返回
信息安全工程.pptx

信息安全工程.pptx

ID:62755891

大小:104.34 KB

页数:19页

时间:2021-05-23

信息安全工程.pptx_第1页
信息安全工程.pptx_第2页
信息安全工程.pptx_第3页
信息安全工程.pptx_第4页
信息安全工程.pptx_第5页
资源描述:

《信息安全工程.pptx》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、第15章信息安全工程本章学习目标:了解信息安全工程的概念了解信息安全工程的设计准则掌握信息安全工程的设计步骤15.1信息安全工程概述在Internet发展的历程中,人们对安全的理解,从早期的安全就是杀毒防毒,到后来的安全就是安装防火墙,到现在的购买系列安全产品,在一步一步地加深,这是值得庆贺的一件事。但是应该注意到,这些理解依然存在着“头痛医头,脚痛医脚”的片面性,没有将网络安全问题作为一个系统工程来考虑、来对待。信息安全既不是纯粹的技术,也不是简单的安全产品的堆砌,而是一项复杂的系统工程。信息安全工程采用工程的概念、原理、技术和方法,来研究、开发、实施与维护企业级信息与网络系

2、统安全的过程,它是将经过时间考验证明是正确的工程实施流程、管理技术和当前能够得到的最好的技术方法相结合的过程。15.1信息安全工程概述信息安全工程应该注意以下五个因素。1)信息安全具有全面性。信息安全问题需要全面考虑,系统安全程度取决于系统最薄弱的环节。2)信息安全具有过程性或生命周期性。3)信息安全具有动态性。信息技术在发展,黑客水平也在提高,安全策略、安全体系、安全技术也必须动态地调整,在最大程度上使安全系统能够跟上实际情况的变化发挥效用,使整个安全系统处于不断更新、不断完善、不断进步的动态过程中。4)信息安全具有层次性。5)安全具有相对性。安全是相对的,没有绝对的安全。安

3、全措施应该与保护的信息与网络系统的价值相称。因此,实施信息安全工程要充分权衡风险威胁与防御措施的利弊与得失,在安全级别与投资代价之间取得一个企业能够接受的平衡点。15.2信息安全工程的设计准则根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素,参照SSE-CMM(系统安全工程能力成熟模型)和ISO17799(信息安全管理标准)等国际标准,综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等多个方面,信息安全工程在整体设计过程中应遵循以下九项原则。1.信息安全的木桶原则2.网络信息安全的整体性原则3.安全性评价与平衡原则4.标准化与一致性原

4、则5.技术与管理相结合原则6.统筹规划,分步实施原则7.等级性原则8.动态发展原则9.易操作性原则15.3信息安全工程的设计步骤1.风险分析与评估一个完整的安全体系和安全解决方案是根据网络体系结构和网络安全形势的具体情况来确定的。风险分析与评估是通过一系列的管理和技术手段来检测当前运行的信息系统所处的安全级别、安全问题、安全漏洞,以及当前安全策略和实际安全级别的差别,评估运行系统的风险,根据审计报告,可制定适合具体情况的安全策略及其管理和实施规范,为安全体系的设计提供参考。15.3.1安全风险分析与评估(续)15.3信息安全工程的设计步骤2.风险分析的内容1)网络基本情况分析。

5、包括网络规模、网络结构、网络产品、网络出口、网络拓扑结构。2)信息系统基本安全状况调查。系统是否遭到过黑客的攻击,是否造成了损失?系统内是否存在违规操作的行为,具体有那些行为?系统内成员的安全意识如何,技术人员是否进行过安全技术培训,对一般职员是否进行过安全意识的教育工作,采用了什么样的形式,效果如何?3)信息系统安全组织、政策情况分析。是否有常设的安全领导小组,其人员构成和职责是什么?现有的网络安全管理的相关规制度有哪些?安全管理人员的编制、职能和责任落实情况怎样?15.3.1安全风险分析与评估(续)15.3信息安全工程的设计步骤2.风险分析的内容(续)4)网络安全技术措施使

6、用情况分析。网络资源(人员、数据、媒体、设备、设施和通信线路)是否进行了密级划分?对不同密级的资源是否采取了不同的安全保护措施,采取了哪些具体的措施?目前采取了哪些网络安全技术措施?哪些措施不能满足网络安全的需求?哪些安全措施没有充分发挥作用?网络防病毒体系的完整性和有效性如何?5)防火墙布控及外联业务安全状况分析。目前防火墙的布控方式是否合理,发挥的作用如何?信息系统对外提供的服务有哪些?以何种形式对外连接,是否采取了安全防护措施及采取了什么样的安全措施?6)动态安全管理状况分析。是否使用过网络扫描软件对网络主机和关键设备进行安全性分析和风险评估?操作系统和关键网络设备的软件

7、补丁是否及时安装?目前是否使用入侵检测系统对网络系统进行数据流监控和行为分析,是否对系统日志进行周期性的审计和分析?15.3.1安全风险分析与评估(续)15.3信息安全工程的设计步骤2.风险分析的内容(续)7)链路、数据及应用加密情况分析。系统中关键的应用是否采取了应用加密措施?网络综合布线是否符合安全标准?对关键线路是否有备份,启用频度如何?在广域网线路方面是否采取了链路层或网络层加密措施,应用系统对其有没有加密需求?8)网络系统访问控制状况分析。系统用户是通过什么样的方法手段进行控制的?

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。