信息安全管理与评估

Crave
605 阅读18分钟

安全管理概述

  • 管理是指为提高群体实现目标的效率而采取的活动和行为。包括制定计划(规划)、建立机构(组织)、落实措施(部署)、开展培训(提高能力)、检查效果(评估)和实施改进(改进)等。

  • 收集信息-评估-组织-部署- <对象>

  • 首先要明确管理策略,然后才是开展管理活动。

  • 安全管理是以管理对象的安全为任务和目标的管理。 安全管理的任务是保证管理对象的安全。 安全管理的目标是达到管理对象所需的安全级别,将风险控制在可以接受的程度。

1.jpg

信息安全管理是以信息及其载体——即信息系统为对象的安全管理。 信息安全管理的任务是保证信息的使用安全和信息载体的运行安全。信息安全管理的目标是达到信息系统所需的安全级别,将风险控制在用户可以接受的程度。

安全管理模型

  • 安全管理的最终目标是将系统(即管理对象)的安全风险降低到用户可接受的程度,保证系统的安全运行和使用。
  • 风险的识别与评估是安全管理的基础,风险的控制是安全管理的目的,安全管理实际上是风险管理的过程。安全管理策略的制定依据就是系统的风险分析和安全要求
  • 新的风险在不断出现,系统的安全需求也在不断变化,也就是说,安全问题是动态的。因此,安全管理应该是一个不断改进的持续发展过程。
  • 安全管理模型遵循管理的一般循环模式,即计划(Plan)、执行(Do)、检查(Check)和行动(Action)的持续改进模式,简称PDCA模式。 每一次的安全管理活动循环都是在已有的安全管理策略指导下进行的,每次循环都会通过检查环节发现新的问题,然后采取行动予以改进,从而形成了安全管理策略和活动的螺旋式提升。

信息安全标准

标准的重要性

信息社会的信息安全是建立在信息系统互连、互通、互操作意义上的安全需求,因此需要技术标准来规范系统的建设和使用。 没有标准就没有规范,没有规范就不能形成规模化信息安全产业,生产出足够的满足社会广泛需要的产品。没有标准也不能规范人们安全防范行为。 国际上的信息安全标准涉及到有关密码应用和信息系统安全两大类。 制定标准的机构有国际标准化组织,某些国家的标准化机关和一些企业集团。他们的工作推动了信息系统的规范化发展和信息安全产业的形成。 标准是科研水平、技术能力的体现,反映了一个国家的综合实力。 标准也是进入WTO的国家保护自己利益的重要手段。

信息安全工程

  • 安全系统设计、实施、测评、运维相关标准 系统安全标准 信息安全技术标准 安全评估标准 公钥基础设施标准 等保和分保标准
  • 信息系统安全等级保护制度
  • 涉密信息系统分级保护制度

等级保护概述

  • 等级保护含义 指根据信息系统在国家安全、经济安全、社会安全、社会稳定和保护公共利益等方面的重要程度,结合系统面临的风险、应对风险的安全保护要求和成本开销等因素,将其划分成不同的安全保护等级,采取相应的安全保护措施,以保障信息和信息系统的安全。
  • 等级保护基本原则 重点保护原则 “谁主管、谁负责”原则 分区域保护原则 根据各地区、各行业信息系统的重要程度、业务特点和不同发展水平,分类、分级、分阶段进行实施,通过划分不同安全保护等级的区域,实现不同强度的安全保护。 同步建设、动态调整

计算机信息系统安全保护等级划分准则

1999年10月经过国家质量技术监督局批准发布 准则将计算机安全保护划分为以下五个级别:

  • 第一级为用户自主保护级。 它的安全保护机制使用户具备自主安全保护的能力,保护用户的信息免受非法的读写破坏。
  • 第二级为系统审计保护级。 除具备第一级所有的安全保护功能外,要求创建和维护访问的审计跟踪记录,使所有的用户对自己的行为的合法性负责。
  • 第三级为安全标记保护级。 除继承前一个级别的安全功能外,还要求以访问对象标记的安全级别限制访问者的访问权限,实现对访问对象的强制保护。
  • 第四级为结构化保护级。 在继承前面安全级别安全功能的基础上,将安全保护机制划分为关键部分和非关键部分,对关键部分直接控制访问者对访问对象的存取,从而加强系统的抗渗透能力
  • 第五级为访问验证保护级。 这一个级别特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动。

安全等级划分

  • 《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)规定,按5个安全等级管理
  • 第一级自主保护级 适用于一般,其受到破坏后,会对公民、法人和其他组织的权益产生一定的影响,但不危害国家安全、社会秩序、、经济建设和公共利益。
  • 第二级指导保护级 适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息与信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一定损害。
  • 第三级监督保护级 适用涉及国家安全、社会秩序、经济建设和公共利益的信息与信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害。
  • 第四级强制保护级 适用涉及国家安全、社会秩序、经济建设和公共利益的重要信息与信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成严重损害。
  • 第五级专控保护级 适用涉及国家安全、社会秩序、经济建设和公共利益的重要信息与信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。

等级保护的实施方法与过程

实施方法 安全定级 基本安全要求分析: 对应标准,分析检查系统的基本安全要求 系统特定安全要求分析 风险评估 改进和选择安全措施 实施安全保护措施

等级保护的基本要求(指标体系)

  • 物理安全 机场环境的基本安全要求 物理位置选择、物理访问控制、防盗窃和防破坏、防雷、防火、防潮、温湿度控制、电力控制、防静力、防电滋等方面的要求。
  • 网络安全 对网络系统的基本安全要求 结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防范等方面的要求。 第一级网络安全要求: 结构安全、访问控制、网络设备防护 第二-五级网络安全要求以一级基础逐渐加强,如三级网络安全要求: 结构安全 访问控制 安全审计 边界完整性检查 入侵防范 恶意代码防范 网络设备防护
  • 主机安全 对主机系统的基本安全要求 身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等方面的要求。 第一级网络安全要求: 身份鉴别、访问控制、入侵防范、恶意代码防范 第二-五级主机安全要求以一级基础逐渐加强,如三级主机安全要求: 身份鉴别 访问控制 安全审计 剩余信息保护: 入侵防范 恶意代码防范 资源控制
  • 应用安全 对应用系统的基本安全要求 身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等方面的要求。 第一级应用安全要求: 身份鉴别、访问控制、通信完整性、软件容错 第二-五级应用安全要求以一级基础逐渐加强,如三级应用安全要求: 身份鉴别 访问控制 安全审计 剩余信息保护 通信完整性 通信保密性 抗抵赖 软件容错 资源控制
  • 数据安全 对数据安全及备份恢复的基本安全要求 数据完整性、数据保密性、备份和恢复等方面的要求。 第一级应用安全要求: 数据完整性、备份和恢复 第二-五级应用安全要求以一级基础逐渐加强,如三级数据安全要求: 数据完整性 数据保密性 备份和恢复
  • 基本管理要求 安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等5个方面。

等级保护的实施方法与过程

信息系统定级 流程

  1. 确定定级对象的信息系统
  2. 确定业务信息安全和系统服务安全受到破坏时所侵害的客体。(该系统受到破坏时所侵害的客体主要是社会秩序,帮受害客体确定为社会秩序。)
  3. 针对受害客体,从多方面综合评定受害程度。(一旦系统受到破坏,其工作职能将严重下降,引起严重的法律问题、较高的财产损失、较大范围的社会不良影响,对其它组织和个人造成严重损害,故侵害程度确定为严重损害。)
  4. 确定业务信息安全和系统服务安全保护等级。(三级)
  5. 将业务信息安全和系统服务安全保护等级较高者确定为信息系统安全保护等级。

该系统受到破坏时所侵害的客体主要是社会秩序,帮受害客体确定为社会秩序。

安全保护方案

物理安全 物理位置选择(抗震、防风、防雨能力等) 物理访问控制(电子门禁系统、机房管理制度等) 防盗窃、防破坏(中心机房设置视频监控系统、红外防盗报警系统、设备安装固定在机柜中、布线系统采取物理保护措施等) 防雷击(避雷装置、防雷器等) 防火(采用耐火材料装修机房、配置火灾自动消防系统等) 防水、防潮等 防静电 温湿度控制 电力控制 电磁防护等

结构安全 核心交换机\汇聚交换机都具有一定冗余能力,满足业务高峰期的处理与网络带宽需求; 网络接入路由器与网络核心交换机间配置防火墙A,控制外部用户对内部资源的访问; 服务器域汇聚交换机与网络主干间配置防火墙B,在终端与服务器间建立 安全的访问路径; 在主干上配置IDS,连接在核心交换器镜像端口,对网络入侵行为进行监测; 根据部门职能划分不同的虚拟网,实施网络流量隔离; 在核心交换机上设置带宽分配优先级策略,保证网络发生jam时优先保证重要主机

安全审计 在网络中部署第三方安全审计系统,对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录和集中审计,安全审计服务设置在服务器域中; 系统提供日志查询和审计功能,支持多种日志查询方式,对事件的日期和时间、用户、事件类型、事件是否成功等信息进行审计; 系统以图表形式显示审计结果,并可生成审计报表输出; 系统对日志记录文件进行保护,禁止对日志记录的删除和修改操作。为了防止日志文件记满而产生数据丢失,系统将根据用户设置的日志文件长度,对文件长度进行监测,当达到设定的上限值时,连续给出警告信息,提醒管理员及时备份当前日志数据,以防止数据丢失

边界完整性检查 采用主机MAC地址、IP地址和接入交换机端口三者绑定的方法,禁止非授权计算机或设备接入网络中; 在用户主机上安装网络通信监控系统,对无线、拨号或其他非授权方式接入外部网络的行为进行监控和阻断。 入侵防范 设置IDS的安全规则,对端口扫描、强力攻击、木马后门攻击、DOS攻击、缓冲区溢出攻击、IP碎片攻击和网络WORM攻击等网络攻击行为进行监测; 当IDS检测到攻击行为时,记录攻击源IP地址、攻击类型、攻击目的、攻击时间,在检测到严重入侵事件时发出报警信息。 恶意代码防范 部署网络版病毒查杀系统,对恶意代码进行检测与清除。病毒查杀服务器设置在服务器域,病毒查杀客户端安装在网络中所有的服务器和主机上; 通过病毒查杀服务器实现对恶意代码库的升级和软件版本的更新。

等保2.0与等保1.0的区别

等保2.0特点

名称上的变化:《信息系统安全等级保护基本要求》 ->:《信息安全等级保护基本要求》 ->(与《网络安全法》保持一致)《网络安全等级保护基本要求》 对象的变化:信息系统 ->等级保护对象(网络和信息系统)。安全等级保护的对象包括三类:

  1. 网络基础设施(广电网、电信网、共用通信网络等),关注安全服务能力;依据系统服务对象的安全等级确定等级。
  2. 计算平台/系统(物联网、工业控制系统、移动互联技术的系统、云计算服务平台、大数据服务平台),关注业务信息安全与系统服务安全;依据信息与服务安全要求,按就高不就低的原则确定等级。
  3. 数据(大数据、数字资产、数据资源),关注业务信息安全。依据业务信息重要性确定等级。

综合防御的思想:提出了一个中心三重防护要求。相应的《基本要求》也分为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五部分,其中安全管理中心从二级开始提出要求。 强化可信计算:新标准强化了可信计算技术使用的要求,把可信验证列入各个级别并逐级提出各个环节 的主要可信验证要求。 安全要求 ->安全通用要求和安全扩展要求。安全通用要求是不管等级保护对象形态如何必须满足的要求,针对于云计算、移动互联、物联网和工业控制系统提出了特殊要求,称为安全扩展要求。 管理上的调整: 测评服务打破了省市界限; 定级备案调整到县级公安机关受理管辖; 颁布了新的《网络安全等级保护测评机构管理办法 》、《公安机关信息安全等级保护检查工作规范》等配套法规; 对测评内容和重点内容进行了调整; 人社部批准立项将“信息安全测试员”纳入国家技能职业序列,已经开始起草有关标准。

云计算安全扩展要求: 对于计算环境主要增加的内容包括“基础设施的位置”、“ 虚拟化安全保护”、“镜像和快照保护”、“云服务商选择” 和“云计算环境管理”等方面。 移动互联安全扩展要求 移动互联安全扩展要求:对移动互联环境主要增加的内容包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等方面。 增加了物联网安全扩展要求 物联网安全扩展要求:对物联网环境主要增加的内容包括“感知节点的物理防护”、“感知节点设备安全”、“感知网关节点设备安全”、“感知节点的管理”和“数据融合处理”等方面。

工业控制系统安全扩展要求 工业控制系统安全扩展要求:对工业控制系统主要增加的内容包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等方面。 应用场景的说明 附录 C 描述等级保护安全框架和关键技术, 附录 D 描述云计算应用场景, 附录 E 描述移动互联应用场景, 附录 F 描述物联网应用场景, 附录 G 描述工业控制系统应用场景。 附录 H 描述大数据应用场景(安全扩展要求)。

等保2.0要求变化

等保2.0要求变化,变为通用安全要求+扩展安全要求项

2.jpg

扩展安全要求项

3.jpg

安全风险管理

风险:人们对未来行为的决策及客观条件的不确定性而导致的实际结果与预期结果的偏差的程度。风险具有如下特点: 客观性。 不确定性(发生/程度/何时/何地) 不利性。(对承担者是不利的,做好对策) 可变性。(在一定条件下可以转化。性质/大小/一定空间和时间内可以消除/新风险产生等) 相对性。

风险管理:降低风险发生的概率,或当某种风险突然降临时,减少损失的管理过程。 风险管理承认成功的攻击将会存在,如非授权访问、侵入等。但发生的可能性和产生后果的严重程度将被限制和控制在最小值,这是风险管理的宗旨。 风险管理包括为提供有效的损失预防方案而进行的规划、组织、领导、协调及控制活动。 风险管理的意义是使信息系统的主管者和运营者在安全措施的成本与资产价值之间寻求平衡,并最终通过对支持其使命的信息系统及数据进行保护而提高其生命能力。

风险评估是确定一个信息系统面临的风险级别的过程,是风险管理的基础。 通过风险评估确定系统中的剩余风险,并判断该风险级别是否可以接受或需要实施附加措施来进一步降低。 风险取决于威胁发生的概率和相应的影响。

常用风险评估工具

风险评估辅助工具 主要用来收集评估所需要的数据和资料,帮助完成现状分析和趋势分析.如IDS。 安全审计工具,提供安全现状数据 评估需要大量的实践数据和经验数据。 评估指标/知识库/漏洞库/算法/模型库 系统软件评估工具 漏洞扫描 渗透测试 安全管理评价系统 从安全管理方面入手,评估资产所面临的威胁

avatar
文章
阅读
粉丝