返回
网络与信息安全(第二版) 第15章 网络信息安全管理

网络与信息安全(第二版) 第15章 网络信息安全管理

ID:40336415

大小:531.00 KB

页数:23页

时间:2019-07-31

网络与信息安全(第二版) 第15章 网络信息安全管理_第1页
网络与信息安全(第二版) 第15章 网络信息安全管理_第2页
网络与信息安全(第二版) 第15章 网络信息安全管理_第3页
网络与信息安全(第二版) 第15章 网络信息安全管理_第4页
网络与信息安全(第二版) 第15章 网络信息安全管理_第5页
资源描述:

《网络与信息安全(第二版) 第15章 网络信息安全管理》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第15章网络信息安全管理第15章网络信息安全管理本书前面详细讨论了网络信息安全的各种技术。只有技术是不是可以呢?答案是否定的。除了技术,还要有完善的安全管理。没有完善的安全管理,安全只是一句空话。试想,如果密钥因为管理混乱而泄密,那么密钥设置得强度再高又有什么用呢?本章将讨论安全管理的方方面面。15.1信息安全管理概述15.1.1信息安全管理的概念所谓管理,是在群体活动中,为了完成一定的任务,实现既定的目标,针对特定的对象,遵循确定的原则,按照规定的程序,运用恰当的方法,所进行的制定计划、建立机

2、构、落实措施、开展培训、检查效果和实施改进等活动。安全管理是以管理对象的安全为任务和目标的管理。安全管理的任务是保证管理对象的安全。安全管理的目标是达到管理对象所需的安全级别,将风险控制在可以接受的程度。信息安全管理是以信息及其载体——即信息系统为对象的安全管理。信息安全管理的任务是保证信息的使用安全和信息载体的运行安全。信息安全管理的目标是达到信息系统所需的安全级别,将风险控制在用户可以接受的程度。15.1.2安全管理的重要性在信息时代,信息是一种资产。仅通过技术手段实现的安全能力是有限的,主

3、要体现在以下两个方面。一方面,许多安全技术和产品远远没有达到人们需要的水准。另一方面,即使某些安全技术和产品在指标上达到了实际应用的某些安全需求,如果配置和管理不当,还是不能真正地实现这些安全需求。安全管理模型——PDCA持续改进模式信息安全管理策略应包括信息安全管理的任务、目标、对象、原则、程序和方法这些内容。1.信息安全管理的任务:信息安全管理的任务是保证信息的使用安全和信息载体的运行安全。2.信息安全管理的目标:信息安全管理的目标是达到信息系统所需的安全级别,将风险控制在用户可以接受的程度

4、。3.信息安全管理的对象:信息安全管理的对象从内涵上讲是指信息及其载体——信息系统,从外延上说其范围由实际应用环境来界定。15.2信息安全管理策略4.信息安全管理遵循如下基本原则:(1)策略指导原则(2)风险评估原则(3)预防为主原则(4)适度安全原则(5)立足国内原则(6)成熟技术原则(7)规范标准原则(8)均衡防护原则(9)分权制衡原则(10)全体参与原则(11)应急恢复原则(12)持续发展原则5.信息安全管理的程序,信息安全管理的程序遵循PDCA循环模式的4大基本步骤:(1)计划(Plan

5、):制定工作计划,明确责任分工,安排工作进度,突出工作重点,形成工作文件。(2)执行(Do):按照计划展开各项工作,包括建立权威的安全机构,落实必要的安全措施,开展全员的安全培训等。(3)检查(Check):对上述工作所构建的信息安全管理体系进行符合性检查,并报告结果。(4)行动(Action):依据上述检查结果,对现有信息安全管理策略的适宜性进行评审与评估,评价现有信息安全管理体系的有效性,采取改进措施。6.信息安全管理的具体方法很多,应该根据具体情况制订,以下是通用的方法:(1)制定各类管理

6、制度,并在工作中真正执行。(2)系统由专人管理,其他人员不应该接触系统。(3)禁止非工作人员进入重要机房。(4)使用不间断电源UPS,做好防火、防水、防雷击保护措施。(5)各用户必须管理好自己的口令,并定期更改,不能泄露。(6)重要的设备应该安放在安装了摄像头的隔离房间内,要保留15天以上的摄像记录,并使用门禁系统。机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法操作设备,钥匙要放在安全的地方。(7)随时检查并记录服务器、网络设备及各类应用软件的运行情况,对软硬件进行的修改、升级一定要

7、记录在案。(8)对软硬件进行重大的更改前,必须先形成方案文件,经过详细研究确认可行后再实行,并应对更改可能带来的负面后果做好充分的准备。可以在其它设备上试验后再正式实行,绝不能在工作中的设备上进行试验性质的调试。(9)服务器上仅安装必须的软件,非必须的软件一律删除。(10)定时备份重要数据,一定要把数据备份在光盘或另一台设备上,不能备份在同一台设备上,这样的话还不如不备份。至关重要的数据应该异地备份,防止大规模自然灾害,如地震发生时数据全灭。7.信息系统安全评估要确定一个信息系统的安全性究竟怎样

8、,必须进行安全评估。安全评估分为3步。安全评估方法的第1步是发现阶段,所有有关安全体系结构适用的文本都必须检查。评估的第2步是人工检查阶段,将文本描述的体系结构与实际的结构进行比较,找出其差别。评估的第3步是漏洞测试阶段。这是一个系统的检查,以决定安全方法的适用性、标识安全的差别、评价现有的和计划的保护措施的有效性。15.3.1BS7799标准BS7799标准是由英国标准协会(BSI)制定的信息安全管理标准,是国际上具有代表性的信息安全管理体系标准。该标准包括以下两部分:BS7799-1:200

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。