信息安全管理課件

第一部分信息安全管理概論第一章信息安全概述第二章信息安全管理基礎(chǔ)信息安全管理精品ppt課件第一章信息安全概述第一節(jié)信息與信息安全第二節(jié)信息安全政策第三節(jié)信息安全法律體系第一章信息安全概述信息及信息的價(jià)值“真相的瀕危甚于老虎的瀕?！薄胺庞车膭h節(jié)版《色,戒》，劇情不完整，侵犯消費(fèi)者的公平交易權(quán)和知情權(quán)”“劇情”、“真相”等都是一種信息信息、物質(zhì)、能量是人類社會賴以生存和發(fā)展的三大要素災(zāi)難備份——給銀行數(shù)據(jù)信息上保險(xiǎn)公安部:超過一半單位發(fā)生過信息網(wǎng)絡(luò)安全事件

信息安全管理精品ppt課件第一章信息安全概述第一節(jié)信息與信息安全一、信息與信息資產(chǎn)（一）信息的定義廣義：事物的運(yùn)動(dòng)狀態(tài)以及運(yùn)動(dòng)狀態(tài)形式的變化，是一種客觀存在。（客觀存在并不是區(qū)分真假信息的依據(jù)）狹義：能被主體感覺到并被理解的東西（客觀存在）。本書的定義：通過在數(shù)據(jù)上施加某些約定而賦予這些數(shù)據(jù)的特殊含義。信息安全資產(chǎn)的分類：信息具有價(jià)值，是一種資產(chǎn)。第一章信息安全概述第一節(jié)信息與信息安全第一節(jié)信息與信息安全

信息資產(chǎn)分類數(shù)據(jù)：存在于電子媒介的各種數(shù)據(jù)資料軟件：應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和資源庫硬件：計(jì)算機(jī)硬件、路由器、交換機(jī)、布線等服務(wù)：操作系統(tǒng)、WWW、網(wǎng)絡(luò)管理和安保等文檔：紙質(zhì)文件、傳真、財(cái)務(wù)報(bào)告、發(fā)展計(jì)劃等設(shè)備：電源、空調(diào)、門禁等人員：雇主和各級雇員等其他：企業(yè)形象、客戶關(guān)系等（軟資產(chǎn)）第一節(jié)信息與信息安全（二）信息的特點(diǎn)信息與接受對象和要達(dá)到的目的有關(guān)（感知和理解）信息的價(jià)值與接受信息的對象有關(guān)（信息的價(jià)值性）信息有多種多樣的傳遞手段（約定的多樣性）

信息的共享性（可復(fù)制性）（二）信息的特點(diǎn)二、信息安全（一）信息安全的發(fā)展三個(gè)階段：通訊保密階段重點(diǎn)是保密（點(diǎn)）信息安全階段關(guān)注信息安全的三屬性：保密性完整性可用性（線、空間）安全保障階段關(guān)注點(diǎn)有空間拓展到時(shí)間：策略、保護(hù)、檢測、響應(yīng)、恢復(fù)（系統(tǒng)）

二、信息安全（二）信息安全的定義

為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄漏信息安全的三個(gè)主要問題：1.保護(hù)對象主要是硬件、軟件、數(shù)據(jù)2.安全目標(biāo)保密性、完整性、可用性3.實(shí)現(xiàn)途徑技術(shù)和管理

（二）信息安全的定義（三）信息安全三屬性的含義（Pass）保密性完整性可用性（三）信息安全三屬性的含義（Pass）（四）信息安全模型1.PDR模型Pt(protection)有效保護(hù)時(shí)間，信息系統(tǒng)的安全措施能夠有效發(fā)揮保護(hù)作用的時(shí)間；Dt(detection)檢測時(shí)間，安全監(jiān)測機(jī)制能夠有效發(fā)現(xiàn)攻擊、破壞行為所需的時(shí)間；Rt(reaction)響應(yīng)時(shí)間，安全機(jī)制作出反應(yīng)和處理所需的時(shí)間。（四）信息安全模型安全公式（1）Pt＞Dt+Rt，系統(tǒng)安全保護(hù)時(shí)間大于檢測時(shí)間和響應(yīng)時(shí)間之和；（2）Pt＜Dt+Rt,系統(tǒng)不安全信息系統(tǒng)的安全控制措施在檢測和響應(yīng)前就會失效，破壞和后果已經(jīng)發(fā)生。安全公式2.PPDRR模型：保護(hù)、檢測、響應(yīng)、恢復(fù)四環(huán)節(jié)在策略的指導(dǎo)下構(gòu)成相互作用的有機(jī)體。信息安全管理精品ppt課件（五）信息安全保障體系信息安全管理精品ppt課件信息安全管理精品ppt課件圖表說明：1.安全技術(shù)體系是整個(gè)安全體系的基礎(chǔ)，包括安全基礎(chǔ)設(shè)施平臺、安全應(yīng)用系統(tǒng)平臺和安全綜合管理平臺；安全基礎(chǔ)設(shè)施平臺從物理和通信安全防護(hù)、網(wǎng)絡(luò)安全防護(hù)、主機(jī)系統(tǒng)安全防護(hù)、應(yīng)用安全防護(hù)等多個(gè)層次出發(fā)，立足于現(xiàn)有的成熟的安全技術(shù)和安全機(jī)制，建立起防護(hù)體系。圖表說明：

安全應(yīng)用系統(tǒng)平臺處理安全基礎(chǔ)設(shè)施與應(yīng)用信息系統(tǒng)之間的關(guān)聯(lián)和集成問題。通過使用安全基礎(chǔ)設(shè)施平臺所提供的各類安全服務(wù)，提升自身的安全等級，以更加安全的方式，提供業(yè)務(wù)服務(wù)和信息管理服務(wù)。

安全綜合管理平臺對安全機(jī)制和安全設(shè)備進(jìn)行統(tǒng)一的管理和控制，負(fù)責(zé)維護(hù)和管理安全策略，配置管理相應(yīng)的安全機(jī)制。促成各類安全手段能與現(xiàn)有的信息系統(tǒng)應(yīng)用體系緊密地結(jié)合，是信息系統(tǒng)安全與信息系統(tǒng)應(yīng)用一體化。信息安全管理精品ppt課件2.安全組織與管理體系安全組織與管理體系的設(shè)計(jì)立足于總體安全策略，并與安全技術(shù)體系相配合增強(qiáng)防衛(wèi)效果，彌補(bǔ)安全缺陷。信息安全管理體系由若干信息安全管理類組成，每項(xiàng)信息安全管理類可分解為多個(gè)安全目標(biāo)和安全控制。信息安全管理精品ppt課件3.運(yùn)行保障體系

內(nèi)容涵蓋安全技術(shù)和安全管理緊密結(jié)合的部分，包括系統(tǒng)可靠性設(shè)計(jì)、系統(tǒng)數(shù)據(jù)額備份設(shè)計(jì)、安全時(shí)間的應(yīng)急響應(yīng)計(jì)劃、安全審計(jì)、災(zāi)難恢復(fù)計(jì)劃等3.運(yùn)行保障體系第二節(jié)信息安全政策一、我國信息化發(fā)展戰(zhàn)略與安全保障工作（一）信息化發(fā)展戰(zhàn)略（P8）推進(jìn)國民經(jīng)濟(jì)信息化推進(jìn)電子政務(wù)建設(shè)先進(jìn)網(wǎng)略文化推進(jìn)社會信息化完善綜合信息基礎(chǔ)設(shè)施加強(qiáng)信息資源的開發(fā)利用提高信息產(chǎn)業(yè)競爭力建設(shè)國家信息安全保障體系提高國民信息技術(shù)應(yīng)用能力，造就信息化人才隊(duì)伍第二節(jié)信息安全政策一、我國信息化發(fā)展戰(zhàn)略與安全保障工（二）信息安全保障工作國務(wù)院《關(guān)于加強(qiáng)信息安全保障工作的意見》

加強(qiáng)信息安全保障工作須遵循的原則

立足國情，以我為主，堅(jiān)持管理和技術(shù)并重；正確處理安全與發(fā)展的關(guān)系，以安全保發(fā)展，從發(fā)展中求安全；統(tǒng)籌規(guī)劃，突出重點(diǎn)，強(qiáng)化基礎(chǔ)性工作；明確國家、企業(yè)、個(gè)人的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國家信息安全保障體系。（二）信息安全保障工作處理好發(fā)展與建設(shè)的關(guān)系正確處理發(fā)展與安全的關(guān)系堅(jiān)持以改革開放求安全堅(jiān)持管理與技術(shù)并重堅(jiān)持統(tǒng)籌兼顧、重點(diǎn)突出處理好發(fā)展與建設(shè)的關(guān)系二、美國信息安全國家戰(zhàn)略簡介：1998年5月美國政府頒發(fā)了《保護(hù)美國關(guān)鍵基礎(chǔ)設(shè)施》總統(tǒng)令，圍繞信息安全成立多個(gè)組織。1998年美國國家安全局制定了《信息保障技術(shù)框架》提出了“深度防御策略”，確定了包括網(wǎng)絡(luò)與基礎(chǔ)設(shè)施防御、區(qū)域邊界防御、計(jì)算機(jī)環(huán)境防御等深度防御在內(nèi)的目標(biāo)。二、美國信息安全國家戰(zhàn)略2000年1月，發(fā)布了《保衛(wèi)美國的計(jì)算機(jī)空間－－保護(hù)信息系統(tǒng)的國家計(jì)劃》，確定了計(jì)劃的目標(biāo)和范圍。2003年2月公布《確保網(wǎng)絡(luò)空間安全的國家戰(zhàn)略》報(bào)告，強(qiáng)調(diào)發(fā)動(dòng)社會力量參與保障網(wǎng)絡(luò)安全，重視發(fā)揮高校和科研機(jī)構(gòu)的力量。內(nèi)容：三項(xiàng)總體戰(zhàn)略目標(biāo)和五項(xiàng)具體的優(yōu)先目標(biāo)。P112000年1月，發(fā)布了《保衛(wèi)美國的計(jì)算機(jī)空間－－保護(hù)信息系統(tǒng)背景：美國是第一信息大國，對信息的依賴是其脆弱性的重要根源由大量信息系統(tǒng)組成的國家信息基礎(chǔ)結(jié)構(gòu)，已成為美國經(jīng)濟(jì)的命脈和國家的生命線，也成為容易受到攻擊的高價(jià)值目標(biāo)系統(tǒng)的安全漏洞、黑客的猖獗80年代以來，美國政府陸續(xù)發(fā)布若干制度，擁有最關(guān)鍵系統(tǒng)的政府部門被指定為第一批實(shí)施信息安全保護(hù)計(jì)劃的要害部門，力圖實(shí)現(xiàn)三個(gè)目標(biāo)：準(zhǔn)備和預(yù)防、偵查和反應(yīng)、建立牢固的基礎(chǔ)設(shè)施背景：《確保網(wǎng)絡(luò)空間安全的國家戰(zhàn)略》作用與影響:1、確保網(wǎng)絡(luò)安全已經(jīng)被提升為美國國家安全戰(zhàn)略的一個(gè)重要組成部分；2、是美國在9.11之后為確保網(wǎng)絡(luò)安全而采取的一系列舉措中的核心步驟；3、強(qiáng)調(diào)社會力量對網(wǎng)絡(luò)安全進(jìn)行全民防御，重視與企業(yè)和地方政府合作，重視發(fā)揮院校和科研機(jī)構(gòu)力量，重視人才培養(yǎng)和公民安全意識教育?！洞_保網(wǎng)絡(luò)空間安全的國家戰(zhàn)略》作用與影響:三、俄羅斯信息安全學(xué)說2000年6月《國家信息安全學(xué)說》第一次明確指出了俄羅斯在信息領(lǐng)域的利益、威脅是什么，以及保衛(wèi)措施。（一）背景科索沃戰(zhàn)爭、愛蟲病毒的爆發(fā)是催化劑三、俄羅斯信息安全學(xué)說（二）內(nèi)容1、保證信息安全是國家利益的要求2、保證信息安全的方法3、國家在保證信息安全時(shí)應(yīng)采取的基本原則4、信息安全的組織基礎(chǔ)此外，信息安全學(xué)說還對信息威脅做了評估，論證了信息斗爭的打擊目標(biāo)和打擊手段。（二）內(nèi)容

（三）措施1、成立國家信息安全與對抗的領(lǐng)導(dǎo)機(jī)構(gòu)（國家信息政策委員會）2、建立信息對抗教育防范體系3、建立信息斗爭特種部隊(duì)4、發(fā)展信息斗爭的關(guān)鍵技術(shù)和手段5、改組指揮控制系統(tǒng)，增強(qiáng)戰(zhàn)場生存能力

（三）措施第三節(jié)信息安全法律體系一、信息安全法律體系（一）體系結(jié)構(gòu)1.法律體系部門法2.政策體系（拘束力、責(zé)任）3.強(qiáng)制性技術(shù)標(biāo)準(zhǔn)（強(qiáng)制力）第三節(jié)信息安全法律體系一、信息安全法律體系（二）信息系統(tǒng)安全保護(hù)法律規(guī)范的法律地位

1、信息系統(tǒng)安全立法的必要性和緊迫性

2、信息系統(tǒng)安全保護(hù)法律規(guī)范的作用違反國家規(guī)定，侵入國家事務(wù)、國防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)的，處三年以下有期徒刑或者拘役。

（1）指引作用（2）評價(jià)作用（3）預(yù)測作用（4）教育作用（5）強(qiáng)制作用（預(yù)防作用）（二）信息系統(tǒng)安全保護(hù)法律規(guī)范的法律地位二、法律法規(guī)介紹（P18－24）（一）刑法主要罪名新增加的罪名及含義（二）治安管理處罰法相關(guān)條文及含義（三）計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例（計(jì)算機(jī)信息系統(tǒng)能夠發(fā)生的案件，應(yīng)在24小時(shí)內(nèi)向人民政府公安機(jī)關(guān)報(bào)告）（四）關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定（五）計(jì)算機(jī)信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護(hù)管理辦法（六）互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定二、法律法規(guī)介紹（P18－24）第二章信息安全管理基礎(chǔ)第一節(jié)信息安全管理體系第二節(jié)信息安全管理標(biāo)準(zhǔn)第三節(jié)信息安全策略第四節(jié)信息安全技術(shù)

第二章信息安全管理基礎(chǔ)第一節(jié)信息安全管理體系第一節(jié)信息安全管理體系一、信息安全管理體系定義信息安全管理涉及信息和網(wǎng)絡(luò)系統(tǒng)的各個(gè)層面，以及生命周期的各個(gè)階段，這些不同方面的管理內(nèi)容彼此間存在著一定的內(nèi)在聯(lián)系，構(gòu)成一個(gè)有機(jī)的整體，以使管理措施保障達(dá)到信息安全目標(biāo)。（ISMS）第一節(jié)信息安全管理體系

二、信息安全管理的基本原則（一）總體原則主要領(lǐng)導(dǎo)負(fù)責(zé)原則規(guī)范定級原則以人為本原則適度安全原則全面防范重點(diǎn)突出原則系統(tǒng)、動(dòng)態(tài)原則控制社會影響原則二、信息安全管理的基本原則（二）安全管理策略分權(quán)制衡（避免權(quán)力集中）最小特權(quán)（避免多余權(quán)力）選用成熟技術(shù)普遍參與（二）安全管理策略三、信息安全管理內(nèi)容管理目標(biāo)：合規(guī)性（管理合規(guī)）流程規(guī)范性（程序合規(guī)）整體協(xié)調(diào)性（各種管理協(xié)調(diào)）執(zhí)行落實(shí)性（檢查監(jiān)督和審計(jì)）變更可控性（變更要監(jiān)控）責(zé)任性持續(xù)改進(jìn)計(jì)劃性三、信息安全管理內(nèi)容管理目標(biāo)：信息安全管理體系包括以下方面

（一）信息安全方針和策略

1、安全方針和策略2、資金投入管理3、信息安全規(guī)劃

信息安全管理體系包括以下方面（一）信息安全方針和策略

（二）信息安全人員和組織1、保證有足夠的人力資源從事信息安全保障工作2、確保人員有明確的角色和責(zé)任3、保證從業(yè)人員經(jīng)過了適當(dāng)?shù)男畔踩逃团嘤?xùn)，有足夠的安全意識4、機(jī)構(gòu)中的信息安全相關(guān)人員能夠在有效的組織結(jié)構(gòu)下展開工作（二）信息安全人員和組織（三）基于信息系統(tǒng)各個(gè)層次的安全管理

1、環(huán)境和設(shè)備安全

2、網(wǎng)絡(luò)和通信安全

3、主機(jī)和系統(tǒng)安全

4、應(yīng)用和業(yè)務(wù)安全

5、數(shù)據(jù)安全（三）基于信息系統(tǒng)各個(gè)層次的安全管理（四）基于信息系統(tǒng)生命周期的安全管理信息系統(tǒng)生命周期可以分為兩個(gè)階段：工程設(shè)計(jì)和開發(fā)階段、系統(tǒng)的運(yùn)行和維護(hù)階段系統(tǒng)安全與系統(tǒng)本身“三個(gè)同步”：同步規(guī)劃、同步建設(shè)、同步運(yùn)行安全管理內(nèi)容：1、項(xiàng)目工程安全管理2、日常運(yùn)行與維護(hù)的安全管理3、配置管理和變更管理（資產(chǎn)和管理措施的配置描述和管理）4、文檔化和流程規(guī)范化5、新技術(shù)、新方法的跟蹤和采用（四）基于信息系統(tǒng)生命周期的安全管理（五）風(fēng)險(xiǎn)管理1、資產(chǎn)鑒別、分類和評價(jià)2、威脅鑒別和評價(jià)3、脆弱性評價(jià)4、安全風(fēng)險(xiǎn)評估和評級5、決策并實(shí)施風(fēng)險(xiǎn)處理措施（五）風(fēng)險(xiǎn)管理（六）業(yè)務(wù)連續(xù)性管理：識別潛在影響、建立整體恢復(fù)能力和順應(yīng)能力，重在危機(jī)或?yàn)?zāi)害發(fā)生時(shí)的保護(hù)（七）符合性審核：將信息安全管理納入良性的、持續(xù)改進(jìn)的循環(huán)中（六）業(yè)務(wù)連續(xù)性管理：識別潛在影響、建立整體恢復(fù)能力和順應(yīng)能四、信息安全管理體系構(gòu)成信息安全管理體系由12個(gè)管理類組成，每個(gè)管理類可以分為多個(gè)安全目標(biāo)和安全控制。各管理類的關(guān)系圖如下四、信息安全管理體系構(gòu)成信息安全管理體系由12個(gè)管理類組成，信息安全管理精品ppt課件作用關(guān)系說明：1、方針和策略是基礎(chǔ)和指導(dǎo)2、人員和組織管理要依據(jù)方針和策略執(zhí)行任務(wù)3、合規(guī)性管理指導(dǎo)如何檢驗(yàn)信息安全管理工作的效果4、人員與組織實(shí)施的信息安全管理工作，主要從兩個(gè)方面進(jìn)行風(fēng)險(xiǎn)管理合業(yè)務(wù)連續(xù)性管理5、根據(jù)信息系統(tǒng)生命周期，可以把信息系統(tǒng)劃分為項(xiàng)目開發(fā)階段和運(yùn)行維護(hù)階段6、所有的信息安全管理工作都作用在信息系統(tǒng)之上

作用關(guān)系說明：第二節(jié)信息安全管理標(biāo)準(zhǔn)信息安全管理在發(fā)展過程中有不同的標(biāo)準(zhǔn)一、BS7799是英國標(biāo)準(zhǔn)協(xié)會針對信息安全管理制定的，發(fā)布于1995年，后幾經(jīng)修改，成為目前被廣泛接受的標(biāo)準(zhǔn)。分為兩個(gè)部分：BS7799－1，是信息安全管理實(shí)施細(xì)則，供負(fù)責(zé)信息安全系統(tǒng)開發(fā)的人員參考使用；BS7799－2，是建立信息安全管理體系的規(guī)范，最終目的是建立適合企業(yè)的信息安全管理體系。第二節(jié)信息安全管理標(biāo)準(zhǔn)信息安全管理在發(fā)展過程中有不同的標(biāo)準(zhǔn)

（二）BS7799發(fā)展歷程（略）

1、倡導(dǎo)者

2、發(fā)展與修訂

3、適用地區(qū)

（三）BS7799主要內(nèi)容1、BS7799－1（ISO/IEC17799:2005）信息安全管理實(shí)施細(xì)則將信息安全管理的內(nèi)容劃分為11個(gè)主要方面，39個(gè)信息安全管理的控制目標(biāo)，133項(xiàng)安全控制措施（P36-40）說明：不夠具體，組織可以根據(jù)自身增減信息安全最佳起點(diǎn)：10項(xiàng)幾乎適用于所有組織和大多數(shù)環(huán)境的控制措施，包括三項(xiàng)與法律相關(guān)的控制措施和七項(xiàng)與最佳實(shí)踐相關(guān)的控制措施。（體現(xiàn)重管理的思想）（三）BS7799主要內(nèi)容與法律相關(guān)的控制措施：（略）1、知識產(chǎn)權(quán)2、保護(hù)組織的記錄（保護(hù)重要的記錄不丟失、破壞、偽造）3、數(shù)據(jù)保護(hù)和個(gè)人信息隱私與法律相關(guān)的控制措施：（略）與最佳實(shí)踐相關(guān)的措施：（略）1、信息安全策略文件2、信息安全責(zé)任分配3、信息安全意識、教育、培訓(xùn)4、正確處理應(yīng)用程序5、漏洞管理6、管理信息安全事件和改進(jìn)7、業(yè)務(wù)連續(xù)性管理與最佳實(shí)踐相關(guān)的措施：（略）2、BS7799－2（ISO/IEC27001:2005）其主要特點(diǎn)一是提供了安全管理體系規(guī)范，二是提供了建立信息安全管理體系的目標(biāo)。該標(biāo)準(zhǔn)強(qiáng)調(diào)信息安全管理是一個(gè)面向風(fēng)險(xiǎn)的、持續(xù)改進(jìn)的過程，如下圖：2、BS7799－2（ISO/IEC27001:2005信息安全管理精品ppt課件二、其他標(biāo)準(zhǔn)BS7799旨在為組織實(shí)施信息安全管理體系提供指導(dǎo)性框架，更多體現(xiàn)的是一種目標(biāo)要求，總體上并沒有提及實(shí)施的細(xì)節(jié)（通行標(biāo)準(zhǔn)的必然局限，普適性強(qiáng)則針對性就弱）具體組織要將BS7799標(biāo)準(zhǔn)落實(shí)，需補(bǔ)充必要的可實(shí)施內(nèi)容，下面是國際上一些相關(guān)的標(biāo)準(zhǔn)二、其他標(biāo)準(zhǔn)（一）PD3000：PD3001～PD3005（P44）特點(diǎn)：更具針對性（二）CC：是國際上最通行的信息技術(shù)產(chǎn)品及系統(tǒng)安全性測評標(biāo)準(zhǔn)，也是信息技術(shù)安全性評估結(jié)果國際互認(rèn)的基礎(chǔ)，CC標(biāo)準(zhǔn)由3個(gè)文件構(gòu)成：1、ISO/IEC15408-1，介紹和一般模型2、ISO/IEC15408-2，安全功能要求3、ISO/IEC15408-3，安全保證要求與BS7799相比，CC側(cè)重系統(tǒng)和產(chǎn)品的技術(shù)指標(biāo)評價(jià)上。（一）PD3000：PD3001～PD3005（P44）（三）ISO/IECTR13335名稱：曾用名，“IT安全管理指南”，現(xiàn)名，“信息和通信技術(shù)安全管理”，是一個(gè)信息安全管理方面的指導(dǎo)性標(biāo)準(zhǔn)，目的是為有效實(shí)施IT安全管理提供建議和支持。共分5個(gè)部分：（三）ISO/IECTR13335ISO/IEC13335－1：1996IT安全概念與模型ISO/IEC13335－2：1997IT安全管理和計(jì)劃ISO/IEC13335－3：1998IT安全管理技術(shù)ISO/IEC13335－4：2000安全措施的選擇ISO/IEC13335－5：2001網(wǎng)絡(luò)安全管理指南信息安全管理精品ppt課件ISO/IECTR13335與BS7799的比較：后者只是一個(gè)指導(dǎo)性的文件，并不是可依據(jù)的認(rèn)證標(biāo)準(zhǔn)，也沒有給出一個(gè)全面完整的信息安全管理框架；但是后者在IT安全的具體環(huán)節(jié)上切入點(diǎn)較深，可實(shí)施性較好，另外其風(fēng)險(xiǎn)評估方法過程較清晰。ISO/IECTR13335與BS7799的比較：（四）SSE-CMM由美國國家安全局開發(fā)，是專門用于系統(tǒng)安全工程能力成熟度模型。該模型將系統(tǒng)安全工程成熟度分為5個(gè)等級。幾者比較：

SSE-CMM和CC都是評估標(biāo)準(zhǔn)，均可將評估對象劃分為不同的等級，但后者針對的是安全系統(tǒng)或安全產(chǎn)品的測評，前者針對的是安全工程過程（四）SSE-CMMSSE-CMM和BS7799都提出了一系列最佳慣例，但后者是一個(gè)認(rèn)證標(biāo)準(zhǔn)而無實(shí)現(xiàn)過程；前者是一個(gè)評估標(biāo)準(zhǔn)，定義了實(shí)現(xiàn)最終安全目標(biāo)所需要的一系列過程。二者可以互補(bǔ)使用。SSE-CMM和BS7799都提出了一系列最佳慣例，但后者是（五）NISTSP800系列由美國國家標(biāo)準(zhǔn)技術(shù)協(xié)會發(fā)布，主要內(nèi)容是針對信息安全技術(shù)和管理領(lǐng)域的實(shí)踐參考指南，包括四項(xiàng)：SP800-12：計(jì)算機(jī)安全介紹SP800-30:IT系統(tǒng)風(fēng)險(xiǎn)管理指南SP800-34:IT系統(tǒng)應(yīng)急計(jì)劃指南SP800-26:IT系統(tǒng)安全自我評價(jià)指南（五）NISTSP800系列（六）ITIL由英國中央計(jì)算機(jī)與電信局發(fā)布關(guān)于IT服務(wù)管理最佳實(shí)踐的建議和指導(dǎo)方針，目的是解決IT服務(wù)質(zhì)量，是一種基于流程的管理方法，尤其適于企業(yè)的IT部門。其精髓體現(xiàn)為“一大功能”和“十大流程”，前者是服務(wù)臺功能。（六）ITIL

十大流程：1、服務(wù)支持2、服務(wù)交付事件管理服務(wù)水平管理問題管理可用性管理變更管理IT服務(wù)財(cái)務(wù)管理發(fā)布管理容量管理配置管理IT服務(wù)持續(xù)性管理十大流程：功能比較ITIL與BS7799相比：ITIL關(guān)注的信息技術(shù)更廣泛，側(cè)重于具體的實(shí)施流程，但缺少信息安全的內(nèi)容，BS7799可作為ITIL在信息安全方面的補(bǔ)充。功能比較（七）CobiT（信息及相關(guān)技術(shù)控制目標(biāo)）美國信息系統(tǒng)審計(jì)與控制協(xié)會發(fā)布是目前世界上最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制標(biāo)準(zhǔn)。主要目的是為業(yè)界提供關(guān)于IT控制的清晰政策和發(fā)展的良好典范。（七）CobiT（信息及相關(guān)技術(shù)控制目標(biāo)）Cobit與ITIL比較：均關(guān)注廣泛的IT控制，但是更強(qiáng)調(diào)目標(biāo)要求和度量指標(biāo)，而后者更關(guān)注實(shí)施流程。具體在ISMS的建設(shè)上，Cobit的框架和目標(biāo)、ITIL的流程都可以供BS7799借鑒，BS7799的目標(biāo)只是ITIL和Cobit的一個(gè)分支。Cobit與ITIL比較：第三節(jié)信息安全策略一、信息安全策略概述（一）定義：是一種處理安全問題的管理策略的描述，是描述程序目標(biāo)的高層計(jì)劃。安全策略是在效率和安全之間的一個(gè)平衡點(diǎn)。三個(gè)基本原則：確定性、完整性、有效性（還應(yīng)有宏觀性）第三節(jié)信息安全策略一、信息安全策略概述（二）信息安全策略的重要性（三）指定信息安全策略的時(shí)間任何業(yè)務(wù)動(dòng)作過程均有風(fēng)險(xiǎn)，應(yīng)盡早制定安全策略無策略的開發(fā)，投資和責(zé)任都很大發(fā)生過一次的事故很可能會再次發(fā)生從全局考慮，不要把風(fēng)險(xiǎn)孤立對待（二）信息安全策略的重要性（四）信息安全策略開發(fā)流程（略）首先要做的是確定保護(hù)對象和原因其次要制定安全策略的目標(biāo)流程：1、確定策略范圍2、風(fēng)險(xiǎn)評估、審計(jì)3、策略的審查、批準(zhǔn)和實(shí)施（四）信息安全策略開發(fā)流程（略）二、制定信息安全策略（一）制定原則1、先進(jìn)的網(wǎng)絡(luò)安全技術(shù)是網(wǎng)絡(luò)安全的根本保證2、嚴(yán)格的安全管理是確保信息安全策略落實(shí)的基礎(chǔ)3、嚴(yán)格的法律、法規(guī)是網(wǎng)絡(luò)安全保障的堅(jiān)強(qiáng)后盾二、制定信息安全策略（一）制定原則（二）信息安全策略的設(shè)計(jì)范圍縱向上分：（略）總體安全策略針對特定問題的安全策略針對特定系統(tǒng)的具體策略（二）信息安全策略的設(shè)計(jì)范圍橫向分：（略）物理安全策略災(zāi)難恢復(fù)策略網(wǎng)絡(luò)安全策略事故處理緊急響應(yīng)策略數(shù)據(jù)加密策略安全教育策略病毒防護(hù)策略口令管理策略數(shù)據(jù)備份策略補(bǔ)丁管理策略身份認(rèn)證及授權(quán)系統(tǒng)變更控制策略系統(tǒng)安全策略復(fù)查審計(jì)策略商業(yè)伙伴、客戶關(guān)系策略橫向分：（略）（三）有效的信息安全策略的特點(diǎn)滿足大部分需求并能夠維護(hù)企業(yè)利益策略應(yīng)該清晰但不能包含太多的細(xì)節(jié)策略應(yīng)該不斷加強(qiáng)策略的目標(biāo)應(yīng)該整合到員工培訓(xùn)課程中去（四）完整信息安全策略的覆蓋范圍（三）有效的信息安全策略的特點(diǎn)三、信息安全策略保護(hù)對象（一）信息系統(tǒng)的硬件與軟件隨系統(tǒng)而變化（二）信息系統(tǒng)的數(shù)據(jù)第三方數(shù)據(jù)的使用定義好隱私條例（三）人員權(quán)限和公司行為的合法性三、信息安全策略保護(hù)對象（一）信息系統(tǒng)的硬件與軟件四、主要信息安全策略（一）口令策略總體要求難以破解易于牢記1、網(wǎng)絡(luò)服務(wù)器口令的管理部門負(fù)責(zé)人和網(wǎng)絡(luò)管理員同時(shí)在場設(shè)定系統(tǒng)管理員記錄封存定期更換并銷毀原記錄封存新記錄發(fā)現(xiàn)泄密及時(shí)報(bào)告、保護(hù)現(xiàn)場，須接到上一級主管部門批示后再更換口令四、主要信息安全策略（一）口令策略2、用戶口令管理用戶負(fù)責(zé)人與系統(tǒng)管理員商定口令，負(fù)責(zé)人確認(rèn)，管理員登記、存檔用戶要求查詢或更換口令需提交申請單網(wǎng)絡(luò)提供用戶自我更新口令功能時(shí)，用戶應(yīng)自行定期更換并設(shè)專人負(fù)責(zé)保密和維護(hù)2、用戶口令管理創(chuàng)建口令規(guī)則通用規(guī)則：保存口令最安全的地方是腦袋和保險(xiǎn)箱口令需相當(dāng)長以合理的方式使用特殊字符、大寫字母、數(shù)字創(chuàng)建口令規(guī)則需避免的問題：不要用個(gè)人信息不用自己的偶像不用辦公桌（室）上的物品不將口令保存在本地機(jī)器或共享的網(wǎng)絡(luò)上需避免的問題：（二）計(jì)算機(jī)病毒和惡意代碼防治策略防護(hù)策略須遵守的準(zhǔn)則拒絕訪問能力（來歷不明軟件不得進(jìn)入）病毒檢測能力（能否檢測病毒是重要指標(biāo)）控制傳播能力清除能力恢復(fù)能力替代操作（二）計(jì)算機(jī)病毒和惡意代碼防治策略（三）安全教育與培訓(xùn)策略安全教育的層次性管理人員：企業(yè)信息安全的整體策略和目標(biāo)，信息安全體系的構(gòu)成、部門建立和制度完善技術(shù)人員：理解策略、掌握評估方法，合理運(yùn)用安全操作和維護(hù)技術(shù)用戶：學(xué)習(xí)操作流程、了解掌握安全策略（三）安全教育與培訓(xùn)策略用戶安全策略內(nèi)容：（略）數(shù)據(jù)和用戶所有權(quán)（數(shù)據(jù)的專用和共享）硬件的使用（明確正確的操作方式）互聯(lián)網(wǎng)的使用（正確的使用方式）帳戶管理、補(bǔ)丁管理、事件報(bào)告制度（管理員）策略更新強(qiáng)制執(zhí)行策略（保障）用戶安全策略內(nèi)容：（略）安全教育與培訓(xùn)策略舉例：建立專門的安全教育與培訓(xùn)機(jī)構(gòu)制定詳細(xì)的安全教育和培訓(xùn)計(jì)劃定期對教育和培訓(xùn)結(jié)構(gòu)進(jìn)行抽查和考核安全教育與培訓(xùn)策略舉例：五、信息安全策略的執(zhí)行和維護(hù)（一）執(zhí)行責(zé)任聲明和監(jiān)控制度是最重要的保證（二）維護(hù)審查和修訂周期6個(gè)月或1年五、信息安全策略的執(zhí)行和維護(hù)（一）執(zhí)行第四節(jié)信息安全技術(shù)一、物理環(huán)境安全技術(shù)環(huán)境安全：對系統(tǒng)所在環(huán)境的保護(hù)設(shè)備安全：設(shè)備防盜、防毀、防電磁輻射干擾等媒體安全：包括媒體數(shù)據(jù)的安全和媒體本身的安全第四節(jié)信息安全技術(shù)一、物理環(huán)境安全技術(shù)二、通訊鏈路安全技術(shù)（一）鏈路加密技術(shù)設(shè)備管理簡單成本較高二、通訊鏈路安全技術(shù)（一）鏈路加密技術(shù)信息安全管理精品ppt課件說明：鏈路加密技術(shù)在數(shù)據(jù)通過廣域網(wǎng)時(shí)，提供加密和解密功能鏈路加密機(jī)工作在數(shù)據(jù)鏈路層，每個(gè)分支機(jī)構(gòu)的廣域網(wǎng)與局域網(wǎng)的邊界處部署一臺鏈路加密機(jī)，在數(shù)據(jù)中心局域網(wǎng)與廣域網(wǎng)邊界處，需要一對一進(jìn)行加密機(jī)的部署，形成鏈路加密機(jī)群，提供點(diǎn)對點(diǎn)的保護(hù)