CISP培训笔记.docx
《CISP培训笔记.docx》由会员分享,可在线阅读,更多相关《CISP培训笔记.docx(22页珍藏版)》请在咨信网上搜索。
1、2015-8-10 PPT 信息安全保障 10信息安全保障1、 中办27号文国家信息化领导小组关于加强信息安全保障工作的意见室信息安全保障工作的纲领性文件2、 信息的安全属性CIA:保密性、完整性、可用性3、 信息安全的范畴:信息技术问题、组织管理问题,社会问题,国家安全问题4、 信息安全特征:系统性、动态性,无边界性、非传统性(最终保障业务的安全)5、 信息安全问题根源: (信息战士和网络战士是最严重的)内因,过程复杂、结构复杂、应用复杂外因,人(个人威胁、组织威胁、国家威胁)和自然6、 信息安全发展阶段通信安全COMSEC,信息窃取,加密,保证保密性、完整性计算机安全COMPUSEC,操作
2、系统技术信息系统安全INFOSEC,防火墙、VPN 、PKI公钥基础设施、信息安全保障IA,技术、管理、人员培训等网络空间安全/信息安全保障CS/IA,防御、攻击、利用,强调威慑7、 传统信息安全的重点是保护和防御;信息安全保障是保护、检测和响应,攻击后的修复8、 信息安全保障模型PDR 防护-检测-响应,安防措施是基于时间的,给出攻防时间表,假设了隐患和措施,不适应变化,时间 PPDR 策略-防护-检测-响应,突出控制和对抗,强调系统安全的动态性9、 信息安全保障技术框架IATF,深度防御的思想,层次化保护,人、技术、操作,关注4个领域: 本地的计算机环境 区域边界 网络和基础设施 支撑性技
3、术设施10、 信息系统:每一个资质中信息流动的总和,含输入输出、存储、控制、处理等。11、 信息系统安全保障,从技术、管理、工程、人员方面提出保障要求12、 信息系统安全保障模型 GB/T 20274保障要素4:技术、管理、工程、人员 生命周期5:规划组织、开发采购、实施交付、运行维护、废弃 安全特征3:保密性、完整性、可用性13、 信息系统安全保障工作阶段确保信息安全需求、设计并实施信息安全方案、信息安全测评、检测与维护信息安全14、 我国信息安全保障体系 建立信息安全技术体系,实现国家信息化发展的自主可控信息安全保障实践1、 现状 美国CNNI国家网络安全综合倡议,3道防线 1、减少漏洞和
4、隐患,预防入侵 2、全面应对各类威胁,增强反应能力,加强供应链安全低于各种威胁 3、强化未来安全环境,增强研究、开发和教育,投资先进技术2、 我国的信息安全保障战略规划,信息安全分:基础信息网络安全、重要信息系统安全和信息内容安全3、 信息安全保障工作方法,信息系统保护轮廓ISPP(所有者角度考虑安保需求),信息系统安全目标ISST,从建设方制定保障方案4、 确定信息系统安全保障的具体需求:法规符合性、风险评估、业务需求(只放前2个也对)5、 信息安全测评对象:信息产品安全测评、信息系统安全测评、服务商资质、信息安全人员资质测评6、 信息系统安全测评标准过程测评标准: GB/T 20274产品
5、安全测评标准:CC GB/T 18336信息安全管理体系ISMS1、 ISMS信息安全管理体系,按照ISO 27001定义,基于业务风险的方法2、 信息安全管理体系建设规划与建立、实施和运行、监视和评审、保持和改进3、 ISMS的层次化文档结构一级文件,顶层文件,方针、手册二级文件,信息安全管控程序、管理规定性文件,管理制度、程序、策略文件三级文件,操作指南、作业指导书、操作规范、实施标准等四级文件,各种记录表单,计划、表格、报告、日志文件等4、 ISMS方法:风险管理方法、过程方法5、 风险管理方法风险评估是信息安全管理的基础,风险处理时信息安全管理的核心,风险管理是信息安全管理的根本方法,
6、控制措施是风险管控的具体手段6、 控制措施的类别从手段来看,分为技术性、管理性、物理性、法律性等控制措施从功能来看,分为预防性、检测性、纠正性、威慑性等控制措施从影响范围来看,常被分为安全方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理和符合性11个类别/域7、 PDCA循环,戴明环特点:按顺序进行,组织每部分及个体也可使用,适用任何活动8、 ISO/IEC 27000标准族 共7个27001 信息安全管理体系要求,14个领域 ,新版的变动27002 信息安全控制措施实用规则,11个控制类,内容安全和
7、风险评估不属于27004 信息安全管理测量 ,度量指标9、 常见的管理体系标准ISO 27001定义的信息安全管理系统ISMS , 国际标准信息安全等级保护 , 公安部提出NIST SP800 ,适用美国联邦政府和组织10、 管理者是实施ISMS的最关键因素11、 ISMS建设P阶段 8步:确立边界和方针1-2、风险评估3-6、获得高层认可,编制适用性声明7-8D阶段 7步:制定风险处理计划,实施培训和教育计划C阶段 5步:审计和检查 A阶段 2步:实施纠正和预防,沟通和改进信息安全控制措施1、 安全方针是陈述管理者的管理意图,高层承诺,是一级文件,具体的产品选型,技术实现问题不在方针中体现2
8、、 信息安全组织:内部组织、外部各方3、 资产管理:资产负责和信息分类,信息分类按照信息的价值、法律要求、对组织的敏感程度进行分类4、 员工只要违反了规定,不论是否知悉,就要接受处罚5、 符合性符合法律要求、符合安全策略和标准及技术符合性、信息系统审核考虑6、 任用的终止:终止职责、资产的归还、撤销访问权7、 人身安全是物理安全首要考虑的问题8、 TEMPEST 抑制和防止电磁泄露9、 机房建设,下送风,上排风10、 备份是为了保证完整性和可用性11、 电子商务服务,抗抵赖12、 日志,管路员 读权限;系统员,写权限13、 信息安全管理手册是一级文件,SOA适用性声明是一级文件,信息安全策略是
9、一级文件,不描述具体操作的都是二级文件14、 网闸,多功能安全网关,实现网络物理隔离15、 测试数据不需备份;生产数据不能做测试,脱敏处理才可以;测试完成后对平台和数据彻底清除16、 程序源代码需访问控制,不得随意更改17、 不鼓励对商用软件包进行变更,除非获得厂方的合法支持;不包括开源,外包软件开发: 源代码托管,第三方管理,不得使用,为了防止开发方倒闭信息安全标准化1、 国际标准、国家标准、行业标准、地方标准2、 标准化特点:对象是共同的、可重复的实物;动态性;相对性;效益来自标准使用3、 标准化原则:简化原则、统一化、通用化、系列化4、 国家标准代码,GB/Z在实施后3年内必须进行复审,
10、结果为延长3年或废止GB 强制性国家标准GB/T 推荐性国家标准GB/Z 国家标准化指导性技术文件5、 ISO的机构包括TC技术委员会、SC分技术委员会、WG工作组、特别工作组6、 IEC 国际电工委员会,和ISO成立JCT1联合技术委员会7、 ISO/IEC JCT1 SC27(分技术委员会),下设5个工作组,对口中国TC260(CISTC,信息安全标准化TC)。TC485(全国通信标准化TC)8、 IETF Internet工程任务组,贡献RFC系列9、 SAC 国家标准化管理委员会,国家质监总局管理10、 采标等同采用IDT,内容无变化,审核人由国外改为国家修改采标MOD非等效采标NEQ
11、11、 我国的信息安全标准基础标准、技术与机制标准、管理标准、测评标准、密码技术标准、保密技术标准 技术与机制:标识与鉴别、授权与访问控制、实体管理、物理安全12、 TCSEC 美国安全评测标准低到高 D、C(C1C2)、B(B1B2B3)AB1开始强制访问控制,B2开始隐蔽信道控制13、 ITSEC欧洲的评测标准 FC美国联邦标准14、 CC标准 GB/T 18336 信息技术安全性评估准则,主要框架取自ITSEC 和FC,不涉及评估方法学,重点关注人为威胁,定义了保护轮廓PP 和安全目标 ST,PP创建安全要求集合,ST阐述安全要求,详细说明一个TOE评估对象的安全功能CC分3部分,183
12、36.1 /.2 / .3 简介和一般模型;认证级别,即评估保证级EAL由低到高为7个级别。目标读者:TOE(评估对象)的客户,TOE的开发者,TOE的评估者,其他读者组件是构成CC的最小单元评估对象,涉及产品、系统、子系统包:满足一组确定的安全目的而组合在一起的一组可重用的功能或保证组件,如EAL15、 信息安全等级保护管理办法等级保护标准族的5级划分2级以上到公安机关备案,3级开始对国家安全造成损害定级指南:受侵害的客体,客体的侵害程度定级、备案、安全建设整改、等级测评、检查16、 NIST SP 800,应用于美国联邦政府和其他组织,6个步骤17、信息安全风险管理1、 风险是威胁源利用脆
13、弱性造成资产不良的可能性,发生概率和产生后果。风险三要素:资产、威胁、脆弱性2、 风险的构成5方面起源(威胁源)、方式(威胁行为)、途径(脆弱性)、受体(资产)、后果(影响)3、 信息安全风险只考虑对组织有负面影响的事件4、 风险管理范围和对象:信息、信息载体、信息环境5、 风险管理是识别、控制、消减和最小化不确定因素的过程,风险只能消减,不能消除6、 关于开展信息安全风险评估工作的意见7、 国办要求一次等保测评2个报告等保测评报告(公安部)和风险评估报告(国家信息安全测评中心发布的模板)8、 IS风险管理的主要内容 ,4阶段、2贯穿背景建立、风险评估、风险处理、批准监督 ; 监控审查、沟通咨
14、询a) 背景建立四个阶段风险管理准备:确定对象、组建团队、制定计划、获得支持、信息系统调查:信息系统的业务目标、技术和管理上的特点信息系统分析:信息系统的体系结构、关键要素信息安全分析:分析安全要求、分析安全环境b) 风险评估要素识别:威胁识别、脆弱性识别、识别已有的控制措施c) 风险处理-处置方法,(注意顺序)接受风险、降低风险(安全投入小于负面影响价值的情况下采用)、规避风险、转移风险d) 批准监督 批准,残余风险可接受,安措能满足业务的安全需求;监督,环境的变化e) 监控审查和沟通咨询需贯穿整个阶段,监控过程有效性、成本有效性、审查结果有效性和符合性9、 信息安全风险管理主要内容a) 风
15、险评估形式自评估为主,自评估和检查评估相互结合、相互补充国企以自评估为主,自评估、检查评估都可以委托第三方继续b) 风险评估方法定性风险分析方法,定量风险分析方法,半定量风险分析方法i. 定性分析矩阵法,根据后果的可能性和影响作交叉ii. 定量分析1) 评估资产 AV2) 确定单次预期损失额SLE ,一种风险带来的损失,暴露系数EFSLE = AV * EF3) 确定年发生率ARO,一年中风险发生的次数4) 年度预期损失ALEALE = SLE *ARO5) 安全投资收益ROSI ROSI = 实施前的ALE 实施后的ALE 年控制成本iii. 半定量分析相乘法,在矩阵法上改进,影响和可能性赋
16、值后相乘c) 风险评估实施流程风险评估准备:计划、方案、方法工具、评估准则等风险要素识别:资产、威胁、脆弱性识别与赋值,确认已有的安措风险分析:如下公式风险结果判定:评估风险的等级,综合评估风险状况10、信息安全法律框架1、 人大颁布法律,宪法、刑法、国家安全法、国务院-行政法规,地方人大-地方性法规;地方人民政府-规章(条例、办法)2、 刑法-286、286、287条285:侵入,3年以下286:破坏,287:利用计算机进行犯罪,3、 治安管理处罚法,未构成犯罪,15天-1月4、 国家安全法,5、 保守国家秘密法,国家保密局出版,国家秘密:,可以不受时间约束,但需制定解密条件。涉密人员,脱密
17、期自离岗之日算绝密 30年机密 20年秘密 10年泄露国家机密就是犯罪,无故意、过失之分国家秘密:国家安全和利益,一招法定程序确定,一定时间内限一定范围人员知道的6、 电子签名法,第一步信息化法律,属于电子签名专人所有;由其控制;电子签名的任何改动都能够被发现;数据电文内容和形式的任何改动能够被发现7、 计算机信息系统安全保护条例,行政法规,公安部主管相关保护工作。8、 商用密码管理条例,涉及国家秘密,技术属于国家秘密,不对个人使用密码使用进行约束,国家密码管理委员会9、 信息自由法10、 国家信息化领导小组关于加强信息安全保障工作的意见27号文,提出5年内的保障体系,主要原则11、 2级以上
18、系统备案,3是12、 CISP职业道德a) 维护国家、社会和公众的信息安全b) 诚实守信,遵纪守法c) 努力工作,尽职尽责d) 发展自身,维护荣誉应急响应与灾难恢复1、 应急响应组织有5个功能小组:领导小组、技术保障小组、专家小组、实施小组和日常运行小组2、 CERT计算机应急响应组,美国的。FIRST事件响应与安全组织论坛3、 CNCERT国家计算机网络应急技术处理协调中心4、 信息安全事件7类,4个级别,1-4,特别重大事件,重大事件,较大事件,一般事件。分级3要素:信息系统的重要程度,系统损失,社会影响;5、 应急响应的6个阶段准备、确定资产和风险,编制响应计划,检测、确认事件是否发生遏
19、制、限制影响范围根除、依据计划实施根除恢复、跟踪总结6、 计算机取证5步骤准备、保护、提取、分析、提交7、 应急响应计划的几个阶段a) 应急响应需求分析b) 应急响应策略的确定c) 编制应急响应计划文档d) 应急响应计划的测试、培训、演练和维护8、 DRP灾难恢复计划、DCP灾难恢预案、BCM业务连续性管理9、 BCP业务连续性计划,包含:业务恢复计划、运行连续性计划COP、事件响应计划IRP、应急响应计划ERP、人员紧急计划OEP、危机沟通规划CCP、灾难恢复计划10、 RPO恢复点目标,系统和数据必须恢复到的时间点要求,代表数据丢失量11、 RTO恢复时间目标,系统从停顿到恢复的时间要求,
20、12、 备份、备份数据的测试,是恢复的基础13、 灾难恢复规划a) 灾难恢复需求分析:风险分析RA、业务影响分析BIA、确定恢复目标b) 灾难恢复策略制定:制定恢复策略c) 灾难恢复策略实现:实现策略d) 灾难恢复预案的制定和管理,落实和管理14、 灾难恢复级别,由低到高分6级,1最低,7个资源要素第1级:基本支持第2级:备用场地支持第6级:数据零丢失和远程集群支持15、 灾难恢复存储技术DAS直接附加存储、NAS网络附加存储、 SAN存储区域网络16、 灾难恢复备份技术 全备份、增量备份(仅备份数据)、差分备份(全备后的增备,数据和文件)17、 备份场所冷站(有空间,基础设施,无设备),温站
21、(包含部分或所有的设备、资源),热站(包含了所有设备)18、 数据备份系统备份的范围、时间间隔、技术和介质、线路速率及设备的规格19、 教育、培训和演练在灾难来临前使相关人员了解灾难恢复的目标和流程,熟悉恢复操作规程20、 根据演练和演习的深度,可分为数据级演练,应用级演练,业务级演练等21、 说道ISO 27001:2013信息安全工程1、 CMM能力成熟度模型,面向工程过程的方法,定义了5个成熟度等级初始级、可重复级、已定义级、已管理级、优化级2、 信息安全工程解决的是“过程安全”问题3、 信息安全建设必须同信息化建设“同步规划、同步实施”,“重功能、轻安全”,“先建设、后安全”都是信息化
22、建设的大忌4、 系统工程思想,方法论,钱学森提出,涵盖每一个领域霍尔三维结构,时间维、知识维、逻辑维5、 项目管理,有限资源下,对项目的全部工作进行有效管理6、 信息安全工程实施, 5个阶段发掘信息保护需求、定义系统安全要求、设计系统安全体系结构、开发详细安全设计、实现系统安全7、 需求阶段要建立确认需求,实施阶段不要确认需求8、 信息安全工程监理模型3个组成:监理咨询阶段过程、监理咨询支撑要素、管理和控制手段、管理和控制手段:质量控制、进度控制、成本控制、合同管理、信息管理、组织协调9、 SSE-CMM 系统安全工程能力成熟度模型,强调过程控制,评估方法SSAM帮助获取组织选择合格的投标者帮
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CISP 培训 笔记
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【丰****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【丰****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。