Escenas

Recopilación de conocimientos relacionados con la gestión de la seguridad del sistema de información.

Estrategia de seguridad del sistema de información

1. La estrategia de seguridad del sistema de información se refiere a las diversas medidas y métodos adoptados y los distintos sistemas de gestión y normativas que se establecen luego de la identificación y evaluación efectiva de los riesgos de seguridad (amenazas a la seguridad) del sistema de aplicaciones informáticas de negocio de la unidad. Se puede ver que la política de seguridad de una organización debe personalizarse y todas están dirigidas a la organización.

2. El contenido básico de la estrategia de seguridad son las "siete decisiones", es decir, plan, puesto, puesto, personal, objetivo, grado de personalización y flujo de trabajo

El establecimiento de una política de seguridad requiere una buena relación

1. La seguridad del sistema es un proceso dinámico. Lo que parece ser un sistema seguro hoy puede no serlo mañana.

2. Es incorrecto, poco realista e imposible posicionar el objetivo de seguridad del sistema de información en "el sistema nunca se apagará, los datos nunca se perderán y la red nunca filtrará secretos".

3. Punto de vista de seguridad adecuado

El costo de seguridad es bajo, obviamente el riesgo de seguridad debe ser alto; por el contrario, si el riesgo de seguridad se reduce muy bajo, el precio de seguridad también es muy alto.

4. La vista del efecto barril

La vista del efecto barril es comparar todo el sistema de información con un barril de madera, y su nivel de seguridad está determinado por la tabla de madera más corta que constituye el barril.

5. El sistema de información de la computadora se divide en los siguientes 5 niveles de protección de seguridad

Primer nivel

Nivel de autoprotección del usuario

Este nivel es adecuado para usuarios normales de Internet.

segundo nivel

Nivel de protección de auditoría del sistema

Este nivel es adecuado para unidades no importantes que necesitan mantener la confidencialidad al realizar actividades comerciales a través de la intranet o la red internacional.

Tercer nivel

Nivel de protección de la marca de seguridad

Este nivel es adecuado para agencias gubernamentales locales en todos los niveles, instituciones financieras, departamentos de correos y telecomunicaciones, energía y suministro de agua, transporte, empresas industriales y comerciales a gran escala y de tecnología de la información, y unidades clave de construcción de ingeniería.

Cuarto nivel

Nivel de protección estructurado

Este nivel es adecuado para agencias estatales de nivel central, departamentos de radio y televisión, importantes unidades de reserva de material, departamentos de servicios de emergencia social, grupos empresariales de tecnología de vanguardia, instituciones nacionales de investigación científica clave, construcción de defensa nacional y otros departamentos.

Quinto nivel

Nivel de protección de verificación de acceso

Este nivel es adecuado para departamentos y unidades de defensa clave que requieren un aislamiento especial de los sistemas de información informática de acuerdo con la ley.

6. El nivel de protección de seguridad del sistema de información está determinado por dos elementos de clasificación.

Uno es objeto de infracción

Los objetos que se infringen cuando se lesionan los objetos de protección jerárquica incluyen los derechos e intereses legítimos de los ciudadanos, las personas jurídicas y otras organizaciones; el orden social, los intereses públicos y la seguridad nacional.

El segundo es el grado de infracción del objeto.

El grado de infracción sobre el objeto está determinado de manera integral por diferentes manifestaciones externas en aspectos objetivos.

Principios de diseño de la estrategia de seguridad del sistema de información

1. El principio de separación de poderes y frenos y contrapesos

2. El principio del privilegio mínimo

3. El principio de normalización

4. Utilice principios de planificación avanzados y maduros

5. Principio de seguridad

6. El principio de participación ordinaria

7. El principio de separación de funciones

8. Principio de independencia de la auditoría

9. El principio de control de la influencia social

10. El principio de protección y eficiencia de los recursos

Solución de seguridad del sistema de información

Ingeniería de sistemas de seguridad de la información

Descripción general de la ingeniería de sistemas de seguridad de la información

1. La industria de sistemas de información también se denomina sistema de aplicación de información, sistema de gestión de aplicación de información, sistema de información de gestión o MIS para abreviar. El sistema de seguridad de la información no puede existir sin un sistema de aplicaciones comerciales

2. Sistema de información de aplicaciones comerciales Sistema de información de aplicaciones informáticas que respalda las operaciones comerciales, como el sistema de información comercial del mostrador bancario, el sistema nacional de información de recaudación de impuestos

3. La ingeniería de sistemas de información se refiere a la ingeniería de sistemas de información de edificios, incluidas dos partes independientes e inseparables, a saber, la ingeniería de sistemas de seguridad de la información y la ingeniería de sistemas de información de aplicaciones comerciales.

Sistema de seguridad de la información

1. Modelo tridimensional

Diagrama esquemático del espacio de seguridad de la información

2. El eje X es el "mecanismo de seguridad", el eje Y es el "modelo de referencia de red OSI" y el eje Z es el "servicio de seguridad". El espacio tridimensional del sistema de seguridad de la información compuesto por los ejes X, Y y Z es el "espacio seguro" del sistema de información. A medida que la red se expande capa por capa, este espacio no solo aumenta gradualmente en alcance, sino que también tiene connotaciones de seguridad más ricas. Tiene los cinco elementos innegables de autenticación, autoridad, integridad y encriptación, que también se denominan "espacio seguro".

3. Servicio de seguridad

1. Servicio de autenticación de entidades pares

Confirmar la legalidad y autenticidad de la entidad contraparte para evitar la falsificación.

2. Servicio de confidencialidad de datos

3. Servicio de integridad de datos

Los servicios de integridad de datos se utilizan para evitar que entidades ilegales modifiquen, inserten y eliminen los datos intercambiados, así como la pérdida de datos durante el proceso de intercambio de datos.

4. Servicio de certificación de fuentes de datos

Se utiliza para garantizar que los datos se envíen desde el punto de origen real para evitar falsificaciones.

5. Está prohibido servir de otra manera

6. Suministro de pruebas penales

Sistema de arquitectura del sistema de seguridad de la información

1. El sistema de seguridad de la información se divide a grandes rasgos en tres sistemas institucionales: sistema MIS + S, sistema S-MIS y sistema S²-MIS

2. El sistema MIS + S es un sistema primario de garantía de seguridad de la información o "sistema básico de garantía de seguridad de la información".

1. Básicamente, el sistema de aplicaciones comerciales no ha cambiado.

2. El hardware y el software del sistema son comunes

3. El equipo de seguridad básicamente no tiene contraseña.

3. El sistema S-MIS es un "sistema estándar de seguridad de la información".

1. El hardware y el software del sistema son comunes

2. El sistema de seguridad PKI / CA debe tener una contraseña

3. El sistema de aplicaciones comerciales debe cambiarse fundamentalmente.

4. El hardware y el software general principal también deben aprobar la certificación PKI / CA

4. El sistema S²-MIS es un "sistema de seguridad de la información súper seguro"

1. Tanto el hardware como el software del sistema están dedicados

2. La infraestructura de seguridad PKI / CA debe llevar una contraseña

3. El sistema de aplicaciones comerciales debe cambiarse fundamentalmente.

Fundamentos de la ingeniería de sistemas de seguridad de la información

Arquitectura de ingeniería del sistema de seguridad de la información

1. El modelo de madurez de capacidad funcional del sistema de seguridad de la información (ISSE-CMM) se utiliza principalmente para guiar la mejora y mejora de la ingeniería del sistema de seguridad de la información, de modo que el sistema de seguridad de la información se convierta en una disciplina medible claramente definida, madura, manejable, controlable y efectiva

2. Conceptos principales de ISSE-CMM

proceso

Una serie de actividades realizadas para lograr un objetivo determinado. Estas actividades se pueden realizar de forma repetida, recursiva y simultánea.

Área de proceso

Está compuesto por algunas implementaciones básicas, que se implementan en conjunto para lograr las metas especificadas en el área de proceso.

Producto de trabajo

Capacidad de procesamiento

3. ISSE descompone el proceso de implementación de la ingeniería del sistema de seguridad de la información en tres partes básicas: proceso de ingeniería, proceso de riesgo y proceso de aseguramiento

4. La ingeniería de sistemas de seguridad de la información, al igual que otras actividades de ingeniería, es un proceso completo que incluye el concepto, el diseño, la implementación, las pruebas, la implementación, la operación, el mantenimiento y la salida.

5. Un evento dañino consta de tres partes: amenaza, vulnerabilidad e impacto.

Infraestructura de clave pública PKI

Conceptos básicos de infraestructura de clave pública (PLI)

1. Infraestructura de clave pública PKI

Basado en tecnología de cifrado de clave asimétrica, con confidencialidad, integridad, autenticación de identidad y comportamiento de no repudio como propósitos de seguridad, una infraestructura de seguridad universal que implementa y brinda servicios de seguridad.

2. Certificado digital

Este es un documento electrónico enviado al sujeto de transacciones de información en línea (empresa o individuo, equipo o programa) después de haber sido firmado digitalmente por el organismo de certificación. Los certificados digitales proporcionan la base para PKI

3. Centro de certificación

CA es el núcleo de PKI. Es un organismo de certificación externo en línea justo, autorizado y confiable, responsable de la emisión, revocación y gestión del ciclo de vida de los certificados digitales. También ofrece servicios como la gestión de claves y la consulta de certificados en línea.

4. Cada versión de X.509 debe contener la siguiente información

1. Número de versión

2. Número de serie

3. Identificador del algoritmo de firma

4. Agencia de certificación

5. Período de validez

6. Información del sujeto

7. La firma digital del organismo de certificación.

8. Información de clave pública

Certificado digital y su ciclo de vida

1. La gestión de certificados digitales por PKI / CA se implementa de acuerdo con el ciclo de vida de los certificados digitales, incluida la determinación de los requisitos de seguridad del certificado, la solicitud del certificado, el registro, la distribución, la auditoría, el retiro y la renovación del certificado.

2. CA es una organización confiable Para el procesamiento de transacciones actuales y futuras, CA emite certificados a personas, equipos informáticos y organizaciones para verificar sus identidades y brindar garantías de crédito para todo lo que utilizan certificados.

Modelo de confianza

Modo de aplicación

Infraestructura de gestión de autoridad PMI (autorización)

Definición de PMI

PMI significa infraestructura de gestión de derechos o infraestructura de gestión de autorizaciones. La idea central de la tecnología de autorización PMI es tomar la gestión de recursos como el núcleo y transferir los derechos de control de acceso a los recursos a la organización autorizada para su gestión, es decir, el propietario del recurso llevará a cabo la gestión del control de acceso.

La diferencia entre PMI y PKI

PMI realiza principalmente la gestión de autorizaciones para demostrar qué autoridad y capacidad tiene el usuario, es decir, "lo que puede hacer". PKI realiza principalmente la autenticación de identidad para probar la identidad del usuario, es decir, "quién es usted".

Definición de certificado de atributo

Control de acceso

El control de acceso consiste en restringir los derechos de acceso del sujeto de acceso (o llamado iniciador, que es una entidad activa, como usuarios, procesos, servicios, etc.) para acceder a los objetos (recursos que deben protegerse); por lo tanto, el El sistema de aplicación de información informática está dentro del alcance legal Uso interno; el mecanismo de control de acceso determina qué usuarios y programas que representan los intereses de ciertos usuarios pueden hacer y en qué medida

1. Hay dos procesos importantes para el control de acceso

1. El proceso de certificación

Verificar la identidad legal del sujeto mediante "autenticación"

2. Gestión de autorizaciones

Dar a los usuarios acceso a un recurso mediante una "autorización"

2. Clasificación de los mecanismos de control de acceso

Control de acceso obligatorio

Control de acceso discrecional

Control de acceso basado en roles

La diferencia entre RBAC y MAC: MAC se basa en requisitos de seguridad de varios niveles, mientras que RBAC no

Sistema de soporte de PMI

4 tipos de esquemas de autorización de control de acceso

1. Método de control de acceso independiente de DAC

El modelo especifica los recursos a los que se puede acceder para cada usuario y no permite el acceso a objetos que no están en la lista de recursos especificada.

2. Método de lista de control de acceso de ACL

Este modelo es actualmente el método más utilizado. El recurso de destino tiene una lista de permisos de acceso, que indica qué usuarios pueden acceder a él. Si un usuario no está en la lista de control de acceso, el usuario no puede acceder a este recurso.

3. Método de control de acceso autónomo MAC

Este modelo se usa ampliamente en los departamentos militares y de seguridad. El objetivo tiene una etiqueta de seguridad que contiene un nivel (como: no confidencial, restringido, secreto, confidencial, alto secreto); el visitante tiene permiso para incluir la lista de niveles, que define a cuáles se puede acceder a los objetivos de nivel: por ejemplo, para permitir el acceso a información de nivel secreto. En este momento, se permite acceder a la información de nivel secreto, nivel restringido y nivel no seguro, pero no se permite que la información de nivel confidencial y de alto secreto ser accedido

4. Método de control de acceso basado en roles RBAC

El modelo primero define algunos roles en la organización: director, jefe de sección y personal; luego asigna los permisos correspondientes a estos roles de acuerdo con las regulaciones de gestión, y finalmente asigna uno o más roles a cada persona en la organización de acuerdo con el negocio y el puesto específicos.

Implementación de PMI

Auditoría de seguridad de la información

Concepto de auditoría de seguridad

1. La auditoría de seguridad consiste en registrar y revisar el acceso y uso del sujeto al objeto, para garantizar que las reglas de seguridad se implementen correctamente y para ayudar a analizar las causas de los incidentes de seguridad.

2. La auditoría de seguridad incluye específicamente dos aspectos

1. Adopte un sistema de control de red y prevención de intrusiones para identificar diversas operaciones ilegales y ataques a la red, responda de inmediato (como una alarma) y bloquee

2. La auditoría del contenido de la información y los procesos comerciales puede evitar la divulgación ilegal de información interna confidencial o sensible y la pérdida de activos de la unidad.

3. El sistema de auditoría de seguridad adopta tecnología de almacenamiento de datos y minería de datos para analizar, procesar y rastrear datos históricos, realizar monitoreo y administración de terminal a terminal en diferentes entornos de red y emitir advertencias o automáticamente a través de múltiples canales al administrador cuando sea necesario. medidas incorrectas. Por lo tanto, el sistema de auditoría de seguridad de la información se compara vívidamente con la "caja negra" y el "dios guardián".

4. Caja negra

El sistema de auditoría de seguridad de la información es la "caja negra" del sistema de información de aplicaciones comerciales. Incluso después de que todo el sistema sea destruido por el desastre, la "caja negra" también puede estar sana y salva, y registrar con precisión los diversos rastros de los daños en el sistema y el "registro del sitio".

5. Dios guardián

El sistema de auditoría de seguridad de la información es el "guardián" del sistema de información comercial, monitoreando, rastreando y arrestando todas las actividades criminales e ilegales actuales en cualquier momento, y al mismo tiempo "taponando" tendencias criminales ocultas y ocultas y signos de ilegalidad. "erradicar"

6. Los productos de auditoría de seguridad incluyen principalmente productos de auditoría a nivel de sistema de mainframe, redes, bases de datos y aplicaciones comerciales.

7. La función de un sistema de auditoría de seguridad

1. Disuadir o advertir a posibles atacantes

2. Proporcionar evidencia de investigación efectiva para el daño del sistema que ha ocurrido.

3. Proporcione a los administradores de seguridad del sistema valiosos registros de uso del sistema para ayudar a los administradores de seguridad del sistema a descubrir intrusiones o posibles vulnerabilidades del sistema a tiempo.

4. Proporcionar a los administradores de seguridad del sistema registros estadísticos del funcionamiento del sistema, de modo que los administradores de seguridad del sistema puedan encontrar deficiencias en el rendimiento del sistema o áreas que deben mejorarse y fortalecerse.

8. El contenido de la auditoría de seguridad de la red.

1. Supervisar la actividad del usuario dentro de la red.

2. Amenazas potenciales en el sistema de detección

3. Estadísticas y análisis de las condiciones operativas diarias

4. Análisis post mortem de emergencias y eventos anormales

5. Detección auxiliar y recopilación de pruebas

Establecer un sistema de auditoría de seguridad

1. La función básica del sistema de alerta temprana y detección de intrusiones de seguridad de la red es monitorear el flujo de datos de comunicación en la red y la información de auditoría en el sistema del servidor de red, capturar las actividades sospechosas del sistema del servidor y la red, y descubrir los problemas de seguridad en él. . Cuando la red y el host son ilegales Cuando se usa o se destruye, se generan respuestas y alarmas en tiempo real; información de notificación y registros. Con base en esta información de notificación, registros y resultados de análisis, los gerentes de auditoría del sistema ajustan y actualizan la administración de seguridad existente estrategias o realizar seguimiento y seguimiento y otras medidas de posprocesamiento. Por lo tanto, el monitoreo de intrusiones y la auditoría de seguridad en este nivel son relaciones causales de uno a muchos. Los resultados de los registros obtenidos por el primero son la fuente de los datos de auditoría y análisis del segundo, o el primero es el medio y el segundo es el propósito. Ninguna de las partes puede separarse de la otra. Trabaje solo. Como auditoría de seguridad completa, el sistema de monitoreo de intrusiones debe proporcionar datos de análisis de auditoría precisos y en tiempo real basados en la red, el host (servidor, cliente) y el sistema de aplicaciones.

2. La supervisión de intrusiones se refiere al proceso de identificación y respuesta al uso malintencionado de los recursos informáticos y de red. No solo detecta intrusiones desde el exterior, sino que también detecta actividades no autorizadas de usuarios internos.

3. Desde la perspectiva de la auditoría de seguridad, la detección de intrusiones adopta una estrategia ofensiva como defensiva. Los datos que proporciona no solo se pueden usar para descubrir si los usuarios legítimos abusan de los privilegios, sino que también proporcionan evidencia efectiva para la investigación de la responsabilidad legal del intruso.

4. Del análisis de tecnología existente conocida, hay principalmente 4 soluciones

1. Agente basado en el sistema operativo del host

2. Agente basado en el sistema de solicitud

3. Programa independiente basado en el sistema de solicitud

4. Basado en el método de monitoreo de derivación de la red

Sistema de auditoría distribuido

Componentes de un sistema de auditoría distribuido

Centro de auditoria

Consola de auditoría

Agente de auditoría

Centro de auditoria

Es un software dedicado para el almacenamiento y la gestión centralizados de los datos de todo el sistema de auditoría y la respuesta de emergencia. Se basa en una plataforma de base de datos y adopta un método de base de datos para la gestión de datos de auditoría y el control del sistema, y se ejecuta durante mucho tiempo sin siendo vigilado.

Consola de auditoría

Es un software de interfaz que se proporciona a los administradores para consultar datos de auditoría, planificar y configurar el sistema de auditoría y realizar la función de alarma. Puede haber varios software de consola de auditoría ejecutándose al mismo tiempo

Agente de auditoría

Es un componente directamente conectado a la red y al sistema auditados, y diferentes agentes de auditoría realizan diferentes funciones.

El agente de auditoría informa automáticamente los datos de alarma y los datos que se registrarán al centro de auditoría, y el centro de auditoría lleva a cabo una gestión de programación unificada.

Sistema de información Gerente de proyectos-Sistema de información Gestión de seguridad Conocimiento básico Mapa mental

Escenas