信息安全講義課件

信息安全講義中油新疆培訓(xùn)中心網(wǎng)絡(luò)培訓(xùn)部1中石油信息專業(yè)企業(yè)標(biāo)準(zhǔn)信息門戶標(biāo)準(zhǔn)信息系統(tǒng)運維標(biāo)準(zhǔn)基礎(chǔ)設(shè)施建設(shè)與運維標(biāo)準(zhǔn)信息安全標(biāo)準(zhǔn)2信息門戶運行與維護系列企業(yè)標(biāo)準(zhǔn)Q/SY1020-2009《信息門戶系統(tǒng)建設(shè)與運行管理規(guī)定》Q/SY1021-2009《計算機網(wǎng)絡(luò)互聯(lián)技術(shù)規(guī)范》

3信息門戶系統(tǒng)建設(shè)與運行管理規(guī)定管理體系門戶建設(shè)內(nèi)部門戶和外部門戶欄目設(shè)置頁面規(guī)范開發(fā)與測試門戶運行內(nèi)容管理系統(tǒng)管理信息安全權(quán)限管理信息保密4

計算機網(wǎng)絡(luò)互聯(lián)技術(shù)規(guī)范這個規(guī)范定了中石油計算機網(wǎng)絡(luò)的體系結(jié)構(gòu)，協(xié)議規(guī)范，命名規(guī)范，IP劃分等內(nèi)容5信息系統(tǒng)運行維護系列企業(yè)標(biāo)準(zhǔn)——Q/SY1331-2010《信息系統(tǒng)運維管理規(guī)范》——Q/SY1332-2010《信息系統(tǒng)災(zāi)難恢復(fù)管理規(guī)范》6信息系統(tǒng)運維管理規(guī)范一：導(dǎo)則：規(guī)定了基本的原則及各部分關(guān)系二：熱線幫助：熱線的定義、角色、職責(zé)和響應(yīng)流程三：監(jiān)控管理：監(jiān)控對象（設(shè)備、系統(tǒng)、用戶），職責(zé)，角色，工作流程四：事件管理：定義了角色，流程，事件指標(biāo)7信息系統(tǒng)運維管理規(guī)范8信息系統(tǒng)運維管理規(guī)范五：問題管理：調(diào)查事件原因，制定解決方案防止事件再次發(fā)生的流程。本部分定義了問題管理的角色、流程和指標(biāo)六：變更管理：定義了變更流程的角色、流程和度量方法七：配置管理：定義了配置的角色、流程、指標(biāo)和管理報告9信息系統(tǒng)災(zāi)難恢復(fù)管理規(guī)范組織機構(gòu)風(fēng)險分析業(yè)務(wù)影響分析災(zāi)難恢復(fù)需求恢復(fù)策略災(zāi)備中心設(shè)置恢復(fù)預(yù)案應(yīng)急響應(yīng)流程演練與培訓(xùn)10信息技術(shù)專業(yè)基礎(chǔ)設(shè)施層系列企業(yè)標(biāo)準(zhǔn)信息技術(shù)專業(yè)基礎(chǔ)設(shè)施層系列企業(yè)標(biāo)準(zhǔn)共8項標(biāo)準(zhǔn)——Q/SY1333—2010《廣域網(wǎng)建設(shè)與運行維護規(guī)范》；——Q/SY1334—2010《互聯(lián)網(wǎng)出口建設(shè)與運行維護規(guī)范》；——Q/SY1335—2010《局域網(wǎng)建設(shè)與運行維護規(guī)范》；——Q/SY1336—2010《數(shù)據(jù)中心機房建設(shè)規(guī)范》；——Q/SY1337—2010《數(shù)據(jù)中心機房管理規(guī)范》；——Q/SY1338—2010《電子郵件管理規(guī)范》；——Q/SY1339—2010《計算機硬件選型規(guī)范》；——Q/SY1340—2010《計算機軟件選型規(guī)范》。11信息技術(shù)專業(yè)安全系列企業(yè)標(biāo)準(zhǔn)信息技術(shù)專業(yè)基礎(chǔ)設(shè)施層系列企業(yè)標(biāo)準(zhǔn)共六項標(biāo)準(zhǔn)——Q/SY1341—2010《信息系統(tǒng)安全管理規(guī)范》；——Q/SY1342—2010《終端計算機安全管理規(guī)范》；——Q/SY1343—2010《信息安全風(fēng)險評估實施指南》；——Q/SY1344—2010《信息系統(tǒng)密碼安全管理規(guī)范》；——Q/SY1345—2010《計算機病毒與網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)規(guī)范》；——Q/SY1346—2010《信息系統(tǒng)用戶管理規(guī)范》；12信息系統(tǒng)安全管理規(guī)范安全管理管理職能部門中國石油信息化工作領(lǐng)導(dǎo)小組是最高決策部門信息管理部是歸口管理部門各單位信息管理部門負(fù)責(zé)本單位信息安全管理內(nèi)容制定安全管理目標(biāo)劃分信息安全等級風(fēng)險評估與管理用戶管理規(guī)范信息系統(tǒng)安全教育與培訓(xùn)聘用、保密、解聘協(xié)議中加入信息安全條款13信息系統(tǒng)安全管理規(guī)范物理安全根據(jù)國家規(guī)范制定安全策略，實施安全措施，確保人、設(shè)備、環(huán)境、介質(zhì)的安全網(wǎng)絡(luò)安全風(fēng)險評估、安全分級、劃分安全域涉密和非涉密網(wǎng)和計算機的物理隔離關(guān)鍵網(wǎng)絡(luò)設(shè)備冗余實施安全域的安全保障與防護發(fā)現(xiàn)并修補安全漏洞身份鑒別審核設(shè)備運行狀態(tài)，檢查網(wǎng)絡(luò)安全的合規(guī)性14信息系統(tǒng)安全管理規(guī)范信息加密指定適合的加密策略運行安全安全策略制定運行人員管理指定各類安全管理制度規(guī)范建立監(jiān)控和審計規(guī)范15信息系統(tǒng)安全管理規(guī)范訪問控制制定訪問策略并按總公司規(guī)定實現(xiàn)訪問控制安全架構(gòu)與評估災(zāi)難恢復(fù)應(yīng)急響應(yīng)全網(wǎng)中斷、大規(guī)模反動敵對宣傳、四級以上信息系統(tǒng)癱瘓并造成嚴(yán)重后果為一級總部至各區(qū)域中心多條鏈路中斷、內(nèi)外網(wǎng)站全部中斷、三級以上信息系統(tǒng)癱瘓為二級各企事業(yè)單位認(rèn)定對本單位影響較大、但不影響中石油網(wǎng)絡(luò)的情況，二級以上信息系統(tǒng)癱瘓為三級各單位認(rèn)為可能造成較大后果，但不影響上級單位的為四級16終端計算機安全管理規(guī)范物理安全主管部門管理，用戶使用，用戶離開應(yīng)關(guān)閉電源并移去移動設(shè)備并妥善管理運行安全使用正版軟件實現(xiàn)注冊管理，并綁定IP與MAC地址資產(chǎn)管理形成訪問控制策略安全事件監(jiān)控、定位和報警密碼復(fù)雜性取消GUEST用戶、遠(yuǎn)程桌面共享，設(shè)置自動鎖屏病毒防護建設(shè)統(tǒng)一的防毒系統(tǒng)用戶不得傳播病毒，安裝黑客軟件17終端計算機安全管理規(guī)范補丁管理網(wǎng)絡(luò)準(zhǔn)入控制安全檢查，不得雙網(wǎng)介質(zhì)控制監(jiān)控審計備份18信息安全風(fēng)險評估實施指南19信息安全風(fēng)險評估實施指南20信息安全風(fēng)險評估實施指南收集信息資產(chǎn)信息文檔信息安全管理文檔技術(shù)設(shè)施文檔應(yīng)用系統(tǒng)文檔機房環(huán)境文檔21信息安全風(fēng)險評估實施指南評估階段閱讀文檔調(diào)查問卷現(xiàn)場觀察應(yīng)用系統(tǒng)觀察：是否按角色授權(quán)、用戶口令強度、變更管理要求、身份識別、是否加密等機房環(huán)境觀察：選址、防盜、防塵、防雷擊等被評估方工作觀察：出入授權(quán)、安全機制展示22信息安全風(fēng)險評估實施指南評估階段資產(chǎn)識別威脅識別威脅概述威脅作用形式威脅來源23信息安全風(fēng)險評估實施指南24信息安全風(fēng)險評估實施指南評估階段脆弱性識別本地審計主機系統(tǒng)數(shù)據(jù)庫系統(tǒng)路由器審計交換機審計防火墻審計滲透測試人員訪談25信息安全風(fēng)險評估實施指南綜合分析資產(chǎn)賦值脆弱性賦值威脅賦值已有措施分析安全事件可能性賦值安全事件影響分析風(fēng)險等級計算26信息安全風(fēng)險評估實施指南創(chuàng)建報告概述評估綜述評估詳述整改建議附件27信息系統(tǒng)密碼安全管理規(guī)范人員職責(zé)密碼生成長度初始6位應(yīng)用12位強度包含密碼、數(shù)字和符號，不使用典型的弱密碼重復(fù)六個歷史密碼不重復(fù)登錄失敗鎖定密碼管理固定周期密碼更改特殊密碼更改遺忘和泄露處理身份令牌管理28計算機病毒與網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)規(guī)范組織結(jié)構(gòu)信息管理部、各企事業(yè)單位信息管理部門、專家組分級一級特別重大二級重大三級較大四級一般29結(jié)束語當(dāng)你盡了自己的最大努力時，失敗也是偉大的，所以不要放棄，堅持就是正確的。WhenYouDoYourBest,FailureIsGre