返回
信息安全工程教学内容.ppt

信息安全工程教学内容.ppt

ID:59561972

大小:88.00 KB

页数:18页

时间:2020-11-11

信息安全工程教学内容.ppt_第1页
信息安全工程教学内容.ppt_第2页
信息安全工程教学内容.ppt_第3页
信息安全工程教学内容.ppt_第4页
信息安全工程教学内容.ppt_第5页
资源描述:

《信息安全工程教学内容.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全工程15.1信息安全工程概述信息安全工程应该注意以下五个因素。1)信息安全具有全面性。信息安全问题需要全面考虑,系统安全程度取决于系统最薄弱的环节。2)信息安全具有过程性或生命周期性。3)信息安全具有动态性。信息技术在发展,黑客水平也在提高,安全策略、安全体系、安全技术也必须动态地调整,在最大程度上使安全系统能够跟上实际情况的变化发挥效用,使整个安全系统处于不断更新、不断完善、不断进步的动态过程中。4)信息安全具有层次性。5)安全具有相对性。安全是相对的,没有绝对的安全。安全措施应该与保护的信息与网络系统的价值相称。因此,实施信息安

2、全工程要充分权衡风险威胁与防御措施的利弊与得失,在安全级别与投资代价之间取得一个企业能够接受的平衡点。15.2信息安全工程的设计准则根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素,参照SSE-CMM(系统安全工程能力成熟模型)和ISO17799(信息安全管理标准)等国际标准,综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等多个方面,信息安全工程在整体设计过程中应遵循以下九项原则。1.信息安全的木桶原则2.网络信息安全的整体性原则3.安全性评价与平衡原则4.标准化与一致性原则5.技术与管理相结合

3、原则6.统筹规划,分步实施原则7.等级性原则8.动态发展原则9.易操作性原则15.3信息安全工程的设计步骤1.风险分析与评估一个完整的安全体系和安全解决方案是根据网络体系结构和网络安全形势的具体情况来确定的。风险分析与评估是通过一系列的管理和技术手段来检测当前运行的信息系统所处的安全级别、安全问题、安全漏洞,以及当前安全策略和实际安全级别的差别,评估运行系统的风险,根据审计报告,可制定适合具体情况的安全策略及其管理和实施规范,为安全体系的设计提供参考。15.3.1安全风险分析与评估(续)15.3信息安全工程的设计步骤2.风险分析的内容1)网

4、络基本情况分析。包括网络规模、网络结构、网络产品、网络出口、网络拓扑结构。2)信息系统基本安全状况调查。系统是否遭到过黑客的攻击,是否造成了损失?系统内是否存在违规操作的行为,具体有那些行为?系统内成员的安全意识如何,技术人员是否进行过安全技术培训,对一般职员是否进行过安全意识的教育工作,采用了什么样的形式,效果如何?3)信息系统安全组织、政策情况分析。是否有常设的安全领导小组,其人员构成和职责是什么?现有的网络安全管理的相关规制度有哪些?安全管理人员的编制、职能和责任落实情况怎样?15.3.1安全风险分析与评估(续)15.3信息安全工程的

5、设计步骤2.风险分析的内容(续)4)网络安全技术措施使用情况分析。网络资源(人员、数据、媒体、设备、设施和通信线路)是否进行了密级划分?对不同密级的资源是否采取了不同的安全保护措施,采取了哪些具体的措施?目前采取了哪些网络安全技术措施?哪些措施不能满足网络安全的需求?哪些安全措施没有充分发挥作用?网络防病毒体系的完整性和有效性如何?5)防火墙布控及外联业务安全状况分析。目前防火墙的布控方式是否合理,发挥的作用如何?信息系统对外提供的服务有哪些?以何种形式对外连接,是否采取了安全防护措施及采取了什么样的安全措施?6)动态安全管理状况分析。是否

6、使用过网络扫描软件对网络主机和关键设备进行安全性分析和风险评估?操作系统和关键网络设备的软件补丁是否及时安装?目前是否使用入侵检测系统对网络系统进行数据流监控和行为分析,是否对系统日志进行周期性的审计和分析?15.3.1安全风险分析与评估(续)15.3信息安全工程的设计步骤2.风险分析的内容(续)7)链路、数据及应用加密情况分析。系统中关键的应用是否采取了应用加密措施?网络综合布线是否符合安全标准?对关键线路是否有备份,启用频度如何?在广域网线路方面是否采取了链路层或网络层加密措施,应用系统对其有没有加密需求?8)网络系统访问控制状况分析。

7、系统用户是通过什么样的方法手段进行控制的?关键服务器和设备的用户是否得到严格的控制和管理?在访问控制方面除了简单的user&password认证外,还有没有采取其他的访问控制措施?主要服务器和关键设备的管理员的权限是否得到了分离?是否有内部拨号服务?访问控制措施是否得当?对网络资源的访问,是否有完整的日志和审计功能?9)模拟攻击测试。分析系统的抗攻击能力,测试系统能否经得住常见的拒绝服务攻击、渗透入侵攻击?是否有缓冲区漏洞缺陷?对各种攻击的反应如何?15.3.1安全风险分析与评估(续)15.3信息安全工程的设计步骤3.风险分析的步骤1)确定

8、要保护的资产及价值。如果不知道要保护什么内容,或者不知道要保护内容的情况,那就谈不上安全了。明确要保护的资产、资产的位置以及资产的重要性是安全风险分析的关键。2)分析信息资产之间

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。