信息安全管理

信息安全管理

• 管理概念：组织、协调、控制的活动，核心过程的管理控制

• 管理对象和组成：包括人员在内相关资产；包括人员、目标、规则和过程。

• 管理体系原理：遵守“木桶原理”，要求完备性、逻辑性的管理措施的集合。

• 信息安全管理体系：

  • 狭义：根据ISO/IEC 27001所制定的体系。
  • 广义：与信息安全管理有关的体系化的管理措施及制度等。

• 信息安全管理体系的定义：

  • 体系：相互关联和相互作用一组要素
  • 管理体系：建立方针和目标并达到目标的体系。未达到祖师目标的策略、程序、指南和相关资源的框架

• 信息安全管理体系

  • 整体管理体系的一部分，基于业务风险的方法，来建立，实施、运作、见识、评审、保持和改进信息安全

• 信息安全管理作用包括不限于：
  1）促进业务目标实现；
  2）信息安全管理是组织整体管理组成；
  3）预防、阻止或减少事件发生的作用；
  4）管理是技术融合剂（技管并重）；
  5）对内、对外作用。

  • 对内：
    • 能够保护关键信息资产和知识产权,维持竞争优势
    • 在系统受侵袭时，确保业务持续开展并将损失降到最低程度
    • 建立起信息安全审计框架，实施监督检查
    • 建立起文档化的信息安全管理规范，实现有法”可依，有章可循，有据可查
    • 强化员工的信息安全意识，建立良好的安全作业习惯，培育组织的信息安全企业文化
    • 按照风险管理的思想建立起自我持续改进和发展的信息安全管理机制，用最低的成本，达到可接受的信息安全水平，从根本上保证业务的持续性
  • 对外：
    • 能够使各利益相关方对组织充满信心
    • 能够帮助界定外包时双方的信息安全责任
    • 可以使组织更好地满足客户其他组织的审计要求
    • 可以使组织更好地符合法律法规的要求
    • 若通过了ISO27001认证，能够提高组织的公信度
    • 可以明确要求供应商提高信息安全水平，保证数据交换中的信息安全

• 信息安全管理成功要素包括不限于：
  1）反应业务目标；
  2）文化一致性；
  3）领导实质性支持；
  4）领导对信息安全和风险管理的理解；
  5）建立科学测量体系；
  6）持续的教育和培训。

信息安全风险管理

• 风险管理概念：识别和处置风险，是预防为主的措施。要素资产、威胁、脆弱性、安全措施

• 风险管理参考方法：

  • 1）COSO-ERM：战略、运营、报告和合规性，具体包括8类组件（参考）。
  • 2）ISO31000风险管理原则和实施指南：基于PDCA过程，适用范围非常广泛。
  • 3）ITIL：服务战略、设计、转化、运营、改进等五个阶段。
  • 4）COBIT：信息系统审计标准，通过IT审计，促进安全提升，支持商业目标的实现。

• 基于GB/Z 24364:2009信息安全风险管理指南

  • 1）四阶段：
    • S1:背景建立：风险管理准备、系统调查、系统分析、安全分析。
    • S2:风险评估：1-评估准备，2-要素识别（资产、威胁、脆弱性、安全措施），3-风险分析（定性、定量、知识、模型），4-风险报告（结果判定）。
    • S3:风险处理：降低、规避、转移、接受风险。处理后的风险是残余风险（需跟踪监视）
    • S4:批准监督：1-对风险管理的认可；2-风险管理中风险的控制。
  • 2）两过程：
    • 监控审查：风险管理过程中偏差、变化、延误及时控制和纠正，不限于质量、进度、成本、范围、环境等。
    • 沟通咨询：通过协调沟通，提高风险管理的质量和效果的交流和沟通工作。

• PDCA循环

  • 也称“戴明环”
    

  • P（plan）：规划和建立 ，确定活动计划

  • D（do）：实施和执行，实现计划中的内容

  • C（check）：检查执行计划的结果，注意效果，找出问题

  • A（act）：行动，对总结检查的结果进行处理，成功地经验加以肯定并适当推广、标准化

  • PDCA循环的特征与作用

    • 1.按顺序进行，靠组织的力量来推动
    • 2.组织中的每部分甚至个人均可以PDCA循环
    • 3.通过一次PDCA循环，都要总结，提出新目标

信息安全管理体系

• ISMS是一种常见的对组织信息安全经行全面、系统管理的方法
• ISMS是由ISO27001定义的一种有关信息安全的管理体系，是一种典型的基于风险管理和过程方法的管理体系
• 信息安全管理体系持续改进的PDCA循环过程
  • 信息安全管理体系是PDCA动态持续改进的一个循环体
  • 

应急响应与灾难恢复

• 我国的信息安全应急响应组织
  • 国家计算机网络应急技术处理协调中心
  • 中国教育和科研计算机网紧急响应组
  • 国家计算机病毒应急处理中心
  • 国家计算机网络入侵防范中心
  • 国家863计划反计算机入侵和防病毒研究中心

应急响应概况

• 信息安全时间分类分级

  • 有害程序事件
  • 网络攻击事件
  • 信息破坏事件
  • 信息内容安全事件
  • 设备设施故障
  • 灾害性事件
  • 其他信息安全事件

• 我过信息安全事件分级方法

  • 1级
    • 特别重大事件
  • 2级
    • 重大事件
  • 3级
    • 较大事件
  • 4级
    • 一般事件

• 应急响应六阶段

  • 一阶段—准备—让我你们严阵以待
  • 二阶段—检测—对情况综合判断
  • 三阶段—遏制—制止事态的扩大
  • 四阶段—根除—彻底的补救措施
  • 五阶段—恢复—系统恢复常态
  • 六阶段—跟踪总结—还会有第二次吗

• 计算机取证

  • 概念
    • 使用现金的技术和工具，按照标准规程全面地检查计算机系统，意义提取好保护有关计算机犯罪的相关证据的 活动
  • 原则
    • 合法、充分授权、优先保护、全面监督原则
  • 准备阶段
    • 获取授权
    • 目标明确
    • 工具准备
    • 软件准备
    • 介质准备
  • 保护阶段
  • 提取阶段
  • 分析及提交阶段

信息系统灾难修复

• 灾难恢复管理过程
  

• 灾难备份

  • 为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管理能力进行备份的过程

• 灾难恢复规划

  • 是一个周而复始的、持续改进的过程，有四个阶段（灾难恢复需求分析、灾难恢复策略制定、灾难恢复策略实现、灾难恢复预案的制定和管理）

    • 灾难恢复需求分析

    • 成本与恢复时间的关系（RPO、RTO）

      • Recovery Point Objective (RPO)，指的是最多可能丢失的数据的时长。

      • Recovery Time Objective (RTO) ，指的是从灾难发生到整个系统恢复正常所需要的最大时长。

      简单区分的话，RPO是灾难发生之前的时间， RTO是灾难发生之后的时间。
      下图为关系图
      可以看出成本部投入越高恢复时间越短

    • 灾难恢复策略制定

      • 数据备份系统
      • 备用数据处理系统
      • 备用网络系统
      • 专业技术支持能力
      • 运行维护管理能力
      • 灾难恢复预案

    • 灾难恢复策略实现

      • 选址原则
        • 避免灾难备份中心与生产中心同时遭受同类风险
        • 具备通信、电力资源和交通条件
        • 统筹规划、资源共享、平战结合

    • 灾难恢复预案的制定和管理

      • 灾难恢复资源要素与恢复能力等级划分
        • 一级：基本支持
        • 二级：备用场地支持
        • 三级：电子阐述和部分设备支持
        • 四级：电子传输及完整设备支持
        • 五级：实时数据传输及完整设备支持
        • 六级：数据零丢失和远程集群支持

灾难恢复相关技术

• 备份技术
  • 全备份：对阵各系统的所有文件进行完全备份
  • 增量备份：每次备份的数据只是上一次备份后增加和修改过的数据
  • 差分备份：每次备份的数据是上一次全备份之后新增加和修改过的数据

备份方式	特点
全备份	备份量最大恢复最简单
增量备份	备份量最小恢复最麻烦
差分备份	备份量、恢复繁琐度介于前两者之间

• 备用场所