cisp0303信息安全控制措施v30演示教學

信息平安控制措施培訓機構名稱講師姓名版本：3.0發(fā)布日期：2021-12-1生效日期：2021-1-1內容組織結構每個主要平安控制措施類別，包括：一個或多個控制目標，聲明要實現什么對于每個控制目標，包含一項或多項控制措施，可被用于實現該控制目標不是所有的控制措施適用于任何場合，它也不會考慮到使用者的具體環(huán)境和技術限制，也不可能對一個組織中所有人都適用211個類別39個目標133個控制措施課程內容3知識體知識域知識子域信息平安管理體系信息平安管理體系建設人力資源安全信息安全組織安全方針物理和環(huán)境安全信息平安管理體系根底資產管理信息平安控制措施通信和操作管理訪問控制信息系統獲取、開發(fā)和維護符合性知識域：信息平安控制措施知識子域：平安方針理解信息平安方針控制目標的含義掌握信息平安方針文件和信息平安方針評審兩項措施的常規(guī)控制方法4Why?有沒有遇到過這樣的事情？案例1有單位領導說：“聽說信息平安工作很重要，可是我不知道對于我們單位來說到底有多重要，也不知道究竟有哪些信息是需要保護的。〞5平安方針控制目標 〔1〕信息平安方針6信息平安方針控制目標:組織的平安方針能夠依據業(yè)務要求和相關法律法規(guī)提供信息平安管理指導并支持信息平安控制措施信息平安方針文件信息平安方針文件應由管理者批準、發(fā)布并傳達給所有員工和外部相關方信息平安方針評審應按方案的時間間隔或當重大變化發(fā)生時進行信息平安方針評審，以確保其持續(xù)的適宜性、充分性和有效性7信息平安方針應符合實際情況，切實可行。對方針的落實尤為重要信息平安方針文件信息平安方針是陳述管理者的管理意圖，說明信息平安工作目標和原那么的文件信息平安方針應當說明以下內容：本單位信息平安的整體目標、范圍以及重要性信息平安工作的根本原那么風險評估和風險控制措施的架構需要遵守的法規(guī)和制度信息平安責任分配對支持方針的文件的引用8信息平安方針主要闡述信息平安工作的原那么，具體的技術實現問題，如設備的選型，系統的平安技術方案一般不寫在平安方針中Why?有沒有遇到過這樣的事情？案例1我是一名網絡管理員，發(fā)現最近來自外部的病毒攻擊很猖獗，要是有15萬買個防毒墻就解決問題了，找誰要這筆錢，誰來采購？案例2我是一名普通工作人員，我的內網計算機上不了外網沒方法打補丁，我該找誰獲得幫助？應該有一群人，至少包括單位領導、技術部門和行政部門的人組織在一起，專門負責信息平安的事10信息平安組織控制目標 〔1〕內部組織 〔2〕外部各方11(1)內部組織控制目標：實現對組織內部的信息平安管理控制措施：信息平安的管理承諾12信息平安協調信息平安職責的分配信息處理設施的授權過程保密性協議與政府部門的聯系與特定利益集團的聯系信息平安的獨立評審信息平安的管理承諾高層管理者參與信息平安建設，負責重大決策，提供資源，并對工作方向、職責分配給出清晰的說明高層管理者就是說了算的，可以給人、給錢、給設備，提出工作要求還給與資源保障的人13信息平安協調不僅僅由信息化技術部門參與，與信息平安相關的部門〔如行政、人事、安保、采購、外聯〕都應參與到組織體系中各司其責，協調配合。因此需要協調信息平安工作和其他工作一樣不是某個個人、某個部門就可以完成的信息技術部門是信息平安組織中的重要執(zhí)行機構，但不是全部14機構內部達成共識防止流于形式或作假信息平安職責的分配為有效實施信息平安管理，保障和實施系統的信息平安，應在機構內部建立信息平安組織，明確角色和職責信息平安責任的重要性在一個機構中，平安角色與責任的不明確是實施信息平安過程中的最大障礙，建立平安組織與落實責任是實施信息平安管理的第一步15與政府部門的聯系、

與特定利益集團的聯系要注意充分利用外部資源，與上級主管單位、國家職能部門、設備和根底設施提供商、平安效勞商、有關專家保持良好的溝通和合作關系例如與電力部門建立良好的協作關系，停電了，UPS的電也要用光了，電力部門可以開個發(fā)電車來解決關鍵信息系統臨時電力供給16(2)外部各方控制目標：保持組織被外部各方訪問、處理、管理或與外部進行通信的信息和信息處理設施的平安控制措施：與外部各方相關風險的識別17處理外部各方協議中的平安問題訪問風險：維護軟件設備的承包商清潔、送餐人員外部咨詢人員審核人員知識域：信息平安控制措施知識子域：資產管理理解對資產負責控制目標的含義，掌握資產清單、資產責任人等控制措施的實施方法理解信息分類控制目標的含義，掌握分類指南、信息的標記和處理等控制措施的實施方法18Why？那些曾經發(fā)生過的事：案例1：某單位欲安裝一臺網絡防火墻，卻發(fā)現沒有人可以說清楚當前的真實網絡拓撲情況，也沒有人能說清楚系統中有哪些效勞器，這些效勞器運行了哪些應用系統。案例2：某單位信息平安評估，發(fā)現大局部效勞器平安狀況良好，只有一臺效勞器存在嚴重平安漏洞。研究整改措施時，發(fā)現平時沒有人對該效勞器的平安負責。19資產管理控制目標 〔1〕對資產負責 〔2〕信息分類20(1)對資產負責控制目標：實現和保持對組織資產的適當保護控制措施：資產清單21資產責任人資產的可接受使用資產清單信息平安管理工作的直接目的是保護組織的資產資產包括：信息：業(yè)務數據、合同協議、科研材料、操作手冊、系統配置、審計記錄、制度流程等軟件：應用軟件、系統軟件、開發(fā)工具物理資產：計算機設備、通信設備、存儲介質等效勞：通信效勞、供暖、照明、能源等人員無形資產，如品牌、聲譽和形象22資產責任人明確資產責任列出資產清單，明確保護對象明確資產受保護的程度明確誰對資產的平安負責23(2)信息分類控制目標：確保信息受到適當級別的保護控制措施：分類指南24信息的標記和處理分類指南分類依據根據信息的價值、法律要求和對組織的敏感程度進行分類關注點、重點不同直接影響信息分類軍事機構更加關注機密信息的保護，私有企業(yè)通常更加關注數據的完整性和可用性25分類必要步驟定義分類類別說明決定信息分類的標準制定每種分類所需的平安控制，或保護機制建立一個定期審查信息分類與所有權的程序讓所有員工了解如何處理各種不同分類信息分類指南建議分類方法不宜復雜，否那么容易造成混亂每種分類應唯一區(qū)別于其它分類，同時不能有任何重疊分類過程還應簡單說明如何在其生命周期內控制并處理26信息的標記和處理標識信息類別，說明文件的密級、存儲介質的種類〔如內網專用U盤〕規(guī)定重要敏感信息的平安處理、存儲、傳輸、刪除和銷毀的程序27知識域：信息平安控制措施知識子域：人力資源平安理解任用前控制目標的含義，掌握角色和職責、審查等控制措施的實施方法理解任用中控制目標的含義，掌握管理職責、信息平安意識教育和培訓等控制措施的實施方法理解任用的終止或變化控制目標的含義，掌握終止職責、撤銷訪問權等控制措施的實施方法28Why?那些曾經發(fā)生過的事：案例一：2021年3月中旬，匯豐控股發(fā)布公告，其旗下匯豐私人銀行(瑞士)的一名IT員工，曾于三年前竊取了銀行客戶的資料，失竊的資料涉及1.5萬名于2006年10月前在瑞士開戶的現有客戶。有鑒于此，匯豐銀行三年來共投放1億瑞士法郎，用來將IT系統升級并加強保安。這讓人想起了?論語?中的一句話：“吾恐季孫之憂，不在顓〔zhuan〕臾〔yu〕，而在蕭墻之內也。〞蕭墻之禍比喻災禍、變亂由內部原因所致。案例二：某單位負責信息化工作的領導說：“為什么要買防火墻？我們蓋樓時是嚴格按照國家消防有關規(guī)定施工的呀！〞29人力資源平安控制目標 〔1〕任用前 〔2〕任用中 〔3〕任用的終止或變化30(1)任用前控制目標：確保雇員、承包方人員和第三方人員理解其工作職責并適合預期角色，以降低設施被竊、欺詐和誤用的風險控制措施：角色和職責31審查作用條款和條件任用前對擔任敏感和重要崗位的人員要考察其身份、學歷和技術背景、工作履歷和以往的違法違規(guī)記錄要在合同或專門的協議中，明確其信息平安職責明確人員遵守平安規(guī)章制度、執(zhí)行特定的信息平安工作、報告平安事件或潛在風險的責任32(2)任用中控制目標：確保所有雇員、承包方和第三方人員了解信息平安威脅和危害，明確其工作應承擔的平安職責和義務，如果違反平安規(guī)定將會受到的紀律處理，通過平安培訓使其掌握信息處理設施的平安正確使用方法，以減少人為過失造成的風險控制措施：管理職責33信息平安意識、教育和培訓紀律處理過程任用中保證其充分了解所在崗位的信息平安角色和職責有針對性地進行信息平安意識教育和技能培訓及時有效的懲戒措施34(3)任用的終止或變化控制目標：確保雇員、承包方人員和第三方人員以一個標準的方式退出一個組織或改變其任用關系，包括調換崗位或崗位職責發(fā)生變化控制措施：終止職責35資產的歸還撤銷訪問權離職可能引發(fā)的平安隱患未刪除的賬戶未收回的各種權限VPN、遠程主機、企業(yè)郵箱和VoIP等應用其它隱含信息網絡架構、規(guī)劃，存在的漏洞同事的賬戶、口令和使用習慣等這些信息和權限如果被離職的員工和攻擊者們惡意利用，很容易導致信息平安事件36任用的終止終止職責：組織應該清晰定義和分配負責執(zhí)行任用終止或任用變更的相關職責，如通知相關人員人事變化，向離職者重申離職后仍需遵守的規(guī)定和承擔的義務歸還資產：保證離職人員歸還軟件、電腦、存儲設備、文件和其他設備撤銷訪問權限：撤銷用戶名、門禁卡、密鑰、數字證書等37知識域：信息平安控制措施知識子域：物理和環(huán)境平安理解人身平安的重要性理解平安區(qū)域控制目標的含義，掌握物理平安邊界、物理入口控制等控制措施的實施方法理解設備平安控制目標的含義，掌握設備安置和保護、支持性設施等控制措施的實施方法38Why？那些曾經發(fā)生過的事：案例1：間諜潛入機房，直接用移動硬盤將效勞器中的重要數據拷貝走。案例2：機房中氣溫過高，導致計算機無法正常運行，造成業(yè)務中斷。39物理和環(huán)境平安的范疇物理〔Physical〕：身體的、物質的、自然的身體的：人身平安是物理平安首要考慮的問題，因為人也是信息系統的一局部物質的：承載信息的物質，包括信息存儲、處理、傳輸和顯示的設施和設備自然的：自然環(huán)境的保障，如溫度、濕度、電力、災害等40物理和環(huán)境平安控制目標 〔1〕平安區(qū)域 〔2〕設備平安41(1)平安區(qū)域控制目標：防止對組織場所和信息的未授權物理訪問、損壞和干擾，關鍵或敏感的信息及信息處理設施應放在平安區(qū)域內，并受到相應保護控制措施：物理平安邊界42物理入口控制辦公室、房間和設施的平安保護外部和環(huán)境威脅的平安防護在平安區(qū)域工作公共訪問、交接區(qū)平安物理平安邊界周邊入侵檢測系統用來探測未經授權而進入的人，并發(fā)出警報現在最常用的入侵監(jiān)測系統是機電式的，能夠探測到電路的變化或斷路，例如：窗戶貼，繃緊線等一個常被忽略的脆弱點——報警系統閉路電視使用照相機通過傳輸媒介將圖片傳送到連接的顯示器的電視傳輸系統〔三個主要的組件〕傳輸媒介可以使用同軸電纜、光纜、微波、無線電波、或紅外光束與播送電視是不同的，盡管也是點對點的無線連接，但CCTV的信號不是公開傳輸的43物理入口控制必須弄清來訪者的身份，并將其進入與離開平安區(qū)域的日期與時間記錄起來所有人員配戴識別證44物理入口控制卡訪問控制磁卡、非接觸卡等生物特征系統生理特征：指紋、視網膜、聲音、手形等行為特征：簽名45辦公室、房間和設施的平安保護平安區(qū)域關鍵設備應放在公眾無法進入的地方防止寫出“機房重地，請勿進入〞的字樣平安區(qū)內，各種打印機、復印機設備齊全設備如果放在平安區(qū)內，可以降低對該設備的保護級別46(2)設備平安控制目標：防止資產的喪失、損壞、失竊或危及資產平安以及組織活動的中斷控制措施：設備安置和保護47支持性設施布纜平安設備維護組織場所外的設備平安設備的平安處置和再利用資產的轉移設備安置和保護來自空中的威脅

——TEMPEST(抑制和防止電磁泄露)途徑以電磁波形式的輻射泄露；電源線、控制線、信號線和地線造成的傳導泄露危害使各系統設備相互干擾，降低設備性能電磁泄露會造成信息暴露電磁輻射強度影響因素功率和頻率距離因素屏蔽狀況預防措施選用低輻射設備利用噪聲干擾源采取屏蔽措施距離防護采用微波吸收材料48設備運行的良好環(huán)境建設機房，應當參照有關國家標準，如GB50174-2021?電子信息系統機房設計標準?機房的選址和設備的放置要考慮火災、地震、洪水、風暴等可能的自然威脅，以及爆炸、蓄意破壞、盜竊、恐怖襲擊、暴動等可能的人為威脅機房、辦公場所和通信線路鋪設需要考慮通信中斷、電力中斷等支撐性根底設施失效的問題支持性設施電力供給——關系到企業(yè)的營運是否正常電源：防止電源故障與供電不正常的現象多路供電、不間斷電源UPS、備用發(fā)電機49支持性設施HVAC〔適當的供暖、通風和空調〕數據中心或效勞器機房的空調控制應當與大樓其它局部隔離計算機房空調不同于舒適性空調和常規(guī)恒溫恒濕空調消防設施：火災的預防、檢測和排除火災燃燒的條件火災預防-減少火災起因火災檢測-在火災發(fā)生前，接受火災警報滅火-如何滅火，并降低到最小損失50人身平安的重要性以人為本，人身平安最重要不要忘記人是系統資產的重要組成局部辦公室、機房應為操作人員提供健康的工作環(huán)境突發(fā)災難時，人身平安是首先需要保障的51知識域：信息平安控制措施知識子域：通信和操作管理理解操作程序和職責、第三方效勞交付管理、系統規(guī)劃和驗收、防范惡意代碼、備份、網絡平安管理、介質處置、信息的交換、電子商務效勞、監(jiān)視和訪問控制這些控制目標的含義掌握實現這些控制目標的控制措施的實施方法52Why？案例1：２００７年８月３０日，美國空軍一架Ｂ－５２戰(zhàn)略轟炸機誤裝６枚核彈后，從北部的北達科他州飛往南部的路易斯安那州。這一空前事件顯示了美國空軍對核武器指揮和控制體系中的漏洞。案例2：數據庫管理員由于疏忽進行了誤操作,將重要的信息刪除了。案例3：涉密計算機出現故障硬盤數據喪失，使用人員將硬盤拿到社會上的數據恢復公司進行恢復，造成秘密泄露。53通信和操作管理控制目標 〔1〕操作程序和職責 〔2〕第三方效勞交付管理 〔3〕系統規(guī)劃和驗收 〔4〕防范惡意代碼 〔5〕備份 〔6〕網絡平安管理 〔7〕介質處置 〔8〕信息的交換 〔9〕電子商務效勞 〔10〕監(jiān)視54(1)操作程序和職責控制目標：確保正確、平安地操作信息處理設施控制措施：文件化的操作程序55變更管理責任分割開發(fā)、測試和運行設施別離(2)第三方效勞交付管理控制目標：對第三方效勞進行管理，使其交付的效勞符合第三方效勞交付協議，并保持在適當水平控制措施：效勞交付56第三方效勞的監(jiān)視和評審第三方效勞的變更管理(3)系統規(guī)劃和驗收控制目標：將系統失效的風險降至最小控制措施：容量管理57系統驗收(4)防范惡意代碼控制目標：保護軟件和信息的完整性控制措施：控制惡意代碼58(5)備份控制目標：保持信息和信息處理設施的完整性及可用性控制措施：信息備份59備份資料必須給予適當級別與保護定期測試備份介質定期檢查與測試恢復步驟(6)網絡平安管理控制目標：確保網絡中信息和支持性根底設施的平安性控制措施：網絡控制60網絡效勞平安(7)介質處置控制目標：防止資產遭受未授權泄露、修改、移動、銷毀及業(yè)務活動的中斷控制措施：可移動介質的管理61介質的處置(8)信息的交換控制目標：保持組織內以及與外部組織信息和軟件交換的平安控制措施：信息交換策略和規(guī)程62交換協議運輸中的物理介質電子消息發(fā)送(9)電子商務效勞控制目標：確保電子商務效勞及使用的平安控制措施：電子商務63在線交易(10)監(jiān)視控制目標：檢測未經授權的信息處理活動控制措施：審計日志64監(jiān)視系統的使用日志信息的保護管理員和操作員日志故障日志時鐘同步知識域：信息平安控制措施知識子域：訪問控制理解訪問控制的業(yè)務要求、用戶訪問管理、用戶職責、網絡訪問控制、操作系統訪問控制、應用和信息訪問控制、移動計算和遠程工作這些控制目標的含義掌握實現這些控制目標的控制措施的實施方法65Why?案例1：飛機登機，旅客的身份證號區(qū)別了不同的人，身份證證明確實是這名旅客來乘機，安檢人員觀察身份證和登機牌，掃描違禁物品后允許乘客登上機票中規(guī)定的航班。案例2：登錄網站，用戶ID區(qū)別了不同的用戶，輸入登錄密碼確定是這位用戶，網絡防火墻和效勞器的權限管理系統允許用戶使用網站中可以使用的功能。66訪問控制控制目標 〔1〕訪問控制的業(yè)務要求 〔2〕用戶訪問管理 〔3〕用戶職責 〔4〕網絡訪問控制 〔5〕操作系統訪問控制 〔6〕應用和信息訪問控制 〔7〕移動計算和遠程工作67(1)訪問控制的業(yè)務要求控制目標：基于業(yè)務目標和業(yè)務原那么來控制對信息的訪問控制措施：訪問控制策略68(2)用戶訪問管理控制目標：確保授權用戶能夠訪問信息系統，防止非授權的訪問控制措施：用戶注冊69特殊權限管理用戶口令管理用戶訪問權的復查(3)用戶職責控制目標：防止未授權用戶對信息和信息處理設施的訪問、危害或竊取控制措施：口令使用70無人值守的用戶設備清空桌面和屏幕策略(4)網絡訪問控制控制目標：防止對網絡效勞的未授權訪問控制措施：使用網絡效勞的策略71網絡隔離(5)操作系統訪問控制控制目標：防止對操作系統的未授權訪問控制措施：平安登錄規(guī)程72用戶標識和鑒別口令管理系統系統實用工具的使用(6)應用和信息訪問控制控制目標：防止對應用系統中信息的未授權訪問控制措施：信息訪問限制73(7)移動計算和遠程工作控制目標：確保使用移動計算和遠程工作設施時的信息平安控制措施：移動計算和通信74遠程工作訪問控制思路由于效勞是分層次的，攻擊可能從各個層次發(fā)起，好的訪問控制應該在多層面進行只靠網絡防火墻不能抵抗所有的攻擊，操作系統層面、應用平安層面都要做好訪問控制才行網絡接口層IP應用TCPUDP75知識域：信息平安控制措施知識子域：信息系統獲取、開發(fā)與維護理解信息系統的平安需求、應用中的正確處理、密碼控制、系統文件的平安、開發(fā)和支持過程中的平安、技術脆弱性管理這些控制目標的含義掌握實現這些控制目標的控制措施的實施方法76信息系統獲取、開發(fā)和維護控制目標 〔1〕信息系統的平安要求 〔2〕應用中的正確處理 〔3〕密碼控制 〔4〕系統文件的平安 〔5〕開發(fā)和支持過程中的平安 〔6〕技術脆弱性管理77(1)信息系統的平安需求控制目標：確保平安是信息系統的一個有機組成局部控制措施：平安需求分析和說明78平安信息系統獲取的根本原那么和方法平安信息系統獲取的根本原那么符合國家、地區(qū)及行業(yè)的法律法規(guī)量力而行，到達經濟性與平安性間的平衡符合組織的平安策略與業(yè)務目標平安信息系統的獲取策略外部采購自主開發(fā)或者自主開發(fā)與外包相結合采取何種獲取策略在工程立項與可行性分析過程中得出結論79信息系統購置流程選擇中標供給商，并簽訂合同源代碼托管(SourceCodeEscrow)平安緊急響應條款售后效勞協議平安培訓業(yè)務連續(xù)性與災備條款需求分析市場招標評標選擇供給商簽訂合同系統實施系統運維80(2)應用中的正確處理控制目標：防止應用系統中信息的錯誤、遺失、非授權修改及誤用控制措施：輸入數據驗證81內部處理的控制消息完整性輸出數據驗證(3)密碼控制控制目標：通過密碼方法保護信息的保密性、真實性或完整性控制措施：使用密碼控制的策略82密鑰管理(4)系統文件的平安控制目標：確保系統文件的平安控制措施：運行軟件的控制83系統測試數據的保護對程序源代碼的訪問控制(5)開發(fā)和支持過程中的平安控制目標：維護應用系統軟件和信息的平安控制措施：變更控制程序84操作系統變更后應用的技術評審軟件包變更的限制外包軟件開發(fā)(6)技術脆弱性管理控制目標：降低利用公布的技術脆弱性導致的風險控制措施：技術脆弱