信息安全管理信息安全現狀黑客攻擊猖獗網絡內部、外部泄密拒絕服務攻擊邏輯炸彈特洛伊木馬黑客攻擊計算機病毒后門、隱蔽通道蠕蟲安全威脅日益嚴重復合威脅：蠕蟲、病毒、特洛伊木馬黑客攻擊基礎設施Flash威脅大規模蠕蟲侵入分布式Dos攻擊可加載病毒和蠕蟲（如腳本病毒….）4BCC-北京新世紀認證有限公司信息安全事件回放（一）全國最大的網上盜竊通訊資費案某合作方工程師，負責某電信運營商的設備安裝，獲得充值中心數據庫最高系統權限。從2005年2月開始，復制出了14000個充值密碼。獲利380萬。2005年7月16日才接到用戶投訴說購買的充值卡無法充值，這才發現密碼被人盜竊并報警。無法充值的原因是他最后盜取的那批密碼忘了修改有效日期反映的問題：系統監控不到位，未能探查出“后門”5BCC-北京新世紀認證有限公司信息安全事件回放（二）北京ADSL斷網事件2006年7月12日14:35左右，北京地區互聯網大面積斷網。事故原因：路由器軟件設置發生故障，直接導致了這次大面積斷網現象。事故分析：操作設備的過程中操作失誤或軟件不完善屬于“天災-難以避免”，但問題是事故出現后不能及時恢復，沒有應急響應機制或事件處理流程，實際反映的是管理缺失。6BCC-北京新世紀認證有限公司信息安全事件回放（三）百度被黑2010年1月12日上午8時許，國內著名搜索引擎百度遭遇DNS劫持攻擊，百度首頁被重定向至一署名為“伊朗網軍”的網頁。國內大型網站被攻擊早有先例2000年8月31日

新浪網被黑；2006年9月12日

百度網站服務器被黑，導致無法訪問2007年11月26日

新浪網站出現訪問故障，導致無法訪問2008年12月2日

CCTV官網頻道被黑7BCC-北京新世紀認證有限公司保障信息安全的途徑？IT治理安全風險測評

信息安全管理體系強化安全技術信息系統安全等級保護亡羊補牢?還是打打補丁?系統地全面整改?8BCC-北京新世紀認證有限公司第一節概述一、信息安全管理1、信息安全：涵蓋了以下方面機密性完整性可用性不可抵賴性可靠性可控性真實性一、信息安全管理1、信息安全管理特點：是一個系統工程：信息的生命周期：產生、收集、加工、交換、存儲、檢索、銷毀（例：gps數據、超市商品價格及進貨價格）多層面、綜合的、動態的過程：木通理論（例：碟中諜）一、信息安全管理1、信息安全信息安全的概念：二、信息安全管理模型信息安全需求信息安全管理范圍信息安全技術體系信息安全控制措施信息安全管理方法信息安全保障體系三、信息安全管理體系保障信息安全的途徑之一：信息安全管理體系（ISMS）基于業務風險方法，建立、實施、運行、監視、評審、保持和改進信息安全的體系，是一個組織整個管理體系的一部分。注：管理體系包括組織結構、方針策略、規劃活動、職責、實踐、規程、過程和資源。[ISO/IEC27001:2005]為保護本組織的信息和信息系統的安全而建立、運行和不斷改進的管理架構。結合信息安全管理標準匯集的最佳實踐和控制措施，形成安全管理的相關制度、過程、操作規程和日常活動等。14信息安全管理體系標準信息安全管理體系要求為建立、實施、運行、保持和改進信息安全管理體系提供模型規范了一種基于風險的管理體系，確保組織選擇并運行充分且適當的安全控制措施以保護信息資產由信息安全領域最佳實踐所構成的一整套綜合性控制措施適用于各種類型和規模的組織強調預防為主注:

ISO/IEC

27001:2005

idt

GB/T

22080-200815信息安全管理體系的架構三級文件二級文件一級文件信息安全手冊安全方針策略文件過程/規程/制度文件

作業指導書、檢查單、表格方針目標機構職責風險評估描述工作流程Who,What,When,Where描述任務、活動是如何完成的16信息安全管理體系的目的和特點目標：提升信息安全管理能力，實現滿足安全要求和期望的結果—受控的信息安全特點：重點關注，全面布防基于對關鍵資產的風險評估，確定保護重點；通過對133項控制措施的選擇和落實，實現對信息安全的全面保障通過PDCA的持續循環，確保管理體系適應安全環境和形勢的變化17信息安全管理的PDCA模型D實施C檢查P規劃A處置ISO/IEC27001安全目標時間ISMS的PDCA周期循環安全管理能力18A5安全方針A7資產管理A11訪問控制A14業務連續性管理15符合性A13信息安全事件管理A6信息安全組織A8人力資源安全A9物理和環境安全A10通信和操作管理A12信息系統獲取、開發和維護安全控制域信息安全管理涉及的領域19信息資產分類管理信息資產管理列出資產清單:資產名稱,位置,安全級別信息:DB\數據文件\系統文件\用戶手冊\...軟件資產:應用軟件\系統軟件\開發工具\設備實物資產:\計算機\存儲介質\其他技術設備可計量:價值(直接價值,損失成本)\重要性指定所有權人\分配職責信息資產分類分類原則:考慮業務需求\信息共享;信息敏感度變化;信息標識和處理:定義信息的復制,存儲,輸出,銷毀的處理流程信息資產安全屬性A6信息安全組織信息安全架構,組織內部管理,第三方訪問信息安全基本架構論壇(技術人員\高層\各重要部門參與)協作責任分配信息處理方法授權過程組織間合作獨立檢查第三方訪問安全A9物理和環境的安全重要性:反恐24小時-CTA下水道接入系統繞過防火墻安全區域:安全界線\進入控制\保護辦公室\安全區域工作\隔離設備安全:設備定位\電力供應\電纜安全\設備維護\外部設備完全\設備淘汰一般管理措施:財產轉移--不能把設備轉移到工作場所之外A15符合性要求組織高度重視有關信息安全相關法律法規的要求。確保組織及員工的行為合法合規，并符合本組織的信息安全方針和相關規定；防止因違反法律法規和相關要求而造成不良后果。31A15符合性控制措施：防止濫用信息處理設施禁止使用信息處理設施用于未授權的目的。案例通信公司內部人員擅自利用通信系統的手機定位功能，向“偵探公司”提供用戶的位置信息，導致命案。32A8人力資源安全人力資源安全領域強調如何降低人員交互作用對組織造成的內在風險，包括任用前的考察，任用中的管理和培訓以及任用終止的處置。33A8人力資源安全人員安全是造成信息損毀的重要原因信息損毀原因分布圖34A8人力資源安全公安部曾作過統計70％的泄密犯罪來自于內部；計算機應用單位80％未設立相應的安全管理體系；58％無嚴格的管理制度。如果相關技術人員違規操作（如管理員泄露密碼），即便組織有最好的安全技術的支持，也保證不了信息安全。在信息技術高度發達的美國，信息安全中對人的管理也是一個大問題。在近年一次對600名CIO的調查表明：有66%的被調查公司沒有完整的信息安全方針和策略，這就意味著無法對員工進行有效的管理。有32%的被調查公司要求員工熟悉安全方針與指南只有23%的被調查公司的員工得到過信息安全的培訓35A8人力資源安全安全控制措施：管理職責管理者應要求雇員、承包方人員和第三方人員按照組織已建立的方針策略和規程對安全盡心盡力。案例電信公司員工出賣用戶個人信息案2010年6月8日，北京東方亨特商務調查中心等5家調查公司因涉嫌敲詐勒索等非法經營被查，牽出其信息來源竟是電信公司工作人員。最終中國移動、中國聯通的三名被告被判2年5-6個月有期徒刑。36A10通信和操作管理通信涉及信息的交流和傳輸，操作是對信息處理設施和系統的操作和運行管理。通信和操作管理是信息安全管控的重要運行領域，對這一領域的控制體現了組織安全可靠地運行其信息資產的能力37A10通信和操作管理操作過程責任記錄變更流程意外事故管理流程開發過程與運行過程的分離--開發錯誤\惡意系統規劃驗收:預測:容量\資源A10通信和操作管理控制惡意代碼應實施惡意代碼的檢測、預防和恢復的控制措施，提高用戶安全意識。案例特洛伊木馬病毒在1998年7月，黑客CultoftheDeadCow（cDc）推出強大的遠程控制工具BackOrifice（或稱BO）可以使黑客通過網絡遠程入侵并控制受攻擊的Win95系統，從而使受侵電腦“形同玩偶”。2007年“灰鴿子”木馬曾在我國大量傳播，使09年“照片門”事件的央視主持人馬斌“落馬”39A12信息系統獲取、開發和維護信息系統獲取、開發和維護領域涉及信息系統的安全需求、信息和數據在應用系統的確認及處理、密碼、系統測試和技術脆弱性管理等安全控制實踐，以確保將安全要求有機地集成到信息系統40A12信息系統獲取、開發和維護安全控制措施：技術脆弱性控制應及時得到現用信息系統技術脆弱性的信息，評價組織對這些脆弱性的暴露程度，并采取適當的措施來處理相關的風險。案例市政一卡通破解案。由于發現卡內芯片的漏洞，及時升級系統，監測出不法充值，使作案人被捕判刑。41A14業務連續性管理關注于在發生重大災難或故障時確保將業務中斷的影響最小化，保證組織的基本業務繼續運行。業務連續性管理反映了組織對信息系統運行中斷后的應對及安全保障能力。42A14業務連續性管理案例911恐怖襲擊中位于世貿中心內的著名財經咨詢公司摩根斯坦利公司，由于實施了業務連續性戰略及規劃，災后第二天成功地恢復了正常的業務運營，將突發危機的不利影響降低到了最低程度。43A14業務連續性管理受災的場所后備場所轉移到后備場所據美國的一項研究報告顯示，在遭受災害之后，如果無法在14天內恢復業務數據，75%的公司業務會完全停頓，43%的公司再也無法重新開業，20%的公司將在2年內宣告破產。44小結建立、實施、運行、保持和改進信息安全管理體系，或采取并保持體系化的安全管控可有效防范風險、降低損失；對信息安全缺乏全面準備，損失的風險得不到控制。45四、信息安全技術體系基礎支撐技術：提供包括機密性、完整性和抗抵賴性等在內的最基本的信息安全服務，同時為信息安全攻防技術提供支撐主動防御技術和被動防御技術是兩類基本的信息安全防范思路主動防御技術提供阻斷、控制信息安全威脅的能力被動防御技術著眼信息安全威脅的發現和如何在信息安全威脅發生后將損失降到最低面向管理技術：以如何提高信息安全技術效率和集成使用信息安全技術為基本出發點，引入了管理的思想，是一種綜合的技術手段安全網管系統、網絡監控、資產管理、威脅管理等屬于這類技術四、信息安全技術體系基礎支撐技術密碼技術：密碼、簽名、PKI認證技術：消息認證、身份鑒別訪問控制：人員限制、數據標識、權限控制、風險控制（例如：MAC地址邦定）2023/2/148身分認證安全技術動態口令認證PKI技術2023/2/149動態口令身份認證原理時間/事件信息卡內密鑰當前登錄口令密碼運算2023/2/150數字簽名A的簽名私鑰用戶A

明文用戶Bhash加密簽名A的簽名公鑰解密摘要摘要2023/2/151數字簽名(cont.)使用公鑰系統等效于紙上物理簽名如報文被改變，則與簽名不匹配只有有私鑰的人才可生成簽名，并用于證明報文來源于發送方A使用其私鑰對報文簽名，B用公鑰查驗（解密）報文2023/2/152數字信封加密對稱密鑰用戶A

明文

密文用戶B的公鑰數字信封解密用戶B

密文

明文用戶B的私鑰對稱密鑰2023/2/153數字簽名較報文摘要昂貴，因其處理強度大為提高其效率，對一個長文進行簽名的常用方法是先生成一個報文摘要，然后再對報文摘要進行簽名。使用這種方法，我們不但可以證明報文來源于A(A對報文簽名，不可否認)，而且確定報文在傳輸過程中未被修改(報文摘要，機密性)。由于只有A知道其私有密鑰，一旦他加密(簽名)了報文摘要(加密的報文)，他對報文負責(不可否認)。報文摘要與數字簽名(cont.)2023/2/154證書的版本號數字證書的序列號證書擁有者的姓名證書擁有者的公開密鑰公開密鑰的有效期簽名算法頒發數字證書的驗證數字證書格式（X.509）2023/2/155數字時間戳服務（DTS）提供電子文件發表時間的安全保護和證明，由專門機構提供。它包括三個部分：需要加時間戳的文件的摘要DTS機構收到文件的日期和時間DTS機構的數字簽名

數字時間戳四、信息安全技術體系主動防御技術防火墻：包過濾、應用代理、地址翻譯NAT、安全路由VPN：高層封裝底層反病毒：病毒特征碼AAA認證：2023/2/157Internet防火墻防火墻受保護網絡受保護網絡2023/2/158計算機病毒計算機病毒的定義編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼——《中華人民共和國計算機信息系統安全保護條例》2023/2/159計算機病毒的特征自我復制能力感染性潛伏性觸發性破壞性2023/2/160引起網絡病毒感染的主要原因在于網絡用戶自身。

2023/2/161病毒攻擊的操作系統MicrosoftDOSMicrosoftWindows95/98/MEMicrosoftWindowsNT/2000/XPUnix(Linux)其他操作系統2023/2/162計算機病毒的分類

按寄生方式分為引導型、病毒文件型病毒和復合型病毒引導型病毒是指寄生在磁盤引導區或主引導區的計算機病毒。此種病毒利用系統引導時,不對主引導區的內容正確與否進行判別的缺點,在引導系統的過程中侵入系統,駐留內存,監視系統運行,待機傳染和破壞。2023/2/163

文件型病毒是指寄生在文件中的計算機病毒。這類病毒程序感染可執行文件或數據文件。如COM和.EXE等可執行文件;Macro/Concept、Macro/Atoms等宏病毒感染.DOC文件。復合型病毒是指具有引導型病毒和文件型病毒寄生方式的計算機病毒。這種病毒擴大了病毒程序的傳染途徑,它既感染磁盤的引導記錄,又感染可執行文件。四、信息安全技術體系被動防御技術IDSIntrusionDetectionSystems網絡掃描蜜罐技術五、信息安全管理方法1、信息安全風險評估依據信息安全技術與管理標準評估信息資產、威脅、脆弱點五、信息安全管理方法2、信息安全事件管理--（應急預案）識別風險后，預先制定管理機制：控制影響重要密碼泄露、系統崩潰、地震信息安全事件管理標準：GB/Z20985-2007管理指南GB/Z20986-2007分級指南GB/Z20988-2007恢復規范五、信息安全管理方法3、信息安全測評認證4、信息安全工程管理SSE-CMM系統安全工程能力成熟度模型--基于軟件生命周期理論2023/2/168第二節信息安全管理標準一、BS7799二、其他標準2023/2/169BS7799簡介BS7799概述：BS7799是英國標準委員會（BritshStandardsInsstitute,BSI）針對信息安全管理而制定的標準。分為兩個部分：第一部分：被國際標準化組織ISO采納成為ISO/IEC17799:2005標準的部分，是信息安全管理實施細則（CodeofPracticeforInformationSecurityManage-ment），主要供負責信息安全系統開發的人員參考使用，其主要內容分為11方面，提供了133項安全控制措施（最佳實踐）。第二部分：被國際標準化組織ISO采納成為ISO/IEC20071:2005標準的部分，是建立信息安全管理體系（ISMS）的一套規范（SpecificationforInformationSecurityManagementSystems）,其中詳細說明了建立、實施和維護信息安全管理體系的要求，可以用來指導相關人員應用ISO/IEC17799:2005,其最終目的在于建立適合企業需要的信息安全管理體系。2023/2/170BS7799發展歷程BS7799最初由英國貿工部立項，是業界、政府和商業機構共同倡導的，旨在開發一套可供開發、實施和衡量有效信息安全管理實踐的通用框架。1995年，BS7799-1:1995《信息安全管理實施細則》首次發布1998年，BS7799-2:1998《信息安全管理體系規范》發布1999年4月，BS7799的兩個部分被修訂，形成了完整的BS7799-1:19992000年國際信息化標準組織將其轉化為國際標準，即ISO/IEC17799:2000《信息技術—信息安全管理實施細則》2002年BSI對BS7799-2：1999進行了重新修訂，正式引入PDCA過程模型；2004年9月BS7799-2:2002正式發布2005年6月，ISO/IEC17799:2000經過改版，形成了新的ISO/IEC17799:2005,同年10月推出了ISO/IEC27001:2005目前有20多個國家和地區引用BS7799作為本國（地區）標準，有40多個國家和地區開展了與此相關的業務。在我國ISO17799:2000已經被轉化為GB/T19716-20052023/2/171BS7799的內容*BS7799-1:《信息安全管理實施規則》

主要是給負責開發的人員作為參考文檔使用，從而在他們的機構內部實施和維護信息安全。*BS7799-2:《信息安全管理體系規范》

詳細說明了建立、實施和維護信息安全管理體系的要求，指出實施組織需要通過風險評估來鑒定最適宜的控制對象，并根據自己的需求采取適當的安全控制。2023/2/172

信息安全管理實施細則將信息安全管理內容劃分為11個方面，39個控制目標，133項控制措施，供信息安全管理體系實施者參考使用，這11個方面包括：1、安全策略（SecurityPolicy）2、組織信息安全(OrganizingInformationSecurity)3、資產管理(AssetMangement)4、人力資源安全(HumanResourcesSecurity)5、物理與環境安全(PhysicalandEnvironmentalSecurity)BS7799-1(ISO/IEC17799)2023/2/1736、通信與操作管理(CommunicationandOperationManagement)7、訪問控制(AccessControl)8、信息系統獲取、開發與維護(InformationSystemsAcquisition,DevelopmentandMaintenance)9、信息安全事件管理(InformationSecurityIncidentManagement)10、業務連續性管理(BusinessContinuityManagement)11、符合性(Compliance)2023/2/174安全策略：包括信息安全策略文件和信息安全策略復查。組織安全：包括在組織內建立發起和控制信息安全實施的管理框架；維護被外部伙伴訪問、處理和管理的組織的信息，處理設施和信息資產的安全。資產管理：包括建立資產清單、進行信息分類與分級人力資源安全：包括崗位安全責任和人員錄用安全要求，安全教育與培訓，安全意識，離職及變更職位等。BS7799-1(ISO/IEC17799)2023/2/175物理與環境安全：包括安全區域控制、設備安全管理等通信與操作管理：包括操作程序和責任，系統規劃和驗收，防范惡意軟件，內務管理，網絡管理，介質安全管理，信息與軟件交換安全訪問控制：包括訪問控制策略，用戶訪問控制，網絡訪問控制，操作系統訪問控制，應用訪問控制，監控與審計，移動和遠程訪問BS7799-1(ISO/IEC17799)2023/2/176信息系統獲取、開發與維護：安全需求分析，安全機制設計（應用系統安全，密碼控制，系統文件安全），開發和支持過程的安全控制信息安全事件管理：報告信息安全事件、安全缺陷；責任和程序、從信息安全事件吸取教訓、證據收集。業務連續性管理：業務連續性計劃的制訂，演習，審核，改進符合性管理：符合法律法規，符合安全策略等。BS7799-1(ISO/IEC17799)2023/2/177對控制措施的描述不夠細致，導致缺乏可操作性；133項控制措施未必適合全部的組織，應當有選擇的參考使用；133項控制措施未必全面，可以根據實際情況進行增補。BS7799-1(ISO/IEC17799)2023/2/178ISO/IEC17799:2005列舉了十項適用于幾乎所有組織和大多數環境的控制措施：1、與法律相關的控制措施：（1）知識產權：遵守知識產權保護和軟件產品保護的法律；（2）保護組織的記錄：保護重要的記錄不丟失，不被破壞和偽造；（3）數據保護和個人信息隱私：遵守所在國的數據保護法律。BS7799-1(ISO/IEC17799)2023/2/1792、與最佳實踐相關的控制措施：（1）信息安全策略文件：高管批準發布信息安全策略文件，并廣泛告知；（2）信息安全責任的分配：清晰地所有的信息安全責任；（3）信息安全意識、教育和培訓：全體員工及相關人員應該接受恰當的意識培訓；BS7799-1(ISO/IEC17799)2023/2/180（4）正確處理應用程序：防止應用程序中的信息出錯、丟失或被非授權篡改及誤用；（5）漏洞管理：防止利用已發布的漏洞信息來實施破壞；（6）管理信息安全事件和改進：確保采取一致和有效的方法來管理信息安全事件。（7）業務連續性管理：減少業務活動中斷，保護關鍵業務過程不受重大事故或災難影響。BS7799-1(ISO/IEC17799)2023/2/181信息安全管理體系規范(SpecificationforInformationSecurityManagementSystem)說明了建立、實施、維護，并持續改進ISMS的要求指導實施者如何利用BS7799-1來建立一個有效的ISMSBSI提供依據BS7799-2所建立ISMS的認證BS7799-2/ISO270012023/2/182

建立ISMS（PLAN）定義ISMS的范圍和策略識別和評估風險評估現有保證措施準備適用性說明取得管理層對殘留風險的認可，并獲得實施ISMS的授權BS7799-2/ISO270012023/2/183

實施ISMS（DO）制訂并實施風險處理計劃實施安全控制措施實施安全意識和安全教育培訓實施檢測和響應安全機制BS7799-2/ISO270012023/2/184

監視和復查ISMS（CHECK）實施監視程序和控制定期復審ISMS的效力定期進行ISMS內部審計復查殘留風險和可接受風險的水平BS7799-2/ISO270012023/2/185

改進ISMS（ACT）對ISMS實施可識別的改進實施糾正和預防措施確保改進成果滿足預期目標BS7799-2/ISO270012023/2/186

強調文檔化管理的重要作用，文檔體系包括安全策略適用性聲明實施安全控制的規程文檔ISMS管理和操作規程與ISMS有關的其它文檔BS7799-2/ISO270012023/2/187

建立ISMS的過程制訂安全策略確定體系范圍明確管理職責通過安全風險評估確定控制目標和控制措施復查、維護與持續改進BS7799-2/ISO270012023/2/188二、其他標準1、PD3000BS7799標準本身是不具有很強的可實施性的，為了指導組織更好地建立ISMS并應對BS7799認證審核的要求，BSIDISC提供了一組有針對性的指導文件，即PD3000系列