欢迎来到天天文库
浏览记录
ID:56285153
大小:1.85 MB
页数:72页
时间:2020-06-08
《信息安全策略及实施方法.ppt》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、1信息安全策略及实施方法2目录信息安全策略概述1信息安全策略的制定2主要的安全策略3信息安全策略的执行与维护43一、信息安全策略概述41.信息安全策略的定义计算机安全研究组织SANS:“为了保护存储在计算机中的信息,安全策略要确定必须做什么,一个好的策略有足够多‘做什么’的定义,以便于执行者确定‘如何做’,并且能够进行度量和评估”。一组规则,这组规则描述了一个组织要实现的信息安全目标和实现这些信息安全目标的途径。信息安全策略是一个组织关于信息安全的基本指导规则。信息安全策略提供:信息保护的内容和目标,信
2、息保护的职责落实,实施信息保护的方法,事故的处理5安全策略的引入信息安全策略从本质上来说是描述组织具有哪些重要信息资产,并说明这些信息资产如何被保护的一个计划。安全策略是进一步制定控制规则和安全程序的必要基础。安全策略本质上是非形式化的,也可以是高度数学化的。安全策略将系统的状态分为两个集合:已授权的和未授权的。61.1安全策略的引入制定信息安全策略的目的:如何使用组织中的信息系统资源;如何处理敏感信息;如何采用安全技术产品。71.1安全策略的引入安全策略涉及的问题:敏感信息如何被处理?如何正确地维护用
3、户身份与口令,以及其他账号信息?如何对潜在的安全事件和入侵企图进行响应?如何以安全的方式实现内部网及互联网的连接?怎样正确使用电子邮件系统?8安全策略保密性策略可用性策略完整性策略安全策略的层次信息安全方针具体的信息安全策略9信息安全方针信息安全方针就是组织的信息安全委员会或管理机构制定的一个高层文件,是用于指导组织如何对资产,包括敏感性信息进行管理、保护和分配的规则和指示。信息安全的定义,总体目标和范围,安全对信息共享的重要性;管理层意图、支持目标和信息安全原则的阐述;信息安全控制的简要说明,以及依从
4、法律法规要求对组织的重要性;信息安全管理的一般和具体责任定义,包括报告安全事故等。10安全程序安全程序是保障信息安全策略有效实施的、具体化的、过程性的措施,是信息安全策略从抽象到具体,从宏观管理层落实到具体执行层的重要一环。程序是为进行某项活动所规定的途径或方法。信息安全管理程序包括:实施控制目标与控制方式的安全控制程序;为覆盖信息安全管理体系的管理与运作的程序11程序文件的内容包括:活动的目的与范围(Why)。做什么(What)谁来做(Who) 何时(When) 何地(Where)如何做(How)程序
5、文件应遵循的原则:一般不涉及纯技术性的细节针对影响信息安全的各项活动目标的执行做出的规定应当简练、明确和易懂应当采用统一的结构与格式编排122.信息安全策略的特点指导性原则性可审核性非技术性现实可行性动态性文档化133.信息安全策略的地位必须有相应的措施保证信息安全策略得到强制执行管理层不得允许任何违反信息安全策略的行为存在信息安全策略必须有清晰和完全的文档描述需要根据业务情况的变化不断的修改和补充信息安全策略144.功能信息安全策略的主要功能就是要建立一套安全需求、控制措施及执行程序,定义安全角色赋予
6、管理职责,陈述组织的安全目标,为安全措施在组织的强制执行建立相关舆论与规则的基础。15信息安全策略的保护对象硬件与软件硬件和软件是支持商业运作进行的平台,它们应该受策略所保护。所以,拥有一份完整的系统软、硬件清单是非常重要的,并且包括网络结构图。数据计算机和网络所做的每一件事情都造成了数据的流动和使用。所以有的企业、组织和政府机构,不论从事什么工作,都在收集和使用数据。人员首先,重点应该放在谁在什么情况下能够访问资源。接下来要考虑的就是强制执行制度和对未授权访问的惩罚制度。16信息安全策略网络设备安全服
7、务器安全信息分类信息保密用户账户与口令远程访问反病毒防火墙及入侵检测安全事件调查与响应灾难恢复与业务持续性计划风险评估信息系统审计17信息安全策略的设计范围物理安全策略物理安全策略包括环境安全、设备安全、媒体安全、信息资产的物理分布、人员的访问控制、审计记录、异常情况的追查等。网络安全策略网络安全策略包括网络拓扑结构、网络设备的管理、网络安全访问措施(防火墙、入侵检测系统、VPN等)、安全扫描、远程访问、不同级别网络的访问控制方式、识别/认证机制等。数据加密策略数据加密策略包括加密算法、适用范围、密钥交
8、换和管理等。数据备份策略数据备份策略包括适用范围、备份方式、备份数据的安全存储、备份周期、负责人等。病毒防护策略病毒防护策略包括防病毒软件的安装、配置、对软盘使用、网络下载等作出的规定等。18信息安全策略的设计范围系统安全策略系统安全策略包括WWW访问策略、数据库系统安全策略、邮件系统安全策略、应用服务器系统安全策略、个人桌面系统安全策略、其他业务相关系统安全策略等。身份认证及授权策略身份认证及授权策略包括认证及授权机制、方式、审计记录等。
此文档下载收益归作者所有