安全生產(chǎn)_信息安全管理課件

2020 2 23 1 信息安全管理 InformationSecurityManagement2003級(jí)曹炳文 2020 2 23 2 主要內(nèi)容 一 信息安全理論相關(guān)基本概念 理論體系 發(fā)展歷史 信息安全標(biāo)準(zhǔn)體系 法律法規(guī) 部署與操作二 信息安全管理風(fēng)險(xiǎn)管理 OCTAVE工程角度 SSE CMM三 研究現(xiàn)狀與個(gè)人思考四 附錄 參考文獻(xiàn) 2020 2 23 3 信息安全概念 什么是信息安全 ISO 為數(shù)據(jù)處理系統(tǒng)建立的安全保護(hù) 保護(hù)計(jì)算機(jī)硬件 軟件 數(shù)據(jù)不因偶然的或者惡意的原因而遭受到破壞 更改和泄露 國(guó)內(nèi) 計(jì)算機(jī)系統(tǒng)的硬件 軟件 數(shù)據(jù)受到保護(hù) 不因偶然的或者惡意的原因而遭受到破壞 更改和泄露以及系統(tǒng)連續(xù)正常運(yùn)行 2020 2 23 4 信息系統(tǒng)安全 信息系統(tǒng)安全是為確保信息系統(tǒng)體系結(jié)構(gòu)安全 以及與此相關(guān)的各種安全技術(shù) 安全服務(wù) 安全管理的總和 聯(lián)系與區(qū)別信息系統(tǒng)安全 更具有體系性 可設(shè)計(jì)性 可實(shí)現(xiàn)性和可操作性 信息安全 更廣泛 概念化 不說明任何個(gè)體或系統(tǒng) 2020 2 23 5 信息的安全屬性以及信息安全特性 信息的安全屬性 保密性 Confidentiality 完整性 Integrality 可用性 Availability 可控性 Controllability 不可否認(rèn)性 Non repudiation 信息安全特性社會(huì)性全面性過程性或生命周期性動(dòng)態(tài)性層次性相對(duì)性 2020 2 23 6 信息安全發(fā)展歷史 通信保密階段 COMSEC 標(biāo)志 1949年Shannon發(fā)表的 保密系統(tǒng)的信息理論 密碼學(xué) 數(shù)據(jù)加密計(jì)算機(jī)安全 COMPUSEC 和信息安全 INFSEC 標(biāo)志 1977美國(guó)標(biāo)準(zhǔn)局 NBS 發(fā)布的 國(guó)家數(shù)據(jù)加密標(biāo)準(zhǔn) 和1985年美國(guó)國(guó)防部 DoD 公布的 可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則 信息保障 IA 標(biāo)志 2000年9月NSA 美國(guó)家安全局 發(fā)布的 信息保障技術(shù)框架 3 0版 2002年更新為3 1版 國(guó)防部 第8500 1 信息保障 第8500 2 信息保障的實(shí)施 2020 2 23 7 信息安全 理論體系結(jié)構(gòu) 2020 2 23 8 信息安全理論基礎(chǔ) 密碼理論數(shù)據(jù)加密 對(duì)稱算法 DES AES 非對(duì)稱算法 RSA ECC 消息摘要數(shù)字簽名密鑰管理安全理論身份認(rèn)證 Authentication 授權(quán)和訪問控制 AuthorizationandAccesscontrol 審計(jì)追蹤安全協(xié)議 2020 2 23 9 信息安全應(yīng)用研究 信息安全技術(shù)防火墻技術(shù)入侵檢測(cè)技術(shù)漏洞掃描技術(shù)防病毒技術(shù)平臺(tái)安全物理安全網(wǎng)絡(luò)安全系統(tǒng)安全數(shù)據(jù)安全用戶安全邊界安全 2020 2 23 10 我國(guó)信息安全標(biāo)準(zhǔn)框架 2020 2 23 11 信息標(biāo)準(zhǔn)內(nèi)容 基礎(chǔ)標(biāo)準(zhǔn)類信息安全術(shù)語 信息安全體系結(jié)構(gòu) 信息安全框架 信息安全模型 安全技術(shù)物理安全標(biāo)準(zhǔn)物理環(huán)境和保障 安全產(chǎn)品 介質(zhì)安全系統(tǒng)與網(wǎng)絡(luò)標(biāo)準(zhǔn)硬件應(yīng)用平臺(tái)安全 軟件應(yīng)用平臺(tái)安全 網(wǎng)絡(luò)安全 安全協(xié)議 安全信息交換語法規(guī)則 人機(jī)接口 業(yè)務(wù)應(yīng)用平臺(tái)應(yīng)用與工程標(biāo)準(zhǔn)安全工程和服務(wù) 人員資質(zhì) 行業(yè)標(biāo)準(zhǔn)管理標(biāo)準(zhǔn)管理基礎(chǔ) 系統(tǒng)管理 測(cè)評(píng)認(rèn)證 2020 2 23 12 實(shí)例 北京市信息安全標(biāo)準(zhǔn)體系 2020 2 23 13 信息安全管理標(biāo)準(zhǔn) BS7799 BS7799與ISO17799BS7799 1 信息安全管理實(shí)施細(xì)則 BS7799 2 信息安全管理體系規(guī)范 BS7799 2包括兩大要求 遵循PDCA這種持續(xù)改進(jìn)管理模式信息安全體系要求 信息安全控制要求 2020 2 23 14 信息技術(shù)安全性評(píng)估準(zhǔn)則 2020 2 23 15 法律法規(guī) 國(guó)家法律如 中華人民共和國(guó)保守國(guó)家秘密法中華人民共和國(guó)標(biāo)準(zhǔn)化法 中華人民共和國(guó)國(guó)家安全法中華人民共和國(guó)產(chǎn)品質(zhì)量法 維護(hù)互聯(lián)網(wǎng)安全的決定等 行政法規(guī)如 中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定商用秘密管理?xiàng)l例等部門規(guī)章及規(guī)范性文件計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法等 行業(yè)性法規(guī) 電信 銀行等 2020 2 23 16 信息安全體系的設(shè)計(jì)流程 2020 2 23 17 主要內(nèi)容 一 信息安全理論相關(guān)基本概念 理論體系 發(fā)展歷史 信息安全標(biāo)準(zhǔn)體系 法律法規(guī) 部署與操作二 信息安全管理風(fēng)險(xiǎn)管理 OCTAVE工程角度 SSE CMM三 研究現(xiàn)狀與個(gè)人思考四 附錄 參考文獻(xiàn) 2020 2 23 18 信息安全管理方法 2020 2 23 19 研究方法 弱點(diǎn)評(píng)估 弱點(diǎn)評(píng)估方法 側(cè)重于技術(shù)方面弱點(diǎn)評(píng)估包括 使用特定的IT技術(shù)標(biāo)準(zhǔn)評(píng)估整個(gè)計(jì)算基礎(chǔ)結(jié)構(gòu)使用擁有的軟件工具分析基礎(chǔ)結(jié)構(gòu)及其全部組件提供詳細(xì)的分析 說明檢測(cè)到的技術(shù)弱點(diǎn) 并且提供具體的建議 2020 2 23 20 基于風(fēng)險(xiǎn)分析的信息安全管理 風(fēng)險(xiǎn)分析的四要素資產(chǎn) 物理 計(jì)算機(jī) 信息資源等 脆弱性 系統(tǒng)或組織存在的弱點(diǎn) 威脅 不期望發(fā)生的事件 影響 2020 2 23 21 基于風(fēng)險(xiǎn)管理的實(shí)施步驟 徹底地調(diào)查企業(yè)或組織的資產(chǎn)與資源 標(biāo)識(shí)可能出現(xiàn)或者潛在的威脅 要把人員的因素考慮進(jìn)去 定義每個(gè)威脅的可能性E x 定義每個(gè)威脅出現(xiàn)引起的損失因子D x 評(píng)估該威脅引起的風(fēng)險(xiǎn) D x E x 衡量損失與投入等 確定風(fēng)險(xiǎn)的優(yōu)先級(jí) 根據(jù)風(fēng)險(xiǎn)優(yōu)先級(jí) 采取安全措施 2020 2 23 22 基于風(fēng)險(xiǎn)分析的幾個(gè)問題 資產(chǎn)如何識(shí)別 如何識(shí)別和標(biāo)識(shí)威脅 威脅的可能性E x 如何確定 損失因子D x 如何確定 風(fēng)險(xiǎn)如何表示 才能確定其優(yōu)先級(jí) 2020 2 23 23 確定資產(chǎn)以及要求的安全屬性 可能的資產(chǎn) 關(guān)鍵信息系統(tǒng)以及其支撐系統(tǒng)書面的重要資料網(wǎng)絡(luò) 每個(gè)資產(chǎn)的安全屬性要求 保密性可用性完整性不可否認(rèn)性 2020 2 23 24 威脅樹 2020 2 23 25 風(fēng)險(xiǎn)分析方法及其問題 風(fēng)險(xiǎn)分析方法 AHP法工程經(jīng)驗(yàn)數(shù)據(jù)方法問訊表方法技術(shù)性測(cè)評(píng)工具存在問題 無法準(zhǔn)確定義威脅的可能性因子E x 無法準(zhǔn)確定義損失因子D x 2020 2 23 26 OCTAVEApproach OCTAVE OperationallyCriticalThreat Asset andVulnerabilityEvaluation從系統(tǒng)的 組織角度出發(fā)強(qiáng)調(diào)自主性 一系列討論會(huì)可操作性 2020 2 23 27 OCTAVEApproach框架 2020 2 23 28 OCTAVEmethod 2020 2 23 29 OCTAVE的弱點(diǎn)以及基于安全需求的方法 OCTAVE的弱點(diǎn)1 基于風(fēng)險(xiǎn)管理方法的固有弱點(diǎn)2 基礎(chǔ)數(shù)據(jù)完全依賴內(nèi)部調(diào)查基于安全需求的方法原因 計(jì)算模式的變化從以計(jì)算機(jī)為中心 IT為中心 信息為中心安全需求的驅(qū)動(dòng) 除資產(chǎn)外 業(yè)務(wù)要求 法律法規(guī)等 2020 2 23 30 從工程角度研究信息安全 信息安全的特性系統(tǒng)工程發(fā)掘需求 定義系統(tǒng)功能 設(shè)計(jì)系統(tǒng) 實(shí)施系統(tǒng) 有效性評(píng)估信息安全工程發(fā)展過程 1994年 美國(guó)軍方發(fā)布 信息系統(tǒng)安全工程手冊(cè)1 0 借鑒CMM 1996年發(fā)布了SSE CMM版本1 01999年4月 形成了SSE CMM2 0版本2002年11月 SSE CMM成為ISO標(biāo)準(zhǔn) ISO IEC21827 2020 2 23 31 信息系統(tǒng)安全工程 ISSE 以時(shí)間維 工程過程 為線索描述參考 信息系統(tǒng)安全工程手冊(cè)1 0 和信息系統(tǒng)安全工程學(xué)ISSE過程發(fā)掘信息保護(hù)需求 機(jī)構(gòu) 信息系統(tǒng) 信息保護(hù)策略 定義信息保護(hù)系統(tǒng) 信息保護(hù)目標(biāo) 背景 信息保護(hù)需求 功能分析 設(shè)計(jì)信息保護(hù)系統(tǒng) 功能分配 概要設(shè)計(jì) 詳細(xì)設(shè)計(jì) 實(shí)施信息保護(hù)系統(tǒng) 采購 建設(shè) 測(cè)試 評(píng)估信息保護(hù)系統(tǒng)的有效性 2020 2 23 32 信息安全工程 SSE CMM 的體系結(jié)構(gòu) SSE CMM是面向過程的信息安全方法學(xué)SSE CMM的體系結(jié)構(gòu)是其方法學(xué)的核心 該模型分為兩維 橫軸定義了11個(gè)安全方面的關(guān)鍵過程域 管理安全控制 評(píng)估影響 評(píng)估安全風(fēng)險(xiǎn) 評(píng)估威脅 評(píng)估脆弱性 建立保證論據(jù) 協(xié)調(diào)安全 監(jiān)視安全 監(jiān)視安全態(tài)勢(shì) 提供安全輸入 確定安全需求 驗(yàn)證與確認(rèn)安全 縱軸為0 5六個(gè)能力成熟度級(jí)別 每個(gè)級(jí)別的判定反映為一組共同特征 CF 而每個(gè)共同特征通過一組確定的通用實(shí)踐 GP 來描述 過程能力由GP來衡量 2020 2 23 33 SSE CMM的體系結(jié)構(gòu) 2020 2 23 34 SSE CMM的安全完備性 SSE CMM中的系統(tǒng)安全過程 工程過程 風(fēng)險(xiǎn)過程 保證過程工程過程 PA10 確定安全需求 PA09 提供安全輸入 PA01 管理安全控制 PA08 監(jiān)視安全態(tài)勢(shì) PA07 協(xié)調(diào)安全 風(fēng)險(xiǎn)過程PA04 評(píng)估威脅 PA05 評(píng)估脆弱性 PA02 評(píng)估影響 PA03 評(píng)估安全風(fēng)險(xiǎn) 保證過程PA11 驗(yàn)證與確認(rèn)安全 PA06 建立保證論據(jù) 2020 2 23 35 主要內(nèi)容 一 信息安全理論相關(guān)基本概念 理論體系 發(fā)展歷史 信息安全標(biāo)準(zhǔn)體系 法律法規(guī) 部署與操作二 信息安全管理風(fēng)險(xiǎn)管理 OCTAVE工程角度 SSE CMM三 研究現(xiàn)狀與個(gè)人思考四 附錄 參考文獻(xiàn) 2020 2 23 36 研究現(xiàn)狀 國(guó)內(nèi) 研究狀況研究熱點(diǎn)對(duì)信息安全標(biāo)準(zhǔn)的研究 綜述 如 安全評(píng)估標(biāo)準(zhǔn) 技術(shù) 從安全技術(shù)的角度 訪問控制研究 入侵檢測(cè)技術(shù) PKI 安全協(xié)議 網(wǎng)絡(luò)信息安全從信息系統(tǒng)角度 安全需求分析 安全體系結(jié)構(gòu) 安全度量 安全模型 信息系統(tǒng)安全度量與評(píng)估模型 2020 2 23 37 應(yīng)用 銀行電信電子商務(wù)電子政務(wù)電力 2020 2 23 38 個(gè)人思考 研究角度安全需求 SecurityRequirement 行業(yè)應(yīng)用結(jié)合具體行業(yè) 電力行業(yè) 企業(yè)發(fā)展特殊時(shí)期EAI 企業(yè)應(yīng)用集成 2020 2 23 39 研究方法中的幾個(gè)問題 風(fēng)險(xiǎn)分析的局限性形式化描述自下而上可操作性 2020 2 23 40 主要內(nèi)容 一 信息安全理論相關(guān)基本概念 理論體系 發(fā)展歷史 信息安全標(biāo)準(zhǔn)體系 法律法規(guī) 部署與操作二 信息安全管理風(fēng)險(xiǎn)管理 OCTAVE工程角度 SSE CMM三 研究現(xiàn)狀與個(gè)人思考四 附錄 參考文獻(xiàn) 2020 2 23 41 附錄一 相關(guān)書 沈昌祥 信息安全工程導(dǎo)論 北京 電子工業(yè)出版社 2003 7戴宗坤 羅萬伯 信息系統(tǒng)安全 北京 電子工業(yè)出版社 2002中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心 北京 人民郵電出版社 2003 9卿斯?jié)h 信息系統(tǒng)的安全 北京 科學(xué)出版社 2003ChristopherM King 安全體系結(jié)構(gòu)的設(shè)計(jì)部署與操作 北京 清華大學(xué)出版社 2003Alberts C Dorofee A ManagingInformationSecurityRisks 段云所 魏仕民等 信息安全概論 北京 高等教育出版社 2003關(guān)義章 戴宗坤 信息系統(tǒng)安全工程學(xué) 北京 電子工業(yè)出版社 2002 2020 2 23 42 附錄二 相關(guān)論文 RebccaT Mercuri Onauditingaudittrails CommunicationofACM 2003 46 1 17 20JeffSutberlandandWillem JanvandenHeuvel Enterpriseapplicationintegrationandcomplexadaptivesystem CommunicationofACM 2002 45 10 59 64RebccaT Mercuri Computersecurity Qualityratherthanquantity CommunicationofACM 2003 46 1 17 20MichaelE Whitman Enemyatthegate Threatstoinformationsecurity CommunicationofACM 2003 46 8 91 95JackieRees SubhajyotiBandgopadhyay andEugeneH Spafford PFIRES Apolicyframeworkforinformationsecurity CommunicationofACM 2003 46 7 101 106HuaiqingandChenwang Taxonomyofsecurityconsiderationsandsoftwarequality CommunicationofACM 2003 46 6 75 78 2020 2 23 43 附錄二 相關(guān)論文 MariannaGerberandRossouwVonSolms Fromriskanalysistosecurityrequirements Computer Security2001 20 7 577 584DenisTrcek AnintegralframeworkforinformationsystemssecuritymanagementComputer Security2003 22 4 337 360Ching Yunlee Modelcalculationstoestimatetheprobabilityofsecretreconstructionincomputerenvironments Informationmanagement computersecurity2001 9 1 13 20Informationsecurity Amultidimensionaldiscipline Computer Security2001 20 6 504 508Amodelforderivinginformationsecuritycontrolattributeprofiles Computer Security2003 22 3 233 244Trendsinacademicresearch Vulnerabilitiesanalysisandintrusiondetection Computer Security2002 21 7 609 612 2020 2 23 44 附錄二 相關(guān)論文 閆強(qiáng) 陳鐘等 信息系統(tǒng)安全度量與評(píng)估模型 電子學(xué)報(bào) 2003 7 1351 1355李守鵬 孫紅波 信息系統(tǒng)安全模型研究 電子學(xué)報(bào) 2003 10 1491 1495李守鵬 孫紅波 信息系統(tǒng)安全策略研究 電子學(xué)報(bào) 2003 7 977 980訪問控制研究綜述 計(jì)算機(jī)工程 2004 30 2 1 2基于SSE CMM的信息系統(tǒng)安全工程模型 計(jì)算機(jī)工程 2003 29 16 35 36王茜 楊德禮 電子商務(wù)的安全體系結(jié)構(gòu)及技術(shù)研究 計(jì)算機(jī)工程 2003 29 1 72 75閆強(qiáng) 段云所等 信息安全評(píng)估標(biāo)準(zhǔn) 及其進(jìn)展 計(jì)算機(jī)工程 2003 29 6 金鳳 蔡家楣等 電子商務(wù)系統(tǒng)基本安全問題的分析和描述 計(jì)算機(jī)工程 2003 29 7 110 112蔣春芳 岳超源 陳太一 信息系統(tǒng)安全體系結(jié)構(gòu)的有關(guān)問題研究 計(jì)算機(jī)工程與應(yīng)用 2004 40 1 138 140 2020 2 23 45 附錄二 相關(guān)論文 蔡昱 張玉清等 安全評(píng)估標(biāo)準(zhǔn)綜述 計(jì)算機(jī)工程與應(yīng)用 2004 40 2 129 132張友