信息安全管理

1、信息安全管理第1頁，共103頁，2022年，5月20日，0點41分，星期一第一部分 信息安全管理概論第一章 信息安全概述第二章 信息安全管理基礎(chǔ)第2頁，共103頁，2022年，5月20日，0點41分，星期一第一章 信息安全概述第一節(jié) 信息與信息安全第二節(jié) 信息安全政策第三節(jié) 信息安全法律體系第3頁，共103頁，2022年，5月20日，0點41分，星期一信息及信息的價值“真相的瀕危甚于老虎的瀕?！薄胺庞车膭h節(jié)版色,戒，劇情不完整，侵犯消費者的公平交易權(quán)和知情權(quán) ”“劇情”、“真相”等都是一種信息信息、物質(zhì)、能量是人類社會賴以生存和發(fā)展的三大要素災(zāi)難備份給銀行數(shù)據(jù)信息上保險公安部:超過一半單位發(fā)生

2、過信息網(wǎng)絡(luò)安全事件 第4頁，共103頁，2022年，5月20日，0點41分，星期一第一章 信息安全概述第一節(jié) 信息與信息安全一、信息與信息資產(chǎn)（一）信息的定義廣義：事物的運動狀態(tài)以及運動狀態(tài)形式的變化，是一種客觀存在。（客觀存在并不是區(qū)分真假信息的依據(jù)）狹義：能被主體感覺到并被理解的東西（客觀存在）。本書的定義：通過在數(shù)據(jù)上施加某些約定而賦予這些數(shù)據(jù)的特殊含義。信息安全資產(chǎn)的分類：信息具有價值，是一種資產(chǎn)。第5頁，共103頁，2022年，5月20日，0點41分，星期一第一節(jié) 信息與信息安全 信息資產(chǎn)分類數(shù)據(jù)：存在于電子媒介的各種數(shù)據(jù)資料軟件：應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和資源庫硬件：計算機硬件

3、、路由器、交換機、布線等服務(wù)：操作系統(tǒng)、WWW、網(wǎng)絡(luò)管理和安保等文檔：紙質(zhì)文件、傳真、財務(wù)報告、發(fā)展計劃等設(shè)備：電源、空調(diào)、門禁等人員：雇主和各級雇員等其他：企業(yè)形象、客戶關(guān)系等（軟資產(chǎn)）第6頁，共103頁，2022年，5月20日，0點41分，星期一（二）信息的特點信息與接受對象和要達到的目的有關(guān)（感知和理解）信息的價值與接受信息的對象有關(guān)（信息的價值性）信息有多種多樣的傳遞手段（約定的多樣性） 信息的共享性（可復(fù)制性）第7頁，共103頁，2022年，5月20日，0點41分，星期一二、信息安全（一）信息安全的發(fā)展三個階段：通訊保密階段 重點是保密（點）信息安全階段 關(guān)注信息安全的三屬性： 保密

4、性 完整性 可用性（線、空間）安全保障階段 關(guān)注點有空間拓展到時間：策略、 保護、 檢測、 響應(yīng)、恢復(fù)（系統(tǒng)） 第8頁，共103頁，2022年，5月20日，0點41分，星期一（二）信息安全的定義 為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護，保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄漏信息安全的三個主要問題：1.保護對象 主要是硬件、軟件、數(shù)據(jù)2.安全目標 保密性、完整性、可用性3.實現(xiàn)途徑 技術(shù)和管理第9頁，共103頁，2022年，5月20日，0點41分，星期一（三）信息安全三屬性的含義（Pass）保密性 完整性可用性第10頁，共103頁，2022年，5月20日，0點

5、41分，星期一（四）信息安全模型1.PDR模型Pt(protection)有效保護時間，信息系統(tǒng)的安全措施能夠有效發(fā)揮保護作用的時間；Dt(detection)檢測時間，安全監(jiān)測機制能夠有效發(fā)現(xiàn)攻擊、破壞行為所需的時間；Rt(reaction)響應(yīng)時間，安全機制作出反應(yīng)和處理所需的時間。第11頁，共103頁，2022年，5月20日，0點41分，星期一安全公式（1）PtDt+Rt， 系統(tǒng)安全 保護時間大于檢測時間和響應(yīng)時間之和；（2）PtDt+Rt, 系統(tǒng)不安全 信息系統(tǒng)的安全控制措施在檢測和響應(yīng)前就會失效，破壞和后果已經(jīng)發(fā)生。第12頁，共103頁，2022年，5月20日，0點41分，星期一2.

6、PPDRR模型：保護、檢測、響應(yīng)、恢復(fù)四環(huán)節(jié)在策略的指導(dǎo)下構(gòu)成相互作用的有機體。第13頁，共103頁，2022年，5月20日，0點41分，星期一（五）信息安全保障體系第14頁，共103頁，2022年，5月20日，0點41分，星期一第15頁，共103頁，2022年，5月20日，0點41分，星期一圖表說明：1.安全技術(shù)體系是整個安全體系的基礎(chǔ)，包括安全基礎(chǔ)設(shè)施平臺、安全應(yīng)用系統(tǒng)平臺和安全綜合管理平臺；安全基礎(chǔ)設(shè)施平臺從物理和通信安全防護、網(wǎng)絡(luò)安全防護、主機系統(tǒng)安全防護、應(yīng)用安全防護等多個層次出發(fā)，立足于現(xiàn)有的成熟的安全技術(shù)和安全機制，建立起防護體系。第16頁，共103頁，2022年，5月20日，0

7、點41分，星期一 安全應(yīng)用系統(tǒng)平臺處理安全基礎(chǔ)設(shè)施與應(yīng)用信息系統(tǒng)之間的關(guān)聯(lián)和集成問題。通過使用安全基礎(chǔ)設(shè)施平臺所提供的各類安全服務(wù)，提升自身的安全等級，以更加安全的方式，提供業(yè)務(wù)服務(wù)和信息管理服務(wù)。第17頁，共103頁，2022年，5月20日，0點41分，星期一 安全綜合管理平臺對安全機制和安全設(shè)備進行統(tǒng)一的管理和控制，負責(zé)維護和管理安全策略，配置管理相應(yīng)的安全機制。促成各類安全手段能與現(xiàn)有的信息系統(tǒng)應(yīng)用體系緊密地結(jié)合，是信息系統(tǒng)安全與信息系統(tǒng)應(yīng)用一體化。第18頁，共103頁，2022年，5月20日，0點41分，星期一2.安全組織與管理體系安全組織與管理體系的設(shè)計立足于總體安全策略，并與安全技

8、術(shù)體系相配合增強防衛(wèi)效果，彌補安全缺陷。信息安全管理體系由若干信息安全管理類組成，每項信息安全管理類可分解為多個安全目標和安全控制。第19頁，共103頁，2022年，5月20日，0點41分，星期一3.運行保障體系 內(nèi)容涵蓋安全技術(shù)和安全管理緊密結(jié)合的部分，包括系統(tǒng)可靠性設(shè)計、系統(tǒng)數(shù)據(jù)額備份設(shè)計、安全時間的應(yīng)急響應(yīng)計劃、安全審計、災(zāi)難恢復(fù)計劃等第20頁，共103頁，2022年，5月20日，0點41分，星期一第二節(jié) 信息安全政策一、我國信息化發(fā)展戰(zhàn)略與安全保障工作（一）信息化發(fā)展戰(zhàn)略（P8）推進國民經(jīng)濟信息化推進電子政務(wù)建設(shè)先進網(wǎng)略文化推進社會信息化完善綜合信息基礎(chǔ)設(shè)施加強信息資源的開發(fā)利用提高信

9、息產(chǎn)業(yè)競爭力建設(shè)國家信息安全保障體系提高國民信息技術(shù)應(yīng)用能力，造就信息化人才隊伍第21頁，共103頁，2022年，5月20日，0點41分，星期一（二）信息安全保障工作國務(wù)院關(guān)于加強信息安全保障工作的意見 加強信息安全保障工作須遵循的原則 立足國情，以我為主，堅持管理和技術(shù)并重；正確處理安全與發(fā)展的關(guān)系，以安全保發(fā)展，從發(fā)展中求安全；統(tǒng)籌規(guī)劃，突出重點，強化基礎(chǔ)性工作；明確國家、企業(yè)、個人的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國家信息安全保障體系。第22頁，共103頁，2022年，5月20日，0點41分，星期一處理好發(fā)展與建設(shè)的關(guān)系正確處理發(fā)展與安全的關(guān)系堅持以改革開放求安全堅持管理與技

10、術(shù)并重堅持統(tǒng)籌兼顧、重點突出第23頁，共103頁，2022年，5月20日，0點41分，星期一二、美國信息安全國家戰(zhàn)略簡介：1998年5月美國政府頒發(fā)了保護美國關(guān)鍵基礎(chǔ)設(shè)施總統(tǒng)令，圍繞信息安全成立多個組織。1998年美國國家安全局制定了信息保障技術(shù)框架提出了“深度防御策略”，確定了包括網(wǎng)絡(luò)與基礎(chǔ)設(shè)施防御、區(qū)域邊界防御、計算機環(huán)境防御等深度防御在內(nèi)的目標。第24頁，共103頁，2022年，5月20日，0點41分，星期一2000年1月，發(fā)布了保衛(wèi)美國的計算機空間保護信息系統(tǒng)的國家計劃，確定了計劃的目標和范圍。2003年2月公布確保網(wǎng)絡(luò)空間安全的國家戰(zhàn)略報告，強調(diào)發(fā)動社會力量參與保障網(wǎng)絡(luò)安全，重視發(fā)揮

11、高校和科研機構(gòu)的力量。內(nèi)容：三項總體戰(zhàn)略目標和五項具體的優(yōu)先目標。P11第25頁，共103頁，2022年，5月20日，0點41分，星期一背景：美國是第一信息大國，對信息的依賴是其脆弱性的重要根源由大量信息系統(tǒng)組成的國家信息基礎(chǔ)結(jié)構(gòu)，已成為美國經(jīng)濟的命脈和國家的生命線，也成為容易受到攻擊的高價值目標系統(tǒng)的安全漏洞、黑客的猖獗80年代以來，美國政府陸續(xù)發(fā)布若干制度，擁有最關(guān)鍵系統(tǒng)的政府部門被指定為第一批實施信息安全保護計劃的要害部門，力圖實現(xiàn)三個目標：準備和預(yù)防、偵查和反應(yīng)、建立牢固的基礎(chǔ)設(shè)施第26頁，共103頁，2022年，5月20日，0點41分，星期一確保網(wǎng)絡(luò)空間安全的國家戰(zhàn)略作用與影響:1、

12、確保網(wǎng)絡(luò)安全已經(jīng)被提升為美國國家安全戰(zhàn)略的一個重要組成部分；2、是美國在9.11之后為確保網(wǎng)絡(luò)安全而采取的一系列舉措中的核心步驟；3、強調(diào)社會力量對網(wǎng)絡(luò)安全進行全民防御，重視與企業(yè)和地方政府合作，重視發(fā)揮院校和科研機構(gòu)力量，重視人才培養(yǎng)和公民安全意識教育。第27頁，共103頁，2022年，5月20日，0點41分，星期一三、俄羅斯信息安全學(xué)說2000年6月國家信息安全學(xué)說第一次明確指出了俄羅斯在信息領(lǐng)域的利益、威脅是什么，以及保衛(wèi)措施。（一）背景科索沃戰(zhàn)爭、愛蟲病毒的爆發(fā)是催化劑第28頁，共103頁，2022年，5月20日，0點41分，星期一（二）內(nèi)容1、保證信息安全是國家利益的要求2、保證信息

13、安全的方法3、國家在保證信息安全時應(yīng)采取的基本原則4、信息安全的組織基礎(chǔ)此外，信息安全學(xué)說還對信息威脅做了評估，論證了信息斗爭的打擊目標和打擊手段。第29頁，共103頁，2022年，5月20日，0點41分，星期一 （三）措施1、成立國家信息安全與對抗的領(lǐng)導(dǎo)機構(gòu)（國家信息政策委員會）2、建立信息對抗教育防范體系3、建立信息斗爭特種部隊4、發(fā)展信息斗爭的關(guān)鍵技術(shù)和手段5、改組指揮控制系統(tǒng)，增強戰(zhàn)場生存能力 第30頁，共103頁，2022年，5月20日，0點41分，星期一第三節(jié) 信息安全法律體系一、信息安全法律體系（一）體系結(jié)構(gòu)1.法律體系 部門法2.政策體系（拘束力、責(zé)任）3.強制性技術(shù)標準（強制

14、力）第31頁，共103頁，2022年，5月20日，0點41分，星期一（二）信息系統(tǒng)安全保護法律規(guī)范的法律地位 1、信息系統(tǒng)安全立法的必要性和緊迫性 2、信息系統(tǒng)安全保護法律規(guī)范的作用違反國家規(guī)定，侵入國家事務(wù)、國防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計算機信息系統(tǒng)的，處三年以下有期徒刑或者拘役。 （1）指引作用（2）評價作用（3）預(yù)測作用（4）教育作用（5）強制作用（預(yù)防作用）第32頁，共103頁，2022年，5月20日，0點41分，星期一二、法律法規(guī)介紹（P1824）（一）刑法 主要罪名 新增加的罪名及含義（二）治安管理處罰法 相關(guān)條文及含義（三）計算機信息系統(tǒng)安全保護條例（計算機信息系統(tǒng)能夠發(fā)生的案件

15、，應(yīng)在24小時內(nèi)向人民政府公安機關(guān)報告）（四）關(guān)于維護互聯(lián)網(wǎng)安全的決定（五）計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護管理辦法（六）互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定第33頁，共103頁，2022年，5月20日，0點41分，星期一第二章 信息安全管理基礎(chǔ)第一節(jié) 信息安全管理體系第二節(jié) 信息安全管理標準第三節(jié) 信息安全策略第四節(jié) 信息安全技術(shù) 第34頁，共103頁，2022年，5月20日，0點41分，星期一第一節(jié) 信息安全管理體系一、信息安全管理體系定義信息安全管理涉及信息和網(wǎng)絡(luò)系統(tǒng)的各個層面，以及生命周期的各個階段，這些不同方面的管理內(nèi)容彼此間存在著一定的內(nèi)在聯(lián)系，構(gòu)成一個有機的整體，以使管理措施保障達到信息安

16、全目標。（ISMS）第35頁，共103頁，2022年，5月20日，0點41分，星期一 二、信息安全管理的基本原則 （一）總體原則主要領(lǐng)導(dǎo)負責(zé)原則 規(guī)范定級原則以人為本原則適度安全原則全面防范重點突出原則系統(tǒng)、動態(tài)原則控制社會影響原則第36頁，共103頁，2022年，5月20日，0點41分，星期一（二）安全管理策略分權(quán)制衡（避免權(quán)力集中）最小特權(quán)（避免多余權(quán)力）選用成熟技術(shù)普遍參與第37頁，共103頁，2022年，5月20日，0點41分，星期一三、信息安全管理內(nèi)容管理目標：合規(guī)性（管理合規(guī)）流程規(guī)范性（程序合規(guī)）整體協(xié)調(diào)性（各種管理協(xié)調(diào)）執(zhí)行落實性（檢查監(jiān)督和審計）變更可控性（變更要監(jiān)控）責(zé)任性

17、持續(xù)改進計劃性第38頁，共103頁，2022年，5月20日，0點41分，星期一信息安全管理體系包括以下方面 （一）信息安全方針和策略 1、安全方針和策略2、資金投入管理3、信息安全規(guī)劃 第39頁，共103頁，2022年，5月20日，0點41分，星期一 （二）信息安全人員和組織1、保證有足夠的人力資源從事信息安全保障工作2、確保人員有明確的角色和責(zé)任3、保證從業(yè)人員經(jīng)過了適當?shù)男畔踩逃团嘤?xùn)，有足夠的安全意識4、機構(gòu)中的信息安全相關(guān)人員能夠在有效的組織結(jié)構(gòu)下展開工作第40頁，共103頁，2022年，5月20日，0點41分，星期一（三）基于信息系統(tǒng)各個層次的安全管理 1、環(huán)境和設(shè)備安全 2、網(wǎng)

18、絡(luò)和通信安全 3、主機和系統(tǒng)安全 4、應(yīng)用和業(yè)務(wù)安全 5、數(shù)據(jù)安全第41頁，共103頁，2022年，5月20日，0點41分，星期一（四）基于信息系統(tǒng)生命周期的安全管理信息系統(tǒng)生命周期可以分為兩個階段：工程設(shè)計和開發(fā)階段、系統(tǒng)的運行和維護階段系統(tǒng)安全與系統(tǒng)本身“三個同步”：同步規(guī)劃、同步建設(shè)、同步運行安全管理內(nèi)容：1、項目工程安全管理2、日常運行與維護的安全管理3、配置管理和變更管理（資產(chǎn)和管理措施的配置描述和管理）4、文檔化和流程規(guī)范化5、新技術(shù)、新方法的跟蹤和采用第42頁，共103頁，2022年，5月20日，0點41分，星期一（五）風(fēng)險管理1、資產(chǎn)鑒別、分類和評價2、威脅鑒別和評價3、脆弱性

19、評價4、安全風(fēng)險評估和評級5、決策并實施風(fēng)險處理措施第43頁，共103頁，2022年，5月20日，0點41分，星期一（六）業(yè)務(wù)連續(xù)性管理：識別潛在影響、建立整體恢復(fù)能力和順應(yīng)能力，重在危機或災(zāi)害發(fā)生時的保護（七）符合性審核：將信息安全管理納入良性的、持續(xù)改進的循環(huán)中第44頁，共103頁，2022年，5月20日，0點41分，星期一四、信息安全管理體系構(gòu)成信息安全管理體系由12個管理類組成，每個管理類可以分為多個安全目標和安全控制。各管理類的關(guān)系圖如下第45頁，共103頁，2022年，5月20日，0點41分，星期一第46頁，共103頁，2022年，5月20日，0點41分，星期一作用關(guān)系說明：1、方

20、針和策略是基礎(chǔ)和指導(dǎo)2、人員和組織管理要依據(jù)方針和策略執(zhí)行任務(wù)3、合規(guī)性管理指導(dǎo)如何檢驗信息安全管理工作的效果4、人員與組織實施的信息安全管理工作，主要從兩個方面進行風(fēng)險管理合業(yè)務(wù)連續(xù)性管理5、根據(jù)信息系統(tǒng)生命周期，可以把信息系統(tǒng)劃分為項目開發(fā)階段和運行維護階段6、所有的信息安全管理工作都作用在信息系統(tǒng)之上 第47頁，共103頁，2022年，5月20日，0點41分，星期一第二節(jié) 信息安全管理標準信息安全管理在發(fā)展過程中有不同的標準一、BS7799是 英國標準協(xié)會針對信息安全管理制定的，發(fā)布于1995年，后幾經(jīng)修改，成為目前被廣泛接受的標準。分為兩個部分：BS77991，是信息安全管理實施細則，

21、供負責(zé)信息安全系統(tǒng)開發(fā)的人員參考使用；BS77992，是建立信息安全管理體系的規(guī)范，最終目的是建立適合企業(yè)的信息安全管理體系。第48頁，共103頁，2022年，5月20日，0點41分，星期一 （二）BS7799發(fā)展歷程（略） 1、倡導(dǎo)者 2、發(fā)展與修訂 3、適用地區(qū)第49頁，共103頁，2022年，5月20日，0點41分，星期一（三）BS7799主要內(nèi)容1、BS77991（ISO/IEC17799:2005）信息安全管理實施細則將信息安全管理的內(nèi)容劃分為11個主要方面，39個信息安全管理的控制目標，133項安全控制措施（P36-40）說明：不夠具體，組織可以根據(jù)自身增減信息安全最佳起點：10項

22、幾乎適用于所有組織和大多數(shù)環(huán)境的控制措施，包括三項與法律相關(guān)的控制措施和七項與最佳實踐相關(guān)的控制措施。（體現(xiàn)重管理的思想）第50頁，共103頁，2022年，5月20日，0點41分，星期一與法律相關(guān)的控制措施：（略）1、知識產(chǎn)權(quán)2、保護組織的記錄（保護重要的記錄不丟失、破壞、偽造）3、數(shù)據(jù)保護和個人信息隱私第51頁，共103頁，2022年，5月20日，0點41分，星期一與最佳實踐相關(guān)的措施： （略）1、信息安全策略文件2、信息安全責(zé)任分配3、信息安全意識、教育、培訓(xùn)4、正確處理應(yīng)用程序5、漏洞管理6、管理信息安全事件和改進7、業(yè)務(wù)連續(xù)性管理第52頁，共103頁，2022年，5月20日，0點41分

23、，星期一2、BS77992（ ISO/IEC27001:2005 ）其主要特點一是提供了安全管理體系規(guī)范，二是提供了建立信息安全管理體系的目標。該標準強調(diào)信息安全管理是一個面向風(fēng)險的、持續(xù)改進的過程，如下圖：第53頁，共103頁，2022年，5月20日，0點41分，星期一第54頁，共103頁，2022年，5月20日，0點41分，星期一二、其他標準BS7799旨在為組織實施信息安全管理體系提供指導(dǎo)性框架，更多體現(xiàn)的是一種目標要求，總體上并沒有提及實施的細節(jié)（通行標準的必然局限，普適性強則針對性就弱）具體組織要將BS7799標準落實，需補充必要的可實施內(nèi)容，下面是國際上一些相關(guān)的標準第55頁，共1

24、03頁，2022年，5月20日，0點41分，星期一（一）PD3000：PD3001PD3005（P44）特點：更具針對性（二）CC：是國際上最通行的信息技術(shù)產(chǎn)品及系統(tǒng)安全性測評標準，也是信息技術(shù)安全性評估結(jié)果國際互認的基礎(chǔ)，CC標準由3個文件構(gòu)成：1、ISO/IEC15408-1，介紹和一般模型2、ISO/IEC15408-2，安全功能要求3、ISO/IEC15408-3，安全保證要求與BS7799相比，CC側(cè)重系統(tǒng)和產(chǎn)品的技術(shù)指標評價上。第56頁，共103頁，2022年，5月20日，0點41分，星期一（三）ISO/IEC TR13335名稱：曾用名，“IT安全管理指南”，現(xiàn)名， “信息和通信

25、技術(shù)安全管理”，是一個信息安全管理方面的指導(dǎo)性標準，目的是為有效實施IT安全管理提供建議和支持。共分5個部分：第57頁，共103頁，2022年，5月20日，0點41分，星期一ISO/IEC 133351：1996 IT安全概念與模型ISO/IEC 133352：1997 IT安全管理和計劃ISO/IEC 133353：1998 IT安全管理技術(shù)ISO/IEC 133354：2000 安全措施的選擇ISO/IEC 133355：2001 網(wǎng)絡(luò)安全管理指南第58頁，共103頁，2022年，5月20日，0點41分，星期一ISO/IEC TR 13335 與BS7799的比較：后者只是一個指導(dǎo)性的文件

26、，并不是可依據(jù)的認證標準，也沒有給出一個全面完整的信息安全管理框架；但是后者在IT安全的具體環(huán)節(jié)上切入點較深，可實施性較好，另外其風(fēng)險評估方法過程較清晰。第59頁，共103頁，2022年，5月20日，0點41分，星期一（四）SSE-CMM由美國國家安全局開發(fā)，是專門用于系統(tǒng)安全工程能力成熟度模型。該模型將系統(tǒng)安全工程成熟度分為5個等級。幾者比較： SSE-CMM和CC都是評估標準，均可將評估對象劃分為不同的等級，但后者針對的是安全系統(tǒng)或安全產(chǎn)品的測評，前者針對的是安全工程過程第60頁，共103頁，2022年，5月20日，0點41分，星期一SSE-CMM和BS7799都提出了一系列最佳慣例，但后

27、者是一個認證標準而無實現(xiàn)過程；前者是一個評估標準，定義了實現(xiàn)最終安全目標所需要的一系列過程。二者可以互補使用。第61頁，共103頁，2022年，5月20日，0點41分，星期一（五）NIST SP 800系列由美國國家標準技術(shù)協(xié)會發(fā)布，主要內(nèi)容是針對信息安全技術(shù)和管理領(lǐng)域的實踐參考指南，包括四項：SP800-12：計算機安全介紹SP800-30: IT系統(tǒng)風(fēng)險管理指南SP800-34: IT系統(tǒng)應(yīng)急計劃指南SP800-26: IT系統(tǒng)安全自我評價指南第62頁，共103頁，2022年，5月20日，0點41分，星期一（六）ITIL由英國中央計算機與電信局發(fā)布關(guān)于IT服務(wù)管理最佳實踐的建議和指導(dǎo)方針，

28、目的是解決IT服務(wù)質(zhì)量，是一種基于流程的管理方法，尤其適于企業(yè)的IT部門。其精髓體現(xiàn)為 “一大功能”和“十大流程” ，前者是服務(wù)臺功能。第63頁，共103頁，2022年，5月20日，0點41分，星期一 十大流程：1、服務(wù)支持 2、服務(wù)交付事件管理 服務(wù)水平管理問題管理 可用性管理變更管理 IT服務(wù)財務(wù)管理發(fā)布管理 容量管理配置管理 IT服務(wù)持續(xù)性管理第64頁，共103頁，2022年，5月20日，0點41分，星期一功能比較ITIL與BS7799相比：ITIL關(guān)注的信息技術(shù)更廣泛，側(cè)重于具體的實施流程，但缺少信息安全的內(nèi)容，BS7799可作為ITIL在信息安全方面的補充。第65頁，共103頁，20

29、22年，5月20日，0點41分，星期一（七）CobiT（信息及相關(guān)技術(shù)控制目標）美國信息系統(tǒng)審計與控制協(xié)會發(fā)布是目前世界上最先進、最權(quán)威的安全與信息技術(shù)管理和控制標準。主要目的是為業(yè)界提供關(guān)于IT控制的清晰政策和發(fā)展的良好典范。第66頁，共103頁，2022年，5月20日，0點41分，星期一Cobit與ITIL比較：均關(guān)注廣泛的IT控制，但是更強調(diào)目標要求和度量指標，而后者更關(guān)注實施流程。具體在ISMS的建設(shè)上，Cobit的框架和目標、ITIL的流程都可以供BS7799借鑒，BS7799的目標只是ITIL和Cobit的一個分支。第67頁，共103頁，2022年，5月20日，0點41分，星期一第

30、三節(jié) 信息安全策略一、信息安全策略概述（一）定義：是一種處理安全問題的管理策略的描述，是描述程序目標的高層計劃。安全策略是在效率和安全之間的一個平衡點。三個基本原則：確定性、完整性、有效性（還應(yīng)有宏觀性）第68頁，共103頁，2022年，5月20日，0點41分，星期一（二）信息安全策略的重要性（三）指定信息安全策略的時間任何業(yè)務(wù)動作過程均有風(fēng)險，應(yīng)盡早制定安全策略無策略的開發(fā)，投資和責(zé)任都很大發(fā)生過一次的事故很可能會再次發(fā)生從全局考慮，不要把風(fēng)險孤立對待第69頁，共103頁，2022年，5月20日，0點41分，星期一（四）信息安全策略開發(fā)流程（略）首先要做的是確定保護對象和原因其次要制定安全策

31、略的目標流程：1、確定策略范圍2、風(fēng)險評估、審計3、策略的審查、批準和實施第70頁，共103頁，2022年，5月20日，0點41分，星期一二、制定信息安全策略（一）制定原則1、先進的網(wǎng)絡(luò)安全技術(shù)是網(wǎng)絡(luò)安全的根本保證2、嚴格的安全管理是確保信息安全策略落實的基礎(chǔ)3、嚴格的法律、法規(guī)是網(wǎng)絡(luò)安全保障的堅強后盾第71頁，共103頁，2022年，5月20日，0點41分，星期一（二）信息安全策略的設(shè)計范圍縱向上分：（略）總體安全策略針對特定問題的安全策略針對特定系統(tǒng)的具體策略第72頁，共103頁，2022年，5月20日，0點41分，星期一橫向分：（略）物理安全策略 災(zāi)難恢復(fù)策略網(wǎng)絡(luò)安全策略 事故處理緊急響

32、應(yīng)策略數(shù)據(jù)加密策略 安全教育策略病毒防護策略 口令管理策略數(shù)據(jù)備份策略 補丁管理策略身份認證及授權(quán) 系統(tǒng)變更控制策略系統(tǒng)安全策略 復(fù)查審計策略商業(yè)伙伴、客戶關(guān)系策略第73頁，共103頁，2022年，5月20日，0點41分，星期一（三）有效的信息安全策略的特點滿足大部分需求并能夠維護企業(yè)利益策略應(yīng)該清晰但不能包含太多的細節(jié)策略應(yīng)該不斷加強策略的目標應(yīng)該整合到員工培訓(xùn)課程中去（四）完整信息安全策略的覆蓋范圍第74頁，共103頁，2022年，5月20日，0點41分，星期一三、信息安全策略保護對象（一）信息系統(tǒng)的硬件與軟件隨系統(tǒng)而變化（二）信息系統(tǒng)的數(shù)據(jù)第三方數(shù)據(jù)的使用定義好隱私條例（三）人員權(quán)限和公

33、司行為的合法性第75頁，共103頁，2022年，5月20日，0點41分，星期一四、主要信息安全策略（一）口令策略總體要求 難以破解易于牢記1、網(wǎng)絡(luò)服務(wù)器口令的管理部門負責(zé)人和網(wǎng)絡(luò)管理員同時在場設(shè)定系統(tǒng)管理員記錄封存定期更換并銷毀原記錄封存新記錄發(fā)現(xiàn)泄密及時報告、保護現(xiàn)場，須接到上一級主管部門批示后再更換口令第76頁，共103頁，2022年，5月20日，0點41分，星期一2、用戶口令管理用戶負責(zé)人與系統(tǒng)管理員商定口令，負責(zé)人確認，管理員登記、存檔用戶要求查詢或更換口令需提交申請單網(wǎng)絡(luò)提供用戶自我更新口令功能時，用戶應(yīng)自行定期更換并設(shè)專人負責(zé)保密和維護第77頁，共103頁，2022年，5月20日，

34、0點41分，星期一創(chuàng)建口令規(guī)則通用規(guī)則：保存口令最安全的地方是腦袋和保險箱口令需相當長以合理的方式使用特殊字符、大寫字母、數(shù)字第78頁，共103頁，2022年，5月20日，0點41分，星期一需避免的問題：不要用個人信息不用自己的偶像不用辦公桌（室）上的物品不將口令保存在本地機器或共享的網(wǎng)絡(luò)上第79頁，共103頁，2022年，5月20日，0點41分，星期一（二）計算機病毒和惡意代碼防治策略防護策略須遵守的準則拒絕訪問能力（來歷不明軟件不得進入）病毒檢測能力（能否檢測病毒是重要指標）控制傳播能力清除能力恢復(fù)能力替代操作第80頁，共103頁，2022年，5月20日，0點41分，星期一（三）安全教育與

35、培訓(xùn)策略安全教育的層次性管理人員：企業(yè)信息安全的整體策略和目標，信息安全體系的構(gòu)成、部門建立和制度完善技術(shù)人員：理解策略、掌握評估方法，合理運用安全操作和維護技術(shù)用戶：學(xué)習(xí)操作流程、了解掌握安全策略第81頁，共103頁，2022年，5月20日，0點41分，星期一用戶安全策略內(nèi)容：（略）數(shù)據(jù)和用戶所有權(quán)（數(shù)據(jù)的專用和共享）硬件的使用（明確正確的操作方式）互聯(lián)網(wǎng)的使用（正確的使用方式）帳戶管理、補丁管理、事件報告制度（管理員）策略更新強制執(zhí)行策略（保障）第82頁，共103頁，2022年，5月20日，0點41分，星期一安全教育與培訓(xùn)策略舉例：建立專門的安全教育與培訓(xùn)機構(gòu)制定詳細的安全教育和培訓(xùn)計劃定

36、期對教育和培訓(xùn)結(jié)構(gòu)進行抽查和考核第83頁，共103頁，2022年，5月20日，0點41分，星期一五、信息安全策略的執(zhí)行和維護（一）執(zhí)行責(zé)任聲明和監(jiān)控制度是最重要的保證（二）維護審查和修訂 周期6個月或1年第84頁，共103頁，2022年，5月20日，0點41分，星期一第四節(jié) 信息安全技術(shù)一、物理環(huán)境安全技術(shù)環(huán)境安全：對系統(tǒng)所在環(huán)境的保護設(shè)備安全：設(shè)備防盜、防毀、防電磁輻射干擾等媒體安全：包括媒體數(shù)據(jù)的安全和媒體本身的安全第85頁，共103頁，2022年，5月20日，0點41分，星期一二、通訊鏈路安全技術(shù)（一）鏈路加密技術(shù)設(shè)備管理簡單成本較高第86頁，共103頁，2022年，5月20日，0點41

37、分，星期一第87頁，共103頁，2022年，5月20日，0點41分，星期一說明：鏈路加密技術(shù)在數(shù)據(jù)通過廣域網(wǎng)時，提供加密和解密功能鏈路加密機工作在數(shù)據(jù)鏈路層，每個分支機構(gòu)的廣域網(wǎng)與局域網(wǎng)的邊界處部署一臺鏈路加密機，在數(shù)據(jù)中心局域網(wǎng)與廣域網(wǎng)邊界處，需要一對一進行加密機的部署，形成鏈路加密機群，提供點對點的保護。第88頁，共103頁，2022年，5月20日，0點41分，星期一（二）遠程撥號安全協(xié)議遠程撥入用戶認證服務(wù)協(xié)議規(guī)定了網(wǎng)絡(luò)訪問服務(wù)器與RADIUS服務(wù)器之間的交互操作協(xié)議，完成集中的用戶認證、口令加密、服務(wù)選擇、記賬等。RADIUS服務(wù)器部署在撥號訪問路由器后面，協(xié)同工作，完成 撥入用戶的身份認證和權(quán)限訪問控制。 RADIUS與動態(tài)口令認證機制結(jié)合，能夠提供更加安全的接入認證。第89頁，共103頁，2022年，5月20日，0點41分，星期一第9