資源描述:
《構(gòu)建信息安全保障體系-使命�����、原則����、框架、執(zhí)行和實踐》由會員上傳分享��,免費在線閱讀���,更多相關內(nèi)容在教育資源-天天文庫�����。
1���、構(gòu)建信息安全保障體系——使命、原則�����、框架����、執(zhí)行和實踐2006年11月三觀論實現(xiàn)層運營層技術人員過程決策層宏觀微觀中觀摘要使命——27號文原則——風險管理框架——信息安全保障框架執(zhí)行IT風險管理的業(yè)務化從風險管理到合規(guī)性管理實踐安全域安全管理平臺使命問題什么是信息安全�����?到底要解決那些問題��?怎么實施信息安全建設���?問題什么是信息安全?通過回答最根本的問題��,幫助我們探究事物的本原��。到底要解決那些問題�����?明確工作的目標和要求�����,從一個大的廣泛的概念中尋找自身的定位��。怎么實施信息安全建設�?通過回答最實際的問題,幫助我們獲得需要的實效�。
2、三法則Q3-WWH三問題:什么/為什么/怎么中辦發(fā)[2003]27號國家信息化領導小組關于加強信息安全保障工作的意見(2003年8月26日)加強信息安全保障工作-總體要求總體要求:堅持積極防御�����、綜合防范的方針���,全面提高信息安全防護能力��,重點保障基礎信息網(wǎng)絡和重要信息系統(tǒng)安全�����,創(chuàng)建安全健康的網(wǎng)絡環(huán)境���,保障和促進信息化發(fā)展,保護公眾利益�,維護國家安全。加強信息安全保障工作-主要原則主要原則:立足國情��,以我為主��,堅持管理與技術并重�����;正確處理安全與發(fā)展的關系,以安全保發(fā)展���,在發(fā)展中求安全��;統(tǒng)籌規(guī)劃�,突出重點���,強化基礎性工作�����;明
3�����、確國家�����、企業(yè)、個人的責任和義務���,充分發(fā)揮各方面的積極性����,共同構(gòu)筑國家信息安全保障體系。加強信息安全保障工作-九項任務系統(tǒng)等級保護和風險管理基于密碼技術的信息保護和信任體系網(wǎng)絡信息安全監(jiān)控體系應急處理體系加強技術研究�����,推進產(chǎn)業(yè)發(fā)展法制建設����、標準化建設人才培養(yǎng)與全民安全意識保證信息安全資金加強對信息安全保障工作的領導,建立健全信息安全管理責任制原則原則——風險管理風險管理了解威脅了解資產(chǎn)和業(yè)務了解保障措施安全的三個相對性原則安全沒有絕對��,沒有100%實踐安全相對性的三個原則風險原則——適合商業(yè)機構(gòu)生存原則——適合強力機構(gòu)保
4�����、鏢原則——適合涉密機構(gòu)風險管理風險管理的理念從90年代開始���,已經(jīng)逐步成為引導信息安全技術應用的核心理念ISO13335中的風險管理的關系圖ISO13335以風險為核心的安全模型風險防護措施信息資產(chǎn)威脅漏洞防護需求降低增加增加利用暴露價值擁有抗擊增加引出被滿足一般風險評估的理論基礎風險評估的國家標準國信辦報告中的風險9要素關系圖安全管理平臺中實時風險監(jiān)控的理論基礎德國ITBPM最精簡的風險管理3要素三法則Q3-WWHR3-AST三問題:什么/為什么/怎么風險三要素:資產(chǎn)業(yè)務/保障措施/威脅了解威脅威脅趨勢外部威脅環(huán)境危害
5����、的頻度���、范圍越來越大威脅的方面越來越綜合攻擊的技術含量越來越大攻擊的技術成本越來越低攻擊的法律風險還難于真正體現(xiàn)……內(nèi)部威脅和物理威脅系統(tǒng)的環(huán)境越來越復雜系統(tǒng)自身的結(jié)構(gòu)越來越復雜內(nèi)部發(fā)生惡意和非惡意的可能性越來越大威脅傳遞和放大的情況更加嚴重威脅的總結(jié)惡意代碼人為發(fā)起的越權和入侵類病毒��、蠕蟲等傳播類發(fā)起的拒絕服務攻擊類違規(guī)操作誤操作違規(guī)業(yè)務惡意信息惡意傳播有害信息垃圾信息(垃圾短信�����、垃圾郵件等)信息泄漏物理問題設備故障環(huán)境事故自然災害針對威脅的主要技術針對惡意代碼防火墻��、防病毒�、入侵檢測、漏洞掃描…違規(guī)操作流量監(jiān)控����、審
6、計����、應用系統(tǒng)安全措施…惡意信息內(nèi)容監(jiān)控、內(nèi)容過濾�����、加密…物理問題容災����、備份…了解資產(chǎn)和業(yè)務怎么了解資產(chǎn)和業(yè)務(IT相關)分析信息體系架構(gòu)ITA業(yè)務系統(tǒng)網(wǎng)絡分布形態(tài)系統(tǒng)的層次性技術和管理時間(生命周期)價值(資產(chǎn)價值����、影響價值���、投入)……機構(gòu)典型的ITA及其安全思維公共網(wǎng)絡廣域網(wǎng)絡對外發(fā)布對外業(yè)務渠道核心業(yè)務內(nèi)部業(yè)務OA、財務等業(yè)務支撐安全保障異地內(nèi)網(wǎng)異地災備機構(gòu)內(nèi)網(wǎng)ITA分析初探-層次物理和環(huán)境網(wǎng)絡與通信主機和系統(tǒng)應用和業(yè)務數(shù)據(jù)和介質(zhì)人員和組織使命和價值ITA分析初探-分布式從安全角度梳理網(wǎng)絡結(jié)構(gòu)的主要方法節(jié)點路徑法子
7���、網(wǎng)邊界法安全域方法子網(wǎng)和邊界分析路徑和節(jié)點分析中國移動2004年的6個試點項目安全域劃分與邊界整合服務與端口管理生產(chǎn)終端統(tǒng)一管理安全帳號口令安全補丁與版本管理安全預警邊界接入域互聯(lián)網(wǎng)接入?yún)^(qū)計算環(huán)境一般服務區(qū)計算環(huán)境域計算環(huán)境核心區(qū)網(wǎng)絡基礎設施域支撐性設施域骨干區(qū)匯集區(qū)接入?yún)^(qū)安全系統(tǒng)網(wǎng)管系統(tǒng)其它支撐系統(tǒng)外聯(lián)網(wǎng)接入?yún)^(qū)內(nèi)聯(lián)網(wǎng)接入?yún)^(qū)計算環(huán)境重要服務區(qū)內(nèi)部網(wǎng)接入?yún)^(qū)通過安全域理解6個試點項目的安排安全域劃分與邊界整合服務與端口管理生產(chǎn)終端統(tǒng)一管理安全帳號口令安全補丁與版本管理安全預警運營商的業(yè)務特色承載網(wǎng)支撐系統(tǒng)經(jīng)營分析決策系統(tǒng)內(nèi)
8��、部后勤式系統(tǒng)電力系統(tǒng)二次安防的思路某涉密廣域網(wǎng)的特色業(yè)務沒有基于大型的信息系統(tǒng)業(yè)務小型業(yè)務部門自成業(yè)務單元各個業(yè)務部門之間主要是一些協(xié)同數(shù)據(jù)共享業(yè)務安全特色強調(diào)小網(wǎng)安全�����,自成小型防護體系內(nèi)部大網(wǎng)強調(diào)全局監(jiān)控�����,提供承載規(guī)范數(shù)據(jù)共享���,保證安全防止泄密某涉密辦公網(wǎng)的特色將系統(tǒng)和網(wǎng)絡進行一個典型分割,分別解決安全問題邊界(物理隔離��、防火墻
