《信息安全策略》PPT課件.ppt
《《信息安全策略》PPT課件.ppt》由會(huì)員分享,可在線閱讀,更多相關(guān)《《信息安全策略》PPT課件.ppt(72頁(yè)珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
1 信息安全策略 2 目錄 3 一 信息安全策略概述 4 1 信息安全策略的定義 計(jì)算機(jī)安全研究組織SANS 為了保護(hù)存儲(chǔ)在計(jì)算機(jī)中的信息 安全策略要確定必須做什么 一個(gè)好的策略有足夠多 做什么 的定義 以便于執(zhí)行者確定 如何做 并且能夠進(jìn)行度量和評(píng)估 一組規(guī)則 這組規(guī)則描述了一個(gè)組織要實(shí)現(xiàn)的信息安全目標(biāo)和實(shí)現(xiàn)這些信息安全目標(biāo)的途徑 信息安全策略是一個(gè)組織關(guān)于信息安全的基本指導(dǎo)規(guī)則 信息安全策略提供 信息保護(hù)的內(nèi)容和目標(biāo) 信息保護(hù)的職責(zé)落實(shí) 實(shí)施信息保護(hù)的方法 事故的處理 5 安全策略的引入 信息安全策略從本質(zhì)上來(lái)說(shuō)是描述組織具有哪些重要信息資產(chǎn) 并說(shuō)明這些信息資產(chǎn)如何被保護(hù)的一個(gè)計(jì)劃 安全策略是進(jìn)一步制定控制規(guī)則和安全程序的必要基礎(chǔ) 安全策略本質(zhì)上是非形式化的 也可以是高度數(shù)學(xué)化的 安全策略將系統(tǒng)的狀態(tài)分為兩個(gè)集合 已授權(quán)的和未授權(quán)的 6 1 1安全策略的引入 制定信息安全策略的目的 如何使用組織中的信息系統(tǒng)資源 如何處理敏感信息 如何采用安全技術(shù)產(chǎn)品 7 1 1安全策略的引入 安全策略涉及的問(wèn)題 敏感信息如何被處理 如何正確地維護(hù)用戶身份與口令 以及其他賬號(hào)信息 如何對(duì)潛在的安全事件和入侵企圖進(jìn)行響應(yīng) 如何以安全的方式實(shí)現(xiàn)內(nèi)部網(wǎng)及互聯(lián)網(wǎng)的連接 怎樣正確使用電子郵件系統(tǒng) 8 安全策略 保密性策略 可用性策略 完整性策略 安全策略的層次 信息安全方針 具體的信息安全策略 9 信息安全方針 信息安全方針就是組織的信息安全委員會(huì)或管理機(jī)構(gòu)制定的一個(gè)高層文件 是用于指導(dǎo)組織如何對(duì)資產(chǎn) 包括敏感性信息進(jìn)行管理 保護(hù)和分配的規(guī)則和指示 信息安全的定義 總體目標(biāo)和范圍 安全對(duì)信息共享的重要性 管理層意圖 支持目標(biāo)和信息安全原則的闡述 信息安全控制的簡(jiǎn)要說(shuō)明 以及依從法律法規(guī)要求對(duì)組織的重要性 信息安全管理的一般和具體責(zé)任定義 包括報(bào)告安全事故等 10 安全程序 安全程序是保障信息安全策略有效實(shí)施的 具體化的 過(guò)程性的措施 是信息安全策略從抽象到具體 從宏觀管理層落實(shí)到具體執(zhí)行層的重要一環(huán) 程序是為進(jìn)行某項(xiàng)活動(dòng)所規(guī)定的途徑或方法 信息安全管理程序包括 實(shí)施控制目標(biāo)與控制方式的安全控制程序 為覆蓋信息安全管理體系的管理與運(yùn)作的程序 11 程序文件的內(nèi)容包括 活動(dòng)的目的與范圍 Why 做什么 What 誰(shuí)來(lái)做 Who 何時(shí) When 何地 Where 如何做 How 程序文件應(yīng)遵循的原則 一般不涉及純技術(shù)性的細(xì)節(jié)針對(duì)影響信息安全的各項(xiàng)活動(dòng)目標(biāo)的執(zhí)行做出的規(guī)定應(yīng)當(dāng)簡(jiǎn)練 明確和易懂應(yīng)當(dāng)采用統(tǒng)一的結(jié)構(gòu)與格式編排 12 2 信息安全策略的特點(diǎn) 指導(dǎo)性原則性可審核性非技術(shù)性現(xiàn)實(shí)可行性動(dòng)態(tài)性文檔化 13 3 信息安全策略的地位 必須有相應(yīng)的措施保證信息安全策略得到強(qiáng)制執(zhí)行管理層不得允許任何違反信息安全策略的行為存在信息安全策略必須有清晰和完全的文檔描述需要根據(jù)業(yè)務(wù)情況的變化不斷的修改和補(bǔ)充信息安全策略 14 4 功能 信息安全策略的主要功能就是要建立一套安全需求 控制措施及執(zhí)行程序 定義安全角色賦予管理職責(zé) 陳述組織的安全目標(biāo) 為安全措施在組織的強(qiáng)制執(zhí)行建立相關(guān)輿論與規(guī)則的基礎(chǔ) 15 信息安全策略的保護(hù)對(duì)象 16 信息安全策略 網(wǎng)絡(luò)設(shè)備安全服務(wù)器安全信息分類信息保密用戶賬戶與口令遠(yuǎn)程訪問(wèn) 反病毒防火墻及入侵檢測(cè)安全事件調(diào)查與響應(yīng)災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)性計(jì)劃風(fēng)險(xiǎn)評(píng)估信息系統(tǒng)審計(jì) 17 信息安全策略的設(shè)計(jì)范圍 18 信息安全策略的設(shè)計(jì)范圍 19 信息安全策略的設(shè)計(jì)范圍 20 安全策略的格式 1 目標(biāo)2 范圍3 策略內(nèi)容4 角色責(zé)任5 執(zhí)行紀(jì)律6 專業(yè)術(shù)語(yǔ)7 版本歷史 21 安全策略的格式 1 目標(biāo)建立信息系統(tǒng)安全的總體目標(biāo) 定義信息安全的管理結(jié)構(gòu)和提出對(duì)組織成員的安全要求 信息安全策略必須有一定的透明度并得到高層管理層的支持 這種透明度和高層支持必須在安全策略中有明確和積極的反映 信息安全策略要對(duì)所有員工強(qiáng)調(diào) 信息安全 人人有責(zé) 的原則 使員工了解自己的安全責(zé)任與義務(wù) 22 安全策略的格式 2 范圍信息安全策略應(yīng)當(dāng)有足夠的范圍廣度 包括組織的所有信息資源 設(shè)施 硬件 軟件 信息 人員 在某些場(chǎng)合下 安全可以定義特殊的資產(chǎn) 比如 組織的主站點(diǎn) 各種重要裝置和大型系統(tǒng) 此外 還應(yīng)包括組織所有信息資源類型的綜述 例如 工作站 局域網(wǎng) 單機(jī)等 23 安全策略的格式 3 策略內(nèi)容根據(jù)ISO17799中定義 對(duì)信息安全策略的描述應(yīng)該集中在三個(gè)方面 機(jī)密性 完整性和可用性 這三種特性是組織建立信息安全策略的出發(fā)點(diǎn) 機(jī)密性是指信息只能由授權(quán)用戶訪問(wèn) 其他非授權(quán)用戶 或非授權(quán)方式不能訪問(wèn) 完整性就是保證信息必須是完整無(wú)缺的 信息不能被丟失 損壞 只能在授權(quán)方式下修改 可用性是指授權(quán)用戶在任何時(shí)候都可以訪問(wèn)其需要的信息 信息系統(tǒng)在各種意外事故 有意破壞的安全事件中能保持正常運(yùn)行 24 安全策略的格式 3 策略內(nèi)容根據(jù)給定的環(huán)境 應(yīng)當(dāng)給員工明確描述與這些特性相關(guān)的信息安全要求 組織的信息安全策略應(yīng)當(dāng)以員工熟悉的活動(dòng) 信息 術(shù)語(yǔ)等方式來(lái)反映特定環(huán)境下的安全目標(biāo) 例如 組織在維護(hù)大型但機(jī)密性要求并不高的數(shù)據(jù)庫(kù)時(shí) 其安全目標(biāo)主要是減少錯(cuò)誤 數(shù)據(jù)丟失或數(shù)據(jù)破壞 如果組織對(duì)數(shù)據(jù)的機(jī)密性要求高時(shí) 安全目標(biāo)的重點(diǎn)就會(huì)轉(zhuǎn)移到防止數(shù)據(jù)的非授權(quán)泄露 25 安全策略的格式 4 角色責(zé)任信息安全策略除了要建立安全程序及程序管理職責(zé)外 還需要在組織中定義各種角色并分配責(zé)任 明確要求 比如 部分業(yè)務(wù)管理人員 應(yīng)用系統(tǒng)所有者 數(shù)據(jù)用戶 計(jì)算機(jī)系統(tǒng)安全小組等 在某些情況下 信息安全策略中要理順組織中的各種個(gè)體與團(tuán)體的關(guān)系 以避免在履行各自的責(zé)任與義務(wù)時(shí)發(fā)生沖突 26 安全策略的格式 5 執(zhí)行紀(jì)律沒(méi)有一個(gè)正式的 文件化的安全策略 管理層不可能制定出懲戒執(zhí)行標(biāo)準(zhǔn)與機(jī)制 信息安全策略是組織制定和執(zhí)行紀(jì)律措施的基礎(chǔ) 信息安全策略中應(yīng)當(dāng)描述與安全策略損害行為的類型與程度相對(duì)應(yīng)的懲戒辦法 還要考慮到有時(shí)員工違反安全策略并非是有意的 有時(shí)也可能是對(duì)安全策略缺乏必要的了解造成的 對(duì)于這種情況 信息安全策略要預(yù)先采取措施 在合理的期限內(nèi) 進(jìn)行相關(guān)安全策略介紹和安全意識(shí)教育培訓(xùn) 27 安全策略的格式 6 專業(yè)術(shù)語(yǔ)對(duì)于信息安全策略中涉及的專業(yè)術(shù)語(yǔ)作必要的描述 使組織成員對(duì)策略的了解不會(huì)產(chǎn)生歧義 7 版本歷史對(duì)策略版本在各個(gè)階段的修訂情況作出說(shuō)明 28 二 信息安全策略的制定 29 1 制定信息安全策略的原則 先進(jìn)的網(wǎng)絡(luò)安全技術(shù)是網(wǎng)絡(luò)安全的根本保證 嚴(yán)格的安全管理是確保信息安全策略落實(shí)的基礎(chǔ) 嚴(yán)格的法律 法規(guī)是網(wǎng)絡(luò)安全保障的堅(jiān)強(qiáng)后盾具體原則起點(diǎn)進(jìn)入原則長(zhǎng)遠(yuǎn)安全預(yù)期原則最小特權(quán)原則公認(rèn)原則適度復(fù)雜與經(jīng)濟(jì)原則 30 2 策略的制定需要達(dá)成的目標(biāo) 減少風(fēng)險(xiǎn) 遵從法律和規(guī)則 確保組織運(yùn)作的連續(xù)性 信息完整性和機(jī)密性 31 3 信息安全策略的依據(jù) 國(guó)家法律 法規(guī) 政策 行業(yè)規(guī)范 相關(guān)機(jī)構(gòu)的約束 機(jī)構(gòu)自身的安全需求 32 制定流程 具體的制定過(guò)程如下 確定信息安全策略的范圍 風(fēng)險(xiǎn)評(píng)估 分析或者審計(jì) 信息安全策略的審查 批準(zhǔn)和實(shí)施具體如下 33 制定流程 理解組織業(yè)務(wù)特征 充分了解組織業(yè)務(wù)特征是設(shè)計(jì)信息安全策略的前提 對(duì)組織業(yè)務(wù)的了解包括對(duì)其業(yè)務(wù)內(nèi)容 性質(zhì) 目標(biāo)及其價(jià)值進(jìn)行分析 得到管理層的明確支持與承諾 使制定的信息安全策略與組織的業(yè)務(wù)目標(biāo)一致 使制定的安全方針 政策和控制措施可以在組織的上上下下得到有效的貫徹 可以得到有效的資源保證 34 制定流程 組建安全策略制定小組 高級(jí)管理人員 信息安全管理員 信息安全技術(shù)人員 負(fù)責(zé)安全策略執(zhí)行的管理人員 用戶部門人員 確定信息安全整體目標(biāo) 通過(guò)防止和最小化安全事故的影響 保證業(yè)務(wù)持續(xù)性 使業(yè)務(wù)損失最小化 并為業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)提供保障 35 制定流程 確定安全策略范圍 組織需要根據(jù)自己的實(shí)際情況確定信息安全策略要涉及的范圍 可以在整個(gè)組織范圍內(nèi) 或者在個(gè)別部門或領(lǐng)域制定信息安全策略 風(fēng)險(xiǎn)評(píng)估與選擇安全控制 風(fēng)險(xiǎn)評(píng)估的結(jié)果是選擇適合組織的控制目標(biāo)與控制方式的基礎(chǔ) 組織選擇出了適合自己安全需求的控制目標(biāo)與控制方式后 安全策略的制定才有了最直接的依據(jù) 起草擬定安全策略 安全策略要盡可能地涵蓋所有的風(fēng)險(xiǎn)和控制 沒(méi)有涉及的內(nèi)容要說(shuō)明原因 并闡述如何根據(jù)具體的風(fēng)險(xiǎn)和控制來(lái)決定制訂什么樣的安全策略 36 制定流程 評(píng)估安全策略 安全策略是否符合法津 法規(guī) 技術(shù)標(biāo)準(zhǔn)及合同的要求 管理層是否已批準(zhǔn)了安全策略 并明確承諾支持政策的實(shí)施 安全策略是否損害組織 組織人員及第三方的利益 安全策略是否實(shí)用 可操作并可以在組織中全面實(shí)施 安全策略是否滿足組織在各個(gè)方面的安全要求 安全策略是否已傳達(dá)給組織中的人員與相關(guān)利益方 并得到了他們的同意 37 制定流程 實(shí)施安全策略 把安全方針與具體安全策略編制成組織信息安全策略手冊(cè) 然后發(fā)布到組織中的每個(gè)組織人員與相關(guān)利益方 幾乎所有層次的所有人員都會(huì)涉及到這些政策 組織中的主要資源將被這些政策所涵蓋 將引入許多新的條款 程序和活動(dòng)來(lái)執(zhí)行安全策略 組織所處的內(nèi)外環(huán)境在不斷變化 信息資產(chǎn)所面臨的風(fēng)險(xiǎn)也是一個(gè)變數(shù) 人的思想和觀念也在不斷的變化 政策的持續(xù)改進(jìn) 38 制定流程 信息安全策略應(yīng)主要依靠組織所處理和使用的信息特性推動(dòng)制定 在制定一整套信息安全策略時(shí) 應(yīng)當(dāng)參考一份近期的風(fēng)險(xiǎn)評(píng)估或信息審計(jì) 以便清楚了解組織當(dāng)前的信息安全需求 對(duì)曾出現(xiàn)的安全事件的總結(jié) 也是一份有價(jià)值的資料 為了確定哪些部分需要進(jìn)一步注意 應(yīng)收集組織當(dāng)前所有相關(guān)的策略文件 也可以參考國(guó)際標(biāo)準(zhǔn) 行業(yè)標(biāo)準(zhǔn)來(lái)獲得指導(dǎo) 資料收集階段的工作非常重要 很多時(shí)候因?yàn)楣ぷ髁亢蛯?shí)施難度被簡(jiǎn)化操作 39 制定流程 在制定策略之前 對(duì)現(xiàn)狀進(jìn)行徹底調(diào)研的另一個(gè)作用是要弄清楚內(nèi)部信息系統(tǒng)體系結(jié)構(gòu) 信息安全策略應(yīng)當(dāng)與已有的信息系統(tǒng)結(jié)構(gòu)相一致 并對(duì)其完全支持 這一點(diǎn)不是針對(duì)信息安全體系結(jié)構(gòu) 而是針對(duì)信息系統(tǒng)體系結(jié)構(gòu) 信息安全策略一般在信息系統(tǒng)體系結(jié)構(gòu)確立以后制定 以保障信息安全體系實(shí)施 運(yùn)行 40 制定流程 收集完上面所提到的材料后 開(kāi)始根據(jù)前期的調(diào)研資料制定信息安全策略文檔初稿 并尋找直接相關(guān)人員對(duì)其進(jìn)行小范圍的評(píng)審 對(duì)反饋意見(jiàn)進(jìn)行修改后 逐漸的擴(kuò)大評(píng)審的范圍 當(dāng)所有的支持部門做出修改后 交由信息安全管理委員會(huì)評(píng)審 信息安全策略的制定過(guò)程有很高的政策性和個(gè)性 反復(fù)的評(píng)審過(guò)程能夠讓策略更加清晰 簡(jiǎn)潔 更容易落地 為此在評(píng)審的過(guò)程中需要調(diào)動(dòng)參與積極性 而不是抵觸 41 制定流程 評(píng)審過(guò)程的最后一步一般由總經(jīng)理 總裁 首席執(zhí)行官簽名 在人員合同中應(yīng)當(dāng)表明能予遵守并且這是繼續(xù)雇傭的條件 也應(yīng)當(dāng)發(fā)放到內(nèi)部服務(wù)器 網(wǎng)頁(yè)以及一些宣傳版面上的顯眼位置 并附有高層管理者的簽名 以表明信息安全策略文檔得到高層領(lǐng)導(dǎo)強(qiáng)有力的支持 經(jīng)驗(yàn)表明 高層的支持對(duì)策略的實(shí)施落地是非常重要的 42 制定流程 一般來(lái)說(shuō) 在信息安全策略文件評(píng)審過(guò)程中 會(huì)得到組織內(nèi)部各方多次評(píng)審和修訂 其中最為重要的是信息安全管理委員會(huì) 信息安全委員會(huì)一般由信息部門人員組成 參與者一般包括以下部門的成員 信息安全 內(nèi)部審計(jì) 物理安全 信息系統(tǒng) 人力資源 法律 財(cái)政和會(huì)計(jì)部 這樣一個(gè)委員會(huì)本質(zhì)上是監(jiān)督信息安全部門的工作 負(fù)責(zé)篩選提煉已提交的策略 以便在整個(gè)組織內(nèi)更好的實(shí)施落地 43 組織的安全策略 信息對(duì)組織的運(yùn)作和發(fā)展所起到的作用越來(lái)越大 信息安全問(wèn)題備受關(guān)注 信息安全是指信息的保密性 完整性和可用性的保持 其終極目標(biāo)是降低組織的業(yè)務(wù)風(fēng)險(xiǎn) 保持可持續(xù)發(fā)展 另外 信息安全問(wèn)題不單純是技術(shù)問(wèn)題 它是涉及很多方面 歷史 文化 道德 法律 管理 技術(shù)等 的一個(gè)綜合性問(wèn)題 單純從技術(shù)角度考慮是不可能得到很好解決的 我們?cè)谶@里討論的組織是指在既定法律環(huán)境下的盈利組織和非盈利組織 其規(guī)模和性質(zhì)不足以直接改變所在國(guó)家或地區(qū)的信息安全法律法規(guī) 44 組織的安全策略 1 組織應(yīng)該有一個(gè)完整的信息安全策略我們可以通過(guò)下面一個(gè)例子來(lái)理解這種情況 某設(shè)計(jì)院有工作人員25人 每人一臺(tái)計(jì)算機(jī) Windows98對(duì)等網(wǎng)絡(luò)通過(guò)一臺(tái)集線器連接起來(lái) 公司沒(méi)有專門的IT管理員 公司辦公室都在二樓 同一樓房?jī)?nèi)還有多家公司 在一樓入口處趙大爺負(fù)責(zé)外來(lái)人員的登記 但是他經(jīng)常分辨不清楚是不是外來(lái)人員 設(shè)計(jì)院由市內(nèi)一家保潔公司負(fù)責(zé)樓道和辦公室的清潔工作 總經(jīng)理陳博士是位老設(shè)計(jì)師 他經(jīng)常撥號(hào)到Internet訪問(wèn)一些設(shè)計(jì)方面的信息 他的計(jì)算機(jī)上還安裝了代理軟件 其他人員可以通過(guò)這個(gè)代理軟件訪問(wèn)Internet 如果該設(shè)計(jì)院的信息安全管理停留在一種放任的狀態(tài) 會(huì)發(fā)生什么問(wèn)題呢 下列情況都是有可能的 45 小偷順著一樓的防護(hù)欄潛入辦公室偷走了 保潔公司人員不小心弄臟了準(zhǔn)備發(fā)給客戶的設(shè)計(jì)方案 錯(cuò)把掉在地上的合同稿當(dāng)廢紙收走了 不小心碰掉了墻角的電源插銷 某設(shè)計(jì)師張先生是公司的骨干 他嫌公司提供的設(shè)計(jì)軟件版本太舊 自己安裝了盜版的新版本設(shè)計(jì)程序 盡管這個(gè)盜版程序使用一段時(shí)間就會(huì)發(fā)生莫名其妙的錯(cuò)誤導(dǎo)致程序關(guān)閉 可是張先生還是喜歡新版本的設(shè)計(jì)程序 并找到一些辦法避免錯(cuò)誤發(fā)生時(shí)丟失文件 46 后來(lái)張先生離開(kāi)設(shè)計(jì)院 新員工小李使用原來(lái)張先生的計(jì)算機(jī) 小李抱怨了多次計(jì)算機(jī)不正常 沒(méi)有人理會(huì) 最后決定自己重新安裝操作系統(tǒng)和應(yīng)用程序 小李把自己感覺(jué)重要的文件備份到陳博士的計(jì)算機(jī)上 聽(tīng)朋友介紹Windows2000比較穩(wěn)定 他決定安裝Windows2000 于是他就重新給硬盤分區(qū) 成功完成了安裝 47 陳博士對(duì)張先生的不辭而別沒(méi)有思想準(zhǔn)備 甚至還沒(méi)來(lái)得及交接一下張先生離開(kāi)時(shí)正負(fù)責(zé)的幾個(gè)設(shè)計(jì)項(xiàng)目 這幾天他一閑下來(lái)就整理張先生的設(shè)計(jì)方案 可是突然一天提示登錄原來(lái)張先生的那臺(tái)計(jì)算機(jī)需要密碼了 小李并不熟悉Windows2000 只是說(shuō)自己并沒(méi)有設(shè)置密碼 48 盡管小李告訴陳博士已經(jīng)把文件備份在陳博士的計(jì)算機(jī)上 可是陳博士沒(méi)有找到自己需要的文件 大家通過(guò)陳博士的計(jì)算機(jī)訪問(wèn)Internet 收集了很多有用的資料 可是最近好幾臺(tái)計(jì)算機(jī)在啟動(dòng)的時(shí)候就自動(dòng)連接上Internet 陳博士收到幾封主題不同的電子郵件 內(nèi)容竟然包括幾個(gè)還沒(méi)有提交的設(shè)計(jì)稿 可是員工都說(shuō)沒(méi)有發(fā)過(guò)這樣的信 49 組織的安全策略 一個(gè)正式的信息安全策略應(yīng)該包括下列信息適用范圍 包括人員和時(shí)間上的范圍 目標(biāo) 例如防病毒策略的目標(biāo)可以是 為了正確執(zhí)行對(duì)計(jì)算機(jī)病毒 蠕蟲(chóng) 特洛伊木馬的預(yù)防 偵測(cè)和清除過(guò)程 特制定本策略 策略主體 策略簽署 策略的生效時(shí)間和有效期 或者重新評(píng)審時(shí)間 50 組織的安全策略 一個(gè)正式的信息安全策略應(yīng)該包括下列信息重新評(píng)審策略的時(shí)機(jī) 策略除了常規(guī)的評(píng)審時(shí)機(jī) 在下列情況下也需要重新評(píng)審 管理體系發(fā)生很大變化 相關(guān)法律法規(guī)發(fā)生了變化 信息系統(tǒng)或者信息技術(shù)發(fā)生大的變化 組織發(fā)生了重大的安全事故 與其他相關(guān)策略的引用關(guān)系 策略解釋 疑問(wèn)響應(yīng)的人員或者部門 策略的格式可以根據(jù)組織的慣例自行選擇 所列舉的項(xiàng)目也可以做適當(dāng)?shù)脑鰟h 例 51 組織的安全策略 信息安全策略的主體內(nèi)容信息安全策略通常不是一篇文檔 根據(jù)組織的復(fù)雜程度還可能分成幾個(gè)層次 其主題內(nèi)容各不相同 但是每個(gè)主題的策略都應(yīng)該簡(jiǎn)潔 清晰的闡明什么行為是組織所望的 提供足夠的信息 保證相關(guān)人員僅通過(guò)策略自身就可以判斷哪些策略內(nèi)容是和自己的工作環(huán)境相關(guān)的 是適用于哪些信息資產(chǎn)和處理過(guò)程的 52 組織的安全策略 信息安全策略的主體內(nèi)容通常一個(gè)組織可能會(huì)考慮開(kāi)發(fā)下列主題的信息安全策略 1 環(huán)境和設(shè)備的安全2 信息資產(chǎn)的分級(jí)和人員責(zé)任3 安全事故的報(bào)告與響應(yīng)4 第三方訪問(wèn)的安全性5 委外處理系統(tǒng)的安全6 人員的任用 培訓(xùn)和職責(zé)7 系統(tǒng)策劃 驗(yàn)收 使用和維護(hù)的安全要求 53 組織的安全策略 信息安全策略的主體內(nèi)容8 信息與軟件交換的安全9 計(jì)算級(jí)和網(wǎng)絡(luò)的訪問(wèn)控制和審核10 遠(yuǎn)程工作的安全11 加密技術(shù)控制12 備份 災(zāi)難恢復(fù)和可持續(xù)發(fā)展的要求13 符合法律法規(guī)和技術(shù)指標(biāo)的要求 54 組織的安全策略 要衡量一個(gè)信息安全策略整體優(yōu)劣可以考慮的因素包括 目的性 策略是為組織完成自己的使命而制定的 策略應(yīng)該反映組織的整體利益和可持續(xù)發(fā)展的要求 適用性 策略應(yīng)該反映組織的真實(shí)環(huán)境 反映但前信息安全的發(fā)展水平 可行性 策略應(yīng)該具有切實(shí)可行性 其目標(biāo)應(yīng)該可以實(shí)現(xiàn) 并容易測(cè)量和審核 沒(méi)有可行性的策略不僅浪費(fèi)時(shí)間還會(huì)引起政策混亂 經(jīng)濟(jì)性 策略應(yīng)該經(jīng)濟(jì)合理 過(guò)分復(fù)雜和草率都是不可取的 完整性 能夠反映組織的所有業(yè)務(wù)流程安全需要 55 組織的安全策略 要衡量一個(gè)信息安全策略整體優(yōu)劣可以考慮的因素包括 一致性 策略的一致性包括下面三個(gè)層次 和國(guó)家 地方的法律法規(guī)保持一致 和組織已有的策略 方針 保持一致 整體安全策略保持一致 要反映企業(yè)對(duì)信息安全一般看法 保證用戶不把該策略看成是不合理的 甚至是針對(duì)某個(gè)人的 彈性 策略不僅要滿足當(dāng)前的組織要求 還要滿足組織和環(huán)境在未來(lái)一段時(shí)間內(nèi)發(fā)展的要求 56 組織的安全策略 如何使信息安全策略得到貫徹信息安全策略的實(shí)施關(guān)鍵是如何把策略準(zhǔn)確傳達(dá)給每一位相關(guān)人員 根據(jù)信息安全策略開(kāi)發(fā)或者修改信息操作程序文件 即建立一個(gè)文件化的信息安全管理體系 在組織的相應(yīng)程序文件中體現(xiàn)策略的有關(guān)要求 能力和意識(shí)的培訓(xùn)是一種好方法 在組織缺乏程序文件的時(shí)候作用更是不可忽略 審核是策略得以實(shí)施的保障 組織必須有成文的審核辦法 詳細(xì)規(guī)定審核的周期和技術(shù)手段 及時(shí)發(fā)現(xiàn)問(wèn)題及時(shí)解決 57 三 主要的安全策略 58 網(wǎng)絡(luò)服務(wù)器口令的管理 1 服務(wù)器的口令 由部門負(fù)責(zé)人和系統(tǒng)管理員商議確定 必須兩人同時(shí)在場(chǎng)設(shè)定 2 服務(wù)器的口令需部門負(fù)責(zé)人在場(chǎng)時(shí) 由系統(tǒng)管理員記錄封存 3 口令要定期更換 視網(wǎng)絡(luò)具體情況 更換后系統(tǒng)管理員要銷毀原記錄 將新口令記錄封存 4 如發(fā)現(xiàn)口令有泄密跡象 系統(tǒng)管理員要立刻報(bào)告部門負(fù)責(zé)人 有關(guān)部門負(fù)責(zé)人報(bào)告安全部門 同時(shí) 要盡量保護(hù)好現(xiàn)場(chǎng)并記錄 須接到上一級(jí)主管部門批示后再更換口令 59 用戶口令的管理 1 對(duì)于要求設(shè)定口令的用戶 由用戶方指定負(fù)責(zé)人與系統(tǒng)管理員商定口令 由系統(tǒng)管理員登記并請(qǐng)用戶負(fù)責(zé)人確認(rèn) 簽字或電話通知 之后系統(tǒng)管理員設(shè)定口令 并保存用戶檔案 2 在用戶由于責(zé)任人更換或忘記口令時(shí)要求查詢口令或要求更換口令的情況下 需向網(wǎng)絡(luò)服務(wù)管理部門提交申請(qǐng)單 由部門負(fù)責(zé)人或系統(tǒng)管理員核實(shí)后 對(duì)用戶檔案做更新記載 3 如果網(wǎng)絡(luò)提供用戶自我更新口令的功能 用戶應(yīng)自己定期更換口令 并設(shè)專人負(fù)責(zé)保密和維護(hù)工作 60 防病毒策略 1 拒絕訪問(wèn)能力 來(lái)歷不明的入侵軟件不得進(jìn)入系統(tǒng) 2 病毒檢測(cè)能力 系統(tǒng)中應(yīng)設(shè)置檢測(cè)病毒的機(jī)制 檢測(cè)已知類病毒和未知病毒 3 控制病毒傳播的能力 系統(tǒng)一定要有控制病毒傳播的能力 4 清除能力 5 恢復(fù)能力 提供高效的方法來(lái)恢復(fù)這些數(shù)據(jù) 6 替代操作 系統(tǒng)應(yīng)該提供一種替代操作方案 在恢復(fù)系統(tǒng)時(shí)可用替代系統(tǒng)工作 61 安全教育與培訓(xùn)策略 1 主管信息安全工作的高級(jí)負(fù)責(zé)人或各級(jí)管理人員 重點(diǎn)是了解 掌握企業(yè)信息安全的整體策略及目標(biāo) 信息安全體系的構(gòu)成 安全管理部門的建立和管理制度的制定等 2 負(fù)責(zé)信息安全運(yùn)行管理及維護(hù)的技術(shù)人員 重點(diǎn)是充分理解信息安全管理策略 掌握安全評(píng)估的基本方法 對(duì)安全操作和維護(hù)技術(shù)的合理運(yùn)用等 3 用戶 重點(diǎn)是學(xué)習(xí)各種安全操作流程 了解和掌握與其相關(guān)的安全策略 包括自身應(yīng)該承擔(dān)的安全職責(zé)等 62 可接受使用策略 可接受使用策略 AcceptableUsePolicy AUP 是指這些網(wǎng)絡(luò)能夠被誰(shuí)使用的約束策略 AUPs的執(zhí)行是隨網(wǎng)絡(luò)變化的 許多公共網(wǎng)絡(luò)服務(wù)有一個(gè)AUP 這個(gè)AUP是一個(gè)正式的或非正式的文件 其定義了網(wǎng)絡(luò)的應(yīng)用意圖 不接受的使用和不服從的結(jié)果 一個(gè)人注冊(cè)一個(gè)基于網(wǎng)絡(luò)的服務(wù)或工作在一個(gè)社團(tuán)內(nèi)部網(wǎng)時(shí)經(jīng)常會(huì)遇到一個(gè)AUP 一個(gè)好的AUP將包括網(wǎng)絡(luò)禮節(jié)的規(guī)定 限制網(wǎng)絡(luò)資源的使用和明確指出網(wǎng)絡(luò)應(yīng)該尊敬的成員的隱私 最好的AUPs使 whatif 關(guān)一體化 其舉例說(shuō)明這個(gè)策略在現(xiàn)實(shí)世界協(xié)商中的作用 63 四 信息安全策略的執(zhí)行與維護(hù) 64 信息安全策略的推進(jìn)手段 1 印刷日歷 強(qiáng)調(diào)每個(gè)月不同的策略 將它們張貼在辦公室中 2 利用幽默和簡(jiǎn)單的語(yǔ)言表述信息安全策略 分發(fā)給每個(gè)雇員 3 設(shè)立一些幾十分鐘的內(nèi)部培訓(xùn)課程 4 進(jìn)行信息安全策略知識(shí)競(jìng)賽 5 將信息安全策略和標(biāo)準(zhǔn)發(fā)布在內(nèi)部的網(wǎng)站上 6 向公司員工發(fā)送宣傳信息安全策略的郵件 7 建立內(nèi)部安全熱線 回答雇員關(guān)于信息安全策略的問(wèn)題 65 工具支持 與信息安全策略管理有關(guān)的活動(dòng)很多 象配置管理 規(guī)則設(shè)置管理 口令管理 缺陷管理 補(bǔ)丁管理 用戶管理等等 為了減少信息安全策略維護(hù)中的勞動(dòng) 可以使用一些信息安全策略管理工具 這方面工具有PWCESAS PoliVec PentaSafe Symantec等 66 策略實(shí)施的建議 在組織內(nèi)部網(wǎng)站或一些媒體發(fā)布策略 制定自我評(píng)估調(diào)查表 制定遵守信息安全策略的員工協(xié)議表 建立考察機(jī)制檢查員工是否理解策略 基礎(chǔ)信息安全培訓(xùn)課程 分配策略落實(shí)負(fù)責(zé)人 通過(guò)標(biāo)準(zhǔn)保證策略的執(zhí)行 67 安全策略管理辦法 集中式管理 分布式管理 分布式管理就是將信息系統(tǒng)資源按照不同的類別進(jìn)行劃分 然后根據(jù)資源類型的不同 由負(fù)責(zé)此類資源管理的部門或人員負(fù)責(zé)安全策略的制定和實(shí)施 集中式管理就是在整個(gè)網(wǎng)絡(luò)系統(tǒng)中 由統(tǒng)一 專門的安全策略管理部門和人員對(duì)信息資源和信息系統(tǒng)使用權(quán)限進(jìn)行計(jì)劃和分配 68 安全策略管理相關(guān)技術(shù) 安全策略描述是實(shí)現(xiàn)策略管理的基礎(chǔ) 策略描述語(yǔ)言 PDL Ponder 安全策略統(tǒng)一描述技術(shù) 安全策略自動(dòng)翻譯技術(shù) 安全策略翻譯是指將統(tǒng)一描述的安全策略翻譯成不同設(shè)備對(duì)應(yīng)的配置命令 配置腳本或策略結(jié)構(gòu)的過(guò)程 69 安全策略管理相關(guān)技術(shù) 安全策略一致性檢驗(yàn)技術(shù) 策略之間的沖突很難避免 策略一致性驗(yàn)證主要包括策略的語(yǔ)法 語(yǔ)義檢查和策略沖突檢測(cè)兩個(gè)方面 安全策略發(fā)布與分發(fā)技術(shù) 推 模式 拉 模式 策略的生命周期狀態(tài)包括 休眠態(tài) 待激活態(tài) 激活態(tài) 掛起態(tài) 安全策略狀態(tài)監(jiān)控技術(shù) 70 信息安全策略的制定過(guò)程是怎樣的 信息安全策略管理有哪些相關(guān)技術(shù) 這些技術(shù)的功能和作用分別是什么 習(xí)題 第七章運(yùn)行與操作安全管理 71 思考 第七章運(yùn)行與操作安全管理 信息安全策略在實(shí)際網(wǎng)絡(luò)管理中有哪些體現(xiàn) 72 Theend thankyou- 1.請(qǐng)仔細(xì)閱讀文檔,確保文檔完整性,對(duì)于不預(yù)覽、不比對(duì)內(nèi)容而直接下載帶來(lái)的問(wèn)題本站不予受理。
- 2.下載的文檔,不會(huì)出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請(qǐng)點(diǎn)此認(rèn)領(lǐng)!既往收益都?xì)w您。
下載文檔到電腦,查找使用更方便
14.9 積分
下載 |
- 配套講稿:
如PPT文件的首頁(yè)顯示word圖標(biāo),表示該P(yáng)PT已包含配套word講稿。雙擊word圖標(biāo)可打開(kāi)word文檔。
- 特殊限制:
部分文檔作品中含有的國(guó)旗、國(guó)徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計(jì)者僅對(duì)作品中獨(dú)創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- 信息安全策略 信息 安全策略 PPT 課件
鏈接地址:http://www.szxfmmzy.com/p-8105641.html