信息安全管理(第五章 信息系统安全测评)
- 格式:ppt
- 大小:7.40 MB
- 文档页数:92


6随着计算机技术与通信的不断发展,全球信息化已成为人
类社会发展的大趋势。任何以计算机为主构成的信息系统都与
计算机和网络密切相关,计算机系统的安全与网络安全成为有
机的整体。同时由于计算机网络具有联结形式多样性、技术复杂
性和网络的开放性、互连性等特征,致使信息系统的安全问题变
得更加复杂。无论是在局域网还是在广域网中,对于信息系统而
言,都存在着自然和人为等诸多因素的潜在威胁。面对日益增长
的信息系统安全需求,单靠技术是不可能从根本上解决信息系
统安全问题的,信息系统的安全应从系统工程的角度来看待,而
在这项系统工程中安全测评占有重要地位,它是信息系统安全
的基础和前提。因此,必须针对各种不同的威胁和系统的脆弱
性,全方位地、系统化地评测一个信息系统,了解系统当前和未
来的信息系统安全风险所在,测评这些安全问题可能带来的安
全威胁与影响程度,为安全策略的确定、信息系统的建立及系统
安全运行提供依据,制定信息系统的安全措施,如此才能确保信
息系统安全性。信息系统安全检测体系
目前进行信息系统的测评一般都依据相关标准,通过人工的
分析方法来实施,由于信息系统测评是一个复杂的过程,内容涉
及系统中包括物理环境、主机、网络、管理体系、人员等方面,用
这种方法来判断针对某种风险采取何种安全防范措施是比较困难
的,那些以前没有测评分析经验的人也无法做这项工作。更主要
的是它需要相当多的时间、精力、财力和专业能力去获得结果,使
得测评周期不好控制,最后提出的安全需求有可能大大滞后于时
间要求,而且造成测评结果主观性非常强,同时可能引入一些新的安全问题失去了信息系统测评的意义。
信息系统安全性的构成,不是用所包
含模块简单累加就可以表述的。信息系统
安全相关的各种成分会相互作用、相互影
响,也可能互相弥补缺陷,各成分的放置、
使用、管理也对其整体安全性构成重要的
影响因素。在这个意义上来说,信息系统安
全不只是技术问题,而是策略、管理和安全
技术的有机结合。计算机信息系统安全保
信息系统安全测评工具
一、测评工具分类
一)安全测试工具
1、 脆弱性扫描工具
脆弱性扫描工具又称安全扫描器或漏洞扫描仪,是目前应用比较广泛的安全测试工具之一,主要用于识别网络、操作系统、数据库、应用的脆弱性,给出修补建议。
1)基于网络的扫描工具:通过网络实现扫描,可以看作是一钟漏洞信息收集工具,根据不同漏洞的特征,构造网络数据包,发给网络中的一个或多个目标,以判断某个特定的漏洞是否存在,能够检测防火墙、IDS等网络层设备的错误配置或者链接到网络中的网络服务器的关键漏洞。
常用工具:天镜脆弱性扫描与管理系统、极光远程安全评估系统、榕基网络隐患扫描系统、Nessus和Nmap等。
2)基于主机的扫描工具:通常在目标系统上安装一个代理(Agent)或者是服务(Services),以便能够访问所有的主机文件与进程,这也使得基于主机的漏洞扫描器能够扫描更多系统层面的漏洞。
常用工具:微软基线安全分析器、日志分析工具和木马查杀工具等。
3)数据库安全扫描工具:通过授权或非授权模式,自动、深入地识别数据库系统中存在的多种安全隐患,包括数据库的鉴别、授权、认证、配置等一系列安全问题,也可识别数据库系统中潜在的弱点,并依据内置的知识库对违背和不遵循数据库安全性策略的做法推荐修正措施。
常用工具:安信通数据库安全扫描工具、明鉴数据库弱点扫描器等商业产品,还有oscanner、Mysqlweak等专项审核工具。
4)Web应用安全扫描工具:通过构造多种形式的Web访问请求,远程访问目标应用特定端口的服务,记录反馈信息,并与内置的漏洞库进行匹配,判断确认Web应用程序中的安全缺陷,确认Web应用程序遭受恶意攻击的危险。
常用工具:AppScan、WebRavor、WebInspect、Acunetix Web Vulnerability Scanner、N-Stealth等。
2、渗透测试工具
渗透测试需要以脆弱性扫描工具扫描的结果为基础信息,结合专用的渗透测试工具开展模拟探测和入侵,判断被非法访问者利用的可能性,从而进一步判断已知的脆弱性是否真正会给系统或网络带来影响。
1
××公司
信息安全管理制度
为了保障公司××信息系统业务的正常运行,规范系统安全管理规范,提高工作效率,特指定本制度。
本制度自××年××月××日起正式执行。
一、信息安全指导方针
保障信息安全,创造用户价值,切实推行安全管理,积极预防风险,完善控制措施,信息安全,人人有责,不断提高顾客满意度。
二、计算机设备管理制度
1、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
2、 非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。
3、 严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。
三、操作员安全管理制度
(一)操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置;
(二)系统管理操作代码的设置与管理
1、系统管理操作代码必须经过经营管理者授权取得;
2、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护;
3、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权;
4、系统管理员不得使用他人操作代码进行业务操作;
5、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码; 2
(三)一般操作代码的设置与管理
1、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。
2、操作员不得使用他人代码进行业务操作。
谢谢你的观看
谢谢你的观看 信息安全产品和信息系统安全的测评与认证1
信息安全产品和信息系统安全的测评与认证
1.引言
90年代中期以来,随着信息技术突飞猛进的发展,特别是Internet的迅猛发展和美国政府率先推动的建设全球信息高速公路,使各国的信息化进程急剧加快。我国的信息化热潮也随之日益高涨,有关电子政务、电子商务乃至电子军务的讨论日益热烈。信息技术和网络空间,给社会的经济、科技、文化、教育和管理的各个方面都注入了新的活力。人们在享受信息化带来的众多好处的同时,也面临着日益突出的信息安全与保密的问题。比如:在网络环境中,国家秘密和商业秘密的保护,特别是政府上网后对涉密信息和敏感信息的保护,网上各种行为者的身份确认与权责利的确认,高度网络化的各种业务(商务、政务等)信息系统运行的正常和不被破坏,网络银行、电子商务中的支付与结算的准确真实和金融机构数据保护与管理系统的不被欺诈,都将成为国家主权、政治、经济、安全和社会稳定的焦点。为了有效地解决这些问题,信息安全产业就应运而生了。由于信息技术固有的敏感性和特殊性,信息产品是否安全,专用的信息安全产品以及由这些产品构成的网络系统是否可靠,都成为国家、企业、社会各方面需要科学证实的问题。为此各国政府纷纷采取颁布标准,以测评和认证等方式,对信息安全产品的研制、生产、销售、使用和进出口实行严格管理。美国将信息安全列为其国家安全的重要内容之一,由美国国家安全局NSA在美国国家标准技术局的谢谢你的观看
谢谢你的观看 支持下,负责信息安全产品的测评认证工作。西方国家正纷纷效法,使信息安全的测评认证成为信息化进程中的一个重要领域,受到各界的广泛关注。
2.什么是测评认证
1)测评认证的概念
测评认证是现代质量认证制度的重要内容,其实质是由一个中立的权威机构,通过科学、规范、公正的测试和评估向消费者、购买者即需方,证实生产者或供方所提供的产品和服务,符合公开、客观和先进的标准。