IT 安全 第 1节 安全目标
IT安全为什么重要? 严重依赖IT 提供服务的压力 威胁范围的增大 国家安全的风险?
一般理解 成本 (获取, 培训, 运行, 维护) 投资回报? (如保险) 会抑制运行 (无效) 负面影响 (带来约束)
什么会出错? IT 安全问题包括 :- 火灾 水灾 爆炸 自然灾害 工业行动 崩溃、失败、破坏、盗窃 病毒攻击 差错/疏忽
IT 安全目标 C.I.A. 不可抵赖性
C.I.A. 机密性 完整性 可用性 确保信息只能由授权访问的人员进行访问 保护信息和处理方法的准确性和完整性 确保授权的用户能够在需要的时候获得信息和相关的资产
好的IT安全必须是..... 有效果 – 实现了所预期的 有效率 – 方便运行 经济性 – 大多数保护是基于最小成本 可接受性 – 谨慎 没有百分之百的安全
IT 安全标准和框架 ISO/ IEC 17799 CoBIT NIST 可信计算机系统
ISO/ IEC 17799 ISO 17799 (基于 BS 7799) 最初于2000年发布 ISO 17799: 2005 年7月发布
ISO 17799 – 主要内容 风险评估和应对 通信和运行管理 安全策略 访问控制 信息安全的组织 IS获取、开发和维护 资产管理 人力资源管理 物理和环境安全 通信和运行管理 访问控制 IS获取、开发和维护 业务持续管理 遵从
CoBIT 由 ITGI发布 与安全有关的控制目标 PO9 – 评估和管理IT风险 DS4 – 确保持续服务 DS5 – 确保系统安全
国家标准和技术协会 (NIST) 几个有用的出版物: Information Security Handbook: A Guide for Managements(信息安全手册:管理指南) Recommended Security Controls for Federal Information Systems(联邦信息系统的推荐安全控制) Guide for Assessing Security Controls in Federal Information Systems(联邦信息安全控制的评估指南)
可信的计算机系统 – 评价标准 TCSEC (DOD 橙皮书) ITSEC Common Criteria
IT 安全控制 12 项控制 – 基于 ISO/ IEC 17799 : 2005 安全策略 (session 4)
IT 安全控制 物理和环境安全 (IT控制模块) 通信和运行管理 (第9讲) 访问控制 (IT 控制模块) 信息系统的获取、开发和维护(第8讲)
IT 安全控制 业务持续管理 (BCP 模块) 遵从(第 10讲)
总结 IT安全的真实需求(且不断增长) 一般理解的不充分 C.I.A. (和不可抵赖性) 投资 – 货币价值的需要 必须被用户接受 IT安全的不同标准和框架