信息安全管理体系与技术提纲

 信息资产及其价值

 组织的信息资产有哪些？

业务数据、应用系统、专利及标准、设施和环境、关键人员、文件、图纸、管理规章等等。

 信息安全 － 信息安全的基本要素、需求来源、目标

 信息安全基本要素？（在不同历史阶段有着不同的涵义）

COMSEC阶段：保密性

COMPUSEC阶段：CIA三元组 － 保密性、完整性、可用性 IA阶段：私密性、可追溯性、抗抵赖性、可控性、真实性等  信息安全的需求来源？

法律法规和合同的约束；组织的原则、目标和规定；风险评估的结果  信息安全的目标？

一般目标：维护信息的保密性、完整性、可用性、可追溯性、真实性和可靠性。 根本目标：维护组织关键业务活动的持续性和有效性。

 信息安全管理

 对于信息安全管理的认识（大题）

管理最基本的职能：计划、组织、领导、控制 信息安全管理就是风险管理。

安全技术只是信息安全控制的手段，要让安全技术发挥应有的作用，必须要有适当的管理程序支持。信息安全管理作为组织完整的管理体系中一个重要的环节，构成了信息安全具有能动性部分，是指导和控制组织关于信息安全风险的相互协调的活动。如果说安全技术是信息安全的构筑材料，那安全管理就是真正的粘合剂和催化剂。只有将有效的安全管理从始至终贯彻落实于安全建设的方方面面，信息安全的长期性和稳定性才能有所保证。 管理过程而非技术过程 高层支持

策略并不等于执行力 动态而非静态 主动而非被动

全员参与，培训开路 平衡性原则

 信息安全管理的认识误区

重技术、轻管理 缺少安全意识 缺乏安全策略

缺乏系统的管理思想 法律法规不完善  信息安全管理模型

P2DR 模型（CC）：P: 策略P: 防护D: 检测R: 响应

PDRR 模型：P: 策略P: 防护D: 检测R: 响应R: 恢复

HTP 模型（IATF）：H: 人员与管理T: 技术与产品P: 流程与体系 P-POT-PDRR模型：

PDCA模型（建设模型）：

 常见的国际信息标准

BS7799（信息安全管理标准）

---BS7799-1: 信息安全管理体系的实施指南 ---BS7799-2: 信息安全管理体系规范

ISO/IEC 13335（风险管理标准）- IT安全管理指南 GMITS ISO/IEC 15408（技术与工程标准）- CC ITIL（IT 服务管理标准）- 信息技术基础设施库

CobiT（信息系统审计标准）- 信息及其相关技术控制目标

 信息安全管理体系（ISMS）

 为什么需要ISMS？

木桶原理

 ISMS建设可遵循的模型？

BS7799：PDCA IATF：HTP CC：P2DR

 BS7799

 BS7799-1覆盖范围

原 BS7799-1 包括 10 区域，36 个控制目标，127 项控制措施；新版 ISO/IEC 27002:2005 包括 11 个区域，39个控制目标，133 项控制措施。  ISMS的建设模型

PDCA － Plan 建立 ISMS -> Do 实施和运作 ISMS -> Check 监控和评审 ISMS -> Act 维护和改进 ISMS  ISMS的建设方法

1. 2. 3. 4. 5. 6. 7. 8. 9. 10.

确定范围 识别信息资产

确定信息资产的价值 确定风险

策略及控制措施保证程度的确定 控制目标和控制措施的识别

定义策略，标准和流程以实施控制措施 策略，标准和流程的实施 完成 ISMS 文件需求 审核和评审 ISMS

 ISMS的审核、有效性验证

内部ISMS审核

---定期执行内部审核计划

---审核计划以及报告结果和维护记录的责任应该在文件和流程中加以规定 ---审核区域的管理者应该及时采取纠正措施以消除已发现的不符合项

---一般包括审核策划 、审核准备、审核实施、审核报告、审核跟踪 等五个步骤 。

 ISMS的认证

 认证与认可

认证是由第三方进行的，认可是由权威机构进行的：认证证明的是依从性（或符合性），认可证明的是某种能力。

认可机构包括：UKAS（英国认可服务组织）、RvA（荷兰国家认可委员会）、Swedac（瑞典认可和合格评定委员会）  认证体系对审核员的要求（IRCA）

实习审核员（Provisional Auditor）：适用于所有希望成为专职审核员或希望暂时停止审核活动或从审核岗位转向管理岗位的原注册审核员。 审核员（Auditor）：适用于审核组成员。 主任审核员（Lead Auditor）：适用于审核组长，特别是那些就职于认证机构或为大型企业实施供方审核的人员。

首席审核员（Principal Auditor）：适用于（以独立成组形式）单独实施审核活动的、有经验的审核员。  BS7799 认证过程

对ISMS进行审核时，应当先进行文件审核，再进行现场审核。

不符合事项根据其严重程序一般分为三类：观察项、轻微不符合项和严重不符合项。

 风险评估

 风险评估一般途径（描述是什么类型的评估）

基线评估

---优点：耗费资源少、周期短、操作简单、经济有效。 ---缺点：基线水平较难把握，对安全变化不敏感。 详细评估

---优点：可使组织对安全风险有一个精确认识。可用来管理安全变化。 ---缺点：较费资源。 组合评估

---优点：结合了基线评估和详细评估的优势，既节省了评估所耗费的资源，又能确保获得一个全面系统的评估结果。

---缺点：如果初步的高级风险评估不够准确，某些本来需要详细评估的系统可能被忽略，最终导致结果失准。

 风险控制措施功能分类及目的

威慑性控制措施（防止威胁源）- firewall 预防性控制措施（保护弱点）

检测性控制措施（发现威胁事件）- IDS 纠正性控制措施（减小影响）- 备份  风险识别、评估的时间、方法

风险评估是对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性的评估。

威胁（Threat）－某种威胁源（threat source）或威胁代理（threat agent）成功利用特定弱点对资产造成负面影响的潜在可能。

弱点（Vulnerability）－也被称作漏洞或脆弱性，即资产或资产组中存在的可被威胁利用的

缺点。弱点一旦被利用，就可能对资产造成损害。

 评估威胁的方法

威胁问卷调查 ；威胁顾问访谈；IDS 取样分析  弱点评估常用方法

工具扫描；人工检查；渗透测试；网络架构分析；管理问卷调查；管理顾问访谈；安全策略分析

 风险要素之间的关系

第二讲 网络安全管理协议

 安全资源的集中管理

 为什么集中管理安全资源？

提高管理效率（管控角度） 数据增值利用（审计角度）

安全资源协同（策略角度：自动化、最优化）  集中管理一般模型结构？

信息模型（包括: MIB结构与定义等） SNMP信息模型SMI 组织模型（包括: 角色,职责）

通信模型（包括: MIB访问管理协议等） 功能模型（包括：功能域管理功能等）

 常见的管理数据传输协议

SNMP

WBEM/CIM Syslog、IDMEF OPSEC

 简单网络管理协议（SNMP）

 基本概念

 管理站 UDP 162  管理代理 UDP 161  管理信息库MIB

 MIB是由ASN.1定义的MO的集合，每一个MO都有一个全局唯一的OID，OID形成

树状结构（MIB TREE）,树状结构由SMI定义。

 通过OID访问对象实例，当对象所在设备上有且仅有一个实例时以OID.0作为该变量

标识；对象在所在设备上超过一个实例的情况，以此对象的对象标识符加上为此对象所定义的索引作为单个变量的标识

 SMI：ASN.1+BER

 抽象语法是传输和使用数据的需要。传输者和使用者对数据的理解不同，对于传输者，

数据的单位是二进制字节，但对于使用者，必须能够识别出数据类型和数据内容，因此，需要一种对数据类型和数据内容进行描述的语法。

 编程语言虽然也都有类似的数据定义功能，但它们一方面缺乏统一的标准，另一方面

数据定义不是它们的主要功能，不够强大也无法扩展。更重要的，是它们一般缺乏对传输语法的支持。  BER编码结构：

当标签号大于 30 时，将标签字段的第一个八位位组的后五位全部置 1，标签字段的后继八位位组除最后一个外，最高位均置 1，并且第一个后继八位位组不能所有位全为 0；长度字段分为确定和非确定格式，确定格式有短格式和长格式；

 SNMP消息类型

 GET：由管理站去获取代理的 MIB 对象值  SET：由管理站去设置代理的 MIB 对象值  TRAP：使得代理能够向管理站通告重要事件

 预定义trap类型：7种

ColdStart(0)；WarmStart(1)；LinkDown(2)；LinkUp(3)；AuthenticationFailure(4)；EgpNeighborLoss(5)；EnterpriseSpecific(6)  SNMP安全性

SNMPv1 – 共同体、共同体名、共同体框架

 基于Web的企业级管理/公共信息模型（WBEM/CIM）

 CIM的三个核心标准

通用信息模型 — CIM

编码规范 — xmlCIM 编码规范

传输机制 — CIM Operations over HTTP  CIM基本概念

Schema；类；属性；方法；关联；聚集；引用；描述符；事件；名字空间

 CIM Schema

Schema 是具有相同所有者，用于描述某一个问题域的一组类 CIM Schema分为：

---Meta Schema：描述CIM元素之间的关系；

---核心模型：适用于任何管理领域，与具体实现无关，为剩余的管理环境提供了概念框架，是一种高层次的抽象。

---公共模型：适用于特定管理领域，独立于具体的实现技术； ---扩展模型：与具体的技术、应用环境相关。  模型定义方法

VISIO for UML；MOF；XML；White Papers

 Syslog

Syslog协议数据包结构：PRI（Facilities * 8 + Severity） + HEADER（Timestamp + Hostname） + MSG（Tag + Content）

TAG = 产生消息的程序或进程名 UDP 514,C/S模式

Syslog存在的问题：UDP协议不可靠、安全问题（不加密、无校验、不含身份认证）、同步数据量大于1024不可预测，消息优先级并不决定消息在网络传递时的优先级，导致重要程度高的消息可能由于网络或接收者的阻塞而无法优先抵达。

 CIM&SNMP各自优缺点

CIM面向对象,over HTTP

SNMP面向量纲,方法是额外的而不是自带的

CIM具备面向对象语言的抽象、继承、重载等概念，并引入了关联类、描述符等机制,即对象之间有关联性;具有极高的灵活性、可扩展性，能够包容现在所有的管理应用模型，能在最大程度上减少模型集成时带来的信息损失。 SNMP简单，易于实现。

第三讲 安全事件管理

 安全事件管理的需求来源

安全建设引入了众多异构技术 海量安全事件难以人为管理

上报事件中充斥着大量不可靠的信息

安全设备之间无法信息共享，管理人员难以及时感知全网安全态势； 安全设备独立作战，无法形成有效的、整合的主动安全防御体系。

 安全事件管理系统功能

功能指标：

控制安全告警的规模和复杂度； 降低安全事件的误报率；

减轻潜在安全问题所带来的风险； 加快应急响应速度。

 安全事件的采集

 IDMEF― Intrusion Detection Message Exchange Format特点

IDMEF 定义了事件数据格式以及与其它入侵检测响应系统、分析器、管理系统间的信息交换方式。

可将不同种类 IDS 上报的事件存储在同一个数据库中，便于对事件作全局性分析； 便于事件关联系统对事件作更为复杂的多源、异构关联； 使用户可以在一个图形终端上监控所有上报的事件； 便于机构间交换数据；  IDMEF解决方案

采用了面向对象的数据模型，通过继承、聚合等手段现实灵活性、可扩展性； 定义了多种多样的辅助类，支持不同产品的表述需求。  IDMEF数据模型

采用XML语言描述入侵事件，xmldtd?  IDMEF安全性问题

安全性的实现依赖于外部数据加密及签名，草案本身未包含强制性措施

 其它相关标准 － CVE、CPE、CCE

CVE定义了安全漏洞和其他安全问题的标准化的统一名字列表 CPE定义了平台/产品的标准化的统一名字列表

CCE定义了安全相关的系统配置项的标准化的统一名字列表

 告警关联

 告警关联十步模型(大题）

 基本顺序

 各步骤主要功能

标准化（Normalization）

将不同 Sensor 所产生的告警转换为一种公共的格式，如 IDMEF。 预处理（Pre-Processing）

依照定义的公共格式，填补告警所缺乏的属性字段，如 DetectTime、CreateTime、AnalyzerTime。 融合（Fusion）

将不同 IDS 对同一攻击事件产生的告警合并。 查证（Verification）

滤除虚警或发现误警。 被动式查证与主动式查证。 线程重构（Thread Reconstruction）

将同一攻击者使用不同类型对同一目标进行的攻击所触发的告警合并。 将同一攻击者使用单一类型但不同参数对同一目标进行的攻击所触发的告警合并。

会话重构（Session Reconstruction）

将网络 IDS 与主机 IDS 产生的对应告警合并。 焦点识别（Focus Recognition）

识别一组攻击的共同起源或目标。 多步关联（Multi-Step Correlation）

识别由多个攻击组成的高级攻击模式。 影响分析（Impact Analysis）

评估攻击对受保护网络合法操作的影响。 可利用资产数据库、心跳检测提供的数据。 优先级分配（Prioritization）

为关联后的告警分配一定的优先级。 优先级的分配与组织安全策略有关。