《信息安全概论》课件第十章 信息安全的管理.ppt
《《信息安全概论》课件第十章 信息安全的管理.ppt》由会员分享,可在线阅读,更多相关《《信息安全概论》课件第十章 信息安全的管理.ppt(111页珍藏版)》请在文库网上搜索。
1、第十章 信息安全的管理o内容提要信息安全的标准与规范信息安全管理标准信息安全策略和管理原则信息安全审计信息安全与政策法规小结思考题第十章 信息安全的管理o信息系统的安全管理目标是管好信息资源安全,信息安全管理是信息系统安全的重要组成部分,管理是保障信息安全的重要环节,是不可或缺的。实际上,大多数安全事件和安全隐患的发生,与其说是技术上的原因,不如说是由于管理不善而造成的。因此说,信息系统的安全是“三分靠技术,七分靠管理”,可见管理的重要性。o信息安全管理贯穿于信息系统规划、设计、建设、运行、维护等各个阶段。安全管理的内容十分广泛。10.1信息安全的标准与规范o10.1.1 信息安全标准的产生和
2、发展o10.1.2 信息安全标准的分类o10.1.3 标准化组织简介10.1.1 信息安全标准的产生和发展o网络已经渗透到各行各业和人们的生活,网络正逐步改变着人们的生产和生活方式。o随之而来的计算机和网络犯罪也不断出现,网络信息安全问题日益突显出来,信息网络的安全一旦遭受破坏,其影响或损失将十分巨大。o信息安全越来越受到重视,世界各大厂商都在推出自己的安全产品。下面几个方面推动了安全标准的发展。1安全产品间互操作性的需要o加密与解密,签名与认证,网络之间安全的互相连接,都需要来自不同厂商的产品能够顺利地进行互操作,统一起来实现一个完整的安全功能。这就导致了一些以“算法”,“协议”形式出现的安
3、全标准。典型的有美国数据加密标准DES(Data Encryption Standard)。2.对安全等级认定的需要o近年来对于安全水平的评价受到了很大的重视,产品的安全性能到底怎么样,网络的安全处于什么样的状态,这些都需要一个统一的评估准则,对安全产品的安全功能和性能进行认定,形成一些“安全等级”,每个安全等级在安全功能和性能上有特定的严格定义,对应着一系列可操作的测评认证手段。例如美国国防部DoD(Department of Defence)在1985年公布了可信赖计算机系统评估准则TCSEC(Trusted Computer System Evaluation Criteria)。3.对
4、服务商能力衡量的需要o现在信息安全已经逐渐成长为一个产业,发展越来越快,以产品提供商和工程承包商为测评对象的标准大行其道,同以产品或系统为测评认证对象的测评认证标准形成了互补的格局。网络的普及,使以网络为平台的网络信息服务企业和使用网络作为基础平台传递工作信息的企业,比如金融,证券,保险和各种电子商务企业纷纷重视安全问题。因此,针对使用网络和信息系统开展服务的企业的信息安全管理标准应运而生。10.1.2 信息安全标准的分类o1.互操作标准o现在各种密码、安全技术和协议广泛地应用于Internet,而TCP/IP协议是Internet的基础协议,在四层模型中的每一层都提供了安全协议,整个网络的安
5、全性比原来大大加强。链路层的安全协议有PPTP,L2F等;网络层有IPSec;传输层有SSL/TLS/SOCK5;应用层有SET,S-HTTP,S/MIME,PGP等。1.互操作标准o下面只简单介绍其中的一些安全协议。o(1)IP安全协议标准IPSeco1994年IETF专门成立IP安全协议工作组,并由其制定IPSec。1995年IETF公布了相关的一系列IPSec的建议标准,1996年IETF公布了下一代IP的标准IPv6,IPSec成为其必要的组成部分。1999年底,IETF完成了IPSec的扩展,将下列协议加入了IPSec,ISAKMP(Internet Security Associa
6、tion and Key Management Protocol)协议,密钥分配协议IKE、Oakley。1.互操作标准o(2)传输层加密标准SSL/TLSo1994年Netscape企业开发了安全套接层SSL(Secure socket layer)协议,1996年发布了3.0版本。1997年传输层安全协议TLS1.0(Transport Layer Security,也被称为SSL3.1)发布,1999年IETF发布RFC2246(TLS v1.0)。oSSL主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性,它不能保证信息的不可抵赖性,主要适用于点对点之间的信息传
7、输,现已成为网络用来鉴别网站和网页浏览者身份,以及在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。1.互操作标准o(3)安全电子交易标准SETo安全电子交易协议SET(Secure Electronic Transaction)是由Visa和MasterCard两大信用卡组织联合开发的电子商务安全协议。它是在Internet上进行在线交易的电子付款系统规范,目前已成为事实上的工业标准。它提供了消费者、商家和银行之间的认证,确保交易的保密性、可靠性和不可否认性,保证在开放网络环境下使用信用卡进行在线购物的安全。2.技术与工程标准o(1)信息产品通用测评准则(CC/ISO 15408)oI
8、SO/IECl5408 1999信息技术安全性评估准则(简称CC)是国际标准化组织统一现有多种评估准则的努力结果,是在美国和欧洲等国分别自行推出并实践测评准则的基础上,通过相互间的总结和互补发展起来的。oCC的目的是允许用户指定他们的安全需求,允许开发者指定他们产品的安全属性,并且允许评估者决定是否产品确实符合他们的要求。oCC(Common Criteria)标准是第一个信息技术安全评价国际标准,它的发布对信息安全具有重要意义,是信息技术安全评价标准以及信息安全技术发展的一个重要里程碑。2.技术与工程标准o(2)安全系统工程能力成熟度模型(SSE-CMM)o系统安全工程能力成熟模型(SSE-
9、CMM)的开发源于1993年5月美国国家安全局发起的研究工作。这项工作是在用CMM模型研究现有的各种工作时,发现安全工程需要一个特殊的模型与之配套。oSSE-CMM确定了一个评价安全工程实施的综合框架,提供了度量与改善安全工程学科应用情况的方法。SSE-CMM项目的目标是将安全工程发展为一整套有定义的、成熟的及可度量的学科。10.1.3 标准化组织简介oISO:国际标准化组织 oInternational Organization for Standardization o国际标准化组织始建于1946年,是世界上最大的非政府性标准化专门机构,它在国际标准化中占主导地位。ISO的主要活动是制定国
10、际标准,协调世界范围内的标准化工作,组织各成员国和技术委员会进行交流,以及与其他国际性组织进行合作,共同研究有关标准问题。随着国际贸易的发展,对国际标准的要求日益提高,ISO的作用也日趋扩大,世界上许多国家对ISO也越加重视。oISO的目的和宗旨是:在世界范围内促进标准化工作的发展,以利于国际物资交流和互助,并扩大在知识、科学、技术和经济方面的合作。10.1.3 标准化组织简介oIEC:国际电工委员会 oInternational Electrotechnical Commission oIEC是世界上成立最早的非政府性国际电工标准化机构,是联合国经社理事会(ECOSOC)的甲级咨询组织。目前
11、IEC成员国包括了大多数的工业发达国家及一部分发展中国家。这些国家拥有世界人口的80%,其生产和消耗的电能占全世界的95%,制造和使用电气、电子产品占全世界产量的90%。oIEC的宗旨:促进电工标准的国际统一,电气、电子工程领域中标准化及有关方面的国际合作,增进国际间的相互了解。10.1.3 标准化组织简介oIEEE:美国电气电子工程师学会 oInstitute of Electrical and Electronics Engineers IEEE于1963年美国电气工程师学会(AIEE)和美国无线电工程师学会(IRE)合并而成,是美国规模最大的专业学会。它由大约十万名从事电气工程、电子和有
12、关领域的专业人员组成,分设10个地区和206个地方分会,设有31个技术委员会。IEEE的标准制定内容有:电气与电子设备、试验方法、原器件、符号、定义以及测试方法等。10.1.3 标准化组织简介oITU:国际电信联盟 oInternational Telecommunication Union 国际电信联盟于1865年5月在巴黎成立,1947年成为联合国的专门机构。ITU是世界各国政府的电信主管部门之间协调电信事务的一个国际组织,它研究制定有关电信业务的规章制度,通过决议提出推荐标准,收集有关情报。ITU的目的和任务是:维持和发展国际合作,以改进和合理利用电信,促进技术设施的发展及其有效运用,以
13、提高电信业务的效率,扩大技术设施的用途,并尽可能使之得到广泛应用,协调各国的活动。10.1.3 标准化组织简介oNBS:美国国家标准局oNational Bureau of Standardso美国国家标准局(现是国家技术标准研究院NIST-National Institute of Standards Technology)属于美国商业部的一个机构,发布销售美国联邦政府的设备的信息处理标准,是ISO和IUT-T的代表。oNBS有4个研究机构:o(1)计量基准研究所;o(2)国家工程研究所;o(3)材料研究所;o(4)计算科学技术中心。oNBS上述4个主要机构的工作大都与标准有关,是美国标准化
14、活动的强大技术后方。它的工作一般以NIST出版物(FIPS PUBs)和 NIST特别出版物(SPEC PUB)等形式发布。10.1.3 标准化组织简介oANSI:美国国家标准学会 oAmerican National Standards Institute o 美国国家标准学会是非赢利性质的民间标准化团体,但它实际上已成为美国国家标准化中心,美国各界标准化活动都围绕它行。通过它,使政府有关系统和民间系统相互配合,起到了政府和民间标准化系统之间的桥梁作用。10.1.3 标准化组织简介oBSI:英国标准学会 oBritish Standards Institution o 英国标准学会(BSI)
15、是世界上最早的全国性标准化机构,它受政府控制但得到了政府的大力支持。BSI不断发展自己的工作队伍,完善自己的工作机构和体制,把标准化和质量管理以及对外贸易紧密结合起来开展工作。oBSI的宗旨是:o (1)为增产节约努力协调生产者和用户之间的关系,促进生产,达到标准化(包括简化)。o (2)制定和修订英国标准,并促进其贯彻执行。o (3)以学会名义,对各种标志进行登记,并颁发许可证。o (4)必要时采取各种行动,保护学会利益。10.1.3 标准化组织简介oDIN:德国标准化学会 oDeutsches Institut fur Normung oDIN是德国的标准化主管机关,作为全国性标准化机构参
16、加国际和区域的非政府性标准化机构。oDIN是一个经注册的私立协会,大约有6000个工业公司和组织为其会员。目前设有123个标准委员会和3655个工作委员会。oDIN于1951年参加国际标准化组织。由DIN和德国电气工程师协会(VDE)联合组成的德国电工委员会(DKE)代表德国参加国际电工委员会。DIN还是欧洲标准化委员会、欧洲电工标准化委员会(CENELEC)和国际标准实践联合会(IFAN)的积极参加国。10.1.3 标准化组织简介oAFNOR:法国标准化协会 oAssociation Francaise de Normalisation o 1926年,法国标准化协会成立。它是一个公益性的民
17、间团体,也是一个被政府承认,为国家服务的组织。1941年5月24日颁布的一项法令确认AFNOR接受法国政府的标准化管理机构标准化专署局领导,按政府指导开展工作,并定期向标准化专员汇报工作。oAFNOR负责标准的制订、修订工作,宣传、出版、发行标准。10.2 信息安全管理标准o10.2.1 BS 7799的发展历程o10.2.2 BS 7799的主要内容o10.2.3 ISO 1333510.2 信息安全管理标准 20世纪80年代末,ISO9000质量管理标准的出现及随后在全世界广泛被推广应用,系统管理的思想在其他管理领域也被借鉴与采用,如后来的ISO14000环境体系管理标准、OHSAS180
18、00职业安全卫生管理体系标准。20世纪90年代,信息安全管理步入了标准化与系统化管理的时代。1995年,英国率先推出了BS 7799信息安全管理标准,并于2000年被国际标准化组织认可为国际标准ISO/IEC 17799标准。在信息安全管理领域,还有其他一些标准,如澳大利亚的AS/NZS 4360,德国的联邦技术安全局通过2001年7月颁布并不断更新的信息技术基线保护手册(IT Baseline Protection Manual,ITBPM)等。下面只介绍两个国际标准ISO/IEC 17799 和13355,其中重点介绍ISO/IEC 17799(BS 7799)。10.2.1 BS 779
19、9的发展历程oBS 7799 最初是由英国贸工部(DTI)立项的,是业界、政府和商业机构共同倡导的,旨在开发一套可供开发、实施和测量有效安全管理惯例并提供贸易伙伴间信任的通用框架。o1995 年,BS 7799-1:1995信息安全管理实施细则首次出版(其前身是1993 年发布的PD0005),它提供了一套综合性的、由信息安全最佳惯例构成的实施细则,目的是为确定各类信息系统通用控制提供唯一的参考基准。10.2.1 BS 7799的发展历程o1998 年,BS 7799-2:1998信息安全管理体系规范公布,这是对BS 7799-1 的有效补充,它规定了信息安全管理体系的要求和对信息安全控制的要
20、求,是一个组织信息安全管理体系评估的基础,可以作为认证的依据。至此,BS7799 标准初步成型。o1999 年4 月,BS 7799 的两个部分被重新修订和扩展,形成了一个完整版的BS 7799:1999。10.2.1 BS 7799的发展历程o新版本充分考虑了信息处理技术应用的最新发展,特别是在网络和通信领域。除了涵盖以前版本所有内容之外,新版本还补充了很多新的控制,包括电子商务、移动计算、远程工作等。o由于BS 7799 日益得到国际认同,使用的国家也越来越多,2000 年12 月,国际标准化组织ISO/IEC JTC 1/SC27 工作组认可BS 7799-1:1999,正式将其转化为国
21、际标准,即所颁布的ISO/IEC 17799:2000信息技术信息安全管理实施细则。10.2.1 BS 7799的发展历程o作为一个全球通用的标准,ISO/IEC 17799 并不局限于IT,也不依赖于专门的技术,它是由长期积累的一些最佳实践构成的,是市场驱动的结果。o2002 年,BSI 对BS 7799:2-1999 进行了重新修订,正式引入PDCA 过程模型,以此作为建立、实施、持续改进信息安全管理体系的依据,同时,新版本的调整更显示了与ISO 9001:2000、ISO 14001:1996 等其他管理标准以及经济合作与开发组织(OECD)基本原则的一致性,体现了管理体系融合的趋势。2
22、004 年9 月5 日,BS 7799-2:2002 正式发布。10.2.2 BS 7799的主要内容oBS 7799主要提供了有效地实施IT安全管理的建议,介绍了安全了安全管理的方法和程序。oBS 7799标准基于风险管理的思想,强调遵守国家有关信息安全的法律法规及其他合同方要求,强调全过程和动态控制,本着控制费用与风险平衡的原则合理选择安全控制方式保护机构的关键信息资产,使安全风险的发生概率和结果降低到可接受的水平。o用户可以参照这个完整的标准制订出自己的安全管理计划和实施步骤,为企业的发展、实施和估量有效的安全管理实践提供参考依据。10.2.2 BS 7799的主要内容oBS7799标准
23、包括两部分:BS7799-1:1999信息安全管理实施细则和BS7799-2:2002信息安全管理体系规范。标准的第一部分为第二部分的具体实施提供了指南。1.BS7799-1 主要内容主要内容oBS7799-1:1999(即ISO/IEC 17799:2000)信息安全管理实施细则是机构建立并实施信息安全管理体系的一个指导性的准则,主要为机构制订信息安全策略和进行有效的信息安全控制提供一个通用的方案。这一部分从10 个方面定义了127 项控制措施,可供信息安全管理体系实施者参考使用。1.BS7799-1 主要内容主要内容o10 个方面是:o(1)安全政策(Security Policy)o目标
24、在于提供管理的方向来保障信息安全。o(2)组织安全(Organization Security)o目标包括组织内信息安全的管理、维持处理组织安全的相关设施与信息资产由一个可靠的第三单位所控管,维持当信息处理程序外包给其他组织时的安全。o(3)资产分类与控制(Asset Classification and Control)o保持对组织资产的恰当的保护,确保信息资产得到适当级别的保护。1.BS7799-1 主要内容主要内容o(4)人员安全(Personnel Security)o减少人为错误、偷窃、欺诈或误用设施带来的风险;确保用户意识到信息安全威胁及利害关系,并在其正常工作当中支持组织的安全策
25、略;减少来自安全事件和故障的损失,监督并从事件中吸取教训。o(5)物理与环境安全(Physical and Environmental Security)o防止进入并非授权访问、破坏和干扰业务运行的安全区边界;防止资产的丢失、损害和破坏,防止业务活动被中断;防止危害或窃取信息及信息处理设施。1.BS7799-1 主要内容主要内容o(6)通信和操作管理(Communication and Operation Management)o确保安全信息处理设备的正确运作;把系统的失误降到最低;保护软件和信息的真确性;维持信息处理与通信的正确性与可用性;确保信息在网络上的保全与保护支持的基础建设;避免对资
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息安全概论 信息安全概论课件第十章 信息安全的管理 信息 安全 概论 课件 第十 管理