信息安全管理基础.ppt

1、核心服务器很重要 2、用两台防火墙形成美丽的纵深防御 3、内网办公机违规外联，使精心设计的网络防御体系，因违规外联形同虚设 * 图一：信息系统是人机交互系统，人是使用的主体，也是破坏和防护的主体之一，所以必然需要管理 图二：安全风险的发现和处理都是管理活动 图三：良好的管理可以变废为宝，而糟糕的管理会使技术措施毫无用处 * 二八原则也叫巴莱多定律，是19世纪末20世纪初意大利经济学家巴莱多提出的。他认为在任何一组东西中，最重要的只占其中一小部分，约20%，其余80%尽管是多数，但却是次要的。这个定律是事物发展的一个普遍规律，广泛适用于自然界、人类社会及思维领域，其核心是在看待和处理问题时要学会分清主次，抓重点，否则，会导致事倍功半。 * CRITICAL SUCCESS FACTORS 盗窃 网络监听 供电故障 后门 未授权访问…… * 系统漏洞 程序Bug 专业人员缺乏 不良习惯 物理环境访问控制措施不当 缺少审计 缺乏安全意识 后门 …… * * * * * 不是用于认证和审核ISMS的标准 * 控制措施 管理风险的方法，包括策略、规程、指南、惯例或组织结构。 它们可以是行政、技术、管理、法律等方面的措施。 * 定级与备案： 《关于开展全国重要信息系统安全等级保护定级工作的通知》是指导定级环节工作的政策文件，该通知部署在全国范围内开展重要信息系统安全等级保护定级工作，标志着全国信息安全等级保护工作的全面开展。 《信息安全等级保护备案实施细则》是指导备案环节工作的政策文件，该文件规定了公安机关受理信息系统运营使用单位信息系统备案工作的内容、流程、审核等内容，指导各级公安机关受理信息系统备案工作。 建设与整改： 《关于开展信息系统等级保护安全建设整改工作的指导意见》、《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》和《关于进一步推进中央企业信息安全等级保护工作的通知》是指导安全建设整改环节工作的政策文件。 前者明确了非涉及国家秘密信息系统开展安全建设整改工作的目标、内容、流程和要求等； 中者要求非涉密国家电子政务项目开展等级测评和信息安全风险评估要按照《信息安全等级保护管理办法》进行，明确了项目验收条件：公安机关颁发的信息系统安全等级保护备案证明、等级测评报告和风险评估报告； 后者公安部和国资委联合发布的政策文件，对中央企业信息系统安全等级保护工作提出了明确要求 测评： 《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》和《关于印发信息系统安全等级测评报告模板(试行)的通知》是指导等级测评环节工作的政策文件。 前者确定了开展信息安全等级保护测评体系建设和等级测评工作的目标、内容和工作要求，规定了测评机构的条件、业务范围和禁止行为，规范了测评机构申请、受理、测评工程师管理、测评能力评估、审核、推荐的流程和要求； 后者明确了等级测评活动的内容、方法和测评报告格式等。 检查 《公安机关信息安全等级保护检查工作规范(试行)》和《关于开展信息安全等级保护专项监督检查工作的通知》是指导监督检查环节工作的政策文件。 前者规定了公安机关开展信息安全等级保护检查工作的内容、程序、方式以及相关法律文书等。 后者是公安部发给各公安局公共信息网络安全监察处的文件，要求自 2010 年 9月 15日起至 12 月15 日，在全国范围内开展为期三个月的信息安全等级保护专项监督检查工作，并明确了检查目的、检查内容、检查方式和进度安排。 以上政策文件构成了信息系统安全等级保护工作开展的政策体系，为了组织开展等级保护工作、建设整改工作和等级测评工作明确了工作目标、工作要求和工作流程。 安全测评 第三级信息系统应当每年至少进行一次等级测评 第四级信息系统应当每半年至少进行一次等级测评 第五级信息系统应当依据特殊安全需求进行等级测评。 安全自查 第三级信息系统应当每年至少进行一次自查 第四级信息系统应当每半年至少进行一次自查 第五级信息系统应当依据特殊安全需求进行自查。 安全检查 对第三级信息系统每年至少检查一次 对第四级信息系统每半年至少检查一次。 对跨省或者全国统一联网运行的信息系统的检查，应当会同其主管部门进行。 对第五级信息系统，应当由国家指定的专门部门进行检查 * 以三级为例展开介绍，五级标准尚未列明 * 物理安全： 物理安全主要涉及的方面包括环境安全（防火、防水、防雷击等）设备和介质的防盗窃防破坏等方面。物理安全具体包括：10个控制点 网络安全： 网络安全主要关注的方面包括：网络结构、网络边界以及网络设备自身安全等。网络安全具体包括：7个控制点 主机系统安全： 主机系统安全是包括服务器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。主机安全具体包括：7个控制点 应用安全： 应