请叫我CISP之一 信息安全保障

1.信息安全保障基础

1.1 信息安全保障目标

1)保密性、完整性和可用性
2)风险在可接受范围内即可
3)纲领:国务院27号文,2003年发布

1.2 信息安全概念
1.2.1基本概念

1)ISO:数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄漏,使系统能够连续正常运行
2)广义:

  • 保障组织业务可持续性运行

  • 信息安全建立在整个生命周期中关联的人、事、物基础上综合考虑,跨学科

  • 需要考虑成本

3)狭义:以IT技术为主
4)其他:美国法典,欧盟

1.2.2信息安全问题根源

1)内因:信息系统复杂性导致漏洞不可避免(系统生命周期过程复杂:设计、实现、使用全过程;信息系统结构复杂:各种网络、软件、应用)
2)外因:环境因素、人为因素

  • 人为因素
    a、国家安全威胁:信息战士(减小国家决策空间、战略优势、制造混乱、进行目标混乱)、情报机构;
    b、共同威胁:恐怖份子、商业间谍、犯罪团伙
    c、局部威胁:社会型黑客、娱乐型黑客
  • 自然因素:火灾、地震、洪水

1.2.3信息安全特征

1)系统
2)动态
3)无边界
4)非传统

1.2.4信息安全范畴

1)信息技术问题:技术系统安全问题
2)组织管理问题:人+技术+组织内部问题
3)社会问题:法制、舆论
4)国家安全问题:信息战、虚拟空间

1.2.5信息安全发展阶段
1)通信-计算机-网络构成网络化社会
2)通信安全COMSEC-计算机安全COMPUSEC-信息系统安全INFOSEC-信息安全保障IA-网络空间安全/信息安全保障CS/IA
3)通信安全

  • 1940~1970
  • 关注传输过程中数据保护
  • 威胁:搭线窃听、密码学分析
  • 核心思想:通过密码技术解决通信保密,保证数据保密性和完整性
  • 安全措施:加密
  • 影响现代通信安全因素:伪基站,对链路破坏、干扰

4)计算机安全

  • 1970~1990
  • 关注数据处理、存储时数据保护
  • 威胁:非法访问、恶意代码、脆弱口令
  • 核心思想:预防检测和减小计算机系统(软硬件)用户执行未授权活动造成对后果
  • 措施:访问控制

5)信息系统安全

  • 1990年以后
  • 关注信息系统整体安全
  • 威胁:网络入侵、病毒破坏、信息对抗
  • 措施:防火墙、防病毒、漏洞扫描、IDS、PKI、VPN
  • 把信息系统安全从技术扩展到管理、从静态扩展到动态,通过技术、管理、工程等措施等综合融合至信息化中,形成对信息、信息系统乃至业务使命的保障
  • ISO15408安全评估保障

6)网络空间安全

  • 虚拟世界与物理世界互联成网络空间
  • 工业控制系统“云大移物智”
  • 核心思想强调威慑
  • 将防御、威慑和利用结合成三位一体网络空间安全保障

7)信息安全保障

  • 1996,DoDD 5-3600.1首次提出信息安全保障
  • 关注信息、信息系统对组织业务及使命的保障
  • 我国信息安全保障工作
    a、我国03年在指导意见第一次提出
    b、总体要求:积极防御、综合防范
    c、主要原则:技术与管理并重,正确处理安全与发展的关系

8)威胁情报与态势感知
9) 信息安全属性

  • 信息安全保障定义:信息系统安全保障是在信息系统的整个生命周期中,通过对信息系统对风险分析,制定并执行相应的安全保障策略,从技术、管理、工程和人员等方面提出安全保障要求,确保信息系统的保密性、完整性和可用性,降低安全风险到可接受的程度,从而保障系统实现组织结构的使命
  • 基本属性:保密性、完整性、可用性
  • 其他属性:真实性、可问责性、不可否认性
  • ISO27000-2014

10)信息安全视角

  • 国家视角:国家关键基础设施保护:2016年11月通过的《网络安全法》定义我国关键基础设施
  • 企业视角
    a、业务数据对组织对重要性使得组织必须关注业务连续性
    b、合规性
  • 个人视角:隐私保护、社会工程学、个人资产安全

11)信息安全保障新领域

  • 工控系统
    a、分布式控制系统(DCS)
    b、数据采集与监控系统(SCADA)
    c、可编程逻辑控制器(PLC)
  • 云计算
  • 虚拟化安全
  • 物联网
  • 大数据安全
  • 移动互联网安全

12)信息系统安全保障含义总结

  • 出发点与核心:在信息系统所处的运行环境里,以风险和策略为出发点即从信息系统所面临的风险出发制定组织结构信息系统安全保障策略
  • 信息系统生命周期:通过在信息系统生命周期中从技术、管理、工程和人员等方面提出安全保障要求
  • 确保信息的安全特征
  • 保护资产;最终保障使命

13)信息安全保障发展阶段

  • 2001~2002启动
  • 2003~2005逐步展开积极推进27号文件
  • 2006至今深化落实

2. 安全保障框架
2.1 基于时间的信息安全模型

1)PDR模型

  • 承认漏洞,正视威胁,采取适度防护,加强检测工作,落实响应,建立对威胁的防护来保障系统的安全
  • 任何安全防护措施都是基于时间的,超过该时间段这种防护措施是可能被攻破的
  • 当Pt>Dt+Rt,系统是安全的
  • 局限性:Pt、Dt、Rt很难准确定义

2)PPDR模型

  • 所有的防护、检测、响应都是依据安全策略实施
  • 全新定义:及时的检测和响应就是安全
  • PPDR模型则更强调控制和对抗,考虑了管理的因素,强调安全安全管理当持续性、安全策略当动态性等

2.2信息安全保障技术框架(美国非国标标准)

1)美国国家安全局(NSA)制定:为保护美国政府和工业界的信息与信息技术设施提供技术指南
2)核心思想:深度防御:被称为“深度防护战略”
3)三个要素:人、技术、操作

  • 认识信息保障体系的核心是第一位的要素
  • 技术是实现信息保障的重要手段

4)四个焦点领域(三防护一支撑)

  • 保护网络和基础设施:使用信息保障技术确保在进人、离开或驻留客户机和服务器时具有保密性、完整性和可用性
  • 保护区域边界
  • 保护计算环境
  • 保护计算环境
  • 支持性基础建设:密钥管理基础设施(KMI)和检测和响应基础设施

5)安全原则

  • 保护多个位置
  • 分层防御、安全强健性

6)IATF特点

  • 全方位防御、纵深防御将系统风险降到最低
  • 信息安全不纯粹是技术问题,而是一项复杂的系统工程
  • 提出“人”这一要素的重要性,人即管理

2.3 信息安全保障体系建设

1)技术体系
2)管理体系

3)工程过程

4)人员队伍

2.4 信息安全保障评估

1)信息系统安全保障评估框架

  • 信息系统保护轮廓(ISPP)
    a、根据组织机构使命和所处的运行环境,从组织机构的策略和风险的实际情况出发,对具体信息系统安全保障需求和能力进行具体描述
    b、从信息系统对所有者(用户)的角度
  • 信息系统安全目标(ISST)
    a、根据信息系统保护轮廓(ISPP)编制的信息系统安全保障方案
    b、从信息系统安全保障的建设方
  • 信息系统安全保障评估(STOE)
    a、信息系统安全保障的评估是从信息系统安全保障的概念出发,在信息系统的生命周期内根据组织机构的要求在信息系统的安全技术、安全管理和安全工程领域内对信息系统的安全技术控制措施和技术架构能力、安全管理控制和管理能力以及安全工程实施控制措施和工程实施能力进行评估综合,从而最终得出信息系统在其运行环境中安全保障措施满足其安全保障要求的符合性以及信息系统安全保障能力的评估

2.5 企业安全架构

1)定义

  • 企业架构的一个子集,它定义了信息安全战略,包括各层级的解决方案、流程和规程,以及它们与整个企业的战略、战术和运营链接的方式

2)舍伍德的商业应用安全架构(SABSA)

  • 6层模型
    a、背景层:业务需求 业务视图
    b、概念层: 架构视图
    c、逻辑层: 设计视图
    d、物理层: 建设视图
    e、组件层: 实施者视图
    f、 运营层: 服务和管理视图
  • 生命周期

posted on 2024-02-05 16:39  运输大队长  阅读(131)  评论(0)    收藏  举报

导航