信息安全技术交流.ppt

* * * 下面我们来关注这些技术 * * * * * * * 内容安全审计系统 日志信息审计系统 内网安全管理系统 漏洞扫描系统 数据库审计系统 数据备份系统 Web应用防火墙 (WAF) 网页防篡改系统 安全管理平台（SOC） …… 信息安全技术 增强安全组件： 网御解决方案库 等级保护政策法规 分级保护政策法规 应用解决方案库 管理解决方案库 互联网服务 业务受理平台 业务 外联 纵向 级联 内部安全域 虚拟 专网 移动 接入 网络安全管理 终端安全管理 业务安全管理 网御解决方案体系 信息安全概述 信息安全发展 提纲 完整项目过程 完整的项目过程？？？ 需要那些角色？ 项目的具体流程是什么样的？ 我们需要做些什么？ * 针对销售的流程 * 大客户采购流程 * 售前人员与销售经理的协调与配合 项目的成功 销售技能 其他资源 售前技能 项目成功基本要素 感悟--与大家共勉 QR 希望大家 对这次的交流内容有所收获 谢 谢 * * Date * Date * Date * * * * 未来需求主要是软件及服务 标题名称：28pt 黑体, 深蓝色 文本内容：最大28pt 黑体,黑色 PPT名称：32pt 黑体, 白色 单位名称：如售前方案处等24pt 黑体,绿色 ? 2009联想网御 标题名称：28pt 黑体, 深蓝色 文本内容：最大28pt 黑体,黑色 信息安全技术交流 信息安全概述 信息安全发展 提纲 完整项目过程 什么是“信息安全” ? 信息安全基础 信息安全的目标 信息系统中数据与信息的安全与必威体育官网网址 信息系统自身的安全 信息安全的目标 内容的安全 载体的安全 信息安全的三个方面(BS7799/ISO17799) 机密性（Confidentiality） 完整性（Integrity） 可用性（Availability） 信息安全的经典定义 不同环境、不同应用会有不同的侧重 安全工作的两个方面 面向数据和信息的安全 面向访问（人）的安全 客体安全 主体安全 信息安全事件的模式 攻击工具 攻击命令 攻击机制 目标网络 网络漏洞 目标系统 系统漏洞 攻击者 主体 客体 攻击事件和过程 信息安全威胁主体 威胁来源 内部人员（占绝大部分） 准内部人员 特殊身份人员 外部个人和小组（所谓黑客） 竞争对手和恐怖组织 敌对国家和军事组织 自然和不可抗力 信息安全威胁的主体动机 威胁主体动机种类 好奇的黑客（Hacker） 可耻的小偷（Phreaker） 可恶的破坏者（Cracker） 人类的天性 好奇心 这扇门为什么锁上，我能打开吗？ 惰性和依赖心理 安全问题应由专家来关心 恐惧心理 家丑不可外扬 系统自身导致的脆弱性 原理性 BUG 有意（恶意） 管理不当导致的脆弱性 环境安全脆弱性 客体脆弱性产生的原因 信息安全的特征 信息安全的特点 信息化 信息安全 复杂性 只多不少 难量化 看不见摸不着 通信工程 综合布线 机房设计 信息模型 网络建设 应用开发 物理 数学 通信 材料 计算机 软件 政治学 社会学 等 网络吞吐量 运算速度 网络的带宽利用率 数据库TPC指标 应用程序的效率 等性能问题 “安全”（security）的独特内涵 “防范潜在的危机” 信息安全的管理特性 信息安全问题归根结底是 管理问题 安全是相对的 权衡 可用性与安全性 易用性与安全性 经济性与安全性 有步骤分阶段 生命周期特性 只有相对的安全，没有绝对的安全 信息安全标准介绍，什么是标准 标准是对重复性事物和概念所作的统一规定。它以科学、技术和实践经验的综合成果为基础，经有关方面协商一致，由主管机构批准，以特定形式发布，作为共同遵守的准则和依据。 “没有规矩，不成方圆” 主要的信息安全标准－国际标准 发布的机构 安全标准 1 ISO（国际标准组织） ISO17799/ISO27001/ISO27002 ISO/IEC 15408 ISO/IEC 13335 ISO/TR 13569 2 ISACA（信息系统审计与控制学会） COBIT 4.1 3 ISSEA（国际系统安全工程协会） SSE-CMM Systems Security Engineering - Capability Maturity Model 3.0 4 ISSA（信息系统安全协会） GAISP Version 3.0 5 ISF (信息安全论坛） The Standard of Good Practice for Inform