返回
构建信息安全保障体系-使命、原则、框架、执行和实践

构建信息安全保障体系-使命、原则、框架、执行和实践

ID:43210810

大小:1.20 MB

页数:105页

时间:2019-10-03

构建信息安全保障体系-使命、原则、框架、执行和实践_第1页
构建信息安全保障体系-使命、原则、框架、执行和实践_第2页
构建信息安全保障体系-使命、原则、框架、执行和实践_第3页
构建信息安全保障体系-使命、原则、框架、执行和实践_第4页
构建信息安全保障体系-使命、原则、框架、执行和实践_第5页
资源描述:

《构建信息安全保障体系-使命、原则、框架、执行和实践》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、构建信息安全保障体系——使命、原则、框架、执行和实践2006年11月三观论实现层运营层技术人员过程决策层宏观微观中观摘要使命——27号文原则——风险管理框架——信息安全保障框架执行IT风险管理的业务化从风险管理到合规性管理实践安全域安全管理平台使命问题什么是信息安全?到底要解决那些问题?怎么实施信息安全建设?问题什么是信息安全?通过回答最根本的问题,帮助我们探究事物的本原。到底要解决那些问题?明确工作的目标和要求,从一个大的广泛的概念中寻找自身的定位。怎么实施信息安全建设?通过回答最实际的问题,帮助我们获得需要的实效

2、。三法则Q3-WWH三问题:什么/为什么/怎么中办发[2003]27号国家信息化领导小组关于加强信息安全保障工作的意见(2003年8月26日)加强信息安全保障工作-总体要求总体要求:坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化发展,保护公众利益,维护国家安全。加强信息安全保障工作-主要原则主要原则:立足国情,以我为主,坚持管理与技术并重;正确处理安全与发展的关系,以安全保发展,在发展中求安全;统筹规划,突出重点,强化基础性工作

3、;明确国家、企业、个人的责任和义务,充分发挥各方面的积极性,共同构筑国家信息安全保障体系。加强信息安全保障工作-九项任务系统等级保护和风险管理基于密码技术的信息保护和信任体系网络信息安全监控体系应急处理体系加强技术研究,推进产业发展法制建设、标准化建设人才培养与全民安全意识保证信息安全资金加强对信息安全保障工作的领导,建立健全信息安全管理责任制原则原则——风险管理风险管理了解威胁了解资产和业务了解保障措施安全的三个相对性原则安全没有绝对,没有100%实践安全相对性的三个原则风险原则——适合商业机构生存原则——适合强力

4、机构保镖原则——适合涉密机构风险管理风险管理的理念从90年代开始,已经逐步成为引导信息安全技术应用的核心理念ISO13335中的风险管理的关系图ISO13335以风险为核心的安全模型风险防护措施信息资产威胁漏洞防护需求降低增加增加利用暴露价值拥有抗击增加引出被满足一般风险评估的理论基础风险评估的国家标准国信办报告中的风险9要素关系图安全管理平台中实时风险监控的理论基础德国ITBPM最精简的风险管理3要素三法则Q3-WWHR3-AST三问题:什么/为什么/怎么风险三要素:资产业务/保障措施/威胁了解威胁威胁趋势外部威胁

5、环境危害的频度、范围越来越大威胁的方面越来越综合攻击的技术含量越来越大攻击的技术成本越来越低攻击的法律风险还难于真正体现……内部威胁和物理威胁系统的环境越来越复杂系统自身的结构越来越复杂内部发生恶意和非恶意的可能性越来越大威胁传递和放大的情况更加严重威胁的总结恶意代码人为发起的越权和入侵类病毒、蠕虫等传播类发起的拒绝服务攻击类违规操作误操作违规业务恶意信息恶意传播有害信息垃圾信息(垃圾短信、垃圾邮件等)信息泄漏物理问题设备故障环境事故自然灾害针对威胁的主要技术针对恶意代码防火墙、防病毒、入侵检测、漏洞扫描…违规操作流

6、量监控、审计、应用系统安全措施…恶意信息内容监控、内容过滤、加密…物理问题容灾、备份…了解资产和业务怎么了解资产和业务(IT相关)分析信息体系架构ITA业务系统网络分布形态系统的层次性技术和管理时间(生命周期)价值(资产价值、影响价值、投入)……机构典型的ITA及其安全思维公共网络广域网络对外发布对外业务渠道核心业务内部业务OA、财务等业务支撑安全保障异地内网异地灾备机构内网ITA分析初探-层次物理和环境网络与通信主机和系统应用和业务数据和介质人员和组织使命和价值ITA分析初探-分布式从安全角度梳理网络结构的主要方法

7、节点路径法子网边界法安全域方法子网和边界分析路径和节点分析中国移动2004年的6个试点项目安全域划分与边界整合服务与端口管理生产终端统一管理安全帐号口令安全补丁与版本管理安全预警边界接入域互联网接入区计算环境一般服务区计算环境域计算环境核心区网络基础设施域支撑性设施域骨干区汇集区接入区安全系统网管系统其它支撑系统外联网接入区内联网接入区计算环境重要服务区内部网接入区通过安全域理解6个试点项目的安排安全域划分与边界整合服务与端口管理生产终端统一管理安全帐号口令安全补丁与版本管理安全预警运营商的业务特色承载网支撑系统经营

8、分析决策系统内部后勤式系统电力系统二次安防的思路某涉密广域网的特色业务没有基于大型的信息系统业务小型业务部门自成业务单元各个业务部门之间主要是一些协同数据共享业务安全特色强调小网安全,自成小型防护体系内部大网强调全局监控,提供承载规范数据共享,保证安全防止泄密某涉密办公网的特色将系统和网络进行一个典型分割,分别解决安全问题边界(物理隔离、防火墙

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。