返回
构建信息系统的安全管理平台-启明星辰

构建信息系统的安全管理平台-启明星辰

ID:34381154

大小:3.71 MB

页数:46页

时间:2019-03-05

构建信息系统的安全管理平台-启明星辰_第1页
构建信息系统的安全管理平台-启明星辰_第2页
构建信息系统的安全管理平台-启明星辰_第3页
构建信息系统的安全管理平台-启明星辰_第4页
构建信息系统的安全管理平台-启明星辰_第5页
资源描述:

《构建信息系统的安全管理平台-启明星辰》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、标题页构建信息系统的安全管理平台构建信息系统的安全管理平台构建信息系统的安全管理平台构建信息系统的安全管理平台————————框架与实践框架与实践框架与实践框架与实践北京启明星辰信息技术有限公司咨询总监赵呈东摘要•构建信息安全管理平台1.原则、要求和大思路2.了解资产和业务3.了解威胁4.了解保障措施5.框架6.具体任务和建议1.原则、要求和大思路中办发[2003]27号国家信息化领导小组关于加强信息安全保障工作的意见(2003年8月26日)加强信息安全保障工作-总体要求•总体要求:–坚持积极防御、综合防范的方针,–全面提高信息安全防护能力,–重点保障基础信息网络和重要信息

2、系统安全,–创建安全健康的网络环境,–保障和促进信息化发展,–保护公众利益,维护国家安全。加强信息安全保障工作-主要原则•主要原则:–立足国情,以我为主,–坚持管理与技术并重;–正确处理安全与发展的关系,以安全保发展,在发展中求安全;–统筹规划,突出重点,强化基础性工作;–明确国家、企业、个人的责任和义务,充分发挥各方面的积极性,共同构筑国家信息安全保障体系。加强信息安全保障工作-九项任务•系统等级保护和风险管理•基于密码技术的信息保护和信任体系•网络信息安全监控体系•应急处理体系•加强技术研究,推进产业发展•法制建设、标准化建设•人才培养与全民安全意识•保证信息安全资金•

3、加强对信息安全保障工作的领导,建立健全信息安全管理责任制2005年和2006年的动向•2005年–国家风险评估试点–应急预案编写和演练–等级保护工作试点和宣贯–萨班斯法案在商业领域产生影响•2006年–等级保护评估工作•2006年公通字7号文–3月风险评估指南宣贯活动–…安全的驱动力•问题–具体的安全事件等•政策–27号文等•体系化–整体规划•合规性–等级保护、风险评估等风险管理•风险管理的理念从90年代开始,已经逐步成为引导信息安全技术应用的核心理念•风险的定义–对目标有所影响的某件事情发生的可能性[摘自AS/NZS4360]ISO13335以风险为核心的安全模型威胁利用

4、漏洞一般风险评估的抗击增加增加暴露理论基础防护措施降低风险信息资产引出拥有被满足增加防护需求价值国信办报告中的风险9要素关系图使命依赖脆弱性暴露资产拥有资产价值未被满足用增本加加利增成威胁风险导出安全需求增加演抗残击变留降足成低满被事件可能诱发残余风险未控制安全措施最精简的风险管理3要素三要素风险模型:R3-AST资产和业务保障措施威胁AssetSafeguardThreat信息安全工作的思路•信息安全工作不是仅仅防火墙、防病毒、入侵检测、管理制度……•已经逐步从单纯开发技术和产品本身,转向同时从整体保障框架着眼,解决实际问题,实现价值。信息安全保障资产和业务保障措施威胁从

5、三个方面展开框架信息安全保障资产和业务保障措施威胁•到底哪些问题对我们是真正的危害•到底我们的系统中哪些是要重点保护的,我们的系统的特点和结构是什么•到底哪些措施最有效,现有措施的效果如何专业厂商要协助客户完善保障体系客户信息安全保障体系资产和业务保障措施威胁了解提供了解威胁资产和业务保障措施厂商提供的信息安全保障2、了解威胁客户信息安全保障体系资产和业务保障措施威胁提供了解保障措施了解威胁资产和业务厂商提供的信息安全保障政务网络面临的问题•多样化网络安全威胁隐蔽通道蠕虫病毒恶意代码黑客攻击政务网络异常流量逻辑炸弹违规操作内部、外部泄密3、了解资产和业务客户信息安全保障体系

6、资产和业务保障措施威胁提供了解保障措施了解威胁资产和业务厂商提供的信息安全保障作安全必须了解资产和业务•“正确处理安全与发展的关系,以安全保发展,在发展中求安全”•等级保护的要求也要我们做到对自身的了解,才能做到适度的防护•我们对于信息系统的依赖程度决定了我们在安全上的投入怎么了解资产和业务(IT相关)•分析信息体系架构ITA业务–业务系统资产–网络分布形态保障–系统的层次性措施威胁–技术和管理(组织结构)–时间(生命周期)–价值(资产价值、影响价值、投入)–……关于资产和业务方面的趋势•用结构化的方法描述自身的资产和业务是更加系统化、更加全面地进行安全保护的基础–安全域方

7、法逐步成为比较现实地描述网络和系统环境的方法安全域的概念•广义的安全域概念是–具有相同和相似的安全要求和策略的IT要素的集合。•这些IT要素包括:业务和使命物理环境策略和流程主机和系统人和组织网络区域常见安全域的划分方法•按照业务系统划分–优点:自然形成、划分简单–缺点:防护复杂、重复投资、影响易用性•按照防护等级划分–优点:防护简单、保护投资–缺点:割接成本高、影响易用性•按照行为特征划分–优点:针对常见的威胁进行更细致的防护–缺点:需要详细分析业务系统的行为边界接入域互联网接入区外联网接入区内联网接入区内部网接

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。