信息安全管理基礎(chǔ)

信息平安管理根底

2/23/20241整理ppt本章內(nèi)容信息平安管理體系信息平安管理標(biāo)準(zhǔn)信息平安策略信息平安技術(shù)信息平安管理2整理ppt信息技術(shù)/網(wǎng)絡(luò)技術(shù)改變生活方式政府商業(yè)個人生活金融信息平安管理3整理ppt信息平安現(xiàn)狀日益增長的平安威脅攻擊技術(shù)越來越復(fù)雜入侵條件越來越簡單信息平安管理4整理ppt黑客攻擊猖獗網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕效勞攻擊邏輯炸彈特洛伊木馬黑客攻擊計算機病毒后門、隱蔽通道蠕蟲信息平安管理5整理ppt平安事件每年都有上千家政府網(wǎng)站被攻擊平安影響任何網(wǎng)絡(luò)都可能遭受入侵信息平安管理6整理ppt系統(tǒng)的定義：系統(tǒng)是由相互作用和相互依賴的假設(shè)干局部結(jié)合成的具特定功能的整體。系統(tǒng)一般包括以下因素：1、一種產(chǎn)品或者組件，如計算機、所有的外部設(shè)備等；

2、操作系統(tǒng)、通信系統(tǒng)和其他相關(guān)的設(shè)備、軟件，構(gòu)成了一個組織的根本結(jié)構(gòu)；

3、多個應(yīng)用系統(tǒng)或軟件〔財務(wù)、人事、業(yè)務(wù)等〕

4、it部門的員工

5、內(nèi)部用戶和管理層

6、客戶和其他外部用戶

7、周圍環(huán)境，包括媒體、競爭者、上層管理機構(gòu)。信息平安管理7整理ppt信息平安管理覆蓋的內(nèi)容非常廣泛，涉及到信息和網(wǎng)絡(luò)系統(tǒng)的各個層面，以及生命周期的各個階段。不同方面的管理內(nèi)容彼此之間存在著一定的關(guān)聯(lián)性，它們共同構(gòu)成一個全面的有機整體，以使管理措施保障到達信息平安的目，這個有機整體被稱為信息平安管理體系。信息平安管理體系信息平安管理8整理ppt物理層面網(wǎng)絡(luò)層面系統(tǒng)層面應(yīng)用層面管理層面安全管理制度業(yè)務(wù)處理流程

業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)庫應(yīng)用系統(tǒng)

身份鑒別機制強制訪問控制防火墻入侵檢測系統(tǒng)物理設(shè)備安全環(huán)境安全信息安全體系信息系統(tǒng)平安體系結(jié)構(gòu)信息平安管理9整理ppt定義：信息平安管理體系〔InformationSecurityManagementSystem，ISMS〕是組織在整體或特定范圍內(nèi)建立的信息平安方針和目標(biāo)，以及完成這些目標(biāo)所用的方法和手段所構(gòu)成的體系；信息平安管理體系是信息平安管理活動的直接結(jié)果，表示為方針、原那么、目標(biāo)、方法、方案、活動、程序、過程和資源的集合。信息平安管理體系定義信息平安管理10整理ppt建立信息平安管理體系的意義ISMS是組織整體管理體系的一局部，是組織在整體或特定范圍內(nèi)建立信息平安的方針和目標(biāo)，以及完成這些目標(biāo)所用的方法的體系。平安管理體系是平安技術(shù)體系真正有效發(fā)揮保護作用的重要保障，平安管理體系的涉及立足于總體平安策略，并與平安技術(shù)體系相互配合，增強技術(shù)防護體系的效率和效果，同時，也彌補當(dāng)前技術(shù)無法完全解決的平安缺陷。信息平安管理11整理ppt強化員工的信息平安意識，標(biāo)準(zhǔn)組織信息平安行為；促使管理層貫徹信息平安保障體系；對組織的關(guān)鍵信息資產(chǎn)進行全面系統(tǒng)的保護，維持競爭優(yōu)勢；在信息系統(tǒng)受到侵襲時，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度；使組織的生意伙伴和客戶對組織充滿信心；如果通過體系認證，說明體系符合標(biāo)準(zhǔn)，證明組織有能力保障重要信息，可以提高組織的知名度與信任度。組織建立、實施與保持ISMS將會產(chǎn)生如下作用：信息平安管理12整理pptISO27001是建立和維護信息平安管理體系的標(biāo)準(zhǔn)，它要求應(yīng)該通過這樣的過程來建立ISMS框架：確定體系范圍，制定信息平安側(cè)率，明確管理職責(zé)，通過風(fēng)險評估確定控制目標(biāo)和控制方式。ISO27001非常強調(diào)信息平安管理過程中文件化的工作，ISMS的文件體系應(yīng)該包括平安策略、適用性聲明〔選擇和未選擇的控制目標(biāo)和控制措施〕、實施平安控制所需的程序文件、ISMS管理和操作程序，以及組織圍繞ISMS開展的所有活動的證明材料。信息平安管理體系標(biāo)準(zhǔn)信息平安管理13整理ppt信息平安管理的根本原那么一、總體原那么1、主要領(lǐng)導(dǎo)負責(zé)原那么2、標(biāo)準(zhǔn)定級原那么3、以人為本原那么4、適度平安原那么5、全面防范、突出重點原那么6、系統(tǒng)、動態(tài)原那么7、控制社會影響原那么。二、平安策略管理1、分權(quán)制衡2、最小特權(quán)3、選用成熟技術(shù)4、普遍參與。信息平安管理14整理ppt信息平安保證工作事關(guān)大局，企業(yè)、組織各級領(lǐng)導(dǎo)應(yīng)該把信息平安列為其最重要的工作內(nèi)容之一，并負責(zé)成提高、加強內(nèi)部人員的平安意識，組織有效的技術(shù)和管理隊伍，調(diào)動優(yōu)化配置必要的資源和經(jīng)費，協(xié)調(diào)信息平安管理工作與各部門工作的關(guān)系，確保信息平安保障工作的落實和效果。主要領(lǐng)導(dǎo)負責(zé)原那么信息平安管理15整理ppt標(biāo)準(zhǔn)定級原那么分級、分類是信息平安保障工作有的放矢的前提，是界定和保護重點信息系統(tǒng)的依據(jù)，只有通過合理、標(biāo)準(zhǔn)的分級、分類才能落實重點投資、重點防護。信息平安管理16整理ppt以人為本原那么信息平安保障在很大程度上受制于人為的因素。加強信息平安教育、培訓(xùn)和管理，強化平安意識和法制觀念，提升職業(yè)道德，掌握平安技術(shù)，確保措施落實是做好信息平安管理工作的重要保證。信息平安管理17整理ppt適度平安原那么平安需求的不斷增加和現(xiàn)實資源的局限性是平安決策處于兩難境地，恰當(dāng)?shù)仄胶馄桨餐度肱c效果是從全局上處置好平安管理工作的出發(fā)點。信息平安管理18整理ppt全面防范、突出重點的原那么全面防范是保障信息系統(tǒng)平安的關(guān)鍵。它需要從人員、管理和技術(shù)等方面，在預(yù)警、保護、檢測、反響、恢復(fù)和跟蹤等多個環(huán)節(jié)上采用多種技術(shù)實現(xiàn)。同時，又要從組織和機構(gòu)的實際情況出發(fā)，突出自身的平安管理重點。信息平安管理19整理ppt系統(tǒng)、動態(tài)原那么信息平安管理工作的系統(tǒng)特征突出。要按照系統(tǒng)工程的要求，注意各方面、各層次、各時期的相互協(xié)調(diào)、匹配和銜接，以便表達系統(tǒng)集成效果和前期投入的效益。同時，信息平安又是一種狀態(tài)和動態(tài)反響過程，隨著平安利益和系統(tǒng)脆弱性時空分布的變化，威脅程度的提高，系統(tǒng)環(huán)境的變化以及人員對系統(tǒng)平安認識的深化等，應(yīng)及時地將現(xiàn)有的平安策略、風(fēng)險接受程度和保護措施進行復(fù)查、修改、調(diào)整以至提升平安管理等級。信息平安管理20整理ppt控制社會影響原那么對平安事件的處理應(yīng)有授權(quán)者適時披露并發(fā)布準(zhǔn)確一致的有關(guān)信息，防止帶來不良的社會影響。信息平安管理21整理ppt分權(quán)制衡策略減少未授權(quán)的修改或濫用系統(tǒng)資源的時機，對特定職能或責(zé)任領(lǐng)域的管理能力實施別離、獨立審計，防止操作權(quán)力過分集中。信息平安管理22整理ppt最小特權(quán)策略任何實體〔如用戶、管理員、進程、應(yīng)用或系統(tǒng)〕僅享有該實體需要完成其任務(wù)所必需的特權(quán)，不應(yīng)享有任何多余的特權(quán)。信息平安管理23整理ppt選用成熟技術(shù)策略成熟的技術(shù)提供了可靠性、穩(wěn)定性保證，采用新技術(shù)時要重視其成熟的程度。如果新技術(shù)勢在必行，應(yīng)該首先局部試點，然后逐步推廣，減少或防止可能出現(xiàn)的損失。信息平安管理24整理ppt普遍參與策略不管信息系統(tǒng)的平安等級如何，要求信息系統(tǒng)所涉及的人員普遍參與并與社會相關(guān)方面協(xié)同、協(xié)調(diào)，共同保障信息系統(tǒng)平安。信息平安管理25整理ppt信息平安管理的目標(biāo)如下：目標(biāo)描述合規(guī)性管理的合規(guī)性，主要是指在有章可循的基礎(chǔ)之上，確保信息安全工作符合國家法律、法規(guī)、行業(yè)標(biāo)準(zhǔn)，機構(gòu)內(nèi)部的方針和規(guī)定。流程規(guī)范性管理是過程性的工作。要確保信息安全工作的相關(guān)過程具有規(guī)范性。整體協(xié)調(diào)性信息安全管理工作不能獨立進行，不可能超越機構(gòu)其他方面的管理工作而達到更高的級別。因此，信息安全保障工作需要與其他方面的管理工作一起協(xié)調(diào)開展。執(zhí)行落實性通過檢查、監(jiān)督、審計、稽核等手段促進信息安全保障工作的落實。變更可控性信息系統(tǒng)中的任何變更需要有全程的監(jiān)控管理。責(zé)任性確保信息安全責(zé)任能夠追究到人。持續(xù)改進通過開展信息安全管理，不斷發(fā)現(xiàn)問題和解決問題，形成持續(xù)改進的信息安全保障態(tài)勢。計劃性信息安全保障工作能夠有計劃、分階段的展開，確保信息安全投資能夠產(chǎn)生最大效益。信息平安管理26整理ppt信息平安管理內(nèi)容流程規(guī)范性整體協(xié)調(diào)性執(zhí)行落實性變更可控性責(zé)任性持續(xù)改進型計劃性合規(guī)性信息安全管理內(nèi)容信息平安管理27整理ppt1、通過信息平安管理過程完成信息平安管理方面的要求。2、通過信息平安管理過程驅(qū)動信息平安技術(shù)的實施，到達信息平安在技術(shù)方面的要求。信息平安管理的根本任務(wù)信息平安管理28整理ppt信息平安方針與策略信息平安方針和策略主要包括對信息平安進行總體性指導(dǎo)和規(guī)劃的管理過程。這些過程包括：平安方針和策略、資金投入管理和信息平安規(guī)劃等。信息平安管理29整理ppt平安方針和策略方針和策略屬于一般管理中的策略管理。方針和策略是信息平安保障工作的整體性指導(dǎo)和要求。平安方針和策略需要有相應(yīng)的制定、審核和改進過程。信息平安管理30整理ppt資金投入管理信息平安保障工作需要有足夠的資金支撐。但從另一個方面來講，絕對的平安是無法實現(xiàn)的，因此，需要考慮資金投入和經(jīng)濟效益之間的平衡。信息平安管理31整理ppt信息平安規(guī)劃信息平安保障工作是一項涉及面較廣的工作，同時也是一項持續(xù)的、長期的工作。因此，信息平安保障工作需要有長期、中期、短期的方案。信息平安管理32整理ppt信息平安人員和組織人員和組織管理是信息平安管理的根本過程。人員和組織是執(zhí)行信息平安保障工作的主體。信息平安管理33整理ppt在人員和組織管理方面，最根本的管理包括：1、保障有足夠的人力資源從事信息平安保障工作；2、確保人員有明確的角色和責(zé)任；3、保證從業(yè)人員經(jīng)過了適當(dāng)?shù)男畔⑵桨步逃团嘤?xùn)，有足夠的平安意識。4、機構(gòu)中的信息平安相關(guān)人員能夠在有效的組織結(jié)構(gòu)下展開工作。信息平安管理34整理ppt基于信息系統(tǒng)各個層次的平安管理信息系統(tǒng)是有層次的。因此在信息系統(tǒng)的平安保護中也存在層次的特點，對應(yīng)各個層次也有相應(yīng)的信息平安管理工作?；谛畔⑾到y(tǒng)的各個層次，可相應(yīng)在如下層次中開展信息平安管理：環(huán)境和設(shè)備平安、網(wǎng)絡(luò)和通信平安、主機和系統(tǒng)平安、應(yīng)用和業(yè)務(wù)平安、數(shù)據(jù)平安。信息平安管理35整理ppt環(huán)境和設(shè)備平安也稱為物理平安。在這類平安管理過程中，主要是涉及信息系統(tǒng)和信息工作所在的環(huán)境平安，以及信息設(shè)備方面的平安。另外，文檔和介質(zhì)是存儲數(shù)據(jù)的特殊載體，因此，也應(yīng)當(dāng)對其進行適度的管理。物理平安是上層平安的根底。信息平安管理36整理ppt網(wǎng)絡(luò)和通信平安網(wǎng)絡(luò)系統(tǒng)和通信系統(tǒng)使得信息系統(tǒng)可以覆蓋各個地理位置和業(yè)務(wù)場所。網(wǎng)絡(luò)和通信平安，特別是全程全網(wǎng)的平安是信息平安保障工作的關(guān)鍵環(huán)節(jié)。信息平安管理37整理ppt主機和系統(tǒng)平安主機及主機上的操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)以及各種支撐系統(tǒng)等，是承載業(yè)務(wù)系統(tǒng)的根底平臺。主機和系統(tǒng)是信息系統(tǒng)威脅的主要目標(biāo)之一。信息平安管理38整理ppt應(yīng)用和業(yè)務(wù)平安應(yīng)用和業(yè)務(wù)系統(tǒng)是最終實現(xiàn)各項業(yè)務(wù)工作的上層系統(tǒng)。對相應(yīng)應(yīng)用系統(tǒng)的平安管理要與具體的業(yè)務(wù)特點相結(jié)合。信息平安管理39整理ppt數(shù)據(jù)平安數(shù)據(jù)平安在信息平安中占有非常重要的地位。數(shù)據(jù)的保密性、數(shù)據(jù)的完整性、數(shù)據(jù)內(nèi)容的真實性和可靠性等平安特性的要求在業(yè)務(wù)中都非常突出。信息平安管理40整理ppt基于信息系統(tǒng)生命周期的平安管理信息系統(tǒng)是由生命周期的。信息平安保障也涉及到信息系統(tǒng)生命周期的各個階段。信息系統(tǒng)生命周期可以劃分為兩個階段：1、系統(tǒng)投入前的工程設(shè)計和開發(fā)階段；2、系統(tǒng)的運行和維護階段。信息平安管理41整理ppt信息系統(tǒng)平安和信息系統(tǒng)本身的三同步1、同步規(guī)劃2、同步建設(shè)3、同步運行信息平安管理42整理ppt工程工程平安管理在信息系統(tǒng)投入運行前，信息系統(tǒng)平安的能力、強度、脆弱性、可改進的潛力等方面有相當(dāng)?shù)木植恳呀?jīng)確定和定型。因此，對于一個信息系統(tǒng)，不應(yīng)當(dāng)在系統(tǒng)建設(shè)完成后再考慮信息平安問題，而應(yīng)當(dāng)從系統(tǒng)建設(shè)的初期開始，在建設(shè)的整個過程中同步考慮。信息平安管理43整理ppt日常運行與維護的平安管理一個信息系統(tǒng)及其信息平安系統(tǒng)建設(shè)完成后，其平安工作并沒有結(jié)束。真正的平安效果需要通過日常運行中的平安管理來實現(xiàn)，工程過程中奠定的信息平安根底需要通過管理手段加以發(fā)揮。信息平安管理44整理ppt配置管理和變更管理配置管理和變更管理是任何形式的管理中不可或缺的管理過程。在信息平安管理中，這兩方面管理的作用尤為突出。1、配置管理：從信息平安管理的角度看，應(yīng)當(dāng)對被保護的資產(chǎn)以及相應(yīng)的保護措施進行配置描述，并應(yīng)當(dāng)對各個配置描述進行持續(xù)的跟蹤管理。2、變更管理：人員、設(shè)備、流程等各個方面的變化，都可能導(dǎo)致信息平安風(fēng)險的變化，因此，要對信息系統(tǒng)中重要的變更進行管理。需要建立正規(guī)的變更流程來控制變更可能導(dǎo)致的風(fēng)險。信息平安管理45整理ppt文檔化和流程標(biāo)準(zhǔn)化文檔化是信息平安管理工作的重要局部。只有將各種管理方法、管理過程、管理要求等通過文檔的形式明確下來，才能保證信息平安管理工作進一步得到落實和貫徹。業(yè)務(wù)的運行以及單位自身的正常運營需要通過許多操作過程〔流程〕來具體實現(xiàn)，管理流程的標(biāo)準(zhǔn)化程度可以表達管理的水平。信息平安管理46整理ppt新技術(shù)、新方法的跟蹤和采用不斷運用新技術(shù)、新方法是提高業(yè)務(wù)能力和競爭力水平的重要手段。因此，對于新技術(shù)和新方法要不斷跟蹤，并有方案地將新技術(shù)和新方法應(yīng)用到業(yè)務(wù)系統(tǒng)中。甚至，為了保證競爭力的持續(xù)提高，還要進行前瞻性的技術(shù)和方法研究。但是新的技術(shù)和方法可能帶來新的風(fēng)險，甚至一些風(fēng)險在該技術(shù)沒有得到廣泛應(yīng)用和成熟化之前很難被發(fā)現(xiàn)。因此，在采取任何較新的技術(shù)和方法之前，都要進行嚴(yán)格的平安評估。信息平安管理47整理ppt風(fēng)險管理風(fēng)險管理是根本管理過程之一。信息平安風(fēng)險管理是整體風(fēng)險管理的一個有機組成局部，是其在信息化領(lǐng)域的具體表達。在信息平安風(fēng)險管理過程中，要實施如下工作：1、資產(chǎn)鑒別、分類和評價2、威脅鑒別和評價3、脆弱性評估—評估防護措施的效力和存在的脆弱性4、平安風(fēng)險評估和評級—綜合資產(chǎn)、威脅、脆弱性的評估和評價，完成最終的風(fēng)險評估和評級。5、決策并實施風(fēng)險處理措施—根據(jù)風(fēng)險評估的結(jié)果，作出風(fēng)險處理和控制的相關(guān)決策，并投入實施。信息平安管理48整理ppt業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理不僅僅是災(zāi)難恢復(fù)、危機管理、風(fēng)險管理控制或者技術(shù)恢復(fù)，也不僅僅是一個專業(yè)的技術(shù)問題，更重要的是一個業(yè)務(wù)驅(qū)動和高層驅(qū)動的管理問題。它是一個全盤的管理過程，重在識別潛在的影響，建立整體的恢復(fù)能力和順應(yīng)能力，在危機或災(zāi)害發(fā)生時保護信息系統(tǒng)所有者的聲譽和利益。信息平安管理49整理ppt符合性審核符合性審核是確保整體管理工作有效實施的重要管理過程。此類管理過程可以將信息平安管理工作納入到一個良性的、持續(xù)改進的循環(huán)中。需要考慮的審核內(nèi)容包括：法律和法規(guī)、內(nèi)部的方針和制度、技術(shù)標(biāo)準(zhǔn)以及其他需要遵循的各種范圍要求。信息平安管理50整理ppt信息平安管理體系構(gòu)成1、方針與策略管理2、風(fēng)險管理3、人員與組織管理4、環(huán)境與設(shè)備管理5、網(wǎng)絡(luò)與通信管理6、主機與系統(tǒng)管理7、應(yīng)用于業(yè)務(wù)管理8、數(shù)據(jù)/文檔/介質(zhì)9、工程工程管理10、運行維護管理11、業(yè)務(wù)連續(xù)性管理12、合規(guī)性管理信息平安管理51整理ppt數(shù)據(jù)/文檔/介質(zhì)管理方針和策略管理應(yīng)用與業(yè)務(wù)管理主機與系統(tǒng)管理網(wǎng)絡(luò)與通信管理環(huán)境與設(shè)備管理風(fēng)險管理業(yè)務(wù)連續(xù)性管理工程工程管理運行維護管理人員和組織管理合規(guī)性管理信息平安管理體系構(gòu)成信息平安管理52整理ppt方針與策略管理確保企業(yè)、組織擁有明確的信息平安方針以及配套的策略和制度，以實現(xiàn)對信息平安工作的支持和承諾，保證信息平安的資金投入。信息平安管理53整理ppt風(fēng)險管理信息平安建設(shè)不是防止風(fēng)險的過程，而是管理風(fēng)險的過程。沒有絕對的平安，風(fēng)險總是存在的。信息平安體系建設(shè)的目標(biāo)就是把風(fēng)險控制在可以接受的范圍之內(nèi)，風(fēng)險管理同時也是一個動態(tài)持續(xù)的過程。信息平安管理54整理ppt人員與組織管理建立組織機構(gòu)，明確人員崗位職責(zé)，提供平安教育和培訓(xùn)，對第三方人員進行管理，協(xié)調(diào)信息平安監(jiān)管部門與行內(nèi)其他部門之間的關(guān)系，保證信息平安工作的人力資源要求，防止由于人員和組織上的錯誤產(chǎn)生信息平安風(fēng)險。信息平安管理55整理ppt環(huán)境與設(shè)備管理控制由于物理環(huán)境和硬件設(shè)施的不當(dāng)所產(chǎn)生的風(fēng)險。管理的內(nèi)容包括物理環(huán)境平安、設(shè)備平安、介質(zhì)平安等。信息平安管理56整理ppt網(wǎng)絡(luò)與通信平安控制、保護網(wǎng)絡(luò)和通信系統(tǒng)，防止受到破壞和濫用，防止和降低由于網(wǎng)絡(luò)和通信系統(tǒng)的問題對業(yè)務(wù)系統(tǒng)的損害。信息平安管理57整理ppt主機與系統(tǒng)管理控制和保護主機及其系統(tǒng)，防止受到破壞和濫用，防止和降低由此對業(yè)務(wù)系統(tǒng)的損害。信息平安管理58整理ppt應(yīng)用與業(yè)務(wù)管理對各類應(yīng)用和業(yè)務(wù)系統(tǒng)進行平安管理，防止受到破壞和濫用。信息平安管理59整理ppt數(shù)據(jù)/文檔/介質(zhì)管理采用數(shù)據(jù)加密和完整性保護機制，防止數(shù)據(jù)被竊取和篡改，保護業(yè)務(wù)數(shù)據(jù)的平安。信息平安管理60整理ppt工程工程管理保護信息系統(tǒng)工程過程的平安，確保工程的成果是可靠的平安系統(tǒng)。信息平安管理61整理ppt運行維護管理保護信息系統(tǒng)在運行期間的平安，并確保系統(tǒng)維護工作的平安。信息平安管理62整理ppt業(yè)務(wù)連續(xù)性管理通過設(shè)計和執(zhí)行業(yè)務(wù)連續(xù)性方案，確保信息系統(tǒng)在任何災(zāi)難和攻擊下，都能夠保證業(yè)務(wù)的連續(xù)性。信息平安管理63整理ppt合規(guī)性管理確保信息平安保障工作符合國家法律、法規(guī)的要求；并且信息平安方針、規(guī)定和標(biāo)準(zhǔn)得到了遵循。信息平安管理64整理ppt12項信息平安管理類的作用關(guān)系1、方針與策略管理：是整個信息平安管理工作的根底和整體指導(dǎo)，對于其他所有的信息平安管理類都有指導(dǎo)和約束的關(guān)系。信息平安管理65整理ppt12項信息平安管理類的作用關(guān)系2、人員與組織管理：是要根據(jù)方針和策略來執(zhí)行的信息平安管理工作。信息平安管理66整理ppt12項信息平安管理類的作用關(guān)系3、合規(guī)性管理：指導(dǎo)如何檢查信息平安管理工作的效果。特別是對于國家法律法規(guī)，方針政策和標(biāo)準(zhǔn)符合程度的檢驗。信息平安管理67整理ppt12項信息平安管理類的作用關(guān)系4、根據(jù)方針與策略，由人員與組織實施信息平安管理工作。在實施中主要從兩個角度來考慮問題，即風(fēng)險管理和業(yè)務(wù)連續(xù)性管理。信息平安管理68整理ppt12項信息平安管理類的作用關(guān)系5、根據(jù)信息系統(tǒng)的生命周期，可以將信息系統(tǒng)分為兩個階段，即工程工程開發(fā)階段和運行維護階段。這兩個信息平安管理類表達了信息系統(tǒng)和信息平安工作的生命周期特性。信息平安管理69整理ppt第二節(jié)信息平安管理標(biāo)準(zhǔn)一、BS7799二、其他標(biāo)準(zhǔn)信息平安管理70整理pptBS7799簡介BS7799概述：BS7799是英國標(biāo)準(zhǔn)委員會〔BritshStandardsInsstitute,BSI〕針對信息平安管理而制定的標(biāo)準(zhǔn)。分為兩個局部：第一局部：被國際標(biāo)準(zhǔn)化組織ISO采納成為ISO/IEC17799:2005標(biāo)準(zhǔn)的局部，是信息平安管理實施細那么〔CodeofPracticeforInformationSecurityManage-ment〕，主要供負責(zé)信息平安系統(tǒng)開發(fā)的人員參考使用，其主要內(nèi)容分為11方面，提供了133項平安控制措施〔最正確實踐〕。第二局部：被國際標(biāo)準(zhǔn)化組織ISO采納成為ISO/IEC20071:2005標(biāo)準(zhǔn)的局部，是建立信息平安管理體系〔ISMS〕的一套標(biāo)準(zhǔn)〔SpecificationforInformationSecurityManagementSystems〕,其中詳細說明了建立、實施和維護信息平安管理體系的要求，可以用來指導(dǎo)相關(guān)人員應(yīng)用ISO/IEC17799:2005,其最終目的在于建立適合企業(yè)需要的信息平安管理體系。信息平安管理71整理pptBS7799開展歷程BS7799最初由英國貿(mào)工部立項，是業(yè)界、政府和商業(yè)機構(gòu)共同倡導(dǎo)的，旨在開發(fā)一套可供開發(fā)、實施和衡量有效信息平安管理實踐的通用框架。1995年，BS7799-1:1995?信息平安管理實施細那么?首次發(fā)布1998年，BS7799-2:1998?信息平安管理體系標(biāo)準(zhǔn)?發(fā)布1999年4月，BS7799的兩個局部被修訂，形成了完整的BS7799-1:19992000年國際信息化標(biāo)準(zhǔn)組織將其轉(zhuǎn)化為國際標(biāo)準(zhǔn)，即ISO/IEC17799:2000?信息技術(shù)—信息平安管理實施細那么?2002年BSI對BS7799-2：1999進行了重新修訂，正式引入PDCA過程模型；2004年9月BS7799-2:2002正式發(fā)布2005年6月，ISO/IEC17799:2000經(jīng)過改版，形成了新的ISO/IEC17799:2005,同年10月推出了ISO/IEC27001:2005目前有20多個國家和地區(qū)引用BS7799作為本國〔地區(qū)〕標(biāo)準(zhǔn)，有40多個國家和地區(qū)開展了與此相關(guān)的業(yè)務(wù)。在我國ISO17799:2000已經(jīng)被轉(zhuǎn)化為GB/T19716-2005信息平安管理72整理pptBS7799的內(nèi)容*BS7799-1:?信息平安管理實施規(guī)那么?主要是給負責(zé)開發(fā)的人員作為參考文檔使用，從而在他們的機構(gòu)內(nèi)部實施和維護信息平安。*BS7799-2:?信息平安管理體系標(biāo)準(zhǔn)?詳細說明了建立、實施和維護信息平安管理體系的要求，指出實施組織需要通過風(fēng)險評估來鑒定最適宜的控制對象，并根據(jù)自己的需求采取適當(dāng)?shù)钠桨部刂?。信息平安管?3整理ppt信息平安管理實施細那么將信息平安管理內(nèi)容劃分為11個方面，39個控制目標(biāo)，133項控制措施，供信息平安管理體系實施者參考使用，這11個方面包括：1、平安策略〔SecurityPolicy〕2、組織信息平安(OrganizingInformationSecurity)3、資產(chǎn)管理(AssetMangement)4、人力資源平安(HumanResourcesSecurity)5、物理與環(huán)境平安(PhysicalandEnvironmentalSecurity)BS7799-1(ISO/IEC17799)信息平安管理74整理ppt6、通信與操作管理(CommunicationandOperationManagement)7、訪問控制(AccessControl)8、信息系統(tǒng)獲取、開發(fā)與維護(InformationSystemsAcquisition,DevelopmentandMaintenance)9、信息平安事件管理(InformationSecurityIncidentManagement)10、業(yè)務(wù)連續(xù)性管理(BusinessContinuityManagement)11、符合性(Compliance)信息平安管理75整理ppt平安策略：包括信息平安策略文件和信息平安策略復(fù)查。組織平安：包括在組織內(nèi)建立發(fā)起和控制信息平安實施的管理框架；維護被外部伙伴訪問、處理和管理的組織的信息，處理設(shè)施和信息資產(chǎn)的平安。資產(chǎn)管理：包括建立資產(chǎn)清單、進行信息分類與分級人力資源平安：包括崗位平安責(zé)任和人員錄用平安要求，平安教育與培訓(xùn)，平安意識，離職及變更職位等。BS7799-1(ISO/IEC17799)信息平安管理76整理ppt物理與環(huán)境平安：包括平安區(qū)域控制、設(shè)備平安管理等通信與操作管理：包括操作程序和責(zé)任，系統(tǒng)規(guī)劃和驗收，防范惡意軟件，內(nèi)務(wù)管理，網(wǎng)絡(luò)管理，介質(zhì)平安管理，信息與軟件交換平安訪問控制：包括訪問控制策略，用戶訪問控制，網(wǎng)絡(luò)訪問控制，操作系統(tǒng)訪問控制，應(yīng)用訪問控制，監(jiān)控與審計，移動和遠程訪問BS7799-1(ISO/IEC17799)信息平安管理77整理ppt信息系統(tǒng)獲取、開發(fā)與維護：平安需求分析，平安機制設(shè)計〔應(yīng)用系統(tǒng)平安，密碼控制，系統(tǒng)文件平安〕，開發(fā)和支持過程的平安控制信息平安事件管理：報告信息平安事件、平安缺陷；責(zé)任和程序、從信息平安事件吸取教訓(xùn)、證據(jù)收集。業(yè)務(wù)連續(xù)性管理：業(yè)務(wù)連續(xù)性方案的制訂，演習(xí)，審核，改進符合性管理：符合法律法規(guī)，符合平安策略等。BS7799-1(ISO/IEC17799)信息平安管理78整理ppt對控制措施的描述不夠細致，導(dǎo)致缺乏可操作性；133項控制措施未必適合全部的組織，應(yīng)當(dāng)有選擇的參考使用；133項控制措施未必全面，可以根據(jù)實際情況進行增補。BS7799-1(ISO/IEC17799)信息平安管理79整理pptISO/IEC17799:2005列舉了十項適用于幾乎所有組織和大多數(shù)環(huán)境的控制措施：1、與法律相關(guān)的控制措施：〔1〕知識產(chǎn)權(quán)：遵守知識產(chǎn)權(quán)保護和軟件產(chǎn)品保護的法律；〔2〕保護組織的記錄：保護重要的記錄不喪失，不被破壞和偽造；〔3〕數(shù)據(jù)保護和個人信息隱私：遵守所在國的數(shù)據(jù)保護法律。BS7799-1(ISO/IEC17799)信息平安管理80整理ppt2、與最正確實踐相關(guān)的控制措施：〔1〕信息平安策略文件：高管批準(zhǔn)發(fā)布信息平安策略文件，并廣泛告知；〔2〕信息平安責(zé)任的分配：清晰地所有的信息平安責(zé)任；〔3〕信息平安意識、教育和培訓(xùn)：全體員工及相關(guān)人員應(yīng)該接受恰當(dāng)?shù)囊庾R培訓(xùn)；BS7799-1(ISO/IEC17799)信息平安管理81整理ppt〔4〕正確處理應(yīng)用程序：防止應(yīng)用程序中的信息出錯、喪失或被非授權(quán)篡改及誤用；〔5〕漏洞管理：防止利用已發(fā)布的漏洞信息來實施破壞；〔6〕管理信息平安事件和改進：確保采取一致和有效的方法來管理信息平安事件?！?〕業(yè)務(wù)連續(xù)性管理：減少業(yè)務(wù)活動中斷，保護關(guān)鍵業(yè)務(wù)過程不受重大事故或災(zāi)難影響。BS7799-1(ISO/IEC17799)信息平安管理82整理ppt信息平安管理體系標(biāo)準(zhǔn)(SpecificationforInformationSecurityManagementSystem)說明了建立、實施、維護，并持續(xù)改進ISMS的要求指導(dǎo)實施者如何利用BS7799-1來建立一個有效的ISMSBSI提供依據(jù)BS7799-2所建立ISMS的認證BS7799-2/ISO27001信息平安管理83整理ppt 建立ISMS〔PLAN〕定義ISMS的范圍和策略識別和評估風(fēng)險評估現(xiàn)有保證措施準(zhǔn)備適用性說明取得管理層對殘留風(fēng)險的認可，并獲得實施ISMS的授權(quán)BS7799-2/ISO27001信息平安管理84整理ppt 實施ISMS〔DO〕制訂并實施風(fēng)險處理方案實施平安控制措施實施平安意識和平安教育培訓(xùn)實施檢測和響應(yīng)平安機制BS7799-2/ISO27001信息平安管理85整理ppt 監(jiān)視和復(fù)查ISMS〔CHECK〕實施監(jiān)視程序和控制定期復(fù)審ISMS的效力定期進行ISMS內(nèi)部審計復(fù)查殘留風(fēng)險和可接受風(fēng)險的水平BS7799-2/ISO27001信息平安管理86整理ppt 改進ISMS〔ACT〕對ISMS實施可識別的改進實施糾正和預(yù)防措施確保改進成果滿足預(yù)期目標(biāo)BS7799-2/ISO27001信息平安管理87整理ppt 強調(diào)文檔化管理的重要作用，文檔體系包括平安策略適用性聲明實施平安控制的規(guī)程文檔ISMS管理和操作規(guī)程與ISMS有關(guān)的其它文檔BS7799-2/ISO27001信息平安管理88整理ppt 建立ISMS的過程制訂平安策略確定體系范圍明確管理職責(zé)通過平安風(fēng)險評估確定控制目標(biāo)和控制措施復(fù)查、維護與持續(xù)改進BS7799-2/ISO27001信息平安管理89整理ppt二、其他標(biāo)準(zhǔn)1、PD3000BS7799標(biāo)準(zhǔn)本身是不具有很強的可實施性的，為了指導(dǎo)組織更好地建立ISMS并應(yīng)對BS7799認證審核的要求，BSIDISC提供了一組有針對性的指導(dǎo)文件，即PD3000系列。信息平安管理90整理ppt2、CC〔1〕信息技術(shù)產(chǎn)品和系統(tǒng)平安性測評標(biāo)準(zhǔn)，是信息平安標(biāo)準(zhǔn)體系中非常重要的一個分支；是目前國際上最通行的信息技術(shù)產(chǎn)品及系統(tǒng)平安性測評標(biāo)準(zhǔn)，也是信息技術(shù)平安性評估結(jié)果國際互認的根底?！?〕CC、ISO/IEC15408、GB/T18336是同一個標(biāo)準(zhǔn)?！?〕CC的組要目標(biāo)讀者是用戶、開發(fā)者和評估者?！?〕與BS7799標(biāo)準(zhǔn)相比，CC的側(cè)重點放在系統(tǒng)和產(chǎn)品的技術(shù)指標(biāo)評價上；組織在依照BS7799標(biāo)準(zhǔn)來實施ISMS時，一些牽涉系統(tǒng)和產(chǎn)品平安的技術(shù)要求，可以借鑒CC標(biāo)準(zhǔn)。2/23/202491整理ppt3、ISO/IECTR13335〔1〕信息和通信技術(shù)平安管理，是由ISO/IECJTC1制定的技術(shù)報告，是一個信息平安管理方面的指導(dǎo)性標(biāo)準(zhǔn)，其目的是為有效實施IT平安管理提供建議和支持?！?〕對信息平安風(fēng)險及其構(gòu)成要素間關(guān)系的描述非常具體，對風(fēng)險評估方法過程的描述很清晰，可用來指導(dǎo)實施。信息平安管理92整理ppt4、SSE-CMM〔1〕SSE-CMM模型是CMM在系統(tǒng)平安工程這個具體領(lǐng)域應(yīng)用而產(chǎn)生的一個分支，是美國國家平安局〔NSA〕領(lǐng)導(dǎo)開發(fā)的，是專門用于系統(tǒng)平安工程的能力程度度模型?！?〕ISO/IECDIS21827信息技術(shù)—系統(tǒng)平安工程—能力成熟度模型〔3〕SSE-CMM將系統(tǒng)平安工程成熟度劃分為5個等級〔4〕SSE-CMM可以作為評估工程實施組織〔如平安效勞提供商〕能力與資質(zhì)的標(biāo)準(zhǔn)。我國國家信息平安測評認證中心在審核專業(yè)機構(gòu)信息平安效勞資質(zhì)時，根本上就是依據(jù)SSE-CMM來審核并劃分等級的。信息平安管理93整理ppt5、NISTSP800系列美國國家標(biāo)準(zhǔn)技術(shù)委員會〔NIST〕發(fā)布的SpecialPublication800文檔是一系列針對信息平安技術(shù)和管理領(lǐng)域的實踐參考指南。6、ITIL信息技術(shù)根底設(shè)施庫〔ITInfrastructureLibrary〕，是由英國中央計算機與電信局〔CCTA〕發(fā)布的關(guān)于IT效勞管理最正確實踐的建議和指導(dǎo)方針，旨在解決IT效勞質(zhì)量不佳的情況。信息平安管理94整理ppt7、CobiT信息及相關(guān)技術(shù)控制目標(biāo)〔ControlObjectivesforInformationandrelatedTechnology,CobiT〕是由美國信息系統(tǒng)審計與控制協(xié)會針對IT過程管理制定的一套基于最正確實踐的控制目標(biāo)，是目前國際上公認的最先進、最權(quán)威的平安與信息技術(shù)管理和控制標(biāo)準(zhǔn)。

信息平安管理95整理ppt第三節(jié)信息平安策略一、信息平安策略概述二、制定信息平安策略三、確定信息平安策略保護的對象四、主要信息平安策略五、信息平安策略的執(zhí)行和維護信息平安管理96整理ppt 平安策略包括：總體方針，指導(dǎo)性的戰(zhàn)略綱領(lǐng)文件，說明了企業(yè)對于信息平安的看法和立場、信息平安的目標(biāo)和戰(zhàn)略、信息平安所涉及的范圍、管理組織構(gòu)架和責(zé)任認定、以及對于信息資產(chǎn)的管理方法等內(nèi)容針對特定問題的具體策略，闡述了企業(yè)對于特定平安問題的聲明、立場、適用方法、強制要求、角色、責(zé)任認定等內(nèi)容針對特定系統(tǒng)的具體策略，更為具體和細化，說明了特定系統(tǒng)與信息平安有關(guān)的使用和維護規(guī)那么等內(nèi)容信息平安管理97整理ppt 平安策略的特點：力求全面和明確，不必過于具體和深入需要一個逐漸完善的過程，不可能一蹴而就應(yīng)當(dāng)保持適當(dāng)?shù)姆€(wěn)定性信息平安管理98整理ppt信息平安策略定義信息平安策略是一組經(jīng)過高級管理層批準(zhǔn)，正式發(fā)布和實施的綱領(lǐng)性文件，描述了一個企業(yè)、組織的高層平安目標(biāo)，它描述應(yīng)該做什么，而不是如何去做，一份信息平安策略就像是一份工程管理方案書，這意味著它隱藏了執(zhí)行的細節(jié)。信息平安策略是一種處理平安問題的管理策略的描述。平安策略必須遵循三個根本原那么：確定性、完整性和有效性。信息平安管理99整理ppt信息平安策略的重要性信息平安策略是位于核心地位的方針和政策的集合，雖然它并不涉及具體的執(zhí)行細節(jié)，但是明確描述了平安保護的對象范圍，能夠保證后續(xù)的控制措施被合理的執(zhí)行，能夠?qū)ζ桨伯a(chǎn)品的選擇及管理實踐起到指導(dǎo)和約束作用。遵循平安策略的信息系統(tǒng)建設(shè)和管理將會形成一個統(tǒng)一的有機整體，使得系統(tǒng)具有更好的平安性。信息平安管理100整理ppt制定信息平安策略的時間理想情況下，制定信息平安策略的最正確時間是在發(fā)生第一起網(wǎng)絡(luò)平安事故之前。信息平安管理101整理ppt平安員需要了解的幾個問題：1、任何業(yè)務(wù)動作過程均存在不同程度的風(fēng)險；2、保險公司不愿向沒有信息平安策略的企業(yè)投保；3、一個包括軟件開發(fā)策略在內(nèi)的平安策略對與開發(fā)更平安的系統(tǒng)是有指導(dǎo)作用的。4、在平安事故發(fā)生后，平安事故很可能重復(fù)發(fā)生，所以第一次發(fā)生后實施平安策略盡管太晚，卻十分必要；5、發(fā)生平安事故制定平安策略時，不要把重點放在攻破的地方，要從全局考慮平安問題；6、平安策略給用戶的印象是企業(yè)對平安問題非常認真；7、當(dāng)企業(yè)為政府或機關(guān)工作或與其合作時，一份平安策略應(yīng)該是首先引起注意的事項；8、向用戶展示企業(yè)質(zhì)量標(biāo)準(zhǔn)控制所要求的可評價平安程序來說，平安策略可以作為該程序的指導(dǎo)方針。信息平安管理102整理ppt信息平安策略開發(fā)流程1、確定信息平安策略的范圍2、風(fēng)險評估/分析或者審計3、信息平安策略的審查、批準(zhǔn)和實施信息平安管理103整理ppt制定信息平安策略制定信息平安策略的原那么：1、先進的網(wǎng)絡(luò)平安技術(shù)是網(wǎng)絡(luò)平安的根本保證2、嚴(yán)格的管理是確保信息平安策略落實的根底3、嚴(yán)格的法律法規(guī)是網(wǎng)絡(luò)平安的堅強后盾信息平安管理104整理ppt先進的網(wǎng)絡(luò)平安技術(shù)是網(wǎng)絡(luò)平安的根本保證

用戶對自身面臨的威脅進行風(fēng)險評估，決定其所需的平安效勞種類，選擇相應(yīng)的平安機制，然后集成先進的平安技術(shù)，形成一個全方位的平安系統(tǒng)。信息平安管理105整理ppt嚴(yán)格的管理是確保信息平安策略落實的根底

各計算機使用機構(gòu)、企業(yè)和單位應(yīng)建立相應(yīng)的網(wǎng)絡(luò)平安管理方法，加強內(nèi)部管理，建立適宜的網(wǎng)絡(luò)平安管理系統(tǒng)，加強用戶管理和授權(quán)管理，建立平安審計和跟蹤體系，提高整體網(wǎng)絡(luò)平安意識。信息平安管理106整理ppt嚴(yán)格的法律法規(guī)是網(wǎng)絡(luò)平安的堅強后盾

面對日趨嚴(yán)重的網(wǎng)絡(luò)犯罪，必須建立與網(wǎng)絡(luò)平安相關(guān)的法律、法規(guī)，使非法分子不會輕易發(fā)動攻擊。信息平安管理107整理ppt信息平安策略的設(shè)計范圍一個合理的信息平安策略體系包括三個不同層次的策略文檔：1、總體平安策略2、針對特定問題的具體策略3、針對特定系統(tǒng)的具體策略信息平安管理108整理ppt總體平安策略文檔闡述指導(dǎo)性的戰(zhàn)略綱領(lǐng)文件，說明了企業(yè)對與信息平安的看法和立場、信息平安的目標(biāo)和戰(zhàn)略、信息平安所涉及的范圍、管理組織架構(gòu)和責(zé)任認定以及對與信息資產(chǎn)的管理方法等內(nèi)容。信息平安管理109整理ppt針對特定問題的具體策略文檔闡述了企業(yè)對于特定平安問題的聲明、立場、適用方法、強制要求、角色、責(zé)任的認定等內(nèi)容，例如：針對Internet訪問操作、計算機和網(wǎng)絡(luò)病毒防治、口令的使用和管理等特定問題，制定用針對性的平安策略。信息平安管理110整理ppt針對特定系統(tǒng)的具體策略文檔針對特定系統(tǒng)的具體策略，更為具體化和詳細化，說明了特定系統(tǒng)與信息平安有關(guān)的使用和維護規(guī)那么等內(nèi)容，如防火墻配置策略、電子郵件平安策略等等。信息平安管理111整理ppt信息平安策略的15個制定范圍1、物理平安策略2、網(wǎng)絡(luò)平安策略3、數(shù)據(jù)加密策略4、數(shù)據(jù)備份策略5、病毒防護策略6、系統(tǒng)平安策略7、身份認證及授權(quán)策略8、災(zāi)難恢復(fù)策略9、事故處理、緊急響應(yīng)策略10、平安教育策略11、口令管理策略12、補丁管理策略13、系統(tǒng)變更控制策略14、商業(yè)伙伴、客戶關(guān)系策略15、復(fù)查審計策略信息平安管理112整理ppt物理安全策略網(wǎng)絡(luò)安全策略數(shù)據(jù)加密策略數(shù)據(jù)備份策略病毒防護策略系統(tǒng)安全策略身份認證及授權(quán)策略‘災(zāi)難恢復(fù)策略事故處理、緊急響應(yīng)策略安全教育策略口令管理策略補丁管理策略系統(tǒng)變更控制策略商業(yè)伙伴、客戶關(guān)系策略復(fù)查審計策略信息平安策略信息平安管理113整理ppt物理平安策略物理平安策略包括環(huán)境平安、設(shè)備平安、媒體平安、信息資產(chǎn)的物理分布、人員的訪問控制、審計紀(jì)錄、異常情況的追查等。信息平安管理114整理ppt網(wǎng)絡(luò)平安策略網(wǎng)絡(luò)平安策略包括網(wǎng)絡(luò)拓撲結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備的管理、網(wǎng)絡(luò)平安訪問控制〔防火墻、入侵檢測系統(tǒng)、VPN等〕、平安掃描、遠程訪問、不同級別網(wǎng)絡(luò)的訪問控制方式、識別/認證機制等等。信息平安管理115整理ppt數(shù)據(jù)加密策略數(shù)據(jù)加密策略包括加密算法、適用范圍、密鑰交換和管理等。信息平安管理116整理ppt數(shù)據(jù)備份策略數(shù)據(jù)備份策略包括適用范圍、備份方式、備份數(shù)據(jù)的平安儲存、備份周期、負責(zé)人等。信息平安管理117整理ppt病毒防護策略病毒防護策略包括防病毒軟件的安裝、配置、對軟盤使用、網(wǎng)絡(luò)下載等作出的規(guī)定。信息平安管理118整理ppt系統(tǒng)平安策略系統(tǒng)平安策略包括WWW訪問控制策略、數(shù)據(jù)庫系統(tǒng)平安策略、郵件系統(tǒng)平安策略、應(yīng)用效勞器系統(tǒng)平安策略、個人桌面系統(tǒng)平安策略、其他業(yè)務(wù)相關(guān)系統(tǒng)平安策略等。信息平安管理119整理ppt身份認證及授權(quán)策略身份認證及授權(quán)策略包括認證及授權(quán)機制、方式、審計記錄等。信息平安管理120整理ppt災(zāi)難恢復(fù)策略災(zāi)難恢復(fù)策略包括責(zé)任人員、恢復(fù)機制、方式、歸檔管理、硬件、軟件等。信息平安管理121整理ppt事故處理、緊急響應(yīng)策略事故處理、緊急響應(yīng)策略包括響應(yīng)小組、聯(lián)系方式、事故處理方案、控制過程等。信息平安管理122整理ppt平安教育策略平安教育策略包括平安策略的發(fā)布宣傳、執(zhí)行效果的監(jiān)督、平安技能的培訓(xùn)、平安意識的教育等。信息平安管理123整理ppt口令管理策略口令管理策略包括口令管理方式、口令設(shè)置規(guī)那么、口令適應(yīng)規(guī)那么等。信息平安管理124整理ppt補丁管理規(guī)那么補丁管理規(guī)那么包括系統(tǒng)補丁的更新、測試、安裝等。信息平安管理125整理ppt系統(tǒng)變更控制策略系統(tǒng)變更控制策略包括設(shè)備、軟件配置、數(shù)據(jù)變更管理、一致性管理等。信息平安管理126整理ppt商業(yè)伙伴、客戶關(guān)系策略商業(yè)伙伴、客戶關(guān)系策略包括合同條款平安策略、客戶效勞平安建議等。信息平安管理127整理ppt復(fù)查審計策略復(fù)查審計策略包括對平安策略的定期復(fù)查、對平安控制及過程的重新評估、對系統(tǒng)日志記錄的審計、對平安技術(shù)反戰(zhàn)的跟蹤等。信息平安管理128整理ppt有效的信息平安策略的特點1、得到大局部需求支持并同時能夠維護企業(yè)利益；2、清晰，無須借助過多的需求文檔描述；3、提供框架結(jié)構(gòu)和要求以進行用戶培訓(xùn)、引導(dǎo)接受培訓(xùn)的人員確定在構(gòu)建平安計算環(huán)境的最重要因素。信息平安管理129整理ppt完整信息平安策略的覆蓋范圍SANS模型策略列表：1、可接受的加密控制；2、可接受的使用控制；3、模擬/ISDN線路和撥入訪問控制；4、防病毒流程；5、應(yīng)用程序提供上〔ASP〕控制；6、引入評估控制；7、審核和風(fēng)險評估；8、自動轉(zhuǎn)發(fā)電子郵件控制；9、數(shù)據(jù)庫信任編碼；10、Extranet訪問控制；11、敏感信息控制；12、InternetDNS設(shè)備控制；13、實驗室管理；14、口令保護；15、遠程訪問和VPN平安控制16、路由器平安管理；17、效勞器平安管理；18、第三方網(wǎng)絡(luò)連接協(xié)議；19、無線通信控制；信息平安管理130整理ppt可接受的加密控制有助于保證企業(yè)應(yīng)用的加密方法，已經(jīng)通過了公共評估并業(yè)界已經(jīng)證明是有效的。他能夠解決合法性問題，尤其是考慮到出口法律條款時。信息平安管理131整理ppt可接受的使用控制定義了什么是企業(yè)計算資源的可接收使用和不可接受使用的狀態(tài)，這些企業(yè)計算資源包括隱私、秘密信息、版權(quán)、主動提供的通訊、防止硬件盜竊、自由言論和相關(guān)問題等。該特定策略能夠擴展AUP的應(yīng)用。信息平安管理132整理ppt模擬/ISDN線路和撥入訪問控制有助于保護系統(tǒng)免受撥入訪問而導(dǎo)致的系統(tǒng)入侵以及撥出訪問而產(chǎn)生的系統(tǒng)泄密等問題。還可以通過與業(yè)務(wù)案例緊密聯(lián)系的批準(zhǔn)流程和嚴(yán)格的運算要求，控制預(yù)定和調(diào)制解調(diào)器線路的人員。此外，平安策略還定義了包括含撥入訪問的流程、正確賦予類似訪問權(quán)限的規(guī)那么以及不使用撥入訪問的情況。信息平安管理133整理ppt防病毒流程該流程提供了防病毒和相關(guān)問題，如垃圾郵件、郵件鏈、可執(zhí)行的電子郵件附件等，未知可下栽的原地址、感染的軟盤、可寫的文件共享和非頻繁的備份操作等建議。雖然文檔中的信息僅作為指導(dǎo)使用〔建議僅是推薦使用，并不具有強制性〕，但是許多企業(yè)然希望將其作為平安策略使用〔所有要求都是在企業(yè)內(nèi)部必須采用的〕。信息平安管理134整理ppt應(yīng)用程序提供上〔ASP〕控制當(dāng)企業(yè)需要恰當(dāng)?shù)貙⒐こ踢\作放在企業(yè)外部進行主機托管時，那么可以定義確定大量敏感信息的規(guī)那么。與之相關(guān)的文檔定義了根本平安標(biāo)準(zhǔn)，是作為企業(yè)外部主機托管的ASP所必需考慮遵循的要求。信息平安管理135整理ppt引入評估控制定義了企業(yè)如何從認可的企業(yè)接受計算機相關(guān)設(shè)備。提供替換、重新映像或?qū)徍讼到y(tǒng)與網(wǎng)絡(luò)組件并重新建立Internet連接的指南。信息平安管理136整理ppt審核和風(fēng)險評估通過增強平安小組的處理能力，在任何企業(yè)所有的計算機系統(tǒng)或組件中進行平安性審核和風(fēng)險評估。信息平安管理137整理ppt自動轉(zhuǎn)發(fā)電子郵件控制禁止未授權(quán)向外部系統(tǒng)轉(zhuǎn)發(fā)電子郵件。信息平安管理138整理ppt數(shù)據(jù)庫信任編碼指定程序所使用的用戶名和口令登錄數(shù)據(jù)庫，并且應(yīng)該平安保存并可由程序源代碼外部調(diào)用。信息平安管理139整理pptExtranet訪問控制定義了第三方如何訪問企業(yè)Internet的要求。需要企業(yè)評估第三方平安性和業(yè)務(wù)案例以確認系統(tǒng)訪問。信息平安管理140整理ppt敏感信息控制定義敏感信息級別，如“限制〞、“秘密〞、“僅供內(nèi)部使用〞和“公開〞等。為每個級別定義了適當(dāng)?shù)母袷降臄?shù)據(jù)存儲和分發(fā)。信息平安管理141整理pptInternetDMZ設(shè)備控制建立部署在企業(yè)專用網(wǎng)絡(luò)在非嚴(yán)格要求區(qū)域〔Demilita-rizedZone,DMZ〕所有設(shè)備所必須滿足的標(biāo)準(zhǔn)。信息平安管理142整理ppt實驗室管理對于具有開發(fā)實驗室的企業(yè)來講，必須制定寬松的策略以進行開發(fā)工作。提供多個策略定義相關(guān)的標(biāo)準(zhǔn)并提出附加要求，如指定一名與管理員單一聯(lián)系的人員。信息平安管理143整理ppt口令保護設(shè)定口令管理標(biāo)準(zhǔn)，如最長的口令有效時間、全球口令數(shù)據(jù)庫、創(chuàng)立健壯口令的規(guī)那么以及禁止口令共享和泄漏。信息平安管理144整理ppt遠程訪問和VPN平安控制規(guī)定了所有類型個人執(zhí)行遠程訪問的各種形式?？傮w來講，擴展了所有相關(guān)的內(nèi)不策略覆蓋遠程訪問。該策略提供了更多用于虛擬個人網(wǎng)絡(luò)(VPN)的規(guī)那么，例如，要求所有活動的網(wǎng)絡(luò)流量都要通過VPN傳輸，而不是同時通過VPN和不平安的網(wǎng)絡(luò)連接傳輸。信息平安管理145整理ppt路由器平安控制該策略為企業(yè)設(shè)定路由器配置標(biāo)準(zhǔn)，如包過濾規(guī)那么以防止網(wǎng)絡(luò)欺詐、簡單的網(wǎng)絡(luò)管理協(xié)議〔SNMP〕通信和“無侵入〞信號等。信息平安管理146整理ppt效勞器平安管理建立效勞器配置和注冊的標(biāo)準(zhǔn)，如禁止不必要的設(shè)備、強制設(shè)備注冊、定期不定修復(fù)與其他效勞器的信任限制和效勞其硬件的物理平安等。信息平安管理147整理ppt第三方網(wǎng)絡(luò)連接協(xié)議該協(xié)議是企業(yè)與提供相應(yīng)網(wǎng)絡(luò)連接的第三方之間的合同。信息平安管理148整理ppt無線通訊控制定義企業(yè)內(nèi)部部署未注冊無線訪問控制點的最少加密標(biāo)準(zhǔn)和限制。信息平安管理149整理ppt確定信息平安策略保護的對象一、信息系統(tǒng)的硬件與軟件二、信息系統(tǒng)的數(shù)據(jù)三、人員信息平安管理150整理ppt信息系統(tǒng)的硬件與軟件保護硬件和軟件是支撐商業(yè)運行的平臺，它們應(yīng)該受到策略保護。所以擁有一份完整的清單是非常重要的。1、硬件：CPU、主板、鍵盤、顯示器、工作站、個人電腦、打印機、磁盤驅(qū)動器、通信線路、終端效勞器、路由器、診斷設(shè)備等；2、軟件：源程序、目標(biāo)程序、工具程序、診斷程序、操作系統(tǒng)、通信程序等。信息平安管理151整理ppt信息系統(tǒng)的數(shù)據(jù)保護編寫策略的時候，有許多關(guān)于數(shù)據(jù)處理的事情是必須考慮的。策略必須考慮到數(shù)據(jù)是如何處理的，怎么保證數(shù)據(jù)的完整性和保密性。除此之外，還必須考慮到如何監(jiān)測數(shù)據(jù)的處理。數(shù)據(jù)是組織的命脈，所以必須有完整的機制來監(jiān)測它在整個系統(tǒng)中的活動。信息平安管理152整理ppt人員保護首先，重點應(yīng)該放在誰在什么情況下能夠訪問資源。策略對那些需要訪問的人授權(quán)直接訪問的權(quán)力，對那些不該訪問的人，策略那么要限制他們訪問。接下來要考慮的就是強制執(zhí)行制度和對未授權(quán)訪問的的懲罰制度。如：公司的運作由法律保護嗎？對違反策略的員工有什么樣的紀(jì)律上的處分？在法律上又能做些什么？信息平安管理153整理ppt主要信息平安策略一、口令策略：1、效勞器口令的管理2、用戶口令的管理信息平安管理154整理ppt網(wǎng)絡(luò)效勞器口令的管理1、效勞器的口令，由部門負責(zé)人和系統(tǒng)管理員商定確定，必須兩人同是在場確定；2、效勞器的口令須部門負責(zé)人在場時，由系統(tǒng)管理員記錄封存；3、口令要定期更換〔視網(wǎng)絡(luò)具體情況〕，更換后系統(tǒng)管理員要銷毀原記錄，將新口令記錄封存；4、如發(fā)現(xiàn)口令有泄密現(xiàn)象，系統(tǒng)管理員要立即報告部門負責(zé)人，有關(guān)部門負責(zé)人報告平安部門，同時，要盡量保護好現(xiàn)場并記錄，須接到上一級主管批示后再更換口令。信息平安管理155整理ppt用戶口令的管理1、對于要求設(shè)定口令的用戶，由用戶方指定負責(zé)人與系統(tǒng)管理員商定口令，由系統(tǒng)管理員登記并請用戶負責(zé)人確認〔簽字或通知〕之后系統(tǒng)管理員設(shè)定口令，并保存用戶檔案；2、在用戶由于責(zé)任人更換或忘記口令時要求查詢口令或要求更換口令的情況下，須向網(wǎng)絡(luò)效勞管理部門提交申請單，由部門負責(zé)人或系統(tǒng)管理員核實后，對用戶檔案作更新記載；3、如果網(wǎng)絡(luò)提供用戶自我更新口令的功能，用戶應(yīng)自己定期更換口令，并設(shè)專人負責(zé)保密和維護工作。信息平安管理156整理ppt創(chuàng)立口令時應(yīng)防止的幾個問題1、絕不要將個人信息用作口令的根底2、不可將自己的偶像用于口令3、不要使用基于放在辦公室桌上的物品的口令4、不要將口令文件保存在本地機器或共享網(wǎng)絡(luò)上。信息平安管理157整理ppt創(chuàng)立有效口令的通用規(guī)那么1、保存口令唯一平安的地方是腦袋或上了鎖的保險箱；2、有效的口令必須相當(dāng)長，但又不能長到您無法記住他們的程度；3、以合理的方式使用特殊字符、大寫字母和數(shù)字。信息平安管理158整理ppt計算機病毒和惡意代碼防治策略病毒防護策略必須具備以下準(zhǔn)那么：1、拒絕訪問能力2、病毒檢測能力3、控制病毒傳播的能力4、去除能力5、恢復(fù)能力6、替代操作信息平安管理159整理ppt拒絕訪問能力來歷不明的入侵軟件〔尤其是網(wǎng)絡(luò)傳過來的〕不得進入系統(tǒng)。信息平安管理160整理ppt病毒檢測能力病毒總是有可能進入系統(tǒng)的，系統(tǒng)中設(shè)置檢測病毒機制是非常必要的。除了檢測類病毒外，能否檢測未知病毒是一個重要指標(biāo)。信息平安管理161整理ppt控制病毒傳播的能力沒有一種方法可以檢測出所有的病毒，一旦病毒進入了系統(tǒng)，應(yīng)不讓病毒在系統(tǒng)中到處傳播。系統(tǒng)一定要有控制病毒傳播的能力。信息平安管理162整理ppt去除能力如果病毒突破了系統(tǒng)防護，即使它的傳播受到了控制，也要有相應(yīng)的措施將它去除掉。對于類病毒，可以使用專殺軟件；對于未知類病毒，在發(fā)現(xiàn)后使用軟件工具對他進行分析，盡快編寫出消毒軟件。當(dāng)然，如果有后備文件，也可使用它直接覆蓋受感染文件，但一定要查清病毒的來源。信息平安管理163整理ppt恢復(fù)能力有可能在去除病毒以前，病毒就破壞了系統(tǒng)中的數(shù)據(jù)，系統(tǒng)應(yīng)提供一種高效的方法來恢復(fù)這些數(shù)據(jù)。信息平安管理164整理ppt替代操作可能會遇到這樣的情況，問題發(fā)生時，手頭沒有可用的技術(shù)，任務(wù)又必須執(zhí)行下去。系統(tǒng)應(yīng)該提供一種替代操作方案。在恢復(fù)系統(tǒng)時可用替代系統(tǒng)工作，等問題解決后再替換過來。這一準(zhǔn)那么對于戰(zhàn)時的軍事系統(tǒng)是必要的。信息平安管理165整理ppt平安教育與培訓(xùn)策略平安教育策略具體實施中應(yīng)有一定的層次：1、主管信息平安工作的高級負責(zé)人或各級管理人員：重點是了解、掌握企業(yè)信息平安的整體策略及目標(biāo)、信息平安體系的構(gòu)成、平安管理部門的建立和管理制度的制定等；2、負責(zé)信息平安運行管理及維護的技術(shù)人員：重點是充分理解信息平安管理策略，掌握平安評估的根本方法，對平安操作和維護技術(shù)的合理運用等。3、用戶：重點是學(xué)習(xí)各種平安操作規(guī)程，了解和掌握與其相關(guān)的平安策略，包括自身應(yīng)承擔(dān)的平安職責(zé)等。信息平安管理166整理ppt最終用戶策略1、數(shù)據(jù)和應(yīng)用所有權(quán)：2、硬件的使用：3、互聯(lián)網(wǎng)的使用：4、加固最終用戶：賬戶管理、補丁管理、事件報告等制度5、時時更新6、強制執(zhí)行信息平安管理167整理ppt簡單的平安培訓(xùn)策略1、建立專門的機構(gòu)和崗位，負責(zé)組織范圍內(nèi)平安教育與培訓(xùn)方案的制定和執(zhí)行；2、制定詳細的平安教育和培訓(xùn)方案，對信息平安技術(shù)和管理人員進行平安專業(yè)知識技能培訓(xùn)，對普通用戶進行平安根底知識、平安策略和管理制度培訓(xùn)，提高人員的整體平安意識和平安操作水平；3、管理機構(gòu)定期對平安教育和培訓(xùn)的成果進行抽查和考核，檢驗平安教育和培訓(xùn)活動的效果。信息平安管理168整理ppt可接受使用策略AUP在完成了大局部策略的編制工作后，需要對其進行總結(jié)和提煉，產(chǎn)生的成果文檔被稱為AUP。AUP以終端用戶作為閱讀對象，具有簡短而突出重點的特點，被看作是一份信息平安策略的“快速入門〞文件。信息平安管理169整理pptAUP通常包含以下主要內(nèi)容1、概述：描述什么事AUP，企業(yè)、組織發(fā)布AUP的目的，制定AUP的原那么以及一些必要的法律聲明等；2、平安策略說明：說明制定AUP所依據(jù)的信息平安策略，提示用戶信息平安策略的更便會影響到AUP的修訂，并且告訴用戶從哪里可以獲得詳細的平安策略文檔；3、術(shù)語說明：將AUP中涉及的術(shù)語名詞，以及AUP簽署生效的有效時間進行說明；4、用戶責(zé)任：對信息平安策略中所有涉及到用戶信息平安責(zé)任內(nèi)容，應(yīng)當(dāng)進行總結(jié)和提煉，以簡單明了的語言進行闡述，使得用戶充分了解自己對于企業(yè)、組織信息平安所承擔(dān)的責(zé)任和義務(wù)。信息平安管理170整理ppt信息平安策略的執(zhí)行當(dāng)平安策略編寫和批準(zhǔn)發(fā)布之后，應(yīng)當(dāng)建立保障手段確保平安策略被有效遵守和執(zhí)行，責(zé)任聲明和懲罰制度是最重要的保障手段，它應(yīng)該明確闡述違反平安策略的行為將要承擔(dān)什么樣的責(zé)任，接受哪些責(zé)任追究。所有制定好的平安策略、可接受使用策略以及保障策略執(zhí)行的制度，都要通過教育和培訓(xùn)，傳達給所有網(wǎng)絡(luò)和信息系統(tǒng)用戶。信息平安管理171整理ppt信息平安策略的維護信息平安策略審查周期通常為6個月或1年，或者在企業(yè)、組織業(yè)務(wù)模式以及支撐業(yè)務(wù)實現(xiàn)的信息技術(shù)發(fā)生重大變化時進行。審查過程中最重要的內(nèi)容是從風(fēng)險評估或者日志審計分析中所獲得的信息，其他有用的信息是從管理層得到的業(yè)務(wù)信息和業(yè)務(wù)過程信息，以及來自系統(tǒng)管理員和網(wǎng)絡(luò)管理員的信息反響。經(jīng)過修訂的平安策略，必須經(jīng)過高級管理層的批準(zhǔn)和發(fā)布。信息平安管理172整理ppt第四節(jié)信息平安技術(shù)一、物理環(huán)境平安技術(shù)二、通訊鏈路平安技術(shù)三、網(wǎng)絡(luò)平安技術(shù)四、系統(tǒng)平安技術(shù)五、身份認證平安技術(shù)信息平安管理173整理ppt物理環(huán)境平安技術(shù)

物理平安又叫實體平安〔PhysicalSecurity〕，是保護計算機設(shè)備、設(shè)施〔網(wǎng)絡(luò)及通信線路〕免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故〔如電磁污染等〕破壞的措施和過程。引言實體平安技術(shù)主要是指對計算機及網(wǎng)絡(luò)系統(tǒng)的環(huán)境、場地、設(shè)備和通信線路等采取的平安技術(shù)措施。物理平安技術(shù)實施的目的是保護計算機及通信線路免遭水、火、有害氣體和其他不利因素(人為失誤、犯罪行為)的損壞。信息平安管理174整理ppt

1〕計算機及其網(wǎng)絡(luò)系統(tǒng)自身存在的脆弱性因素。2〕各種自然災(zāi)害導(dǎo)致的平安問題。3〕由于人為的錯誤操作及各種計算機犯罪導(dǎo)致的平安問題。物理平安包括：環(huán)境平安、電源系統(tǒng)平安、設(shè)備平安和通信線路平安。影響計算機網(wǎng)絡(luò)實體平安的主要因素如下：信息平安管理175整理ppt物理環(huán)境平安的內(nèi)容1)環(huán)境平安：應(yīng)具備消防報警、平安照明、不間斷供電、溫濕度控制系統(tǒng)和防盜報警。2)電源系統(tǒng)平安：電源平安主要包括電力能源供給、輸電線路平安、保持電源的穩(wěn)定性等。3)設(shè)備平安：要保證硬件設(shè)備隨時處于良好的工作狀態(tài)，建立健全使用管理規(guī)章制度，建立設(shè)備運行日志。同時要注意保護存儲媒體的平安性，包括存儲媒體自身和數(shù)據(jù)的平安。4)通信線路平安：包括防止電磁信息的泄漏、線路截獲，以及抗電磁干擾。信息平安管理176整理ppt物理環(huán)境平安包括以下主要內(nèi)容:1〕計算機機房的場地、環(huán)境及各種因素對計算機設(shè)備的影響。2〕計算機機房的平安技術(shù)要求。3〕計算機的實體訪問控制。4〕計算機設(shè)備及場地的防火與防水。5〕計算機系統(tǒng)的靜電防護。6〕計算機設(shè)備及軟件、數(shù)據(jù)的防盜防破壞措施。7〕計算機中重要信息的磁介質(zhì)的處理、存儲和處理手續(xù)的有關(guān)問題。物理環(huán)境平安的內(nèi)容信息平安管理177整理ppt物理環(huán)境平安涉及的主要技術(shù)標(biāo)準(zhǔn)〔1〕GB/T2887-2000?電子計算機場地通用標(biāo)準(zhǔn)?〔2〕GB/T9361-1988?計算站場地平安要求?〔3〕GB/T14715-1993?信息技術(shù)設(shè)備用UPS通用技術(shù)條件?〔4〕GB50174-1993?電子計算機機房設(shè)計標(biāo)準(zhǔn)?

計算機機房建設(shè)至少應(yīng)遵循國標(biāo)GB/T2887-2000和GB/T9361-1988，滿足防火、防磁、防水、防盜、防電擊、防蟲害等要求，并配備相應(yīng)的設(shè)備。信息平安管理178整理ppt環(huán)境平安技術(shù)平安保衛(wèi)技術(shù)是環(huán)境平安技術(shù)的重要一環(huán)，主要的平安技術(shù)措施包括：防盜報警、實時監(jiān)控、平安門禁等。計算機機房的溫度、濕度等環(huán)境條件保持技術(shù)可以通過加裝通風(fēng)設(shè)備、排煙設(shè)備、專業(yè)空調(diào)設(shè)備來實現(xiàn)。計算機機房的用電平安技術(shù)主要包括不同用途電源別離技術(shù)、電源和設(shè)備有效接地技術(shù)、電源過載保護技術(shù)和防雷擊技術(shù)等。計算機機房平安管理技術(shù)是指制定嚴(yán)格的計算機機房工作管理制度，并要求所有入機房的人員嚴(yán)格遵守管理制度，將制度落到實處。信息平安管理179整理ppt表3-1計算機機房平安要求(十：要求，—：有要求或增加要求)安全類別A類機房B類機房C類機房場地選擇--

防火---內(nèi)部裝修+-

供配電系統(tǒng)+--空調(diào)系統(tǒng)+--火災(zāi)報警和消防設(shè)施+--防水+-

防靜電+-

防雷擊+-

防鼠害+-

防電磁泄漏--

場地選擇--

信息平安管理180整理ppt機房平安要求如何減少無關(guān)人員進入機房的時機是計算機機房設(shè)計時首先要考慮的問題。

計算機機房最好不要安排在底層或頂層，這是因為底層一般較潮濕，而頂層有漏雨、穿窗而入的危險。在較大的樓層內(nèi)，計算機機房應(yīng)靠近樓梯的一邊。

外來人員進入手續(xù)。

計算機機房所在建筑物的結(jié)構(gòu)平安。信息平安管理181整理ppt機房防盜要求

視頻監(jiān)視系統(tǒng)是一種更為可靠的防盜設(shè)備，能對計算機網(wǎng)絡(luò)系統(tǒng)的外圍環(huán)境、操作環(huán)境進行實時全程監(jiān)控。對重要的機房，還應(yīng)采取特別的防盜措施，如值班守衛(wèi)、出入口安裝金屬探測裝置等。

在需要保護的重要設(shè)備、存儲媒體和硬件上貼上特殊標(biāo)簽〔如磁性標(biāo)簽〕，當(dāng)有人非法攜帶這些重要設(shè)備或物品外出時，檢測器就會發(fā)出報警信號。將每臺重要的設(shè)備通過光纖電纜串接起來，并使光束沿光纖傳輸，如果光束傳輸受阻，那么自動報警。信息平安管理182整理ppt

機房三度要求

溫度、濕度和潔凈度并稱為三度，為保證計算機網(wǎng)絡(luò)系統(tǒng)的正常運行，對機房內(nèi)的三度都有明確的要求。為使機房內(nèi)的三度到達規(guī)定的要求，空調(diào)系統(tǒng)、去濕機、除塵器是必不可少的設(shè)備。重要的計算機系統(tǒng)安放處還應(yīng)配備專用的空調(diào)系統(tǒng)，它比公用的空調(diào)系統(tǒng)在加濕、除塵等方面有更高的要求。

溫度：機房溫度一般應(yīng)控制在18～22℃濕度：相對濕度一般控制在40％～60％為宜潔凈度：塵埃顆粒直徑<0.5μm，含塵量<1萬顆/升信息平安管理183整理ppt

防火與防水要求

計算機機房的火災(zāi)一般是由電氣原因、人為事故或外部火災(zāi)蔓延引起的。計算機機房的水災(zāi)一般是由機房內(nèi)有滲水、漏水等原因引起的。為防止火災(zāi)、水災(zāi)，應(yīng)采取如下具體措施:〔1〕隔離〔2〕火災(zāi)報警系統(tǒng)〔3〕滅火設(shè)施(4〕管理措施信息平安管理184整理ppt供電系統(tǒng)平安

電源是計算機網(wǎng)絡(luò)系統(tǒng)的命脈，電源系統(tǒng)的穩(wěn)定可靠是計算機網(wǎng)絡(luò)系統(tǒng)正常運行的先決條件。電源系統(tǒng)電壓的波動、浪涌電流和突然斷電等意外情況的發(fā)生還可能引起計算機系統(tǒng)存儲信息的喪失、存儲設(shè)備的損壞等情況的發(fā)生，電源系統(tǒng)的平安是計算機系統(tǒng)物理平安的一個重要組成局部。

GB/T2887-2000將供電方式分為三類:一類供電：需要建立不間斷供電系統(tǒng)。二類供電：需要建立帶備用的供電系統(tǒng)。三類供電：按一般用戶供電考慮。信息平安管理185整理ppt

防靜電措施

不同物體間的相互摩擦、接觸會產(chǎn)生能量不大但電壓非常高的靜電。如果靜電不能及時釋放，就可能產(chǎn)生火花，容易造成火災(zāi)或損壞芯片等意外事故。計算機系統(tǒng)的CPU、ROM、RAM等關(guān)鍵部件大都采用MOS工藝的大規(guī)模集成電路，對靜電極為敏感，容易因靜電而損壞。機房的內(nèi)裝修材料一般應(yīng)防止使用掛毯、地毯等吸塵、容易產(chǎn)生靜電的材料，而應(yīng)采用乙烯材料。為了防靜電，機房一般要安裝防靜電地板。機房內(nèi)應(yīng)保持一定濕度，特別是在枯燥季節(jié)應(yīng)適當(dāng)增加空氣濕度，以免因枯燥而產(chǎn)生靜電。信息平安管理186整理ppt接地與防雷要求

接地與防雷是保護計算機網(wǎng)絡(luò)系統(tǒng)和工作場所平安的重要平安措施。接地是指整個計算機系統(tǒng)中各處電位均以大地電位為零參考電位。接地可以為計算機系統(tǒng)的數(shù)字電路提供一個穩(wěn)定的0V參考電位，從而可以保證設(shè)備和人身的平安，同時也是防止電磁信息泄漏的有效手段。

要求良好接地的設(shè)備有：各種計算機外圍設(shè)備、多相位變壓器的中性線、電纜外套管、電子報警系統(tǒng)、隔離變壓器、電源和信號濾波器、通信設(shè)備等。

計算機房的接地系統(tǒng)要按計算機系統(tǒng)本身和場地的各種地線系統(tǒng)的設(shè)計要求進行具體實施。

信息平安管理187整理ppt

硬件設(shè)備的維護和管理

1．硬件設(shè)備的使用管理1〕要根據(jù)硬件設(shè)備的具體配置情況，制定切實可行的硬件設(shè)備的操作使用規(guī)程，并嚴(yán)格按操作規(guī)程進行操作。2〕建立設(shè)備使用情況日志，并嚴(yán)格登記使用過程的情況。3〕建立硬件設(shè)備故障情況登記表，詳細記錄故障性質(zhì)和修復(fù)情況。4〕堅持對設(shè)備進行例行維護和保養(yǎng)，并指定專人負責(zé)。2．常用硬件設(shè)備的維護和保養(yǎng)定期檢查供電系統(tǒng)的各種保護裝置及地線是否正常對設(shè)備的物理訪問權(quán)限限制在最小范圍內(nèi)信息平安管理188整理ppt電磁兼容和電磁輻射的防護

計算機網(wǎng)絡(luò)系統(tǒng)的各種設(shè)備都屬于電子設(shè)備，在工作時都不可防止地會向外輻射電磁波，同時也會受到其他電子設(shè)備的電磁波干擾，當(dāng)電磁干擾到達一定的程度就會影響設(shè)備的正常工作。電磁輻射泄密的危險。

電磁輻射防護的措施：

(1)一類是對傳導(dǎo)發(fā)射的防護，主要采取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導(dǎo)線間的交叉耦合；

(2)對輻射的防護可分為：1)采用各種電磁屏蔽措施，如對設(shè)備的金屬屏蔽和各種接插件的屏蔽，同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離；2)干擾的防護措施，即在計算機系統(tǒng)工作的同時，利用干擾裝置產(chǎn)生一種與計算機系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來掩蓋計算機系統(tǒng)的工作頻率和信息特征。信息平安管理189整理ppt信息存儲媒體的平安管理

計算機網(wǎng)絡(luò)系統(tǒng)的信息要存儲在某種媒體上，常用的存儲媒體有：硬盤、磁盤、磁帶、打印紙、光盤等。1〕存放有業(yè)務(wù)數(shù)據(jù)或程序的磁盤、磁帶或光盤，必須注意防磁、防潮、防火、防盜。2〕對硬盤上的數(shù)據(jù)，要建立有效的級別、權(quán)限，并嚴(yán)格管理，必要時要對數(shù)據(jù)進行加密，以確保硬盤數(shù)據(jù)的平安。3〕存放業(yè)務(wù)數(shù)據(jù)或程序的磁盤、磁帶或光盤，管理必須落實到人，并分類建立登記簿。4〕對存放有重要信息的磁盤、磁帶、光盤，要備份兩份并分兩處保管。5〕打印有業(yè)務(wù)數(shù)據(jù)或程序的打印紙，要視同檔案進行管理，6〕凡超過數(shù)據(jù)保存期的磁盤、磁帶、光盤，必須經(jīng)過特殊的數(shù)據(jù)去除處理，視同空白磁盤、磁帶、光盤。7〕凡不能正常記錄數(shù)據(jù)的磁盤、磁帶、光盤，必須經(jīng)過測試確認后銷毀。8〕對需要長期保存的有效數(shù)據(jù)，應(yīng)在磁盤、磁帶、光盤的質(zhì)量保證期內(nèi)進行轉(zhuǎn)儲，轉(zhuǎn)儲時應(yīng)確保內(nèi)容正確。信息平安管理190整理ppt通信線路平安技術(shù)

用一種簡單〔但很昂貴〕的高技術(shù)加壓電纜，可以獲得通信線路上的物理平安。通信電纜密封在塑料套管中，并在線纜的兩端充氣加壓。線上連接了帶有報警器的監(jiān)示器，用來測量壓力。如果壓力下降，那么意味電纜可能被破壞了，技術(shù)人員還可以進一步檢測出破壞點的位置，以便及時進行修復(fù)。距離大于最大長度限制的系統(tǒng)之間，不采用光纖線通信；或加強復(fù)制器的平安，如用加壓電纜、警報系統(tǒng)和加強警衛(wèi)等措施。Modem的平安性。信息平安管理191整理ppt通信鏈路平安技術(shù)數(shù)據(jù)鏈路層加密機制能夠提供數(shù)據(jù)在廣域網(wǎng)傳輸時的保密性和完整性保護，防止數(shù)據(jù)在傳輸過程中被竊取和篡改。相關(guān)的標(biāo)準(zhǔn)：1、國家有關(guān)鏈路加密機所使用的密碼協(xié)議、密碼算法、密鑰管理的規(guī)定；2、遠程用戶平安接入?yún)f(xié)議RADIUS 信息平安管理192整理ppt鏈路加密方式在物理層〔OSI最底層〕加密，加密設(shè)備不但對數(shù)據(jù)報文正文加密，而且把路由信息、協(xié)議信息等全部加密。信息平安管理193整理ppt鏈路加密技術(shù)優(yōu)缺點優(yōu)點可實現(xiàn)流量保密〔密碼分析者不能存取信息〕系統(tǒng)平安性不依賴任何傳輸管理技術(shù)密鑰管理簡單，對用戶透明〔點-點間密鑰相同〕缺點網(wǎng)絡(luò)中每個物理鏈路都必須加密，網(wǎng)絡(luò)開銷大需要公共網(wǎng)絡(luò)提供者配合網(wǎng)絡(luò)結(jié)點中的數(shù)據(jù)是明文信息平安管理194整理ppt

加解密過程示意圖加密和解密算法的操作通常都是在一組密鑰的控制下進行的,分別稱為加密密鑰(EncryptionKey)

和解密密鑰(DecryptionKey)明文明文密文加密算法解密算法加密密鑰解密密鑰信息平安管理195整理ppt鏈路層鏈路/物理層〔1—2〕網(wǎng)絡(luò)層加密傳輸/網(wǎng)絡(luò)層〔3—4〕應(yīng)用層加密應(yīng)用層〔5—