信息安全管理课件
合集下载
《信息安全管理》PPT课件
念的深入发展,PDCA 最终得以普及。
作为一种抽象模型,PDCA 把相关的资源和活动抽象为过程
进行管理,而不是针对单独的管理要素开发单独的管理模式,
这样的循环具有广泛的通用性,因而很快从质量管理体系
(QMS)延伸到其他各个管理领域,包括环境管理体系
(EMS)、职业健康安全管理体系(OHSMS)和信息安全管
基于PDCA 这个过程的,如此一来,对管理问题的解决就成
了大环套小环并层层递进的模式;
每经过一次PDCA 循环,都要进行总结,巩固成绩,改进不
足,同时提出新的目标,以便进入下一次更高级的循环。
12.3 建立信息安全管理体系的意义
组织可以参照信息安全管理模型,按照先进的信息安全管
理标准BS 7799标准建立组织完整的信息安全管理体系并实
安全策略为核心的管理措施,致使安全技术和产品的运用非
常混乱,不能做到长期有效和更新。即使组织制定有安全策
略,却没有通过有效的实施和监督机制去执行,使得策略空
有其文成了摆设而未见效果。
12.1 信息系统安全管理概述
实际上对待技术和管理的关系应该有充分理性的认识:技
术是实现安全目标的手段,管理是选择、实施、使用、维护、
的管理模式,如图12.1 所示。
12.2 信息安全管理模式
PDCA(Plan、Do、Check 和Act)是管理学惯用的一个过程
模型,最早是由休哈特(Walter Shewhart)于19 世纪30 年
代构想的,后来被戴明(Edwards Deming)采纳、宣传并
运用于持续改善产品质量的过程当中。随着全面质量管理理
带来严重的影响。
概 述
安全问题所带来的损失远大于交易的账面损失,
作为一种抽象模型,PDCA 把相关的资源和活动抽象为过程
进行管理,而不是针对单独的管理要素开发单独的管理模式,
这样的循环具有广泛的通用性,因而很快从质量管理体系
(QMS)延伸到其他各个管理领域,包括环境管理体系
(EMS)、职业健康安全管理体系(OHSMS)和信息安全管
基于PDCA 这个过程的,如此一来,对管理问题的解决就成
了大环套小环并层层递进的模式;
每经过一次PDCA 循环,都要进行总结,巩固成绩,改进不
足,同时提出新的目标,以便进入下一次更高级的循环。
12.3 建立信息安全管理体系的意义
组织可以参照信息安全管理模型,按照先进的信息安全管
理标准BS 7799标准建立组织完整的信息安全管理体系并实
安全策略为核心的管理措施,致使安全技术和产品的运用非
常混乱,不能做到长期有效和更新。即使组织制定有安全策
略,却没有通过有效的实施和监督机制去执行,使得策略空
有其文成了摆设而未见效果。
12.1 信息系统安全管理概述
实际上对待技术和管理的关系应该有充分理性的认识:技
术是实现安全目标的手段,管理是选择、实施、使用、维护、
的管理模式,如图12.1 所示。
12.2 信息安全管理模式
PDCA(Plan、Do、Check 和Act)是管理学惯用的一个过程
模型,最早是由休哈特(Walter Shewhart)于19 世纪30 年
代构想的,后来被戴明(Edwards Deming)采纳、宣传并
运用于持续改善产品质量的过程当中。随着全面质量管理理
带来严重的影响。
概 述
安全问题所带来的损失远大于交易的账面损失,
信息安全培训ppt课件
个人信息保护法
保护个人信息的合法权益 ,规范个人信息处理活动 ,促进个人信息合理利用 。
合规性要求
ISO 27001
信息安全管理体系标准,要求组 织建立完善的信息安全管理体系
。
PCI DSS
支付卡行业数据安全标准,针对 信用卡处理过程中的信息安全要
求。
HIPAA
医疗保健行业的信息安全标准, 保护个人健康信息的隐私和安全
安全案例分享
分享企业内外发生的典 型安全事件,引导员工 吸取教训,提高安全防
范意识。
信息安全培训效果评估
培训考核
对参加培训的员工进行考核,了解员工对信息安 全知识的掌握程度。
反馈调查
对参加培训的员工进行反馈调查,了解培训效果 和不足之处。
改进措施
根据考核和调查结果,对培训计划和内容进行改 进和优化,提高培训效果。
保障信息可用性的措施包括合理配置资源、实施容错技术、 建立备份和恢复计划等,以确保授权用户可以随时访问所需 的信息。
REPORT
CATALOG
DATE
ANALYSIS
SUMMAR Y
03
信息安全风险与对策
物理安全风险与对策
总结词:物理安全风险主要涉及信息存 储设备的安全,包括设备丢失、损坏和 被盗等风险。
REPORT
THANKS
感谢观看
CATALOG
DATE
ANALYSIS
SUMMAR Y
CATALOG
DATE
ANALYSIS
SUMMAR Y
06
信息安全培训与意识提 升
信息安全培训计划
制定培训目标
明确培训目的,提高员工的信息安全 意识和技能水平。
信息安全管理ppt课件
安全风险管理基本过程
掌握风险管理中背景建立、风险评估、风险处理、批 准监督、监控审查、沟通咨询等步骤的工作内容。
7
风险管理基本概念
风险:事态的概率及其结果的组合
风险是客观存在 风险管理是指导和控制一个组织相关风险的协调活
动,其目的是确保不确定性不会使企业的业务目标 发生变化 风险的识别、评估和优化
组织在整体或特定范围内建立的信息安全方针和目 标,以及完成这些目标所用的方法和体系。它是直 接 管理活动的结果,表示为方针、原则、目标、 方法、计划、活动、程序、过程和资源的集合
27000 信息安全管理体系原则和术语
27001 信息安全管理体系要求
27002 信息安全管理实践准则
风险管理的价值
安全措施的成本与资产价值之间的平衡
基于风险的思想是所有信息系统安全保障 工作的核心思想!
8
风险管理各要素关系
使命
脆弱性
暴露
利用
增加
资产 未被满足
威胁 演变成
增加 抗击
风险 残留
依赖
资产价值
增加
成本
导出
安全需求
降低
被满足
威胁
可能诱发
风险
9
未控制
安全需求
常见风险管理模型
内部控制整合框架(COSO报告)
信息安全管理能预防、阻止或减少信息安全事件的
发生
对组织的价值
防护措施
对内 对外
被侵害的资产
信息安全水平
6
知识子域:信息安全风险管理
风险管理概述
了解信息安全风险、风险管理的概念; 理解信息安全风险管理的作用和价值; 理解风险管理中各要素的关系。
掌握风险管理中背景建立、风险评估、风险处理、批 准监督、监控审查、沟通咨询等步骤的工作内容。
7
风险管理基本概念
风险:事态的概率及其结果的组合
风险是客观存在 风险管理是指导和控制一个组织相关风险的协调活
动,其目的是确保不确定性不会使企业的业务目标 发生变化 风险的识别、评估和优化
组织在整体或特定范围内建立的信息安全方针和目 标,以及完成这些目标所用的方法和体系。它是直 接 管理活动的结果,表示为方针、原则、目标、 方法、计划、活动、程序、过程和资源的集合
27000 信息安全管理体系原则和术语
27001 信息安全管理体系要求
27002 信息安全管理实践准则
风险管理的价值
安全措施的成本与资产价值之间的平衡
基于风险的思想是所有信息系统安全保障 工作的核心思想!
8
风险管理各要素关系
使命
脆弱性
暴露
利用
增加
资产 未被满足
威胁 演变成
增加 抗击
风险 残留
依赖
资产价值
增加
成本
导出
安全需求
降低
被满足
威胁
可能诱发
风险
9
未控制
安全需求
常见风险管理模型
内部控制整合框架(COSO报告)
信息安全管理能预防、阻止或减少信息安全事件的
发生
对组织的价值
防护措施
对内 对外
被侵害的资产
信息安全水平
6
知识子域:信息安全风险管理
风险管理概述
了解信息安全风险、风险管理的概念; 理解信息安全风险管理的作用和价值; 理解风险管理中各要素的关系。
员工信息安全意识培训-PPT课件
总结教训 ……
又是口令安全的问题! 又是人的安全意识问题!
再次强调安全意识的重要性!
16
如何做到信息安全
✓ 原则上外来设备不允许接入公司内部网络,如有业务需要,需申请审批通过后方可使用 。外来设备包括外部人员带到公司的笔记本电脑、演示机、测试机等。
✓ 公司内计算机严格限制使用包括移动硬盘、U盘、MP3、带存储卡的设备等的移动存储 设备,除工作必须要长期使用移动存储的可申请开通外,公司内的计算机禁止使用移动 存储设备。
除非你听出她或他的声音是熟人,并确认对方有这些信息 的知情权。 ✓ 无论什么时候在接受一个陌生人询问时,首先要礼貌的拒 绝,直到确认对方身份。
看来,问题真的不少呀 ……
2011年10月5日,定西临洮县太石镇邮政储蓄所的营业电脑突然死机 工作人员以为是一般的故障,对电脑进行了简单的修复和重装处理 17日,工作人员发现打印出的报表储蓄余额与实际不符,对账发现, 13日发生了11笔交易,83.5万异地帐户是虚存(有交易记录但无实际现 金) 紧急与开户行联系,发现存款已从兰州、西安等地被取走大半 储蓄所向县公安局报案 公安局向定西公安处汇报 公安处成立专案组,同时向省公安厅上报
请大家共同提高信息安全意识,从我做起!
20
如何实现信息安全?
如何实现信息安全?
如何实现信息安全?
✓ 物理安全 ✓ 计算机使用的安全 ✓ 网络访问的安全 ✓ 社会工程学 ✓ 病毒和恶意代码 ✓ 账号安全 ✓ 电子邮件安全 ✓ 重要信息的保密 ✓ 应急响应
✓ 文件分类分级 ✓ 使用过的重要文件及时销毁,不要扔
在废纸篓里,也不要重复利用 ✓ 不在电话中说工作敏感信息,电话回
步骤:信息收集——信任建立——反追查 典型攻击方式: 环境渗透、身份伪造、冒名电话、信件伪造等 如何防范?
信息安全管理(PPT 34页)
13
9.2 建立信息安全机构和队伍
9.2.1 信息安全管理机构(续)
2.信息安全顾问委员会 组织信息安全顾问委员会以信息安全领导小组成员为核心,邀请本 组织或社会上信息安全、法律政策、行政(企业)管理、技术专家、组 织策划等有关方面专家学者参加,组成智囊团,对组织信息安全领导小 组负责。 委员会定期或不定期为信息安全管理提供最新的安全动态、面临的风 险、技术,改进建议和应对措施,并为组织提供咨询服务,组织信息安全 顾问委员会是非常设机构,不一定需要例会制度。
及时报告重大事件,并协助有关部门做好处理工作。 5)制定本系统安全操作规程制度。 6)负责管理各类安全管理人员,定期或不定期组织安全教育或培训。 7)定期检查各部门的安全工作,及时通报检查结果和违章行为。 8)负责安全事故调查,起草安全事故报告,提出处理意见。
16
9.2 建立信息安全机构和队伍
9.2.1 信息安全管理机构(续)
2)适用性。策略应该反映组织的真实环境和信息安全的发展水平。 3)可行性。策略应该具有切实可行性,其目标应该可以实现,并容易 测量和审核。没有可行性的策略不仅浪费时间还会引起政策混乱。 4)经济性。策略应该经济合理,过分复杂和草率都是不可取的。 5)完整性。能够反映组织的所有业务流程的安全需要。 6)一致性。策略的一致性包括下面三个层次:①和国家、地方的法律 法规保持一致;②和组织己有的策略、方针保持一致;③整体安全策略保 持一致,要反映企业对信息安全的一般看法。 7)弹性。策略不仅要满足当前的组织要求,还要满足组织和环境在未 来一段时间内发展的要求。
17)建立必要的系统访问批准制度,监督、管理系统外维修人员对系统 设备的检修及维护。
18)采取切实可行的措施,防止计算机设备的损坏、改换和盗用。 19)定期做信息系统的漏洞检查,向本组织安全领导小组提供信息安全 管理系统的风险分析报告,提出相应的对策和实施计划。 20)负责存取系统和修改系统授权以及系统特权口令。
9.2 建立信息安全机构和队伍
9.2.1 信息安全管理机构(续)
2.信息安全顾问委员会 组织信息安全顾问委员会以信息安全领导小组成员为核心,邀请本 组织或社会上信息安全、法律政策、行政(企业)管理、技术专家、组 织策划等有关方面专家学者参加,组成智囊团,对组织信息安全领导小 组负责。 委员会定期或不定期为信息安全管理提供最新的安全动态、面临的风 险、技术,改进建议和应对措施,并为组织提供咨询服务,组织信息安全 顾问委员会是非常设机构,不一定需要例会制度。
及时报告重大事件,并协助有关部门做好处理工作。 5)制定本系统安全操作规程制度。 6)负责管理各类安全管理人员,定期或不定期组织安全教育或培训。 7)定期检查各部门的安全工作,及时通报检查结果和违章行为。 8)负责安全事故调查,起草安全事故报告,提出处理意见。
16
9.2 建立信息安全机构和队伍
9.2.1 信息安全管理机构(续)
2)适用性。策略应该反映组织的真实环境和信息安全的发展水平。 3)可行性。策略应该具有切实可行性,其目标应该可以实现,并容易 测量和审核。没有可行性的策略不仅浪费时间还会引起政策混乱。 4)经济性。策略应该经济合理,过分复杂和草率都是不可取的。 5)完整性。能够反映组织的所有业务流程的安全需要。 6)一致性。策略的一致性包括下面三个层次:①和国家、地方的法律 法规保持一致;②和组织己有的策略、方针保持一致;③整体安全策略保 持一致,要反映企业对信息安全的一般看法。 7)弹性。策略不仅要满足当前的组织要求,还要满足组织和环境在未 来一段时间内发展的要求。
17)建立必要的系统访问批准制度,监督、管理系统外维修人员对系统 设备的检修及维护。
18)采取切实可行的措施,防止计算机设备的损坏、改换和盗用。 19)定期做信息系统的漏洞检查,向本组织安全领导小组提供信息安全 管理系统的风险分析报告,提出相应的对策和实施计划。 20)负责存取系统和修改系统授权以及系统特权口令。
ISO27001信息安全管理体系介绍(PPT 52张)
2
3
4
5
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 9
信息安全管理体系(ISMS)介绍
►
Information Security Management System(ISMS)信息安全管理体系
►
► ► ►
基于国际标准ISO/IEC27001:信息安全管理体系要求
是综合信息安全管理和技术手段,保障组织信息安全的一种方法 ISMS是管理体系(MS)家族的一个成员
2005年10月 2007年4月
起草中,未发布
ISO/IEC 27002
ISO/IEC 27003
ISO/IEC 27004
起草中,未发布
ISO/IEC 27005
2008年6月
ISO/IEC 27006
Certification and Registration process审核认证机构要求
2007年2月
ISO27001信息安全管理体系介绍
页数 3
招商银行信息系统内部审计培训
目录
1
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
2
3
4
5
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 4
信息资产
信息资产类型:
ISO27001信息安全管理体系介绍
页数 2
几个问题
► ► ► ► ► ► ► ► ►
信息是否是企业的重要资产? 信息的泄漏是否会给企业带来重大影响? 信息的真实性对企业是否带来重大影响? 信息的可用性对企业是否带来重大影响? 我们是否清楚知道什么信息对企业是重要的? 信息的价值是否在企业内部有一个统一的标准? 我们是否知道企业关系信息的所有人 我们是否知道企业关系信息的信息流向、状态、存储 方式,是否收到足够保护? 信息安全事件给企业造成的最大/最坏影响?
信息安全意识培训课件(PPT 65张)
4
信息安全无处不在
法律 合规 业务 连续 安全
信息安全
人员 安全
开发 安全
网络 安全 访问 控制
物理 安全
5
信息安全的定义
广义上讲
领域—— 涉及到信息的保密性,完整性,可用性,真 实性,可控性的相关技术和理论。
本质上
1. 保护—— 系统的硬件,软件,数据 2. 防止—— 系统和数据遭受破坏,更改,泄露 3. 保证—— 系统连续可靠正常地运行,服务不中断
9
泄密事件 1 2 3 4 5 “棱镜门”事件
信息安全事件
英国离岸金融业200多万份 邮件等文件泄密 支付宝转账信息被谷歌抓 取 如家等快捷酒店开房记录 泄露 中国人寿80万份保单信息 泄密
点评 网友总结的2013年十大信息安全事件 斯诺登充分暴露NSA的信息窃密手段,对世界信息安全 及信息化格局产生深远影响。 范围涉及170个国家13万富豪,是具有重大影响的金融 安全事件。 作为国内使用最广泛的支付平台,影响面大,是互联网 金融安全的典型案例。 涉及个人深度隐私,影响部分人家庭团结和社会稳定。 保单信息包含详尽的个人隐私信息,对个人声誉及生活 影响大。
6
7
搜狗手机输入法漏洞导致 大量用户信息泄露
Adobe 300万账户隐私信息 泄露
移动应用漏洞利用导致泄密情况值得警惕,微信漏洞泄 密个人关系图谱也证明该问题。
云计算方式会将软件单个漏洞影响扩大化。
8
9
雅虎日本再遭入侵 2200万 用户信息被窃取
圆通百万客户信息遭泄露
二次泄密,国际巨头对用户隐私也持漠视态度。
快递行业信息泄密愈演愈烈。 泄露用户行程,不少用户反映受诈骗和影响行程安排, 影响出行安全。
东航等航空公司疑泄露乘 10 客信息
信息安全无处不在
法律 合规 业务 连续 安全
信息安全
人员 安全
开发 安全
网络 安全 访问 控制
物理 安全
5
信息安全的定义
广义上讲
领域—— 涉及到信息的保密性,完整性,可用性,真 实性,可控性的相关技术和理论。
本质上
1. 保护—— 系统的硬件,软件,数据 2. 防止—— 系统和数据遭受破坏,更改,泄露 3. 保证—— 系统连续可靠正常地运行,服务不中断
9
泄密事件 1 2 3 4 5 “棱镜门”事件
信息安全事件
英国离岸金融业200多万份 邮件等文件泄密 支付宝转账信息被谷歌抓 取 如家等快捷酒店开房记录 泄露 中国人寿80万份保单信息 泄密
点评 网友总结的2013年十大信息安全事件 斯诺登充分暴露NSA的信息窃密手段,对世界信息安全 及信息化格局产生深远影响。 范围涉及170个国家13万富豪,是具有重大影响的金融 安全事件。 作为国内使用最广泛的支付平台,影响面大,是互联网 金融安全的典型案例。 涉及个人深度隐私,影响部分人家庭团结和社会稳定。 保单信息包含详尽的个人隐私信息,对个人声誉及生活 影响大。
6
7
搜狗手机输入法漏洞导致 大量用户信息泄露
Adobe 300万账户隐私信息 泄露
移动应用漏洞利用导致泄密情况值得警惕,微信漏洞泄 密个人关系图谱也证明该问题。
云计算方式会将软件单个漏洞影响扩大化。
8
9
雅虎日本再遭入侵 2200万 用户信息被窃取
圆通百万客户信息遭泄露
二次泄密,国际巨头对用户隐私也持漠视态度。
快递行业信息泄密愈演愈烈。 泄露用户行程,不少用户反映受诈骗和影响行程安排, 影响出行安全。
东航等航空公司疑泄露乘 10 客信息
企业信息安全管理课件:保密意识培训PPT
2
病毒
病毒是网络环境中最常见的安全威胁之一,它可以通过恶意软件黑客利用,从而依赖于保证企业的网络安全。
保密意识的培养方法
1 员工保密意识教育
定期开展保密意识培训,使 员工能够认识到企业信息的 重要性,避免不必要的信息 泄露风险。
2 制定保密管理制度
黑客攻击成为了企业最大的威 胁之一。培养员工的保密意识, 学习如何保护公司信息是防止 被黑客攻击的重要手段。
不当的人员管理往往是企业信 息泄露的罪魁祸首。提高员工 保密意识,为企业提供一个更 加安全和稳定的工作环境。
常见的安全威胁
1
钓鱼邮件
通过欺骗手段向员工发送虚假邮件,引诱员工点击链接或发放敏感信息,骗取经济利 益。
制定相关保密制度,明确各 个岗位的保密工作职责,教 育其意识保护企业信息的安 全。
3 建立安全意识
企业应该建立保密管理团队,树立安全意识,为企业提供高质量信息 安全服务。
保密政策和措施
保密政策
信息保护措施
• 不向未获授权的第三方透露任何机密信息。 • 不得擅自更改或偷窃公司机密信息。 • 严禁打印、复制或出售重要数据。
加强信息安全管理
企业应该制定完善的安全管理 制度,配备专业团队,不断改 进安全措施,为公司信息安全 做出贡献。
• 适时更新安全软件以确保信息不泄露。 • 限制并监控员工的普通系统访问权限。 • 加密信息传输通道,保护数据安全。
结论和总结
信息安全是企业稳定发 展的基石
企业在发展过程中必须做到信 息安全,需要进行有效的保密 工作以确保企业的稳定性和持 续发展。
保密意识是保障信息安 全的基础
保密意识教育是提高企业安全 的关键,是确保企业信息安全 的有效途径。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
标志:1977美国标准局(NBS)发布的《国家数据加密标准》和
1985年美国国防部(DoD)公布的《可信计算机系统评估准则》
信息保障(IA)
标志:2000年9月NSA(美国家安全局)发布的《信息保障技术框
架》3.0版,2002年更新为3.1版; 国防部:第8500.1《信息保障》;第8500.2《信息保障的实施》
2020/2/23
8
信息安全应用研究
信息安全技术
✓ 防火墙技术 ✓ 入侵检测技术 ✓ 漏洞扫描技术 ✓ 防病毒技术
平台安全
✓ 物理安全 ✓ 网络安全 ✓ 系统安全 ✓ 数据安全 ✓ 用户安全 ✓ 边界安全
2020/2/23
9
我国信息安全标准框架
2020/2/23
10
信息标准内容
基础标准类
2020/2/23
31
信息安全工程(SSE-CMM)的体系结构
SSE-CMM是面向过程的信息安全方法学 SSE-CMM的体系结构是其方法学的核心,该模型分为
两维. 横轴定义了11个安全方面的关键过程域(管理安全控制
、评估影响、评估安全风险、评估威胁、评估脆弱性、 建立保证论据、协调安全、监视安全、监视安全态势、 提供安全输入、确定安全需求、验证与确认安全) 纵轴为0-5六个能力成熟度级别。每个级别的判定反映 为一组共同特征(CF),而每个共同特征通过一组确定的 通用实践(GP)来描述;过程能力由GP来衡量。
2020/2/23
32
SSE-CMM的体系结构
2020/2/23
33
SSE-CMM的安全完备性
SSE-CMM中的系统安全过程:工程过程、风 险过程、保证过程
工程过程:
PA10 “确定安全需求”、PA09 “提供安全输入”、PA01 “管理安 全控制”、PA08 “监视安全态势”、PA07 “协调安全”
二.信息安全管理
风险管理:OCTAVE 工程角度: SSE-CMM
三.研究现状与个人思考 四.附录-参考文献
2020/2/23
35
研究现状(国内)
研究状况
研究热点
对信息安全标准的研究:综述(如:安全评估标准、技 术)
从安全技术的角度: (访问控制研究、入侵检测技术、 PKI、安全协议)
安全需求的驱动: 除资产外,业务要求、法律法规等
2020/2/23
29
从工程角度研究信息安全
信息安全的特性 系统工程
发掘需求定义系统功能设计系统实施系统有效性评估
信息安全工程发展过程:
✓ 1994年,美国军方发布《信息系统安全工程手册1.0》 ✓ 借鉴CMM,1996年发布了SSE-CMM版本1.0 ✓ 1999年4月,形成了SSE-CMM 2.0版本 ✓ 2002年11月,SSE-CMM成为ISO标准,ISO/IEC21827
2020/2/23
6
信息安全——理论体系结构
2020/2/23
7
信息安全理论基础
密码理论
✓ 数据加密(对称算法:DES、AES;非对称算法:RSA、ECC )
✓ 消息摘要 ✓ 数字签名 ✓ 密钥管理
安全理论
✓ 身份认证(Authentication) ✓ 授权和访问控制(Authorization and Access control) ✓ 审计追踪 ✓ 安全协议
2020/2/23
22
确定资产以及要求的安全属性
可能的资产:
关键信息系统以及其支撑系统 书面的重要资料 网络 。。。
每个资产的安全属性要求:
保密性 可用性 完整性 不可否认性
2020/2/23
23
威胁树
2020/2/23
24
风险分析方法及其问题
风险分析方法:
AHP法 工程经验数据方法 问讯表方法 技术性测评工具
信息安全概念
什么是信息安全?
ISO: 为数据处理系统建立的安全保护,保护计算机硬
件、软件、数据不因偶然的或者恶意的原因而遭受 到破坏、更改和泄露; 国内:
计算机系统的硬件、软件、数据受到保护,不因 偶然的或者恶意的原因而遭受到破坏、更改和泄露 以及系统连续正常运行。
2020/2/23
3
信息系统安全
信息安全管理课件
单击此处编辑母版标题样式
单击此处编辑母版副标 题样式
*
1
主要内容
一.信息安全理论
相关基本概念、理论体系、发展历史、信息安全标准体 系、法律法规、部署与操作
二.信息安全管理
风险管理:OCTAVE 工程角度: SSE-CMM
三.研究现状与个人思考 四.附录-参考文献
2020/2/23
2
信息安全特性
✓ 社会性 ✓ 全面性 ✓ 过程性或生命周期性 ✓ 动态性 ✓ 层次性 ✓ 相对性
2020/2/23
5
信息安全发展历史
通信保密阶段(COMSEC)
标志:1949年Shannon发表的《保密系统的信息理论》;密码
学;数据加密
计算机安全(COMPUSEC)和信息安全 (INFSEC)
定义每个威胁的可能性E(x); 定义每个威胁出现引起的损失因子D(x); 评估该威胁引起的风险:D(x)* E(x) 衡量损失与投入等,确定风险的优先级; 根据风险优先级,采取安全措施;
2020/2/23
21
基于风险分析的几个问题
资产如何识别? 如何识别和标识威胁? 威胁的可能性E(x)如何确定? 损失因子D(x)如何确定? 风险如何表示?才能确定其优先级?
行业应用
结合具体行业(电力行业)
企业发展特殊时期
EAI (企业应用集成)
2020/2/23
38
研究方法中的几个问题
风险分析的局限性 形式化描述 自下而上 可操作性
2020/2/23
39
主要内容
一.信息安全理论
相关基本概念、理论体系、发展历史、信息安全标准体 系、法律法规、部署与操作
关义章,戴宗坤.信息系统安全工程学.北京:电子工业出版社 ,2002
2020/2/23
41
附录二——相关论文
Rebcca T.Mercuri.On auditing audit trails. Communication of ACM,2003,46(1):17-20
Jeff Sutberland and Willem-Jan van den Heuvel.Enterprise application integration and complex adaptive system. Communication of ACM,2002,45(10):59-64
三.研究现状与个人思考 四.附录-参考文献
2020/2/23
17
信息安全管理方法
2020/2/23
18
研究方法—弱点评估
弱点评估方法:侧重于技术方面 弱点评估包括:
✓ 使用特定的IT技术标准 ✓ 评估整个计算基础结构 ✓ 使用拥有的软件工具分析基础结构及其全部组件 ✓ 提供详细的分析,说明检测到的技术弱点,并且提
信息安全体系要求; 信息安全控制要求
2020/2/23
13
信息技术安全性评估准则
2020/2/23
14
法律法规
国家法律
如:中华人民共和国保守国家秘密法 中华人民共和国标准化法、中华人民共和国国家安全法 中华人民共和国产品质量法、维护互联网安全的决定等;
行政法规
如:中华人民共和国计算机信息系统安全保护条例 中华人民共和国计算机信息网络国际联网管理暂行规定 商用秘密管理条例等
二.信息安全管理
风险管理:OCTAVE 工程角度: SSE-CMM
三.研究现状与个人思考 四.附录-参考文献
2020/2/23
40
附录一——相关书
沈昌祥.信息安全工程导论.北京:电子工业出版社,2003.7
戴宗坤,罗万伯.信息系统安全.北京:电子工业出版社,2002
中国信息安全产品测评认证中心.北京:人民邮电出版社 ,2003.9
风险过程
PA04 “评估威胁”、PA05 “评估脆弱性”、PA02 “评估影响”、 PA03 “评估安全风险”
保证过程
PA11 “验证与确认安全”、PA06 “建立保证论据”
2020/2/23
34
主要内容
一.信息安全理论
相关基本概念、理论体系、发展历史、信息安全标准体 系、法律法规、部署与操作
管理基础、系统管理、测评认证
2020/2/23
11
实例—北京市信息安全标准体系
2020/2/23
12
信息安全管理标准(BS7799)
BS7799与ISO17799
BS7799-1《信息安全管理实施细则》 BS7799-2《信息安全管理体系规范》
BS7799-2
包括两大要求:遵循PDCA这种持续改进管理 模式
卿斯汉.信息系统的安全.北京:科学出版社,2003
Christopher M.King.安全体系结构的设计部署与操作.北京 :清华大学出版社,2003
Alberts,C.; Dorofee,A.Managing Information Security Risks.
段云所,魏仕民等.信息安全概论.北京:高等教育出版社 ,2003
2020/2/23
26
OCTAVE Approach 框架
2020/2/23
27
OCTAVE method
2020/2/23
28
OCTAVE的弱点以及基于安全需求的方法
OCTAVE的弱点
1、基于风险管理方法的固有弱点 2、基础数据完全依赖内部调查
1985年美国国防部(DoD)公布的《可信计算机系统评估准则》
信息保障(IA)
标志:2000年9月NSA(美国家安全局)发布的《信息保障技术框
架》3.0版,2002年更新为3.1版; 国防部:第8500.1《信息保障》;第8500.2《信息保障的实施》
2020/2/23
8
信息安全应用研究
信息安全技术
✓ 防火墙技术 ✓ 入侵检测技术 ✓ 漏洞扫描技术 ✓ 防病毒技术
平台安全
✓ 物理安全 ✓ 网络安全 ✓ 系统安全 ✓ 数据安全 ✓ 用户安全 ✓ 边界安全
2020/2/23
9
我国信息安全标准框架
2020/2/23
10
信息标准内容
基础标准类
2020/2/23
31
信息安全工程(SSE-CMM)的体系结构
SSE-CMM是面向过程的信息安全方法学 SSE-CMM的体系结构是其方法学的核心,该模型分为
两维. 横轴定义了11个安全方面的关键过程域(管理安全控制
、评估影响、评估安全风险、评估威胁、评估脆弱性、 建立保证论据、协调安全、监视安全、监视安全态势、 提供安全输入、确定安全需求、验证与确认安全) 纵轴为0-5六个能力成熟度级别。每个级别的判定反映 为一组共同特征(CF),而每个共同特征通过一组确定的 通用实践(GP)来描述;过程能力由GP来衡量。
2020/2/23
32
SSE-CMM的体系结构
2020/2/23
33
SSE-CMM的安全完备性
SSE-CMM中的系统安全过程:工程过程、风 险过程、保证过程
工程过程:
PA10 “确定安全需求”、PA09 “提供安全输入”、PA01 “管理安 全控制”、PA08 “监视安全态势”、PA07 “协调安全”
二.信息安全管理
风险管理:OCTAVE 工程角度: SSE-CMM
三.研究现状与个人思考 四.附录-参考文献
2020/2/23
35
研究现状(国内)
研究状况
研究热点
对信息安全标准的研究:综述(如:安全评估标准、技 术)
从安全技术的角度: (访问控制研究、入侵检测技术、 PKI、安全协议)
安全需求的驱动: 除资产外,业务要求、法律法规等
2020/2/23
29
从工程角度研究信息安全
信息安全的特性 系统工程
发掘需求定义系统功能设计系统实施系统有效性评估
信息安全工程发展过程:
✓ 1994年,美国军方发布《信息系统安全工程手册1.0》 ✓ 借鉴CMM,1996年发布了SSE-CMM版本1.0 ✓ 1999年4月,形成了SSE-CMM 2.0版本 ✓ 2002年11月,SSE-CMM成为ISO标准,ISO/IEC21827
2020/2/23
6
信息安全——理论体系结构
2020/2/23
7
信息安全理论基础
密码理论
✓ 数据加密(对称算法:DES、AES;非对称算法:RSA、ECC )
✓ 消息摘要 ✓ 数字签名 ✓ 密钥管理
安全理论
✓ 身份认证(Authentication) ✓ 授权和访问控制(Authorization and Access control) ✓ 审计追踪 ✓ 安全协议
2020/2/23
22
确定资产以及要求的安全属性
可能的资产:
关键信息系统以及其支撑系统 书面的重要资料 网络 。。。
每个资产的安全属性要求:
保密性 可用性 完整性 不可否认性
2020/2/23
23
威胁树
2020/2/23
24
风险分析方法及其问题
风险分析方法:
AHP法 工程经验数据方法 问讯表方法 技术性测评工具
信息安全概念
什么是信息安全?
ISO: 为数据处理系统建立的安全保护,保护计算机硬
件、软件、数据不因偶然的或者恶意的原因而遭受 到破坏、更改和泄露; 国内:
计算机系统的硬件、软件、数据受到保护,不因 偶然的或者恶意的原因而遭受到破坏、更改和泄露 以及系统连续正常运行。
2020/2/23
3
信息系统安全
信息安全管理课件
单击此处编辑母版标题样式
单击此处编辑母版副标 题样式
*
1
主要内容
一.信息安全理论
相关基本概念、理论体系、发展历史、信息安全标准体 系、法律法规、部署与操作
二.信息安全管理
风险管理:OCTAVE 工程角度: SSE-CMM
三.研究现状与个人思考 四.附录-参考文献
2020/2/23
2
信息安全特性
✓ 社会性 ✓ 全面性 ✓ 过程性或生命周期性 ✓ 动态性 ✓ 层次性 ✓ 相对性
2020/2/23
5
信息安全发展历史
通信保密阶段(COMSEC)
标志:1949年Shannon发表的《保密系统的信息理论》;密码
学;数据加密
计算机安全(COMPUSEC)和信息安全 (INFSEC)
定义每个威胁的可能性E(x); 定义每个威胁出现引起的损失因子D(x); 评估该威胁引起的风险:D(x)* E(x) 衡量损失与投入等,确定风险的优先级; 根据风险优先级,采取安全措施;
2020/2/23
21
基于风险分析的几个问题
资产如何识别? 如何识别和标识威胁? 威胁的可能性E(x)如何确定? 损失因子D(x)如何确定? 风险如何表示?才能确定其优先级?
行业应用
结合具体行业(电力行业)
企业发展特殊时期
EAI (企业应用集成)
2020/2/23
38
研究方法中的几个问题
风险分析的局限性 形式化描述 自下而上 可操作性
2020/2/23
39
主要内容
一.信息安全理论
相关基本概念、理论体系、发展历史、信息安全标准体 系、法律法规、部署与操作
关义章,戴宗坤.信息系统安全工程学.北京:电子工业出版社 ,2002
2020/2/23
41
附录二——相关论文
Rebcca T.Mercuri.On auditing audit trails. Communication of ACM,2003,46(1):17-20
Jeff Sutberland and Willem-Jan van den Heuvel.Enterprise application integration and complex adaptive system. Communication of ACM,2002,45(10):59-64
三.研究现状与个人思考 四.附录-参考文献
2020/2/23
17
信息安全管理方法
2020/2/23
18
研究方法—弱点评估
弱点评估方法:侧重于技术方面 弱点评估包括:
✓ 使用特定的IT技术标准 ✓ 评估整个计算基础结构 ✓ 使用拥有的软件工具分析基础结构及其全部组件 ✓ 提供详细的分析,说明检测到的技术弱点,并且提
信息安全体系要求; 信息安全控制要求
2020/2/23
13
信息技术安全性评估准则
2020/2/23
14
法律法规
国家法律
如:中华人民共和国保守国家秘密法 中华人民共和国标准化法、中华人民共和国国家安全法 中华人民共和国产品质量法、维护互联网安全的决定等;
行政法规
如:中华人民共和国计算机信息系统安全保护条例 中华人民共和国计算机信息网络国际联网管理暂行规定 商用秘密管理条例等
二.信息安全管理
风险管理:OCTAVE 工程角度: SSE-CMM
三.研究现状与个人思考 四.附录-参考文献
2020/2/23
40
附录一——相关书
沈昌祥.信息安全工程导论.北京:电子工业出版社,2003.7
戴宗坤,罗万伯.信息系统安全.北京:电子工业出版社,2002
中国信息安全产品测评认证中心.北京:人民邮电出版社 ,2003.9
风险过程
PA04 “评估威胁”、PA05 “评估脆弱性”、PA02 “评估影响”、 PA03 “评估安全风险”
保证过程
PA11 “验证与确认安全”、PA06 “建立保证论据”
2020/2/23
34
主要内容
一.信息安全理论
相关基本概念、理论体系、发展历史、信息安全标准体 系、法律法规、部署与操作
管理基础、系统管理、测评认证
2020/2/23
11
实例—北京市信息安全标准体系
2020/2/23
12
信息安全管理标准(BS7799)
BS7799与ISO17799
BS7799-1《信息安全管理实施细则》 BS7799-2《信息安全管理体系规范》
BS7799-2
包括两大要求:遵循PDCA这种持续改进管理 模式
卿斯汉.信息系统的安全.北京:科学出版社,2003
Christopher M.King.安全体系结构的设计部署与操作.北京 :清华大学出版社,2003
Alberts,C.; Dorofee,A.Managing Information Security Risks.
段云所,魏仕民等.信息安全概论.北京:高等教育出版社 ,2003
2020/2/23
26
OCTAVE Approach 框架
2020/2/23
27
OCTAVE method
2020/2/23
28
OCTAVE的弱点以及基于安全需求的方法
OCTAVE的弱点
1、基于风险管理方法的固有弱点 2、基础数据完全依赖内部调查