息安全方针不理解 3.专业技能不足,安全教育,在企业中对于信息安全部没有安全相关背景或者经验的员工,可以脱产参加再教育。需要包括: 所有安全专业人员的信息安全教育需求 所有信息技术专业人员的必备知识教育 需要谨慎择课择校,安全培训,培训范围 从事操作和维护

32、信息系统的工作人员 人员培训一般分3个层次 领导层 软件、硬件技术人员和应用系统管理人员 计算机操作员,Information Security Management,重庆医科大学信息管理系,培训内容,法律、制度和道德培训 计算机职业道德是用以约束计算机从业人员以及与计算机活动相关的人们的言行、指导其思想的行为规范的总和。是原则规范、心理意识、善恶评价。 宏观看,计算机职业道德培训可以提高素质,调整行业内外关系;微观看,可以自我约束、平衡心理 规章制度培训 系统运行维护管理制度、计算机控制管理制度、文档资料管理制度、操作人员管理制度、机房安全管理规章制度、其它重要管理制度、详细工作手册和工作记

33、录 系统管理员的技术培训 一般安全信息、用户管理技术、系统管理技术、日志管理技术等,培训方法,(1)培训方式 有人教的:一对一;正式课程;远程教学;基于工作的培训; 没人教的:通过软件自学;通过用户间讨论自学;看书自学。 (2)挑选培训人员 外来的:专业培训人员、顾问或者可信赖机构的人员 自选的:自己的员工 (3)实施培训 1,2,3,4,5,6,7,Information Security Management,重庆医科大学信息管理系,实施培训,确定项目的范围、目的和目标 确定培训教师 确定培训对象 按理解能力分组、按工作任务分组、按工作类别分组、按计算机水平分组、按技术类型分组 激发管理层

34、和员工(通常是以利诱之) 管理项目 宣传培训、方法选对、主题选好、材料合适、进度控制(时间、类型、频率等) 维护项目(与时俱进) 评估项目(评教、查效、考试),安全意识,安全意识是指通过改变组织或机构的观点,让他们意识到安全的重要性和没有保证安全所带来的不理后果,并建立培训阶段和提醒后继者 安全意识提升来自潜移默化 意识提升项目的关键在于春风化雨、润物无声 具体方式 通信(邮件、电子邮件等);广告画和旗帜; 演讲和会议;基于电脑的培训;录像、小册子和飞行物、小饰物、布告牌等等,Information Security Management,重庆医科大学信息管理系,70,其它方法,1)印刷日历,

35、强调每个月不同的策略,将它们张贴在办公室中。 2)利用幽默和简单的语言表述信息安全策略,分发给每个雇员。 3)设立一些几十分钟的内部培训课程。 4)进行信息安全策略知识竞赛。 5)将信息安全策略和标准发布在内部的网站上。 6)向公司员工发送宣传信息安全策略的邮件。 7)建立内部安全热线,回答雇员关于信息安全策略的问题。,71,五、持续性策略,受到攻击时采取的行动计划 应急响应(IRP) 应急计划 灾难恢复(DRP) 业务持续性(BCP),内容提要,应急响应服务背景 什么是应急响应 应急响应组的组建 应急响应服务的过程 应急响应服务的形式和内容 应急响应服务的指标 应急响应服务案例,应急响应服务

36、背景,应急响应服务的诞生CERT/CC 1988年Morris蠕虫事件直接导致了CERT/CC的诞生。 美国国防部(DoD)在卡内基梅隆大学的软件工程研究所成立了计算机应急响应组协调中心(CERT/CC)以协调Internet上的安全事件处理。目前,CERT/CC是DoD资助下的抗毁性网络系统计划(Networked Systems Survivability Program)的一部分,下设三个部门:事件处理、脆弱性处理、计算机安全应急响应组(CSIRT)。 在CERT/CC 成立之后的14年里,共处理了28万多封Email,2万多个热线电话,其运行模式帮助了80多个CSIRT组织的建设。,应

37、急响应服务背景,CERT/CC服务的内容 安全事件响应 安全事件分析和软件安全缺陷研究 缺陷知识库开发 信息发布:缺陷、公告、总结、统计、补丁、工具 教育与培训:CSIRT管理、CSIRT技术培训、系统和网络管理员安全培训 指导其它CSIRT(也称IRT、CERT)组织建设,内容提要,应急响应服务背景 什么是应急响应 应急响应组的组建 应急响应服务的过程 应急响应服务的形式和内容 应急响应服务的指标 应急响应服务案例,事件响应,事件响应:对发生在计算机系统或网络上的威胁安全的事件进行响应。 事件响应是信息安全生命周期的必要组成部分。这个生命周期包括:对策、检测和响应。 网络安全的发展日新月异,

38、谁也无法实现一劳永逸的安全服务。,应急响应描述,当安全事件发生需要尽快解决,而一般技术人员又无法迅速处理的时候,就需要安全服务商提供一种发现问题、解决问题的有效服务手段来解决问题。 这种服务手段可以描述为:客户的主机或网络正遭到攻击或发现入侵成功的痕迹,而又无法当时解决和追查来源时,安全服务商根据客户的要求以最快的速度赶到现场,协助客户解决问题,查找后门,保存证据和追查来源。,什么是应急响应,应急响应也叫紧急响应,是安全事件发生后迅速采取的措施和行动,它是安全事件响应的一种快速实现方式 。 应急响应服务是解决网络系统安全问题的有效安全服务手段之一。,应急响应的目的,应急响应服务的目的是最快速度

39、恢复系统的保密性、完整性和可用性,阻止和减小安全事件带来的影响。,应急响应服务的特点,技术复杂性与专业性 各种硬件平台、操作系统、应用软件 知识经验的依赖性 由IRT中的人提供服务,而不是一个硬件或软件产品 突发性强 需要广泛的协调与合作,内容提要,应急响应服务背景 什么是应急响应 应急响应组的组建 应急响应服务的过程 应急响应服务的形式和内容 应急响应服务的指标 应急响应服务案例,应急响应组的组建,什么是应急响应组(IRT) 应急响应组就是一个或更多的个人组成的团队,能快速执行和处理与安全有关的事件的任务。 为什么需要成立应急响应组 容易协调响应工作 提高专业知识 提高效率 提高先期主动防御

40、能力 更加适合于满足机构的需要 提高联络功能 提高处理制度障碍方面的能力,应急响应组的分类,国际间的协调组织,国内的协调组织,国内的协调组织,愿意付费的 任何用户,产品用户,网络接入用户,企业部门、用户,商业IRT,网络服务提供商 IRT,厂商 IRT,企业 /政府 IRT,如:绿盟科技,如:CCERT,如:Cisco、IBM,如:中国银行、 公安部,如CERT/CC, FIRST,如CNCERT/CC,国外应急响应组建设情况,国外安全事件响应组(CSIRT)建设情况 FedCIRC、BACIRT、DFN-CERT等 DOE CIAC、 AFCERT、NavyCIRT 亚太地区:AusCERT

41、、SingCERT等 FIRST(1990) FIRST为IRT组织、厂商和其他安全专家提供一个论坛,讨论安全缺陷、入侵者使用的方法和技巧、建议等,共同的寻找一个可接受的方案。 120多个正式成员组织,覆盖20多个国家和地区。 FIRST的大量工作都是由来自各成员组织的志愿者完成的,从FIRST 中获益的比例与IRT愿意提供的贡献成比例。,国内应急响应组建设情况,计算机网络基础设施已经严重依赖国外 由于地理、语言、政治等多种因素,安全服务不可能依赖国外的组织 国内的应急响应服务组织还处在建设阶段 CCERT(1999年5月),中国教育科研网紧急响应组 NJCERT(1999年10月),中国教育

42、网华东(北)地区网络安全事件响应组 中国电信ChinaNet安全小组 解放军,公安部 商业网络安全服务公司 中国计算机应急响应组/协调中心CNCERT/CC 信息产业部安全管理中心 ,2000年3月,北京,国际应急响应组网址,美国 http:/www.cert.org/ 清华 http:/ 欧洲 http:/ 新加坡 http:/www.singcert.org.sg/ 台湾省 http:/www.cert.org.tw/ 印尼 http:/www.paume.itb.ac.id/rahard/id-cert/ 瑞士 http:/www.switch.ch/cert/ 澳大利亚 http:/w

43、ww.auscert.org.au/ 德国 http:/www.cert.dfn.de/eng/ 日本 http:/www.jpcert.or.jp/ 马来西亚 http:/www.mycert.mimos.my/ 韩国 http:/www.certcc.or.kr/ 墨西哥 http:/www.mxcert.org.mx/ 菲律宾 http:/ 什么是应急响应 应急响应组的组建 应急响应服务的过程 应急响应服务的形式和内容 应急响应服务的指标 应急响应服务案例,应急响应服务的过程,准备 检测 抑制 根除 恢复 跟踪,应急响应服务的过程准备,基于威胁建立一组合理的防御/控制措施 建立一组尽可能

44、高效的事件处理程序 获得处理问题必须的资源和人员 建立一个支持事件响应活动的基础设施,应急响应服务的过程检测,确定事件是已经发生了还是在进行当中 初步动作和响应 选择检测工具,分析异常现象 激活审计功能 迅速备份完整系统 记录所发生事件 估计安全事件的范围,应急响应服务的过程抑制,限制攻击的范围,同时限制了潜在的损失和破坏。 抑制策略 完全关闭所有系统; 将网络断开; 修改所有防火墙和路由器的过滤规则,拒绝来自看起来是 发起攻击的主机的所有的流量; 封锁或删除被攻击的登录账号; 提高系统或网络行为的监控级别; 设置诱饵服务器作为陷阱; 关闭被利用的服务; 反击攻击者的系统等。,应急响应服务的过

45、程根除,安全事件被抑制后,找出事件根源并彻底根除,即根除事件的原因。,应急响应服务的过程恢复,把所有受侵害或被破坏的系统、应用、数据库等彻底地还原到它们正常的任务状态。,应急响应服务的过程跟踪,回顾事件处理过程 总结经验教训 为管理或法律目的收集损失统计信息 建立或补充自己的应急计划,内容提要,应急响应服务背景 什么是应急响应 应急响应组的组建 应急响应服务的过程 应急响应服务的形式和内容 应急响应服务的指标 应急响应服务案例,应急响应服务的形式,远程应急响应服务 本地应急响应服务,远程应急响应服务,客户通过电话、Email、传真等方式请求安全事件响应,应急响应组通过相同的方式为客户解决问题。

46、 经与客户网络相关人员确认后,客户方提供主机或设备的临时支持账号,由应急响应组远程登陆主机进行检测和服务,问题解决后出具详细的应急响应服务报告。 远程系统无法登陆,或无法通过远程访问的方式替客户解决问题,客户确认后,转到本地应急相应流程,同时此次远程响应无效,归于本地应急响应类型。,本地应急响应服务,应急响应组在第一时间赶往客户网络系统安全事件的事发地点,在现场为客户查找事发原因并解决相应问题,最后出具详细的应急响应服务报告。,应急响应服务的内容,病毒事件响应 系统入侵事件响应 网络故障事件响应 拒绝服务攻击事件响应,内容提要,应急响应服务背景 什么是应急响应 应急响应组的组建 应急响应服务的

47、过程 应急响应服务的形式和内容 应急响应服务的指标 应急响应服务案例,应急响应服务的指标,远程应急响应服务 在确认客户的应急响应请求后2小时内,交与相关应急响应人员进行处理。无论是否解决,进行处理的当天必须返回响应情况的简报,直到此次响应服务结束。 本地应急响应服务 对本地范围内的客户,3-6小时内到达现场;对异地的客户,24小时加路途时间内到达现场。,内容提要,应急响应服务背景 什么是应急响应 应急响应组的组建 应急响应服务的过程 应急响应服务的形式和内容 应急响应服务的指标 应急响应服务案例,应急响应服务案例,国家XX局的主机入侵应急响应 XX证券公司“红色代码”病毒事件应急响应 XX电信

48、公司网络拒绝服务攻击事件应急响应 XX省教育网拒绝服务攻击事件应急响应,国家XX局应急响应,事件描述 该主机位于国家XX局的X层计算机办公室,在2001年11月中曾经连续发生数据库被删除记录的事件,最后该网站管理员认定事件可疑,随即向国家XX局网络安全管理部门报告。 主机用途 做为国家XX局计算中心内部网站使用,负责发布计算中心内部信息。操作系统Windows 2000 Server SP2,网站运行IIS5,后台数据库采用ACCESS。,国家XX局应急响应,现场分析 主要依据是服务器的IIS日志,利用查找功能在该日志的文件夹里查找是否有被攻击的行为。 查找漏洞攻击的关键字后发现没有找到任何攻

49、击行为的征兆,只有几次NIMUDA病毒发作的记录,和此次攻击事件无关。然后查找该主机数据库的关键字mynews.mdb后发现该数据库曾经在11月被来自10.71.1.98 IP地址的的浏览者非法下载。进一步的跟踪该IP地址的浏览记录后发现,该IP地址的访问者之后曾经非法访问了该网站的在线管理系统。由于攻击者下载的网站数据库中明文存放着该管理员的管理密码,经和管理员确认后认定来自此IP地址的访问并非远程管理员,所以初步怀疑为攻击者。,国家XX局应急响应,扫描分析 发现服务器采用FAT32的磁盘格式,建议采用NTFS格式的磁盘分区提供更高的安全可靠性能; 没有采取端口访问限制策略,远程主机可以随意连接到电脑上的开放端口; 开放的SNMP协议暴露服务器主机的配置和使用情况; 没有禁止的IPC共享连接可以远程得到主机的网络和系统配置文件。,国家XX局应急响应,原因分析 由于此名攻击者是直接下载的xx局计算中心网站的数据库文件,之前没有做任何攻击和猜解尝试,表明该攻击者非常熟悉该网站文件和数据库

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 其他


经营许可证编号:宁ICP备18001539号-1