a
11
原则
a
12
原则——风险管理
• 风险管理 • 了解威胁 • 了解资产和业务 • 了解保障措施
a
13
安全的三个相对性原则
• 安全没有绝对，没有100% • 实践安全相对性的三个原则
– 风险原则——适合商业机构 – 生存原则——适合强力机构 – 保镖原则——适合涉密机构
a
14
风险管理
• 风险管理的理念从90年代开始，已经逐步成为引导信息安全技术应用的核心 理念
• 物理问题
– 设备故障 – 环境事故 – 自然灾害
a
25
针对威胁的主要技术
• 针对恶意代码 – 防火墙、防病毒、入侵检测、漏洞扫描…
• 违规操作 – 流量监控、审计、应用系统安全措施…
• 恶意信息 – 内容监控、内容过滤、加密…
• 物理问题 – 容灾、备份…
a
26
了解资产和业务
三要素风险模型：R3-AST
• 子网和边界分析
• 路径和节点分析
a
31
中国移动2004年的6个试点项目
• 安全域划分与边界整合 • 服务与端口管理 • 生产终端统一管理 • 安全帐号口令 • 安全补丁与版本管理 • 安全预警
a
32
通过安全域理解6个试点项目的安排
边界接入域
生互联产网终接端入区统一管外理联网接安入全区补丁与内联版网本接管入区理
a
15
ISO13335中的风险管理的关系图
a
16
ISO13335以风险为核心的安全模型
威胁 利用 漏洞
抗击
增加
增加
一般风险评估的
暴露
理论基础
防护措施 降低
风险
信息资产
被满足
引出
增加
拥有
防
18
国信办报告中的风险９要素关系图
使命
依赖
脆弱性
暴露
资产
未被满足
拥有
资产价值
成本
增 加
利用
低 降
残留
加 增
演变成
安全管理平威 胁台中 增 加
风险
抗击
实时风险监控
的理论基事 件础 可 能 诱 发 残 余 风 险
导出 未控制
被满 足
安全需求 安全措施
a
19
德国ITBPM
德国信息安全局发布的ITBPM
IT Components
IT部件
Safeguards 保障措施
Threats 威胁
复杂 – 内部发生恶意和非恶意
的可能性越来越大 – 威胁传递和放大的情况
更加严重
a
24
威胁的总结
• 恶意代码
– 人为发起的越权和入 侵类
– 病毒、蠕虫等传播类 – 发起的拒绝服务攻击
类
• 违规操作
– 误操作 – 违规业务
• 恶意信息
– 恶意传播有害信息
– 垃圾信息（垃圾短信、 垃圾邮件等）
– 信息泄漏
机构内网
公共网络 广域网络
核心业务
对外发布 对外业务渠道
异地内网
内部业务 OA、财务等
业务支撑
安全保障
异地灾备
a
29
ITA分析初探-层次
使命和价值 人员和组织
数据和介质 应用和业务 主机和系统 网络与通信
物理和环境
a
30
ITA分析初探-分布式
• 从安全角度梳理网络结构的主要方法 – 节点路径法 – 子网边界法 – 安全域方法
a
9
加强信息安全保障工作-主要原则
• 主要原则： – 立足国情，以我为主， – 坚持管理与技术并重； – 正确处理安全与发展的关系，以安全保发展，在发展中求安全； – 统筹规划，突出重点，强化基础性工作； – 明确国家、企业、个人的责任和义务，充分发挥各方面的积极性， 共同构筑国家信息安全保障体系。
构建信息安全保障体系
——使命、原则、框架、执行和实践
2006年11月
a
1
三观论
宏观 中观 微观
a
2
摘要
• 使命——27号文 • 原则——风险管理 • 框架——信息安全保障框架 • 执行
– IT风险管理的业务化 – 从风险管理到合规性管理 • 实践 – 安全域 – 安全管理平台
a
3
使命
a
4
问题
内部网接入区
计算环境 一般服务区
计算环境 重要服务区
计 算
服务与端口管理 安全帐号口令
环
计算环境 核心区
境 域
网络基础设施域
支撑性设施域
安全域划分与边界整合 骨干区 汇集区
接入安区 全预安系警全统
• 什么是信息安全？ • 到底要解决那些问题？ • 怎么实施信息安全建设？
a
5
问题
• 什么是信息安全？ – 通过回答最根本的问题，帮助我们探究事物的本原。
• 到底要解决那些问题？ – 明确工作的目标和要求，从一个大的广泛的概念中寻找自身的定位。
• 怎么实施信息安全建设？ – 通过回答最实际的问题，帮助我们获得需要的实效。
a
20
最精简的风险管理３要素
三要素风险模型：R3-AST
资产和业务 Asset
保障措施 Safeguard
威胁 Threat
a
21
三法则
• Q3-WWH • 三问题：什么/为什么/怎么 • R3-AST • 风险三要素：资产业务/保障措施/威胁
a
22
了解威胁
三要素风险模型：R3-AST
资产和业务 Asset
a
6
三法则
• Q3-WWH • 三问题：什么/为什么/怎么
a
7
中办发[2003]27号
国家信息化领导小组关于 加强信息安全保障工作的意见
（2003年8月26日）
a
8
加强信息安全保障工作-总体要求
• 总体要求： – 坚持积极防御、综合防范的方针， – 全面提高信息安全防护能力， – 重点保障基础信息网络和重要信息系统安全， – 创建安全健康的网络环境， – 保障和促进信息化发展， – 保护公众利益，维护国家安全。
资产和业务 Asset
保障措施 Safeguard
威胁 Threat
a
27
怎么了解资产和业务（IT相关）
• 分析信息体系架构ITA – 业务系统 – 网络分布形态 – 系统的层次性 – 技术和管理 – 时间（生命周期） – 价值（资产价值、影响价值、投入） – ……
a
28
机构典型的ITA及其安全思维
保障措施 Safeguard
威胁 Threat
a
23
威胁趋势
• 外部威胁环境
– 危害的频度、范围越来越 大
– 威胁的方面越来越综合 – 攻击的技术含量越来越大 – 攻击的技术成本越来越低 – 攻击的法律风险还难于真
正体现
– ……
• 内部威胁和物理威胁
– 系统的环境越来越复杂 – 系统自身的结构越来越
a
10
加强信息安全保障工作-九项任务
• 系统等级保护和风险管理 • 基于密码技术的信息保护和信任体系 • 网络信息安全监控体系 • 应急处理体系 • 加强技术研究，推进产业发展 • 法制建设、标准化建设 • 人才培养与全民安全意识 • 保证信息安全资金
• 加强对信息安全保障工作的领导，建立健全信息 安全管理责任制