信息安全保障体系设计

信息安全保障体系设计

ID:26276790

大小:6.97 MB

页数:114页

时间:2018-11-25

信息安全保障体系设计_第1页
信息安全保障体系设计_第2页
信息安全保障体系设计_第3页
信息安全保障体系设计_第4页
信息安全保障体系设计_第5页
资源描述:

《信息安全保障体系设计》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、内容说明1、案例介绍2、某电力行业安全评估标准3、安全保障体系设计4、信息安全保障体系设计案例安全威胁案例分析案例的分析防火墙策略配置不合理主机弱口令严重溢出漏洞相互信任关系没有划分DMZ防火墙存在旁路缺乏紧急响应体系和机制拨号用户InternetDMZ区外部WWWDNSE-mail等代理服务器内部WWWDNSMailDateabse总公司用户分公司......服务器分公司用户......服务器分公司用户......下属公司专线专线拨号用户Internet移动用户财务系统拨号用户没有完整的安全漏洞和风险评估机制没有设置网关层的防病毒用户单位版防病毒不理想没有安全管理制度没有对重要的设备进行

2、安全加固对攻击行为和恶意操作不能够及时发现深层原因分析问题产生的主要原因不清楚主要的安全问题和安全风险缺乏整体和良好的安全方案设计在安全制度规范、安全组织和运作流程方面存在缺欠安全工程生命周期模型被忽略如何解决这些问题?通过安全评估来清晰地了解当前的安全现状和面临的安全风险针对现状进行整体和良好的解决方案设计和规划建立安全策略和制度规范体系,健全安全管理体系建立合适的安全日常维护体系如何获得这些呢?通过专业的安全咨询和服务信息安全保障体系设计信息安全的两个方面面向数据和信息的安全通过安全服务,安全产品解决面向访问(人)的安全通过安全咨询解决安全防御理论的发展数据传输加密密码与加密技术通讯保

3、密安全防护保障体系静态安全防护网络隔离访问控制鉴别与认证安全审计强调管理深度多重防御策略,人,技术,操作动态安全1、信息安全必须建立体系2、信息安全是长期的工作3、建立一级监控二级维护的体系4、安全项目需要以流程为核心5、重状态,轻过程;6、管理必须通过技术实现7、先控制后监控8、安全是动态平衡的,但要以不变应万变9、没有百分百安全,做到0损失0响应10、信息安全是12分的维护、7分的管理、3分的技术我们的安全理念安全保障体系理念-等级化项目的主要环节的成果都进行等级化可以参照的主要安全标准等级安全保障强健性等级:IATFSML,安全保护技术等级:GB17859,过程安全等级:ISO154

4、08/GB18336EAL工程成熟度等级:SSE-CMM,国家等级化评估标准安全保障体系方法-等级化安全体系二安全对策框架一保护对象框架三威胁分析过程保障体系理念-多重深度防护战略不仅关注安全属性,同时关注安全环节人,策略,技术,操作强调安全管理深度多重防护,防止单点失效风险管理和风险控制原则安全性与成本、效率之间平衡原则安全保障体系模型深度安全防护战略组织体系技术体系运作体系保护区域边界深度防护目标区域检测&响应集中监控平台支持性基础设施信息安全保障体系策略体系网络基础构架设计和建设维护服务器安全基线信息安全保障体系体系名称内容描述策略体系安全策略的开发建立,执行,审核修订等组织体系主要

5、是管理体系。在组织体系中的主要工作是安全组织建设、第三方管理、外聘顾问、培训教育、资质认证等。技术体系鉴别和认证:多种鉴别和认证技术访问控制:主机,网络设备、安全域的隔离和划分,防火墙等内容安全:防病毒,可信信道等冗余和恢复:冗余备份,业务连续性等审计响应:统一时钟服务、日志监控、系统、入侵监测系统等运作体系主要是技术人员的运维体系。包括技术人员的组织建设、技术人员的工作内容,技术人员的工作考核。日常工作包括:资产鉴别、周期性风险评估、紧急响应体系、定期的评估加固、集中监控维护等。安全策略体系用户单位信息系统中的安全事故人员安全管理信息系统的标准操作流程怎么做系统维护人员的权利和责任谁做技

6、术人员和服务承包商的服务水平定量评估性能评估安全策略体系主策略国际/国家标准NIST顾问公司访谈结果技术体系管理体系安全技术安全设备业务安全技术人员组织信息资产物理环境运行维护访问控制系统开发业务保障安全审计操作手册流程、细则第一层第二层第三层完善的用户单位安全策略体系安全域划分和安全等级映射物理管理策略人员安全策略网络安全策略系统安全策略应用安全策略日志审计策略备份恢复策略安全策略体系核心内容策略是用户单位核心策略体系执行层次-落实责任策略宣贯的合理流程设计安全策略执行方法流程分发安全策略安全策略培训安全策略考核安全策略执行跟踪安全组织体系安全组织体系构架设计安全组织体系-工作职责1、工

7、作职责分类2、总体职责3、安全管理职责4、信息安全连续性的职责5、安全审计职责6、安全事故处理职责7、安全项目申请职责安全技术体系信息技术体系-安全技术框架信息技术体系-主要内容项目、任务、工作鉴别和认证动态口令系统在高安全级别系统强制推行强认证资产鉴别和分类项目PKI体系可行性分析统一时钟服务访问控制网络拓扑结构/体系结构安全分析网络设备安全网络安全域的隔离和划分防火墙和网络隔离主机和网络设备安全基于WEB应用的访问控

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。