CISP
2022-04-06 17:15:51 2 举报AI智能生成
知识点
作者其他创作
大纲/内容
CISP
信息安全保障
信息安全保障基础
信息安全概念
ISO定义
狭义
以IT技术为主的安全
广义
跨学科领域
组织业务可持续
生命周期所关联的人、事、物;人、技术、管理、过程控制成为一个安全整体
成本因素
不仅是业务支撑、更是业务命脉
信息安全问题根源
内因:信息系统复杂,漏洞不可避免
外因:环境因素、人为因素
信息安全特征
系统性、动态性、无边界、非传统
威胁情报
1、为管理人员提供行动和决策依据2、建立在大数据基础上,通过数据分析与评估形成结论3、信息安全保障中关键性能力
态势感知
立足于威胁情报、大数据与高性能计算为支撑从而对网络威胁状态进行预判来调整安全策略
信息安全属性
CIA三元组
保密性、完整性、可用性
其他属性
真实性、不可否认性、可问责性、可靠性
信息安全视角
国家视角
网络战
关键基础设施保护
2016年11月《网络安全法》
法律建设与标准化
1、因互联网开放、自由、共有的脆弱性,国家需要在技术范围内保持适当安全需求2、安全保护立法范围与应用重要性相一致,不要花过多成本来限制信息系统可用性3、信息安全特点为“不可逆”,其法律原则更应才去积极主动预防原则
企业视角
业务连续性
资产保护
合规性
个人视角
隐私保护
个人资产保护
社会工程学
信息安全发展阶段
通信安全阶段
1940-1970/传输中数据保护
安全威胁:搭线窃听、密码学分析
核心思想:密码技术实现通信保密,数据保密性、完整性
安全措施:加密
计算机安全阶段
1970-1990/数据处理及存储保护
安全威胁:非法访问、恶意代码、弱口令
核心思想:预防、检测、减小用户执行非授权活动后果
安全措施:操作系统访问控制防止非授权用户访问
系统安全阶段
1990~/信息系统整体安全
安全威胁:网络入侵、病毒、信息对抗等
核心思想:保护比数据更“精炼”的信息
安全措施:防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN
安全保障阶段与系统安全阶段区别了解总体要求、主要原则
1996/DoD 5-3600.1首次提出安全保障
总体要求:积极防御、综合防范
主要原则:技术管理并重、正确处理安全与发展关系
网络空间
虚拟世界+物理世界
新技术领域:工控系统、云大移物智
核心思想:强调威慑概念
信息安全保障新领域
工控系统ICS
分布式控制系统DCS
数据采集与监控SCADA
可编程逻辑控制器PLC
体系结构:0-4级
生产过程控制设备
现场设备层
安全保护系统+基本控制系统
现场控制层
监控系统
过程监控层
运营管理系统
生产管理层
企业系统
企业资源层
安全架构
管理控制:风险评价、规划、系统和服务采购、认证&认可&安全评价
操作控制:人员安全、物理和环境保护、意外防范计划、配置管理、维护、系统和信息完整性、媒体保护、事件响应、意识和培训
技术控制:认证识别、访问控制、审计追责、系统&通信保护
云计算
服务模式
服务层:SaaS、PaaS、IaaS
资源抽象控制层
物理资源层
物理安全-->应用安全
角色:云用户、云提供者、云承载者、云审计者、云经纪人
服务体系:基础设施、基础服务、应用服务
虚拟化安全
云计算支撑技术
核心安全问题、租户隔离
物联网
概念:Internet of Things(IoT),技术架构:感知、传输、支撑、应用
感控安全区--感知控制域
网络安全区--资源交换域--服务提供域
运维安全区--运维管控域
应用安全区--用户域
大数据
概念:传统数据架构无法处理的新数据集
价值:趋势分析
安全:数据生命周期安全、技术平台安全
移动互联网
系统安全、移动应用安全、个人隐私保护
安全策略:政策管控、应用分发管控、加强隐私保护要求
智慧世界
信息安全保障框架
基于时间的PDR与PPDR模型
PDR:承认漏洞,正式威胁,采取适度防护,加强检测工作,落实响应,建立对威胁的防护保障系统安全
PPDR:所有防护、监测、响应依据安全策略实施
Protection+Detection+Response+Policy
信息安全保障技术框架
IATF
核心思想:深度防御
三要素:人、技术、操作
四焦点领域:保护网络和基础设施、保护区域边界、保护计算环境、支持性基础设施
安全原则:保护多个位置、分层防御、安全强健性
特点:全方位防御+纵深防御、复杂系统工程、人即管理
信息系统安全保障评估框架
信息系统保护轮廓ISPP
信息系统安全目标ISST
模型特点:风险和策略为基础和核心、安全贯彻生命周期、强调综合保障
信息安全保障要素
信息安全技术
信息安全管理
信息安全工程
信息安全人才
解决方案
风险评估和法规得出安全需求为依据
企业安全架构
企业架构的子集,定义信息安全战略,包括各层级解决方案、流程和规程
常见企业安全架构
舍伍德商业应用架构SABSA
背景、概念、逻辑、物理、组件、运营
Zachman框架
开放群组架构框架TOGAF
网络安全监管
网络安全法律体系建设
网络安全法
十二届人大:三次审议、两次公开征求意见和修改,2017-6-1实施
总则
明确网络空间主权原则
网络安全支持与促进
网络运行安全
一般规定
落实等保制度
明确网络产品、服务提供者的安全义务
明确网络运营者的安全义务
明确一般性安全保护义务
关键基础设施运行安全(境内存储)
网络安全审查制度
2017-5-2/《网络产品和服务安全审查办法》
网络信息安全
个人信息保护
规范信息管理
确定信息管理中相关职责
2017-5-2/《互联网新闻信息服务管理规定》国信办1号令
2017-5-2/《互联网信息内容管理行政执法程序规定》国信办2号令
监测预警&应急处置
工业制度化、法制化
法律责任
民事责任、行政责任、刑事责任
附则
网络安全相关法规
行政法相关法规
民法相关法规
刑事相关法规
国家安全法、保密法、电子签名法、反恐怖主义法、密码法
国家网络安全政策
《国家信息化领导小组关于加强信息安全保障工作的意见》/中办发[2003]27号
明确我国信息安全保障工作方针和总体要求(标志我国信息安全保障工作有了总体纲领)
加强信息安全保障工作主要原则(最近十余年都是围绕此政策性文件来展开和推进)
需重点加强的信息安全保障工作(促进我国信息安全保障建设各项工作)
国家网络空间安全战略
七种新机遇
六大严峻挑战
发展战略目标
四项原则
九大任务
国家网络安全等保政策
《中华人民共和国计算机信息系统安全保护条例》
规定计算机实现安全等保
GB 17859
正式细化等保要求,划分五个等级
《关于信息安全等级保护工作的实施意见的通知》
规定等保指导思想、原则和要求
《网络安全法》明确规定实行等保制度
网络安全道德准则
道德约束
职业道德准则
计算机职业伦理守则
CISP职业道德准则
信息安全标准
标准
标准类型
国际标准、国家标准、行业标准、地方标准
标准化组织
国际:国际标准化组织(ISO)、国际电工委员会(IEC)、Internet 工程任务组(IETF)、国际电信联盟(ITU)国际电信联盟远程通信标准化组织(ITU-T)
国家:美国国家标准化协会(ANSI)、美国国家标准技术研究院(NIST)
天朝:中国国家标准化管理委员会、全国信息安全标准化技术委员会(TC260)
标准分类
GB 强制性国家标准
必须贯彻执行,违反则构成经济或法律方面责任
GB/T 推荐性国家标准
自愿采用,共同遵守技术依据,严格贯彻执行
GB/Z 国家标准指导性技术文件
将来可能打成一致意见指导性技术文件/实施后三年内必须复审
等保标准组
安全等级类
GB/T22240-2008《信息安全技术 信息系统安全保护等级保护定级指南》
各类行业定级标准
方法指导类
GB/T25058-2019《信息安全技术 网络安全等级保护实施指南》
GB/T25070-2019《信息安全技术 网络安全等级保护安全设计技术要求》
状况分析类
GB/T28448-2019《信息安全技术 网络安全等级保护测评要求》
GB/T28448-2019《信息安全技术 网络安全等级保护测评过程指南》
基线要求类
GB/T22239-2019《信息安全技术 网络安全等级保护基本要求》
GB/T20271-2006《信息系统通用安全技术要求》
GB/T21052-2007《信息系统物理安全技术要求》
等保标准流程
定级、备案、差距分析、建设整改、验收测评、定期复查
0 条评论
回复 删除
下一页
