返回
公需课-信息化建设与信息安全

公需课-信息化建设与信息安全

ID:24633576

大小:1.26 MB

页数:57页

时间:2018-11-11

公需课-信息化建设与信息安全_第1页
公需课-信息化建设与信息安全_第2页
公需课-信息化建设与信息安全_第3页
公需课-信息化建设与信息安全_第4页
公需课-信息化建设与信息安全_第5页
资源描述:

《公需课-信息化建设与信息安全》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、第7章信息安全管理7.1信息安全的管理7.2信息安全的风险评估7.3信息安全的容灾备份7.4信息系统的法律法规7.1信息安全的管理7.1.1信息安全管理的概念及内涵概念- 信息安全管理是组织为实现信息安全目标而进行的管理活动。- 信息安全管理是组织完整的管理体系中的一个重要组成部分,也是为保护信息资源安全,指导和控制组织的关于信息安全风险的相互协调的活动。内涵①管理策略:制度②管理组织建设:人员③管理的符合性:法律法规④安全事故处理:风险管理和应急处置⑤业务连续性:信息系统容灾当前讲解7.1.2信息安全的管理策略信息系统的安全策略是为了保障在规定级别下的信息系统安全而制定和必须遵守的一系列准

2、则和规定。安全策略考虑到入侵者可能发起的任何攻击,以及为使信息系统免遭入侵和破坏而必然采取的措施。信息安全管理的一般性策略①选择先进的网络安全技术;②进行严格的安全管理;③遵循完整一致性:一套安全策略系统代表了系统安全的总体目标,贯穿于整个安全管理的始终。它应该包括组织安全、人员安全、资产安全、物理与环境安全等内容。④坚持动态性:由于入侵者对网络的攻击在时间和地域上具有不确定性,信息安全是动态的,具有时间性和空间性,所以信息安全策略也应该是动态的,并且要随着技术的发展和组织内外环节的变化而变化。当前讲解⑤实行最小化授权:任何实体只有该主体需要完成其被指定任务所必须的特权,再没有更多的特权,对

3、每种信息资源进行使用权限分割,确定每个授权用户的职责范围,阻止越权利用资源行为和阻止越权操作行为。⑥实施全面防御:建立起完备的防御体系,通过多层次机制相互提供必要的冗余和备份,通过使用不同类型的系统、不同等级的系统获得多样化的防御。⑦建立控制点:在网络对外连接通道上建立控制点,对网络进行监控。实际应用当中在网络系统上建立防火墙,阻止从公共网络对本站点侵袭。⑧监测薄弱环节:确认系统各单元的安全隐患,并改善薄弱环节,尽可能地消除隐患,同时也要监测那些无法消除的缺陷,掌握其安全态势,及时报告受到的攻击。⑨失效保护:一旦系统运行错误,发生故障时,必须拒绝入侵者的访问,更不能允许入侵者跨入内部网络。当

4、前讲解7.1.3信息安全管理的根本原则与七个方面原则为了实现安全的管理应该具备以下“四有”:①有专门的安全管理机构;②有专门的安全管理人员;③有逐步完善的安全管理制度;④有逐步提高的安全技术设施。信息安全管理的七个方面①人事管理;②设备管理;③场地管理;④存储媒体管理;⑤软件管理;⑥网络管理;⑦密码和密钥管理。当前讲解7.2信息安全的风险评估当前讲解7.2.1信息安全风险管理的概念风险管理理论本身是为制定有效的经济发展战略和市场竞争策略而创造的一种理论、方法和措施。风险管理理论应用于信息安全领域始于20世纪60年代。把风险管理理论应用到信息安全的管理中,就发展成为了信息安全的风险管理理论与方

5、法。20世纪80年代末至90年代中期是信息安全风险管理实践和理论走向初步成熟的阶段。20世纪90年代末,信息安全风险管理进入到全球化阶段。信息安全风险管理走向成熟- 20世纪80年代末至90年代中期是信息安全风险管理实践和理论走向初步成熟的阶段。- 1997年美国国防部发布的《信息技术安全认证和批准程序》是美国涉密信息系统的安全评估和风险管理的重要标准和依据。信息安全风险管理走向国际化20世纪90年代末到21世纪初,信息安全风险管理进入到全球化阶段。这一时期以美国国家标准技术研究所发布的风险管理指南性文件为代表。①SP800—26,信息技术系统安全自评估指南(2001年)②SP800—30,

6、信息技术系统风险管理指南(2002年)我国的信息安全风险管理- 2002年我国在863计划中首次规划了《系统安全风险分析和评估方法研究》课题,开始了我国的信息安全风险管理研究。- 2007年我国正式发布了GB/T20984-2007《信息安全技术信息安全风险评估规范》。- 2009年我国还发布了GB/T24353-2009《风险管理原则与实施指南》。当前讲解7.2.2信息系统安全风险评估的概念、目的概念- 信息系统安全风险评估是依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。- 信息系统安全风险评估是确认信息系统安全风险

7、及其大小的过程,即利用定性或定量的方法,借助于风险评估工具,确定信息资产的风险等级和优先风险控制。目的- 信息系统安全风险评估目的是评估信息资源面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。- 信息系统安全风险评估还是信息系统安全保障机制建立过程中的一种评价方法,其结果为信息安全风险管理提供依据。意义- 信息系统安全风险评估是信息安全风

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。