构建信息安全保障体系课件

《构建信息安全保障体系课件》由会员分享，可在线阅读，更多相关《构建信息安全保障体系课件（44页珍藏版）》请在装配图网上搜索。

1、构建信息安全保障体系1构建信息安全保障体系2t僵尸网络范围扩大，僵尸网络范围扩大，1414万台主机被植入僵尸程序万台主机被植入僵尸程序t木马木马/谍件威胁严重，谍件威胁严重，4.54.5万万IPIP地址植入木马地址植入木马t网页篡改数量迅速增加，达到网页篡改数量迅速增加，达到2447724477次次t政府网站被篡改政府网站被篡改38313831次，占总量次，占总量16%16%t安全事件报告的年增量为安全事件报告的年增量为196%196%t网络恶意代码年增量网络恶意代码年增量12.812.8倍倍t漏洞发现量的年增漏洞发现量的年增196%196%构建信息安全保障体系3t“零日攻击零日攻击”现象出现

2、（魔波蠕虫）现象出现（魔波蠕虫）t复合式病毒给防范增加难度复合式病毒给防范增加难度t僵尸网成为僵尸网成为DDosDDos和垃圾邮件的源头和垃圾邮件的源头t网络仿冒网络仿冒/劫持是在线窃信的重要途径劫持是在线窃信的重要途径t谍件泛滥是窃密谍件泛滥是窃密/泄密的主要元凶泄密的主要元凶t通过网页通过网页/邮件邮件/P2P/P2P传播恶意代码的数量猛增传播恶意代码的数量猛增t非法牟利动机明显增加和趋于嚣张非法牟利动机明显增加和趋于嚣张t黑客地下产业链正在形成黑客地下产业链正在形成t僵尸源和木马源的跨国控制应该高度警惕僵尸源和木马源的跨国控制应该高度警惕t内部安全事件的增加引起高度重视内部安全事件的增加

3、引起高度重视构建信息安全保障体系4构建信息安全保障体系5构建信息安全保障体系6 构建信息安全保障体系7(一一)科学划分信息安全等级科学划分信息安全等级t投入与风险的投入与风险的平衡点平衡点t安全资源的安全资源的优化配置优化配置(一一)构建构建信息安全保障体系信息安全保障体系t 重视顶层设计重视顶层设计,做好做好信息安全技术体系信息安全技术体系与与信息安全管理体系信息安全管理体系t强化信息安全的强化信息安全的保障性保障性(二二)作好信息安全风险评估作好信息安全风险评估t是信息安全建设的是信息安全建设的起点起点、也覆盖、也覆盖终生终生t提升信息安全的提升信息安全的可信性可信性构建信息安全保障体系8

4、（一）科学划分信息安全等级（一）科学划分信息安全等级构建信息安全保障体系920062006年年1 1月，月，信息安全等级保护管理办法信息安全等级保护管理办法（试行）（试行）（公通字（公通字200620067 7号）号）明确了公明确了公安、保密、密码、信息化部门的职责：安、保密、密码、信息化部门的职责：公安机关公安机关全面全面国家保密工作部门国家保密工作部门涉密信息系统涉密信息系统国家密码管理部门国家密码管理部门密码密码国务院信息办国务院信息办协调协调构建信息安全保障体系10 信息安全等级保护信息安全等级保护关注点关注点（公通字公通字200743号文）、（中保委发（号文）、（中保委发（2004）

5、7号文）号文）t等级保护涉及的内容：等级保护涉及的内容：信息系统、信息安全产品信息系统、信息安全产品、信息安全事件信息安全事件t分级依据：分级依据：重要程度、危害程度、保护水平重要程度、危害程度、保护水平 (业务信息、系统服务）业务信息、系统服务）t保护级别划分：保护级别划分：自主保护级、指导保护级、监督保护级、强制保护级、专控保护级自主保护级、指导保护级、监督保护级、强制保护级、专控保护级t系统管理模式系统管理模式 一级：自主保护一级：自主保护（一般系统（一般系统/合法权益）合法权益）二级：指导保护（一般系统二级：指导保护（一般系统/合法权益、社会利益）合法权益、社会利益）三级：监督检查（重

6、要系统三级：监督检查（重要系统/社会利益、国家安全）社会利益、国家安全）(秘密秘密)四级：强制监督四级：强制监督（重要系统（重要系统/社会利益、国家安全）社会利益、国家安全）(机密机密 、增强）、增强）五级：专门监督五级：专门监督（极端重要系统（极端重要系统/国家安全）国家安全）(绝密绝密)t安全管理安全管理 自主定级自主定级-审核批准审核批准-系统建设系统建设-安全测评安全测评构建信息安全保障体系11 信息安全等级保护信息安全等级保护相关规范相关规范（公通字公通字200743号文）号文）tttGB/T20269-2006tt -t BMB 17-2006t BMB 22-2007t BMB

7、20-2007 构建信息安全保障体系12（二）（二）构建信息安全保障体系构建信息安全保障体系构建信息安全保障体系13安安全全法法规规安安全全管管理理安安全全标标准准安安全全工工程程与与服服务务安安全全基基础础设设施施教教育育培培训训构建信息安全保障体系14 -构建信息安全保障体系15构建信息安全保障体系16构建信息安全保障体系17 应用于应用于ISMS过程的过程的PDCA模型模型 PDCAPDCA循环是能使任何一项活动有效循环是能使任何一项活动有效改改进的工作程进的工作程序序相关方相关方受控的受控的信息安全信息安全信息安全信息安全要求和期要求和期望望相关方相关方检查检查CheckCheck建立

8、建立ISMSISMS实施和实施和运行运行ISMSISMS保持和保持和改进改进ISMSISMS监视和监视和评审评审ISMSISMS规划规划PlanPlan实实施施DoDo处处置置ActAct应用于应用于ISMS过程的过程的PDCA模型模型构建信息安全保障体系18构建信息安全保障体系19构建信息安全保障体系20构建信息安全保障体系21 安安全全功功能能定定义义安安全全要要素素设设物物理、理、网网络、络、系系统、统、应应用、用、管管理理全全程程安安全全控控制制风风险险全全程程管管理理安安全全有有效效评评估估强强壮壮性性策策略略构建信息安全保障体系22构建信息安全保障体系23构建信息安全保障体系24

9、（A）网络安全纵深防御体系）网络安全纵深防御体系网络信息安全域的划分、隔离控制、可信接入网络信息安全域的划分、隔离控制、可信接入内部网安全服务与控制策略内部网安全服务与控制策略（专网）安全服务与控制策略（专网）安全服务与控制策略外部网安全服务与控制策略外部网安全服务与控制策略互联网安全服务与控制策略互联网安全服务与控制策略公共干线的安全服务与控制策略（公共干线的安全服务与控制策略（有线、无线、卫星有线、无线、卫星）计算环境的安全服务机制计算环境的安全服务机制多级设防与科学布署策略多级设防与科学布署策略全局安全测评、集成管理、联动控制与恢复全局安全测评、集成管理、联动控制与恢复构建信息安全保障体

10、系25外网外网外网外网互联网互联网互联网互联网内网内网内网内网内网内网物理隔离物理隔离逻辑隔离逻辑隔离内网（内网（VPN-私有专线或公共通信网）私有专线或公共通信网）外网外网互联网互联网外网（外网（VPN-公共通信网）公共通信网）互联网（互联网（Internet）节点节点1节点节点NN节点节点2构建信息安全保障体系26纵深型防御技术关注点纵深型防御技术关注点构建信息安全保障体系27网络边界逻辑隔离网络边界逻辑隔离构建信息安全保障体系28网络边界物理隔离技术网络边界物理隔离技术构建信息安全保障体系29（B B）动态防御技术模型（）动态防御技术模型（WPDRRA)WPDRRA)构建信息安全保障体系

11、30动态防御技术的关注点动态防御技术的关注点构建信息安全保障体系31（构建信息安全保障体系32构建信息安全保障体系33 事后-事中-事前构建信息安全保障体系34构建信息安全保障体系35构建信息安全保障体系36构建信息安全保障体系37构建信息安全保障体系38（三）（三）重视信息安全风险评估重视信息安全风险评估构建信息安全保障体系39信息系统安全风险评估的特征信息系统安全风险评估的特征t信息系统是一个巨型复杂系统（系统要素、安全要素）信息系统是一个巨型复杂系统（系统要素、安全要素）t信息系统受制于外部因素（物理环境、行政管理、人员）信息系统受制于外部因素（物理环境、行政管理、人员）t信息系统安全风

12、险评估是一项系统工程信息系统安全风险评估是一项系统工程t发现隐患、采取对策、提升强度、总结经验发现隐患、采取对策、提升强度、总结经验t自评估自评估/委托评估、检查评估委托评估、检查评估构建信息安全保障体系40t定性分析与定量结合定性分析与定量结合t评估机构与评估专家结合评估机构与评估专家结合t评估考查与评估检测结合评估考查与评估检测结合t技术安全与管理安全结合技术安全与管理安全结合构建信息安全保障体系41t管理安全分析管理安全分析 组织、人员、制度、资产控制、物理、操作、连续性、应急组织、人员、制度、资产控制、物理、操作、连续性、应急t过程安全分析过程安全分析 威胁、风险、脆弱性、需求、策略、

13、方案、符合性威胁、风险、脆弱性、需求、策略、方案、符合性 分发、运行、维护、更新、废弃分发、运行、维护、更新、废弃t技术安全分析与检测技术安全分析与检测 安全机制、功能和强度分析、安全机制、功能和强度分析、网络设施、安全设施及主机配置安全分析、脆弱性分析网络设施、安全设施及主机配置安全分析、脆弱性分析 系统穿透性测试系统穿透性测试t系统测试中风险的防范系统测试中风险的防范 事前：保密事前：保密/持续持续/透明协议、应急予案、备份、测试床透明协议、应急予案、备份、测试床/离线离线 事中：测试监控、现场控制、应急对策事中：测试监控、现场控制、应急对策 事后：消除残留、现场清理、原特权回复、原系统回

14、复事后：消除残留、现场清理、原特权回复、原系统回复 构建信息安全保障体系42构建信息安全保障体系43(一一)科学划分信息安全等级科学划分信息安全等级t投入与风险的投入与风险的平衡点平衡点t安全资源的安全资源的优化配置优化配置(一一)构建构建信息安全保障体系信息安全保障体系t 重视顶层设计重视顶层设计,做好做好信息安全技术体系信息安全技术体系与与信息安全管理体系信息安全管理体系t强化信息安全的强化信息安全的保障性保障性(二二)作好信息安全风险评估作好信息安全风险评估t是信息安全建设的是信息安全建设的起点起点、也覆盖、也覆盖终生终生t提升信息安全的提升信息安全的可信性可信性构建信息安全保障体系44