信息安全管理基础(ppt 295页)

信息安全管理来自第二章信息安全管理基础刘永华（教授）信息安全管理来自本章内容信息安全管理体系信息安全管理标准信息安全策略信息安全技术信息安全管理来自信息技术/网络技术改变生活方式政府商业个人生活金融信息安全管理来自信息安全现状日益增长的安全威胁攻击技术越来越复杂入侵条件越来越简单信息安全管理来自黑客攻击猖獗网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒后门、隐蔽通道蠕虫信息安全管理来自安全事件每年都有上千家政府网站被攻击安全影响任何网络都可能遭受入侵信息安全管理来自系统的定义：系统是由相互作用和相互依赖的若干部分结合成的具特定功能的整体。系统一般包括下列因素：1、一种产品或者组件，如计算机、所有的外部设备等；2、操作系统、通信系统和其他相关的设备、软件，构成了一个组织的基本结构；3、多个应用系统或软件（财务、人事、业务等）4、it部门的员工5、内部用户和管理层6、客户和其他外部用户7、周围环境，包括媒体、竞争者、上层管理机构。信息安全管理来自信息安全管理覆盖的内容非常广泛，涉及到信息和网络系统的各个层面，以及生命周期的各个阶段。不同方面的管理内容彼此之间存在着一定的关联性，它们共同构成一个全面的有机整体，以使管理措施保障达到信息安全的目，这个有机整体被称为信息安全管理体系。信息安全管理体系信息安全管理来自物理层面网络层面系统层面应用层面管理层面安全管理制度业务处理流程业务应用系统数据库应用系统身份鉴别机制强制访问控制防火墙入侵检测系统物理设备安全环境安全信息安全体系信息系统安全体系结构信息安全管理来自定义：信息安全管理体系（InformationSecurityManagementSystem，ISMS）是组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和手段所构成的体系；信息安全管理体系是信息安全管理活动的直接结果，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。信息安全管理体系定义信息安全管理来自建立信息安全管理体系的意义ISMS是组织整体管理体系的一部分，是组织在整体或特定范围内建立信息安全的方针和目标，以及完成这些目标所用的方法的体系。安全管理体系是安全技术体系真正有效发挥保护作用的重要保障，安全管理体系的涉及立足于总体安全策略，并与安全技术体系相互配合，增强技术防护体系的效率和效果，同时，也弥补当前技术无法完全解决的安全缺陷。信息安全管理来自强化员工的信息安全意识，规范组织信息安全行为；2.促使管理层贯彻信息安全保障体系；3.对组织的关键信息资产进行全面系统的保护，维持竞争优势；4.在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度；5.使组织的生意伙伴和客户对组织充满信心；6.如果通过体系认证，表明体系符合标准，证明组织有能力保障重要信息，可以提高组织的知名度与信任度。组织建立、实施与保持ISMS将会产生如下作用：信息安全管理来自ISO27001是建立和维护信息安全管理体系的标准，它要求应该通过这样的过程来建立ISMS框架：确定体系范围，制定信息安全侧率，明确管理职责，通过风险评估确定控制目标和控制方式。ISO27001非常强调信息安全管理过程中文件化的工作，ISMS的文件体系应该包括安全策略、适用性声明（选择和未选择的控制目标和控制措施）、实施安全控制所需的程序文件、ISMS管理和操作程序，以及组织围绕ISMS开展的所有活动的证明材料。信息安全管理体系标准信息安全管理来自信息安全管理的基本原则一、总体原则1、主要领导负责原则2、规范定级原则3、以人为本原则4、适度安全原则5、全面防范、突出重点原则6、系统、动态原则7、控制社会影响原则。二、安全策略管理1、分权制衡2、最小特权3、选用成熟技术4、普遍参与。信息安全管理来自信息安全保证工作事关大局，企业、组织各级领导应该把信息安全列为其最重要的工作内容之一，并负责成提高、加强内部人员的安全意识，组织有效的技术和管理队伍，调动优化配置必要的资源和经费，协调信息安全管理工作与各部门工作的关系，确保信息安全保障工作的落实和效果。主要领导负责原则信息安全管理来自规范定级原则分级、分类是信息安全保障工作有的放矢的前提，是界定和保护重点信息系统的依据，只有通过合理、规范的分级、分类才能落实重点投资、重点防护。信息安全管理来自以人为本原则信息安全保障在很大程度上受制于人为的因素。加强信息安全教育、培训和管理，强化安全意识和法制观念，提升职业道德，掌握安全技术，确保措施落实是做好信息安全管理工作的重要保证。信息安全管理来自适度安全原则安全需求的不断增加和现实资源的局限性是安全决策处于两难境地，恰当地平衡安全投入与效果是从全局上处置好安全管理工作的出发点。信息安全管理来自全面防范、突出重点的原则全面防范是保障信息系统安全的关键。它需要从人员、管理和技术等方面，在预警、保护、检测、反应、恢复和跟踪等多个环节上采用多种技术实现。同时，又要从组织和机构的实际情况出发，突出自身的安全管理重点。信息安全管理来自系统、动态原则信息安全管理工作的系统特征突出。要按照系统工程的要求，注意各方面、各层次、各时期的相互协调、匹配和衔接，以便体现系统集成效果和前期投入的效益。同时，信息安全又是一种状态和动态反馈过程，随着安全利益和系统脆弱性时空分布的变化，威胁程度的提高，系统环境的变化以及人员对系统安全认识的深化等，应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级。信息安全管理来自控制社会影响原则对安全事件的处理应有授权者适时披露并发布准确一致的有关信息，避免带来不良的社会影响。信息安全管理来自分权制衡策略减少未授权的修改或滥用系统资源的机会，对特定职能或责任领域的管理能力实施分离、独立审计，避免操作权力过分集中。信息安全管理来自最小特权策略任何实体（如用户、管理员、进程、应用或系统）仅享有该实体需要完成其任务所必需的特权，不应享有任何多余的特权。信息安全管理来自选用成熟技术策略成熟的技术提供了可靠性、稳定性保证，采用新技术时要重视其成熟的程度。如果新技术势在必行，应该首先局部试点，然后逐步推广，减少或避免可能出现的损失。信息安全管理来自普遍参与策略不论信息系统的安全等级如何，要求信息系统所涉及的人员普遍参与并与社会相关方面协同、协调，共同保障信息系统安全。信息安全管理来自信息安全管理的目标如下：目标描述合规性管理的合规性，主要是指在有章可循的基础之上，确保信息安全工作符合国家法律、法规、行业标准，机构内部的方针和规定。流程规范性管理是过程性的工作。要确保信息安全工作的相关过程具有规范性。整体协调性信息安全管理工作不能独立进行，不可能超越机构其他方面的管理工作而达到更高的级别。因此，信息安全保障工作需要与其他方面的管理工作一起协调开展。执行落实性通过检查、监督、审计、稽核等手段促进信息安全保障工作的落实。变更可控性信息系统中的任何变更需要有全程的监控管理。责任性确保信息安全责任能够追究到人。持续改进通过开展信息安全管理，不断发现问题和解决问题，形成持续改进的信息安全保障态势。计划性信息安全保障工作能够有计划、分阶段的展开，确保信息安全投资能够产生最大效益。信息安全管理来自信息安全管理内容流程规范性整体协调性执行落实性变更可控性责任性持续改进型计划性合规性信息安全管理内容信息安全管理来自、通过信息安全管理过程完成信息安全管理方面的要求。2、通过信息安全管理过程驱动信息安全技术的实施，达到信息安全在技术方面的要求。信息安全管理的基本任务信息安全管理来自信息安全方针与策略信息安全方针和策略主要包括对信息安全进行总体性指导和规划的管理过程。这些过程包括：安全方针和策略、资金投入管理和信息安全规划等。信息安全管理来自安全方针和策略方针和策略属于一般管理中的策略管理。方针和策略是信息安全保障工作的整体性指导和要求。安全方针和策略需要有相应的制定、审核和改进过程。信息安全管理来自资金投入管理信息安全保障工作需要有足够的资金支撑。但从另一个方面来讲，绝对的安全是无法实现的，因此，需要考虑资金投入和经济效益之间的平衡。信息安全管理来自信息安全规划信息安全保障工作是一项涉及面较广的工作，同时也是一项持续的、长期的工作。因此，信息安全保障工作需要有长期、中期、短期的计划。信息安全管理来自信息安全人员和组织人员和组织管理是信息安全管理的基本过程。人员和组织是执行信息安全保障工作的主体。信息安全管理来自在人员和组织管理方面，最基本的管理包括：1、保障有足够的人力资源从事信息安全保障工作；2、确保人员有明确的角色和责任；3、保证从业人员经过了适当的信息安全教育和培训，有足够的安全意识。4、机构中的信息安全相关人员能够在有效的组织结构下展开工作。信息安全管理来自基于信息系统各个层次的安全管理信息系统是有层次的。因此在信息系统的安全保护中也存在层次的特点，对应各个层次也有相应的信息安全管理工作。基于信息系统的各个层次，可相应在如下层次中开展信息安全管理：环境和设备安全、网络和通信安全、主机和系统安全、应用和业务安全、数据安全。信息安全管理来自中国最大的资料库