信息安全管理

一、信息安全管理概述

信息安全管理（ Information Security Management ISM)
◆ISM是管理者为实现信息安全目标（如信息资产的CIA等特性、业务运行的持续性）而进行计划、组织指挥、协调和控制的一系列活动。
◆ISM管理对象是组织的信息及相关资产，包括信息人员、软件等，同时还包括信息安全目标、信息安全组织架构、信息安全策略规则等。
◆ISM目的是保障组织的业务正常运转。
成功实施信息安全管理的关键因素
◆(1)组织的活动能够反映组织的业务目标。
◆(2)组织所有级别的管理者能够给予信息安全实质性的、可见的支持和承诺。
◆(3)组织的管理者对信息安全需求、信息安全风险、风险评估及风险管理有正确深入的理解。
◆(4)向所有管理者、员工和其他相关方提供有效的信息安全宣传以提升信息安全意识。
◆(5)向所有管理者、员工和其他相关方分发并宣贯信息安全方针、策略和标准。
◆(6)管理者为信息安全建设提供足够的资金这是信息安全管理成功实施的必要保障。
◆(7)建立有效的信息安全事件管理过程。
◆(8)建立有效的信息安全测量体系。
管理与信息安全管理
◆管理
◆管理者为了达到特定目的而对管理对象进行的计划、组织、指挥、协调和控制的一系列活动。
◆信息安全管理
◆组织中为了完成信息安全目标，遵循安全策略，按照规定的程序，运用恰当的方法，而进行的规划、组织、指导、协调和控制等活动
信息安全管理体系
◆什么是信息安全管理体系
◆Information Security Management System,ISMS
◆是管理体系方法在信息安全领域的运用

信息安全管理体系定义
◆定义
信息安全管理体系（ Information Security Management System,ISMS)是组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和手段所构成的体系：信息安全管理体系是信息安全管理活动的直接结果，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。
◆信息安全管理体系是整个管理体系的一部分，它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进信息安全的体系。
◆一般地，信息安全管理体系包括信息安全组织架构、信息安全方针、信息安全规划活动、信息安全职责，以及信息安全相关的实践、规程、过程和资源等要素，这些要素既相互关联，又相互作用
信息安全管理体系的作用
◆对内
◆形成单位可自我持续改进的信息安全管理机制
◆使信息安全的角色和职责清断，并落实到人
◆确保实现动态的、系统的、制度化的信息安全管理
◆有利于根本上保证业务的连续性，提高市场竟争力
◆对外
◆能够使客户、业务伙伴对单位信息安全充满信心
◆有助于界定外包双方的信息安全责任
◆可以使单位更好地满足审计要求和符合法律法規
◆保证和外部数据交换中的信息安全
建立信息安全管理体系的意义
◆ISMS是组织整体管理体系的一部分，是组织在整体或特定范围內建立信息安全的方针和目标，以及完成这些目标所用的方法的体系。
◆安全管理体系是安全技术体系真正有效发挥保护作用的重要保障，安全管理体系的涉及立足于总体安全策略，并与安全技术体系相互配合，増强技术防护体系的效率和效果，同时，也弥补当前技术无法完全解决的安全缺陷。

二、信息安全风险管理

1、信息安全风险

什么是信息安全风险
◆信息安全风险就是指在信息系统中，信息安全事件的概率及其结果的组合
◆在本课程中，常简称为风险
◆《信息安全风险管理指南》(GBZ24364-2009)
◆信息安全风险是指人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响

信息安全风险的含义
◆信息系统不可能达到绝对安全，但可以通过信息安全风险控制，来实现符合个人或单位目标的一定程度的安全。
◆信息安全管理的核心思想是风险管理，关键在于如何控制、化解和规避风险。
◆信息安全风险管理是信息安全管理的基本方法。
信息安全工作中的风险管理

常见问题	问题根源浅析
安全投资逐年増加，但看不到收益	没有根据风险优先级做安全投资规划，没有抓住主要矛盾，导致有限资金的有效利用率低
按照国家要求或行业要求开展信息安全工作，但安全事件仍出现	没有根据企业自身安全需求部署安全控制措施，没有突出控制高风险
IT安全需求很多，有限的资金应优先拔向哪个领域	决策者没有看到安全投资收益报告，资金划拨无参考依据
当了CIO,时刻担心系统出事，无法预见可能会出什么事	没有残余风险清单，在什么条件可被触发，如何做好控制

好的风险管理过程可以让机构以最具有成本效益的方式运行，并且使已知的风险维持在可接受的水平
安全风险的基本概念一一资产
◆资产
◆对单位有价值的信息或资源
◆资产举例
◆有形的
◆计算机
◆网络使件设备
◆无形的
◆组织机构的专利
◆知识产权
◆公司形象和名誉
安全风险的基本概念一一威胁
◆成胁
◆能够通过未授权访问、毁坏、揭露、数据修改或拒绝服务对系统造成潜在危害的任何环境或事件
◆威胁就是威胁主体发现一个特定的弱点，并将这些弱点用于恶意目的。
◆威胁举例
◆黑客入侵和攻击
◆病毒和其他恶意程序
◆软硬件故障
◆人为误操作
◆自然灾害地震、火灾
安全风险的基本概念一一脆弱性
◆脆弱性
◆硬件、软件或协议在具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情況下访问或破坏系统
◆脆弱性举例
◆系统漏洞、系统后门
◆缺乏安全管理
◆空口令
安全风险要素之间的相互关系

控制措施和残余风险
◆控制措施
◆通过各种人员、技术、工程和管理等方面的控制措施減少风险，以保护有形和无形的资产，最终达到完成其使命的任务
◆残余风险
◆在控制措施使用后，系统可能还会存在一些残留的、没有被修补的脆弱性，这些残留的脆弱性仍然可以被威胁主体所利用，从而导致资产存在残余风险。

2、风险管理

为什么要做风险管理
◆定义
◆信息安全风险管理是识别、控制、消除或最小化可能影响系统资源的不确定因素的过程
◆目的
◆成本与效益平衡
◆好的风险管理过程可以让机构以最具有成本效益的方式运行，并且使已知的风险维持在可接受的水平。
◆工作条理化
◆好的风险管理过程可以使机构用一致的、条理清晰的方式来组织有限的资源，更好地管理风险。
信息安全管理的内容
◆四个阶段，两个贯穿

◆第一步：背景建立
◆根据要保护系统的业务目标和特性，确定风险
◆管理的范围和对象，明确对象的特性及安全需求
◆第二步：风险评估
◆分析风险和影响、评估风险等级
◆第三步：风险处理
◆选择和实施合适的安全措施
◆第四步：批准监督
◆对风险评估和风险处理的结果的批准和持续监督
◆监控审查
◆监控
◆监视和控制风险管理过程，及时发现变化和偏差以保证上述四个步骤的过程有效性。
◆分析和平衡成本效益，即成本效益管理，以保证上述四个步骤的成本有效性。
◆审查
◆跟踪受保护系统自身或所处环境的变化，以保证上述四个步骤结果的有效性。
◆沟通咨询
◆沟通
◆通过畅通的交流和充分的沟通，保持行动的协调和一致
◆咨询
◆为相关人员答疑和服务，以提高他们的风险意识和知识。
・与领导沟通，以得到理解和批准
・单位内部各有关部门相互沟通，以得到理解和协作
・与支持单位和系统用户沟通，以得到了解和支持
风险评估
◆风险评估
◆对信息系统安全性进行分析，了解和认识客观存在于信息系统中风险的一种手段和方法
◆风险评估重要性
◆风险评估是信息安全管理机制建立的基础。
◆信息安全需求获取的主要手段就是风险评估
◆信息安全风险管理要依靠风险评估的结果来确定随后的风险处理和批准监督活动
风险评估的准备

风险评估工作形式
风险评估工作
◆风险评估应以自评估为主，同时可以和检查评估相互结合、互为补充。
◆自评估和检査评估可依托自身技术力量进行也可委托第三方机构提供技术支持。
风险评估工作形式：自评估、检査评估

项目	自评估	检查评估
描述	信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估	上级管理部门组织的或国家有关职能部门依法开展的风险评估
优点	有利于保密、有利于发挥行业和部门内的人员的业务特长、有利于降低风险评估的费用	具有权威性、通过行政手段加强信息安全的重要措施
缺点	可能缺乏专业技能，结果不够深入准确、可能受内部因素影响，结果客观性易受	安全保密管理工作难度较大，实际中常常间隔和抽样进行，结果可能有偏差

风险评估方法

方法	优点	缺点
定量	直观的数据来表述评估的结果，看起来比较客观，研究结果更科学，更严密，随着组织建立数据的历史记录并获得经验，其精确度将随时间的推移而提高	难以确定准确的方法来有效计算资产和控制措施的价值计算过程可能会非常复杂且耗时。风险结果看起来客观，但可能难以解释差别，评估成本较大
定性	无需精确量化资产价值大小和风险大小，便于让非信息安全人员参与和达成一致意见，节约评估过程时长，更便于不是安全或计算机专家人员参与	重要风险之间没有显著区别，评估结果取决于风险管理小组人员的主观判断，对评估者的能力和经验要求较高
半定量	在评估过程中综合使用定性和定量的风险评估技术可以综合定性和定量风险评估的优点，根据实际情况进行高效实施，提供成本效益最佳的风险评估结果

风险评估的过程

◆风险评估阶段
◆风险分析准备：制定风险评估方案、选择评估方法。
◆风险要素识別：发现系统存在的威胁、脆弱性和控制措施。
◆风险分析：判断风险发生的可能性和影响的程度。
◆风险结果判定：综合分析结果判定风险等级。
风险处理

◆GB/T20984-2007《信息安全风险评估规范》

◆对风险分析结果进行评价，给出相应的等级划分，得出综合风险评估结果

常见的四类风险处理方法
◆规避风险
◆通过改变原有计划来消除风险或风险发生的条件，保护目标免受风险的影响。
◆在没有足够安全保障的信息系统中，不处理特别敏感的信息，从而防止敏感信息的泄漏。
◆对于只处理内部业务的信息系统，不使用互联网,从而避免外部的有害入侵和不良攻击。
◆通常在风险的损失无法接受，又难以通过控制措施减低风险的情况下
◆转移风险
◆通过将面临风险的资产或其价值转移到更安全的地方来避免或降低风险。
◆通常只有当风险不能被降低或避免、且被被转嫁方接受时才被采用。
转移风险的具体做法（服务外包和购买保险）
◆在本机构不具备足够的安全保障的技术能力时，将信息系统的技术体系外包给满足安全保障要求的第三方机构，从而避免技术风险。
◆通过给昂贵的设备上保险，将设备损失的风险转移给保险公司，从而降低资产价值的损失
◆降低风险
◆通过采取保护措施来降低风险
◆通常在安全投入小于负面影响价值的情況下采用
◆保护措施
◆减少威胁源
◆遏制打击威胁来源
◆减低威胁能力
◆部署身份认证措施
◆减少脆弱性
◆及时给系统打补丁、关闭无用的网络服务端口
◆防护资产
◆设置各种防护措施，保护资产不受侵犯
◆降低负面影响
◆采取容灾留份、应急响应等措施
◆接受风险
◆接受风险是选择对风险不采取进一步的处理措施，接受风险可能带来的结果。
◆接受风险意味着经过成本效益评估，允许相关风险存在，并接受可能带来的损失。
◆接受风险不意味着不闻不问，需要对风险态势变化进行持续的监控，一旦发展为无法接受的风险就要进一步采取措施。
批准监督
◆对风险评估和风险处理的结果的批准
◆持续监督

三、信息安全事件与应急响应

1、信息安全事件

保险柜就一定安全吗？
◆如果你把钥匙落在锁眼上会怎样？
◆技术措施需要配合正确的使用才能发挥作用。
◆“网络与信息安全事件”是突发事件的一种也被称为“信息安全事件”
◆信息安全事件在业界尚未有统一的定义政府管理、科学研究、企业根据各自的关注点对其的理解也存在一定的差异。
◆信息安全事件可以是故意、过失或非人为原因引起的：
◆有害程序事件
◆网络攻击事件
◆信息破坏事件
◆信息内容安全事件
◆设备设施故障
◆灾害性事件
◆其他信息安全事件
◆对信息安全事件的分级主要考虑三个要素:
◆信息系统的重要程度
◆系统损失
◆社会影响
◆统计结果表明，在所有信息安全事故中，只有20%~30%是由于黑客入侵或其他外部原因造成的，70%-80%是由于内部员工的疏忽或有意泄密造成的。站在较高的层次上来看信息和网络安全的全貌就会发现安全问题实际上都是人的问题，单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的。
◆现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的，理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标来说尤其重要。

2、信息安全应急响应

◆信息安全应急响应，是指一个组织为了应对各种安全意外事件的发生所采取的防范措施，既包括预防性措施，也包括事件发生后的应对措施。
◆实践证明，现实中难以发现和抵御所有威胁，安全事件具有突发性、复杂性，需要建立信息系统安全事件的快速响应机制。
◆应急响应工作的主要任务是做好预先防范，安全事件发生后，尽快做出正确反应，及时阻止事件的发展，并减少损失，使系统恢复正常运行，同时采取追踪攻击者及必要的法律行动
◆未雨绸缪：
◆事件发生前管理上可开展安全培训，制订安全政策和应急预等
◆技术上则要增加系统安全性，如备份、升级系统与软件
◆有条件的可以安装防火墙、入侵检测系统和杀毒工具等。
◆亡羊补牢：
◆事件发生后可以采取抑制、根除和恢复等措施，减少损失
◆并恢复正常运行，如，隔离、限制或关闭网络服务：
◆恢复系统及跟踪总结等。
◆应急响应组织是专门处理安全事件的组织
◆常用的名字是计算机网络安全事件应急组、计算机安全事件响应组( Computer Security Incident Response Team,CSRT)、信息安全事件响应组( Information Security Incident Response Team,ISRT)或事件响应组( Incident Response Team,IRT).
◆通常，应急响应组织由管理、业务、技术和行政后勤等人员组成。

3、信息安全应急响应管理过程

应急响应六阶段
◆应急响应 PDCERF模型

应急响应组织工作
◆成立组织机构
◆领导小组
◆技术保障小组
◆专家小组
◆实施小组
◆日常运行小组
各单位应当根据信息系统的重要性，建立自己的应急响应组！
应急响应工作机构图示例

应急响应流程—呼叫树实例