信息安全相關(guān)理論技術(shù)

信息安全相關(guān)理論技術(shù)信息安全相關(guān)理論技術(shù)信息安全相關(guān)理論技術(shù)xxx公司信息安全相關(guān)理論技術(shù)文件編號(hào)：文件日期：修訂次數(shù)：第1.0次更改批準(zhǔn)審核制定方案設(shè)計(jì)，管理制度

信息安全架構(gòu)計(jì)算機(jī)和網(wǎng)絡(luò)安全法則

安全組織框架

如何建立企業(yè)信息系統(tǒng)的安全架構(gòu)(1)

信息安全涉及到信息的保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。綜合起來(lái)說(shuō)，就是要保障電子信息的有效性。保密性就是對(duì)抗對(duì)手的被動(dòng)攻擊，保證信息不泄漏給未經(jīng)授權(quán)的人。完整性就是對(duì)抗對(duì)手主動(dòng)攻擊，防止信息被未經(jīng)授權(quán)的篡改。可用性就是保證信息及信息系統(tǒng)確實(shí)為授權(quán)使用者所用。

作為一個(gè)企業(yè)我們通常通過(guò)這樣的標(biāo)準(zhǔn)來(lái)劃分信息的保密性，完整性，可用性。

可用性---------------主要通過(guò)信息的使用率來(lái)劃分：

1非常低合法使用者對(duì)信息系統(tǒng)及資源的存取可用度在正常上班時(shí)達(dá)到25%

2低合法使用者對(duì)信息資源的存取可用度在正常上班時(shí)達(dá)到50％

3中等合法使用者對(duì)信息系統(tǒng)及資源的存取可用度在正常上班時(shí)達(dá)到100%

4高合法使用者對(duì)信息系統(tǒng)及資源的存取可用度達(dá)到每天95%以上。

5非常高合法使用者對(duì)信息系統(tǒng)及資源的存取可用度達(dá)到每天%以上。

完整性----------------通過(guò)信息應(yīng)為修改對(duì)公司造成的損失的嚴(yán)重性來(lái)劃分：

1非常低未經(jīng)授權(quán)的破壞和修改不會(huì)對(duì)信息系統(tǒng)造成重大影響或?qū)I(yè)務(wù)沖擊可忽略

2低未經(jīng)授權(quán)的破壞和修改不會(huì)對(duì)信息系統(tǒng)造成重大影響或?qū)I(yè)務(wù)沖擊可輕微

3中等未經(jīng)授權(quán)的破壞和修改已對(duì)信息系統(tǒng)造成影響或?qū)I(yè)務(wù)有明顯沖擊

4高未經(jīng)授權(quán)的破壞和修改對(duì)信息系統(tǒng)造成重大影響或?qū)I(yè)務(wù)沖擊嚴(yán)重

5非常高未經(jīng)授權(quán)的破壞和修改對(duì)信息系統(tǒng)造成重大影響且導(dǎo)致嚴(yán)重的業(yè)務(wù)中斷

機(jī)密性---------------通過(guò)信息使用的權(quán)限來(lái)劃分：

1公開(kāi)信息非敏感信息，公開(kāi)的信息處理設(shè)施和系統(tǒng)資源

2內(nèi)部使用非敏感但僅限公司內(nèi)部使用的信息（非公開(kāi)）

3限制使用受控的信息，需有業(yè)務(wù)需求方得以授權(quán)使用

4機(jī)密敏感信息，信息處理設(shè)施和系統(tǒng)資源只給比知者

5極機(jī)密敏感信息，信息處理設(shè)施和系統(tǒng)資源僅適用于少數(shù)比知者

為什么要保證企業(yè)的安全企業(yè)安全的核心就是保護(hù)企業(yè)財(cái)產(chǎn)。企業(yè)的目標(biāo)是什么創(chuàng)造經(jīng)濟(jì)價(jià)值，而作為安全系統(tǒng)就是為了幫助企業(yè)創(chuàng)造經(jīng)濟(jì)價(jià)值。安全追根究底的是一種投資，作為一種投資從安全系統(tǒng)的引入，員工的培訓(xùn)到最后安全系統(tǒng)的應(yīng)用都是一種投資，作為投資的目的，就是為了回報(bào)。保護(hù)公司的核心機(jī)密，使其不會(huì)外露這就是回報(bào)。只有保護(hù)了資產(chǎn)，才能說(shuō)這個(gè)安全系統(tǒng)有作用。而判斷安全系統(tǒng)是否起到了作用，則需要從保密性，可用性和完整性來(lái)做出判斷。

作為信息安全服務(wù)它需要以下人員來(lái)負(fù)責(zé)它的安全運(yùn)行

企業(yè)管理人員

作為一個(gè)企業(yè)的決策者，負(fù)責(zé)企業(yè)的整體運(yùn)行。他所關(guān)心的是信息安全所帶來(lái)的效益，由于要對(duì)整個(gè)企業(yè)負(fù)責(zé)，所以我們需要他了解：重新獲取或開(kāi)發(fā)資產(chǎn)的費(fèi)用、維護(hù)和保護(hù)資產(chǎn)的費(fèi)用、資產(chǎn)對(duì)于所有者和用戶的價(jià)值、資產(chǎn)對(duì)于對(duì)手的價(jià)值、知識(shí)產(chǎn)權(quán)的價(jià)值、其他人愿意為這些資產(chǎn)所付的價(jià)錢、丟失后更換資產(chǎn)所需的費(fèi)用.、資產(chǎn)受損后的債務(wù)問(wèn)題、資產(chǎn)受損后可能面臨的法律責(zé)任，資產(chǎn)的價(jià)值有助于選擇具體的對(duì)策、商業(yè)保險(xiǎn)需要了解每項(xiàng)資產(chǎn)的價(jià)值、每項(xiàng)資產(chǎn)的價(jià)值可以幫助確定什么是真正的風(fēng)險(xiǎn)

安全管理人員

他所負(fù)責(zé)的是整個(gè)系統(tǒng)的網(wǎng)絡(luò)運(yùn)行，硬件支持，以及機(jī)房的安全措施。他所服務(wù)的對(duì)象是企業(yè)的上層機(jī)構(gòu)，他們的職責(zé)他就是維護(hù)好整個(gè)安全系統(tǒng)的正常運(yùn)行。制定好安全系統(tǒng)的運(yùn)行的規(guī)劃，使其能在運(yùn)行中實(shí)現(xiàn)。

工程師他所關(guān)心的是整個(gè)系統(tǒng)的技術(shù)部分，保證系統(tǒng)在運(yùn)行過(guò)程中不會(huì)因?yàn)閿?shù)據(jù)丟失或是程序出現(xiàn)的錯(cuò)誤而不能運(yùn)行。

信息安全公式：信息安全＝先進(jìn)技術(shù)＋防患意識(shí)＋完美流程＋嚴(yán)格的制度＋優(yōu)秀的執(zhí)行團(tuán)隊(duì)＋法律保障

如何建立企業(yè)信息系統(tǒng)的安全架構(gòu)(2)

作為一次完整的信息安全評(píng)估咨詢，需要考慮到以下諸多條件：

漏洞：它包含很多原因，如口令的安全，在一個(gè)大的企業(yè)中口令的泄漏是隨時(shí)可能發(fā)生的，這對(duì)企業(yè)來(lái)說(shuō)是很大的失誤。在一個(gè)企業(yè)里，信息的安全要體現(xiàn)在任何地方，所以再各自運(yùn)行的PC機(jī)上要設(shè)有獨(dú)立的口令，這些口令不能過(guò)于簡(jiǎn)單，我曾經(jīng)嘗試破解一個(gè)8位數(shù)的口令，共花去了6個(gè)小時(shí)，所以口令不但不能過(guò)于簡(jiǎn)單，而且還需要經(jīng)常更換。在優(yōu)利公司，所有員工的口令不能是單一的數(shù)字，必須含有英文字母。

暴露如果沒(méi)有好的安全防護(hù)措施，那么就會(huì)使企業(yè)機(jī)密暴露，至于財(cái)產(chǎn)也沒(méi)有什么保護(hù)可言。

威脅：一套系統(tǒng)在運(yùn)行過(guò)程中存在很多威脅，其中最為常見(jiàn)的威脅是人為錯(cuò)誤對(duì)安全系統(tǒng)所造成的損壞。人為錯(cuò)誤一般是無(wú)意行為，但是這對(duì)系統(tǒng)的安全性來(lái)說(shuō)是沒(méi)有任何區(qū)別的。2是物理?yè)p壞，這主要指的是事故的發(fā)生，非人力直接造成的損壞，比如：洪水，地震，失火，電力中斷以及盜竊等等一系列突發(fā)事件，這些對(duì)企業(yè)的設(shè)備，數(shù)據(jù)以及商業(yè)機(jī)密都會(huì)夠會(huì)造成巨大的損失，這在對(duì)企業(yè)安全系統(tǒng)的評(píng)估過(guò)程中是要考慮到的。3由于設(shè)備的故障而引起的系統(tǒng)不能正常的運(yùn)行。4受到攻擊，這種攻擊可以來(lái)自企業(yè)內(nèi)部，也可以是來(lái)自于企業(yè)外部，外部攻擊主要來(lái)自于黑客和病毒，他們的攻擊大多是帶有很強(qiáng)的目的性，比如獲取公司信息，破壞公司數(shù)據(jù)等等，這種攻擊無(wú)論是對(duì)公司的管理階層，還是員工尤其是數(shù)據(jù)庫(kù)都會(huì)造成嚴(yán)重的威脅，甚至?xí)o公司代去長(zhǎng)久的潛在威脅。4機(jī)密數(shù)據(jù)的濫用，在一個(gè)企業(yè)中機(jī)密是很重要的，它包括商業(yè)和管理上的機(jī)密。這些數(shù)據(jù)只能被管理階層或是專職部門所掌握，如果被太多的人所了解，那么再好的安全系統(tǒng)也不能保證這些機(jī)密不被泄漏出去。5數(shù)據(jù)的丟失，再安全系統(tǒng)的運(yùn)行過(guò)程中可能會(huì)出現(xiàn)數(shù)據(jù)丟失的現(xiàn)象，而安全措施就是為了預(yù)防這些突發(fā)事故，在運(yùn)行過(guò)程中做好備份系統(tǒng)，以防不測(cè)。6應(yīng)用錯(cuò)誤這種錯(cuò)誤主要出現(xiàn)在計(jì)算錯(cuò)誤和輸入錯(cuò)誤這些環(huán)節(jié)中。而這一環(huán)界是可以通過(guò)措施避免的。

風(fēng)險(xiǎn)分析

首先對(duì)風(fēng)險(xiǎn)進(jìn)行確認(rèn)。要對(duì)公司的信息和資產(chǎn)做一個(gè)了解，告訴企業(yè)的負(fù)責(zé)人，這些資產(chǎn)對(duì)公司的價(jià)值是什么，存在什么樣的危險(xiǎn)性，哪里是公司的最需要保護(hù)的東西，為什么要維護(hù)。否則在發(fā)生事故的時(shí)候?yàn)楣驹斐删薮蟮膿p失。再這里我們不著重說(shuō)這些。我們今天針對(duì)的是企業(yè)的信息安全管理。而這對(duì)一個(gè)企業(yè)的負(fù)責(zé)人來(lái)說(shuō)，了解這些是至關(guān)重要的。

其次對(duì)風(fēng)險(xiǎn)的量化。這一過(guò)程中我們要使企業(yè)了解這些風(fēng)險(xiǎn)一般會(huì)以什么方式發(fā)生，如物理?yè)p害。使他們準(zhǔn)確的了解到此事故會(huì)給公司造成多大的經(jīng)濟(jì)，人力和物品的損失。如果機(jī)密由此泄漏那么對(duì)公司又會(huì)造成多大的損失。一但被病毒攻擊消除這種攻擊需要的費(fèi)用。最后要對(duì)所有的風(fēng)險(xiǎn)進(jìn)行一個(gè)綜合，要收集以上所有危險(xiǎn)發(fā)生可能性的數(shù)據(jù)，計(jì)算出發(fā)生這些危險(xiǎn)的概率，并預(yù)算出每年發(fā)生這些事件的幾率，一年大概發(fā)生幾次這樣的事故。由以上信息推算出每向風(fēng)險(xiǎn)的潛在損失，和在一年中將對(duì)公司造成的經(jīng)濟(jì)損失。

資產(chǎn)的確定：

即確定公司的資產(chǎn)，指定公司資產(chǎn)的價(jià)值、發(fā)展安全策略提供安全性，完整性和可用性，找到所需的資源和資金

對(duì)策

最后遇到這些風(fēng)險(xiǎn)后的對(duì)策。我們主要通過(guò)降低損失，轉(zhuǎn)移風(fēng)險(xiǎn)，和接受風(fēng)險(xiǎn)這三種方式解決風(fēng)險(xiǎn)的發(fā)生。

⑴降低風(fēng)險(xiǎn)：我們主要是通過(guò)安裝防火墻，殺毒軟件等方式減少風(fēng)險(xiǎn)的發(fā)生?；蚴歉纳撇灰?guī)范的工作流程，再或者就是制定一個(gè)連續(xù)性的計(jì)劃。以此來(lái)降低損失。

⑵轉(zhuǎn)移風(fēng)險(xiǎn)：企業(yè)可以通過(guò)買保險(xiǎn)的方式來(lái)轉(zhuǎn)移風(fēng)險(xiǎn)發(fā)生后所造成的損失，一但發(fā)生什么事故，一切都會(huì)由保險(xiǎn)公司來(lái)負(fù)責(zé)賠償。

⑶接受風(fēng)險(xiǎn)：企業(yè)再得知某些風(fēng)險(xiǎn)會(huì)對(duì)公司造成損失，但由于避免此項(xiàng)風(fēng)險(xiǎn)所花費(fèi)的人力和物力的價(jià)值遠(yuǎn)遠(yuǎn)超過(guò)此項(xiàng)風(fēng)險(xiǎn)給公司所帶來(lái)的損失時(shí)，我們建議接受風(fēng)險(xiǎn)。

完成以上相關(guān)內(nèi)容的評(píng)估后，并不意味著評(píng)估的結(jié)束，我們還需要安全系統(tǒng)完整的運(yùn)做一次，確保安全系統(tǒng)可以正常的工作。

一套完整的安全系統(tǒng)運(yùn)行并不只是靠，一個(gè)部門幾個(gè)人來(lái)維護(hù)的，它需要企業(yè)全體員工都了解，所以還需要對(duì)公司的員工進(jìn)行培訓(xùn)，只有采取了這一系列的措施，一套完整的安全系統(tǒng)才可以順利的運(yùn)行

信息安全管理體系（ISMS）信息安全管理體系（InformationSecuritryManagementSystems）是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。它是直接管理活動(dòng)的結(jié)果，表示成方針、原則、目標(biāo)、方法、過(guò)程、核查表（Checklists）等要素的集合。

BS7799-2是建立和維持信息安全管理體系的標(biāo)準(zhǔn)，標(biāo)準(zhǔn)要求組織通過(guò)確定信息安全管理體系范圍、制定信息安全方針、明確管理職責(zé)、以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)選擇控制目標(biāo)與控制方式等活動(dòng)建立信息安全管理體系；體系一旦建立組織應(yīng)按體系規(guī)定的要求進(jìn)行運(yùn)作，保持體系運(yùn)作的有效性；信息安全管理體系應(yīng)形成一定的文件，即組織應(yīng)建立并保持一個(gè)文件化的信息安全管理體系，其中應(yīng)闡述被保護(hù)的資產(chǎn)、組織風(fēng)險(xiǎn)管理的方法、控制目標(biāo)及控制方式和需要的保證程度

BS7799-2:2002的PDCA過(guò)程模式

BS7799-2:2002所采用的過(guò)程模式如，“計(jì)劃-實(shí)施-檢查-措施”四個(gè)步驟可以應(yīng)用于所有過(guò)程。PDCA過(guò)程模式可簡(jiǎn)單描述如下：

◆策劃：依照組織整個(gè)方針和目標(biāo)，建立與控制風(fēng)險(xiǎn)、提高信息安全有關(guān)的安全方針、目標(biāo)、指標(biāo)、過(guò)程和程序。

◆實(shí)施：實(shí)施和運(yùn)作方針（過(guò)程和程序）。

◆檢查：依據(jù)方針、目標(biāo)和實(shí)際經(jīng)驗(yàn)測(cè)量，評(píng)估過(guò)程業(yè)績(jī)，并向決策者報(bào)告結(jié)果。

◆措施：采取糾正和預(yù)防措施進(jìn)一步提高過(guò)程業(yè)績(jī)。

四個(gè)步驟成為一個(gè)閉環(huán)，通過(guò)這個(gè)環(huán)的不斷運(yùn)轉(zhuǎn)，使信息安全管理體系得到持續(xù)改進(jìn)，使信息安全績(jī)效(performance)螺旋上升。（其實(shí)和ISO9000,14000等完全類似的。。。。）

信息保護(hù)技術(shù)（frommicrosoft)

入侵防護(hù)系統(tǒng)（IPS）

入侵防護(hù)系統(tǒng)（IPS）是企業(yè)下一代安全系統(tǒng)的大趨勢(shì)。它不僅可進(jìn)行檢測(cè)，還能在攻擊造成損壞前阻斷它們，從而將IDS提升到一個(gè)新水平。IDS和IPS的明顯區(qū)別在于：IPS阻斷了病毒，而IDS則在病毒爆發(fā)后進(jìn)行病毒清除工作。

用黑客軟件性質(zhì)分類一、掃描類軟件：

二、遠(yuǎn)程監(jiān)控類軟件：“木馬”

三、病毒和蠕蟲(chóng)：

四、系統(tǒng)攻擊和密碼破解：

五、監(jiān)聽(tīng)類軟件：

物理層安全

網(wǎng)絡(luò)安全架構(gòu)

信息安全架構(gòu)網(wǎng)絡(luò)周邊保護(hù)

與信息安全相關(guān)的6個(gè)主要活動(dòng)是：

政策制定——使用安全目標(biāo)和核心原理作為框架，圍繞這個(gè)框架制定安全政策；角色和責(zé)任——確保每個(gè)人清楚知道和理解各自的角色、責(zé)任和權(quán)力；設(shè)計(jì)——開(kāi)發(fā)由標(biāo)準(zhǔn)、評(píng)測(cè)措施、實(shí)務(wù)和規(guī)程組成的安全與控制框架；實(shí)施——適時(shí)應(yīng)用方案，并且維護(hù)實(shí)施的方案；控制——建立控制措施，查明安全隱患，并確保其得到改正；安全意識(shí)，培訓(xùn)和教育——安全意識(shí)的養(yǎng)成，宣貫保護(hù)信息的必要性，提供安全運(yùn)作信息系統(tǒng)所需技巧的培訓(xùn)，提供安全評(píng)估和實(shí)務(wù)教育。最后一點(diǎn)還要加上激勵(lì)，因?yàn)槿藗兛赡苡羞@種有意識(shí)，但需要激發(fā)其行動(dòng)。

信息安全（INFOSEC）應(yīng)包括以下六個(gè)方面：l通信安全（COMSEC）l計(jì)算機(jī)安全（COMPUSEC）l符合瞬時(shí)電磁脈沖輻射標(biāo)準(zhǔn)（TEMPEST）l傳輸安全（TRANSEC）l物理安全（Physical