返回
信息安全体系概述.ppt

信息安全体系概述.ppt

ID:50699953

大小:4.13 MB

页数:64页

时间:2020-03-15

信息安全体系概述.ppt_第1页
信息安全体系概述.ppt_第2页
信息安全体系概述.ppt_第3页
信息安全体系概述.ppt_第4页
信息安全体系概述.ppt_第5页
资源描述:

《信息安全体系概述.ppt》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、信息安全体系概述冯真凯Page2目录信息安全体系概述信息安全组织体系信息安全管理体系信息安全技术体系信息安全执行体系一、信息安全体系概述信息系统固有的脆弱性信息本身易传播、易毁损、易伪造信息技术平台(如硬件、网络、系统)的复杂性与脆弱性行动的远程化使安全管理面临挑战信息具有的重要价值信息社会对信息高度依赖,信息的风险加大信息的高附加值会引发盗窃、滥用等威胁信息安全面临的风险企业对信息的依赖程度:美国明尼苏达大学Bush-Kugel的研究报告指出,企业在没有信息资料可用的情况下,金融业至多只能运行2天,商业则为3.3天,工业则为5天,保险业为5.6天。而以经

2、济情况来看,有25%的企业,因为的毁损可能立即破产,40%会在两年内宣布破产,只有7%不到的企业在5年后能够继续存活。硬件架构:系统与设备数量越来越多系统互连关系越来越繁杂软件架构:统架构越来越复杂网络连接与划分混乱互联网接口抗攻击性较弱工程管理:规划期缺乏安全评审建设与工程割接缺乏安全管理遗留策略与帐号形成安全漏洞程序开发:开发阶段缺乏安全监管源代码缺乏安全检查,可能留下后门1.系统数量众多,硬件架构多样,系统间交互与接口繁多,相互关系复杂;2.系统软件架构复杂,网络连接与划分较混乱,互联网接口抗攻击性较弱;3.系统规划期缺乏安全评审,工程割接缺少安全管

3、理,工程遗留策略与帐号易形成安全漏洞;4.程序开发阶段缺乏监管,程序源代码缺乏安全检查,可能留下后门或被攻击。常见的信息安全问题常见的信息安全问题信息安全损失的“冰山”理论信息安全直接损失只是冰由之一角,间接损失是直接损失是6-53倍间接损失包括:时间被延误修复的成本可能造成的法律诉讼的成本组织声誉受到的影响商业机会的损失对生产率的破坏$10,000$60,000-$530,0009保障信息安全的途径?IT治理安全风险测评信息安全管理体系强化安全技术信息系统安全等级保护亡羊补牢?还是打打补丁?系统地全面整改?忽略了信息化的治理机制与控制体系的建立,和信息化

4、“游戏规则”的建立;厂商主导的技术型解决方案为主,用户跟着厂商的步子走;安全只重视边界安全,没有在应用层面和内容层面考虑业务安全问题;重视安全技术,轻视安全管理,信息安全可靠性没有保证;信息安全建设缺乏绩效评估机制,信息安全成了“投资黑洞”;信息安全人员变成“救火队员”…我国当前信息安全普遍存在的问题信息安全=反病毒软件+防火墙+入侵检测系统?管理制度?人的因素?环境因素?Ernst&Young及国内安全机构的分析:国家政府和军队信息受到的攻击70%来自外部,银行和企业信息受到的攻击70%来自于内部。75%的被调查者认为员工对信息安全策略和程序的不够了解是

5、实现信息安全的障碍之一,只有35%的组织有持续的安全意识教育与培训计划66%的组织认为信息系统没有遵守必要的信息安全规则56%的组织认为在信息安全的投入上不足,60%从不计算信息安全的ROI,83%的组织认为在技术安全产品与技术上投入最多。在整个系统安全工作中,管理(包括管理和法律法规方面)所占比重应该达到70%,而技术(包括技术和实体)应占30%。保护信息安全的方法如何实现信息安全?建立完善的信息安全体系对信息安全建立系统工程的观念用管理、技术、人员、流程来保证组织的信息安全信息安全遵循木桶原理对信息系统的各个环节进行统一的综合考虑、规划和构架并要时时兼

6、顾组织内不断发生的变化,任何环节上的安全缺陷都会对系统构成威胁。需要对信息安全进行有效管理建立统一安全规划体系改变以往零敲碎打、因人而起、因事而起的安全管理,形成统一的安全体系,指导安全管理和建设工作。转变门户网站防火墙升级信息防泄露DLP维护区域扩容项目RSA令牌扩容项目应用漏洞扫描工具项目系统漏洞扫描工具网站页面防篡改项目。。。。。。零敲碎打引人而起因事而起建立统一的安全规划体系总体思路:以防为主,防治结合防治结合:自下而上的风险反馈以防为主:自上而下的策略管理坚持“以防为主,防治结合”的安全工作措施,形成成熟的、立体的信息安全运行管控体系。以防为主,

7、即以完善的安全策略为指导,使安全策略能自上而下得到落实;防治结合,即以风险管理为核心,使风险能自下而上得到反馈和整治。初级没有形成体系,只有零散的安全技术措施没有专职安全管理员中级尝试构建安全体系框架,具备较多的安全技术措施,开始有意识朝着有体系的安全建设发展。安全管理员工作繁重,既要处理现有问题,还要准备未来建设。高级在正确的安全体系框架指导下建设多年,形成了完备的安全技术和管理措施。安全管理员的工作主要是对各种管控规则进行微调,关注最新安全发展动态,考核奖惩通报等。安全管理的几个阶段当前目标安全管理的几个阶段信息安全体系的内容业务与策略根据业务需要在组

8、织中建立信息安全策略,以指导对信息资产进行管理、保护和分配。确定并

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。