把握信息安全培训课程(PPT 30张)

信息安全保障框架
信息安全保障框架VISAF
资产和业务
• • • • • • …… 威 胁 管 理 预 警 管 理 事 件 管 理
保障措施
告 警 管 理
脆 弱 性 管 理
威胁
信息安全保障框架
• 通过S3-PPT方法展开保障措施
IT中最通行和朴素的层次模型
组织体系 策略体系 运行体系 人员和组织 策略和制度 运行 信息内容和数据 应用系统 技术体系 服务器 网络和系统 客户端 物理 用户 网络
把握信息安全
2007年3月19日
首席战略官潘柱廷
提问
• 哪位同学准备了问题来参加今天的活动？ • 有几个问题？ • 都是些什么问题？
提问
• 今天哪位同学带了记录的工具？
– 纸笔、电脑、录音笔、照相机、手机…
• 哪位同学事先通过各种方式了解过启明 星辰这个公司
– Website, BBS, 从朋友那里
IDS 监控
防垃圾 内容安全 防病毒 加密机
SAN 应急
远程数据热备
Scanner
审计
应用审计
多角度地理解的IT产品
• 不要仅仅从功能去理 解一个IT产品 • 可能的角度：
– – – – – – 数据结构、数据流 功能、服务 Portal、C/S、B/S 部署结构 应用用例 ……
表示层 功能层 数据层
UTM/IPS
部署在低带宽的 网关位置 好像部署在规则 简单的小门
IDS
部署在任何需要 监控的位置 好像保安监控的 摄像头一样，部 署在重要的区域 和关口
三法则
• • • • • • • • Q3-WWH R3-AST P3-CSP V3-MMM S3-PPT T3-PDR L3-POE A3-CIA • • • • • • • • 三问题：什么/为什么/怎么 风险三要素：资产业务/保障措施/威胁 产品三形态：部件产品/服务/平台 三观论：宏观/中观/微观 保障：人员组织/过程/技术 技术：防护/检测/响应 生命周期：项目/运维/应急处理 目标属性：保密性/完整性/保密性
设备 外部环境
环境
技术功能是T3-PDR的衍生
保障框架-措施
资产和业务 人和组织
保障措施 运营和管理
威胁
组织
技术
策略 运营 防御 应急 监控 审计
认证 内容安全
产品的框架分析
资产和业务 人和组织 保障措施 运营和管理 威胁
组织
技术 双因子
PKI
策略
安全管理中心 运营 IPS UTM
认证
防火墙 防御
Process Monitoring
PROCESS
INPUT
OUTPUT
Infrastructure
RULE Guide
LOG
三观论
宏观
中观 微观
问题
• 什么是信息安全？
• 到底要解决那些问题？
• 怎么实施信息安全建设？
问题
• 什么是信息安全？
– 通过回答最根本的问题，帮助我们探究事物 的本原。

• • • • • • • • •
• • • •
• • • • •
1、不是井里没有水，而是你挖的不够深。不是成功来得慢，而是你努力的不够多。 2、孤单一人的时间使自己变得优秀，给来的人一个惊喜，也给自己一个好的交代。 3、命运给你一个比别人低的起点是想告诉你，让你用你的一生去奋斗出一个绝地反击的故事，所以有什么理由不努力! 4、心中没有过分的贪求，自然苦就少。口里不说多余的话，自然祸就少。腹内的食物能减少，自然病就少。思绪中没有过分欲，自然忧就少。大悲是无泪的，同样大悟 无言。缘来尽量要惜，缘尽就放。人生本来就空，对人家笑笑，对自己笑笑，笑着看天下，看日出日落，花谢花开，岂不自在，哪里来的尘埃! 5、心情就像衣服，脏了就拿去洗洗，晒晒，阳光自然就会蔓延开来。阳光那么好，何必自寻烦恼，过好每一个当下，一万个美丽的未来抵不过一个温暖的现在。 6、无论你正遭遇着什么，你都要从落魄中站起来重振旗鼓，要继续保持热忱，要继续保持微笑，就像从未受伤过一样。 7、生命的美丽，永远展现在她的进取之中;就像大树的美丽，是展现在它负势向上高耸入云的蓬勃生机中;像雄鹰的美丽，是展现在它搏风击雨如苍天之魂的翱翔中;像江 河的美丽，是展现在它波涛汹涌一泻千里的奔流中。 8、有些事，不可避免地发生，阴晴圆缺皆有规律，我们只能坦然地接受;有些事，只要你愿意努力，矢志不渝地付出，就能慢慢改变它的轨迹。 9、与其埋怨世界，不如改变自己。管好自己的心，做好自己的事，比什么都强。人生无完美，曲折亦风景。别把失去看得过重，放弃是另一种拥有;不要经常艳羡他人， 人做到了，心悟到了，相信属于你的风景就在下一个拐弯处。 10、有些事想开了，你就会明白，在世上，你就是你，你痛痛你自己，你累累你自己，就算有人同情你，那又怎样，最后收拾残局的还是要靠你自己。 11、人生的某些障碍，你是逃不掉的。与其费尽周折绕过去，不如勇敢地攀登，或许这会铸就你人生的高点。 12、有些压力总是得自己扛过去，说出来就成了充满负能量的抱怨。寻求安慰也无济于事，还徒增了别人的烦恼。 13、认识到我们的所见所闻都是假象，认识到此生都是虚幻，我们才能真正认识到佛法的真相。钱多了会压死你，你承受得了吗?带，带不走，放，放不下。时时刻刻发 悲心，饶益众生为他人。 14、梦想总是跑在我的前面。努力追寻它们，为了那一瞬间的同步，这就是动人的生命奇迹。 15、懒惰不会让你一下子跌倒，但会在不知不觉中减少你的收获;勤奋也不会让你一夜成功，但会在不知不觉中积累你的成果。人生需要挑战，更需要坚持和勤奋! 16、人生在世：可以缺钱，但不能缺德;可以失言，但不能失信;可以倒下，但不能跪下;可以求名，但不能盗名;可以低落，但不能堕落;可以放松，但不能放纵;可以虚荣， 但不能虚伪;可以平凡，但不能平庸;可以浪漫，但不能浪荡;可以生气，但不能生事。 17、人生没有笔直路，当你感到迷茫、失落时，找几部这种充满正能量的电影，坐下来静静欣赏，去发现生命中真正重要的东西。 18、在人生的舞台上，当有人愿意在台下陪你度过无数个没有未来的夜时，你就更想展现精彩绝伦的自己。但愿每个被努力支撑的灵魂能吸引更多的人同行。
• 哪位同学事先特意了解过IDS，或者认为 自己对IDS有相当的了解
提问
• 据我所知上周一，各位同学访问了一个 防火墙厂商。 • 那么请问：
– “什么是防火墙？” – “防火墙是什么？”
EDIF风筝模型-IT多态模型
Owner
Operator
System Improvement
System Measurement
IT部件
Safeguards 保障措施
Threats 威胁
最精简的风险管理３要素
三要素风险模型：R3-AST 资产和业务 Asset 保障措施 Safeguard 威胁 Threat
安全三要素
业务 资产
保障 措施
威胁
17
信息安全保障框架
信息安全保障框架VISAF
资产和业务
• 保障措施 资产清单 威胁 • 面向网络拓扑 • 基于安全域/业务域 • 基于业务流分析 • ……
• 到底要解决那些问题？
– 明确工作的目标和要求，从一个大的广泛的 概念中寻找自身的定位。
• 怎么实施信息安全建设？
– 通过回答最实际的问题，帮助我们获得需要 的实效。
安全的三个相对性原则
• 安全是潜在的 • 安全没有绝对，没有100% • 实践安全相对性的三个原则
– 风险原则——适合商业机构 – 生存原则——适合强力机构 – 保镖原则——适合人和组织 保障措施 运营和管理 威胁
组织
技术
策略 运营
防火墙 防御 IPS UTM IDS 监控
认证 内容安全
应急
审计
产品分析示例
防火墙
UTM/IPS
IDS
转发 能力
检测 能力
转发 能力
检测 能力
转发 能力
检测 能力
产品分析示例
防火墙
部署在高带宽的 网关位置 像高速公路收费 站，像大院门
理论基础
防护措施 降低
风险
引出 增加
信息资产
被满足
拥有
防护需求
价值
国信办报告中的风险９要素关系图
使命
依赖
脆弱性
利用
暴露
未被 满足 增
加
资产
拥有
资产价值
成本
增
加
威胁
演变成
增加
抗击
风险
残留
导出
安全需求
被满足
降
低
事件
可能诱发
残余风险
未控制
安全措施
德国ITBPM
德国信息安全局发布的ITBPM
IT Components
风险管理
• 风险管理的理念从90年代开始，已经逐 步成为引导信息安全技术应用的核心理 念 • 风险的定义
– 对目标有所影响的某件事情发生的可能性
[摘自AS/NZS4360]
ISO13335中的风险管理的关系图
ISO13335以风险为核心的安全模型
威胁
抗击 增加 利用
漏洞
一般风险评估的
增加 暴露