结合实践构建电子政务信息安全保障体系的思路和框架..ppt

最佳实践建议 教育和培训 成熟产品 防病毒、防火墙、VPN、入侵检测、漏洞扫描 风险评估 框架式的安全建设规划 信息安全管理体系 安全域 监控体系、安全监控管理中心 事件管理体系、应急体系 问题 什么是信息安全？ 到底要解决那些问题？ 怎么实施信息安全建设？ 当前构建“保障”体系的要点 强调全面的信息安全管理体系 内控和审计 在安全技术中强调检测技术 漏洞扫描技术、入侵检测技术、日志审计技术 在风险管理中突出风险评估 在生命周期中强调评估和紧急响应体系的能力 达到“计划和跟踪级”的要求 SSE-CMM System Security Engineering － Capability Majority Model 系统安全工程－能力成熟度模型 初始级 Performed Informally 计划跟踪级 Planned and Tracked 良好定义级 Well Defined 量化控制级 Quantitatively Controlled 持续改进级 Continuously Improving 总结 构建信息安全保障体系 原则和要求 了解威胁（4类） 了解资产和业务（ITA、安全域） 了解保障措施（产品和服务） 思路（7类模型） 框架（PPT+AIDARC） 当前构建“保障”体系的要点—检测 总结 整体定位 IT体系结构 安全目标 管理功能 技术功能 方案和决策 工程实施和运行维护 问题 什么是信息安全？ 到底要解决那些问题？ 怎么实施信息安全建设？ * * * * 7个信息安全管理属性为潘柱廷原创。 “7+7”属性最早发表在中国人民银行组织的金融行业标准《银行和相关金融机构 信息系统安全管理规范》中。 * 研究BS7799的127个Control是为了少选，而不是为了全选。 * 这个框架是德国信息安全局(BSI)发布的信息安全框架。 将框架总体分成三个部分，左面是IT components, 右边是威胁，中间是防护措施。 每个项目都和其他互相链接。 * * 这个框架是NIST的800系列文档一直延续的架构，几乎所有的800系列文档都有这个架构的影子。 M5: 技术功能模型 PDR及其衍生模型 M6: 评价和决策方法 风险管理 业务连续性管理 投资回报分析 项目方案规划方法 什么是风险？ 风险： 对目标有所影响的某个事情发生的可能性。它根据后果和可能性来度量。 Risk the chance of something happening that will have an impact upon objectives. It is measured in terms of consequences and likelihood. -AS/NZS 4360:1999《风险管理》 风险管理的关系图 ISO13335以风险为核心的安全模型 风险 防护措施 信息资产 威胁 漏洞 防护需求 降低 增加 增加 利用 暴露 价值 拥有 抗击 增加 引出 被满足 风险10要素关系图 风险管理3要素 风险管理的组成要素 建立环境 鉴别风险 分析风险 评价风险 处理风险 信 息 交 流 与 咨 询 监控 与审查 －AS/NZS 4360 处理风险/选择安全措施 在处理风险和选择安全控制措施时的注意点： 从脆弱性出发，突出控制措施的针对性 围绕事件考虑，将控制措施落到实处 考虑纵深防护，最大限度降低风险 考虑防护措施的投入-效益比 M7: 工程和实现的方法 PDCA是最典型的过程改进方法之一 Do 建设和实施 维护和改进 Act Plan 计划和设计 运行和监控 Check 思考信息安全问题的7大模型 M1: 整体定位模型和方法 阐述信息安全的整体定位和结构，综合构架和执行的方法 M2: 信息体系架构 表述我们要保护的对象及其结构 M3: 信息安全属性概念 阐述信息安全要达到的目标 M4: 管理模型和方法 阐述信息安全管理 M5: 技术功能模型和方法 阐述信息安全的功能及其关系，如：PDR等 M6: 评价和决策模型和方法 阐述信息安全的评价和决策方法，如：风险评估等 M7: 工程模型和方法 体现了信息安全的基于过程的工程方法，比如PDCA等 整体定位 IT体系结构 安全目标 管理功能 技术功能 方案和决策 工程实施和运行维护 问题 什么是信息安全？ 到底要解决那些问题？ 怎么实施信息安全建设？ 6、框架 加强信息安全保障工作-九项任务 系统等级保护和风险管理 基于密码技术的信息保护和信任体系 网络信息安全监控体系 应急处理体系 加强技术研究，推进产业发展 法制建设、标准化建设 人才培养与全民安全意识 保证信息安全资金 加强对信息安全保障工作的领导，建立健全信