[综合]信息安全工程师必读.pdf

yzwdli 2016-03-04

5 0

扫码去点赞

目录
worldwide stＡＮＤards................................................................................................ 2
having trouble locating an overseas stＡＮＤard? bsi has the solution…................... 2
with bsi, your search is over before it’s even begun............... 2
第一部分：信息安全管理惯例...................................................................................................... 3
序........................................................................................................................................... 14
简介....................................................................................................................................... 15
什么是信息安全？........................................................................................................ 15
为什么需要信息安全.................................................................................................... 15
如何制定安全需求........................................................................................................ 15
评估信息风险................................................................................................................ 16
安全控制的选择............................................................................................................ 16
信息安全的出发点........................................................................................................ 17
重要的成功因素............................................................................................................ 17
开发你自己的指导方针................................................................................................ 17
1.范围.................................................................................................................................... 18
2.术语与定义......................................................................................................................... 19
2.1信息安全.................................................................................................................. 19
2.2风险评估.................................................................................................................. 19
2.3风险管理.................................................................................................................. 19
3.安全策略............................................................................................................................. 20
3.1信息安全策略.......................................................................................................... 20
3.1.1信息安全策略文件....................................................................................... 20
3.1.2评审及评估................................................................................................... 20
4.安全组织............................................................................................................................. 21
4.1息安全架构.............................................................................................................. 21
4.1.1管理信息安全论坛....................................................................................... 21
4.1.2信息安全的协调........................................................................................... 21
4.1.3信息安全责任的分配................................................................................... 21
4.1.4息处理设备的授权步骤............................................................................... 22
4.1.5信息安全专家的意见................................................................................... 22
4.1.6组织之间的合作........................................................................................... 22
4.1.7信息安全的独立评审................................................................................... 23
4.2第三方访问的安全.................................................................................................. 23
4.2.1确认第三方访问的风险............................................................................... 23
4.2.1.1访问的种类........................................................................................ 23
4.2.1.2访问的原因........................................................................................ 23
4.2.1.3现场合同方........................................................................................ 24
4.2.2第三方合同的安全要求............................................................................... 24
4.3外包服务.................................................................................................................. 25
4.3.1外包合同的安全要求................................................................................... 25
5
5.资产分类与控制................................................................................................................. 26
5.1资产的使用说明...................................................................................................... 26
5.1.1资产清单....................................................................................................... 26
5.2信息分类.................................................................................................................. 26
5.2.1分类的指南................................................................................................... 26
5.2.2信息标注及处理........................................................................................... 27
6.人员安全............................................................................................................................. 28
6.1岗位定义及资源分配的安全.................................................................................. 28
6.1.1岗位责任的安全........................................................................................... 28
6.1.2人事过滤及策略........................................................................................... 28
6.1.3保密协议....................................................................................................... 28
6.1.4雇佣条款....................................................................................................... 29
6.2用户培训.................................................................................................................. 29
6.2.1信息安全教育及培训................................................................................... 29
6.3安全事件及失常的反应措施.................................................................................. 29
6.3.1报告安全事件............................................................................................... 29
6.3.2报告安全的弱点........................................................................................... 30
6.3.3报告系统的故障........................................................................................... 30
6.3.4吸取教训....................................................................................................... 30
6.3.5处罚程序....................................................................................................... 30
7.物理与环境的安全............................................................................................................. 31
7.1安全区域.................................................................................................................. 31
7.1.1物理安全地带............................................................................................... 31
7.1.2物理入口的控制........................................................................................... 31
7.1.3保护办公室、房间及设备........................................................................... 32
7.1.4在安全地带工作........................................................................................... 32
7.1.5隔离的交付及装载地方............................................................................... 32
7.2设备的安全.............................................................................................................. 33
7.2.1设备的放置及保护....................................................................................... 33
7.2.2电力的供应................................................................................................... 33
7.2.3电缆线路的安全........................................................................................... 34
7.2.4设备的维护................................................................................................... 34
7.2.5设备离开大厦的安全................................................................................... 34
7.2.6设备的安全清除或重用............................................................................... 35
7.3一般控制.................................................................................................................. 35
7.3.1收拾桌子及清除屏幕的策略....................................................................... 35
7.3.2财物的搬迁................................................................................................... 35
8.通讯与操作的管理............................................................................................................. 36
8.1操作步骤及责任...................................................................................................... 36
8.1.1文档化操作程序........................................................................................... 36
8.1.2操作变动的控制........................................................................................... 36
8.1.3安全事件管理程序....................................................................................... 36
8.1.4责任分开制................................................................................................... 37
8.1.5开发及正式使用设备的分开....................................................................... 37
6
8.1.6外部设备的管理........................................................................................... 38
8.2系统规划及接收...................................................................................................... 38
8.2.1储存量的计划............................................................................................... 38
8.2.2系统接收....................................................................................................... 39
8.3对付恶意软件.......................................................................................................... 39
8.3.1控制恶意软件............................................................................................... 39
8.4备份及恢复性常务管理.......................................................................................... 40
8.4.1信息备份....................................................................................................... 40
8.4.2操作员日志................................................................................................... 40
8.4.3对错误进行记录........................................................................................... 40
8.5网络管理.................................................................................................................. 41
8.5.1网络控制....................................................................................................... 41
8.6介质的处理与安全.................................................................................................. 41
8.6.1可移动计算机介质的管理........................................................................... 41
8.6.2介质的清除................................................................................................... 41
8.6.3信息处理的程序........................................................................................... 42
8.6.4系统说明文档的安全................................................................................... 42
8.7信息与软件的交换.................................................................................................. 42
8.7.1信息及软件交换协议................................................................................... 43
8.7.2传递中介质的安全....................................................................................... 43
8.7.3电子商务的安全........................................................................................... 43
8.7.4电子邮件的安全........................................................................................... 44
8.7.4.1安全风险............................................................................................ 44
8.7.4.2电子邮件的策略................................................................................ 44
8.7.5电子办公室系统的安全............................................................................... 44
8.7.6可公用的系统............................................................................................... 45
8.7.7其它形式的信息交换................................................................................... 45
9.访问控制............................................................................................................................. 47
9.1访问控制的业务需求.............................................................................................. 47
9.1.1访问控制策略............................................................................................... 47
9.1.1.1策略及业务需求................................................................................ 47
9.1.1.2访问控制规定.................................................................................... 47
9.2用户访问的管理...................................................................................................... 47
9.2.1用户登记....................................................................................................... 48
9.2.2特权管理....................................................................................................... 48
9.2.3用户口令的管理........................................................................................... 48
9.2.4用户访问权限的检查................................................................................... 49
9.3用户责任.................................................................................................................. 49
9.3.1口令的使用................................................................................................... 49
9.3.2无人看管的用户设备................................................................................... 50
9.4网络访问控制.......................................................................................................... 50
9.4.1网络服务的使用策略................................................................................... 50
9.4.2强制式路径................................................................................................... 50
9.4.3外部连接的用户认证................................................................................... 51
7
9.4.4 网点认证................................................................................................ 51
9.4.5远程诊断端口的保护................................................................................... 51
9.4.6网络的隔离................................................................................................... 51
9.4.7网络连接控制............................................................................................... 52
9.4.8网络路由的控制........................................................................................... 52
9.4.9 网络服务的安全.................................................................................... 52
9.5操作系统的访问控制.............................................................................................. 52
9.5.1自动认证终端............................................................................................... 53
9.5.2终端的登录程序........................................................................................... 53
9.5.3用户标识及认证........................................................................................... 53
9.5.4口令管理系统............................................................................................... 53
9.5.5系统工具的使用........................................................................................... 54
9.5.6为保障安全的人员配备强迫警钟............................................................... 54
9.5.7终端超时....................................................................................................... 54
9.5.8连接时间的限制........................................................................................... 54
9.6应用系统的访问控制.............................................................................................. 55
9.6.1信息访问的限制........................................................................................... 55
9.6.2敏感系统的隔离........................................................................................... 55
9.7系统访问和使用的监控.......................................................................................... 55
9.7.1事件记录....................................................................................................... 56
9.7.2监控系统的使用........................................................................................... 56
9.7.2.1风险的程序及区域............................................................................ 56
9.7.2.2风险因素............................................................................................ 56
9.7.2.3对事件进行日志记录和审查............................................................ 57
9.7.3时钟的同步................................................................................................... 57
9.8移动操作及远程办公.............................................................................................. 57
9.8.1移动操作....................................................................................................... 57
9.8.2远程工作....................................................................................................... 58
10.系统开发与维护............................................................................................................... 59
10.1 系统的安全要求.................................................................................................... 59
10.1.1安全要求分析及规格................................................................................. 59
10.2 应用系统中的安全................................................................................................ 59
10.2.1输入数据的核实......................................................................................... 59
10.2.2内部处理的控制......................................................................................... 60
10.2.2.1有风险的地方.................................................................................. 60
10.2.2.2检查及控制...................................................................................... 60
10.2.3消息认证..................................................................................................... 60
10.2.4输出数据的核实......................................................................................... 61
10.3 密码控制................................................................................................................ 61
10.3.1密码控制的使用策略................................................................................. 61
10.3.2加密............................................................................................................. 61
10.3.3数字签名..................................................................................................... 62
10.3.4不可抵赖服务............................................................................................. 62
10.3.5密钥管理..................................................................................................... 62
8
10.3.5.1密钥的保护...................................................................................... 62
10.3.5.2标准，程序及方法.......................................................................... 62
10.4 系统文件的安全.................................................................................................... 63
10.4.1运行软件的控制......................................................................................... 63
10.4.2系统测试数据的保护................................................................................. 64
10.4.3源程序库的访问控制................................................................................. 64
10.5 开发及支持程序的安全........................................................................................ 64
10.5.1改动控制程序............................................................................................. 64
10.5.2操作系统改动的技术检查......................................................................... 65
10.5.3更改软件包的限制..................................................................................... 65
10.5.4隐蔽通道及特洛伊代码............................................................................. 65
10.5.5外包软件的开发......................................................................................... 66
11.业务连续性管理............................................................................................................... 66
11.1.关于业务连续性管理............................................................................................ 66
11.1.1业务连续性管理的过程............................................................................. 66
11.1.2业务连续性及影响的分析......................................................................... 67
11.1.3撰写及实施连续性计划............................................................................. 67
11.1.4业务连续性计划的框架............................................................................. 67
11.1.5测试、维护及重新评估业务连续性计划.................................................. 68
11.1.5.1测试该计划...................................................................................... 68
11.1.5.2维护及重新评估该计划................................................................... 68
12.遵循性............................................................................................................................... 69
12.1 是否遵守法律........................................................................................................ 69
12.1.1确定适用的法律......................................................................................... 69
12.1.2知识产权..................................................................................................... 69
12.1.2.1版权.................................................................................................. 69
12.1.2.2软件版权.......................................................................................... 69
12.1.3保障机构的记录......................................................................................... 70
12.1.4数据保护及个人信息的隐私..................................................................... 70
12.1.5防止信息处理设备被滥用......................................................................... 70
12.1.6密码控制的规定......................................................................................... 71
12.1.7证据的收集................................................................................................. 71
12.1.7.1证据的规则...................................................................................... 71
12.1.7.2证据的适用性.................................................................................. 71
12.1.7.3证据的质量和完备性...................................................................... 72
12.2 核对安全策略及技术合格性................................................................................ 72
12.2.1与安全策略一致......................................................................................... 72
12.2.2技术依从性的检查..................................................................................... 72
12.3 系统审计的考虑.................................................................................................... 74
12.3.1系统审计控制............................................................................................. 74
12.3.2对系统审计工具的保护............................................................................. 74
第二部分：信息安全管理系统的规范........................................................................................ 76