当前位置:文档之家 › 信息安全策略及实施方法.ppt

信息安全策略及实施方法.ppt

  • 格式:ppt
  • 大小:1.55 MB
  • 文档页数:73

下载文档原格式

  / 73

合集下载

信息安全技术与实施培训教材(共 33张PPT)

信息安全技术与实施培训教材(共 33张PPT)
信息安全技术与实施
序言 随着科学技术的迅猛发展和信息技术的广泛应用,特别是我国国民经济和社会 信息化进程的全面加快,网络与信息系统的基础性、全局性作用日益增强, 信息安全已经成为国家安全的重要组成部分。近年来,在党中央、国务院的 领导下,我国信息安全保障工作取得了明显成效,建设了一批信息安全基础 设施,加强了互联网信息内容安全管理,为维护国家安全与社会稳定、保障 和促进信息化健康发展发挥了重要作用。 但是,我国信息安全保障工作仍存在一些亟待解决的问题:网络与信息系统 的防护水平不高,应急处理能力不强;信息安全管理和技术人才缺乏,关键 技术整体上还比较落后,产业缺乏核心竞争力;信息安全法律法规和标准不 完善;全社会的信息安全意识不强,信息安全管理薄弱等。与此同时,网上 有害信息传播、病毒入侵和网络攻击日趋严重,网络泄密事件屡有发生,网 络犯罪呈快速上升趋势,境内外敌对势力针对广播电视卫星、有线电视和地 面网络的攻击破坏活动和利用信息网络进行的反动宣传活动日益猖獗,严重 危害公众利益和国家安全,影响了我国信息化建设的健康发展。随着我国信 息化进程的逐步推进,特别是互联网的广泛应用,信息安全还将面临更多新 的挑战。
现有技术可以减轻管理负担。要加强机构(企业)网络内操作系统的安 全,需要做到以下三方面: 首先对网络上的服务器进行配置应该在一个地方进行,大多数用户大概 需要数十种不同的配置。然后,这些配置文件的一个镜像或一组镜 像在软件的帮助下可以通过网络下载。软件能够自动管理下载过程, 不需要为每台服务器手工下载。此外,即使有些重要的配置文件, 也不应该让本地管理员对每台服务器分别配置,最好的办法就是一 次性全部设定。一旦网络配置完毕,管理员就要核实安全策略的执 行情况,定义用户访问权限,确保所有配置正确无误。管理员可以 在网络上运行(或远程运行)代理程序,不断监控每台服务器。代 理程序不会干扰正常操作。 其次,帐户需要加以集中管理,以控制对网络的访问,并且确保用户拥 有合理访问机构资源的权限。策略、规则和决策应在一个地方进行, 而不是在每台计算机上进行,然后为用户系统配置合理的身份和许 可权。身份生命周期管理程序可以自动管理这一过程,减少手工过 程带来的麻烦。 最后,操作系统应该配置成能够轻松、高效地监控网络活动,可以显示 谁在进行连接,谁断开了连接,以及发现来自操作系统的潜在安全 事件。

《信息安全讲座》PPT课件

《信息安全讲座》PPT课件
缺乏有效的内控措施和定期审计
三 典型信息安全案例分析 其他信息安全事件 网络广告:移动大客户资料,低价出售!有意者联系 QQ:305410928 网络广告:移动金卡银卡大客户资料7万 客户投诉移动内部人员泄漏客户资料 某运营商员工利用工作便利散布反动政治言论
关键信息的保密性机制
三 典型信息安全案例分析 钓鱼欺骗事件频频发生,给电子商务和网上银行蒙上阴影
五 计算机安全防护
安装防病毒软件
互联网安全软件
系统安装
使用正版防病毒软件 打开文件实时监控功能 打开邮件实时监控功能 定时升级病毒库 定期全盘扫描 开启防火墙功能
开启网页实施监控功能 开启木马监控功能 设置系统漏洞自动安装 设置阻止网页弹出插件功能 禁止自启动软件
安装新版本的操作系统 断网安装操作系统 设置administrator密码 安装防护软件 安装系统补丁
四 信息安全防范策略
安全的基本原则
➢ 可用性 确保授权用户在需要时可以访问信息并使用相关信息资产
➢ 完整性 保护信息和信息的处理方法准确而完整
➢ 机密性 确保只有经过授权的人才能访问信息
四 信息安全防范策略
保密性
完整性
可用性
首先你的钱你不希望别 人知道,因为那是你的
其次你不希望突然有一天发现 自己的钱少了,原来有多少钱 现在还是多少钱
六 信息安全发展趋势
国内信息安全现状
分为4级。大部分单位的信息安全处于1、2级别,少部分达到3级,极少到4级。 第一级别:
主要针对外部威胁,采用防火墙、网络隔离、防病毒等手段进行一些简单防护;没有专门的信息安全人员,安全系统管 理一般由网络管理人员兼任;信息安全仅仅有部分IT人员参与,安全实现的重点在于技术、物理手段防护。

信息安全策略

信息安全策略
提高信息安全风险防范能力
信息安全策略针对组织面临的信息安全威胁和风险,提出了一系列防范措施和应对策略,有利于提高组织对信息安全风险 的防范能力。
保障组织业务发展
信息安全策略保障了组织业务发展的稳定和正常运转,避免因信息安全事件给组织业务带来不必要的损失和影响。
信息安全策略的制定原则
01
基于风险评估
学习安全知识
主动学习信息安全知识,了解 常见的网络攻击手段和防护措
施。
保护他人信息
不泄露他人信息,尊重他人的 隐私权。
06
常见的信息安全策略工具和 技术
防火墙技术
总结词
防火墙是用于阻止未授权访问和通信的安 全设备,通常用于隔离内部网络和外部网 络。
VS
详细描述
防火墙是一组硬件和软件组件的组合,它 可以根据预先定义的规则允许或阻止数据 包的传输。这些规则通常基于源IP地址、 目标IP地址、端口号和应用类型等因素。 防火墙可以阻止恶意软件的入侵和未经授 权的访问,从而保护网络中的计算机免受 攻击。
2023
信息安全策略
目 录
• 信息安全策略概述 • 信息安全策略的制定 • 信息安全策略的实施与执行 • 企业信息安全策略 • 个人信息安全策略 • 常见的信息安全策略工具和技术
01
信息安全策略概述
定义与重要性
定义
信息安全策略是指组织为了降低信息安全风险,提高信息安 全水平,而制定的一套规范和准则。
加密技术
总结词
加密技术是一种将原始数据转换为不可读格式的算法,以保护数据的机密性 和完整性。
详细描述
加密技术使用密钥将原始数据转换为加密数据,使得未经授权的人无法读取 和理解数据。加密技术可用于保护数据的机密性和完整性,以及验证数据的 真实性。常见的加密算法包括对称加密和公钥加密。

《计算机信息安全》课件

《计算机信息安全》课件

密钥管理和协议
探索密钥管理的挑战,并研究 各种密钥协议的安全性和实用 性。
ቤተ መጻሕፍቲ ባይዱ
认证和访问控制
认证和访问控制是信息安全的核心组成部分。我们将学习不同的认证技术和访问控制解决方案,以确保只有授 权用户能够访问敏感数据和资源。
认证基础和技术
了解认证的基本概念和流程,以 及多因素认证和生物识别技术。
访问控制的目标和原则
《计算机信息安全》PPT 课件
计算机信息安全课程涵盖了计算机领域中信息安全的重要性和基本概念。通 过本课程,您将深入了解信息安全威胁和攻击类型,学习保护计算机网络和 数据的技术和方法。
信息安全的重要性
在现代社会,计算机信息安全至关重要。信息泄露和黑客攻击可能导致巨大 的财务损失和声誉风险。我们需要了解信息安全的基本概念,以保护自己和 组织的数据。
计算机网络安全
计算机网络安全涉及保护计算机网络和相关系统免受未经授权的访问、破坏和攻击。我们将研究不同类型的威 胁和攻击,并学习防御和保护技术。
威胁和攻击类型
了解计算机网络中常见的威 胁和攻击类型,如僵尸网络、 拒绝服务攻击和中间人攻击。
网络安全技术
学习保护计算机网络的技术, 如防火墙、入侵检测系统和 加密传输。
研究访问控制的目标和原则,以 及基于角色的访问控制和强制访 问控制。
访问控制常见解决方案
探索访问控制的常见解决方案, 如访问控制列表、基于属性的访 问控制和单点登录。
安全管理和政策
安全管理是确保信息安全的关键。我们将研究安全管理的基本任务和过程,并探索如何制定、实施和评 估安全策略。
1
基本任务和过程
网络安全策略
探索网络安全的最佳实践, 制定适用于组织的网络安全 策略和政策。

《信息安全》PPT课件

《信息安全》PPT课件
VPN(虚拟专用网络)技术通 过在公共网络上建立加密通道 ,确保远程用户安全地访问企 业内部网络资源。VPN技术提 供了数据加密、身份认证和访 问控制等安全功能。
远程访问安全最佳 实践
采用强密码认证、定期更换密 码、限制远程访问权限等安全 措施,确保远程访问的安全。 同时,结合VPN技术,进一步 提高远程访问的安全性。
信息安全风险是指由于威胁的存在而 导致的信息系统或其所在组织的潜在 损失,包括数据泄露、系统瘫痪、财 务损失、声誉损害等。
信息安全法律法规及合规性
信息安全法律法规
各国政府都制定了相应的信息安全法律法规,以确保信息安 全的合法性和规范性。例如,中国的《网络安全法》、欧洲 的《通用数据保护条例》(GDPR)等。
持续改进策略及最佳实践
持续改进策略
定期对信息安全管理体系进行审 查和评估,发现问题及时改进,
确保体系的持续有效运行。
最佳实践分享
借鉴国内外先进的信息安全管理经 验和最佳实践,不断提升组织的信 息安全管理水平。
创新技术应用
积极探索和应用新的信息安全技术 和管理手段,提高信息安全的防护 能力和效率。
THANK YOU
100%
数据备份策略
阐述定期备份数据的重要性,以 及不同备份策略(如完全备份、 增量备份、差异备份等)的优缺 点。
80%
数据恢复技术
探讨数据恢复的概念、方法及最 佳实践,包括文件恢复、数据库 恢复等。
数据泄露防护技术
数据泄露途径
分析数据泄露的常见途径,如 内部泄露、供应链泄露、网络 攻击等。
数据泄露防护策略
风险评估方法与流程
风险评估方法
采用定性与定量相结合的方法,对潜在的信息安全风险进行评估, 包括威胁识别、脆弱性分析、风险值计算等。

信息安全策略

信息安全策略

入侵检测与防御策略
实时监测
防御措施
对系统进行实时监测,发现异常行为或潜在 威胁。
采取主动防御措施,如关闭不必要的服务、 修复漏洞等,减少系统受攻击的可能性。
入侵响应
安全审计
在发现入侵行为时,及时响应并采取措施减 轻损失。
通过安全审计工具对系统进行全面检查,发 现潜在的安全风险。
数据备份与恢复策略
企业信息安全管理制度
制定安全管理制度
企业需要制定一套完善的安全管理制度,明确信 息安全职责、操作规范和流程等。
定期进行安全培训
通过定期的安全培训,提高员工的安全意识和技 能,加强安全防范意识。
定期进行安全检查
通过定期的安全检查,发现和修复潜在的安全隐 患,确保企业信息安全。
企业信息安全风险评估与应对
重要的漏洞。
安全配置管理策略
安全配置标准化
制定标准化的安全配置策略,确保所 有系统的安全配置都符合最佳实践。
安全配置审核与更新
定期对系统进行安全配置审核,并根 据审核结果更新安全配置策略。
安全配置监控与日志 分析
对系统的安全配置进行实时监控,并 对监控日志进行分析,发现并解决潜 在的安全问题。
04
工业信息安全监测与预警
监测网络流量
通过对工业控制系统的网络流量进行实时监测,及时发现异 常流量和网络攻击。
预警机制
建立预警机制,通过分析监测数据,预测可能的安全威胁, 提前采取防范措施。
工业信息安全漏洞管理与补丁政策
漏洞发现与报告
及时发现工业控制系统中的安全漏洞,向厂商或安全机构报告,确保漏洞得 到及时修复。
2023
信息安全策略
contents
目录
• 信息安全策略概述 • 信息安全策略基础 • 信息安全策略进阶 • 企业信息安全策略 • 个人信息安全策略 • 工业信息安全策略

信息安全策略及实施方法

实施信息安全培训:提高员工信息安全意识 和技能
定期进行信息安全审计:检查和评估信息安 全措施的有效性,发现问题及时整改
制定安全规章制度
确定信息安全目标:
1 明确信息安全保护 的目的和范围
制定安全策略:根
2 据目标制定相应的 安全策略和措施
建立安全组织:设 立专门的信息安全
3 管理部门,负责安 全策略的实施和管 理
01
实施安全措施: 根据策略实施相 应的安全措施, 如加密、访问控 制等
03
定期评估和更新: 定期评估安全策 略的有效性,并 根据需要更新和 调整
05
02
制定安全策略: 根据目标制定相 应的安全策略
04
监控和审计:对 实施的安全措施 进行监控和审计, 确保其有效性和 合规性
2
加密技术
01
对称加密:使用 相同的密钥进行
1
机密性:确保信息不被未经授权的人访问
2
完整性:确保信息不被篡改或破坏
3
可用性:确保信息在需要时能够被访问和使用
4
身份验证:确保只有经过授权的人才能访问和使用信息
5
审计与监控:确保对信息的访问和使用进行记录和监控
6
风险评估与应对:对潜在的安全风险进行评估,并制定相应的应对措施
策略的实施步骤
确定信息安全目 标:明确需要保 护的信息和系统
访问特定资源
加密技术:用于保护数 据在传输过程中的机密

入侵检测系统(IDS): 用于检测并应对网络攻

安全补丁和更新:用于 修复已知的安全漏洞
安全策略和规程:用于 指导员工如何保护信息
和系统安全
3
建立安全管理体系
制定信息安全政策:明确信息安全目标、原 则和要求

信息安全管理PPT32页

安全管理价值
安全管理价值
有效的实现风险管理,有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。降低成本ISMS的实施,能降低因为潜在安全事件发生而给组织带来的损失,在信息系统受到侵袭时,能确保业务持续开展并将损失降到最低程度
组织的信息资产可面临许多威胁,包括人员(内部人员和外人员)误操作 (不管有意的,还是无意的)、盗窃、恶意代码和自然灾害等。 另一方面,组织本身存在某些可被威胁者利用或进行破坏的薄弱环节,包括员工缺乏安全意识、基础设施中的弱点和控制中的弱点等。这就导致组织的密级信息资产和应用系统可能遭受未授权访问、修改、泄露或破坏,而使其造成损失,包括经济损失、公司形象损失和顾客信心损失等。
安全组织结构
组织安全职责
安全岗位设置
岗位安全职责
基础安全培训
高级安全培训
中级安全培训
岗位考核管理
安全管理培训
安全巡检小组
确定总体方针
统一安全策略体系
基础制度管理
资产登记管理
主机安全管理
基础流程管理
安全技术管理
网络安全管理
应用安全管理
数据安全管理
应急安全管理
工程安全管理
安全审计管理
身份认证
访问控制(防火墙,网络设备,隔离设备)
制定信息安全方针为信息安全管理提供导向和支持控制目标和控制方式的选择建立在风险评估(技术与管理测评)基础之上预防控制为主的思想原则 动态管理原则 全员参与原则 遵循管理的一般循环模式—PDCA持续改进模式
安全管理的主要要素要包括:建立信息安全管理机构通过信息安全管理机构,可建立各级安全组织、确定相关人员职责、策划信息安全活动和实践等。建立管理体系文件包括战略方针、过程程序文件、作业指导书和记录留痕的文件等。组织各类资源包括建立与实施安全管理体系所需要的合格人员、足够的资金和必要的设备等。安全管理体系建立要确保这些体系要素得到满足。

信息安全及系统维护措施ppt课件

定期审查
定期审查和调整员工的访问权限,确保权限与职责相匹配 。
物理环境安全
物理访问控制
限制对数据中心和关键设施的物理访问,实施严格的门禁管理。
监控和报警系统
安装监控摄像头和报警系统,实时监测异常情况。
环境监测
对数据中心的环境进行实时监测,确保适宜的温湿度和电力供应。
05
系统安全审计与监控
安全审计的目的和内容
分析潜在风险
全面分析可能对信息系统造成威胁的风险因素,包括软硬件故障、 网络攻击、自然灾害等。
制定应对策略
根据潜在风险制定相应的应对策略,包括预防措施、应急处置流程和 恢复计划。
应急响应计划的实施
建立应急响应团队
组建具备专业技能和经 验的应急响应团队,确 保计划的有效执行。
定期演练
定期组织应急响应演练 ,提高团队成员的应急 处置能力。
实时监控与预警
建立实时监控和预警系 统,及时发现和处置安 全事件。
应急响应计划的评估和改进
评估计划效果
对应急响应计划的实际效果进行评估,了解计划的优点和不足。
收集反馈意见
收集相关人员对应急响应计划的意见和建议,为改进提供依据。
持续改进
根据评估结果和反馈意见,持续优化和改进应急响应计划,提高计 划的适应性和有效性。
确保系统安全
评估安全风险
通过安全审计,发现系统中的安全漏洞和 隐患,及时采取措施进行修复,确保系统 的安全性。
安全审计可以对系统的安全性进行全面评 估,识别出可能存在的安全风险,为制定 相应的安全策略提供依据。
提高系统可靠性
符合法律法规要求
通过安全审计,可以发现系统中的错误和 异常,及时进行修复和调整,提高系统的 可靠性和稳定性。

网络与信息安全PPT课件

02 在应急响应过程中,各部门能够迅速响应、密切 配合
03 加强信息共享和沟通,避免信息孤岛和重复工作
持续改进计划制定和执行效果
定期对网络与信息安全应急响 应工作进行全面检查和评估
加强对应急响应人员的培训和 考核,提高其专业素质和能力
针对存在的问题和不足,制 定具体的改进计划和措施
不断改进和完善应急响应机制, 提高应对网络与信息安全事件的 能力
对边界设备进行统一管理和监 控,确保设备正常运行和安全 策略的一致性。
定期对边界设备进行漏洞扫描 和风险评估,及时发现并处置 潜在的安全威胁。
内部网络隔离和访问控制策略
根据业务需求和安全等级,将内 部网络划分为不同的安全区域, 实现不同区域之间的逻辑隔离。
制定详细的访问控制策略,控制 用户对不同网络区域的访问权限, 防止未经授权的访问和数据泄露。
外情况时能够及时恢复。
恢复流程
制定详细的数据恢复流程,包括备 份数据的提取、解密、验证和恢复 等步骤,确保数据恢复的完整性和 可用性。
执行情况监控
对备份和恢复机制的执行情况进行 定期监控和审计,确保备份数据的 可用性和恢复流程的可靠性。
敏感信息泄露监测和应急响应流程
泄露监测
采用专业的泄露监测工具和技术, 对网络中的敏感信息进行实时监 测,及时发现和处理泄露事件。
加固技术
采用代码混淆、加密、防篡改等加固 技术,提高应用程序的抗攻击能力。
安全测试
进行模拟攻击和渗透测试,验证应用 程序的安全性和加固效果。
数据库系统安全防护策略部署
访问控制
实施严格的访问控制策略,限 制对数据库的访问权限,防止
未经授权的访问。
加密存储
对敏感数据进行加密存储,确 保即使数据泄露也无法被轻易 解密。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

策略
软盘使用、网络下载等作出的规定等。
17
信息安全策略的设计范围
系统安全策略
身份认证及授 权策略 灾难恢复策略
事故处理、紧 急响应策略 安全教育策略
系统安全策略包括WWW访问策略、数据库 系统安全策略、邮件系统安全策略、应用 服务器系统安全策略、个人桌面系统安全 策略、其他业务相关系统安全策略等。
安全策略的层次 ✓信息安全方针 ✓具体的信息安全策略
8
信息安全方针
• 信息安全方针就是组织的信息安全委员会或管理机构 • 制定的一个高层文件,是用于指导组织如何对资产,包括
敏感性信息进行管理、保护和分配的规则和指示。 – 信息安全的定义,总体目标和范围,安全对信息共享 – 的重要性; – 管理层意图、支持目标和信息安全原则的阐述; – 信息安全控制的简要说明,以及依从法律法规要求对 – 组织的重要性; – 信息安全管理的一般和具体责任定义,包括报告安全 – 事故等。
的所有信息资源、设施、硬件、软件、信息、人 员。在某些场合下,安全可以定义特殊的资产, 比如:组织的主站点、各种重要装置和大型系统。 此外,还应包括组织所有信息资源类型的综述, 例如,工作站、局域网、单机等。
22
安全策略的格式
• 3.策略内容 • 根据ISO17799中定义,对信息安全策略的描述应
6
1.1 安全策略的引入 安全策略涉及的问题: ✓敏感信息如何被处理? ✓如何正确地维护用户身份与口令,以及其他账 号信息? ✓如何对潜在的安全事件和入侵企图进行响应? ✓如何以安全的方式实现内部网及互联网的连接? ✓怎样正确使用电子邮件系统?
7
安全策略 ✓保密性策略 ✓可用性策略 ✓完整性策略
计算机和网络所做的每一件事情都造成 了数据的流动和使用。所以有的企业、 组织和政府机构,不论从事什么工作, 都在收集和使用数据。
首先,重点应该放在谁在什么情况下能 够访问资源。 接下来要考虑的就是强 制执行制度和对未授权访问的惩罚制度。
15
✓信息安全策略
•网络设备安全 •服务器安全 •信息分类 •信息保密 •用户账户与口令 •远程访问
11
• 指导性 • 原则性 • 可审核性 • 非技术性 • 现实可行性 • 动态性 • 文档化
2.信息安全策略的特点
12
3.信息安全策略的地位
• 必须有相应的措施保证信息安全策略得到强制执 行
• 管理层不得允许任何违反信息安全策略的行为存 在
• 信息安全策略必须有清晰和完全的文档描述 • 需要根据业务情况的变化不断的修改和补充信息
管理结构和提出对组织成员的安全要求 。 • 信息安全策略必须有一定的透明度并得到高层管
理层的支持,这种透明度和高层支持必须在安全 策略中有明确和积极的反映。 • 信息安全策略要对所有员工强调“信息安全,人 人有责”的原则,使员工了解自己的安全责任与 义务。
21
安全策略的格式
• 2.范围 • 信息安全策略应当有足够的范围广度,包括组织
信息资产,并说明这些信息资产如何被保护的一个计划。 安全策略是进一步制定控制规则和安全程序的必要基础。
安全策略本质上是非形式化的,也可以是高度数学 化的。 安全策略将系统的状态分为两个集合: 已授权的和未授权的。
5
1.1 安全策略的引入 制定信息安全策略的目的: ✓如何使用组织中的信息系统资源; ✓如何处理敏感信息; ✓如何采用安全技术产品。
24
安全策略的格式
• 4.角色责任 • 信息安全策略除了要建立安全程序及程序管理职
责外,还需要在组织中定义各种角色并分配责任, 明确要求,比如:部分业务管理人员、应用系统 所有者、数据用户、计算机系统安全小组等。 • 在某些情况下,信息安全策略中要理顺组织中的 各种个体与团体的关系,以避免在履行各自的责 任与义务时发生冲突。
口令管理策略
口令管理策略包括口令管理方式、口令设 置规则、口令适应规则等。
补丁管理策略
补丁管理策略包括系统补丁的更新、测试、 安装等。
系统变更控制策 系统变更控制策略包括设备、软件配置、

控制措施、数据变更管理、一致性管理等。
商业伙伴、客户 商业伙伴、客户关系策略包括合同条款安
关系策略
全策略、客户服务安全建议等。
信息安全策略及实施方法
1
信息安全策略概述 信息安全策略的制定 主要的安全策略 信息安全策略的执行与维护
目录
2
一、信息安全策略概述
3
1.信息安全策略的定义
• 计算机安全研究组织SANS:“为了保护存储在 计算机中的信息,安全策略要确定必须做什么, 一个好的策略有足够多‘做什么’的定义,以便 于执行者确定‘如何做’,并且能够进行度量和 评估”。
33
制定流程
➢组建安全策略制定小组
✓高级管理人员; ✓信息安全管理员; ✓信息安全技术人员; ✓负责安全策略执行的管理人员; ✓用户部门人员。
➢确定信息安全整体目标
通过防止和最小化安全事故的影响,保证业务持续 性,使业务损失最小化,并为业务目标的实现提供保障。
34
制定流程
➢确定安全策略范围
组织需要根据自己的实际情况确定信息安全策略要 涉及的范围,可以在整个组织范围内、或者在个别部门 或领域制定信息安全策略 。
•反病毒 •防火墙及入侵检测 •安全事件调查与响应 •灾难恢复与业务持续性计划 •风险评估 •信息系统审计
16
信息安全策略的设计范围
物理安全 物理安全策略包括环境安全、设备安全、媒体安
策略
全、信息资产的物理分布、人员的访问控制、审
计记录、异常情况的追查等。
网络安全 网络安全策略包括网络拓扑结构、网络设备的管
➢风险评估与选择安全控制
风险评估的结果是选择适合组织的控制目标与控制 方式的基础,组织选择出了适合自己安全需求的控制目 标与控制方式后,安全策略的制定才有了最直接的依据。
➢起草拟定安全策略
安全策略要尽可能地涵盖所有的风险和控制,没有
涉及的内容要说明原因,并阐述如何根据具体的风险和
控制来决定制订什么样的安全策略。
35
制定流程
➢评估安全策略 ✓安全策略是否符合法津、法规、技术标准及合同的要求? ✓管理层是否已批准了安全策略,并明确承诺支持政策的实施? ✓安全策略是否损害组织、组织人员及第三方的利益? ✓安全策略是否实用、可操作并可以在组织中全面实施? ✓安全策略是否满足组织在各个方面的安全要求? ✓安全策略是否已传达给组织中的人员与相关利益方,并得到了 他们的同意?
该集中在三个方面:机密性、完整性和可用性, 这三种特性是组织建立信息安全策略的出发点。 机密性是指信息只能由授权用户访问,其他非授 权用户、或非授权方式不能访问。完整性就是保 证信息必须是完整无缺的,信息不能被丢失、损 坏,只能在授权方式下修改。可用性是指授权用 户在任何时候都可以访问其需要的信息,信息系 统在各种意外事故、有意破坏的安全事件中能保 持正常运行。
身份认证及授权策略包括认证及授权机制、 方式、审计记录等。
灾难恢复策略包括负责人员、恢复机制、 方式、归档管理、硬件、软件等。
事故处理、紧急响应策略包括响应小组、 联系方式、事故处理计划、控制过程等。
安全教育策略包括安全策略的发布宣传、
执行效果的监督、安全技能的培训、安全源自意识的教育等。18
信息安全策略的设计范围
36
制定流程
➢实施安全策略
把安全方针与具体安全策略编制成组织信息安全策略 手册,然后发布到组织中的每个组织人员与相关利益方。
✓几乎所有层次的所有人员都会涉及到这些政策; ✓组织中的主要资源将被这些政策所涵盖; ✓将引入许多新的条款、程序和活动来执行安全策略。
26
安全策略的格式
• 6.专业术语 • 对于信息安全策略中涉及的专业术语作必要的描
述,使组织成员对策略的了解不会产生歧义。 • 7.版本历史 • 对策略版本在各个阶段的修订情况作出说明
27
二、信息安全策略的制定
28
1.制定信息安全策略的原则
• ①先进的网络安全技术是网络安全的根本保证 • ②严格的安全管理是确保信息安全策略落实的基础 • ③严格的法律、法规是网络安全保障的坚强后盾 • 具体原则 • 起点进入原则 • 长远安全预期原则 • 最小特权原则 • 公认原则 • 适度复杂与经济原则
• 一组规则,这组规则描述了一个组织要实现的信 息安全目标和实现这些信息安全目标的途径。
• 信息安全策略是一个组织关于信息安全的基本指 导规则。
• 信息安全策略提供:信息保护的内容和目标,信
息保护的职责落实,实施信息保护的方法,事故
的处理
4
安全策略的引入 信息安全策略从本质上来说是描述组织具有哪些重要
策略
理、网络安全访问措施(防火墙、入侵检测系统、
VPN等)、安全扫描、远程访问、不同级别网络的
访问控制方式、识别/认证机制等。
数据加密 数据加密策略包括加密算法、适用范围、密钥交
策略
换和管理等。
数据备份 数据备份策略包括适用范围、备份方式、备份数
策略
据的安全存储、备份周期、负责人等。
病毒防护 病毒防护策略包括防病毒软件的安装、配置、对
9
安全程序
• 安全程序是保障信息安全策略有效实施的、具体化 的、过程性的措施,是信息安全策略从抽象到具体, 从宏观管理层落实到具体执行层的重要一环。
• 程序是为进行某项活动所规定的途径或方法。 • 信息安全管理程序包括: ✓ 实施控制目标与控制方式的安全控制程序; ✓ 为覆盖信息安全管理体系的管理与运作的程序
10
程序文件的内容包括: ✓活动的目的与范围(Why)。做什么(What) ✓谁来做(Who) 何时(When) 何地(Where) ✓如何做(How)
程序文件应遵循的原则: ✓一般不涉及纯技术性的细节 ✓针对影响信息安全的各项活动目标的执行做出的规定 ✓应当简练、明确和易懂 ✓应当采用统一的结构与格式编排