信息安全基礎(chǔ)培訓(xùn)

信息安全基礎(chǔ)培訓(xùn)

---安全普及知識(shí)提綱信息安全的嚴(yán)峻形勢(shì)信息安全概述如何提升我們的信息安全水平合規(guī)性要求日常工作中我們需要注意的事項(xiàng)提綱信息安全的嚴(yán)峻形勢(shì)信息安全概述如何提升我們的信息安全水平合規(guī)性要求日常工作中我們需要注意的事項(xiàng)美國近年來日益重視網(wǎng)絡(luò)安全奧巴馬公布的網(wǎng)絡(luò)安全報(bào)告認(rèn)為：美國主要建立在互聯(lián)網(wǎng)基礎(chǔ)上的數(shù)字基礎(chǔ)設(shè)施目前并不安全,現(xiàn)狀"不可接受“把確保網(wǎng)絡(luò)安全列為國家安全戰(zhàn)略最重要的組成部分之一安全事件回放空軍一號(hào)事件運(yùn)營商泄密事件車險(xiǎn)公積金安全事件回放數(shù)據(jù)泄露事件“大小姐”盜號(hào)木馬案

某運(yùn)營商充值卡被盜運(yùn)營商典型安全事件回放運(yùn)營商典型安全事件回放某運(yùn)營商門戶網(wǎng)站被黑運(yùn)營商典型安全事件回放2007年重慶大雨水淹移動(dòng)營業(yè)廳11預(yù)攻擊內(nèi)容：獲得域名及IP分布獲得拓?fù)浼癘S等獲得端口和服務(wù)獲得應(yīng)用系統(tǒng)情況跟蹤新漏洞發(fā)布目的：收集信息，進(jìn)行進(jìn)一步攻擊決策黑客入侵的一般過程攻擊內(nèi)容：獲得遠(yuǎn)程權(quán)限進(jìn)入遠(yuǎn)程系統(tǒng)提升本地權(quán)限進(jìn)一步擴(kuò)展權(quán)限進(jìn)行實(shí)質(zhì)性操作目的：進(jìn)行攻擊，獲得系統(tǒng)的一定權(quán)限后攻擊內(nèi)容：刪除日志修補(bǔ)明顯的漏洞植入后門木馬進(jìn)一步滲透擴(kuò)展目的：消除痕跡，長期維持一定的權(quán)限12常見黑客攻擊手段隱藏自身掃描探測(cè)社會(huì)工程預(yù)攻擊階段暴力猜解SQLinjection攻擊拒絕服務(wù)攻擊緩沖區(qū)溢出攻擊網(wǎng)絡(luò)嗅探攻擊網(wǎng)絡(luò)欺騙攻擊特洛伊木馬消滅蹤跡攻擊階段后攻擊階段13以已經(jīng)取得控制權(quán)的主機(jī)為跳板攻擊其他主機(jī)隱藏自身常見黑客攻擊手段14相關(guān)命令獲取手工獲取banner漏洞掃描技術(shù)預(yù)攻擊探測(cè)常見黑客攻擊手段15SQLInjection木馬緩沖區(qū)溢出攻擊DDOS攻擊XSS（跨站攻擊）Cookie中毒常見攻擊簡介SQL注入什么是SQL注入程序員在編寫代碼的時(shí)候，沒有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，使應(yīng)用程序存在安全隱患。入侵者可以通過惡意SQL命令的執(zhí)行，獲得想得知的數(shù)據(jù)SQl注入過程本質(zhì)：入侵后臺(tái)服務(wù)器攻擊后果攻擊者擁有Web的最高權(quán)限，可以篡改頁面、數(shù)據(jù)，在網(wǎng)頁中添加惡意代碼攻擊者Internet缺少對(duì)輸入的合法性判斷構(gòu)建特殊數(shù)據(jù)庫查詢語句WEB服務(wù)器數(shù)據(jù)庫動(dòng)態(tài)查詢數(shù)據(jù)庫返回?cái)?shù)據(jù)庫信息獲得數(shù)據(jù)庫信息入侵和破壞篡改界面修改數(shù)據(jù)。。。后臺(tái)管理員利用SQL語句猜解管理員信息登陸管理員后臺(tái)17SQLInjection漏洞原理漏洞原理：在數(shù)據(jù)庫應(yīng)用的編程過程中，由于程序員沒有對(duì)用戶輸入數(shù)據(jù)進(jìn)行規(guī)范檢查，導(dǎo)致攻擊者能夠通過構(gòu)造惡意輸入數(shù)據(jù)，操作數(shù)據(jù)庫執(zhí)行，甚至能直接攻擊操作系統(tǒng)SQLInjection（SQL注入），就是利用某些數(shù)據(jù)庫的外部應(yīng)用把特定的數(shù)據(jù)命令插入到實(shí)際的數(shù)據(jù)庫操作語言當(dāng)中，從而達(dá)到入侵?jǐn)?shù)據(jù)庫乃至操作系統(tǒng)的目的。18防范SQLInjection從根本上避免出現(xiàn)SQLInjection漏洞，必須提高WEB程序員的安全意識(shí)和安全編程技能來解決程序本身的漏洞；代碼中必須對(duì)所有用戶輸入進(jìn)行嚴(yán)格的過濾，對(duì)單引號(hào)、雙引號(hào)以及“--”等符號(hào)、非指定的數(shù)據(jù)類型及數(shù)據(jù)長度進(jìn)行過濾；合理設(shè)置數(shù)據(jù)庫應(yīng)用程序的權(quán)限；對(duì)數(shù)據(jù)庫系統(tǒng)進(jìn)行必要的安全配置?？缯灸_本(XSS)攻擊什么是跨站腳本攻擊通過在網(wǎng)頁中加入惡意代碼，當(dāng)訪問者瀏覽網(wǎng)頁時(shí)惡意代碼會(huì)被執(zhí)行，從而獲得訪問者機(jī)密信息，如果訪問者是管理人員則可以控制整個(gè)網(wǎng)站攻擊危害竊取網(wǎng)頁訪問者保存在終端的各種帳號(hào)、網(wǎng)站管理員帳號(hào)，破壞網(wǎng)頁訪問者終端數(shù)據(jù)“跨站腳本攻擊是到目前為止最受關(guān)注的、威脅最高的攻擊手段”

攻擊者1、通過E-mail或HTTP將B的鏈接發(fā)給用戶2、用戶將嵌入的腳本當(dāng)作數(shù)據(jù)發(fā)送3、瀏覽器執(zhí)行腳本后，返回?cái)?shù)據(jù)4、在用戶毫不之情的情況下，腳本將用戶的cookie和session信息發(fā)送出去5、攻擊者使用偷來的session信息偽裝成該用戶用戶BWeb服務(wù)器20木馬木馬由兩個(gè)程序組成，一個(gè)是客戶端，一個(gè)服務(wù)器端（被攻擊的機(jī)器上運(yùn)行），通過在宿主機(jī)器上運(yùn)行服務(wù)器端程序，在用戶毫無察覺的情況下，可以通過客戶端程序控制攻擊者機(jī)器、刪除其文件、監(jiān)控其操作等。21木馬攻擊安全背景趨勢(shì)控制我國計(jì)算機(jī)境外ip分布信息安全背景趨勢(shì)攻擊工具體系化

黑客網(wǎng)站

螃蟹集團(tuán)社會(huì)工程學(xué)安全，難啊潛在性復(fù)雜性模糊性動(dòng)態(tài)性提綱信息安全的嚴(yán)峻形勢(shì)信息安全概述如何提升我們的信息安全水平合規(guī)性要求日常工作中我們需要注意的事項(xiàng)什么是信息？ISO27001中的描述“Informationisanassetwhich,likeotherimportantbusinessassets,hasvaluetoanorganizationandconsequentlyneedstobesuitablyprotected.”“Informationcanexistinmanyforms.Itcanbeprintedorwrittenonpaper,storedelectronically,transmittedbypostorusingelectronicmeans,shownonfilms,orspokeninconversation.強(qiáng)調(diào)信息：是一種資產(chǎn)同其它重要的商業(yè)資產(chǎn)一樣對(duì)組織具有價(jià)值需要適當(dāng)?shù)谋Ｗo(hù)以各種形式存在：紙、電子、交談等信息安全的特征（CIA）ISO27001中的描述Informationsecurityischaracterizedhereasthepreservationof:ConfidentialityIntegrityAvailability信息在安全方面三個(gè)特征：機(jī)密性：確保只有被授權(quán)的人才可以訪問信息；完整性：確保信息和信息處理方法的準(zhǔn)確性和完整性；可用性：確保在需要時(shí)，被授權(quán)的用戶可以訪問信息和相關(guān)的資產(chǎn)。什么是信息安全歐共體對(duì)信息安全的定義：

網(wǎng)絡(luò)與信息安全可被理解為在既定的密級(jí)條件下，網(wǎng)絡(luò)與信息系統(tǒng)抵御意外事件或惡意行為的能力。這些事件和行為將危及所存儲(chǔ)或傳輸達(dá)到數(shù)據(jù)以及經(jīng)由這些網(wǎng)絡(luò)和系統(tǒng)所提供的服務(wù)的可用性、真實(shí)性、完整性和保密性。我國安全保護(hù)條例的安全定義：計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)，應(yīng)當(dāng)保障計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）的安全，運(yùn)行環(huán)境的安全，保障信息的安全，保障計(jì)算機(jī)功能的正常發(fā)揮，以維護(hù)計(jì)算機(jī)信息系統(tǒng)的安全運(yùn)行?！粜畔踩亩x第一階段：通信保密上世紀(jì)40年代－70年代重點(diǎn)是通過密碼技術(shù)解決通信保密問題，保證數(shù)據(jù)的保密性與完整性主要安全威脅是搭線竊聽、密碼學(xué)分析主要保護(hù)措施是加密第二階段：計(jì)算機(jī)安全上世紀(jì)70－80年代重點(diǎn)是確保計(jì)算機(jī)系統(tǒng)中硬件、軟件及正在處理、存儲(chǔ)、傳輸?shù)男畔⒌臋C(jī)密性、完整性和可控性主要安全威脅擴(kuò)展到非法訪問、惡意代碼、脆弱口令等主要保護(hù)措施是安全操作系統(tǒng)設(shè)計(jì)技術(shù)（TCB）第三階段：信息系統(tǒng)安全上世紀(jì)90年代以來重點(diǎn)需要保護(hù)信息，確保信息在存儲(chǔ)、處理、傳輸過程中及信息系統(tǒng)不被破壞，強(qiáng)調(diào)信息的保密性、完整性、可控性、可用性。主要安全威脅發(fā)展到網(wǎng)絡(luò)入侵、病毒破壞、信息對(duì)抗的攻擊等第四階段：信息安全保障人，借助技術(shù)的支持，實(shí)施一系列的操作過程，最終實(shí)現(xiàn)信息保障目標(biāo)。進(jìn)不來拿不走改不了跑不了看不懂可審查信息安全的目的信息安全的相對(duì)性安全沒有100%完美的健康狀態(tài)永遠(yuǎn)也不能達(dá)到；安全工作的目標(biāo)：將風(fēng)險(xiǎn)降到最低提綱信息安全的嚴(yán)峻形勢(shì)信息安全概述如何提升我們的信息安全水平合規(guī)性要求日常工作中我們需要注意的事項(xiàng)如何提升我們的信息安全水平技術(shù)方面管理方面小問題：你們公司的Knowledge都在哪里？信息在哪里？結(jié)構(gòu)性安全脆弱性永遠(yuǎn)存在，突破任何防御只是時(shí)間問題注重結(jié)構(gòu)安全的動(dòng)態(tài)信息安全模型，P.D.RPt>Dt+Rt（防護(hù)的時(shí)間>檢測(cè)的時(shí)間＋響應(yīng)的時(shí)間）一個(gè)結(jié)構(gòu)性安全的例子：銀行金庫的防護(hù)靜態(tài)脆弱性安全相對(duì)被動(dòng)，而動(dòng)態(tài)的結(jié)構(gòu)性安全防患未然Pt時(shí)間DtRt緩沖的觀點(diǎn)基于時(shí)間的安全，其時(shí)間難于計(jì)算看兩個(gè)實(shí)際的安全保障的例子2008年奧運(yùn)網(wǎng)絡(luò)安全保障2009年2月胡錦濤主席在線回答網(wǎng)民問題緩沖包括冗余、重復(fù)、縱深、延緩…預(yù)警、抑制、丟車保帥、局部和整體…響應(yīng)、恢復(fù)、反擊……緩沖思想的基本立足點(diǎn)就是原理上攻擊是可以成功的，在實(shí)際中是可以解決的信息安全技術(shù)防病毒和惡意代碼技術(shù)防火墻技術(shù)與VPN技術(shù)防非法訪問行為技術(shù)密碼技術(shù)和PKI技術(shù)安全域間的訪問控制入侵檢測(cè)技術(shù)漏洞掃描技術(shù)安全審計(jì)跟蹤技術(shù)防火墻技術(shù)具有阻斷功能的所有技術(shù)災(zāi)難備份恢復(fù)技術(shù)反擊技術(shù)一種解決方案VPN

虛擬專用網(wǎng)防火墻內(nèi)容檢測(cè)安全評(píng)估防病毒安全審計(jì)入侵探測(cè)防火墻技術(shù)定義

一種高級(jí)訪問控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄）進(jìn)出網(wǎng)絡(luò)的訪問行為。防火墻的作用：1、過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包2、封堵某些禁止的訪問行為3、記錄通過防火墻的信息內(nèi)容和活動(dòng)4、對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警◆防火墻技術(shù)防火墻的體系結(jié)構(gòu)主流防火墻技術(shù)：簡單包過濾技術(shù)狀態(tài)檢測(cè)包過濾技術(shù)應(yīng)用網(wǎng)關(guān)技術(shù)目前市場(chǎng)上主流產(chǎn)品的形態(tài)：集成了狀態(tài)檢測(cè)包過濾和應(yīng)用代理的混合型產(chǎn)品入侵檢測(cè)技術(shù)入侵是對(duì)信息系統(tǒng)的非授權(quán)訪問及（或）未經(jīng)許可在信息系統(tǒng)中進(jìn)行操作,威脅計(jì)算機(jī)或網(wǎng)絡(luò)的安全機(jī)制（包括機(jī)密性、完整性、可用性）的行為。入侵可能是來自互聯(lián)網(wǎng)的攻擊者對(duì)系統(tǒng)的非法訪問，也可能是系統(tǒng)的授權(quán)用戶對(duì)未授權(quán)的內(nèi)容進(jìn)行非法訪問。入侵檢測(cè)系統(tǒng)是從多種計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)中收集信息，再通過這些信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)?！羧肭謾z測(cè)系統(tǒng)（IDS）為什么需要IDS防范透過防火墻的入侵利用應(yīng)用系統(tǒng)漏洞實(shí)施的入侵利用防火墻配置失誤實(shí)施的入侵防范來自內(nèi)部網(wǎng)的入侵內(nèi)部網(wǎng)的攻擊占總的攻擊事件的70%沒有監(jiān)測(cè)的內(nèi)部網(wǎng)是內(nèi)部人員的“自由王國”對(duì)網(wǎng)絡(luò)行為的審計(jì)，防范無法自動(dòng)識(shí)別的惡意破壞入侵很容易入侵教程隨處可見各種工具唾手可得安全漏洞日益暴露入侵檢測(cè)系統(tǒng)的架構(gòu)基于網(wǎng)絡(luò)的NIDS基于主機(jī)的HIDS管理中心客戶端代理客戶端代理和管理中心之間的通信加密IDS規(guī)則網(wǎng)絡(luò)異常檢測(cè)網(wǎng)絡(luò)誤用檢測(cè)

規(guī)則的一些元素可以制定一個(gè)需要保護(hù)的主機(jī)范圍需要做日志紀(jì)錄的和禁止的主機(jī)實(shí)施策略的時(shí)間段事件描述對(duì)于事件的響應(yīng)入侵檢測(cè)技術(shù)的關(guān)鍵指標(biāo)誤報(bào)漏報(bào)監(jiān)控室=控制中心CardKey入侵檢測(cè)系統(tǒng)的作用監(jiān)控前門和保安監(jiān)控屋內(nèi)人員監(jiān)控后門監(jiān)控樓外入侵檢測(cè)技術(shù)IDS的作用

*監(jiān)控網(wǎng)絡(luò)和系統(tǒng)*發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象*實(shí)時(shí)報(bào)警*主動(dòng)響應(yīng)*審計(jì)跟蹤防病毒系統(tǒng)是用來實(shí)時(shí)檢測(cè)病毒、蠕蟲及后門的程序，通過不斷更新病毒庫來清除上述具有危害性的惡意代碼。網(wǎng)絡(luò)防病毒具有---全方位、多層次防病毒---統(tǒng)一安裝，集中管理---自動(dòng)更新病毒定義庫的特點(diǎn)◆防病毒技術(shù)防病毒技術(shù)身份認(rèn)證技術(shù)是對(duì)進(jìn)入系統(tǒng)或網(wǎng)絡(luò)的用戶身份進(jìn)行驗(yàn)證，防止非法用戶進(jìn)入。身份認(rèn)證技術(shù)的實(shí)現(xiàn)有----智能卡----基于對(duì)稱密鑰體制的Keberos身份認(rèn)證協(xié)議----基于非對(duì)稱密鑰體制證書機(jī)制◆身份認(rèn)證技術(shù)身份認(rèn)證技術(shù)漏洞掃描技術(shù)

漏洞掃描是對(duì)網(wǎng)絡(luò)和主機(jī)的安全性進(jìn)行風(fēng)險(xiǎn)分析和評(píng)估的軟件，是一種能自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)系統(tǒng)在安全性方面弱點(diǎn)和隱患的程序包?！袈┒磼呙杓夹g(shù)◆加密技術(shù)加密技術(shù)加密技術(shù)是為保證數(shù)據(jù)的保密性和完整性通過特定算法完成的明文與密文的轉(zhuǎn)換?！艉灻夹g(shù)簽名技術(shù)數(shù)字簽名技術(shù)為確保數(shù)據(jù)不被篡改而做的簽名，不能保證數(shù)據(jù)的保密性。VPN-虛擬專用網(wǎng)絡(luò)信息傳輸加密身份驗(yàn)證專有性受控的可信安全域（訪問控制）安全的遠(yuǎn)程接入不同的VPN技術(shù)SSLVPN應(yīng)用、認(rèn)證、訪問、加密層次MPLSVPN網(wǎng)絡(luò)基礎(chǔ)設(shè)施數(shù)據(jù)專線，保證帶寬和服務(wù)質(zhì)量IPSecVPN基于Internet遠(yuǎn)程訪問Internet內(nèi)部網(wǎng)合作伙伴分支機(jī)構(gòu)虛擬私有網(wǎng)虛擬私有網(wǎng)虛擬私有網(wǎng)VPN的典型應(yīng)用VPN即虛擬專用網(wǎng)，利用因特網(wǎng)實(shí)現(xiàn)數(shù)據(jù)在傳輸過程中的保密性和完整性而雙方建立的安全通道。單位資產(chǎn)，員工私產(chǎn)——資產(chǎn)管理失控：

網(wǎng)絡(luò)中終端用戶隨意增減調(diào)換，每個(gè)終端硬件配備（CPU、硬盤、內(nèi)存等）肆意組裝拆卸、操作系統(tǒng)隨意更換、各類應(yīng)用軟件胡亂安裝卸載，各種外設(shè)（軟驅(qū)、光驅(qū)、U盤、打印機(jī)、Modem等）無節(jié)制使用；網(wǎng)絡(luò)無限，自由無限——網(wǎng)絡(luò)資源濫用：

IP地址濫用，流量濫用，甚至工作時(shí)間聊天、游戲、賭博、瘋狂下載、登陸色情反動(dòng)網(wǎng)站等行為影響工作效率，影響網(wǎng)絡(luò)正常使用；門戶大開，長驅(qū)直入——外部非法接入：

移動(dòng)設(shè)備（筆記本電腦等）和新增設(shè)備未經(jīng)過安全檢查和處理違規(guī)接入或者入侵內(nèi)部網(wǎng)絡(luò)，帶來病毒傳播、黑客入侵等不安全因素；外賊好治，家賊難防——內(nèi)部非法外聯(lián)：

內(nèi)部網(wǎng)絡(luò)用戶通過調(diào)制解調(diào)器、雙網(wǎng)卡、無線網(wǎng)卡等設(shè)備進(jìn)行在線違規(guī)撥號(hào)上網(wǎng)、違規(guī)離線上網(wǎng)等，或違反規(guī)定將專網(wǎng)專用計(jì)算機(jī)帶出網(wǎng)絡(luò)進(jìn)入到其他網(wǎng)絡(luò)；蠕蟲泛濫，業(yè)務(wù)癱瘓——病毒蠕蟲入侵：

由于補(bǔ)丁不及時(shí)、網(wǎng)絡(luò)濫用、非法接入等因素導(dǎo)致網(wǎng)絡(luò)內(nèi)病毒蠕蟲泛濫、網(wǎng)絡(luò)阻塞、數(shù)據(jù)損壞丟失，而且無法找到災(zāi)難的源頭以迅速采取隔離等處理措施，從而為正常業(yè)務(wù)帶來災(zāi)難性的持續(xù)的影響；脆弱防線，外強(qiáng)中干——終端安全隱患：

每個(gè)終端漏洞密布、口令簡陋且經(jīng)年不改，管理員無法時(shí)刻檢查、提醒、或強(qiáng)制解決，為蠕蟲、泄密等災(zāi)難埋下了各種隱患；網(wǎng)絡(luò)無界，一損俱損——重要信息泄密：

因系統(tǒng)漏洞、病毒入侵、非法接入、非法外聯(lián)、網(wǎng)絡(luò)濫用、外設(shè)濫用等各種原因與管理不善導(dǎo)致組織內(nèi)部重要信息泄露或毀滅，造成不可彌補(bǔ)的重大損失；千里之堤，毀于蟻穴——補(bǔ)丁管理混亂：

終端用戶不了解系統(tǒng)補(bǔ)丁狀態(tài)，不及時(shí)打補(bǔ)丁，也沒有辦法統(tǒng)一進(jìn)行補(bǔ)丁的下載、分析、測(cè)試和分發(fā)，從而為蠕蟲與黑客入侵保留了通道；內(nèi)網(wǎng)安全管理解決的八個(gè)問題90%以上的問題來自終端安全=最少服務(wù)最小權(quán)限公理：所有的程序都有缺陷（摩菲定理）大程序定律：大程序的缺陷甚至比它包含的內(nèi)容還多推理：一個(gè)安全相關(guān)程序有安全性缺陷定理：只要不運(yùn)行這個(gè)程序，那么這個(gè)程序有缺陷，也無關(guān)緊要推理：只要不運(yùn)行這個(gè)程序，那么這個(gè)程序有安全性漏洞，也無關(guān)緊要定理：對(duì)外暴露的計(jì)算機(jī)，應(yīng)盡可能少地運(yùn)行程序，且運(yùn)行的程序也盡可能地小新技術(shù)統(tǒng)一威脅管理（UTM）入侵防御系統(tǒng)（IPS）內(nèi)網(wǎng)管理系統(tǒng)防垃圾郵件系統(tǒng)。。。三分技術(shù)，七分管理

信息安全問題，不僅僅是技術(shù)問題，更重要的是內(nèi)部自己人安全意識(shí)薄弱的問題。

要推廣信息安全,要全員參與,增強(qiáng)安全意識(shí)是理所當(dāng)然的.信息安全管理內(nèi)容1.風(fēng)險(xiǎn)評(píng)估2.安全策略3.物理安全4.設(shè)備管理運(yùn)行管理軟件安全管理7.信息安全管理8.人員安全管理9.應(yīng)用系統(tǒng)安全管理10.操作安全管理11.技術(shù)文檔安全管理12.災(zāi)難恢復(fù)計(jì)劃13.安全應(yīng)急響應(yīng)信息安全管理的制度IP地址管理制度防火墻管理制度病毒和惡意代碼防護(hù)制度服務(wù)器上線及日常管理制度口令管理制度開發(fā)安全管理制度應(yīng)急響應(yīng)制度制度運(yùn)行監(jiān)督

。。。。。。

全員參與√信息安全不僅僅是IT部門的事；√讓每個(gè)員工明白隨時(shí)都有信息安全問題；√每個(gè)員工都應(yīng)具備相應(yīng)的安全意識(shí)和能力；√讓每個(gè)員工都明確自己承擔(dān)的信息安全責(zé)任；信息安全管理原則

文件化√文件的作用：有章可循，有據(jù)可查√文件的類型：手冊(cè)、規(guī)范、指南、記錄信息安全管理原則

溝通意圖，統(tǒng)一行動(dòng)重復(fù)和可追溯提供客觀證據(jù)用于學(xué)習(xí)和培訓(xùn)

文件的作用：有章可循，有據(jù)可查持續(xù)改進(jìn)√信息安全是動(dòng)態(tài)的，時(shí)間性強(qiáng)√持續(xù)改進(jìn)才能有最大限度的安全√組織應(yīng)該為員工提供持續(xù)改進(jìn)的方法和手段

√實(shí)現(xiàn)信息安全