信息安全體系 27001概述課件_第1頁
信息安全體系 27001概述課件_第2頁
信息安全體系 27001概述課件_第3頁
信息安全體系 27001概述課件_第4頁
信息安全體系 27001概述課件_第5頁
已閱讀5頁,還剩121頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

信息安全體系概述信息安全體系概述目錄信息安全體系概述信息安全組織體系信息安全管理體系信息安全技術(shù)體系信息安全執(zhí)行體系目錄信息安全體系概述信息安全組織體系信息安全管理體系信息信息系統(tǒng)固有的脆弱性信息本身易傳播、易毀損、易偽造信息技術(shù)平臺(如硬件、網(wǎng)絡(luò)、系統(tǒng))的復(fù)雜性與脆弱性行動的遠(yuǎn)程化使安全管理面臨挑戰(zhàn)信息具有的重要價值信息社會對信息高度依賴,信息的風(fēng)險加大信息的高附加值會引發(fā)盜竊、濫用等威脅信息安全面臨的風(fēng)險企業(yè)對信息的依賴程度:美國明尼蘇達(dá)大學(xué)Bush-Kugel的研究報告指出,企業(yè)在沒有信息資料可用的情況下,金融業(yè)至多只能運行2天,商業(yè)則為3.3天,工業(yè)則為5天,保險業(yè)為5.6天。而以經(jīng)濟(jì)情況來看,有25%的企業(yè),因為的毀損可能立即破產(chǎn),40%會在兩年內(nèi)宣布破產(chǎn),只有7%不到的企業(yè)在5年后能夠繼續(xù)存活。信息系統(tǒng)固有的脆弱性信息安全面臨的風(fēng)險企業(yè)對信息的依賴程度:硬件架構(gòu):系統(tǒng)與設(shè)備數(shù)量越來越多系統(tǒng)互連關(guān)系越來越繁雜軟件架構(gòu):統(tǒng)架構(gòu)越來越復(fù)雜網(wǎng)絡(luò)連接與劃分混亂互聯(lián)網(wǎng)接口抗攻擊性較弱工程管理:規(guī)劃期缺乏安全評審建設(shè)與工程割接缺乏安全管理遺留策略與帳號形成安全漏洞程序開發(fā):開發(fā)階段缺乏安全監(jiān)管源代碼缺乏安全檢查,可能留下后門1.系統(tǒng)數(shù)量眾多,硬件架構(gòu)多樣,系統(tǒng)間交互與接口繁多,相互關(guān)系復(fù)雜;2.系統(tǒng)軟件架構(gòu)復(fù)雜,網(wǎng)絡(luò)連接與劃分較混亂,互聯(lián)網(wǎng)接口抗攻擊性較弱;3.系統(tǒng)規(guī)劃期缺乏安全評審,工程割接缺少安全管理,工程遺留策略與帳號易形成安全漏洞;4.程序開發(fā)階段缺乏監(jiān)管,程序源代碼缺乏安全檢查,可能留下后門或被攻擊。硬件架構(gòu):軟件架構(gòu):工程管理:程序開發(fā):1.系統(tǒng)數(shù)量眾多,硬常見的信息安全問題常見的信息安全問題常見的信息安全問題常見的信息安全問題信息安全損失的“冰山”理論信息安全直接損失只是冰由之一角,間接損失是直接損失是6-53倍間接損失包括:時間被延誤修復(fù)的成本可能造成的法律訴訟的成本組織聲譽受到的影響商業(yè)機會的損失對生產(chǎn)率的破壞$10,000$60,000-$530,000信息安全損失的“冰山”理論$10,000$60,000-$5保障信息安全的途徑?IT治理安全風(fēng)險測評

信息安全管理體系強化安全技術(shù)信息系統(tǒng)安全等級保護(hù)亡羊補牢?還是打打補丁?系統(tǒng)地全面整改?8保障信息安全的途徑?IT治理安全風(fēng)險測評信息安全管理體系強我國當(dāng)前信息安全普遍存在的問題忽略了信息化的治理機制與控制體系的建立,和信息化“游戲規(guī)則”的建立;廠商主導(dǎo)的技術(shù)型解決方案為主,用戶跟著廠商的步子走;安全只重視邊界安全,沒有在應(yīng)用層面和內(nèi)容層面考慮業(yè)務(wù)安全問題;重視安全技術(shù),輕視安全管理,信息安全可靠性沒有保證;信息安全建設(shè)缺乏績效評估機制,信息安全成了“投資黑洞”;信息安全人員變成“救火隊員”

我國當(dāng)前信息安全普遍存在的問題如何實現(xiàn)信息安全?信息安全=反病毒軟件+防火墻+入侵檢測系統(tǒng)?管理制度?人的因素?環(huán)境因素?Ernst&Young及國內(nèi)安全機構(gòu)的分析:國家政府和軍隊信息受到的攻擊70%來自外部,銀行和企業(yè)信息受到的攻擊70%來自于內(nèi)部。75%的被調(diào)查者認(rèn)為員工對信息安全策略和程序的不夠了解是實現(xiàn)信息安全的障礙之一,只有35%的組織有持續(xù)的安全意識教育與培訓(xùn)計劃66%的組織認(rèn)為信息系統(tǒng)沒有遵守必要的信息安全規(guī)則56%的組織認(rèn)為在信息安全的投入上不足,60%從不計算信息安全的ROI,83%的組織認(rèn)為在技術(shù)安全產(chǎn)品與技術(shù)上投入最多。在整個系統(tǒng)安全工作中,管理(包括管理和法律法規(guī)方面)所占比重應(yīng)該達(dá)到70%,而技術(shù)(包括技術(shù)和實體)應(yīng)占30%。保護(hù)信息安全的方法如何實現(xiàn)信息安全?在整個系統(tǒng)安全工作中,管理(包括管理和建立完善的信息安全體系對信息安全建立系統(tǒng)工程的觀念用管理、技術(shù)、人員、流程來保證組織的信息安全信息安全遵循木桶原理對信息系統(tǒng)的各個環(huán)節(jié)進(jìn)行統(tǒng)一的綜合考慮、規(guī)劃和構(gòu)架并要時時兼顧組織內(nèi)不斷發(fā)生的變化,任何環(huán)節(jié)上的安全缺陷都會對系統(tǒng)構(gòu)成威脅。需要對信息安全進(jìn)行有效管理建立完善的信息安全體系需要對信息安全進(jìn)行有效管理建立統(tǒng)一安全規(guī)劃體系改變以往零敲碎打、因人而起、因事而起的安全管理,形成統(tǒng)一的安全體系,指導(dǎo)安全管理和建設(shè)工作。轉(zhuǎn)變門戶網(wǎng)站防火墻升級信息防泄露DLP維護(hù)區(qū)域擴(kuò)容項目RSA令牌擴(kuò)容項目應(yīng)用漏洞掃描工具項目系統(tǒng)漏洞掃描工具網(wǎng)站頁面防篡改項目。。。。。。零敲碎打引人而起因事而起建立統(tǒng)一安全規(guī)劃體系改變以往零敲碎打、因人而起、因事而起的安總體思路:以防為主,防治結(jié)合防治結(jié)合:自下而上的風(fēng)險反饋以防為主:自上而下的策略管理堅持“以防為主,防治結(jié)合”的安全工作措施,形成成熟的、立體的信息安全運行管控體系。以防為主,即以完善的安全策略為指導(dǎo),使安全策略能自上而下得到落實;防治結(jié)合,即以風(fēng)險管理為核心,使風(fēng)險能自下而上得到反饋和整治。總體思路:以防為主,防治結(jié)合防治結(jié)合:自下而上的風(fēng)險反饋以防初級沒有形成體系,只有零散的安全技術(shù)措施沒有專職安全管理員中級嘗試構(gòu)建安全體系框架,具備較多的安全技術(shù)措施,開始有意識朝著有體系的安全建設(shè)發(fā)展。安全管理員工作繁重,既要處理現(xiàn)有問題,還要準(zhǔn)備未來建設(shè)。高級在正確的安全體系框架指導(dǎo)下建設(shè)多年,形成了完備的安全技術(shù)和管理措施。安全管理員的工作主要是對各種管控規(guī)則進(jìn)行微調(diào),關(guān)注最新安全發(fā)展動態(tài),考核獎懲通報等。安全管理的幾個階段當(dāng)前目標(biāo)初級中級高級安全管理的幾個階段當(dāng)前目標(biāo)信息安全體系的內(nèi)容信息安全體系的內(nèi)容業(yè)務(wù)與策略根據(jù)業(yè)務(wù)需要在組織中建立信息安全策略,以指導(dǎo)對信息資產(chǎn)進(jìn)行管理、保護(hù)和分配。確定并實施信息安全策略是組織的一項重要使命,也是組織進(jìn)行有效安全管理的基礎(chǔ)和依據(jù)?!氨Wo(hù)業(yè)務(wù),為業(yè)務(wù)創(chuàng)造價值”應(yīng)當(dāng)是一切安全工作的出發(fā)點與歸宿,最有效的方式不是從現(xiàn)有的工作方式開始應(yīng)用信息安全技術(shù),而是在針對工作任務(wù)與工作流程重新設(shè)計信息系統(tǒng)時,發(fā)揮信息安全技術(shù)手段支持新的工作方式的能力。人員與管理人是信息安全最活躍的因素,人的行為是信息安全保障最主要的方面。從國家的角度考慮有法律、法規(guī)、政策問題;從組織角度考慮有安全方針政策程序、安全管理、安全教育與培訓(xùn)、組織文化、應(yīng)急計劃和業(yè)務(wù)持續(xù)性管理等問題;從個人角度來看有職業(yè)要求、個人隱私、行為學(xué)、心理學(xué)等問題。信息安全體系的關(guān)注點業(yè)務(wù)與策略信息安全體系的關(guān)注點技術(shù)與產(chǎn)品可以綜合采用商用密碼、防火墻、防病毒、身份識別、網(wǎng)絡(luò)隔離、可信服務(wù)、安全服務(wù)、備份恢復(fù)、PKI服務(wù)、取證、網(wǎng)絡(luò)入侵陷阱、主動反擊等多種技術(shù)與產(chǎn)品來保護(hù)信息系統(tǒng)安全考慮安全的成本與效益,采用“適度防范”(Rightsizing)的原則

流程與體系建立良好的IT治理機制是實施信息安全的基礎(chǔ)與重要保證。在風(fēng)險分析的基本上引入恰當(dāng)控制,建立PDCA的安全管理體系,從而保證組織賴以生存的信息資產(chǎn)的安全性、完整性和可用性安全體系統(tǒng)還應(yīng)當(dāng)隨著組織環(huán)境的變化、業(yè)務(wù)發(fā)展和信息技術(shù)提高而不斷改進(jìn),不能一勞永逸,一成不變,需要建立完整的控制體系來保證安全的持續(xù)完善。技術(shù)與產(chǎn)品信息安全體系的建立流程信息安全體系的建立流程審視業(yè)務(wù),確定IT原則和信息安全方針在進(jìn)行信息安全規(guī)劃與實施安全控制措施前,首先要充分了解組織的業(yè)務(wù)目標(biāo)和IT目標(biāo),建立IT原則,這是實施建立有效的信息安全保障體系的前提。組織的業(yè)務(wù)目標(biāo)和IT原則將直接影響到安全需求,只有從業(yè)務(wù)發(fā)展的需要出發(fā),確定適宜的IT原則,才能指導(dǎo)信息安全方針的制定。信息安全方針就是組織的信息安全委員會或管理當(dāng)局制定的一個高層文件,用于指導(dǎo)組織如何對資產(chǎn),包括敏感性信息進(jìn)行管理、保護(hù)和分配的規(guī)則和指示。在安全方針的指導(dǎo)下,通過了解組織業(yè)務(wù)所處的環(huán)境,對IT基礎(chǔ)設(shè)施及應(yīng)用系統(tǒng)可能存在的薄弱點進(jìn)行風(fēng)險評估,制定出適宜的安全控制措施、安全策略程序及安全投資計劃。確定IT原則與安全方針審視業(yè)務(wù),確定IT原則和信息安全方針確定IT原則與安全方針進(jìn)行風(fēng)險評估風(fēng)險評估的常用方法目前國內(nèi)ISMS風(fēng)險評估的方法主要參照ISO13335的有關(guān)定義及國信辦9號文件《信息安全風(fēng)險評估指南》,這些標(biāo)準(zhǔn)把重點放在信息資產(chǎn)上。缺點:風(fēng)險評估人員一般最容易找到的資產(chǎn)無非就是硬件類、軟件類的資產(chǎn),而對安全來說至關(guān)重要的IT治理、組織政策、人員管理、職責(zé)分配、業(yè)務(wù)流程、教育培訓(xùn)等問題,由于不能方便地定義為信息資產(chǎn),而往往被視而不見。因此,風(fēng)險評估經(jīng)常出現(xiàn)“撿了芝麻、丟了西瓜”,“只見樹木,不見森林”的情況。進(jìn)行風(fēng)險評估風(fēng)險評估的常用方法完備的風(fēng)險評估方法信息安全涉及的內(nèi)容決不僅僅是信息安全、技術(shù)安全的問題,它還會涉及到治理機制、業(yè)務(wù)流程、人員管理、企業(yè)文化等內(nèi)容。通過“現(xiàn)狀調(diào)查”獲得對組織信息安全現(xiàn)狀和控制措施的基本了解;通過“基線風(fēng)險評估”了解組織與具體的信息安全標(biāo)準(zhǔn)的差距,得到粗粒度的安全評價。通過“資產(chǎn)風(fēng)險評估”和“流程風(fēng)險評估”進(jìn)行詳細(xì)風(fēng)險評估,根據(jù)三方面的評估得到最終的風(fēng)險評估報告。完備的風(fēng)險評估方法現(xiàn)狀調(diào)查的主要內(nèi)容文檔收集與分析組織的基本信息、組織結(jié)構(gòu)圖組織人員名單、機構(gòu)設(shè)置、崗位職責(zé)說明書業(yè)務(wù)特征或服務(wù)介紹與信息安全管理相關(guān)的政策、制度和規(guī)范現(xiàn)場訪談安排與相關(guān)人員的面談對員工工作現(xiàn)場的觀察加強項目組對企業(yè)文化的感知現(xiàn)狀調(diào)查的主要內(nèi)容技術(shù)評估工具掃描、滲透測試1

2

3人工分析系統(tǒng)安全配置完全檢測、網(wǎng)絡(luò)服務(wù)安全配置完全檢測包括用戶安全、操作系統(tǒng)安全、

網(wǎng)絡(luò)服務(wù)安全、系統(tǒng)程序安全問卷調(diào)研安全日常運維現(xiàn)狀調(diào)研問卷:針對組織中實際的應(yīng)用、系統(tǒng)、網(wǎng)絡(luò)狀況,從日常的管理、維護(hù)、系統(tǒng)審計、權(quán)限管理等方面全面了解組織在信息系統(tǒng)安全管理和維護(hù)上的現(xiàn)實狀況。從安全日常運維角度出發(fā),更貼近實際運維環(huán)境。技術(shù)評估問卷調(diào)研基線風(fēng)險評估所謂基線風(fēng)險評估,就是確定一個信息安全的基本底線,信息安全不僅僅是資產(chǎn)的安全,應(yīng)當(dāng)從組織、人員、物理、邏輯、開發(fā)、業(yè)務(wù)持續(xù)等各個方面來確定一個基本的要求,在此基礎(chǔ)之上,再選擇信息資產(chǎn)進(jìn)行詳細(xì)風(fēng)險分析,這樣才能在兼顧信息安全風(fēng)險的方方面面的同時,對重點信息安全風(fēng)險進(jìn)行管理與控制。ISO27001確立了組織機構(gòu)內(nèi)啟動、實施、維護(hù)和改進(jìn)信息安全管理的指導(dǎo)方針和通用原則,以規(guī)范組織機構(gòu)信息安全管理建設(shè)的內(nèi)容,因此,風(fēng)險評估時,可以把ISO27001作為安全基線,與組織當(dāng)前的信息安全現(xiàn)狀進(jìn)行比對,發(fā)現(xiàn)組織存在的差距,這樣一方面操作較方便,更重要的是不會有遺漏基線風(fēng)險評估信息資產(chǎn)風(fēng)險評估針對重要的信息資產(chǎn)進(jìn)行安全影響、威脅、漏洞及可能性分析,從而估計對業(yè)務(wù)產(chǎn)生的影響,最終可以選擇適當(dāng)?shù)姆椒▽︼L(fēng)險進(jìn)行有效管理。資產(chǎn)定義及估值確定現(xiàn)有控制威脅評估確定風(fēng)險水平風(fēng)險評估過程脆弱性評估安全控制措施的識別與選擇降低風(fēng)險風(fēng)險管理過程接受風(fēng)險信息資產(chǎn)風(fēng)險評估資產(chǎn)定義及估值確定現(xiàn)有控制威脅評估確定風(fēng)險水IT流程風(fēng)險評估信息安全不僅僅要看IT資產(chǎn)本身是否安全可靠,而且還應(yīng)當(dāng)在其所運行的環(huán)境和經(jīng)歷的流程中保證安全。沒有可靠的IT流程的保證,靜態(tài)的安全是不可靠的,而且IT的風(fēng)險也不僅僅是信息安全的問題,IT的效率與效果也同樣是需要考慮的問題,因此評估IT流程的績效特性并加以完善是風(fēng)險控制中必不可少的內(nèi)容。IT流程風(fēng)險評估確定風(fēng)險控制策略信息安全控制規(guī)劃確定風(fēng)險控制策略信息安全控制規(guī)劃選擇安全控制措施防止商業(yè)活動中斷和災(zāi)難事故的影響。業(yè)務(wù)持續(xù)性管理信息安全事件管理保證系統(tǒng)開發(fā)與維護(hù)的安全系統(tǒng)開發(fā)與維護(hù)控制對業(yè)務(wù)信息的訪問。訪問控制保證通訊和操作設(shè)備的正確和安全維護(hù)。通信與運營管理防止對關(guān)于IT服務(wù)的未經(jīng)許可的介入,損傷和干擾服務(wù)。物理與環(huán)境安全減少人為造成的風(fēng)險。人員安全維護(hù)組織資產(chǎn)的適當(dāng)保護(hù)系統(tǒng)。資產(chǎn)管理建立組織內(nèi)的管理體系以便安全管理。安全組織為信息安全提供管理方向和支持。安全方針目的ISO27001十一個域避免任何違反法令、法規(guī)、合同約定及其他安全要求的行為。符合性確保與信息系統(tǒng)有關(guān)的安全事件和弱點的溝通能夠及時采取糾正措施選擇安全控制措施防止商業(yè)活動中斷和災(zāi)難事故的影響。業(yè)務(wù)持續(xù)性進(jìn)行安全控制規(guī)劃安全規(guī)劃針對組織面臨的主要安全風(fēng)險,在安全管理控制框架和安全技術(shù)控制框架方面進(jìn)行較為詳盡的規(guī)劃。安全規(guī)劃對組織未來幾年的網(wǎng)絡(luò)架構(gòu)、威脅防護(hù)、策略、組織、運行等方面的安全,進(jìn)行設(shè)計、改進(jìn)和加強,是進(jìn)行安全建設(shè)的總體指導(dǎo)。序號項目內(nèi)容緊迫性可實施性難易程度效果分析綜合分析1安全體系建設(shè)2安全策略管理3安全組織管理4安全運行管理5物理安全管理6網(wǎng)絡(luò)訪問控制7認(rèn)證與授權(quán)8監(jiān)控與審計9系統(tǒng)管理10響應(yīng)和恢復(fù)11信息安全12系統(tǒng)開發(fā)管理13物理安全14……安全規(guī)劃方法進(jìn)行安全控制規(guī)劃序號項目內(nèi)容緊迫性可實施性難易程度效果分析綜安全預(yù)算計劃所以安全預(yù)算計劃是一項具有挑戰(zhàn)性的工作,要采用“適度防范”的原則,把有限的資金用在刀刃上。一般來說,沒有特別的需要,為信息安全的投入不應(yīng)超過信息化建設(shè)總投資額的20%,過高的安全成本將使安全失去意義。

投資回報計劃信息安全投資回報計劃就是要研究信息安全的成本效益,其成本效益組成如下:從系統(tǒng)生命周期看信息安全的成本:獲取成本和運行成本從安全防護(hù)手段看信息安全的成本:技術(shù)成本和管理成本信息安全的價值效益:減少信息安全事故的經(jīng)濟(jì)損失信息安全的非價值效益:增加聲譽、提升品牌價值安全預(yù)算計劃目錄信息安全體系概述信息安全組織體系信息安全管理體系信息安全技術(shù)體系信息安全執(zhí)行體系目錄信息安全體系概述信息安全組織體系信息安全管理體系信息建立信息安全組織,明確角色與責(zé)任

安全角色與責(zé)任的不明確是實施信息安全過程中的最大障礙,建立安全組織與落實責(zé)任是實施信息安全管理的第一步。信息安全領(lǐng)導(dǎo)小組信息安全主管為核心的、專業(yè)的信息安全管理的隊伍把相應(yīng)的安全責(zé)任落實到每一個員工身上建立跨部門的信息安全委員會良好的治理結(jié)構(gòu)要求主體單位的IT決策必須由最了解組織整體目標(biāo)與價值的權(quán)威部門來決定。得到組織最高管理層的支持得到高層管理人員的認(rèn)同和承諾有兩個作用一是相應(yīng)的安全方針政策、控制措施可以在組織的上上下下得到有效的貫徹;二是可以得到有效的資源保證,比如實施有效安全過程的必要的資金與人力資源的支持,及跨部門之間的協(xié)調(diào)問題都必須由高層管理人員來推動。建立信息安全組織,明確角色與責(zé)任安全組織架構(gòu)決策層為業(yè)務(wù)安全的決策機構(gòu),為業(yè)務(wù)安全工作保駕護(hù)航;管理層工作小組為業(yè)務(wù)安全工作的協(xié)調(diào)管理機構(gòu),為業(yè)務(wù)安全工作提供支持監(jiān)督;管理層監(jiān)督審計工作組,定期監(jiān)督審核工作小組和執(zhí)行小組對信息安全政策的執(zhí)行情況,并且向領(lǐng)導(dǎo)小組進(jìn)行匯報;執(zhí)行層面業(yè)務(wù)安全保障工作組是業(yè)務(wù)安全政策的執(zhí)行落地和相關(guān)安全流程手冊文檔的參與制定和維護(hù),并且接受工作小組的管理指導(dǎo)和安全審計機構(gòu)的監(jiān)督審核;安全組織架構(gòu)決策層為業(yè)務(wù)安全的決策機構(gòu),為業(yè)務(wù)安全工作保駕護(hù)信息安全體系的內(nèi)容組織體系:整個公司層面的安全管理組織,要從上到下貫穿到底體現(xiàn)三權(quán)分立的原則信息安全體系的內(nèi)容組織體系:整個公司層面的安全管理組織,要從制定信息系統(tǒng)安全政策信息系統(tǒng)安全政策就是為防止信息資產(chǎn)意外損失及被有意濫用而制訂的規(guī)則,這些政策是應(yīng)該涵蓋組織中生成、加工、使用、儲存信息的各個方面,并符合對信息系統(tǒng)安全的要求。信息安全政策要符合組織的業(yè)務(wù)目標(biāo)及特定的環(huán)境要求,并使之被每個員工所理解和執(zhí)行,這是實施信息安全的重要環(huán)節(jié)。人力資源政策因此除了技術(shù)的控制手段外,要制定合適的人力資源政策,加強對“人”的管理,對潛在的安全入侵者也是一種威懾及懲戒措施,這是建立人力防火墻的有效控制手段。人力資源管理在信息安全的管理中充分十分重要的作用,信息安全管理人員要與人務(wù)資源管理人員密切合作,協(xié)同作戰(zhàn),才能實現(xiàn)信息安全中對“人”的有效管理。制定信息系統(tǒng)安全政策實施安全教育計劃要制定各種不同范圍、不同層次的安全教育計劃。完備的安全教育計劃可以提高員工的安全意識與技能,改變他們對待安全事件的態(tài)度,使他們具有一定的安全保護(hù)技能,以更好地保護(hù)組織的信息資產(chǎn)。好的安全教育計劃應(yīng)該讓員工知道組織的信息安全面臨的威脅及信息安全事件帶來的后果,使員工切身感覺到安全事件與自己息息相關(guān)。實施安全教育計劃營造組織信息安全文化信息安全文化從屬于組織文化,倡導(dǎo)良好的組織信息安全文化就是要在組織中形成團(tuán)隊共同的態(tài)度、認(rèn)識和價值觀,形成規(guī)范的思維和行為模式,最終轉(zhuǎn)化為行動,實現(xiàn)組織信息安全目標(biāo)。人的這種對安全價值的認(rèn)識以及使自己的一舉一動符合安全的行為規(guī)范的表現(xiàn),正是所謂的“安全修養(yǎng)”。如果一個組織建立起濃厚的安全文化環(huán)境,不論決策層、管理層還是一般員工,都會在安全文化的約束下規(guī)范自己的行為,安全文化就像一支看不見的手,凡是不安全的行為都會被這支手拉回到安全操作的軌道上來。營造組織信息安全文化目錄信息安全體系概述信息安全組織體系信息安全管理體系信息安全技術(shù)體系信息安全執(zhí)行體系目錄信息安全體系概述信息安全組織體系信息安全管理體系信息信息安全管理體系的定義信息安全管理體系(ISMS:InformationSecurityManagementSystem)是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo),以及完成這些目標(biāo)所用的方法和體系。ISMS相對應(yīng)的BS7799標(biāo)準(zhǔn)在國際上得到了廣泛的應(yīng)用,目前引標(biāo)準(zhǔn)已被采納為國際標(biāo)準(zhǔn)ISO17799:2005ISO27001:2005。在ISO17799中信息安全主要指信息的機密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持。信息安全管理體系的定義ISMS“木桶”由哪些“板”組成?類似于質(zhì)量管理體系的ISO9000標(biāo)準(zhǔn),ISMS也有相應(yīng)的國際標(biāo)準(zhǔn)ISO27001,它確定了ISMS的11個安全領(lǐng)域及133個相應(yīng)的控制措施。ISMS“木桶”由哪些“板”組成?ISO17799及ISO27001的內(nèi)容ISO17799:2005

信息安全管理實施規(guī)范,主要是給負(fù)責(zé)開發(fā)的人員作為參考文檔使用,從而在組織中實施和維護(hù)信息安全;ISO27001:2005

信息安全管理體系規(guī)范,詳細(xì)說明了建立、實施和維護(hù)信息安全管理系統(tǒng)的要求,指出實施組織需要通過風(fēng)險評估來鑒定最適宜的控制對象,并對自己的需求采取適當(dāng)?shù)目刂?。獲得BS7799和ISO27001認(rèn)證的組織ISO17799及ISO27001的內(nèi)容獲得BS7799和IISMS體系設(shè)計在組織中要實現(xiàn)信息安全,比較切實可行的第一步的是按照PDCA的原則建立信息安全管理體系。如果沒有一個完整的管理體系和有效的過程來保證組織中的人員能理解他們的安全責(zé)任與義務(wù),并建立基本的有效的控制措施,那么再好的安全技術(shù)也不能保證組織的信息安全。ISMS體系設(shè)計ISMS建設(shè)過程:建立ISMS首先要建立一個合理的信息安全管理框架,要從整體和全局的視角,從信息系統(tǒng)的所有層面進(jìn)行整體安全建設(shè)從信息系統(tǒng)本身出發(fā),通過建立資產(chǎn)清單,進(jìn)行風(fēng)險分析和需求分析和選擇安全控制等步驟,建立安全體系并提出安全解決方案。體系運行體系審核管理評審體系認(rèn)證第七步第八步第九步第十步運行說明內(nèi)審報告外審報告認(rèn)證證書ISMS建設(shè)過程:體系運行體系審核管理評審體系認(rèn)證第七步第八信息安全體系的內(nèi)容管理體系:安全方針、策略文件,程序文件、操作指導(dǎo)書、記錄表格等。信息安全體系的內(nèi)容管理體系:安全方針、策略文件,程序文件、操目錄信息安全體系概述信息安全組織體系信息安全管理體系信息安全技術(shù)體系信息安全執(zhí)行體系目錄信息安全體系概述信息安全組織體系信息安全管理體系信息“技術(shù)防火墻”的總體要求技術(shù)結(jié)構(gòu)方面:完備的安全技術(shù)防御系統(tǒng)應(yīng)該具備評估,保護(hù),檢測,反應(yīng)和恢復(fù)的五種技術(shù)能力。實現(xiàn)ISO7498-2所定義的鑒別,訪問控制,數(shù)據(jù)完整性,數(shù)據(jù)保密性,抗抵賴五類安全功能。技術(shù)產(chǎn)品方面:綜合利用商用密碼、防火墻、防病毒、身份識別、網(wǎng)絡(luò)隔離、可信服務(wù)、安全服務(wù)、備份恢復(fù)、PKI服務(wù)、取證、網(wǎng)絡(luò)入侵陷阱、主動反擊等多種技術(shù)與產(chǎn)品來保證企業(yè)的信息系統(tǒng)的機密性、完整性和可靠性。

集中管理方面:實現(xiàn)集成化安全管理和安全信息共享機制,以集中管理安全控制、安全策略、安全配置、安全事件審計、安全事故應(yīng)急響應(yīng),可管理的安全才是真正意義上的安全。災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)性方面:對于突發(fā)性的重大災(zāi)難,日常安全控制措施不再起作用,此時要采取適當(dāng)和有效的措施來減輕相關(guān)威脅實際發(fā)生時所帶來的破壞后果,這是組織信息安全的最后一道防線。

八、建立“技術(shù)防火墻”“技術(shù)防火墻”的總體要求八、建立“技術(shù)防火墻”技術(shù)體系的實現(xiàn)框架信息安全框架可通過基礎(chǔ)技術(shù)系統(tǒng)、安全運維管理系統(tǒng)、應(yīng)用支撐系統(tǒng)來實現(xiàn),其最終目的是保證應(yīng)用系統(tǒng)和數(shù)據(jù)的安全?;A(chǔ)技術(shù)系統(tǒng)安全防護(hù)系統(tǒng)應(yīng)用支撐系統(tǒng)安全運維管理系統(tǒng)技術(shù)體系的實現(xiàn)框架基礎(chǔ)技術(shù)系統(tǒng)安全防護(hù)系統(tǒng)應(yīng)用支撐系統(tǒng)安全縱深防御架構(gòu)可信網(wǎng)和不可信網(wǎng)要物理層隔斷,網(wǎng)絡(luò)邏輯連接要割斷,應(yīng)用數(shù)據(jù)要凈化,不可信網(wǎng)絡(luò)上的計算機不能直接到達(dá)可信網(wǎng)絡(luò)。使用“應(yīng)用分層、服務(wù)分區(qū)、安全分級”的思路,指導(dǎo)網(wǎng)絡(luò)結(jié)構(gòu)化建設(shè),根據(jù)應(yīng)用類型、物理位置、邏輯位置等的不同,劃分不同的網(wǎng)絡(luò)安全區(qū)域和邊界。IATF安全域基礎(chǔ)技術(shù)系統(tǒng)縱深防御架構(gòu)IATF安全域基礎(chǔ)技術(shù)系統(tǒng)一個為整個安全體系提供安全服務(wù)的基礎(chǔ)性平臺,為應(yīng)用系統(tǒng)和安全支撐平臺提供包括數(shù)據(jù)完整性、真實性、可用性、不可抵賴性和機密性在內(nèi)的安全服務(wù)。包括:數(shù)字證書認(rèn)證體系(CA/PKI)密鑰管理基礎(chǔ)設(shè)施(KMI)授權(quán)管理基礎(chǔ)設(shè)施(AA/PMI)災(zāi)難恢復(fù)及業(yè)務(wù)連續(xù)性基礎(chǔ)設(shè)施(DRI/BCP)安全基礎(chǔ)設(shè)施一個為整個安全體系提供安全服務(wù)的基礎(chǔ)性平臺,為應(yīng)用系統(tǒng)和安全用戶CA系統(tǒng)AA系統(tǒng)數(shù)據(jù)庫服務(wù)訪問他是誰?有什么權(quán)限?認(rèn)證系統(tǒng)授權(quán)系統(tǒng)用戶認(rèn)證證書用戶權(quán)限證書設(shè)備認(rèn)證證書設(shè)備認(rèn)證證書軟件認(rèn)證證書PKI與PMI的應(yīng)用:安全認(rèn)證與授權(quán)用戶CA系統(tǒng)AA系統(tǒng)數(shù)據(jù)庫服務(wù)訪問他是誰?有什么權(quán)限?認(rèn)證系網(wǎng)絡(luò)安全控制采用入侵檢測、漏洞掃描、病毒防治、防火墻、網(wǎng)絡(luò)隔離、安全虛擬專網(wǎng)(VPN)等成熟技術(shù),利用物理環(huán)境保護(hù)、邊界保護(hù)、系統(tǒng)加固、節(jié)點數(shù)據(jù)保護(hù)、數(shù)據(jù)傳輸保護(hù)等手段,通過對網(wǎng)絡(luò)的安全防護(hù)的統(tǒng)一設(shè)計和統(tǒng)一配置,實現(xiàn)全系統(tǒng)統(tǒng)一、高效、可靠的網(wǎng)絡(luò)安全防護(hù)。安全防護(hù)系統(tǒng)網(wǎng)絡(luò)安全控制采用入侵檢測、漏洞掃描、病毒防治、防火墻、網(wǎng)絡(luò)隔省級局域網(wǎng)上級接口下級接口橫向接口互聯(lián)網(wǎng)接口加密機:保護(hù)離開局域網(wǎng)的信息安全,同時防止非法接入。防火墻:防止來自總部內(nèi)部的攻擊。防火墻:防止來自外部的攻擊。防火墻:即防止來自外部的攻擊,也要防止來自地市局的內(nèi)部攻擊。入侵檢測:發(fā)現(xiàn)非法入侵行為。防病毒網(wǎng)關(guān):防止外部病毒入侵。防非法外聯(lián):堵住非法網(wǎng)絡(luò)接口。系統(tǒng)加固:設(shè)置運行環(huán)境的最后一道防線。(網(wǎng)絡(luò)及主機操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用平臺的加固)安全邊界網(wǎng)絡(luò)行為審計:加強網(wǎng)絡(luò)安全管理,追查安全事件。構(gòu)造網(wǎng)絡(luò)安全邊界省級局域網(wǎng)上級接口下級接口橫互加密機:保護(hù)離開局域網(wǎng)的信息安入侵檢測組織中心備份中心二級部門三級部門四級部門線路密碼機防火墻防病毒網(wǎng)關(guān)防非法外聯(lián)網(wǎng)絡(luò)行為審計操作系統(tǒng)加固高安全區(qū)域安全防護(hù)系統(tǒng)的層次入侵檢測組織中心備份中心二級部門三級部門四級部門線路密碼機防由于普通用戶缺乏應(yīng)有的網(wǎng)絡(luò)安全常識,通過瀏覽隱藏惡意代碼的網(wǎng)站,下載有木馬的軟件到內(nèi)部網(wǎng)運行,打開郵件中不明來歷的附件等給組織的內(nèi)部網(wǎng)絡(luò)帶來的極大的危害,終端用戶觸發(fā)產(chǎn)生的安全事件逐漸成為企業(yè)IT安全問題的主要原因。終端安全控制由于普通用戶缺乏應(yīng)有的網(wǎng)絡(luò)安全常識,通過瀏覽隱藏惡意代碼的網(wǎng)應(yīng)用支撐系統(tǒng)構(gòu)建在基礎(chǔ)技術(shù)系統(tǒng)的基礎(chǔ)上,利用安全基礎(chǔ)設(shè)施提供的基于PKI/PMI/KMI技術(shù)的安全服務(wù);采用安全中間件及一站式服務(wù)理論和技術(shù),實現(xiàn)包括安全門戶、安全認(rèn)證和訪問控制、數(shù)據(jù)安全傳輸、數(shù)據(jù)保密、完整性保護(hù)、真實性保護(hù)等應(yīng)用安全功能和服務(wù),支持面向組織和各類專網(wǎng)和互連網(wǎng)的各類安全應(yīng)用,是安全應(yīng)用系統(tǒng)所依托的主要安全平臺。應(yīng)用支撐系統(tǒng)應(yīng)用支撐系統(tǒng)構(gòu)建在基礎(chǔ)技術(shù)系統(tǒng)的基礎(chǔ)上,利用安全基礎(chǔ)設(shè)施提供應(yīng)用系統(tǒng)常見安全方案業(yè)務(wù)系統(tǒng)本身必須能夠準(zhǔn)確地識別使用者的真實身份,防止與業(yè)務(wù)無關(guān)的人員非法使用系統(tǒng)。解決方案:使用統(tǒng)一的身份認(rèn)證證書業(yè)務(wù)系統(tǒng)本身必須能夠?qū)ψ约旱馁Y源進(jìn)行控制,能夠動態(tài)地分配權(quán)限,控制使用者的操作行為,防止越崗位操作或越權(quán)限操作。解決方案:基于角色的訪問控制業(yè)務(wù)系統(tǒng)本身必須能夠?qū)?shù)據(jù)或文件進(jìn)行保護(hù),防止由于數(shù)據(jù)的安全得不到保證而失去業(yè)務(wù)系統(tǒng)本身的可用性。解決方案:基于密碼業(yè)務(wù)系統(tǒng)本身必須能夠?qū)Σ僮髡咝袨檫M(jìn)行跟蹤、記錄、統(tǒng)計和審計,及時發(fā)現(xiàn)工作中出現(xiàn)的問題,使系統(tǒng)可管理,事件可追查。解決方案:日志與安全事件審計在電子商務(wù)或電子政務(wù)環(huán)境下,需要利用身份證書對主要核心業(yè)務(wù)與交易的憑證進(jìn)行數(shù)字簽名,以保證重要對已完成的業(yè)務(wù)與交易的無否定性。解決方案:基于數(shù)字簽名應(yīng)用系統(tǒng)常見安全方案安全運維系統(tǒng)安全運維管理系統(tǒng)對整個安全系統(tǒng)起管理、監(jiān)控、調(diào)度和應(yīng)急報警等作用,負(fù)責(zé)對全網(wǎng)絡(luò)安全防護(hù)設(shè)備進(jìn)行管理,為各個應(yīng)用系統(tǒng)提供安全管理接口,對需要特別關(guān)注的應(yīng)用系統(tǒng)進(jìn)行應(yīng)用審計。安全運維管理系統(tǒng)通過建立安全運維管理中心(SOC)對組織的安全技術(shù)與流程進(jìn)行集中式的管理。安全運維系統(tǒng)目錄信息安全體系概述信息安全組織體系信息安全管理體系信息安全技術(shù)體系信息安全執(zhí)行體系目錄信息安全體系概述信息安全組織體系信息安全管理體系信息日常安全執(zhí)行內(nèi)容多個PDCA循環(huán)安全日常運作過程就是一個大的PDCA循環(huán)風(fēng)險評估與風(fēng)險分析PDCA循環(huán)文件體系的建立與維護(hù)PDCA循環(huán)……日常安全執(zhí)行內(nèi)容多個PDCA循環(huán)制定計劃行動計劃主要有:信息安全政策制訂與實施與信息安全相關(guān)的人力資源政策的制訂安全事件響應(yīng)計劃監(jiān)控日常安全事務(wù)及員工對安全政策的遵循業(yè)務(wù)連續(xù)性計劃及災(zāi)難恢復(fù)計劃安全教育計劃建設(shè)企業(yè)安全文化預(yù)算計劃有足夠資金支持的計劃才是切實可行的計劃,才能有效地落實信息安全所需要的人、財、物等資源的配置。預(yù)算計劃一定要合理,過高的安全預(yù)算會使安全失去意義,最好是結(jié)合投資回報分析。制定計劃檢查與審計的內(nèi)容對于安全框架是否已有效的建立起來,技術(shù)防火墻、人力防火墻及IT流程控制框架能否起到了應(yīng)有的作用,組織可以通過定期的自我檢查或獨立的審核來驗證安全控制措施的有效性,并對發(fā)現(xiàn)的問題采取有效的糾正措施并實施,對糾正措施實施的結(jié)果進(jìn)行驗證。安全檢查工作一般由信息安全管理部門來負(fù)責(zé)實施,經(jīng)常性的檢查,有利于落實信息安全方針與策略,及時發(fā)現(xiàn)信息安全在技術(shù)、人員及流程方面存在的隱患,也有利于提高員工安全意識,保證業(yè)務(wù)的持續(xù)運行。審核工作是審計機構(gòu)對組織的信息安全控制措施是否完備所做的鑒證過程。利用審核機制進(jìn)行獨立的體系審核是一種強有力的監(jiān)督機制??梢杂山M織的內(nèi)部稽核部門階段性地組建立審核組,培訓(xùn)審核員,有效地管理在組織中開展的信息安全審核工作,也可外聘的第三方審計機構(gòu)對組織進(jìn)行外部審計。對安全的檢查與審計檢查與審計的內(nèi)容對安全的檢查與審計審計的步驟信息安全在每次檢查審計前,由管理層任命適當(dāng)資質(zhì)的合適人選組成審計小組,審計小組由2名或以上人員組成,包括但不限于稽核審計部的內(nèi)審員,并由管理層指定內(nèi)審組長。內(nèi)審小組負(fù)責(zé)編寫本次內(nèi)審的《內(nèi)部審計方案》,其內(nèi)容一般為:被審部門、審計時間、內(nèi)容、范圍、審計依據(jù)、目的、方法;內(nèi)審小組成員及其分工;審計活動日程安排。《內(nèi)部審計方案》經(jīng)批準(zhǔn)后,至少提前二周通知被審計部門,以便被審計部門有充分時間進(jìn)行內(nèi)審,若被審計部門對時間等安排有異議時,應(yīng)在三天內(nèi)通知內(nèi)審小組協(xié)商調(diào)整具體安排;內(nèi)審小組在完成了全部的審計準(zhǔn)備工作后,就可按預(yù)先約定的日期和時間實施審計。內(nèi)部審計實施可劃分為首次會議、現(xiàn)場審計和末次會議三個階段進(jìn)行。審計的步驟信息安全體系27001概述課件信息安全體系概述信息安全體系概述目錄信息安全體系概述信息安全組織體系信息安全管理體系信息安全技術(shù)體系信息安全執(zhí)行體系目錄信息安全體系概述信息安全組織體系信息安全管理體系信息信息系統(tǒng)固有的脆弱性信息本身易傳播、易毀損、易偽造信息技術(shù)平臺(如硬件、網(wǎng)絡(luò)、系統(tǒng))的復(fù)雜性與脆弱性行動的遠(yuǎn)程化使安全管理面臨挑戰(zhàn)信息具有的重要價值信息社會對信息高度依賴,信息的風(fēng)險加大信息的高附加值會引發(fā)盜竊、濫用等威脅信息安全面臨的風(fēng)險企業(yè)對信息的依賴程度:美國明尼蘇達(dá)大學(xué)Bush-Kugel的研究報告指出,企業(yè)在沒有信息資料可用的情況下,金融業(yè)至多只能運行2天,商業(yè)則為3.3天,工業(yè)則為5天,保險業(yè)為5.6天。而以經(jīng)濟(jì)情況來看,有25%的企業(yè),因為的毀損可能立即破產(chǎn),40%會在兩年內(nèi)宣布破產(chǎn),只有7%不到的企業(yè)在5年后能夠繼續(xù)存活。信息系統(tǒng)固有的脆弱性信息安全面臨的風(fēng)險企業(yè)對信息的依賴程度:硬件架構(gòu):系統(tǒng)與設(shè)備數(shù)量越來越多系統(tǒng)互連關(guān)系越來越繁雜軟件架構(gòu):統(tǒng)架構(gòu)越來越復(fù)雜網(wǎng)絡(luò)連接與劃分混亂互聯(lián)網(wǎng)接口抗攻擊性較弱工程管理:規(guī)劃期缺乏安全評審建設(shè)與工程割接缺乏安全管理遺留策略與帳號形成安全漏洞程序開發(fā):開發(fā)階段缺乏安全監(jiān)管源代碼缺乏安全檢查,可能留下后門1.系統(tǒng)數(shù)量眾多,硬件架構(gòu)多樣,系統(tǒng)間交互與接口繁多,相互關(guān)系復(fù)雜;2.系統(tǒng)軟件架構(gòu)復(fù)雜,網(wǎng)絡(luò)連接與劃分較混亂,互聯(lián)網(wǎng)接口抗攻擊性較弱;3.系統(tǒng)規(guī)劃期缺乏安全評審,工程割接缺少安全管理,工程遺留策略與帳號易形成安全漏洞;4.程序開發(fā)階段缺乏監(jiān)管,程序源代碼缺乏安全檢查,可能留下后門或被攻擊。硬件架構(gòu):軟件架構(gòu):工程管理:程序開發(fā):1.系統(tǒng)數(shù)量眾多,硬常見的信息安全問題常見的信息安全問題常見的信息安全問題常見的信息安全問題信息安全損失的“冰山”理論信息安全直接損失只是冰由之一角,間接損失是直接損失是6-53倍間接損失包括:時間被延誤修復(fù)的成本可能造成的法律訴訟的成本組織聲譽受到的影響商業(yè)機會的損失對生產(chǎn)率的破壞$10,000$60,000-$530,000信息安全損失的“冰山”理論$10,000$60,000-$5保障信息安全的途徑?IT治理安全風(fēng)險測評

信息安全管理體系強化安全技術(shù)信息系統(tǒng)安全等級保護(hù)亡羊補牢?還是打打補丁?系統(tǒng)地全面整改?71保障信息安全的途徑?IT治理安全風(fēng)險測評信息安全管理體系強我國當(dāng)前信息安全普遍存在的問題忽略了信息化的治理機制與控制體系的建立,和信息化“游戲規(guī)則”的建立;廠商主導(dǎo)的技術(shù)型解決方案為主,用戶跟著廠商的步子走;安全只重視邊界安全,沒有在應(yīng)用層面和內(nèi)容層面考慮業(yè)務(wù)安全問題;重視安全技術(shù),輕視安全管理,信息安全可靠性沒有保證;信息安全建設(shè)缺乏績效評估機制,信息安全成了“投資黑洞”;信息安全人員變成“救火隊員”

我國當(dāng)前信息安全普遍存在的問題如何實現(xiàn)信息安全?信息安全=反病毒軟件+防火墻+入侵檢測系統(tǒng)?管理制度?人的因素?環(huán)境因素?Ernst&Young及國內(nèi)安全機構(gòu)的分析:國家政府和軍隊信息受到的攻擊70%來自外部,銀行和企業(yè)信息受到的攻擊70%來自于內(nèi)部。75%的被調(diào)查者認(rèn)為員工對信息安全策略和程序的不夠了解是實現(xiàn)信息安全的障礙之一,只有35%的組織有持續(xù)的安全意識教育與培訓(xùn)計劃66%的組織認(rèn)為信息系統(tǒng)沒有遵守必要的信息安全規(guī)則56%的組織認(rèn)為在信息安全的投入上不足,60%從不計算信息安全的ROI,83%的組織認(rèn)為在技術(shù)安全產(chǎn)品與技術(shù)上投入最多。在整個系統(tǒng)安全工作中,管理(包括管理和法律法規(guī)方面)所占比重應(yīng)該達(dá)到70%,而技術(shù)(包括技術(shù)和實體)應(yīng)占30%。保護(hù)信息安全的方法如何實現(xiàn)信息安全?在整個系統(tǒng)安全工作中,管理(包括管理和建立完善的信息安全體系對信息安全建立系統(tǒng)工程的觀念用管理、技術(shù)、人員、流程來保證組織的信息安全信息安全遵循木桶原理對信息系統(tǒng)的各個環(huán)節(jié)進(jìn)行統(tǒng)一的綜合考慮、規(guī)劃和構(gòu)架并要時時兼顧組織內(nèi)不斷發(fā)生的變化,任何環(huán)節(jié)上的安全缺陷都會對系統(tǒng)構(gòu)成威脅。需要對信息安全進(jìn)行有效管理建立完善的信息安全體系需要對信息安全進(jìn)行有效管理建立統(tǒng)一安全規(guī)劃體系改變以往零敲碎打、因人而起、因事而起的安全管理,形成統(tǒng)一的安全體系,指導(dǎo)安全管理和建設(shè)工作。轉(zhuǎn)變門戶網(wǎng)站防火墻升級信息防泄露DLP維護(hù)區(qū)域擴(kuò)容項目RSA令牌擴(kuò)容項目應(yīng)用漏洞掃描工具項目系統(tǒng)漏洞掃描工具網(wǎng)站頁面防篡改項目。。。。。。零敲碎打引人而起因事而起建立統(tǒng)一安全規(guī)劃體系改變以往零敲碎打、因人而起、因事而起的安總體思路:以防為主,防治結(jié)合防治結(jié)合:自下而上的風(fēng)險反饋以防為主:自上而下的策略管理堅持“以防為主,防治結(jié)合”的安全工作措施,形成成熟的、立體的信息安全運行管控體系。以防為主,即以完善的安全策略為指導(dǎo),使安全策略能自上而下得到落實;防治結(jié)合,即以風(fēng)險管理為核心,使風(fēng)險能自下而上得到反饋和整治。總體思路:以防為主,防治結(jié)合防治結(jié)合:自下而上的風(fēng)險反饋以防初級沒有形成體系,只有零散的安全技術(shù)措施沒有專職安全管理員中級嘗試構(gòu)建安全體系框架,具備較多的安全技術(shù)措施,開始有意識朝著有體系的安全建設(shè)發(fā)展。安全管理員工作繁重,既要處理現(xiàn)有問題,還要準(zhǔn)備未來建設(shè)。高級在正確的安全體系框架指導(dǎo)下建設(shè)多年,形成了完備的安全技術(shù)和管理措施。安全管理員的工作主要是對各種管控規(guī)則進(jìn)行微調(diào),關(guān)注最新安全發(fā)展動態(tài),考核獎懲通報等。安全管理的幾個階段當(dāng)前目標(biāo)初級中級高級安全管理的幾個階段當(dāng)前目標(biāo)信息安全體系的內(nèi)容信息安全體系的內(nèi)容業(yè)務(wù)與策略根據(jù)業(yè)務(wù)需要在組織中建立信息安全策略,以指導(dǎo)對信息資產(chǎn)進(jìn)行管理、保護(hù)和分配。確定并實施信息安全策略是組織的一項重要使命,也是組織進(jìn)行有效安全管理的基礎(chǔ)和依據(jù)?!氨Wo(hù)業(yè)務(wù),為業(yè)務(wù)創(chuàng)造價值”應(yīng)當(dāng)是一切安全工作的出發(fā)點與歸宿,最有效的方式不是從現(xiàn)有的工作方式開始應(yīng)用信息安全技術(shù),而是在針對工作任務(wù)與工作流程重新設(shè)計信息系統(tǒng)時,發(fā)揮信息安全技術(shù)手段支持新的工作方式的能力。人員與管理人是信息安全最活躍的因素,人的行為是信息安全保障最主要的方面。從國家的角度考慮有法律、法規(guī)、政策問題;從組織角度考慮有安全方針政策程序、安全管理、安全教育與培訓(xùn)、組織文化、應(yīng)急計劃和業(yè)務(wù)持續(xù)性管理等問題;從個人角度來看有職業(yè)要求、個人隱私、行為學(xué)、心理學(xué)等問題。信息安全體系的關(guān)注點業(yè)務(wù)與策略信息安全體系的關(guān)注點技術(shù)與產(chǎn)品可以綜合采用商用密碼、防火墻、防病毒、身份識別、網(wǎng)絡(luò)隔離、可信服務(wù)、安全服務(wù)、備份恢復(fù)、PKI服務(wù)、取證、網(wǎng)絡(luò)入侵陷阱、主動反擊等多種技術(shù)與產(chǎn)品來保護(hù)信息系統(tǒng)安全考慮安全的成本與效益,采用“適度防范”(Rightsizing)的原則

流程與體系建立良好的IT治理機制是實施信息安全的基礎(chǔ)與重要保證。在風(fēng)險分析的基本上引入恰當(dāng)控制,建立PDCA的安全管理體系,從而保證組織賴以生存的信息資產(chǎn)的安全性、完整性和可用性安全體系統(tǒng)還應(yīng)當(dāng)隨著組織環(huán)境的變化、業(yè)務(wù)發(fā)展和信息技術(shù)提高而不斷改進(jìn),不能一勞永逸,一成不變,需要建立完整的控制體系來保證安全的持續(xù)完善。技術(shù)與產(chǎn)品信息安全體系的建立流程信息安全體系的建立流程審視業(yè)務(wù),確定IT原則和信息安全方針在進(jìn)行信息安全規(guī)劃與實施安全控制措施前,首先要充分了解組織的業(yè)務(wù)目標(biāo)和IT目標(biāo),建立IT原則,這是實施建立有效的信息安全保障體系的前提。組織的業(yè)務(wù)目標(biāo)和IT原則將直接影響到安全需求,只有從業(yè)務(wù)發(fā)展的需要出發(fā),確定適宜的IT原則,才能指導(dǎo)信息安全方針的制定。信息安全方針就是組織的信息安全委員會或管理當(dāng)局制定的一個高層文件,用于指導(dǎo)組織如何對資產(chǎn),包括敏感性信息進(jìn)行管理、保護(hù)和分配的規(guī)則和指示。在安全方針的指導(dǎo)下,通過了解組織業(yè)務(wù)所處的環(huán)境,對IT基礎(chǔ)設(shè)施及應(yīng)用系統(tǒng)可能存在的薄弱點進(jìn)行風(fēng)險評估,制定出適宜的安全控制措施、安全策略程序及安全投資計劃。確定IT原則與安全方針審視業(yè)務(wù),確定IT原則和信息安全方針確定IT原則與安全方針進(jìn)行風(fēng)險評估風(fēng)險評估的常用方法目前國內(nèi)ISMS風(fēng)險評估的方法主要參照ISO13335的有關(guān)定義及國信辦9號文件《信息安全風(fēng)險評估指南》,這些標(biāo)準(zhǔn)把重點放在信息資產(chǎn)上。缺點:風(fēng)險評估人員一般最容易找到的資產(chǎn)無非就是硬件類、軟件類的資產(chǎn),而對安全來說至關(guān)重要的IT治理、組織政策、人員管理、職責(zé)分配、業(yè)務(wù)流程、教育培訓(xùn)等問題,由于不能方便地定義為信息資產(chǎn),而往往被視而不見。因此,風(fēng)險評估經(jīng)常出現(xiàn)“撿了芝麻、丟了西瓜”,“只見樹木,不見森林”的情況。進(jìn)行風(fēng)險評估風(fēng)險評估的常用方法完備的風(fēng)險評估方法信息安全涉及的內(nèi)容決不僅僅是信息安全、技術(shù)安全的問題,它還會涉及到治理機制、業(yè)務(wù)流程、人員管理、企業(yè)文化等內(nèi)容。通過“現(xiàn)狀調(diào)查”獲得對組織信息安全現(xiàn)狀和控制措施的基本了解;通過“基線風(fēng)險評估”了解組織與具體的信息安全標(biāo)準(zhǔn)的差距,得到粗粒度的安全評價。通過“資產(chǎn)風(fēng)險評估”和“流程風(fēng)險評估”進(jìn)行詳細(xì)風(fēng)險評估,根據(jù)三方面的評估得到最終的風(fēng)險評估報告。完備的風(fēng)險評估方法現(xiàn)狀調(diào)查的主要內(nèi)容文檔收集與分析組織的基本信息、組織結(jié)構(gòu)圖組織人員名單、機構(gòu)設(shè)置、崗位職責(zé)說明書業(yè)務(wù)特征或服務(wù)介紹與信息安全管理相關(guān)的政策、制度和規(guī)范現(xiàn)場訪談安排與相關(guān)人員的面談對員工工作現(xiàn)場的觀察加強項目組對企業(yè)文化的感知現(xiàn)狀調(diào)查的主要內(nèi)容技術(shù)評估工具掃描、滲透測試1

2

3人工分析系統(tǒng)安全配置完全檢測、網(wǎng)絡(luò)服務(wù)安全配置完全檢測包括用戶安全、操作系統(tǒng)安全、

網(wǎng)絡(luò)服務(wù)安全、系統(tǒng)程序安全問卷調(diào)研安全日常運維現(xiàn)狀調(diào)研問卷:針對組織中實際的應(yīng)用、系統(tǒng)、網(wǎng)絡(luò)狀況,從日常的管理、維護(hù)、系統(tǒng)審計、權(quán)限管理等方面全面了解組織在信息系統(tǒng)安全管理和維護(hù)上的現(xiàn)實狀況。從安全日常運維角度出發(fā),更貼近實際運維環(huán)境。技術(shù)評估問卷調(diào)研基線風(fēng)險評估所謂基線風(fēng)險評估,就是確定一個信息安全的基本底線,信息安全不僅僅是資產(chǎn)的安全,應(yīng)當(dāng)從組織、人員、物理、邏輯、開發(fā)、業(yè)務(wù)持續(xù)等各個方面來確定一個基本的要求,在此基礎(chǔ)之上,再選擇信息資產(chǎn)進(jìn)行詳細(xì)風(fēng)險分析,這樣才能在兼顧信息安全風(fēng)險的方方面面的同時,對重點信息安全風(fēng)險進(jìn)行管理與控制。ISO27001確立了組織機構(gòu)內(nèi)啟動、實施、維護(hù)和改進(jìn)信息安全管理的指導(dǎo)方針和通用原則,以規(guī)范組織機構(gòu)信息安全管理建設(shè)的內(nèi)容,因此,風(fēng)險評估時,可以把ISO27001作為安全基線,與組織當(dāng)前的信息安全現(xiàn)狀進(jìn)行比對,發(fā)現(xiàn)組織存在的差距,這樣一方面操作較方便,更重要的是不會有遺漏基線風(fēng)險評估信息資產(chǎn)風(fēng)險評估針對重要的信息資產(chǎn)進(jìn)行安全影響、威脅、漏洞及可能性分析,從而估計對業(yè)務(wù)產(chǎn)生的影響,最終可以選擇適當(dāng)?shù)姆椒▽︼L(fēng)險進(jìn)行有效管理。資產(chǎn)定義及估值確定現(xiàn)有控制威脅評估確定風(fēng)險水平風(fēng)險評估過程脆弱性評估安全控制措施的識別與選擇降低風(fēng)險風(fēng)險管理過程接受風(fēng)險信息資產(chǎn)風(fēng)險評估資產(chǎn)定義及估值確定現(xiàn)有控制威脅評估確定風(fēng)險水IT流程風(fēng)險評估信息安全不僅僅要看IT資產(chǎn)本身是否安全可靠,而且還應(yīng)當(dāng)在其所運行的環(huán)境和經(jīng)歷的流程中保證安全。沒有可靠的IT流程的保證,靜態(tài)的安全是不可靠的,而且IT的風(fēng)險也不僅僅是信息安全的問題,IT的效率與效果也同樣是需要考慮的問題,因此評估IT流程的績效特性并加以完善是風(fēng)險控制中必不可少的內(nèi)容。IT流程風(fēng)險評估確定風(fēng)險控制策略信息安全控制規(guī)劃確定風(fēng)險控制策略信息安全控制規(guī)劃選擇安全控制措施防止商業(yè)活動中斷和災(zāi)難事故的影響。業(yè)務(wù)持續(xù)性管理信息安全事件管理保證系統(tǒng)開發(fā)與維護(hù)的安全系統(tǒng)開發(fā)與維護(hù)控制對業(yè)務(wù)信息的訪問。訪問控制保證通訊和操作設(shè)備的正確和安全維護(hù)。通信與運營管理防止對關(guān)于IT服務(wù)的未經(jīng)許可的介入,損傷和干擾服務(wù)。物理與環(huán)境安全減少人為造成的風(fēng)險。人員安全維護(hù)組織資產(chǎn)的適當(dāng)保護(hù)系統(tǒng)。資產(chǎn)管理建立組織內(nèi)的管理體系以便安全管理。安全組織為信息安全提供管理方向和支持。安全方針目的ISO27001十一個域避免任何違反法令、法規(guī)、合同約定及其他安全要求的行為。符合性確保與信息系統(tǒng)有關(guān)的安全事件和弱點的溝通能夠及時采取糾正措施選擇安全控制措施防止商業(yè)活動中斷和災(zāi)難事故的影響。業(yè)務(wù)持續(xù)性進(jìn)行安全控制規(guī)劃安全規(guī)劃針對組織面臨的主要安全風(fēng)險,在安全管理控制框架和安全技術(shù)控制框架方面進(jìn)行較為詳盡的規(guī)劃。安全規(guī)劃對組織未來幾年的網(wǎng)絡(luò)架構(gòu)、威脅防護(hù)、策略、組織、運行等方面的安全,進(jìn)行設(shè)計、改進(jìn)和加強,是進(jìn)行安全建設(shè)的總體指導(dǎo)。序號項目內(nèi)容緊迫性可實施性難易程度效果分析綜合分析1安全體系建設(shè)2安全策略管理3安全組織管理4安全運行管理5物理安全管理6網(wǎng)絡(luò)訪問控制7認(rèn)證與授權(quán)8監(jiān)控與審計9系統(tǒng)管理10響應(yīng)和恢復(fù)11信息安全12系統(tǒng)開發(fā)管理13物理安全14……安全規(guī)劃方法進(jìn)行安全控制規(guī)劃序號項目內(nèi)容緊迫性可實施性難易程度效果分析綜安全預(yù)算計劃所以安全預(yù)算計劃是一項具有挑戰(zhàn)性的工作,要采用“適度防范”的原則,把有限的資金用在刀刃上。一般來說,沒有特別的需要,為信息安全的投入不應(yīng)超過信息化建設(shè)總投資額的20%,過高的安全成本將使安全失去意義。

投資回報計劃信息安全投資回報計劃就是要研究信息安全的成本效益,其成本效益組成如下:從系統(tǒng)生命周期看信息安全的成本:獲取成本和運行成本從安全防護(hù)手段看信息安全的成本:技術(shù)成本和管理成本信息安全的價值效益:減少信息安全事故的經(jīng)濟(jì)損失信息安全的非價值效益:增加聲譽、提升品牌價值安全預(yù)算計劃目錄信息安全體系概述信息安全組織體系信息安全管理體系信息安全技術(shù)體系信息安全執(zhí)行體系目錄信息安全體系概述信息安全組織體系信息安全管理體系信息建立信息安全組織,明確角色與責(zé)任

安全角色與責(zé)任的不明確是實施信息安全過程中的最大障礙,建立安全組織與落實責(zé)任是實施信息安全管理的第一步。信息安全領(lǐng)導(dǎo)小組信息安全主管為核心的、專業(yè)的信息安全管理的隊伍把相應(yīng)的安全責(zé)任落實到每一個員工身上建立跨部門的信息安全委員會良好的治理結(jié)構(gòu)要求主體單位的IT決策必須由最了解組織整體目標(biāo)與價值的權(quán)威部門來決定。得到組織最高管理層的支持得到高層管理人員的認(rèn)同和承諾有兩個作用一是相應(yīng)的安全方針政策、控制措施可以在組織的上上下下得到有效的貫徹;二是可以得到有效的資源保證,比如實施有效安全過程的必要的資金與人力資源的支持,及跨部門之間的協(xié)調(diào)問題都必須由高層管理人員來推動。建立信息安全組織,明確角色與責(zé)任安全組織架構(gòu)決策層為業(yè)務(wù)安全的決策機構(gòu),為業(yè)務(wù)安全工作保駕護(hù)航;管理層工作小組為業(yè)務(wù)安全工作的協(xié)調(diào)管理機構(gòu),為業(yè)務(wù)安全工作提供支持監(jiān)督;管理層監(jiān)督審計工作組,定期監(jiān)督審核工作小組和執(zhí)行小組對信息安全政策的執(zhí)行情況,并且向領(lǐng)導(dǎo)小組進(jìn)行匯報;執(zhí)行層面業(yè)務(wù)安全保障工作組是業(yè)務(wù)安全政策的執(zhí)行落地和相關(guān)安全流程手冊文檔的參與制定和維護(hù),并且接受工作小組的管理指導(dǎo)和安全審計機構(gòu)的監(jiān)督審核;安全組織架構(gòu)決策層為業(yè)務(wù)安全的決策機構(gòu),為業(yè)務(wù)安全工作保駕護(hù)信息安全體系的內(nèi)容組織體系:整個公司層面的安全管理組織,要從上到下貫穿到底體現(xiàn)三權(quán)分立的原則信息安全體系的內(nèi)容組織體系:整個公司層面的安全管理組織,要從制定信息系統(tǒng)安全政策信息系統(tǒng)安全政策就是為防止信息資產(chǎn)意外損失及被有意濫用而制訂的規(guī)則,這些政策是應(yīng)該涵蓋組織中生成、加工、使用、儲存信息的各個方面,并符合對信息系統(tǒng)安全的要求。信息安全政策要符合組織的業(yè)務(wù)目標(biāo)及特定的環(huán)境要求,并使之被每個員工所理解和執(zhí)行,這是實施信息安全的重要環(huán)節(jié)。人力資源政策因此除了技術(shù)的控制手段外,要制定合適的人力資源政策,加強對“人”的管理,對潛在的安全入侵者也是一種威懾及懲戒措施,這是建立人力防火墻的有效控制手段。人力資源管理在信息安全的管理中充分十分重要的作用,信息安全管理人員要與人務(wù)資源管理人員密切合作,協(xié)同作戰(zhàn),才能實現(xiàn)信息安全中對“人”的有效管理。制定信息系統(tǒng)安全政策實施安全教育計劃要制定各種不同范圍、不同層次的安全教育計劃。完備的安全教育計劃可以提高員工的安全意識與技能,改變他們對待安全事件的態(tài)度,使他們具有一定的安全保護(hù)技能,以更好地保護(hù)組織的信息資產(chǎn)。好的安全教育計劃應(yīng)該讓員工知道組織的信息安全面臨的威脅及信息安全事件帶來的后果,使員工切身感覺到安全事件與自己息息相關(guān)。實施安全教育計劃營造組織信息安全文化信息安全文化從屬于組織文化,倡導(dǎo)良好的組織信息安全文化就是要在組織中形成團(tuán)隊共同的態(tài)度、認(rèn)識和價值觀,形成規(guī)范的思維和行為模式,最終轉(zhuǎn)化為行動,實現(xiàn)組織信息安全目標(biāo)。人的這種對安全價值的認(rèn)識以及使自己的一舉一動符合安全的行為規(guī)范的表現(xiàn),正是所謂的“安全修養(yǎng)”。如果一個組織建立起濃厚的安全文化環(huán)境,不論決策層、管理層還是一般員工,都會在安全文化的約束下規(guī)范自己的行為,安全文化就像一支看不見的手,凡是不安全的行為都會被這支手拉回到安全操作的軌道上來。營造組織信息安全文化目錄信息安全體系概述信息安全組織體系信息安全管理體系信息安全技術(shù)體系信息安全執(zhí)行體系目錄信息安全體系概述信息安全組織體系信息安全管理體系信息信息安全管理體系的定義信息安全管理體系(ISMS:InformationSecurityManagementSystem)是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo),以及完成這些目標(biāo)所用的方法和體系。ISMS相對應(yīng)的BS7799標(biāo)準(zhǔn)在國際上得到了廣泛的應(yīng)用,目前引標(biāo)準(zhǔn)已被采納為國際標(biāo)準(zhǔn)ISO17799:2005ISO27001:2005。在ISO17799中信息安全主要指信息的機密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持。信息安全管理體系的定義ISMS“木桶”由哪些“板”組成?類似于質(zhì)量管理體系的ISO9000標(biāo)準(zhǔn),ISMS也有相應(yīng)的國際標(biāo)準(zhǔn)ISO27001,它確定了ISMS的11個安全領(lǐng)域及133個相應(yīng)的控制措施。ISMS“木桶”由哪些“板”組成?ISO17799及ISO27001的內(nèi)容ISO17799:2005

信息安全管理實施規(guī)范,主要是給負(fù)責(zé)開發(fā)的人員作為參考文檔使用,從而在組織中實施和維護(hù)信息安全;ISO27001:2005

信息安全管理體系規(guī)范,詳細(xì)說明了建立、實施和維護(hù)信息安全管理系統(tǒng)的要求,指出實施組織需要通過風(fēng)險評估來鑒定最適宜的控制對象,并對自己的需求采取適當(dāng)?shù)目刂?。獲得BS7799和ISO27001認(rèn)證的組織ISO17799及ISO27001的內(nèi)容獲得BS7799和IISMS體系設(shè)計在組織中要實現(xiàn)信息安全,比較切實可行的第一步的是按照PDCA的原則建立信息安全管理體系。如果沒有一個完整的管理體系和有效的過程來保證組織中的人員能理解他們的安全責(zé)任與義務(wù),并建立基本的有效的控制措施,那么再好的安全技術(shù)也不能保證組織的信息安全。ISMS體系設(shè)計ISMS建設(shè)過程:建立ISMS首先要建立一個合理的信息安全管理框架,要從整體和全局的視角,從信息系統(tǒng)的所有層面進(jìn)行整體安全建設(shè)從信息系統(tǒng)本身出發(fā),通過建立資產(chǎn)清單,進(jìn)行風(fēng)險分析和需求分析和選擇安全控制等步驟,建立安全體系并提出安全解決方案。體系運行體系審核管理評審體系認(rèn)證第七步第八步第九步第十步運行說明內(nèi)審報告外審報告認(rèn)證證書ISMS建設(shè)過程:體系運行體系審核管理評審體系認(rèn)證第七步第八信息安全體系的內(nèi)容管理體系:安全方針、策略文件,程序文件、操作指導(dǎo)書、記錄表格等。信息安全體系的內(nèi)容管理體系:安全方針、策略文件,程序文件、操目錄信息安全體系概述信息安全組織體系信息安全管理體系信息安全技術(shù)體系信息安全執(zhí)行體系目錄信息安全體系概述信息安全組織體系信息安全管理體系信息“技術(shù)防火墻”的總體要求技術(shù)結(jié)構(gòu)方面:完備的安全技術(shù)防御系統(tǒng)應(yīng)該具備評估,保護(hù),檢測,反應(yīng)和恢復(fù)的五種技術(shù)能力。實現(xiàn)ISO7498-2所定義的鑒別,訪問控制,數(shù)據(jù)完整性,數(shù)據(jù)保密性,抗抵賴五類安全功能。技術(shù)產(chǎn)品方面:綜合利用商用密碼、防火墻、防病毒、身份識別、網(wǎng)絡(luò)隔離、可信服務(wù)、安全服務(wù)、備份恢復(fù)、PKI服務(wù)、取證、網(wǎng)絡(luò)入侵陷阱、主動反擊等多種技術(shù)與產(chǎn)品來保證企業(yè)的信息系統(tǒng)的機密性、完整性和可靠性。

集中管理方面:實現(xiàn)集成化安全管理和安全信息共享機制,以集中管理安全控制、安全策略、安全配置、安全事件審計、安全事故應(yīng)急響應(yīng),可管理的安全才是真正意義上的安全。災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)性方面:對于突發(fā)性的重大災(zāi)難,日常安全控制措施不再起作用,此時要采取適當(dāng)和有效的措施來減輕相關(guān)威脅實際發(fā)生時所帶來的破壞后果,這是組織信息安全的最后一道防線。

八、建立“技術(shù)防火墻”“技術(shù)防火墻”的總體要求八、建立“技術(shù)防火墻”技術(shù)體系的實現(xiàn)框架信息安全框架可通過基礎(chǔ)技術(shù)系統(tǒng)、安全運維管理系統(tǒng)、應(yīng)用支撐系統(tǒng)來實現(xiàn),其最終目的是保證應(yīng)用系統(tǒng)和數(shù)據(jù)的安全?;A(chǔ)技術(shù)系統(tǒng)安全防護(hù)系統(tǒng)應(yīng)用支撐系統(tǒng)安全運維管理系統(tǒng)技術(shù)體系的實現(xiàn)框架基礎(chǔ)技術(shù)系統(tǒng)安全防護(hù)系統(tǒng)應(yīng)用支撐系統(tǒng)安全縱深防御架構(gòu)可信網(wǎng)和不可信網(wǎng)要物理層隔斷,網(wǎng)絡(luò)邏輯連接要割斷,應(yīng)用數(shù)據(jù)要凈化,不可信網(wǎng)絡(luò)上的計算機不能直接到達(dá)可信網(wǎng)絡(luò)。使用“應(yīng)用分層、服務(wù)分區(qū)、安全分級”的思路,指導(dǎo)網(wǎng)絡(luò)結(jié)構(gòu)化建設(shè),根據(jù)應(yīng)用類型、物理位置、邏輯位置等的不同,劃分不同的網(wǎng)絡(luò)安全區(qū)域和邊界。IATF安全域基礎(chǔ)技術(shù)系統(tǒng)縱深防御架構(gòu)IATF安全域基礎(chǔ)技術(shù)系統(tǒng)一個為整個安全體系提供安全服務(wù)的基礎(chǔ)性平臺,為應(yīng)用系統(tǒng)和安全支撐平臺提供包括數(shù)據(jù)完整性、真實性、可用性、不可抵賴性和機密性在內(nèi)的安全服務(wù)。包括:數(shù)字證書認(rèn)證體系(CA/PKI)密鑰管理基礎(chǔ)設(shè)施(KMI)授權(quán)管理基礎(chǔ)設(shè)施(AA/PMI)災(zāi)難恢復(fù)及業(yè)務(wù)連續(xù)性基礎(chǔ)設(shè)施(DRI/BCP)安全基礎(chǔ)設(shè)施一個為整個安全體系提供安全服務(wù)的基礎(chǔ)性平臺,為應(yīng)用系統(tǒng)和安全用戶CA系統(tǒng)AA系統(tǒng)數(shù)據(jù)庫服務(wù)訪問他是誰?有什么權(quán)限?認(rèn)證系統(tǒng)授權(quán)系統(tǒng)用戶認(rèn)證證書用戶權(quán)限證書設(shè)備認(rèn)證證書設(shè)備認(rèn)證證書軟件認(rèn)證證書PKI與PMI的應(yīng)用:安全認(rèn)證與授權(quán)用戶CA系統(tǒng)AA系統(tǒng)數(shù)據(jù)庫服務(wù)訪問他是誰?有什么權(quán)限?認(rèn)證系網(wǎng)絡(luò)安全控制采用入侵檢測、漏洞掃描、病毒防治、防火墻、網(wǎng)絡(luò)隔離、安全虛擬專網(wǎng)(VPN)等成熟技術(shù),利用物理環(huán)境保護(hù)、邊界保護(hù)、系統(tǒng)加固、節(jié)點數(shù)據(jù)保護(hù)、數(shù)據(jù)傳輸保護(hù)等手段,通過對網(wǎng)絡(luò)的安全防護(hù)的統(tǒng)一設(shè)計和統(tǒng)一配置,實現(xiàn)全系統(tǒng)統(tǒng)一、高效、可

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論