信息安全防范之路

二、信息安全建设误区规避方法一、信息安全建设误区三、信息安全建设正确之道四、信息安全建设最佳实践Ø项目成果、技术秘密外泄Ø关键技术人员跳槽Ø标底信息提前透露Ø客户资料泄密Ø信息系统瘫痪Ø财务数据失控Ø专利被侵权Ø…………一、为何进行信息安全建设？！1.我的网站没啥价值，黑客不会盯着我的！2.我们只需要保证网络的稳定性和可用性，安全性再说吧！3.安全建设要花很多钱，花了钱还是会被攻击，没必要！二、如何确保信息系统安全？数据中心防火墙入侵检测漏洞扫描网络审计网页防篡改终端安全1.安全就是购买设备！部署安全设备就能解决任何安全问题！花最多的钱买最贵的设备就不怕入侵了！网络中安全设备的数量越多越安全！2.安全就是严防死守！安全设备齐全，开启所有防护功能就安全了！请了最牛的黑客来做运维，就不怕入侵了！勤打补丁，及时升级病毒库和攻击规则库，就不会出现问题！3.安全就是一劳永逸！做过安全测评安全专家诊断过做过风险评估做过安全整改三、谁来确保信息系统安全？安全是技术人员的事！我又不懂技术，安全建设主要是技术人员的事情！出了安全问题，技术人员来负责！我的技术人员实力都很强，有他们就足够了！信息安全能帮助企业盈利吗？Ø良好的信息规划和风险评估会减少企业盲目的IT投资；Ø减少因系统中断、服务中断而带来的客户不满意度以及相关的失效处理成本。降低成本Ø保护核心信息资产、知识产权，获得竞争优势；Ø增加可用性，提高企业反应速度，获得更高客户满意度。增加收入一、信息安全建设误区二、信息安全建设误区规避方法三、信息安全建设正确之道四、信息安全建设最佳实践u第一步：构建信息安全组织架构，落实信息安全职责产品优势Ø由集团总经理、副总经理及各子公司总经理等集团高管组成；Ø管理信息安全工作小组和信息安全审计小组。信息安全领导小组产品优势Ø由集团各业务组成部门、办公室、财务部、人力资源部门、信息技术部、审计部、安保部及子公司相关部门的负责人组成；Ø对信息安全领导小组负责，支持信息安全审计小组。信息安全工作小组产品优势Ø由集团信息技术部、审计部相关人员组成；Ø对信息安全领导小组负责，审核信息安全工作小组工作。信息安全审计小组（二）如何实现信息安全u第二步：明确信息安全方针和策略，规划信息安全体系产品优势Ø在IT规划的基础上，信息安全领导小组制定信息安全方针。信息安全方针产品优势Ø在信息安全方针的基础上，信息安全工作小组制定信息安全策略框架，并由信息技术部牵头各部门细化策略。信息安全策略产品优势Ø在信息安全策略指导下，信息技术部规划信息安全体系，经信息安全工作小组和信息安全领导小组审批后实施。信息安全体系（二）如何实现信息安全u第三步：加强信息安全教育和培训，提高意识和水平产品优势Ø聘请专业信息安全机构进行安全意识和基础知识培训；Ø由信息安全工作小组对安全管理制度进行宣贯；Ø强化集团全员信息安全意识，提高信息安全水平，特别是中高层领导、特殊关键岗位的信息安全意识和水平。全员培训产品优势Ø聘请专业的信息安全机构对关键岗位人员（系统管理员、系统安全管理员、安全审计员）进行安全技术专题、安全管理专题、安全类项目管理等培训，提高技术水平，强化操作熟练程度。岗位能力培训（二）如何实现信息安全u第四步：健全信息安全体系，实现全方位、纵深防御产品优势Ø以风险评估为基础，在第三方信息安全咨询机构的指导和帮助下，按照ISO27001标准要求，建立与集团业务相适应的信息安全管理体系，保障信息安全的同时，不影响业务开展。安全管理体系产品优势Ø聘请专业的信息安全测评机构，对集团信息系统开展全面梳理、全面诊断、全面加固工作，完善病毒防护、访问控制、身份鉴别、安全审计等有效措施，补缺“短板”，确保IT价值最大化。安全技术体系产品优势Ø在专业运维专家的指导和帮助下，按照ISO20000标准要求，建立安全运维体系，在运维人员投入有限的程度下，为集团信息系统的可持续运营提供重要的保障手段。安全运维体系（二）如何实现信息安全安全培训法律法规和标准物理安全管理组织和人员管理支撑基础设施局域网和应用安全边界安全网络和基础设施安全监控与检测安全评估应急响应与恢复安全系统运行管理改进管理体系技术体系安全管理体系安全技术体系安全运行体系设计纵深防御体系监理安全测评，评估保护效果实施安全措施安全培训法律法规和标准物理安全管理组织和人员管理运行维护安全建设组织和人员安全策略、规程支撑基础设施局域网和应用安全边界安全网络和基础设施安全支撑基础设施可信计算环境区域边界安全通信网络安全监控与检测安全评估应急响应与恢复安全系统运行管理监控与检测安全评估应急响应与恢复安全系统运维管理改进管理体系技术体系安全管理体系安全技术体系安全运维体系设计纵深防御体系制订信息安全策略风险分析，发掘信息系统安全需求监控预警一、信息安全建设误区三、信息安全建设正确之道二、信息安全建设误区规避方法四、信息安全建设最佳实践由点到面由防到管抓手——安全评估重点——安全建设支撑——技术平台保障——制度建设统领——组织文化建设驱动——考核评级正确之道——360°信息安全治理构建信息安全保障框架健全信息安全治理架构1信息安全领导小组风险管理委员会管理汇报管理汇报支持审核信息安全工作小组•办公室•人力资源部门•单位各部门信息安全第1道防线控制执行•信息技术部•合规部•法律部信息安全第2道防线风险管理组织协调反馈指导检查反馈信息安全审计小组•信息技术部•审计部信息安全第3道防线风险审计组织协调反馈u依照“三道防线”的思想，构建信息安全治理架构培养信息安全意识和文化2高层牵头领导负责全员参与专人管理u构建信息安全培训体系，提高全员安全意识和水平l全员培训--安全意识培训、安全管理制度宣贯……l岗位能力培训--安全技术专题培训、安全类项目培训……l……建立安全管理制度体系3安全组织体系安全组织人员职责人员安全教育培训信息安全策略信息安全规范信息安全操作流程和细则安全策略体系u“三分技术，七分管理”，建立文档化管理体系安全建设与运行维护安全体系建设项目建设安全管理安全运行与维护安全风险管理与控制建立安全管理制度体系3u落实安全管理制度，实现安全管理纵深防御政策和制度机构和人员信息系统规划管理信息系统设计管理信息系统实施管理信息系统运维管理信息系统废弃管理信息系统整个生命周期检查和监督管理限制指导执行监督构建技术纵深防御体系4u构建技术纵深防御体系，实现系统防护能力最大化构建技术纵深防御体系4u构建技术纵深防御体系，实现系统防护能力最大化搭建系统安全运维体系5u参照PDCA持续改进模型，搭建系统安全运维体系定期进行安全状态评估6u安全评估与信息安全管理全面融合考核评级驱动安全管理落地7明确考核指标集被考核部门自查抽查验证汇总评级督促整改考核指标库考核指标集自查结果考核结果考核评级报告整改报告启动下一考核周期优化u建立考核评级机制，驱动安全管理落地一、信息安全建设误区四、信息安全建设最佳实践二、信息安全建设误区规避方法三、信息安全建设正确之道安全管理制度体系安全管理制度制定安全管理制度落实安全教育安全培训构建信息安全治理架构，形成“三道防线”信息安全工作小组信息安全领导小组信息安全审计小组风险管理委员会纵深防御技术体系可信计算环境安全区域边界安全通信网络支撑基础设施参照PDCA持续改进模型，搭建系统安全运维体系运维监控中心运维告警中心事件应急中心态势感知中心资产管理中心考核评级安全评估山东省计算中心是隶属于山东省科学院的省级信息技术科研机构，主要从事软件工程、物联网、高档数控、高性能计算、云计算、信息安全等领域的科研与服务。山东省软件评测中心山东省软件评测中心山东省计算机网络质量监督检验站国家保密科技测评中心（山东省）分中心（一）山东省计算中心简介软件质量信息安全省内唯一政府授权国家级软件测试机构第一批通过国家认可的软件测试机构中国软件测试资质认证委员会会员单位中国软件评测机构联盟常务理事单位中国软件过程改进协会理事单位国家级电子政务网络安全检测机构中国信息安全认证中心应急处理服务资质中国信息安全认证中心风险评估服务资质公安部授权等保测评机构软件测试职业鉴定机构软件人才培养基地齐鲁软件园的技术支撑机构授权职业鉴定机构智能系统人才培养省内第一家国家级网络检测机构建设厅授权的智能系统检测机构山东省质量技术监督局计量认证（一）山东省计算中心简介丰富环境各类硬件环境：IBM、HP、SUN等中高档小型机，安腾、PC服务器及集群、丰富的存储资源各类应用平台：Weblogic、Websphere、DB2、Oracle、SQLServer、Informix、Domino各类软件平台：HP-UX、Solaris、AIX、Linux、Windows各类网络环境：千兆光纤、Vlan、VPN、无线、ADSL（一）山东省计算中心简介23种软件测试工具34套安全检测工具70余种智能检测工具•功能测试工具RationalFunctionalTester•白盒测试工具CompuwareDevPartner、RationalPurifyplusParasoftInsure++、TelelogicLogiscope、RationalTestRealtime、•性能测试工具CompuwareQALoad、HPMILoadrunner•性能优化工具CompuwareApplicationVantageCompuwareServerVantage•测试管理工具RationalTestManager、北航QEsuite•通讯测试工具SignallingTester、Ttworkbench27套通用工具•绿盟远程安全评估系统•安信通数据库漏洞扫描系统•Wireshark抓包工具•CAIN内网安全检测工具•WVS企业版WEB应用安全测试工具•NESSUS主机安全测试工具•ARP-SPOOF内网安全检测工具集7套自主研发检测工具•代码安全审查软件V1.0•NetSafe网络测试工具软件V1.0•Web系统安全自动化测试软件•反拷贝技术的网页版权保护系统•威兰手持式无线局域网测试仪软件•无线局域网安全检测系统V1.0•AdHoc网络组密钥生成软件•综合布线系统检测工具•安全防范系统检测工具•电子信息机房系统检测工具•公共广播系统检测工具•会议电视系统检测工具•计算机网络系统检测工具•视频显示系统检测工具•厅堂体育场扩声系统检测工具•智能建筑系统检测工具（一）山东省计算中心简介《计算机软件测试规范》《软件工程监理规范》《软件工程软件产品质量要求和评价指南》《信息技术安全技术入侵检测系统的选择、部署和操作》《信息技术用户住宅群的通用布缆》《通用布缆系统工程监理规范》《信息化工程安全监理规范》……牵头制定十余项国家标准荣获山东省科技进步一等奖1项二等奖2项三等奖3项其他省部级以上奖励5项。国家级科研项目28项省部级科研项目80余项。5部学术专著实用新型专利44项发明专利13项外观专利5项国家标准科技奖励科研学术授权专利（一）山东省计算中心简介丰富的硬件、软件环境全过程完备测试工具参与相关安全标准编写CMA、CNAS认可机构服务用户500余家深耕信息安全领域二十年完备的安全服务资质完善的项目管理体系（一）山东省计算中心简介谢谢！地址：济南市高新区舜华路创业广场D座4层电话：0531-86515189传真：0531-82605299网址：