1、信息安全管理第1頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一第一部分 信息安全管理概論第一章 信息安全概述第二章 信息安全管理基礎(chǔ)第2頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一第一章 信息安全概述第一節(jié) 信息與信息安全第二節(jié) 信息安全政策第三節(jié) 信息安全法律體系第3頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一信息及信息的價(jià)值“真相的瀕危甚于老虎的瀕?！薄胺庞车膭h節(jié)版色,戒，劇情不完整，侵犯消費(fèi)者的公平交易權(quán)和知情權(quán) ”“劇情”、“真相”等都是一種信息信息、物質(zhì)、能量是人類社會(huì)賴以生存和發(fā)展的三大要素災(zāi)難備份給銀行數(shù)據(jù)信息上保險(xiǎn)公安部:超過(guò)一半單位發(fā)生

2、過(guò)信息網(wǎng)絡(luò)安全事件 第4頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一第一章 信息安全概述第一節(jié) 信息與信息安全一、信息與信息資產(chǎn)（一）信息的定義廣義：事物的運(yùn)動(dòng)狀態(tài)以及運(yùn)動(dòng)狀態(tài)形式的變化，是一種客觀存在。（客觀存在并不是區(qū)分真假信息的依據(jù)）狹義：能被主體感覺到并被理解的東西（客觀存在）。本書的定義：通過(guò)在數(shù)據(jù)上施加某些約定而賦予這些數(shù)據(jù)的特殊含義。信息安全資產(chǎn)的分類：信息具有價(jià)值，是一種資產(chǎn)。第5頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一第一節(jié) 信息與信息安全 信息資產(chǎn)分類數(shù)據(jù)：存在于電子媒介的各種數(shù)據(jù)資料軟件：應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和資源庫(kù)硬件：計(jì)算機(jī)硬件

3、、路由器、交換機(jī)、布線等服務(wù)：操作系統(tǒng)、WWW、網(wǎng)絡(luò)管理和安保等文檔：紙質(zhì)文件、傳真、財(cái)務(wù)報(bào)告、發(fā)展計(jì)劃等設(shè)備：電源、空調(diào)、門禁等人員：雇主和各級(jí)雇員等其他：企業(yè)形象、客戶關(guān)系等（軟資產(chǎn)）第6頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一（二）信息的特點(diǎn)信息與接受對(duì)象和要達(dá)到的目的有關(guān)（感知和理解）信息的價(jià)值與接受信息的對(duì)象有關(guān)（信息的價(jià)值性）信息有多種多樣的傳遞手段（約定的多樣性） 信息的共享性（可復(fù)制性）第7頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一二、信息安全（一）信息安全的發(fā)展三個(gè)階段：通訊保密階段 重點(diǎn)是保密（點(diǎn)）信息安全階段 關(guān)注信息安全的三屬性： 保密

4、性 完整性 可用性（線、空間）安全保障階段 關(guān)注點(diǎn)有空間拓展到時(shí)間：策略、 保護(hù)、 檢測(cè)、 響應(yīng)、恢復(fù)（系統(tǒng)） 第8頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一（二）信息安全的定義 為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄漏信息安全的三個(gè)主要問(wèn)題：1.保護(hù)對(duì)象 主要是硬件、軟件、數(shù)據(jù)2.安全目標(biāo) 保密性、完整性、可用性3.實(shí)現(xiàn)途徑 技術(shù)和管理第9頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一（三）信息安全三屬性的含義（Pass）保密性 完整性可用性第10頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)

5、41分，星期一（四）信息安全模型1.PDR模型Pt(protection)有效保護(hù)時(shí)間，信息系統(tǒng)的安全措施能夠有效發(fā)揮保護(hù)作用的時(shí)間；Dt(detection)檢測(cè)時(shí)間，安全監(jiān)測(cè)機(jī)制能夠有效發(fā)現(xiàn)攻擊、破壞行為所需的時(shí)間；Rt(reaction)響應(yīng)時(shí)間，安全機(jī)制作出反應(yīng)和處理所需的時(shí)間。第11頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一安全公式（1）PtDt+Rt， 系統(tǒng)安全 保護(hù)時(shí)間大于檢測(cè)時(shí)間和響應(yīng)時(shí)間之和；（2）PtDt+Rt, 系統(tǒng)不安全 信息系統(tǒng)的安全控制措施在檢測(cè)和響應(yīng)前就會(huì)失效，破壞和后果已經(jīng)發(fā)生。第12頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一2.

6、PPDRR模型：保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)四環(huán)節(jié)在策略的指導(dǎo)下構(gòu)成相互作用的有機(jī)體。第13頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一（五）信息安全保障體系第14頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一第15頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一圖表說(shuō)明：1.安全技術(shù)體系是整個(gè)安全體系的基礎(chǔ)，包括安全基礎(chǔ)設(shè)施平臺(tái)、安全應(yīng)用系統(tǒng)平臺(tái)和安全綜合管理平臺(tái)；安全基礎(chǔ)設(shè)施平臺(tái)從物理和通信安全防護(hù)、網(wǎng)絡(luò)安全防護(hù)、主機(jī)系統(tǒng)安全防護(hù)、應(yīng)用安全防護(hù)等多個(gè)層次出發(fā)，立足于現(xiàn)有的成熟的安全技術(shù)和安全機(jī)制，建立起防護(hù)體系。第16頁(yè)，共103頁(yè)，2022年，5月20日，0

7、點(diǎn)41分，星期一 安全應(yīng)用系統(tǒng)平臺(tái)處理安全基礎(chǔ)設(shè)施與應(yīng)用信息系統(tǒng)之間的關(guān)聯(lián)和集成問(wèn)題。通過(guò)使用安全基礎(chǔ)設(shè)施平臺(tái)所提供的各類安全服務(wù)，提升自身的安全等級(jí)，以更加安全的方式，提供業(yè)務(wù)服務(wù)和信息管理服務(wù)。第17頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一 安全綜合管理平臺(tái)對(duì)安全機(jī)制和安全設(shè)備進(jìn)行統(tǒng)一的管理和控制，負(fù)責(zé)維護(hù)和管理安全策略，配置管理相應(yīng)的安全機(jī)制。促成各類安全手段能與現(xiàn)有的信息系統(tǒng)應(yīng)用體系緊密地結(jié)合，是信息系統(tǒng)安全與信息系統(tǒng)應(yīng)用一體化。第18頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一2.安全組織與管理體系安全組織與管理體系的設(shè)計(jì)立足于總體安全策略，并與安全技

8、術(shù)體系相配合增強(qiáng)防衛(wèi)效果，彌補(bǔ)安全缺陷。信息安全管理體系由若干信息安全管理類組成，每項(xiàng)信息安全管理類可分解為多個(gè)安全目標(biāo)和安全控制。第19頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一3.運(yùn)行保障體系 內(nèi)容涵蓋安全技術(shù)和安全管理緊密結(jié)合的部分，包括系統(tǒng)可靠性設(shè)計(jì)、系統(tǒng)數(shù)據(jù)額備份設(shè)計(jì)、安全時(shí)間的應(yīng)急響應(yīng)計(jì)劃、安全審計(jì)、災(zāi)難恢復(fù)計(jì)劃等第20頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一第二節(jié) 信息安全政策一、我國(guó)信息化發(fā)展戰(zhàn)略與安全保障工作（一）信息化發(fā)展戰(zhàn)略（P8）推進(jìn)國(guó)民經(jīng)濟(jì)信息化推進(jìn)電子政務(wù)建設(shè)先進(jìn)網(wǎng)略文化推進(jìn)社會(huì)信息化完善綜合信息基礎(chǔ)設(shè)施加強(qiáng)信息資源的開發(fā)利用提高信

9、息產(chǎn)業(yè)競(jìng)爭(zhēng)力建設(shè)國(guó)家信息安全保障體系提高國(guó)民信息技術(shù)應(yīng)用能力，造就信息化人才隊(duì)伍第21頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一（二）信息安全保障工作國(guó)務(wù)院關(guān)于加強(qiáng)信息安全保障工作的意見 加強(qiáng)信息安全保障工作須遵循的原則 立足國(guó)情，以我為主，堅(jiān)持管理和技術(shù)并重；正確處理安全與發(fā)展的關(guān)系，以安全保發(fā)展，從發(fā)展中求安全；統(tǒng)籌規(guī)劃，突出重點(diǎn)，強(qiáng)化基礎(chǔ)性工作；明確國(guó)家、企業(yè)、個(gè)人的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國(guó)家信息安全保障體系。第22頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一處理好發(fā)展與建設(shè)的關(guān)系正確處理發(fā)展與安全的關(guān)系堅(jiān)持以改革開放求安全堅(jiān)持管理與技

10、術(shù)并重堅(jiān)持統(tǒng)籌兼顧、重點(diǎn)突出第23頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一二、美國(guó)信息安全國(guó)家戰(zhàn)略簡(jiǎn)介：1998年5月美國(guó)政府頒發(fā)了保護(hù)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施總統(tǒng)令，圍繞信息安全成立多個(gè)組織。1998年美國(guó)國(guó)家安全局制定了信息保障技術(shù)框架提出了“深度防御策略”，確定了包括網(wǎng)絡(luò)與基礎(chǔ)設(shè)施防御、區(qū)域邊界防御、計(jì)算機(jī)環(huán)境防御等深度防御在內(nèi)的目標(biāo)。第24頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一2000年1月，發(fā)布了保衛(wèi)美國(guó)的計(jì)算機(jī)空間保護(hù)信息系統(tǒng)的國(guó)家計(jì)劃，確定了計(jì)劃的目標(biāo)和范圍。2003年2月公布確保網(wǎng)絡(luò)空間安全的國(guó)家戰(zhàn)略報(bào)告，強(qiáng)調(diào)發(fā)動(dòng)社會(huì)力量參與保障網(wǎng)絡(luò)安全，重視發(fā)揮

11、高校和科研機(jī)構(gòu)的力量。內(nèi)容：三項(xiàng)總體戰(zhàn)略目標(biāo)和五項(xiàng)具體的優(yōu)先目標(biāo)。P11第25頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一背景：美國(guó)是第一信息大國(guó)，對(duì)信息的依賴是其脆弱性的重要根源由大量信息系統(tǒng)組成的國(guó)家信息基礎(chǔ)結(jié)構(gòu)，已成為美國(guó)經(jīng)濟(jì)的命脈和國(guó)家的生命線，也成為容易受到攻擊的高價(jià)值目標(biāo)系統(tǒng)的安全漏洞、黑客的猖獗80年代以來(lái)，美國(guó)政府陸續(xù)發(fā)布若干制度，擁有最關(guān)鍵系統(tǒng)的政府部門被指定為第一批實(shí)施信息安全保護(hù)計(jì)劃的要害部門，力圖實(shí)現(xiàn)三個(gè)目標(biāo)：準(zhǔn)備和預(yù)防、偵查和反應(yīng)、建立牢固的基礎(chǔ)設(shè)施第26頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一確保網(wǎng)絡(luò)空間安全的國(guó)家戰(zhàn)略作用與影響:1、

12、確保網(wǎng)絡(luò)安全已經(jīng)被提升為美國(guó)國(guó)家安全戰(zhàn)略的一個(gè)重要組成部分；2、是美國(guó)在9.11之后為確保網(wǎng)絡(luò)安全而采取的一系列舉措中的核心步驟；3、強(qiáng)調(diào)社會(huì)力量對(duì)網(wǎng)絡(luò)安全進(jìn)行全民防御，重視與企業(yè)和地方政府合作，重視發(fā)揮院校和科研機(jī)構(gòu)力量，重視人才培養(yǎng)和公民安全意識(shí)教育。第27頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一三、俄羅斯信息安全學(xué)說(shuō)2000年6月國(guó)家信息安全學(xué)說(shuō)第一次明確指出了俄羅斯在信息領(lǐng)域的利益、威脅是什么，以及保衛(wèi)措施。（一）背景科索沃戰(zhàn)爭(zhēng)、愛蟲病毒的爆發(fā)是催化劑第28頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一（二）內(nèi)容1、保證信息安全是國(guó)家利益的要求2、保證信息

13、安全的方法3、國(guó)家在保證信息安全時(shí)應(yīng)采取的基本原則4、信息安全的組織基礎(chǔ)此外，信息安全學(xué)說(shuō)還對(duì)信息威脅做了評(píng)估，論證了信息斗爭(zhēng)的打擊目標(biāo)和打擊手段。第29頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一 （三）措施1、成立國(guó)家信息安全與對(duì)抗的領(lǐng)導(dǎo)機(jī)構(gòu)（國(guó)家信息政策委員會(huì)）2、建立信息對(duì)抗教育防范體系3、建立信息斗爭(zhēng)特種部隊(duì)4、發(fā)展信息斗爭(zhēng)的關(guān)鍵技術(shù)和手段5、改組指揮控制系統(tǒng)，增強(qiáng)戰(zhàn)場(chǎng)生存能力 第30頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一第三節(jié) 信息安全法律體系一、信息安全法律體系（一）體系結(jié)構(gòu)1.法律體系 部門法2.政策體系（拘束力、責(zé)任）3.強(qiáng)制性技術(shù)標(biāo)準(zhǔn)（強(qiáng)制

14、力）第31頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一（二）信息系統(tǒng)安全保護(hù)法律規(guī)范的法律地位 1、信息系統(tǒng)安全立法的必要性和緊迫性 2、信息系統(tǒng)安全保護(hù)法律規(guī)范的作用違反國(guó)家規(guī)定，侵入國(guó)家事務(wù)、國(guó)防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)的，處三年以下有期徒刑或者拘役。 （1）指引作用（2）評(píng)價(jià)作用（3）預(yù)測(cè)作用（4）教育作用（5）強(qiáng)制作用（預(yù)防作用）第32頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一二、法律法規(guī)介紹（P1824）（一）刑法 主要罪名 新增加的罪名及含義（二）治安管理處罰法 相關(guān)條文及含義（三）計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例（計(jì)算機(jī)信息系統(tǒng)能夠發(fā)生的案件

15、，應(yīng)在24小時(shí)內(nèi)向人民政府公安機(jī)關(guān)報(bào)告）（四）關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定（五）計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際互聯(lián)網(wǎng)安全保護(hù)管理辦法（六）互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定第33頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一第二章 信息安全管理基礎(chǔ)第一節(jié) 信息安全管理體系第二節(jié) 信息安全管理標(biāo)準(zhǔn)第三節(jié) 信息安全策略第四節(jié) 信息安全技術(shù) 第34頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一第一節(jié) 信息安全管理體系一、信息安全管理體系定義信息安全管理涉及信息和網(wǎng)絡(luò)系統(tǒng)的各個(gè)層面，以及生命周期的各個(gè)階段，這些不同方面的管理內(nèi)容彼此間存在著一定的內(nèi)在聯(lián)系，構(gòu)成一個(gè)有機(jī)的整體，以使管理措施保障達(dá)到信息安

16、全目標(biāo)。（ISMS）第35頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一 二、信息安全管理的基本原則 （一）總體原則主要領(lǐng)導(dǎo)負(fù)責(zé)原則 規(guī)范定級(jí)原則以人為本原則適度安全原則全面防范重點(diǎn)突出原則系統(tǒng)、動(dòng)態(tài)原則控制社會(huì)影響原則第36頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一（二）安全管理策略分權(quán)制衡（避免權(quán)力集中）最小特權(quán)（避免多余權(quán)力）選用成熟技術(shù)普遍參與第37頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一三、信息安全管理內(nèi)容管理目標(biāo)：合規(guī)性（管理合規(guī)）流程規(guī)范性（程序合規(guī)）整體協(xié)調(diào)性（各種管理協(xié)調(diào)）執(zhí)行落實(shí)性（檢查監(jiān)督和審計(jì)）變更可控性（變更要監(jiān)控）責(zé)任性

17、持續(xù)改進(jìn)計(jì)劃性第38頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一信息安全管理體系包括以下方面 （一）信息安全方針和策略 1、安全方針和策略2、資金投入管理3、信息安全規(guī)劃 第39頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一 （二）信息安全人員和組織1、保證有足夠的人力資源從事信息安全保障工作2、確保人員有明確的角色和責(zé)任3、保證從業(yè)人員經(jīng)過(guò)了適當(dāng)?shù)男畔踩逃团嘤?xùn)，有足夠的安全意識(shí)4、機(jī)構(gòu)中的信息安全相關(guān)人員能夠在有效的組織結(jié)構(gòu)下展開工作第40頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一（三）基于信息系統(tǒng)各個(gè)層次的安全管理 1、環(huán)境和設(shè)備安全 2、網(wǎng)

18、絡(luò)和通信安全 3、主機(jī)和系統(tǒng)安全 4、應(yīng)用和業(yè)務(wù)安全 5、數(shù)據(jù)安全第41頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一（四）基于信息系統(tǒng)生命周期的安全管理信息系統(tǒng)生命周期可以分為兩個(gè)階段：工程設(shè)計(jì)和開發(fā)階段、系統(tǒng)的運(yùn)行和維護(hù)階段系統(tǒng)安全與系統(tǒng)本身“三個(gè)同步”：同步規(guī)劃、同步建設(shè)、同步運(yùn)行安全管理內(nèi)容：1、項(xiàng)目工程安全管理2、日常運(yùn)行與維護(hù)的安全管理3、配置管理和變更管理（資產(chǎn)和管理措施的配置描述和管理）4、文檔化和流程規(guī)范化5、新技術(shù)、新方法的跟蹤和采用第42頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一（五）風(fēng)險(xiǎn)管理1、資產(chǎn)鑒別、分類和評(píng)價(jià)2、威脅鑒別和評(píng)價(jià)3、脆弱性

19、評(píng)價(jià)4、安全風(fēng)險(xiǎn)評(píng)估和評(píng)級(jí)5、決策并實(shí)施風(fēng)險(xiǎn)處理措施第43頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一（六）業(yè)務(wù)連續(xù)性管理：識(shí)別潛在影響、建立整體恢復(fù)能力和順應(yīng)能力，重在危機(jī)或?yàn)?zāi)害發(fā)生時(shí)的保護(hù)（七）符合性審核：將信息安全管理納入良性的、持續(xù)改進(jìn)的循環(huán)中第44頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一四、信息安全管理體系構(gòu)成信息安全管理體系由12個(gè)管理類組成，每個(gè)管理類可以分為多個(gè)安全目標(biāo)和安全控制。各管理類的關(guān)系圖如下第45頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一第46頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一作用關(guān)系說(shuō)明：1、方

20、針和策略是基礎(chǔ)和指導(dǎo)2、人員和組織管理要依據(jù)方針和策略執(zhí)行任務(wù)3、合規(guī)性管理指導(dǎo)如何檢驗(yàn)信息安全管理工作的效果4、人員與組織實(shí)施的信息安全管理工作，主要從兩個(gè)方面進(jìn)行風(fēng)險(xiǎn)管理合業(yè)務(wù)連續(xù)性管理5、根據(jù)信息系統(tǒng)生命周期，可以把信息系統(tǒng)劃分為項(xiàng)目開發(fā)階段和運(yùn)行維護(hù)階段6、所有的信息安全管理工作都作用在信息系統(tǒng)之上 第47頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一第二節(jié) 信息安全管理標(biāo)準(zhǔn)信息安全管理在發(fā)展過(guò)程中有不同的標(biāo)準(zhǔn)一、BS7799是 英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)針對(duì)信息安全管理制定的，發(fā)布于1995年，后幾經(jīng)修改，成為目前被廣泛接受的標(biāo)準(zhǔn)。分為兩個(gè)部分：BS77991，是信息安全管理實(shí)施細(xì)則，

21、供負(fù)責(zé)信息安全系統(tǒng)開發(fā)的人員參考使用；BS77992，是建立信息安全管理體系的規(guī)范，最終目的是建立適合企業(yè)的信息安全管理體系。第48頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一 （二）BS7799發(fā)展歷程（略） 1、倡導(dǎo)者 2、發(fā)展與修訂 3、適用地區(qū)第49頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一（三）BS7799主要內(nèi)容1、BS77991（ISO/IEC17799:2005）信息安全管理實(shí)施細(xì)則將信息安全管理的內(nèi)容劃分為11個(gè)主要方面，39個(gè)信息安全管理的控制目標(biāo)，133項(xiàng)安全控制措施（P36-40）說(shuō)明：不夠具體，組織可以根據(jù)自身增減信息安全最佳起點(diǎn)：10項(xiàng)

22、幾乎適用于所有組織和大多數(shù)環(huán)境的控制措施，包括三項(xiàng)與法律相關(guān)的控制措施和七項(xiàng)與最佳實(shí)踐相關(guān)的控制措施。（體現(xiàn)重管理的思想）第50頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一與法律相關(guān)的控制措施：（略）1、知識(shí)產(chǎn)權(quán)2、保護(hù)組織的記錄（保護(hù)重要的記錄不丟失、破壞、偽造）3、數(shù)據(jù)保護(hù)和個(gè)人信息隱私第51頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一與最佳實(shí)踐相關(guān)的措施： （略）1、信息安全策略文件2、信息安全責(zé)任分配3、信息安全意識(shí)、教育、培訓(xùn)4、正確處理應(yīng)用程序5、漏洞管理6、管理信息安全事件和改進(jìn)7、業(yè)務(wù)連續(xù)性管理第52頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分

23、，星期一2、BS77992（ ISO/IEC27001:2005 ）其主要特點(diǎn)一是提供了安全管理體系規(guī)范，二是提供了建立信息安全管理體系的目標(biāo)。該標(biāo)準(zhǔn)強(qiáng)調(diào)信息安全管理是一個(gè)面向風(fēng)險(xiǎn)的、持續(xù)改進(jìn)的過(guò)程，如下圖：第53頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一第54頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一二、其他標(biāo)準(zhǔn)BS7799旨在為組織實(shí)施信息安全管理體系提供指導(dǎo)性框架，更多體現(xiàn)的是一種目標(biāo)要求，總體上并沒有提及實(shí)施的細(xì)節(jié)（通行標(biāo)準(zhǔn)的必然局限，普適性強(qiáng)則針對(duì)性就弱）具體組織要將BS7799標(biāo)準(zhǔn)落實(shí)，需補(bǔ)充必要的可實(shí)施內(nèi)容，下面是國(guó)際上一些相關(guān)的標(biāo)準(zhǔn)第55頁(yè)，共1

24、03頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一（一）PD3000：PD3001PD3005（P44）特點(diǎn)：更具針對(duì)性（二）CC：是國(guó)際上最通行的信息技術(shù)產(chǎn)品及系統(tǒng)安全性測(cè)評(píng)標(biāo)準(zhǔn)，也是信息技術(shù)安全性評(píng)估結(jié)果國(guó)際互認(rèn)的基礎(chǔ)，CC標(biāo)準(zhǔn)由3個(gè)文件構(gòu)成：1、ISO/IEC15408-1，介紹和一般模型2、ISO/IEC15408-2，安全功能要求3、ISO/IEC15408-3，安全保證要求與BS7799相比，CC側(cè)重系統(tǒng)和產(chǎn)品的技術(shù)指標(biāo)評(píng)價(jià)上。第56頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一（三）ISO/IEC TR13335名稱：曾用名，“IT安全管理指南”，現(xiàn)名， “信息和通信

25、技術(shù)安全管理”，是一個(gè)信息安全管理方面的指導(dǎo)性標(biāo)準(zhǔn)，目的是為有效實(shí)施IT安全管理提供建議和支持。共分5個(gè)部分：第57頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一ISO/IEC 133351：1996 IT安全概念與模型ISO/IEC 133352：1997 IT安全管理和計(jì)劃ISO/IEC 133353：1998 IT安全管理技術(shù)ISO/IEC 133354：2000 安全措施的選擇ISO/IEC 133355：2001 網(wǎng)絡(luò)安全管理指南第58頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一ISO/IEC TR 13335 與BS7799的比較：后者只是一個(gè)指導(dǎo)性的文件

26、，并不是可依據(jù)的認(rèn)證標(biāo)準(zhǔn)，也沒有給出一個(gè)全面完整的信息安全管理框架；但是后者在IT安全的具體環(huán)節(jié)上切入點(diǎn)較深，可實(shí)施性較好，另外其風(fēng)險(xiǎn)評(píng)估方法過(guò)程較清晰。第59頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一（四）SSE-CMM由美國(guó)國(guó)家安全局開發(fā)，是專門用于系統(tǒng)安全工程能力成熟度模型。該模型將系統(tǒng)安全工程成熟度分為5個(gè)等級(jí)。幾者比較： SSE-CMM和CC都是評(píng)估標(biāo)準(zhǔn)，均可將評(píng)估對(duì)象劃分為不同的等級(jí)，但后者針對(duì)的是安全系統(tǒng)或安全產(chǎn)品的測(cè)評(píng)，前者針對(duì)的是安全工程過(guò)程第60頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一SSE-CMM和BS7799都提出了一系列最佳慣例，但后

27、者是一個(gè)認(rèn)證標(biāo)準(zhǔn)而無(wú)實(shí)現(xiàn)過(guò)程；前者是一個(gè)評(píng)估標(biāo)準(zhǔn)，定義了實(shí)現(xiàn)最終安全目標(biāo)所需要的一系列過(guò)程。二者可以互補(bǔ)使用。第61頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一（五）NIST SP 800系列由美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)協(xié)會(huì)發(fā)布，主要內(nèi)容是針對(duì)信息安全技術(shù)和管理領(lǐng)域的實(shí)踐參考指南，包括四項(xiàng)：SP800-12：計(jì)算機(jī)安全介紹SP800-30: IT系統(tǒng)風(fēng)險(xiǎn)管理指南SP800-34: IT系統(tǒng)應(yīng)急計(jì)劃指南SP800-26: IT系統(tǒng)安全自我評(píng)價(jià)指南第62頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一（六）ITIL由英國(guó)中央計(jì)算機(jī)與電信局發(fā)布關(guān)于IT服務(wù)管理最佳實(shí)踐的建議和指導(dǎo)方針，

28、目的是解決IT服務(wù)質(zhì)量，是一種基于流程的管理方法，尤其適于企業(yè)的IT部門。其精髓體現(xiàn)為 “一大功能”和“十大流程” ，前者是服務(wù)臺(tái)功能。第63頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一 十大流程：1、服務(wù)支持 2、服務(wù)交付事件管理 服務(wù)水平管理問(wèn)題管理 可用性管理變更管理 IT服務(wù)財(cái)務(wù)管理發(fā)布管理 容量管理配置管理 IT服務(wù)持續(xù)性管理第64頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一功能比較ITIL與BS7799相比：ITIL關(guān)注的信息技術(shù)更廣泛，側(cè)重于具體的實(shí)施流程，但缺少信息安全的內(nèi)容，BS7799可作為ITIL在信息安全方面的補(bǔ)充。第65頁(yè)，共103頁(yè)，20

29、22年，5月20日，0點(diǎn)41分，星期一（七）CobiT（信息及相關(guān)技術(shù)控制目標(biāo)）美國(guó)信息系統(tǒng)審計(jì)與控制協(xié)會(huì)發(fā)布是目前世界上最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制標(biāo)準(zhǔn)。主要目的是為業(yè)界提供關(guān)于IT控制的清晰政策和發(fā)展的良好典范。第66頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一Cobit與ITIL比較：均關(guān)注廣泛的IT控制，但是更強(qiáng)調(diào)目標(biāo)要求和度量指標(biāo)，而后者更關(guān)注實(shí)施流程。具體在ISMS的建設(shè)上，Cobit的框架和目標(biāo)、ITIL的流程都可以供BS7799借鑒，BS7799的目標(biāo)只是ITIL和Cobit的一個(gè)分支。第67頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一第

30、三節(jié) 信息安全策略一、信息安全策略概述（一）定義：是一種處理安全問(wèn)題的管理策略的描述，是描述程序目標(biāo)的高層計(jì)劃。安全策略是在效率和安全之間的一個(gè)平衡點(diǎn)。三個(gè)基本原則：確定性、完整性、有效性（還應(yīng)有宏觀性）第68頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一（二）信息安全策略的重要性（三）指定信息安全策略的時(shí)間任何業(yè)務(wù)動(dòng)作過(guò)程均有風(fēng)險(xiǎn)，應(yīng)盡早制定安全策略無(wú)策略的開發(fā)，投資和責(zé)任都很大發(fā)生過(guò)一次的事故很可能會(huì)再次發(fā)生從全局考慮，不要把風(fēng)險(xiǎn)孤立對(duì)待第69頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一（四）信息安全策略開發(fā)流程（略）首先要做的是確定保護(hù)對(duì)象和原因其次要制定安全策

31、略的目標(biāo)流程：1、確定策略范圍2、風(fēng)險(xiǎn)評(píng)估、審計(jì)3、策略的審查、批準(zhǔn)和實(shí)施第70頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一二、制定信息安全策略（一）制定原則1、先進(jìn)的網(wǎng)絡(luò)安全技術(shù)是網(wǎng)絡(luò)安全的根本保證2、嚴(yán)格的安全管理是確保信息安全策略落實(shí)的基礎(chǔ)3、嚴(yán)格的法律、法規(guī)是網(wǎng)絡(luò)安全保障的堅(jiān)強(qiáng)后盾第71頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一（二）信息安全策略的設(shè)計(jì)范圍縱向上分：（略）總體安全策略針對(duì)特定問(wèn)題的安全策略針對(duì)特定系統(tǒng)的具體策略第72頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一橫向分：（略）物理安全策略 災(zāi)難恢復(fù)策略網(wǎng)絡(luò)安全策略 事故處理緊急響

32、應(yīng)策略數(shù)據(jù)加密策略 安全教育策略病毒防護(hù)策略 口令管理策略數(shù)據(jù)備份策略 補(bǔ)丁管理策略身份認(rèn)證及授權(quán) 系統(tǒng)變更控制策略系統(tǒng)安全策略 復(fù)查審計(jì)策略商業(yè)伙伴、客戶關(guān)系策略第73頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一（三）有效的信息安全策略的特點(diǎn)滿足大部分需求并能夠維護(hù)企業(yè)利益策略應(yīng)該清晰但不能包含太多的細(xì)節(jié)策略應(yīng)該不斷加強(qiáng)策略的目標(biāo)應(yīng)該整合到員工培訓(xùn)課程中去（四）完整信息安全策略的覆蓋范圍第74頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一三、信息安全策略保護(hù)對(duì)象（一）信息系統(tǒng)的硬件與軟件隨系統(tǒng)而變化（二）信息系統(tǒng)的數(shù)據(jù)第三方數(shù)據(jù)的使用定義好隱私條例（三）人員權(quán)限和公

33、司行為的合法性第75頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一四、主要信息安全策略（一）口令策略總體要求 難以破解易于牢記1、網(wǎng)絡(luò)服務(wù)器口令的管理部門負(fù)責(zé)人和網(wǎng)絡(luò)管理員同時(shí)在場(chǎng)設(shè)定系統(tǒng)管理員記錄封存定期更換并銷毀原記錄封存新記錄發(fā)現(xiàn)泄密及時(shí)報(bào)告、保護(hù)現(xiàn)場(chǎng)，須接到上一級(jí)主管部門批示后再更換口令第76頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一2、用戶口令管理用戶負(fù)責(zé)人與系統(tǒng)管理員商定口令，負(fù)責(zé)人確認(rèn)，管理員登記、存檔用戶要求查詢或更換口令需提交申請(qǐng)單網(wǎng)絡(luò)提供用戶自我更新口令功能時(shí)，用戶應(yīng)自行定期更換并設(shè)專人負(fù)責(zé)保密和維護(hù)第77頁(yè)，共103頁(yè)，2022年，5月20日，

34、0點(diǎn)41分，星期一創(chuàng)建口令規(guī)則通用規(guī)則：保存口令最安全的地方是腦袋和保險(xiǎn)箱口令需相當(dāng)長(zhǎng)以合理的方式使用特殊字符、大寫字母、數(shù)字第78頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一需避免的問(wèn)題：不要用個(gè)人信息不用自己的偶像不用辦公桌（室）上的物品不將口令保存在本地機(jī)器或共享的網(wǎng)絡(luò)上第79頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一（二）計(jì)算機(jī)病毒和惡意代碼防治策略防護(hù)策略須遵守的準(zhǔn)則拒絕訪問(wèn)能力（來(lái)歷不明軟件不得進(jìn)入）病毒檢測(cè)能力（能否檢測(cè)病毒是重要指標(biāo)）控制傳播能力清除能力恢復(fù)能力替代操作第80頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一（三）安全教育與

35、培訓(xùn)策略安全教育的層次性管理人員：企業(yè)信息安全的整體策略和目標(biāo)，信息安全體系的構(gòu)成、部門建立和制度完善技術(shù)人員：理解策略、掌握評(píng)估方法，合理運(yùn)用安全操作和維護(hù)技術(shù)用戶：學(xué)習(xí)操作流程、了解掌握安全策略第81頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一用戶安全策略內(nèi)容：（略）數(shù)據(jù)和用戶所有權(quán)（數(shù)據(jù)的專用和共享）硬件的使用（明確正確的操作方式）互聯(lián)網(wǎng)的使用（正確的使用方式）帳戶管理、補(bǔ)丁管理、事件報(bào)告制度（管理員）策略更新強(qiáng)制執(zhí)行策略（保障）第82頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一安全教育與培訓(xùn)策略舉例：建立專門的安全教育與培訓(xùn)機(jī)構(gòu)制定詳細(xì)的安全教育和培訓(xùn)計(jì)劃定

36、期對(duì)教育和培訓(xùn)結(jié)構(gòu)進(jìn)行抽查和考核第83頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一五、信息安全策略的執(zhí)行和維護(hù)（一）執(zhí)行責(zé)任聲明和監(jiān)控制度是最重要的保證（二）維護(hù)審查和修訂 周期6個(gè)月或1年第84頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一第四節(jié) 信息安全技術(shù)一、物理環(huán)境安全技術(shù)環(huán)境安全：對(duì)系統(tǒng)所在環(huán)境的保護(hù)設(shè)備安全：設(shè)備防盜、防毀、防電磁輻射干擾等媒體安全：包括媒體數(shù)據(jù)的安全和媒體本身的安全第85頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一二、通訊鏈路安全技術(shù)（一）鏈路加密技術(shù)設(shè)備管理簡(jiǎn)單成本較高第86頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41

37、分，星期一第87頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一說(shuō)明：鏈路加密技術(shù)在數(shù)據(jù)通過(guò)廣域網(wǎng)時(shí)，提供加密和解密功能鏈路加密機(jī)工作在數(shù)據(jù)鏈路層，每個(gè)分支機(jī)構(gòu)的廣域網(wǎng)與局域網(wǎng)的邊界處部署一臺(tái)鏈路加密機(jī)，在數(shù)據(jù)中心局域網(wǎng)與廣域網(wǎng)邊界處，需要一對(duì)一進(jìn)行加密機(jī)的部署，形成鏈路加密機(jī)群，提供點(diǎn)對(duì)點(diǎn)的保護(hù)。第88頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一（二）遠(yuǎn)程撥號(hào)安全協(xié)議遠(yuǎn)程撥入用戶認(rèn)證服務(wù)協(xié)議規(guī)定了網(wǎng)絡(luò)訪問(wèn)服務(wù)器與RADIUS服務(wù)器之間的交互操作協(xié)議，完成集中的用戶認(rèn)證、口令加密、服務(wù)選擇、記賬等。RADIUS服務(wù)器部署在撥號(hào)訪問(wèn)路由器后面，協(xié)同工作，完成 撥入用戶的身份認(rèn)證和權(quán)限訪問(wèn)控制。 RADIUS與動(dòng)態(tài)口令認(rèn)證機(jī)制結(jié)合，能夠提供更加安全的接入認(rèn)證。第89頁(yè)，共103頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一第9