信息系统等级保护与风险管理.pptx

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,版权所有，盗版必纠,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,版权所有，盗版必纠,*,第,17,章 信息系统等级保护与风险管理,李 剑,北京邮电大学信息安全中心,E-mail:lijian,电话：,130,01936882,版权全部，盗版必纠,信息系统等级保护与风险管理,第1页,概况,信息安全等级保护是指国家经过制订统一信息安全等级保护管理规范和技术标准，组织公民、法人和其它组织对信息系统分等级实施安全保护，对等级保护工作实施进行监督、管理。风险管理是安全管理主要组成部分。它包含：风险评定、风险控制以及依据风险评定结果对信息系统运行中相关事项做出决议。等级保护是基本制度，风险评定是过程，风险管理是目标。,版权全部，盗版必纠,信息系统等级保护与风险管理,第2页,第,17,章 信息系统等级保护与风险管理,17.1,信息安全等级保护,17.1.1,我国信息安全等级保护,17.1.2,国外信息安全等级保护,17.2,信息安全风险管理,17.3,信息系统风险评定,17.3.1,信息安全风险评定概述,17.3.2,信息安全风险评定方法,思索题,版权全部，盗版必纠,信息系统等级保护与风险管理,第3页,17.1,信息安全等级保护,信息,安全等级保护制度,是国家在国民经济和社会信息化发展过程中，提升信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展一项基本制度。实施信息安全等级保护制度，能够充分调动国家、法人和其它组织及公民主动性，发挥各方面作用，到达有效保护目标，增强安全保护整体性、针对性和实效性，使信息系统安全建设愈加突出重点、统一规范、科学合理，对促进我国信息安全发展将起到主要推进作用。,版权全部，盗版必纠,信息系统等级保护与风险管理,第4页,17.1.1,我国信息安全等级保护,1994年国务院颁布 中华人民共和国计算机信息系统安全保护条例要求，“计算机信息系统实施安全等级保护，安全等级划分标准和安全等级保护详细方法，由公安部会同相关部门制订”。1999年9月13日国家公布计算机信息系统安全保护等级划分准则。中央办公厅、国务院办公厅转发国家信息化领导小组关于加强信息安全保障工作意见（中办发 200327 号）明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面主要信息系统，抓紧建立信息安全等级保护制度，制订信息安全等级保护管理方法和技术指南”。年6月，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制订了信息安全等级保护管理方法（以下简称管理方法），明确了信息安全等级保护详细要求。,版权全部，盗版必纠,信息系统等级保护与风险管理,第5页,17.1.1,我国信息安全等级保护,信息安全等级保护制度实施，必将大大提升我国信息安全水平，有力保护我国信息化建设结果。同时，我国相关信息安全企业也将得到实惠。相关技术教授分析，国家对于信息系统以及相关安全产品进行等级划分，会使很多企事业单位安全意识愈加增强，有了这么认识之后，信息安全厂商相关产品才能够被广泛了解，安全厂商能够应针对等级划分要把自己产品进行有针对性调整，相关处理方案是否符合当前信息系统安全需求也能够经过等级评定检验。我国信息系统安全保护等级分为以下五级：,版权全部，盗版必纠,信息系统等级保护与风险管理,第6页,17.1.1,我国信息安全等级保护,(1),第一级为,自主保护级,。由用户来决定怎样对资源进行保护，以及采取何种方式进行保护。,本级别,适合用于普通信息系统,，其受到破坏后，会对,公民、法人,和其它组织正当权益产生损害，但,不损害国家安全,、,社会秩序和公共利益,。,(2),第二级为,指导保护级,。本级安全保护机制支持,用户含有更强自主保护能力,。尤其是含有,访问审记能力,，即它能创建、维护受保护对象访问审计跟踪统计，统计与系统安全相关事件,发生日期、时间、用户,和事件类型等信息，全部和安全相关操作都能够被统计下来，方便当,系统发生安全问题,时，能够依据,审记统计,，分析追查事故责任人。,本级别适合用于普通信息系统，其受到破坏后，会对社会秩序和公共利益造成轻微损害，但不损害国家安全。,(3),第三级为,监督保护级,。含有第二级系统审计保护级全部功效，并对访问者及其访问对象,实施强制访问控制,。经过对访问者和访问对象指定不一样安全标识，限制访问者权限。,本级别适合用于包括国家安全、社会秩序和公共利益主要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成损害。,版权全部，盗版必纠,信息系统等级保护与风险管理,第7页,17.1.1,我国信息安全等级保护,(4),第四级为,强制保护级,。将前三级安全保护能力扩展到全部访问者和访问对象，支持形式化安全保护策略。其本身结构也是结构化，以使之含有相当抗渗透能力。本级安全保护机制能够使信息系统实施一个系统化安全保护。,本级别适合用于包括国家安全、社会秩序和公共利益主要信息系统，,其受到破坏后,，会对,国家安全、社会秩序和公共利益,造成严重损害。,(5),第五级为,专控保护级,。具备第四级全部功效，还含有仲裁访问者能否访问一些对象能力。为此，本级安全保护机制不能被攻击、被篡改，含有极强抗渗透能力。,本级别适合用于包括国家安全、社会秩序和公共利益主要信息系统关键子系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成尤其严重损害。,信息系统运行、使用单位及个人依据,“,信息安全等级保护管理方法,”,和相关技术标准对信息系统进行保护，国家相关信息安全职能部门对其信息安全等级保护工作进行监督管理,版权全部，盗版必纠,信息系统等级保护与风险管理,第8页,17.1.1,我国信息安全等级保护,(1),第一级信息系统运行、使用单位或者个人能够依据,国家管理规范,和技术标准进行保护。,(2),第二级,信息系统运行,、,使用单位应该,依据国家管理规范和技术标准进行保护。必要时，,国家相关信息安全职能部门,能够对其信息安全等级保护工作进行指导。,(3),第三级信息系统,运行、使用单位应该,依据,国家管理规范和技术标准,进行保护，国家相关信息安全职能部门对其信息安全等级保护工作进行,监督,、检验。,(4),第四级信息系统运行、使用单位应该依据国家管理规范和技术标准进行保护，国家相关信息,安全职能部门,对其信息安全等级保护工作进行,强制监督、检验,。,(5),第五级信息系统运行、使用单位应该依据,国家管理规范和技术标准,进行保护，国家指定专门部门或者专门机构对,其信息安全等级保护工作,进行专门监督、检验。,信息安全等级保护主要内容如图,17.1,所表示，大方面分为,技术要求,和,管理要求,。技术要求分为,物理安全、网络安全、主机安全、应用安全和数据安全,。管理要求又分为,安全管理机构、安全管理制度、人员安全管事、系统建设,管理和,系统运维管理,。,版权全部，盗版必纠,信息系统等级保护与风险管理,第9页,17.1.1,我国信息安全等级保护,版权全部，盗版必纠,信息系统等级保护与风险管理,第10页,17.1.1,我国信息安全等级保护,信息系统等级保护实施生命周期内主要活动有四个阶段，包含,定级阶段,、,规划设计阶段,、,安全实施,/,实现阶段,、,安全运行管理,阶段，如图所表示。,版权全部，盗版必纠,信息系统等级保护与风险管理,第11页,17.1.1,我国信息安全等级保护,版权全部，盗版必纠,信息系统等级保护与风险管理,第12页,17.1.2,国外信息安全等级保护,第一个相关信息技术安全评价标准诞生于八十年代美国，就是著名,“,可信计算机系统评价准则,”,（,TCSEC,又称桔皮书）。该准则对计算机操作系统安全性要求了不一样等级,.,从九十年代开始,一些国家与国际组织相继提出了新安全评价准则。,1991,年，欧共体公布了,“,信息技术安全评价准则,”,（,ITSEC,）。,1993,年,加拿大公布了,“,加拿大可信计算机产品评价准则,”,（,CTCPEC,）,CTCPEC,综合了,TCSEC,与,ITSEC,两个准则优点。同年，美国在对,TCSEC,进行修改补充并吸收,ITSEC,优点基础上，公布了,“,信息技术安全评价联邦准则,”,（,FC,）。,版权全部，盗版必纠,信息系统等级保护与风险管理,第13页,17.1.2,国外信息安全等级保护,美国，作为一直走在信息安全前列大国，近几年来在信息系统安全方面，突出表达了对信息系统分类分级实施保护发展思绪，制订了一系列体系化标准和指南性文件，并依据相关技术标准、指南，对联邦政府一些主要信息系统已实现了安全分级，并在整体上表达了分级保护、管理思想。下面主要介绍,“,可信计算机系统评价准则,”,，即桔皮书。,版权全部，盗版必纠,信息系统等级保护与风险管理,第14页,17.1.2,国外信息安全等级保护,桔皮书是美国国家安全局（,NSA,）国家电脑安全中心（,NCSC,）颁布官方标准，其正式名称为,“,受信任电脑系统评价标准,”,（,TCSEC,：,Trusted Computer System Evaluation CRITERIA,）,.,当前，桔皮书是权威性电脑系统安全标准之一，它将一个电脑系统可接收信任程度给予分级，依照安全性从高到低划分为,A,，,B,，,C,，,D,四个等级，其中这些安全等级不是线性，而是指数级上升。桔皮书将计算机安全由低到高分为四类七级：,D1,、,C1,、,C2,、,B1,、,B2,、,B3,、,A1,。其中,D1,级是不具备最低安全程度等级，,C1,和,C2,级是具备最低安全程度等级，,B1,和,B2,级是含有中等安全保护能力等级，,B3,和,A1,属于最高安全等级。,D1,级：计算机安全最低一级，不要求用户进行用户登录和密码保护，任何人都能够使用，整个系统是不可信任，硬件软件都易被侵袭。,版权全部，盗版必纠,信息系统等级保护与风险管理,第15页,17.1.2,国外信息安全等级保护,C1,级：自主安全保护级，要求硬件有一定安全级（如计算机带锁），用户必须经过登录认证方可使用系统，并建立了访问许可权限机制。,C2,级：受控存取保护级，比,C1,级增加了几个特征：引进了受控访问环境，深入限制了用户执行一些系统指令；授权分级使系统管理员给用户分组，授予他们访问一些程序和分级目录权限；采取系统审计，跟踪统计全部安全事件及系统管理员工作。,版权全部，盗版必纠,信息系统等级保护与风险管理,第16页,17.1.2,国外信息安全等级保护,B1,级：标识安全保护级，对网络上每个对象都予实施保护；支持多级安全，对网络、应用程序工作站实施不一样安全策略；对象必须在访问控制之下，不允许拥有者自己改变所属资源权限。,B2,级：结构化保护级，对网络和计算机系统中全部对象都加以定义，给一个标签；为工作站、终端等设备分配不一样安全级别；按最小特权标准取消权力无限大特权用户。,B3,级：安全域级，要求用户工作站或终端必须经过信任路径连接到网络系统内部主机上；采取硬件来保护系统数据存放区；依据最小特权标准，增加了系统安全员，将系统管理员、系统操作员和系统安全员职责分离，将人为原因对计算机安全威胁减至最小。,版权全部，盗版必纠,信息系统等级保护与风险管理,第17页,17.1.2,国外信息安全等级保护,A1,级：验证设计级，是计算机安全级中最高一级，本级包含了以上各级别全部办法，并附加了一个安全系统受监视设计；合格个体必须经过分析并经过这一设计；全部组成系统部件起源都必须有安全确保；还要求了将安全计算机系统运输到现场安装所必须恪守程序。,版权全部，盗版必纠,信息系统等级保护与风险管理,第18页,17.2,信息安全风险管理,信息安全风险管理是信息安全管理主要组成部分，它是信息安全等级保护基础。,1.,风险,(Risk),风险指在某一特定环境下，在某一特定时间段内，特定威胁利用资产一个或一组微弱点，造成资产丢失或损害潜在可能性，即特定威胁事件发生可能性与后果结合。,ISO 27001,要求组织经过风险评定来识别组织潜在风险及其大小，并按照风险大小安排控制办法优先等级。比如，在使用计算机时候，假如安装了,360,安全卫士等安全工具，则有时会出现如图,17.3,所表示安全风险告警。,版权全部，盗版必纠,信息系统等级保护与风险管理,第19页,17.2,信息安全风险管理,版权全部，盗版必纠,信息系统等级保护与风险管理,第20页,17.2,信息安全风险管理,版权全部，盗版必纠,信息系统等级保护与风险管理,第21页,17.2,信息安全风险管理,2.,风险评定,(Risk Assessment),风险评定有时候也称为风险分析，是组织使用适当风险评定工具，对信息和信息处理设施威胁,(Threat),、影响,(Impact),和微弱点,(Vulnerability),及其发生可能性评定，也就是确认安全风险及其大小过程。,风险评定是信息安全管理基础，它为安全管理后续工作提供方向和依据，后续工作优先等级和关注程度都是由信息安全风险决定，而且安全控制效果也必须经过对剩下风险评定来衡量。,风险评定是在一定范围内识别所存在信息安全风险，并确定其大小过程。风险评定确保信息安全管理活动能够有放矢，将有限信息安全预算应用到最需要地方，风险评定是风险管理前提。,版权全部，盗版必纠,信息系统等级保护与风险管理,第22页,17.2,信息安全风险管理,3.,风险管理,(Risk Management),风险管理以可接收费用识别、控制、降低或消除可能影响信息系统安全风险过程。风险管理经过风险评定来识别风险大小，经过制订信息安全方针，选择适当控制目标与控制方式使风险得到防止、转移或降至一个可被接收水平。在风险管理方面应考虑控制费用与风险之间平衡。,版权全部，盗版必纠,信息系统等级保护与风险管理,第23页,17.3,信息系统风险评定,17.3.1,信息安全风险评定概述,风险评定意义在于对风险认识，而风险处理过程，能够在考虑了管理成本后，选择适合企业本身控制方法，对同类风险原因采取相同基线控制，这么有利于在确保效果前提下降低风险评定成本。如图,17.5,所表示为信息安全风险评定要素。,版权全部，盗版必纠,信息系统等级保护与风险管理,第24页,17.3.1,信息安全风险评定概述,版权全部，盗版必纠,信息系统等级保护与风险管理,第25页,17.3.1,信息安全风险评定概述,针对风险评定工程实现，,SSE-CMM,、,OCTAVE,等标准和方法对评定过程给予了很好指导。常规风险评定方法包含以下阶段：项目准备阶段、项目执行阶段、项目维护阶段。,为保障评定规范性、一致性，降低人工成本，当前国内外普遍开发了一系列评定工具。其中，网络评定工具主要有,Nessus,、,Retina,、天镜、,ISS,、,N-Stalker,等漏洞扫描工具，依靠这些网络扫描工具，能够对网络设备、主机进行漏洞扫描，给出技术层面存在安全漏洞、等级和处理方案提议。,管理评定工具主要有以,BS 7799-1,（,ISO/IEC 17799,）为基础,COBRA,、天清等，借助管理评定工具，结合问卷式调察访谈，能够给出不一样安全管理域在安全管理方面存在脆弱性和各领域安全等级，给出基于标准策略提议。,版权全部，盗版必纠,信息系统等级保护与风险管理,第26页,17.3.2,信息安全风险评定方法,主要风险评定方法有以下,6,种：,(1),定制个性化评定方法,即使已经有许多标准评定方法和流程，但在实践过程中，不应只是这些方法套用和拷贝，而是以他们作为参考，依据企业特点及安全风险评定能力，进行,“,基因,”,重组，定制个性化评定方法，使得评定服务含有可裁剪性和灵活性。评定种类普通有整体评定、,IT,安全评定、渗透测试、边界评定、网络结构评定、脆弱性扫描、策略评定、应用风险评定等。,(2),安全整体框架设计,风险评定目标，不但在于明确风险，更主要是为管理风险提供基础和依据。作为评定直接输出，用于进行风险管理安全整体框架，最少应该明确。不过因为不一样企业环境差异、需求差异，加上在操作层面可参考模板极少，使得整体框架应用较少。不过，企业最少应该完成近期,1,2,年内框架，这么才能做到有律可依。,版权全部，盗版必纠,信息系统等级保护与风险管理,第27页,17.3.2,信息安全风险评定方法,(3),多用户决议评定,不一样层面用户能看到不一样问题，要全方面了解风险，必须进行多用户沟通评定。将评定过程作为多用户,“,决议,”,过程，对于了解风险、了解风险、管理风险、落实施动，含有极大意义。事实证实，多用户参加效果非常显著。多用户,“,决议,”,评定，也需要一个详细流程和方法。,(4),敏感性分析,企业系统越发复杂且相互关联，使得风险越来越隐蔽。要提升评定效果，必须进行深入关联分析，比如对一个漏洞，不是简单地分析它影响和处理办法，而是要推断出可能相关其它技术和管理漏洞，找出病,“,根,”,，开出有效,“,处方,”,。这需要强大评定经验知识库支撑，同时要求评定者含有敏锐分析能力。,版权全部，盗版必纠,信息系统等级保护与风险管理,第28页,17.3.2,信息安全风险评定方法,(5),集中化决议管理,安全风险评定需要含有各种知识和能力人参加，对这些能力和知识管理，有利于提升评定效果。集中化决议管理，是评定项目成功保障条件之一，它不但是项目管理问题，而且是知识、能力等,“,基因,”,组合利用。必须选取含有特殊技能人，去执行对应关键任务。如控制台审计和渗透性测试，由不具备攻防经验和知识人执行，就达不到任何效果。,(6),评定结果管理,安全风险评定输出，不应是文档堆砌，而是一套能够进行统计、管理系统。它可能不是一个完整风险管理系统，但最少是一个非常主要可管理风险表述系统。企业需要这么评定管理系统，使用它来指导评定过程，管理评定结果，方便在管理层面提升评定效果。,版权全部，盗版必纠,信息系统等级保护与风险管理,第29页,思索题,1,简述我国等级保护主要内容。,2,简述美国,“,桔皮书,”,中等级保护主要内容。,3,等级保护和风险评定关系是什么？,4,为何要进行等级保护？,5,为何要进行风险评定？,6,风险评定要素有哪些？,7,风险评定主要方法有哪些？,版权全部，盗版必纠,信息系统等级保护与风险管理,第30页,返回,Thanks For Attendance!,致 谢,版权全部，盗版必纠,信息系统等级保护与风险管理,第31页,