返回
信息安全咨询

信息安全咨询

ID:34518475

大小:1.24 MB

页数:48页

时间:2019-03-07

信息安全咨询_第1页
信息安全咨询_第2页
信息安全咨询_第3页
信息安全咨询_第4页
信息安全咨询_第5页
资源描述:

《信息安全咨询》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、SecurityFrameworkSecurityConceptDescription前言本文说明了实现信息安全整体方案的理论;它主要讲了做什么,如何做的问题。这篇文档将作为我们研究,调研,上海益息信息技术有限公司设计,实现和维护公司信息系统安全的基本依据。信息安全咨询部主题主题Theme�信息安全的简介�信息安全的安全分析�信息安全的逻辑设计�信息安全的物理设计信息安全的概念信息安全的概念(InformationSecurityConcept)�信息安全是对信息、系统及使用、存储和传输信息的硬件的保护�信息安全的目的即是保障信息的重要特性不被改

2、变三要素的定义可用性•可用性:被授权的人在需要的时候可完整性信息三机密性以访问信息;要素•完整性:信息是完整的没有被破坏或修改。•机密性:只有授权的人才可以访问指定的信息Part1:信息安全的简介信息系统的组件信息系统的组件(InformationSystemModel)�信息系统就是软件、硬件、数据、人员、流程的完整集合数据硬件人员员工软件流程Part1:信息安全的简介信息安全的模型信息安全的模型(InformationSecurityModel)�基于信息系统的组件,我们需要建立一个模型来保障信息安全;即是确保信息安全模型中每一个单元都被正确

3、的定位和执行。机密性方针、教育、技术机密性完整性完整性可用性方针、教育、技术可用性存储、处理、传输存储、处理、传输Part1:信息安全的简介平衡安全性和访问性能平衡安全性和访问性能(Balancesecurityandaccessperformance)�安全应被认为是保护性和可用性之间的平衡。安全!加密,可用性高,操作复杂的认证简单,更快的响应更低的成改变不安全的本,更少的流程,人力,不要改变现有的流程Part1:信息安全的简介信息安全执行的功能信息安全执行的功能(InformationSecurityperformsfourimportant

4、functions)�保护公司运转能力�实现运行于公司IT系统上应用程序的安全操作�保护公司收集并使用的数据�保护公司使用的技术资产Part1:信息安全的简介对于信息安全的威胁对于信息安全的威胁(ThreatsforInformationSecurity)�威胁的5大分组非故意行为蓄意行为不可抗力技术失败管理失败Part1:信息安全的简介对于信息安全的威胁对于信息安全的威胁(ThreatsforInformationSecurity)非故意行为•人为过失�威胁的12个分类•服务商服务质量的偏差蓄意行为•蓄意非法的入侵行为•信息敲诈蓄意行为•蓄意破

5、坏行为•蓄意窃取行为•蓄意软件攻击行为•知识产权的侵害不可抗拒行为•自然灾害技术漏洞或失败•技术硬件故障•技术软件故障管理漏洞或失败•技术退化或过时Part1:信息安全的简介对于漏洞攻击的主要类型对于漏洞攻击的主要类型(Attack)垃圾邮件恶意代码恶作剧后门TCP劫持密码破解欺骗社会工程邮件炸弹缓存区溢出数据包嗅探定时攻击拒绝服务(DDOS)词典攻击暴力破解Part1:信息安全的简介信息安全项目执行的方法信息安全项目执行的方法�自上而下的方法CEOCIOSecurityManagerSystemsManagerNetworkManagerSec

6、urityAdminSystemsAdminNetworkAdmin自下而上的方法Part1:信息安全的简介设计和实现信息系统安全的方法设计和实现信息系统安全的方法SecSDLC:安全系统开发生命周期调研分析逻辑设计物理设计实现方案周期性重复维护和变更Part1:信息安全的简介风险管理风险管理�风险管理:包括风险识别,风险评估,风险控制的整个过程风险识别风险评估风险控制针对所有的利益团体Part2:信息安全的分析风险管理:识别和评估风险风险管理:识别和评估风险�风险识别与风险管理的关系规划并为资产受到组织过程的攻击负责对系统组件评估漏洞攻击进行分

7、类的可能性列出请单计算资产的并划分资产相对风险因素回顾可能的识别出威胁控制指出易受记录所发现攻击的资产的内容Part2:信息安全的分析风险管理:识别风险风险管理:识别风险�风险识别的定义:检查公司信息的安全状况,并为其提供文件证明的这个过程1.计划并组织风险识别过程2.将系统组件进行分类3.规划并列出资产清单,并对其分类4.识别出对于分类后资产的威胁5.将特定的威胁与特定的易受攻击的资产联系起来Part2:信息安全的分析通过对信息系统组件的分类来决定各种优先级是非常重要的,因为下一步将基于通过类别建立的标准对组件进行分类。分类的全面性和相对独立性

8、也是重要的,全面性意味着所有信息资产必须符合各部门的目录,独立性意味着一份信息资产应该只适合一个种类。建立一个清风险管理:识别风险风险管

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。