信息安全管理技術(shù)標(biāo)準(zhǔn)2課件

1、本章內(nèi)容信息安全管理體系信息安全管理標(biāo)準(zhǔn)信息安全策略信息安全技術(shù)2022/7/201信息技術(shù)/網(wǎng)絡(luò)技術(shù)改變生活方式政府商業(yè)個人生活金融2022/7/202信息安全現(xiàn)狀日益增長的安全威脅攻擊技術(shù)越來越復(fù)雜入侵條件越來越簡單2022/7/203黑客攻擊猖獗網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬黑客攻擊計算機(jī)病毒后門、隱蔽通道蠕蟲2022/7/204安全事件每年都有上千家政府網(wǎng)站被攻擊安全影響任何網(wǎng)絡(luò)都可能遭受入侵2022/7/205系統(tǒng)的定義：系統(tǒng)是由相互作用和相互依賴的若干部分結(jié)合成的具特定功能的整體。系統(tǒng)一般包括下列因素：1、一種產(chǎn)品或者組件，如計算機(jī)、所有的外部設(shè)備等；2、操作系統(tǒng)

2、、通信系統(tǒng)和其他相關(guān)的設(shè)備、軟件，構(gòu)成 了一個組織的基本結(jié)構(gòu)；3、多個應(yīng)用系統(tǒng)或軟件（財務(wù)、人事、業(yè)務(wù)等）4、it部門的員工5、內(nèi)部用戶和管理層6、客戶和其他外部用戶7、周圍環(huán)境，包括媒體、競爭者、上層管理機(jī)構(gòu)。2022/7/206信息安全管理覆蓋的內(nèi)容非常廣泛，涉及到信息和網(wǎng)絡(luò)系統(tǒng)的各個層面，以及生命周期的各個階段。不同方面的管理內(nèi)容彼此之間存在著一定的關(guān)聯(lián)性，它們共同構(gòu)成一個全面的有機(jī)整體，以使管理措施保障達(dá)到信息安全的目，這個有機(jī)整體被稱為信息安全管理體系。信息安全管理體系2022/7/207物理層面網(wǎng)絡(luò)層面系統(tǒng)層面應(yīng)用層面管理層面安全管理制度業(yè)務(wù)處理流程 業(yè)務(wù)應(yīng)用系統(tǒng) 數(shù)據(jù)庫應(yīng)用系統(tǒng)

3、身份鑒別機(jī)制 強(qiáng)制訪問控制防火墻入侵檢測系統(tǒng)物理設(shè)備安全環(huán)境安全信息安全體系信息系統(tǒng)安全體系結(jié)構(gòu)2022/7/208定義：信息安全管理體系（Information Security Management System，ISMS）是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用的方法和手段所構(gòu)成的體系；信息安全管理體系是信息安全管理活動的直接結(jié)果，表示為方針、原則、目標(biāo)、方法、計劃、活動、程序、過程和資源的集合。信息安全管理體系定義2022/7/209建立信息安全管理體系的意義ISMS是組織整體管理體系的一部分，是組織在整體或特定范圍內(nèi)建立信息安全的方針和目標(biāo)，以及完成這些

4、目標(biāo)所用的方法的體系。安全管理體系是安全技術(shù)體系真正有效發(fā)揮保護(hù)作用的重要保障，安全管理體系的涉及立足于總體安全策略，并與安全技術(shù)體系相互配合，增強(qiáng)技術(shù)防護(hù)體系的效率和效果，同時，也彌補(bǔ)當(dāng)前技術(shù)無法完全解決的安全缺陷。2022/7/2010強(qiáng)化員工的信息安全意識，規(guī)范組織信息安全行為；促使管理層貫徹信息安全保障體系；對組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)，維持競爭優(yōu)勢；在信息系統(tǒng)受到侵襲時，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度；使組織的生意伙伴和客戶對組織充滿信心；如果通過體系認(rèn)證，表明體系符合標(biāo)準(zhǔn)，證明組織有能力保障重要信息，可以提高組織的知名度與信任度。組織建立、實(shí)施與保持ISMS將會產(chǎn)生

5、如下作用：2022/7/2011ISO27001是建立和維護(hù)信息安全管理體系的標(biāo)準(zhǔn)，它要求應(yīng)該通過這樣的過程來建立ISMS框架：確定體系范圍，制定信息安全側(cè)率，明確管理職責(zé)，通過風(fēng)險評估確定控制目標(biāo)和控制方式。ISO27001非常強(qiáng)調(diào)信息安全管理過程中文件化的工作，ISMS的文件體系應(yīng)該包括安全策略、適用性聲明（選擇和未選擇的控制目標(biāo)和控制措施）、實(shí)施安全控制所需的程序文件、ISMS管理和操作程序，以及組織圍繞ISMS開展的所有活動的證明材料。信息安全管理體系標(biāo)準(zhǔn)2022/7/2012信息安全管理的基本原則一、總體原則 1、主要領(lǐng)導(dǎo)負(fù)責(zé)原則 2、規(guī)范定級原則 3、以人為本原則 4、適度安全原則

6、 5、全面防范、突出重點(diǎn)原則 6、系統(tǒng)、動態(tài)原則 7、控制社會影響原則。二、安全策略管理 1、分權(quán)制衡 2、最小特權(quán) 3、選用成熟技術(shù) 4、普遍參與。2022/7/2013信息安全保證工作事關(guān)大局，企業(yè)、組織各級領(lǐng)導(dǎo)應(yīng)該把信息安全列為其最重要的工作內(nèi)容之一，并負(fù)責(zé)成提高、加強(qiáng)內(nèi)部人員的安全意識，組織有效的技術(shù)和管理隊(duì)伍，調(diào)動優(yōu)化配置必要的資源和經(jīng)費(fèi)，協(xié)調(diào)信息安全管理工作與各部門工作的關(guān)系，確保信息安全保障工作的落實(shí)和效果。主要領(lǐng)導(dǎo)負(fù)責(zé)原則2022/7/2014規(guī)范定級原則分級、分類是信息安全保障工作有的放矢的前提，是界定和保護(hù)重點(diǎn)信息系統(tǒng)的依據(jù)，只有通過合理、規(guī)范的分級、分類才能落實(shí)重點(diǎn)投資、

7、重點(diǎn)防護(hù)。2022/7/2015以人為本原則信息安全保障在很大程度上受制于人為的因素。加強(qiáng)信息安全教育、培訓(xùn)和管理，強(qiáng)化安全意識和法制觀念，提升職業(yè)道德，掌握安全技術(shù)，確保措施落實(shí)是做好信息安全管理工作的重要保證。2022/7/2016適度安全原則安全需求的不斷增加和現(xiàn)實(shí)資源的局限性是安全決策處于兩難境地，恰當(dāng)?shù)仄胶獍踩度肱c效果是從全局上處置好安全管理工作的出發(fā)點(diǎn)。2022/7/2017全面防范、突出重點(diǎn)的原則全面防范是保障信息系統(tǒng)安全的關(guān)鍵。它需要從人員、管理和技術(shù)等方面，在預(yù)警、保護(hù)、檢測、反應(yīng)、恢復(fù)和跟蹤等多個環(huán)節(jié)上采用多種技術(shù)實(shí)現(xiàn)。同時，又要從組織和機(jī)構(gòu)的實(shí)際情況出發(fā)，突出自身的安全

8、管理重點(diǎn)。2022/7/2018系統(tǒng)、動態(tài)原則信息安全管理工作的系統(tǒng)特征突出。要按照系統(tǒng)工程的要求，注意各方面、各層次、各時期的相互協(xié)調(diào)、匹配和銜接，以便體現(xiàn)系統(tǒng)集成效果和前期投入的效益。同時，信息安全又是一種狀態(tài)和動態(tài)反饋過程，隨著安全利益和系統(tǒng)脆弱性時空分布的變化，威脅程度的提高，系統(tǒng)環(huán)境的變化以及人員對系統(tǒng)安全認(rèn)識的深化等，應(yīng)及時地將現(xiàn)有的安全策略、風(fēng)險接受程度和保護(hù)措施進(jìn)行復(fù)查、修改、調(diào)整以至提升安全管理等級。2022/7/2019控制社會影響原則對安全事件的處理應(yīng)有授權(quán)者適時披露并發(fā)布準(zhǔn)確一致的有關(guān)信息，避免帶來不良的社會影響。2022/7/2020分權(quán)制衡策略減少未授權(quán)的修改或?yàn)E用

9、系統(tǒng)資源的機(jī)會，對特定職能或責(zé)任領(lǐng)域的管理能力實(shí)施分離、獨(dú)立審計，避免操作權(quán)力過分集中。2022/7/2021最小特權(quán)策略任何實(shí)體（如用戶、管理員、進(jìn)程、應(yīng)用或系統(tǒng)）僅享有該實(shí)體需要完成其任務(wù)所必需的特權(quán)，不應(yīng)享有任何多余的特權(quán)。2022/7/2022選用成熟技術(shù)策略成熟的技術(shù)提供了可靠性、穩(wěn)定性保證，采用新技術(shù)時要重視其成熟的程度。如果新技術(shù)勢在必行，應(yīng)該首先局部試點(diǎn)，然后逐步推廣，減少或避免可能出現(xiàn)的損失。2022/7/2023普遍參與策略不論信息系統(tǒng)的安全等級如何，要求信息系統(tǒng)所涉及的人員普遍參與并與社會相關(guān)方面協(xié)同、協(xié)調(diào)，共同保障信息系統(tǒng)安全。2022/7/2024信息安全管理的目標(biāo)如

10、下：2022/7/2025信息安全管理內(nèi)容流程規(guī)范性整體協(xié)調(diào)性執(zhí)行落實(shí)性變更可控性責(zé)任性持續(xù)改進(jìn)型計劃性合規(guī)性信息安全管理內(nèi)容2022/7/20261、通過信息安全管理過程完成信息安全管理方面的要求。2、通過信息安全管理過程驅(qū)動信息安全技術(shù)的實(shí)施，達(dá)到信息安全在技術(shù)方面的要求。信息安全管理的基本任務(wù)2022/7/2027信息安全方針與策略信息安全方針和策略主要包括對信息安全進(jìn)行總體性指導(dǎo)和規(guī)劃的管理過程。這些過程包括：安全方針和策略、資金投入管理和信息安全規(guī)劃等。2022/7/2028安全方針和策略方針和策略屬于一般管理中的策略管理。方針和策略是信息安全保障工作的整體性指導(dǎo)和要求。安全方針和策

11、略需要有相應(yīng)的制定、審核和改進(jìn)過程。2022/7/2029資金投入管理信息安全保障工作需要有足夠的資金支撐。但從另一個方面來講，絕對的安全是無法實(shí)現(xiàn)的，因此，需要考慮資金投入和經(jīng)濟(jì)效益之間的平衡。2022/7/2030信息安全規(guī)劃信息安全保障工作是一項(xiàng)涉及面較廣的工作，同時也是一項(xiàng)持續(xù)的、長期的工作。因此，信息安全保障工作需要有長期、中期、短期的計劃。2022/7/2031信息安全人員和組織人員和組織管理是信息安全管理的基本過程。人員和組織是執(zhí)行信息安全保障工作的主體。2022/7/2032在人員和組織管理方面，最基本的管理包括：1、保障有足夠的人力資源從事信息安全保障工作；2、確保人員有明確

12、的角色和責(zé)任；3、保證從業(yè)人員經(jīng)過了適當(dāng)?shù)男畔踩逃团嘤?xùn)，有足夠的安全意識。4、機(jī)構(gòu)中的信息安全相關(guān)人員能夠在有效的組織結(jié)構(gòu)下展開工作。2022/7/2033基于信息系統(tǒng)各個層次的安全管理信息系統(tǒng)是有層次的。因此在信息系統(tǒng)的安全保護(hù)中也存在層次的特點(diǎn)，對應(yīng)各個層次也有相應(yīng)的信息安全管理工作?；谛畔⑾到y(tǒng)的各個層次，可相應(yīng)在如下層次中開展信息安全管理：環(huán)境和設(shè)備安全、網(wǎng)絡(luò)和通信安全、主機(jī)和系統(tǒng)安全、應(yīng)用和業(yè)務(wù)安全、數(shù)據(jù)安全。2022/7/2034環(huán)境和設(shè)備安全也稱為物理安全。在這類安全管理過程中，主要是涉及信息系統(tǒng)和信息工作所在的環(huán)境安全，以及信息設(shè)備方面的安全。另外，文檔和介質(zhì)是存儲數(shù)據(jù)的

13、特殊載體，因此，也應(yīng)當(dāng)對其進(jìn)行適度的管理。物理安全是上層安全的基礎(chǔ)。2022/7/2035網(wǎng)絡(luò)和通信安全網(wǎng)絡(luò)系統(tǒng)和通信系統(tǒng)使得信息系統(tǒng)可以覆蓋各個地理位置和業(yè)務(wù)場所。網(wǎng)絡(luò)和通信安全，特別是全程全網(wǎng)的安全是信息安全保障工作的關(guān)鍵環(huán)節(jié)。2022/7/2036主機(jī)和系統(tǒng)安全主機(jī)及主機(jī)上的操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)以及各種支撐系統(tǒng)等，是承載業(yè)務(wù)系統(tǒng)的基礎(chǔ)平臺。主機(jī)和系統(tǒng)是信息系統(tǒng)威脅的主要目標(biāo)之一。2022/7/2037應(yīng)用和業(yè)務(wù)安全應(yīng)用和業(yè)務(wù)系統(tǒng)是最終實(shí)現(xiàn)各項(xiàng)業(yè)務(wù)工作的上層系統(tǒng)。對相應(yīng)應(yīng)用系統(tǒng)的安全管理要與具體的業(yè)務(wù)特點(diǎn)相結(jié)合。2022/7/2038數(shù)據(jù)安全數(shù)據(jù)安全在信息安全中占有非常重要的地位。數(shù)據(jù)

14、的保密性、數(shù)據(jù)的完整性、數(shù)據(jù)內(nèi)容的真實(shí)性和可靠性等安全特性的要求在業(yè)務(wù)中都非常突出。2022/7/2039基于信息系統(tǒng)生命周期的安全管理信息系統(tǒng)是由生命周期的。信息安全保障也涉及到信息系統(tǒng)生命周期的各個階段。信息系統(tǒng)生命周期可以劃分為兩個階段：1、系統(tǒng)投入前的工程設(shè)計和開發(fā)階段；2、系統(tǒng)的運(yùn)行和維護(hù)階段。2022/7/2040信息系統(tǒng)安全和信息系統(tǒng)本身的三同步1、同步規(guī)劃2、同步建設(shè)3、同步運(yùn)行2022/7/2041項(xiàng)目工程安全管理在信息系統(tǒng)投入運(yùn)行前，信息系統(tǒng)安全的能力、強(qiáng)度、脆弱性、可改進(jìn)的潛力等方面有相當(dāng)?shù)牟糠忠呀?jīng)確定和定型。因此，對于一個信息系統(tǒng)，不應(yīng)當(dāng)在系統(tǒng)建設(shè)完成后再考慮信息安全問

15、題，而應(yīng)當(dāng)從系統(tǒng)建設(shè)的初期開始，在建設(shè)的整個過程中同步考慮。2022/7/2042日常運(yùn)行于維護(hù)的安全管理一個信息系統(tǒng)及其信息安全系統(tǒng)建設(shè)完成后，其安全工作并沒有結(jié)束。真正的安全效果需要通過日常運(yùn)行中的安全管理來實(shí)現(xiàn)，工程過程中奠定的信息安全基礎(chǔ)需要通過管理手段加以發(fā)揮。2022/7/2043配置管理和變更管理配置管理和變更管理是任何形式的管理中不可或缺的管理過程。在信息安全管理中，這兩方面管理的作用尤為突出。1、配置管理：從信息安全管理的角度看，應(yīng)當(dāng)對被保護(hù)的資產(chǎn)以及相應(yīng)的保護(hù)措施進(jìn)行配置描述，并應(yīng)當(dāng)對各個配置描述進(jìn)行持續(xù)的跟蹤管理。2、變更管理：人員、設(shè)備、流程等各個方面的變化，都可能導(dǎo)致

16、信息安全風(fēng)險的變化，因此，要對信息系統(tǒng)中重要的變更進(jìn)行管理。需要建立正規(guī)的變更流程來控制變更可能導(dǎo)致的風(fēng)險。2022/7/2044文檔化和流程規(guī)范化文檔化是信息安全管理工作的重要部分。只有將各種管理辦法、管理過程、管理要求等通過文檔的形式明確下來，才能保證信息安全管理工作進(jìn)一步得到落實(shí)和貫徹。業(yè)務(wù)的運(yùn)行以及單位自身的正常運(yùn)營需要通過許多操作過程（流程）來具體實(shí)現(xiàn)，管理流程的規(guī)范化程度可以體現(xiàn)管理的水平。2022/7/2045新技術(shù)、新方法的跟蹤和采用不斷運(yùn)用新技術(shù)、新方法是提高業(yè)務(wù)能力和競爭力水平的重要手段。因此，對于新技術(shù)和新方法要不斷跟蹤，并有計劃地將新技術(shù)和新方法應(yīng)用到業(yè)務(wù)系統(tǒng)中。甚至，

17、為了保證競爭力的持續(xù)提高，還要進(jìn)行前瞻性的技術(shù)和方法研究。但是新的技術(shù)和方法可能帶來新的風(fēng)險，甚至一些風(fēng)險在該技術(shù)沒有得到廣泛應(yīng)用和成熟化之前很難被發(fā)現(xiàn)。因此，在采取任何較新的技術(shù)和方法之前，都要進(jìn)行嚴(yán)格的安全評估。2022/7/2046風(fēng)險管理風(fēng)險管理是基本管理過程之一。信息安全風(fēng)險管理是整體風(fēng)險管理的一個有機(jī)組成部分，是其在信息化領(lǐng)域的具體體現(xiàn)。在信息安全風(fēng)險管理過程中，要實(shí)施如下工作：1、資產(chǎn)鑒別、分類和評價2、威脅鑒別和評價3、脆弱性評估評估防護(hù)措施的效力和存在的脆弱性4、安全風(fēng)險評估和評級綜合資產(chǎn)、威脅、脆弱性的評估和評價，完成最終的風(fēng)險評估和評級。5、決策并實(shí)施風(fēng)險處理措施根據(jù)風(fēng)險

18、評估的結(jié)果，作出風(fēng)險處理和控制的相關(guān)決策，并投入實(shí)施。2022/7/2047業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理不僅僅是災(zāi)難恢復(fù)、危機(jī)管理、風(fēng)險管理控制或者技術(shù)恢復(fù)，也不僅僅是一個專業(yè)的技術(shù)問題，更重要的是一個業(yè)務(wù)驅(qū)動和高層驅(qū)動的管理問題。它是一個全盤的管理過程，重在識別潛在的影響，建立整體的恢復(fù)能力和順應(yīng)能力，在危機(jī)或?yàn)?zāi)害發(fā)生時保護(hù)信息系統(tǒng)所有者的聲譽(yù)和利益。2022/7/2048符合性審核符合性審核是確保整體管理工作有效實(shí)施的重要管理過程。此類管理過程可以將信息安全管理工作納入到一個良性的、持續(xù)改進(jìn)的循環(huán)中。需要考慮的審核內(nèi)容包括：法律和法規(guī)、內(nèi)部的方針和制度、技術(shù)標(biāo)準(zhǔn)以及其他需要遵循的各種范圍要

19、求。2022/7/2049信息安全管理體系構(gòu)成1、方針與策略管理2、風(fēng)險管理3、人員與組織管理4、環(huán)境與設(shè)備管理5、網(wǎng)絡(luò)與通信管理6、主機(jī)與系統(tǒng)管理7、應(yīng)用于業(yè)務(wù)管理8、數(shù)據(jù)/文檔/介質(zhì)9、項(xiàng)目工程管理10、運(yùn)行維護(hù)管理11、業(yè)務(wù)連續(xù)性管理12、合規(guī)性管理2022/7/2050數(shù)據(jù)/文檔/介質(zhì)管理方針和策略管理應(yīng)用與業(yè)務(wù)管理主機(jī)與系統(tǒng)管理網(wǎng)絡(luò)與通信管理環(huán)境與設(shè)備管理風(fēng)險管理業(yè)務(wù)連續(xù)性管理項(xiàng)目工程管理運(yùn)行維護(hù)管理人員和組織管理合規(guī)性管理信息安全管理體系構(gòu)成2022/7/2051方針與策略管理確保企業(yè)、組織擁有明確的信息安全方針以及配套的策略和制度，以實(shí)現(xiàn)對信息安全工作的支持和承諾，保證信息安全的

20、資金投入。2022/7/2052風(fēng)險管理信息安全建設(shè)不是避免風(fēng)險的過程，而是管理風(fēng)險的過程。沒有絕對的安全，風(fēng)險總是存在的。信息安全體系建設(shè)的目標(biāo)就是把風(fēng)險控制在可以接受的范圍之內(nèi)，風(fēng)險管理同時也是一個動態(tài)持續(xù)的過程。2022/7/2053人員與組織管理建立組織機(jī)構(gòu)，明確人員崗位職責(zé)，提供安全教育和培訓(xùn)，對第三方人員進(jìn)行管理，協(xié)調(diào)信息安全監(jiān)管部門與行內(nèi)其他部門之間的關(guān)系，保證信息安全工作的人力資源要求，避免由于人員和組織上的錯誤產(chǎn)生信息安全風(fēng)險。2022/7/2054環(huán)境與設(shè)備管理控制由于物理環(huán)境和硬件設(shè)施的不當(dāng)所產(chǎn)生的風(fēng)險。管理的內(nèi)容包括物理環(huán)境安全、設(shè)備安全、介質(zhì)安全等。2022/7/20

21、55網(wǎng)絡(luò)與通信安全控制、保護(hù)網(wǎng)絡(luò)和通信系統(tǒng)，防止受到破壞和濫用，避免和降低由于網(wǎng)絡(luò)和通信系統(tǒng)的問題對業(yè)務(wù)系統(tǒng)的損害。2022/7/2056主機(jī)與系統(tǒng)管理控制和保護(hù)主機(jī)及其系統(tǒng)，防止受到破壞和濫用，避免和降低由此對業(yè)務(wù)系統(tǒng)的損害。2022/7/2057應(yīng)用與業(yè)務(wù)管理對各類應(yīng)用和業(yè)務(wù)系統(tǒng)進(jìn)行安全管理，防止受到破壞和濫用。2022/7/2058數(shù)據(jù)/文檔/介質(zhì)管理采用數(shù)據(jù)加密和完整性保護(hù)機(jī)制，防止數(shù)據(jù)被竊取和篡改，保護(hù)業(yè)務(wù)數(shù)據(jù)的安全。2022/7/2059項(xiàng)目工程管理保護(hù)信息系統(tǒng)項(xiàng)目過程的安全，確保項(xiàng)目的成果是可靠的安全系統(tǒng)。2022/7/2060運(yùn)行維護(hù)管理保護(hù)信息系統(tǒng)在運(yùn)行期間的安全，并確保系統(tǒng)

22、維護(hù)工作的安全。2022/7/2061業(yè)務(wù)連續(xù)性管理通過設(shè)計和執(zhí)行業(yè)務(wù)連續(xù)性計劃，確保信息系統(tǒng)在任何災(zāi)難和攻擊下，都能夠保證業(yè)務(wù)的連續(xù)性。2022/7/2062合規(guī)性管理確保信息安全保障工作符合國家法律、法規(guī)的要求；并且信息安全方針、規(guī)定和標(biāo)準(zhǔn)得到了遵循。2022/7/206312項(xiàng)信息安全管理類的作用關(guān)系1、方針與策略管理：是整個信息安全管理工作的基礎(chǔ)和整體指導(dǎo)，對于其他所有的信息安全管理類都有指導(dǎo)和約束的關(guān)系。2022/7/206412項(xiàng)信息安全管理類的作用關(guān)系2、人員與組織管理：是要根據(jù)方針和策略來執(zhí)行的信息安全管理工作。2022/7/206512項(xiàng)信息安全管理類的作用關(guān)系3、合規(guī)性管理

23、：指導(dǎo)如何檢查信息安全管理工作的效果。特別是對于國家法律法規(guī)，方針政策和標(biāo)準(zhǔn)符合程度的檢驗(yàn)。2022/7/206612項(xiàng)信息安全管理類的作用關(guān)系4、根據(jù)方針與策略，由人員與組織實(shí)施信息安全管理工作。在實(shí)施中主要從兩個角度來考慮問題，即風(fēng)險管理和業(yè)務(wù)連續(xù)性管理。2022/7/206712項(xiàng)信息安全管理類的作用關(guān)系5、根據(jù)信息系統(tǒng)的生命周期，可以將信息系統(tǒng)分為兩個階段，即項(xiàng)目工程開發(fā)階段和運(yùn)行維護(hù)階段。這兩個信息安全管理類體現(xiàn)了信息系統(tǒng)和信息安全工作的生命周期特性。2022/7/2068第二節(jié) 信息安全管理標(biāo)準(zhǔn)一、 BS 7799二、 其他標(biāo)準(zhǔn)2022/7/2069BS 7799簡介BS 7799

24、概述：BS 7799是英國標(biāo)準(zhǔn)委員會（Britsh Standards Insstitute,BSI）針對信息安全管理而制定的標(biāo)準(zhǔn)。分為兩個部分：第一部分：被國際標(biāo)準(zhǔn)化組織ISO采納成為ISO/IEC 17799:2005標(biāo)準(zhǔn)的部分，是信息安全管理實(shí)施細(xì)則（Code of Practice for Information Security Manage-ment），主要供負(fù)責(zé)信息安全系統(tǒng)開發(fā)的人員參考使用，其主要內(nèi)容分為11方面，提供了133項(xiàng)安全控制措施（最佳實(shí)踐）。第二部分：被國際標(biāo)準(zhǔn)化組織ISO采納成為ISO/IEC 20071:2005標(biāo)準(zhǔn)的部分，是建立信息安全管理體系（ISMS）的一

25、套規(guī)范（Specification for Information Security Management Systems ）,其中詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理體系的要求，可以用來指導(dǎo)相關(guān)人員應(yīng)用ISO/IEC 17799:2005,其最終目的在于建立適合企業(yè)需要的信息安全管理體系。2022/7/2070BS 7799發(fā)展歷程BS 7799最初由英國貿(mào)工部立項(xiàng)，是業(yè)界、政府和商業(yè)機(jī)構(gòu)共同倡導(dǎo)的，旨在開發(fā)一套可供開發(fā)、實(shí)施和衡量有效信息安全管理實(shí)踐的通用框架。1995年，BS 7799 -1:1995信息安全管理實(shí)施細(xì)則首次發(fā)布1998年，BS 7799-2:1998信息安全管理體系規(guī)

26、范發(fā)布1999年4月，BS 7799的兩個部分被修訂，形成了完整的BS 7799-1:19992000年國際信息化標(biāo)準(zhǔn)組織將其轉(zhuǎn)化為國際標(biāo)準(zhǔn)，即ISO/IEC 17799:2000信息技術(shù)信息安全管理實(shí)施細(xì)則2002年BSI對BS 7799-2：1999進(jìn)行了重新修訂，正式引入PDCA過程模型；2004年9月BS 7799-2:2002正式發(fā)布2005年6月，ISO/IEC 17799:2000經(jīng)過改版，形成了新的ISO/IEC 17799:2005,同年10月推出了ISO/IEC 27001:2005目前有20多個國家和地區(qū)引用BS 7799作為本國（地區(qū)）標(biāo)準(zhǔn)，有40多個國家和地區(qū)開展了與

27、此相關(guān)的業(yè)務(wù)。在我國ISO 17799:2000已經(jīng)被轉(zhuǎn)化為GB/T 19716-20052022/7/2071BS7799的內(nèi)容*BS7799-1:信息安全管理實(shí)施規(guī)則 主要是給負(fù)責(zé)開發(fā)的人員作為參考文檔使用，從而在他們的機(jī)構(gòu)內(nèi)部實(shí)施和維護(hù)信息安全。 *BS7799-2:信息安全管理體系規(guī)范 詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理體系的要求，指出實(shí)施組織需要通過風(fēng)險評估來鑒定最適宜的控制對象，并根據(jù)自己的需求采取適當(dāng)?shù)陌踩刂啤?2022/7/2072 信息安全管理實(shí)施細(xì)則將信息安全管理內(nèi)容劃分為11個方面，39個控制目標(biāo)，133項(xiàng)控制措施，供信息安全管理體系實(shí)施者參考使用，這11個方面包括

28、：1、安全策略（Security Policy）2、組織信息安全(Organizing Information Security)3、資產(chǎn)管理(Asset Mangement)4、人力資源安全(Human Resources Security)5、物理與環(huán)境安全(Physical and Environmental Security)BS7799-1(ISO/IEC17799)2022/7/20736、通信與操作管理(Communication and Operation Management)7、訪問控制(Access Control)8、信息系統(tǒng)獲取、開發(fā)與維護(hù)(Information S

29、ystems Acquisition,Development and Maintenance)9、信息安全事件管理(Information Security Incident Management)10、業(yè)務(wù)連續(xù)性管理(Business Continuity Management)11、符合性(Compliance)2022/7/2074安全策略：包括信息安全策略文件和信息安全策略復(fù)查。組織安全：包括在組織內(nèi)建立發(fā)起和控制信息安全實(shí)施的管理框架；維護(hù)被外部伙伴訪問、處理和管理的組織的信息，處理設(shè)施和信息資產(chǎn)的安全。資產(chǎn)管理：包括建立資產(chǎn)清單、進(jìn)行信息分類與分級人力資源安全：包括崗位安全責(zé)任和人

30、員錄用安全要求，安全教育與培訓(xùn)，安全意識，離職及變更職位等。BS7799-1(ISO/IEC17799)2022/7/2075物理與環(huán)境安全：包括安全區(qū)域控制、設(shè)備安全管理等通信與操作管理：包括操作程序和責(zé)任，系統(tǒng)規(guī)劃和驗(yàn)收，防范惡意軟件，內(nèi)務(wù)管理，網(wǎng)絡(luò)管理，介質(zhì)安全管理，信息與軟件交換安全訪問控制：包括訪問控制策略，用戶訪問控制，網(wǎng)絡(luò)訪問控制，操作系統(tǒng)訪問控制，應(yīng)用訪問控制，監(jiān)控與審計，移動和遠(yuǎn)程訪問BS7799-1(ISO/IEC17799)2022/7/2076信息系統(tǒng)獲取、開發(fā)與維護(hù)：安全需求分析，安全機(jī)制設(shè)計（應(yīng)用系統(tǒng)安全，密碼控制，系統(tǒng)文件安全），開發(fā)和支持過程的安全控制信息安全事

31、件管理：報告信息安全事件、安全缺陷；責(zé)任和程序、從信息安全事件吸取教訓(xùn)、證據(jù)收集。業(yè)務(wù)連續(xù)性管理：業(yè)務(wù)連續(xù)性計劃的制訂，演習(xí)，審核，改進(jìn)符合性管理：符合法律法規(guī)，符合安全策略等。BS7799-1(ISO/IEC17799)2022/7/2077對控制措施的描述不夠細(xì)致，導(dǎo)致缺乏可操作性；133項(xiàng)控制措施未必適合全部的組織，應(yīng)當(dāng)有選擇的參考使用；133項(xiàng)控制措施未必全面，可以根據(jù)實(shí)際情況進(jìn)行增補(bǔ)。BS7799-1(ISO/IEC17799)2022/7/2078ISO/IEC 17799:2005列舉了十項(xiàng)適用于幾乎所有組織和大多數(shù)環(huán)境的控制措施：1、與法律相關(guān)的控制措施：（1）知識產(chǎn)權(quán)：遵守知

32、識產(chǎn)權(quán)保護(hù)和軟件產(chǎn)品保護(hù)的法律；（2）保護(hù)組織的記錄：保護(hù)重要的記錄不丟失，不被破壞和偽造；（3）數(shù)據(jù)保護(hù)和個人信息隱私：遵守所在國的數(shù)據(jù)保護(hù)法律。BS7799-1(ISO/IEC17799)2022/7/20792、與最佳實(shí)踐相關(guān)的控制措施：（1）信息安全策略文件：高管批準(zhǔn)發(fā)布信息安全策略文件，并廣泛告知；（2）信息安全責(zé)任的分配：清晰地所有的信息安全責(zé)任；（3）信息安全意識、教育和培訓(xùn)：全體員工及相關(guān)人員應(yīng)該接受恰當(dāng)?shù)囊庾R培訓(xùn)；BS7799-1(ISO/IEC17799)2022/7/2080（4）正確處理應(yīng)用程序：防止應(yīng)用程序中的信息出錯、丟失或被非授權(quán)篡改及誤用；（5）漏洞管理：防止利

33、用已發(fā)布的漏洞信息來實(shí)施破壞；（6）管理信息安全事件和改進(jìn)：確保采取一致和有效的方法來管理信息安全事件。（7）業(yè)務(wù)連續(xù)性管理：減少業(yè)務(wù)活動中斷，保護(hù)關(guān)鍵業(yè)務(wù)過程不受重大事故或?yàn)?zāi)難影響。BS7799-1(ISO/IEC17799)2022/7/2081信息安全管理體系規(guī)范(Specification for Information Security Management System)說明了建立、實(shí)施、維護(hù)，并持續(xù)改進(jìn)ISMS的要求指導(dǎo)實(shí)施者如何利用BS7799-1來建立一個有效的ISMSBSI提供依據(jù)BS7799-2所建立ISMS的認(rèn)證BS7799-2/ISO 270012022/7/2082

34、 建立ISMS（PLAN）定義ISMS的范圍和策略識別和評估風(fēng)險評估現(xiàn)有保證措施準(zhǔn)備適用性說明取得管理層對殘留風(fēng)險的認(rèn)可，并獲得實(shí)施ISMS的授權(quán)BS7799-2/ISO 270012022/7/2083實(shí)施ISMS（DO）制訂并實(shí)施風(fēng)險處理計劃實(shí)施安全控制措施實(shí)施安全意識和安全教育培訓(xùn)實(shí)施檢測和響應(yīng)安全機(jī)制BS7799-2/ISO 270012022/7/2084監(jiān)視和復(fù)查ISMS（CHECK）實(shí)施監(jiān)視程序和控制定期復(fù)審ISMS的效力定期進(jìn)行ISMS內(nèi)部審計復(fù)查殘留風(fēng)險和可接受風(fēng)險的水平BS7799-2/ISO 270012022/7/2085改進(jìn)ISMS（ACT）對ISMS實(shí)施可識別的改進(jìn)

35、實(shí)施糾正和預(yù)防措施確保改進(jìn)成果滿足預(yù)期目標(biāo)BS7799-2/ISO 270012022/7/2086強(qiáng)調(diào)文檔化管理的重要作用，文檔體系包括安全策略適用性聲明實(shí)施安全控制的規(guī)程文檔ISMS管理和操作規(guī)程與ISMS有關(guān)的其它文檔BS7799-2/ISO 270012022/7/2087建立ISMS的過程制訂安全策略確定體系范圍明確管理職責(zé)通過安全風(fēng)險評估確定控制目標(biāo)和控制措施復(fù)查、維護(hù)與持續(xù)改進(jìn)BS7799-2/ISO 270012022/7/2088二、其他標(biāo)準(zhǔn)1、PD3000 BS7799標(biāo)準(zhǔn)本身是不具有很強(qiáng)的可實(shí)施性的，為了指導(dǎo)組織更好地建立ISMS并應(yīng)對BS7799認(rèn)證審核的要求，BSID

36、ISC提供了一組有針對性的指導(dǎo)文件，即PD3000系列。2022/7/20892、CC（1）信息技術(shù)產(chǎn)品和系統(tǒng)安全性測評標(biāo)準(zhǔn)，是信息安全標(biāo)準(zhǔn)體系中非常重要的一個分支；是目前國際上最通行的信息技術(shù)產(chǎn)品及系統(tǒng)安全性測評標(biāo)準(zhǔn)，也是信息技術(shù)安全性評估結(jié)果國際互認(rèn)的基礎(chǔ)。 （2）CC、ISO/IEC15408、GB/T18336是同一個標(biāo)準(zhǔn)。 （3）CC的組要目標(biāo)讀者是用戶、開發(fā)者和評估者。 （4）與BS7799標(biāo)準(zhǔn)相比，CC的側(cè)重點(diǎn)放在系統(tǒng)和產(chǎn)品的技術(shù)指標(biāo)評價上；組織在依照BS7799標(biāo)準(zhǔn)來實(shí)施ISMS時，一些牽涉系統(tǒng)和產(chǎn)品安全的技術(shù)要求，可以借鑒CC標(biāo)準(zhǔn)。2022/7/20903、ISO/IEC T

37、R 13335（1）信息和通信技術(shù)安全管理，是由ISO/IEC JTC1制定的技術(shù)報告，是一個信息安全管理方面的指導(dǎo)性標(biāo)準(zhǔn)，其目的是為有效實(shí)施IT安全管理提供建議和支持。 （2）對信息安全風(fēng)險及其構(gòu)成要素間關(guān)系的描述非常具體，對風(fēng)險評估方法過程的描述很清晰，可用來指導(dǎo)實(shí)施。2022/7/20914、SSE-CMM（1）SSE-CMM模型是CMM在系統(tǒng)安全工程這個具體領(lǐng)域應(yīng)用而產(chǎn)生的一個分支，是美國國家安全局（NSA）領(lǐng)導(dǎo)開發(fā)的，是專門用于系統(tǒng)安全工程的能力程度度模型。 （2）ISO/IEC DIS 21827信息技術(shù)系統(tǒng)安全工程能力成熟度模型 （3）SSE-CMM將系統(tǒng)安全工程成熟度劃分為5個

38、等級 （4）SSE-CMM可以作為評估工程實(shí)施組織（如安全服務(wù)提供商）能力與資質(zhì)的標(biāo)準(zhǔn)。我國國家信息安全測評認(rèn)證中心在審核專業(yè)機(jī)構(gòu)信息安全服務(wù)資質(zhì)時，基本上就是依據(jù)SSE-CMM來審核并劃分等級的。2022/7/20925、NIST SP 800系列 美國國家標(biāo)準(zhǔn)技術(shù)委員會（NIST）發(fā)布的Special Publication 800文檔是一系列針對信息安全技術(shù)和管理領(lǐng)域的實(shí)踐參考指南。6、ITIL 信息技術(shù)基礎(chǔ)設(shè)施庫（IT Infrastructure Library），是由英國中央計算機(jī)與電信局（CCTA）發(fā)布的關(guān)于IT服務(wù)管理最佳實(shí)踐的建議和指導(dǎo)方針，旨在解決IT服務(wù)質(zhì)量不佳的情況。2

39、022/7/20937、CobiT 信息及相關(guān)技術(shù)控制目標(biāo)（Control Objectives for Information and related Technology,CobiT）是由美國信息系統(tǒng)審計與控制協(xié)會針對IT過程管理制定的一套基于最佳實(shí)踐的控制目標(biāo)，是目前國際上公認(rèn)的最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制標(biāo)準(zhǔn)。 2022/7/2094第三節(jié) 信息安全策略一、信息安全策略概述二、制定信息安全策略三、確定信息安全策略保護(hù)的對象四、主要信息安全策略五、信息安全策略的執(zhí)行和維護(hù)2022/7/2095安全策略包括：總體方針，指導(dǎo)性的戰(zhàn)略綱領(lǐng)文件，闡明了企業(yè)對于信息安全的看法和立場、信

40、息安全的目標(biāo)和戰(zhàn)略、信息安全所涉及的范圍、管理組織構(gòu)架和責(zé)任認(rèn)定、以及對于信息資產(chǎn)的管理辦法等內(nèi)容針對特定問題的具體策略，闡述了企業(yè)對于特定安全問題的聲明、立場、適用辦法、強(qiáng)制要求、角色、責(zé)任認(rèn)定等內(nèi)容針對特定系統(tǒng)的具體策略，更為具體和細(xì)化，闡明了特定系統(tǒng)與信息安全有關(guān)的使用和維護(hù)規(guī)則等內(nèi)容2022/7/2096安全策略的特點(diǎn)：力求全面和明確，不必過于具體和深入需要一個逐漸完善的過程，不可能一蹴而就應(yīng)當(dāng)保持適當(dāng)?shù)姆€(wěn)定性2022/7/2097信息安全策略定義 信息安全策略是一組經(jīng)過高級管理層批準(zhǔn)，正式發(fā)布和實(shí)施的綱領(lǐng)性文件，描述了一個企業(yè)、組織的高層安全目標(biāo)，它描述應(yīng)該做什么，而不是如何去做，一

41、份信息安全策略就像是一份工程管理計劃書，這意味著它隱藏了執(zhí)行的細(xì)節(jié)。 信息安全策略是一種處理安全問題的管理策略的描述。安全策略必須遵循三個基本原則：確定性、完整性和有效性。2022/7/2098信息安全策略的重要性 信息安全策略是位于核心地位的方針和政策的集合，雖然它并不涉及具體的執(zhí)行細(xì)節(jié)，但是明確描述了安全保護(hù)的對象范圍，能夠保證后續(xù)的控制措施被合理的執(zhí)行，能夠?qū)Π踩a(chǎn)品的選擇及管理實(shí)踐起到指導(dǎo)和約束作用。遵循安全策略的信息系統(tǒng)建設(shè)和管理將會形成一個統(tǒng)一的有機(jī)整體，使得系統(tǒng)具有更好的安全性。2022/7/2099制定信息安全策略的時間理想情況下，制定信息安全策略的最佳時間是在發(fā)生第一起網(wǎng)絡(luò)安

42、全事故之前。2022/7/20100安全員需要了解的幾個問題： 1、任何業(yè)務(wù)動作過程均存在不同程度的風(fēng)險；2、保險公司不愿向沒有信息安全策略的企業(yè)投保；3、一個包括軟件開發(fā)策略在內(nèi)的安全策略對與開發(fā)更安全的系統(tǒng)是有指導(dǎo)作用的。4、在安全事故發(fā)生后，安全事故很可能重復(fù)發(fā)生，所以第一次發(fā)生后實(shí)施安全策略盡管太晚，卻十分必要；5、發(fā)生安全事故制定安全策略時，不要把重點(diǎn)放在攻破的地方，要從全局考慮安全問題；6、安全策略給用戶的印象是企業(yè)對安全問題非常認(rèn)真；7、當(dāng)企業(yè)為政府或機(jī)關(guān)工作或與其合作時，一份安全策略應(yīng)該是首先引起注意的事項(xiàng)；8、向用戶展示企業(yè)質(zhì)量標(biāo)準(zhǔn)控制所要求的可評價安全程序來說，安全策略可以

43、作為該程序的指導(dǎo)方針。2022/7/20101信息安全策略開發(fā)流程1、確定信息安全策略的范圍2、風(fēng)險評估/分析或者審計3、信息安全策略的審查、批準(zhǔn)和實(shí)施2022/7/20102制定信息安全策略制定信息安全策略的原則：1、先進(jìn)的網(wǎng)絡(luò)安全技術(shù)是網(wǎng)絡(luò)安全的根本保證2、嚴(yán)格的管理是確保信息安全策略落實(shí)的基礎(chǔ)3、嚴(yán)格的法律法規(guī)是網(wǎng)絡(luò)安全的堅強(qiáng)后盾2022/7/20103先進(jìn)的網(wǎng)絡(luò)安全技術(shù)是網(wǎng)絡(luò)安全的根本保證用戶對自身面臨的威脅進(jìn)行風(fēng)險評估，決定其所需的安全服務(wù)種類，選擇相應(yīng)的安全機(jī)制，然后集成先進(jìn)的安全技術(shù)，形成一個全方位的安全系統(tǒng)。2022/7/20104嚴(yán)格的管理是確保信息安全策略落實(shí)的基礎(chǔ)各計算機(jī)

44、使用機(jī)構(gòu)、企業(yè)和單位應(yīng)建立相應(yīng)的網(wǎng)絡(luò)安全管理辦法，加強(qiáng)內(nèi)部管理，建立合適的網(wǎng)絡(luò)安全管理系統(tǒng)，加強(qiáng)用戶管理和授權(quán)管理，建立安全審計和跟蹤體系，提高整體網(wǎng)絡(luò)安全意識。2022/7/20105嚴(yán)格的法律法規(guī)是網(wǎng)絡(luò)安全的堅強(qiáng)后盾面對日趨嚴(yán)重的網(wǎng)絡(luò)犯罪，必須建立與網(wǎng)絡(luò)安全相關(guān)的法律、法規(guī)，使非法分子不會輕易發(fā)動攻擊。2022/7/20106信息安全策略的設(shè)計范圍一個合理的信息安全策略體系包括三個不同層次的策略文檔：1、總體安全策略2、針對特定問題的具體策略3、針對特定系統(tǒng)的具體策略2022/7/20107總體安全策略文檔闡述指導(dǎo)性的戰(zhàn)略綱領(lǐng)文件，闡明了企業(yè)對與信息安全的看法和立場、信息安全的目標(biāo)和戰(zhàn)略、

45、信息安全所涉及的范圍、管理組織架構(gòu)和責(zé)任認(rèn)定以及對與信息資產(chǎn)的管理辦法等內(nèi)容。2022/7/20108針對特定問題的具體策略文檔闡述了企業(yè)對于特定安全問題的聲明、立場、適用辦法、強(qiáng)制要求、角色、責(zé)任的認(rèn)定等內(nèi)容，例如：針對Internet訪問操作、計算機(jī)和網(wǎng)絡(luò)病毒防治、口令的使用和管理等特定問題，制定用針對性的安全策略。2022/7/20109針對特定系統(tǒng)的具體策略文檔針對特定系統(tǒng)的具體策略，更為具體化和詳細(xì)化，闡明了特定系統(tǒng)與信息安全有關(guān)的使用和維護(hù)規(guī)則等內(nèi)容，如防火墻配置策略、電子郵件安全策略等等。2022/7/20110信息安全策略的15個制定范圍1、物理安全策略2、網(wǎng)絡(luò)安全策略3、數(shù)據(jù)

46、加密策略4、數(shù)據(jù)備份策略5、病毒防護(hù)策略6、系統(tǒng)安全策略7、身份認(rèn)證及授權(quán)策略8、災(zāi)難恢復(fù)策略9、事故處理、緊急響應(yīng)策略10、安全教育策略11、口令管理策略12、補(bǔ)丁管理策略13、系統(tǒng)變更控制策略14、商業(yè)伙伴、客戶關(guān)系策略15、復(fù)查審計策略2022/7/20111信息安全策略2022/7/20112物理安全策略物理安全策略包括環(huán)境安全、設(shè)備安全、媒體安全、信息資產(chǎn)的物理分布、人員的訪問控制、審計紀(jì)錄、異常情況的追查等。2022/7/20113網(wǎng)絡(luò)安全策略網(wǎng)絡(luò)安全策略包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備的管理、網(wǎng)絡(luò)安全訪問控制（防火墻、入侵檢測系統(tǒng)、VPN等）、安全掃描、遠(yuǎn)程訪問、不同級別網(wǎng)絡(luò)的訪問控制

47、方式、識別/認(rèn)證機(jī)制等等。2022/7/20114數(shù)據(jù)加密策略數(shù)據(jù)加密策略包括加密算法、適用范圍、密鑰交換和管理等。2022/7/20115數(shù)據(jù)備份策略數(shù)據(jù)備份策略包括適用范圍、備份方式、備份數(shù)據(jù)的安全儲存、備份周期、負(fù)責(zé)人等。2022/7/20116病毒防護(hù)策略病毒防護(hù)策略包括防病毒軟件的安裝、配置、對軟盤使用、網(wǎng)絡(luò)下載等作出的規(guī)定。2022/7/20117系統(tǒng)安全策略系統(tǒng)安全策略包括WWW訪問控制策略、數(shù)據(jù)庫系統(tǒng)安全策略、郵件系統(tǒng)安全策略、應(yīng)用服務(wù)器系統(tǒng)安全策略、個人桌面系統(tǒng)安全策略、其他業(yè)務(wù)相關(guān)系統(tǒng)安全策略等。2022/7/20118身份認(rèn)證及授權(quán)策略身份認(rèn)證及授權(quán)策略包括認(rèn)證及授權(quán)機(jī)制

48、、方式、審計記錄等。2022/7/20119災(zāi)難恢復(fù)策略災(zāi)難恢復(fù)策略包括責(zé)任人員、恢復(fù)機(jī)制、方式、歸檔管理、硬件、軟件等。2022/7/20120事故處理、緊急響應(yīng)策略事故處理、緊急響應(yīng)策略包括響應(yīng)小組、聯(lián)系方式、事故處理計劃、控制過程等。2022/7/20121安全教育策略安全教育策略包括安全策略的發(fā)布宣傳、執(zhí)行效果的監(jiān)督、安全技能的培訓(xùn)、安全意識的教育等。2022/7/20122口令管理策略口令管理策略包括口令管理方式、口令設(shè)置規(guī)則、口令適應(yīng)規(guī)則等。2022/7/20123補(bǔ)丁管理規(guī)則補(bǔ)丁管理規(guī)則包括系統(tǒng)補(bǔ)丁的更新、測試、安裝等。2022/7/20124系統(tǒng)變更控制策略系統(tǒng)變更控制策略包括

49、設(shè)備、軟件配置、數(shù)據(jù)變更管理、一致性管理等。2022/7/20125商業(yè)伙伴、客戶關(guān)系策略商業(yè)伙伴、客戶關(guān)系策略包括合同條款安全策略、客戶服務(wù)安全建議等。2022/7/20126復(fù)查審計策略復(fù)查審計策略包括對安全策略的定期復(fù)查、對安全控制及過程的重新評估、對系統(tǒng)日志記錄的審計、對安全技術(shù)反戰(zhàn)的跟蹤等。2022/7/20127有效的信息安全策略的特點(diǎn)1、得到大部分需求支持并同時能夠維護(hù)企業(yè)利益；2、清晰，無須借助過多的需求文檔描述；3、提供框架結(jié)構(gòu)和要求以進(jìn)行用戶培訓(xùn)、引導(dǎo)接受培訓(xùn)的人員確定在構(gòu)建安全計算環(huán)境的最重要因素。2022/7/20128完整信息安全策略的覆蓋范圍SANS模型策略列表：1

50、、可接受的加密控制；2、可接受的使用控制；3、模擬/ISDN線路和撥入訪問控制；4、防病毒流程；5、應(yīng)用程序提供上（ASP）控制；6、引入評估控制；7、審核和風(fēng)險評估；8、自動轉(zhuǎn)發(fā)電子郵件控制；9、數(shù)據(jù)庫信任編碼；10、Extranet訪問控制；11、敏感信息控制；12、Internet DNS設(shè)備控制；13、實(shí)驗(yàn)室管理；14、口令保護(hù)；15、遠(yuǎn)程訪問和VPN安全控制16、路由器安全管理；17、服務(wù)器安全管理；18、第三方網(wǎng)絡(luò)連接協(xié)議；19、無線通信控制；2022/7/20129可接受的加密控制有助于保證企業(yè)應(yīng)用的加密方法，已經(jīng)通過了公共評估并業(yè)界已經(jīng)證明是有效的。他能夠解決合法性問題，尤其是

51、考慮到出口法律條款時。2022/7/20130可接受的使用控制定義了什么是企業(yè)計算資源的可接收使用和不可接受使用的狀態(tài)，這些企業(yè)計算資源包括隱私、秘密信息、版權(quán)、主動提供的通訊、防止硬件盜竊、自由言論和相關(guān)問題等。該特定策略能夠擴(kuò)展AUP的應(yīng)用。2022/7/20131模擬/ISDN線路和撥入訪問控制有助于保護(hù)系統(tǒng)免受撥入訪問而導(dǎo)致的系統(tǒng)入侵以及撥出訪問而產(chǎn)生的系統(tǒng)泄密等問題。還可以通過與業(yè)務(wù)案例緊密聯(lián)系的批準(zhǔn)流程和嚴(yán)格的運(yùn)算要求，控制預(yù)定傳真和調(diào)制解調(diào)器線路的人員。此外，安全策略還定義了包括含撥入訪問的流程、正確賦予類似訪問權(quán)限的規(guī)則以及不使用撥入訪問的情況。2022/7/20132防病毒流

52、程該流程提供了防病毒和相關(guān)問題，如垃圾郵件、郵件鏈、可執(zhí)行的電子郵件附件等，未知可下栽的原地址、感染的軟盤、可寫的文件共享和非頻繁的備份操作等建議。雖然文檔中的信息僅作為指導(dǎo)使用（建議僅是推薦使用，并不具有強(qiáng)制性），但是許多企業(yè)然希望將其作為安全策略使用（所有要求都是在企業(yè)內(nèi)部必須采用的）。2022/7/20133應(yīng)用程序提供上（ASP）控制當(dāng)企業(yè)需要恰當(dāng)?shù)貙㈨?xiàng)目運(yùn)作放在企業(yè)外部進(jìn)行主機(jī)托管時，則可以定義確定大量敏感信息的規(guī)則。與之相關(guān)的文檔定義了基本安全標(biāo)準(zhǔn)，是作為企業(yè)外部主機(jī)托管的ASP所必需考慮遵循的要求。2022/7/20134引入評估控制定義了企業(yè)如何從認(rèn)可的企業(yè)接受計算機(jī)相關(guān)設(shè)備。

53、提供替換、重新映像或?qū)徍讼到y(tǒng)與網(wǎng)絡(luò)組件并重新建立Internet連接的指南。2022/7/20135審核和風(fēng)險評估通過增強(qiáng)安全小組的處理能力，在任何企業(yè)所有的計算機(jī)系統(tǒng)或組件中進(jìn)行安全性審核和風(fēng)險評估。2022/7/20136自動轉(zhuǎn)發(fā)電子郵件控制禁止未授權(quán)向外部系統(tǒng)轉(zhuǎn)發(fā)電子郵件。2022/7/20137數(shù)據(jù)庫信任編碼指定程序所使用的用戶名和口令登錄數(shù)據(jù)庫，并且應(yīng)該安全保存并可由程序源代碼外部調(diào)用。2022/7/20138Extranet訪問控制定義了第三方如何訪問企業(yè)Internet的要求。需要企業(yè)評估第三方安全性和業(yè)務(wù)案例以確認(rèn)系統(tǒng)訪問。2022/7/20139敏感信息控制定義敏感信息級別，

54、如“限制”、“秘密”、“僅供內(nèi)部使用”和“公開”等。為每個級別定義了適當(dāng)?shù)母袷降臄?shù)據(jù)存儲和分發(fā)。2022/7/20140Internet DMZ設(shè)備控制建立部署在企業(yè)專用網(wǎng)絡(luò)在非嚴(yán)格要求區(qū)域（Demilita-rized Zone, DMZ）所有設(shè)備所必須滿足的標(biāo)準(zhǔn)。2022/7/20141實(shí)驗(yàn)室管理對于具有開發(fā)實(shí)驗(yàn)室的企業(yè)來講，必須制定寬松的策略以進(jìn)行開發(fā)工作。提供多個策略定義相關(guān)的標(biāo)準(zhǔn)并提出附加要求，如指定一名與管理員單一聯(lián)系的人員。2022/7/20142口令保護(hù)設(shè)定口令管理標(biāo)準(zhǔn)，如最長的口令有效時間、全球口令數(shù)據(jù)庫、創(chuàng)建健壯口令的規(guī)則以及禁止口令共享和泄漏。2022/7/20143遠(yuǎn)程

55、訪問和VPN安全控制規(guī)定了所有類型個人執(zhí)行遠(yuǎn)程訪問的各種形式?？傮w來講，擴(kuò)展了所有相關(guān)的內(nèi)不策略覆蓋遠(yuǎn)程訪問。該策略提供了更多用于虛擬個人網(wǎng)絡(luò)(VPN)的規(guī)則，例如，要求所有活動的網(wǎng)絡(luò)流量都要通過VPN傳輸，而不是同時通過VPN和不安全的網(wǎng)絡(luò)連接傳輸。2022/7/20144路由器安全控制該策略為企業(yè)設(shè)定路由器配置標(biāo)準(zhǔn)，如包過濾規(guī)則以防止網(wǎng)絡(luò)欺詐、簡單的網(wǎng)絡(luò)管理協(xié)議（SNMP）通信和“無侵入”信號等。2022/7/20145服務(wù)器安全管理建立服務(wù)器配置和注冊的標(biāo)準(zhǔn)，如禁止不必要的設(shè)備、強(qiáng)制設(shè)備注冊、定期不定修復(fù)與其他服務(wù)器的信任限制和服務(wù)其硬件的物理安全等。2022/7/20146第三方網(wǎng)絡(luò)連

56、接協(xié)議該協(xié)議是企業(yè)與提供相應(yīng)網(wǎng)絡(luò)連接的第三方之間的合同。2022/7/20147無線通訊控制定義企業(yè)內(nèi)部部署未注冊無線訪問控制點(diǎn)的最少加密標(biāo)準(zhǔn)和限制。2022/7/20148確定信息安全策略保護(hù)的對象一、信息系統(tǒng)的硬件與軟件二、信息系統(tǒng)的數(shù)據(jù)三、人員2022/7/20149信息系統(tǒng)的硬件與軟件保護(hù)硬件和軟件是支撐商業(yè)運(yùn)行的平臺，它們應(yīng)該受到策略保護(hù)。所以擁有一份完整的清單是非常重要的。1、硬件：CPU、主板、鍵盤、顯示器、工作站、個人電腦、打印機(jī)、磁盤驅(qū)動器、通信線路、終端服務(wù)器、路由器、診斷設(shè)備等；2、軟件：源程序、目標(biāo)程序、工具程序、診斷程序、操作系統(tǒng)、通信程序等。2022/7/20150

57、信息系統(tǒng)的數(shù)據(jù)保護(hù)編寫策略的時候，有許多關(guān)于數(shù)據(jù)處理的事情是必須考慮的。策略必須考慮到數(shù)據(jù)是如何處理的，怎么保證數(shù)據(jù)的完整性和保密性。除此之外，還必須考慮到如何監(jiān)測數(shù)據(jù)的處理。數(shù)據(jù)是組織的命脈，所以必須有完整的機(jī)制來監(jiān)測它在整個系統(tǒng)中的活動。2022/7/20151人員保護(hù)首先，重點(diǎn)應(yīng)該放在誰在什么情況下能夠訪問資源。策略對那些需要訪問的人授權(quán)直接訪問的權(quán)力，對那些不該訪問的人，策略則要限制他們訪問。接下來要考慮的就是強(qiáng)制執(zhí)行制度和對未授權(quán)訪問的的懲罰制度。如：公司的運(yùn)作由法律保護(hù)嗎？對違反策略的員工有什么樣的紀(jì)律上的處罰？在法律上又能做些什么？2022/7/20152主要信息安全策略一、口令

58、策略：1、服務(wù)器口令的管理2、用戶口令的管理2022/7/20153網(wǎng)絡(luò)服務(wù)器口令的管理1、服務(wù)器的口令，由部門負(fù)責(zé)人和系統(tǒng)管理員商定確定，必須兩人同是在場確定；2、服務(wù)器的口令須部門負(fù)責(zé)人在場時，由系統(tǒng)管理員記錄封存；3、口令要定期更換（視網(wǎng)絡(luò)具體情況），更換后系統(tǒng)管理員要銷毀原記錄，將新口令記錄封存；4、如發(fā)現(xiàn)口令有泄密現(xiàn)象，系統(tǒng)管理員要立即報告部門負(fù)責(zé)人，有關(guān)部門負(fù)責(zé)人報告安全部門，同時，要盡量保護(hù)好現(xiàn)場并記錄，須接到上一級主管批示后再更換口令。2022/7/20154用戶口令的管理1、對于要求設(shè)定口令的用戶，由用戶方指定負(fù)責(zé)人與系統(tǒng)管理員商定口令，由系統(tǒng)管理員登記并請用戶負(fù)責(zé)人確認(rèn)（簽

59、字或電話通知）之后系統(tǒng)管理員設(shè)定口令，并保存用戶檔案；2、在用戶由于責(zé)任人更換或忘記口令時要求查詢口令或要求更換口令的情況下，須向網(wǎng)絡(luò)服務(wù)管理部門提交申請單，由部門負(fù)責(zé)人或系統(tǒng)管理員核實(shí)后，對用戶檔案作更新記載；3、如果網(wǎng)絡(luò)提供用戶自我更新口令的功能，用戶應(yīng)自己定期更換口令，并設(shè)專人負(fù)責(zé)保密和維護(hù)工作。2022/7/20155創(chuàng)建口令時應(yīng)避免的幾個問題1、絕不要將個人信息用作口令的基礎(chǔ)2、不可將自己的偶像用于口令3、不要使用基于放在辦公室桌上的物品的口令4、不要將口令文件保存在本地機(jī)器或共享網(wǎng)絡(luò)上。2022/7/20156創(chuàng)建有效口令的通用規(guī)則1、保存口令唯一安全的地方是腦袋或上了鎖的保險箱；

60、2、有效的口令必須相當(dāng)長，但又不能長到您無法記住他們的程度；3、以合理的方式使用特殊字符、大寫字母和數(shù)字。2022/7/20157計算機(jī)病毒和惡意代碼防治策略病毒防護(hù)策略必須具備下列準(zhǔn)則：1、拒絕訪問能力2、病毒檢測能力3、控制病毒傳播的能力4、清除能力5、恢復(fù)能力6、替代操作2022/7/20158拒絕訪問能力來歷不明的入侵軟件（尤其是網(wǎng)絡(luò)傳過來的）不得進(jìn)入系統(tǒng)。2022/7/20159病毒檢測能力病毒總是有可能進(jìn)入系統(tǒng)的，系統(tǒng)中設(shè)置檢測病毒機(jī)制是非常必要的。除了檢測已知類病毒外，能否檢測未知病毒是一個重要指標(biāo)。2022/7/20160控制病毒傳播的能力沒有一種辦法可以檢測出所有的病毒，一旦