《信息安全策略》PPT課件.ppt

上傳人:w****2 文檔編號:15604025 上傳時間:2020-08-23 格式:PPT 頁數(shù):72 大?。?.36MB
收藏 版權(quán)申訴 舉報 下載
《信息安全策略》PPT課件.ppt_第1頁
第1頁 / 共72頁
《信息安全策略》PPT課件.ppt_第2頁
第2頁 / 共72頁
《信息安全策略》PPT課件.ppt_第3頁
第3頁 / 共72頁

下載文檔到電腦,查找使用更方便

14.9 積分

下載資源

還剩頁未讀,繼續(xù)閱讀

資源描述:

《《信息安全策略》PPT課件.ppt》由會員分享,可在線閱讀,更多相關(guān)《《信息安全策略》PPT課件.ppt(72頁珍藏版)》請在裝配圖網(wǎng)上搜索。

1、1,信息安全策略,2,目錄,3,一、信息安全策略概述,4,1.信息安全策略的定義,計算機安全研究組織SANS:“為了保護(hù)存儲在計算機中的信息,安全策略要確定必須做什么,一個好的策略有足夠多做什么的定義,以便于執(zhí)行者確定如何做,并且能夠進(jìn)行度量和評估”。 一組規(guī)則,這組規(guī)則描述了一個組織要實現(xiàn)的信息安全目標(biāo)和實現(xiàn)這些信息安全目標(biāo)的途徑。 信息安全策略是一個組織關(guān)于信息安全的基本指導(dǎo)規(guī)則。 信息安全策略提供:信息保護(hù)的內(nèi)容和目標(biāo),信息保護(hù)的職責(zé)落實,實施信息保護(hù)的方法,事故的處理,5,安全策略的引入,信息安全策略從本質(zhì)上來說是描述組織具有哪些重要 信息資產(chǎn),并說明這些信息資產(chǎn)如何被保護(hù)的一個計劃。

2、,安全策略是進(jìn)一步制定控制規(guī)則和安全程序的必要基礎(chǔ)。,,安全策略本質(zhì)上是非形式化的,也可以是高度數(shù)學(xué)化的。,安全策略將系統(tǒng)的狀態(tài)分為兩個集合: 已授權(quán)的和未授權(quán)的。,6,1.1 安全策略的引入,制定信息安全策略的目的:,如何使用組織中的信息系統(tǒng)資源; 如何處理敏感信息; 如何采用安全技術(shù)產(chǎn)品。,,7,1.1 安全策略的引入,安全策略涉及的問題:,敏感信息如何被處理? 如何正確地維護(hù)用戶身份與口令,以及其他賬 號信息? 如何對潛在的安全事件和入侵企圖進(jìn)行響應(yīng)? 如何以安全的方式實現(xiàn)內(nèi)部網(wǎng)及互聯(lián)網(wǎng)的連接? 怎樣正確使用電子郵件系統(tǒng)?,,8,安全策略,保密性策略,可用性策略,完整性策略,安全策略的層

3、次,信息安全方針,具體的信息安全策略,9,信息安全方針,信息安全方針就是組織的信息安全委員會或管理機構(gòu) 制定的一個高層文件,是用于指導(dǎo)組織如何對資產(chǎn),包括敏感性信息進(jìn)行管理、保護(hù)和分配的規(guī)則和指示。 信息安全的定義,總體目標(biāo)和范圍,安全對信息共享 的重要性; 管理層意圖、支持目標(biāo)和信息安全原則的闡述; 信息安全控制的簡要說明,以及依從法律法規(guī)要求對 組織的重要性; 信息安全管理的一般和具體責(zé)任定義,包括報告安全 事故等。,10,安全程序,安全程序是保障信息安全策略有效實施的、具體化的、過程性的措施,是信息安全策略從抽象到具體,從宏觀管理層落實到具體執(zhí)行層的重要一環(huán)。 程序是為進(jìn)行某項活動所規(guī)定

4、的途徑或方法。 信息安全管理程序包括: 實施控制目標(biāo)與控制方式的安全控制程序; 為覆蓋信息安全管理體系的管理與運作的程序,11,程序文件的內(nèi)容包括: 活動的目的與范圍(Why)。做什么(What) 誰來做(Who)何時(When)何地(Where) 如何做(How),程序文件應(yīng)遵循的原則: 一般不涉及純技術(shù)性的細(xì)節(jié) 針對影響信息安全的各項活動目標(biāo)的執(zhí)行做出的規(guī)定 應(yīng)當(dāng)簡練、明確和易懂 應(yīng)當(dāng)采用統(tǒng)一的結(jié)構(gòu)與格式編排,12,2.信息安全策略的特點,指導(dǎo)性 原則性 可審核性 非技術(shù)性 現(xiàn)實可行性 動態(tài)性 文檔化,13,3.信息安全策略的地位,必須有相應(yīng)的措施保證信息安全策略得到強制執(zhí)行 管理層不得允

5、許任何違反信息安全策略的行為存在 信息安全策略必須有清晰和完全的文檔描述 需要根據(jù)業(yè)務(wù)情況的變化不斷的修改和補充信息安全策略,14,4.功能,信息安全策略的主要功能就是要建立一套安全需求、控制措施及執(zhí)行程序,定義安全角色賦予管理職責(zé),陳述組織的安全目標(biāo),為安全措施在組織的強制執(zhí)行建立相關(guān)輿論與規(guī)則的基礎(chǔ)。,15,信息安全策略的保護(hù)對象,16,信息安全策略,網(wǎng)絡(luò)設(shè)備安全 服務(wù)器安全 信息分類 信息保密 用戶賬戶與口令 遠(yuǎn)程訪問,反病毒 防火墻及入侵檢測 安全事件調(diào)查與響應(yīng) 災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)性計劃 風(fēng)險評估 信息系統(tǒng)審計,17,信息安全策略的設(shè)計范圍,18,信息安全策略的設(shè)計范圍,19,信息安全

6、策略的設(shè)計范圍,20,安全策略的格式,1.目標(biāo) 2.范圍 3.策略內(nèi)容 4.角色責(zé)任 5.執(zhí)行紀(jì)律 6.專業(yè)術(shù)語 7.版本歷史,21,安全策略的格式,1.目標(biāo) 建立信息系統(tǒng)安全的總體目標(biāo),定義信息安全的管理結(jié)構(gòu)和提出對組織成員的安全要求 。 信息安全策略必須有一定的透明度并得到高層管理層的支持,這種透明度和高層支持必須在安全策略中有明確和積極的反映。 信息安全策略要對所有員工強調(diào)“信息安全,人人有責(zé)”的原則,使員工了解自己的安全責(zé)任與義務(wù)。,22,安全策略的格式,2.范圍 信息安全策略應(yīng)當(dāng)有足夠的范圍廣度,包括組織的所有信息資源、設(shè)施、硬件、軟件、信息、人員。在某些場合下,安全可以定義特殊的資

7、產(chǎn),比如:組織的主站點、各種重要裝置和大型系統(tǒng)。此外,還應(yīng)包括組織所有信息資源類型的綜述,例如,工作站、局域網(wǎng)、單機等。,23,安全策略的格式,3.策略內(nèi)容 根據(jù)ISO17799中定義,對信息安全策略的描述應(yīng)該集中在三個方面:機密性、完整性和可用性,這三種特性是組織建立信息安全策略的出發(fā)點。機密性是指信息只能由授權(quán)用戶訪問,其他非授權(quán)用戶、或非授權(quán)方式不能訪問。完整性就是保證信息必須是完整無缺的,信息不能被丟失、損壞,只能在授權(quán)方式下修改。可用性是指授權(quán)用戶在任何時候都可以訪問其需要的信息,信息系統(tǒng)在各種意外事故、有意破壞的安全事件中能保持正常運行。,24,安全策略的格式,3.策略內(nèi)容 根據(jù)給

8、定的環(huán)境,應(yīng)當(dāng)給員工明確描述與這些特性相關(guān)的信息安全要求,組織的信息安全策略應(yīng)當(dāng)以員工熟悉的活動、信息、術(shù)語等方式來反映特定環(huán)境下的安全目標(biāo), 例如,組織在維護(hù)大型但機密性要求并不高的數(shù)據(jù)庫時,其安全目標(biāo)主要是減少錯誤、數(shù)據(jù)丟失或數(shù)據(jù)破壞;如果組織對數(shù)據(jù)的機密性要求高時,安全目標(biāo)的重點就會轉(zhuǎn)移到防止數(shù)據(jù)的非授權(quán)泄露。,25,安全策略的格式,4.角色責(zé)任 信息安全策略除了要建立安全程序及程序管理職責(zé)外,還需要在組織中定義各種角色并分配責(zé)任,明確要求,比如:部分業(yè)務(wù)管理人員、應(yīng)用系統(tǒng)所有者、數(shù)據(jù)用戶、計算機系統(tǒng)安全小組等。 在某些情況下,信息安全策略中要理順組織中的各種個體與團(tuán)體的關(guān)系,以避免在履

9、行各自的責(zé)任與義務(wù)時發(fā)生沖突。,26,安全策略的格式,5.執(zhí)行紀(jì)律 沒有一個正式的、文件化的安全策略,管理層不可能制定出懲戒執(zhí)行標(biāo)準(zhǔn)與機制,信息安全策略是組織制定和執(zhí)行紀(jì)律措施的基礎(chǔ)。信息安全策略中應(yīng)當(dāng)描述與安全策略損害行為的類型與程度相對應(yīng)的懲戒辦法。 還要考慮到有時員工違反安全策略并非是有意的,有時也可能是對安全策略缺乏必要的了解造成的。對于這種情況,信息安全策略要預(yù)先采取措施,在合理的期限內(nèi),進(jìn)行相關(guān)安全策略介紹和安全意識教育培訓(xùn)。,27,安全策略的格式,6.專業(yè)術(shù)語 對于信息安全策略中涉及的專業(yè)術(shù)語作必要的描述,使組織成員對策略的了解不會產(chǎn)生歧義。 7.版本歷史 對策略版本在各個階段的

10、修訂情況作出說明,28,二、信息安全策略的制定,29,1.制定信息安全策略的原則,先進(jìn)的網(wǎng)絡(luò)安全技術(shù)是網(wǎng)絡(luò)安全的根本保證 嚴(yán)格的安全管理是確保信息安全策略落實的基礎(chǔ) 嚴(yán)格的法律、法規(guī)是網(wǎng)絡(luò)安全保障的堅強后盾 具體原則 起點進(jìn)入原則 長遠(yuǎn)安全預(yù)期原則 最小特權(quán)原則 公認(rèn)原則 適度復(fù)雜與經(jīng)濟(jì)原則,30,2.策略的制定需要達(dá)成的目標(biāo),減少風(fēng)險,遵從法律和規(guī)則,確保組織運作的連續(xù)性、信息完整性和機密性。,31,3.信息安全策略的依據(jù),國家法律、法規(guī)、政策 行業(yè)規(guī)范 相關(guān)機構(gòu)的約束 機構(gòu)自身的安全需求,32,制定流程,具體的制定過程如下: 確定信息安全策略的范圍 風(fēng)險評估/分析或者審計 信息安全策略的審

11、查、批準(zhǔn)和實施 具體如下,33,制定流程,理解組織業(yè)務(wù)特征,充分了解組織業(yè)務(wù)特征是設(shè)計信息安全策略的前提;,對組織業(yè)務(wù)的了解包括對其業(yè)務(wù)內(nèi)容、性質(zhì)、目標(biāo) 及其價值進(jìn)行分析。,得到管理層的明確支持與承諾,使制定的信息安全策略與組織的業(yè)務(wù)目標(biāo)一致; 使制定的安全方針、政策和控制措施可以在組 織的上上下下得到有效的貫徹; 可以得到有效的資源保證。,34,制定流程,組建安全策略制定小組,高級管理人員; 信息安全管理員; 信息安全技術(shù)人員; 負(fù)責(zé)安全策略執(zhí)行的管理人員; 用戶部門人員。,確定信息安全整體目標(biāo),通過防止和最小化安全事故的影響,保證業(yè)務(wù)持續(xù) 性,使業(yè)務(wù)損失最小化,并為業(yè)務(wù)目標(biāo)的實現(xiàn)提供保障。

12、,35,制定流程,確定安全策略范圍,組織需要根據(jù)自己的實際情況確定信息安全策略要 涉及的范圍,可以在整個組織范圍內(nèi)、或者在個別部門 或領(lǐng)域制定信息安全策略 。,風(fēng)險評估與選擇安全控制,風(fēng)險評估的結(jié)果是選擇適合組織的控制目標(biāo)與控制 方式的基礎(chǔ),組織選擇出了適合自己安全需求的控制目 標(biāo)與控制方式后,安全策略的制定才有了最直接的依據(jù)。,起草擬定安全策略,安全策略要盡可能地涵蓋所有的風(fēng)險和控制,沒有 涉及的內(nèi)容要說明原因,并闡述如何根據(jù)具體的風(fēng)險和 控制來決定制訂什么樣的安全策略。,36,制定流程,評估安全策略,安全策略是否符合法津、法規(guī)、技術(shù)標(biāo)準(zhǔn)及合同的要求? 管理層是否已批準(zhǔn)了安全策略,并明確承諾

13、支持政策的實施? 安全策略是否損害組織、組織人員及第三方的利益? 安全策略是否實用、可操作并可以在組織中全面實施? 安全策略是否滿足組織在各個方面的安全要求? 安全策略是否已傳達(dá)給組織中的人員與相關(guān)利益方,并得到了 他們的同意?,37,制定流程,實施安全策略,把安全方針與具體安全策略編制成組織信息安全策略 手冊,然后發(fā)布到組織中的每個組織人員與相關(guān)利益方。,幾乎所有層次的所有人員都會涉及到這些政策; 組織中的主要資源將被這些政策所涵蓋; 將引入許多新的條款、程序和活動來執(zhí)行安全策略。,組織所處的內(nèi)外環(huán)境在不斷變化; 信息資產(chǎn)所面臨的風(fēng)險也是一個變數(shù); 人的思想和觀念也在不斷的變化。,政策的持續(xù)

14、改進(jìn),38,制定流程,信息安全策略應(yīng)主要依靠組織所處理和使用的信息特性推動制定。 在制定一整套信息安全策略時,應(yīng)當(dāng)參考一份近期的風(fēng)險評估或信息審計,以便清楚了解組織當(dāng)前的信息安全需求。對曾出現(xiàn)的安全事件的總結(jié),也是一份有價值的資料。 為了確定哪些部分需要進(jìn)一步注意,應(yīng)收集組織當(dāng)前所有相關(guān)的策略文件。也可以參考國際標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)來獲得指導(dǎo)。 資料收集階段的工作非常重要,很多時候因為工作量和實施難度被簡化操作。,39,制定流程,在制定策略之前,對現(xiàn)狀進(jìn)行徹底調(diào)研的另一個作用是要弄清楚內(nèi)部信息系統(tǒng)體系結(jié)構(gòu)。信息安全策略應(yīng)當(dāng)與已有的信息系統(tǒng)結(jié)構(gòu)相一致,并對其完全支持。這一點不是針對信息安全體系結(jié)構(gòu),

15、而是針對信息系統(tǒng)體系結(jié)構(gòu)。信息安全策略一般在信息系統(tǒng)體系結(jié)構(gòu)確立以后制定,以保障信息安全體系實施、運行。,40,制定流程,收集完上面所提到的材料后,開始根據(jù)前期的調(diào)研資料制定信息安全策略文檔初稿,并尋找直接相關(guān)人員對其進(jìn)行小范圍的評審。對反饋意見進(jìn)行修改后,逐漸的擴大評審的范圍。當(dāng)所有的支持部門做出修改后,交由信息安全管理委員會評審。 信息安全策略的制定過程有很高的政策性和個性,反復(fù)的評審過程能夠讓策略更加清晰、簡潔,更容易落地,為此在評審的過程中需要調(diào)動參與積極性,而不是抵觸。,41,制定流程,評審過程的最后一步一般由總經(jīng)理、總裁、首席執(zhí)行官簽名。在人員合同中應(yīng)當(dāng)表明能予遵守并且這是繼續(xù)雇

16、傭的條件。也應(yīng)當(dāng)發(fā)放到內(nèi)部服務(wù)器、網(wǎng)頁以及一些宣傳版面上的顯眼位置,并附有高層管理者的簽名,以表明信息安全策略文檔得到高層領(lǐng)導(dǎo)強有力的支持。經(jīng)驗表明,高層的支持對策略的實施落地是非常重要的。,42,制定流程,一般來說,在信息安全策略文件評審過程中,會得到組織內(nèi)部各方多次評審和修訂,其中最為重要的是信息安全管理委員會。信息安全委員會一般由信息部門人員組成,參與者一般包括以下部門的成員:信息安全、內(nèi)部審計、物理安全、信息系統(tǒng)、人力資源、法律、財政和會計部。這樣一個委員會本質(zhì)上是監(jiān)督信息安全部門的工作,負(fù)責(zé)篩選提煉已提交的策略,以便在整個組織內(nèi)更好的實施落地。,43,組織的安全策略,信息對組織的運作

17、和發(fā)展所起到的作用越來越大,信息安全問題備受關(guān)注。信息安全是指信息的保密性、完整性和可用性的保持,其終極目標(biāo)是降低組織的業(yè)務(wù)風(fēng)險,保持可持續(xù)發(fā)展;另外,信息安全問題不單純是技術(shù)問題,它是涉及很多方面(歷史、文化、道德、法律、管理、技術(shù)等)的一個綜合性問題,單純從技術(shù)角度考慮是不可能得到很好解決的。 我們在這里討論的組織是指在既定法律環(huán)境下的盈利組織和非盈利組織,其規(guī)模和性質(zhì)不足以直接改變所在國家或地區(qū)的信息安全法律法規(guī)。,44,組織的安全策略,1.組織應(yīng)該有一個完整的信息安全策略 我們可以通過下面一個例子來理解這種情況。 某設(shè)計院有工作人員25人,每人一臺計算機,Windows 98對等網(wǎng)絡(luò)通

18、過一臺集線器連接起來,公司沒有專門的IT管理員。公司辦公室都在二樓,同一樓房內(nèi)還有多家公司,在一樓入口處趙大爺負(fù)責(zé)外來人員的登記,但是他經(jīng)常分辨不清楚是不是外來人員。設(shè)計院由市內(nèi)一家保潔公司負(fù)責(zé)樓道和辦公室的清潔工作。總經(jīng)理陳博士是位老設(shè)計師,他經(jīng)常撥號到Internet訪問一些設(shè)計方面的信息,他的計算機上還安裝了代理軟件,其他人員可以通過這個代理軟件訪問Internet。如果該設(shè)計院的信息安全管理停留在一種放任的狀態(tài),會發(fā)生什么問題呢?下列情況都是有可能的:,45,,小偷順著一樓的防護(hù)欄潛入辦公室偷走了 保潔公司人員不小心弄臟了準(zhǔn)備發(fā)給客戶的設(shè)計方案;錯把掉在地上的合同稿當(dāng)廢紙收走了;不小心

19、碰掉了墻角的電源插銷 某設(shè)計師張先生是公司的骨干,他嫌公司提供的設(shè)計軟件版本太舊,自己安裝了盜版的新版本設(shè)計程序。盡管這個盜版程序使用一段時間就會發(fā)生莫名其妙的錯誤導(dǎo)致程序關(guān)閉,可是張先生還是喜歡新版本的設(shè)計程序,并找到一些辦法避免錯誤發(fā)生時丟失文件。,46,,后來張先生離開設(shè)計院,新員工小李使用原來張先生的計算機。小李抱怨了多次計算機不正常,沒有人理會,最后決定自己重新安裝操作系統(tǒng)和應(yīng)用程序。 小李把自己感覺重要的文件備份到陳博士的計算機上,聽朋友介紹Windows2000比較穩(wěn)定,他決定安裝Windows2000,于是他就重新給硬盤分區(qū),成功完成了安裝。,47,,陳博士對張先生的不辭而別沒

20、有思想準(zhǔn)備,甚至還沒來得及交接一下張先生離開時正負(fù)責(zé)的幾個設(shè)計項目。這幾天他一閑下來就整理張先生的設(shè)計方案,可是突然一天提示登錄原來張先生的那臺計算機需要密碼了。小李并不熟悉Windows2000,只是說自己并沒有設(shè)置密碼。,48,,盡管小李告訴陳博士已經(jīng)把文件備份在陳博士的計算機上,可是陳博士沒有找到自己需要的文件。 大家通過陳博士的計算機訪問Internet,收集了很多有用的資料??墒亲罱脦着_計算機在啟動的時候就自動連接上Internet,陳博士收到幾封主題不同的電子郵件,內(nèi)容竟然包括幾個還沒有提交的設(shè)計稿,可是員工都說沒有發(fā)過這樣的信。 ,49,組織的安全策略,一個正式的信息安全策略應(yīng)

21、該包括下列信息 適用范圍:包括人員和時間上的范圍。 目標(biāo).例如防病毒策略的目標(biāo)可以是:“為了正確執(zhí)行對計算機病毒、蠕蟲、特洛伊木馬的預(yù)防、偵測和清除過程,特制定本策略”。 策略主體。 策略簽署。 策略的生效時間和有效期(或者重新評審時間)。,50,組織的安全策略,一個正式的信息安全策略應(yīng)該包括下列信息 重新評審策略的時機。策略除了常規(guī)的評審時機,在下列情況下也需要重新評審:管理體系發(fā)生很大變化、相關(guān)法律法規(guī)發(fā)生了變化、信息系統(tǒng)或者信息技術(shù)發(fā)生大的變化、組織發(fā)生了重大的安全事故。 與其他相關(guān)策略的引用關(guān)系。 策略解釋、疑問響應(yīng)的人員或者部門。 策略的格式可以根據(jù)組織的慣例自行選擇,所列舉的項目也

22、可以做適當(dāng)?shù)脑鰟h。例,51,組織的安全策略,信息安全策略的主體內(nèi)容 信息安全策略通常不是一篇文檔,根據(jù)組織的復(fù)雜程度還可能分成幾個層次,其主題內(nèi)容各不相同。但是每個主題的策略都應(yīng)該簡潔、清晰的闡明什么行為是組織所望的,提供足夠的信息,保證相關(guān)人員僅通過策略自身就可以判斷哪些策略內(nèi)容是和自己的工作環(huán)境相關(guān)的,是適用于哪些信息資產(chǎn)和處理過程的。,52,組織的安全策略,信息安全策略的主體內(nèi)容 通常一個組織可能會考慮開發(fā)下列主題的信息安全策略: 1.環(huán)境和設(shè)備的安全 2.信息資產(chǎn)的分級和人員責(zé)任 3.安全事故的報告與響應(yīng) 4.第三方訪問的安全性 5.委外處理系統(tǒng)的安全 6.人員的任用、培訓(xùn)和職責(zé) 7.

23、系統(tǒng)策劃、驗收、使用和維護(hù)的安全要求,53,組織的安全策略,信息安全策略的主體內(nèi)容 8.信息與軟件交換的安全 9.計算級和網(wǎng)絡(luò)的訪問控制和審核 10.遠(yuǎn)程工作的安全 11.加密技術(shù)控制 12.備份、災(zāi)難恢復(fù)和可持續(xù)發(fā)展的要求 13.符合法律法規(guī)和技術(shù)指標(biāo)的要求,54,組織的安全策略,要衡量一個信息安全策略整體優(yōu)劣可以考慮的因素包括: 目的性:策略是為組織完成自己的使命而制定的,策略應(yīng)該反映組織的整體利益和可持續(xù)發(fā)展的要求; 適用性:策略應(yīng)該反映組織的真實環(huán)境,反映但前信息安全的發(fā)展水平; 可行性:策略應(yīng)該具有切實可行性,其目標(biāo)應(yīng)該可以實現(xiàn),并容易測量和審核。沒有可行性的策略不僅浪費時間還會引起

24、政策混亂; 經(jīng)濟(jì)性:策略應(yīng)該經(jīng)濟(jì)合理,過分復(fù)雜和草率都是不可取的。 完整性:能夠反映組織的所有業(yè)務(wù)流程安全需要;,55,組織的安全策略,要衡量一個信息安全策略整體優(yōu)劣可以考慮的因素包括: 一致性:策略的一致性包括下面三個層次: 和國家、地方的法律法規(guī)保持一致 和組織已有的策略(方針)保持一致 整體安全策略保持一致,要反映企業(yè)對信息安全一般看法,保證用戶不把該策略看成是不合理的,甚至是針對某個人的。 彈性:策略不僅要滿足當(dāng)前的組織要求,還要滿足組織和環(huán)境在未來一段時間內(nèi)發(fā)展的要求。,56,組織的安全策略,如何使信息安全策略得到貫徹 信息安全策略的實施關(guān)鍵是如何把策略準(zhǔn)確傳達(dá)給每一位相關(guān)人員。

25、根據(jù)信息安全策略開發(fā)或者修改信息操作程序文件,即建立一個文件化的信息安全管理體系,在組織的相應(yīng)程序文件中體現(xiàn)策略的有關(guān)要求。 能力和意識的培訓(xùn)是一種好方法,在組織缺乏程序文件的時候作用更是不可忽略。 審核是策略得以實施的保障,組織必須有成文的審核辦法,詳細(xì)規(guī)定審核的周期和技術(shù)手段,及時發(fā)現(xiàn)問題及時解決。,57,三、主要的安全策略,58,網(wǎng)絡(luò)服務(wù)器口令的管理,(1)服務(wù)器的口令,由部門負(fù)責(zé)人和系統(tǒng)管理員商議確定,必須兩人同時在場設(shè)定。 (2)服務(wù)器的口令需部門負(fù)責(zé)人在場時,由系統(tǒng)管理員記錄封存。 (3)口令要定期更換(視網(wǎng)絡(luò)具體情況),更換后系統(tǒng)管理員要銷毀原記錄,將新口令記錄封存。 (4)如發(fā)

26、現(xiàn)口令有泄密跡象,系統(tǒng)管理員要立刻報告部門負(fù)責(zé)人,有關(guān)部門負(fù)責(zé)人報告安全部門,同時,要盡量保護(hù)好現(xiàn)場并記錄,須接到上一級主管部門批示后再更換口令。,59,用戶口令的管理,(1)對于要求設(shè)定口令的用戶,由用戶方指定負(fù)責(zé)人與系統(tǒng)管理員商定口令,由系統(tǒng)管理員登記并請用戶負(fù)責(zé)人確認(rèn)(簽字或電話通知)之后系統(tǒng)管理員設(shè)定口令,并保存用戶檔案。 (2)在用戶由于責(zé)任人更換或忘記口令時要求查詢口令或要求更換口令的情況下,需向網(wǎng)絡(luò)服務(wù)管理部門提交申請單,由部門負(fù)責(zé)人或系統(tǒng)管理員核實后,對用戶檔案做更新記載。 (3)如果網(wǎng)絡(luò)提供用戶自我更新口令的功能,用戶應(yīng)自己定期更換口令,并設(shè)專人負(fù)責(zé)保密和維護(hù)工作。,60,

27、防病毒策略,(1)拒絕訪問能力:來歷不明的入侵軟件不得進(jìn)入系統(tǒng)。 (2)病毒檢測能力:系統(tǒng)中應(yīng)設(shè)置檢測病毒的機制。檢測已知類病毒和未知病毒。 (3)控制病毒傳播的能力:系統(tǒng)一定要有控制病毒傳播的能力。 (4)清除能力: (5)恢復(fù)能力:提供高效的方法來恢復(fù)這些數(shù)據(jù)。 (6)替代操作:系統(tǒng)應(yīng)該提供一種替代操作方案。在恢復(fù)系統(tǒng)時可用替代系統(tǒng)工作。,61,安全教育與培訓(xùn)策略,(1)主管信息安全工作的高級負(fù)責(zé)人或各級管理人員:重點是了解、掌握企業(yè)信息安全的整體策略及目標(biāo)、信息安全體系的構(gòu)成、安全管理部門的建立和管理制度的制定等。 (2)負(fù)責(zé)信息安全運行管理及維護(hù)的技術(shù)人員:重點是充分理解信息安全管理策

28、略,掌握安全評估的基本方法,對安全操作和維護(hù)技術(shù)的合理運用等。 (3)用戶:重點是學(xué)習(xí)各種安全操作流程,了解和掌握與其相關(guān)的安全策略,包括自身應(yīng)該承擔(dān)的安全職責(zé)等。,62,可接受使用策略,可接受使用策略(Acceptable Use Policy,AUP)是指這些網(wǎng)絡(luò)能夠被誰使用的約束策略。AUPs的執(zhí)行是隨網(wǎng)絡(luò)變化的。許多公共網(wǎng)絡(luò)服務(wù)有一個AUP。這個AUP是一個正式的或非正式的文件,其定義了網(wǎng)絡(luò)的應(yīng)用意圖、不接受的使用和不服從的結(jié)果。一個人注冊一個基于網(wǎng)絡(luò)的服務(wù)或工作在一個社團(tuán)內(nèi)部網(wǎng)時經(jīng)常會遇到一個AUP。一個好的AUP 將包括網(wǎng)絡(luò)禮節(jié)的規(guī)定,限制網(wǎng)絡(luò)資源的使用和明確指出網(wǎng)絡(luò)應(yīng)該尊敬的成員

29、的隱私,最好的AUPs使“what if”關(guān)一體化,其舉例說明這個策略在現(xiàn)實世界協(xié)商中的作用。,63,四、信息安全策略的執(zhí)行與維護(hù),64,信息安全策略的推進(jìn)手段,1)印刷日歷,強調(diào)每個月不同的策略,將它們張貼在辦公室中。 2)利用幽默和簡單的語言表述信息安全策略,分發(fā)給每個雇員。 3)設(shè)立一些幾十分鐘的內(nèi)部培訓(xùn)課程。 4)進(jìn)行信息安全策略知識競賽。 5)將信息安全策略和標(biāo)準(zhǔn)發(fā)布在內(nèi)部的網(wǎng)站上。 6)向公司員工發(fā)送宣傳信息安全策略的郵件。 7)建立內(nèi)部安全熱線,回答雇員關(guān)于信息安全策略的問題。,65,工具支持,與信息安全策略管理有關(guān)的活動很多,象配置管理,規(guī)則設(shè)置管理,口令管理,缺陷管

30、理,補丁管理,用戶管理等等。為了減少信息安全策略維護(hù)中的勞動,可以使用一些信息安全策略管理工具。 這方面工具有PWC ESAS,PoliVec、PentaSafe、Symantec等。,66,策略實施的建議,在組織內(nèi)部網(wǎng)站或一些媒體發(fā)布策略。 制定自我評估調(diào)查表。 制定遵守信息安全策略的員工協(xié)議表。 建立考察機制檢查員工是否理解策略。 基礎(chǔ)信息安全培訓(xùn)課程。 分配策略落實負(fù)責(zé)人。 通過標(biāo)準(zhǔn)保證策略的執(zhí)行,67,安全策略管理辦法,集中式管理,分布式管理,分布式管理就是將信息系統(tǒng)資源按照不同的類別進(jìn)行劃分, 然后根據(jù)資源類型的不同,由負(fù)責(zé)此類資源管理的部門或人員 負(fù)責(zé)安全策略的制定和實施

31、。,集中式管理就是在整個網(wǎng)絡(luò)系統(tǒng)中,由統(tǒng)一、專門的安全策 略管理部門和人員對信息資源和信息系統(tǒng)使用權(quán)限進(jìn)行計劃和分配。,68,安全策略管理相關(guān)技術(shù),安全策略描述是實現(xiàn)策略管理的基礎(chǔ)。,策略描述語言:PDL、Ponder。,安全策略統(tǒng)一描述技術(shù),安全策略自動翻譯技術(shù),安全策略翻譯是指將統(tǒng)一描述的安全策略翻譯成不 同設(shè)備對應(yīng)的配置命令、配置腳本或策略結(jié)構(gòu)的過程。,69,安全策略管理相關(guān)技術(shù),安全策略一致性檢驗技術(shù),策略之間的沖突很難避免。,策略一致性驗證主要包括策略的語法、語義檢查和 策略沖突檢測兩個方面。,安全策略發(fā)布與分發(fā)技術(shù),“推”模式,“拉”模式,策略的生命周期狀態(tài)包括: 休眠態(tài); 待激活態(tài); 激活態(tài); 掛起態(tài)。,安全策略狀態(tài)監(jiān)控技術(shù),70,信息安全策略的制定過程是怎樣的? 信息安全策略管理有哪些相關(guān)技術(shù)?這些技術(shù)的功能和作用分別是什么?,習(xí)題,第七章 運行與操作安全管理,71,思考,第七章 運行與操作安全管理,信息安全策略在實際網(wǎng)絡(luò)管理中有哪些體現(xiàn)?,72,The end,thank you!,,

展開閱讀全文
溫馨提示:
1: 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

相關(guān)資源

更多
正為您匹配相似的精品文檔
關(guān)于我們 - 網(wǎng)站聲明 - 網(wǎng)站地圖 - 資源地圖 - 友情鏈接 - 網(wǎng)站客服 - 聯(lián)系我們

copyright@ 2023-2025  zhuangpeitu.com 裝配圖網(wǎng)版權(quán)所有   聯(lián)系電話:18123376007

備案號:ICP2024067431-1 川公網(wǎng)安備51140202000466號


本站為文檔C2C交易模式,即用戶上傳的文檔直接被用戶下載,本站只是中間服務(wù)平臺,本站所有文檔下載所得的收益歸上傳人(含作者)所有。裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對上載內(nèi)容本身不做任何修改或編輯。若文檔所含內(nèi)容侵犯了您的版權(quán)或隱私,請立即通知裝配圖網(wǎng),我們立即給予刪除!