CISP信息安全保障v
CISP-1-信息安全保障体系和测评认证
信息安全保障体系和测评认证
中国信息安全产品测评认证中心(CNITSEC) CISP-1-信息安全保障体系和测评认证(培训样稿)
目录
一.
信息系统安全保障测评认证历史和成绩 信息系统安全保障通用评估准则介绍 信息系统安全保障测评认证方法和实践
二.
三.
cnitsec
cnitsec
认 证 标 志
中 华 人 民 共 和 国 国 家 信 息 安 全 认 证
cnitsec
国家标准的制定情况
1、包过滤防火墙安全技术要求 2、应用级防火墙安全技术要求 3、信息技术安全性评估准则 4、信息系统安全工程能力成熟模型 5、信息安全服务评价准则 6、信息安全工程质量管理要求 7、电信智能卡安全技术要求 8、商用密码产品安全技术要求 9、网上证券委托系统安全技术要求 10、信息技术安全性评估方法 等共20多项
略 信 息 系 统 安 全 策 信息系统安全管理机构及制度
信息系统安全工程过程
信息系统安全审计与评估 cnitsec
问题?
cnitsec
系统安全保障方案(ISST)
信息系统安全目标 信息系统安全目标 ISST ISST ISST引言 ISST引言
ISST标识 ISST概述 信息系统评估准则一致性声明 使命描述 系统标识 系统体系描述 系统描述 系统功能描述 系统环境描述 系统生命周期描述 组织结构描述 假设 威胁 组织安全策略 TOE安全目的 环境安全目的 信息系统安全要求 信息系统安全技术要求 信息系统安全管理要求 信息系统安全过程要求
安全保障过程 能力成熟度级别 EGISAE-CML 1 EGISAE-CML 1 EAE-CML 3
cnitsec
信息系统安全保障 安全管理能力成熟度级别
CISP-01-信息安全测评服务介绍
CISP-01-信息安全测评服务介绍CISP-01-信息安全测评服务介绍一、背景介绍随着信息技术的迅猛发展,信息安全已经成为了各个企事业单位的重要问题。
信息安全测评作为保障信息系统和网络安全的一种重要手段,被广泛应用于各个行业。
CISP-01-信息安全测评服务是一种提供专业的信息安全测评服务的资质标准,以确保信息系统和网络的安全可靠性。
二、测评服务内容CISP-01-信息安全测评服务提供了多种测评内容,包括但不限于以下几个方面:1. 系统和网络漏洞扫描:通过扫描工具对系统和网络进行全面的检测,发现其中存在的漏洞,并提供相应的修复建议。
2. 业务系统安全审计:对企事业单位的业务系统进行审计,检查系统是否存在安全漏洞和风险,并提供相应的改进方案。
3. 无线网络安全测试:对无线网络进行渗透测试,发现其中的安全漏洞和风险,并提供相应的解决方案。
4. 数据安全测试:对企事业单位的数据进行安全测试,检查数据存储和传输过程中是否存在风险,保证数据安全可靠。
5. 应用软件安全测试:对企事业单位的应用软件进行安全测试,发现其中的安全隐患,并提供相应的改进方案。
三、测评服务流程CISP-01-信息安全测评服务从接受测评任务到提供测评报告,经历了以下几个流程:1. 需求确认:与客户充分沟通,了解其安全需求和测评目标,制定测评计划。
2. 测评准备:准备相关的测评工具和设备,并与客户约定测评时间和地点。
3. 测评执行:按照测评计划进行测评,对系统、网络、应用软件等进行全面检测。
4. 数据收集:收集测评中产生的相关数据和信息,包括漏洞报告、复测记录等。
5. 报告编制:根据测评收集的数据,编写详细的测评报告,包括系统安全状况、漏洞详情、风险评估等。
6. 报告发布:将测评报告提交给客户,解释报告中的内容,并提供相应的建议和改进方案。
四、测评服务优势CISP-01-信息安全测评服务具有以下几个优势:1. 专业团队:我们拥有一支由经验丰富的信息安全专家组成的团队,可以提供专业、高效的测评服务。
CISP2018_信息安全保障_V41
操作控制
人员安全、物理和环境保护、意外防范计划、配置 管理、维护、系统和信息完整性、媒体保护、事件 响应、意识和培训
技术控制
识别和认证、访问控制、审计和追责、系统和通信 保护
26
云计算的安全风险
数据管理和访问失控的风险
数据存储位置对用户失控 云计算服务商对数据权限高于用户 用户不能有效监管云计算厂商内部人员对数据的非 授权访问
传输
移动网络
互联网
无线网络
卫星
Post-IP 网络
感知
射频识别
二维码
传感器网络
短距离无线 通信
实时定位
30
物联网安全威胁及安全架构
感知层安全
网关节点被控制,拒绝服务 接入节点标识、识别、认证和控制
传输层安全
拒绝服务、欺骗
支撑层安全
来自终端的虚假数据识别和处理、可用性保护、人 为干预
利用大数据和高性能计算为支撑,综合如IDS、IPS 、防火墙、防病毒等提供的数据,对相关的形式化 及非形式化数据(已知的攻击行为、可能的攻击行 为、进行中的攻击行为、漏洞等)进行分析,并形 成对未来网络威胁状态进行预判以便调整安全策略 ,实现“御敌于国门之外”的策略
9
知识子域:信息安全保障基础
20世纪,70-90年代 主要关注于数据处理和存储时的数据保护 安全威胁:非法访问、恶意代码、脆弱口令等 核心思想:预防、检测和减小计算机系统(包括 软件和硬件)用户(授权和未授权用户)执行的 未授权活动所造成的后果。 安全措施:通过操作系统的访问控制技术来防止 非授权用户的访问
10
信息安全属性
基本属性
保密性 完整性 可用性
CISP总结-信息安全保障知识点
1.信息安全特征:信息安全是系统的安全,是动态的安全,是无边界的安全,是非传统的安全。
2.信息系统包含三个要素:信息,计算机网络系统和运行环境。
3.1985年,美国国防部的可信计算机系统评估保障(TCSEC,橙皮书),将操作系统安全分级(D、C1、C2、B1、B2、B3、A1).4.信息技术安全性评估准则,即通用准则CC(ISO/IEC 15408,GB/T 18336),其中保障定义为,实体满足其安全目的的信心基础。
5.风险是指威胁利用资产或一组资产的脆弱性对组织机构造成伤害的潜在可能。
6.信息安全管理体系-ISMS,国际上主流的信息系统管理体系的标准有ISO/IEC 17799,英国标准协会(BSI)的77997.信息安全保障模型:保障要素:管理、工程、技术、人员。
安全特征:保密、完整、可用。
生命周期:规划组织、开发采购、实施交付、运行维护、废弃。
策略和风险是安全保障的核心问题。
信息系统安全保障是在信息系统的整个生命周期中,通过对信息系统的风险分析,制定并执行相应的安全保障策略,从技术、管理、工程和人员等方面提出安全保障要求,确保信息系统的保密性、完整性和可用性,降低安全风险到可接受的程度,从而保障系统实现组织机构的使命。
8.风险管理贯穿整个信息系统生命周期,包括对象确立,风险评估,风险控制,审核批准,监控与审查和沟通与咨询6个方面。
9.基于时间的PDR模型(保护-检测-响应)是信息安全保障工作中常用的模型。
该模型的出发点是基于这样的前提:任何安全防护措施都是基于时间的,超过该时间段,这种防护措施是可能被攻破。
10.P2DR(策略-保护检测响应):所有的行为都是依据安全策略实施的。
该模型强调安全管理的持续性、安全策略的动态性。
防护时间Pt,检测时间Dt,反应时间Rt:如果pt>dt+rt,则系统安全;如果pt<dt+rt,则暴露时间Et=(dt+rt)-pt11.PDCA(计划、实施、检查、改进)是信息安全管理体系ISMS的核心。
0323上——CISP0101信息安全保障基本知识-lb-2019-10-v20 共94页
网络
网络化社会
4
信息技术的发展
电报电话通信
计算机加工存储
网络互联时代
5
早期的通信方式 • 人类开始信息的通信,信息安全的历史就开始
了
– 公元前500年,斯巴达人用于加解密的一种军事设 备。发送者把一条羊皮螺旋形地缠在一个圆柱形 棒上。
6
电报电话技术
以二战时 期真实历 史为背景 的,关于 电报密文 窃听和密 码破解的 故事
• 网络防御-Defense(运维) • 网络攻击-Offense(威慑) • 网络利用-Exploitation(情报)
18
从技术角度看信息安全
阶段
通信安全 计算机安全
信息系统安全
年代
20世纪, 40—70年代
20世纪, 70-90年代
20世纪, 90年代后
信息安全保障
今天,……
网络安全空间/信 息安全保障
转轮密码机ENIGMA,1944年装备德国海 军
20世纪,40年代-70年代
通过密码技术解决通信保密,内容篡改
7
计算机与网络技术
20世纪,70-90年代后期,计算机和网络改变了一 切
确保信息在网络信息系统中的存储、处理和传输过 程中免受非授权的访问,防止授权用户的拒绝服务
8
网络化社会
对经济发展 经济发展带动了信息技术还是信息技术促进了经济发展?
对社会稳定 信息化的发展对社会稳定的影响是正面的还是负面的?
对国家安全 信息化是国家安全的利器还是祸害?
10
知识域:信息安全保障背景
知识子域:信息安全发展阶段
了解通信保密、计算机安全和信息安全保障 了解各个阶段信息安全面临的主要威胁和防护措施
CISP官方信息安全保障章节练习一
CISP信息安全保障章节练习一一、单选题。
(共40题,共100分,每题2.5分)1. 我国信息安全保障工作先后经历了启动、逐步展开和积极推进,以及深化落实三个阶段,以下关于我国信息安全保障各阶段说法不正确的是:a、2001年,国家信息化领导小组重组,网络与信息安全协调小组成立,我国信息安全保障工作正式启动b、2003年7月,国家信息化领导小组制定出台了《关于加强信息信息安全保障工作的意见》(中办发27号文件),明确了“积极防御、综合防范”的国家信息安全保障工作方针c、2003年,中办发27号文件的发布标志着我国信息安全保障进入深化落实阶段d、在深化落实阶段,信息安全法律法规、标准化,信息安全基础设施建设,以及信息安全等级保护和风险评估取得了新进展最佳答案是:c2. 以下哪一项不是我国信息安全保障工作的主要目标:a、保障和促进信息化发展b、维护企业与公民的合法权益c、构建高效的信息传播渠道d、保护互联网知识产权最佳答案是:c3. 虚拟专用网(VPN)提供以下哪一种功能?a、对网络嗅探器隐藏信息b、强制实施安全政策c、检测到网络错误和用户对网络资源的滥用d、制定访问规则最佳答案是:a4. 为保障信息系统的安全,某经营公众服务系统的公司准备并编制一份针对性的信息安全保障方案,并严格编制任务交给了小王,为此,小王决定首先编制出一份信息安全需求描述报告,关于此项工作,下面说法错误的是()a、信息安全需求是安全方案设计和安全措施实施的依据b、信息安全需求应当是从信息系统所有者(用户)的角度出发,使用规范化,结构化的语言来描述信息系统安全保障需求c、信息安全需求应当基于信息安全风险评估结果,业务需求和有关政策法规和标准的合规性要求得到d、信息安全需求来自于该公众服务信息系统的功能设计方案最佳答案是:d5. 我国党和政府一直重视信息安全工作,我国信息安全保障工作也取得了明显成效,关于我国信息安全实践工作,下面说法错误的是()a、加强信息安全标准化建设,成立了“全国信息安全标准化技术委员会”制订和发布了大批信息安全技术,管理等方面的标准。
CISP-V4.0-01-《信息安全保障》知识点复习总结
CISP-信息安全保障第一节信息安全保障基础1.信息安全保障基础1.1信息安全的定义:狭义和广义之分。
1.2信息安全的特点:系统、动态、无边界、非传统。
1.3信息安全的属性:保密性、完整性、可用性;真实性、不可否认、可追责、可靠性。
1.4信息安全问题根源:内因和外因,外因包括自然和人为威胁;人为威胁包括故意威胁和非故意威胁。
1.5信息安全的视角:国家、商业(企业)和个人视角的内容。
2.信息安全发展阶段2.1 通信安全:采用加密的措施解决信息窃听、密码分析问题。
2.2 计算机系统安全:采用计算机防护的系列手段,提高系统安全性。
2.3 网络安全:通过防火墙等成熟的措施解决网络信息系统安全问题。
2.4 网络空间安全:防御措施、威慑措施以及情报利用。
3. 了解《国家网络空间安全发展战略》。
第二节信息安全保障模型1.P2DR1.1P2DR:策略-防护-检测-响应1.2P2DR思想:基于时间的防护与安全的有效性1.3P2DR公式:Pt>Dt+Rt 那么系统是安全的。
Pt<Dt+Rt,那么(Dt+Rt)- Pt =Et,要求Et<=01.4P2DR作用:实现系统在时间上的防护是有效的。
2.IATF2.1 IATF核心:人、技术、操作。
2.2 IATF保护方面:本地计算环境、网络基础设施、区域边界,支撑性基础设施。
2.3 IATF思想:深度防护的思想。
2.4 IATF作用:实现被保护的网络系统在空间上每个节点安全有效性。
3.系统安全保护评估框架3.1 原理:1)实现全生命周期的安全。
2)通过人员要素、技术要素、管理要素和工程要素来综合实现安全。
3)实现目的是保密性、完整性、可用性,以及最终的业务使命。
3.2 评估框架1)ISPP:标准化信息系统的安全需求。
2)ISST:标准化信息系统的安全方案。
3)评估:技术TCML1-5级;管理MCML1-5级;工程ECML1-5级。
4.商业应用安全架构4.1 常用的参考:舍伍德的商业应用安全架构(Sherwood Applied Business Security Architecture,SABSA)、Zachman框架、开放群组架构框架(The Open Group Architecture Framework,TOGAF)。
信息安全保障措施
信息安全保障措施在当今数字化时代,信息安全已成为各个领域重要的保障措施。
为了保护个人隐私、企业机密和国家安全,必须采取一系列有效的信息安全措施,防止信息泄露、被篡改或被恶意攻击。
下面将就信息安全保障措施展开讨论。
首先,建立完善的信息安全管理体系是保障信息安全的基础。
企业或组织应当设立信息安全管理部门或岗位,明确信息安全管理的责任人员,建立信息安全政策、制度和流程,规范信息系统的使用和管理。
通过严格的信息安全管理体系,可以有效监控和防范信息安全事件的发生。
其次,加强对信息系统的安全防护是保障信息安全的关键。
信息系统是信息存储、传输和处理的关键载体,系统的漏洞和弱点往往是黑客攻击的入口。
因此,企业或组织应当建立健全的防火墙、入侵检测系统、反病毒系统等安全防护系统,对系统进行定期的安全漏洞扫描和修复,及时更新系统补丁,确保系统的安全稳定运行。
此外,加密技术在信息安全保障中起着重要作用。
加密技术可以有效保护信息在传输和存储过程中的机密性和完整性,防止信息被窃取、篡改或泄露。
在实际应用中,可以采用对称加密、非对称加密、数字签名等技术实现信息的加密和解密,确保信息在传输和存储过程中的安全性。
此外,员工信息安全意识的培训也是信息安全保障措施中不可或缺的一环。
很多信息安全事件是由于员工的疏忽或不当操作导致的,因此,企业或组织应当加强对员工的信息安全培训,提高员工对信息安全的重视和意识。
员工应当了解信息安全政策和规定,遵守信息安全操作规程,不随意泄露重要信息或打开未知来源的邮件和链接,保护好自己的账号和密码等。
最后,定期进行信息安全审计和风险评估对信息安全的保障至关重要。
信息系统和网络环境是动态变化的,安全事件和威胁也在不断演变,因此,企业或组织应当定期进行信息安全漏洞扫描、风险评估和安全演练,发现安全隐患并及时采取解决措施,为信息安全提供持续的保障。
信息安全保障措施是信息社会的基本要求,也是企业和组织发展的重要保障。