第一节 信息安全保障基础 1. 信息安全保障基础 1.1 信息安全的定义:狭义和广义之分。 1.2 信息安全的特点:系统、动态、无边界、非传统。 1.3 信息安全的属性:保密性、完整性、可用性;真实性、不可否认、可追责、可靠性。 1.4 信息安全问题根源:内因和外因,外因包括自然和人为威胁;人为威胁包括故意威胁和非故意威胁。 1.5 信息安全的视角:国家、商业(企业)和个人视角的内容。 2. 信息安全发展阶段 2.1 通信安全:采用加密的措施解决信息窃听、密码分析问题。 2.2 计算机系统安全:采用计算机防护的系列手段,提高系统安全性。 2.3 网络安全:通过防火墙等成熟的措施解决网络信息系统安全问题。 2.4 网络空间安全:防御措施、威慑措施以及情报利用。 3. 了解《国家网络空间安全发展战略》。 第二节 信息安全保障模型 1. P2DR 1.1 P2DR:策略-防护-检测-响应 1.2 P2DR思想:基于时间的防护与安全的有效性 1.3 P2DR公式:Pt>Dt+Rt 那么系统是安全的。 Pt<Dt+Rt,那么(Dt+Rt)- Pt =Et,要求Et<=0 1.4 P2DR作用:实现系统在时间上的防护是有效的。 2. IATF 2.1 IATF核心:人、技术、操作。 2.2 IATF保护方面:本地计算环境、网络基础设施、区域边界,支撑性基础设施。 2.3 IATF思想:深度防护的思想。 2.4 IATF作用:实现被保护的网络系统在空间上每个节点安全有效性。 3.系统安全保护评估框架 3.1 原理: 1)实现全生命周期的安全。 2)通过人员要素、技术要素、管理要素和工程要素来综合实现安全。 3)实现目的是保密性、完整性、可用性,以及最终的业务使命。 3.2 信息系统安全保障评估框架 1)ISPP:标准化信息系统的安全需求。 2)ISST:标准化信息系统的安全方案。 3)评估:技术TCML1-5级;管理MCML1-5级;工程ECML1-5级。 4.商业应用安全架构 4.1 常用的参考:舍伍德的商业应用安全架构(Sherwood AppliedBusiness Security Architecture,SABSA)、Zachman框架、开放群组架构框架(The Open Group Architecture Framework,TOGAF)。 4.2 舍伍德应用安全架构:以业务安全为导向,进行风险的管理,采用模型、方法和流程来进行实现。 4.3 舍伍德应用安全架构生命周期:战略与规划、设计、实施、管理与测量。 4.4 舍伍德应用安全架构的内容层面:背景层、概念层、逻辑层、物理层、组件层、运营层。 第三节 信息安全保障的工作内容 1. 回顾我国已经开展的信息安全工作 1.1 标准化建设:TC260 1.2 应急响应和通报:某公司 1.3 等级保护:5级 1.4 风险评估。 1.5 灾备建设和恢复。 1.6 人才培养。 1.7 法制的建设。 1.8 产业技术发展。 2. 信息安全保障流程 2.1 安全需求:来源于法律法规标准、业务、风险,应形成标准的需求文档ISPP。 2.2 安全设计:标准的安全设计文档是ISST。 2.3 安全实施:参考SSE-CMM标准进行实施。 2.4 安全测评:产品CC标准EAL1-7;系统测评1-5级;服务商1-5级,人员测评CISM和CISP。 2.5 运维阶段:风险监控和风险处理手段。 2.6 系统废弃。 3.风险管理模型: 3.1 基于风险要素关系图:风险要素导向(资产、威胁、脆弱性等)。 3.2 基于COSO的风险管理:治理和战略目标导向。 3.3 基于ITIL的风险管理:IT服务、流程、改进导向的。 3.4 基于COBIT的风险管理:业务商业目标、以活动为依托、以控制目标和措施为手段。 4.风险管理过程GB/Z 24364标准(4阶段+2贯穿)。 4.1 背景建立:了解风险管理对象、业务要求、系统特性、安全特性。 4.2 风险评估:风险评估准备、要素识别、风险分析、结果判定。 4.3 风险处理:通过措施进行处理,降低、转移、规避、接受风险。 4.4 批准监督:对风险管理工作的认可和评价。 4.5 两个贯穿: —监控审查:风险管理过程中的偏查、延误进行纠正和控制。 —沟通咨询:加强风险管理过程的交流和咨询。 |