信息安全理论模型
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
3.
安全管理缺乏管理系统的思想
传统的出了问题事后补救的管理思路
无法持续改进
© 2002 BearingPoint,
信息安全管理模式的转变
强调安全技术
普遍采用复杂的信息系统,但相应 的管理措施不到位 对复杂的信息系统的安全性单独依 靠技术手段来实现,其效果有限且 被动 技术与管理相结合 加强信息安全的管理,首先要加强信息 系统的安全管理
毕博信息安全管理的最佳实践(ISO17799)
确认范围
风险评估 认证 目前状况评估 未来期望 BS7799 ISO17799
BS7799 ISO17799 ISO9000
商务争议 灾难恢复 意外事故 恢复重建 事件处理
差距分析 法律 一致性原则 政策 标准 程序 制定安全政策 报告模板 用户要求 操作手册 。。。 设计安全 措施保护措施
什么是信息安全 —— 信息安全是保护企业的信息资产,
避免遭受各种威胁,
降低对企业之伤害, 确保企业的永续经营,
以及提升企业投资回报率及竞争优势。
© 2002 BearingPoint,
为什么需要信息安全
为甚么需要信息安全?
对企业业务的影响和增值 企业的战略远景的实现 为关键业务流程提供必须的执行数据 建立商业伙伴的信赖基础 企业电子化/电子商务必要机制
确保交易法律效力(真实、正确、完整、不可否认)
企业竞争力、形象与商誉之维持
© 2002 BearingPoint,
信息安全的三要素
信息安全三要素
正确 完整 有效 真实 不可抵赖 操纵 破坏 篡改 完整性——保护信息及 其处理方法的准确性和 完整性
抵赖
安全=质量
连续 中断 及时 延迟
保密 泄漏 可用性——保障授权使用人 在需要时可以获取信息和使 用相关的资产 机密性——保障信息仅仅 为那些被授权使用的人获 取
© 2002 BearingPoint,
信息安全管理的目标和要求
信息安全管理的功能目标 ——
对内:具备企业安全管理能力,并建立「安全等级」数据管理制度 对外:防范病毒及骇客入侵,或系统在遭受攻击时仍可维持正常运作能力
满足法律法规与合同的要求
有关信息安全法律法规,对组织的强制性要求 组织要关注法律法规的变化,保持持续地符合法律法规的要求 商务合作者和客户对组织提出的具体信息安全要求
我国在信息安全管理方面的主要问题
1.
缺乏信息安全意识与明确的信息安全方针
最高管理层对信息资产所面临威胁的严重性认识不足 没有形成合理的信息安全方针来指导组织的信息安全管理工作
2.
重视安全技术,轻视安全管理
普遍采用的复杂的信息系统来提高组织效率和竞争能力 但是相应的管理措施(运行,开发,维护等)不到位,缺乏完整的信息安全管理制度 (70%以上的信息安全问题来自于管理的原因) 缺乏对员工必要的安全法律法规和防范安全和风险的教育和培训
满足组织的原则、目标和要求
组织已有的商务运作中,信息处理的原则、目标与要求来确定信息安全的要求
风险评估的结果
组织对信息资产的保护程度、控制方式应建立在风险评估的基础上 信息资产的风险评估是对信息资产所面临的威胁、存在的薄弱点、产生的潜在影响和发生的可能 性的综合因素的分析确定
© 2002 BearingPoint,
© 2002 BearingPoint,
信息的定义
什么是信息—— 存在于任何形式,
不论有形或无形,
使企业可以永续经营的有价信息资产。
© 2002 BearingPoint,
什么是信息安全
嘘……………...我有没有告诉你, 我在老板的计算机屏幕上看到甚么?
© 2002 BearingPoint,
信息安全的定义
信息安全管理体系 理论研讨
研讨内容
信息安全的理念
信息资产的风险评估与管理体系
信息安全政策与标准 信息安全的实施方法论
© 2002 BearingPoint,
什么是信息的价值?
1994年snifter (password) 攻击 Unix,上百万计算机受害 1995年骇客入侵纽约花旗银行,将一仟万美金移转至其账户 2000年国际 VISA 组织报告,信用卡舞弊损失超过五十亿美元 2001年美国FBI报告,因网络及通信联机交易数据偷窃的损失超过一百亿美元,包 括电话卡、信用卡号码、网络/电子银行、盗版软件、公司机密数据 2002年FBI报告,计算机入侵事件:50%入侵事件 导至财务损失,50%可能不知有入 侵事件 2002年国际骇客大会: 有外部网络联机之企业20% 曾被恶意入侵
安全的边界 网络安全 操作系统安全 数据库安全 应用安全 硬件安全 文档安全 人员安全 。。。
编制符合性声明
教育与培训
监管控制 实施安全 保护措施 运行与维护 监控与报告 审计 技术警戒 穿透测试
•ISO/IEC TR 13335-4:2000信息技术 –IT安全管理指导方针 --Part 4:安全措施精选
•ISO/IEC TR 13335-5:2001信息技术 –IT安全管理指导方针 --Part 5:网络安全管理指导 NATO 黄/红皮书 ITIL 安全管理 FIRM
© 2002 BearingPoint,
信息安全的技术手段应当由管理政策和
标准来支持,以充分发挥技术作用,对 环境的变化作主动的适应和调整
传统的管理模式
信息安全管理模型 全面的、除弊兴利、预防式管理,建立
ห้องสมุดไป่ตู้
静态的、局部的、事后纠正的被动
管理方式
安全风险评估基础上的动态的持续改进 的管理系统
© 2002 BearingPoint,
国际公认的信息安全管理最佳实践
最佳实践
.BS 7799 不列颠标准 BS 7799
•Part 1 操作规范 BS 7799
•Part 2 信息安全管理规范 ISO/IEC 17799 •信息技术 –信息安全管理操作规范 ISO 13335 •ISO/IEC TR 13335-1:1996 信息技术 –IT安全管理指导方针 --Part 1:IT安全概念与模型 •ISO/IEC TR 13335-2:1997信息技术 –IT安全管理指导方针 --Part 2:IT安全管理与规划 •ISO/IEC TR 13335-3:1998信息技术 –IT安全管理指导方针 --Part 3:IT安全管理技术