第12次課-運(yùn)行與操作安全管理1.ppt_第1頁
第12次課-運(yùn)行與操作安全管理1.ppt_第2頁
第12次課-運(yùn)行與操作安全管理1.ppt_第3頁
第12次課-運(yùn)行與操作安全管理1.ppt_第4頁
第12次課-運(yùn)行與操作安全管理1.ppt_第5頁
已閱讀5頁,還剩44頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、信 息 安 全 管 理,Information security management,授課內(nèi)容:運(yùn)行與操作安全管理1 授課對象: 主講教員:唐慧林,本節(jié)內(nèi)容,1,2,3,第七章 運(yùn)行與操作安全管理,1、安全策略的內(nèi)涵,1.1 安全策略的引入,信息安全策略從本質(zhì)上來說是描述組織具有哪些重要 信息資產(chǎn),并說明這些信息資產(chǎn)如何被保護(hù)的一個計(jì)劃。,安全策略是進(jìn)一步制定控制規(guī)則和安全程序的必要基 礎(chǔ)。,第七章 運(yùn)行與操作安全管理,1、安全策略的內(nèi)涵,1.1 安全策略的引入,安全策略本質(zhì)上是非形式化的,也可以是高度數(shù)學(xué)化的。,安全策略將系統(tǒng)的狀態(tài)分為兩個集合: 已授權(quán)的和未授權(quán)的。,第七章 運(yùn)行與操作安

2、全管理,1、安全策略的內(nèi)涵,1.1 安全策略的引入,制定信息安全策略的目的:,如何使用組織中的信息系統(tǒng)資源; 如何處理敏感信息; 如何采用安全技術(shù)產(chǎn)品。,第七章 運(yùn)行與操作安全管理,1、安全策略的內(nèi)涵,1.1 安全策略的引入,安全策略涉及的問題:,敏感信息如何被處理? 如何正確地維護(hù)用戶身份與口令,以及其他賬 號信息? 如何對潛在的安全事件和入侵企圖進(jìn)行響應(yīng)? 如何以安全的方式實(shí)現(xiàn)內(nèi)部網(wǎng)及互聯(lián)網(wǎng)的連接? 怎樣正確使用電子郵件系統(tǒng)?,第七章 運(yùn)行與操作安全管理,1、安全策略的內(nèi)涵,1.1 安全策略的引入,安全策略,保密性策略,可用性策略,完整性策略,第七章 運(yùn)行與操作安全管理,1、安全策略的內(nèi)涵

3、,1.1 安全策略的引入,安全策略的層次,信息安全方針,具體的信息安全策略,第七章 運(yùn)行與操作安全管理,1、安全策略的內(nèi)涵,1.1 安全策略的引入,信息安全方針,信息安全方針就是組織的信息安全委員會或管理機(jī)構(gòu) 制定的一個高層文件,是用于指導(dǎo)組織如何對資產(chǎn),包括 敏感性信息進(jìn)行管理、保護(hù)和分配的規(guī)則和指示。,第七章 運(yùn)行與操作安全管理,1、安全策略的內(nèi)涵,1.1 安全策略的引入,信息安全方針,信息安全的定義,總體目標(biāo)和范圍,安全對信息共享 的重要性; 管理層意圖、支持目標(biāo)和信息安全原則的闡述; 信息安全控制的簡要說明,以及依從法律法規(guī)要求對 組織的重要性; 信息安全管理的一般和具體責(zé)任定義,包括

4、報(bào)告安全 事故等。,第七章 運(yùn)行與操作安全管理,1、安全策略的內(nèi)涵,1.1 安全策略的引入,信息安全策略,網(wǎng)絡(luò)設(shè)備安全 服務(wù)器安全 信息分類 信息保密 用戶賬戶與口令 遠(yuǎn)程訪問,反病毒 防火墻及入侵檢測 安全事件調(diào)查與響應(yīng) 災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)性計(jì)劃 風(fēng)險(xiǎn)評估 信息系統(tǒng)審計(jì),第七章 運(yùn)行與操作安全管理,1、安全策略的內(nèi)涵,1.1 安全策略的引入,安全程序,安全程序是保障信息安全策略有效實(shí)施的、具體化 的、過程性的措施,是信息安全策略從抽象到具體,從 宏觀管理層落實(shí)到具體執(zhí)行層的重要一環(huán)。,第七章 運(yùn)行與操作安全管理,1、安全策略的內(nèi)涵,1.1 安全策略的引入,安全程序,程序是為進(jìn)行某項(xiàng)活動所規(guī)定

5、的途徑或方法。,信息安全管理程序包括:,實(shí)施控制目標(biāo)與控制方式的安全控制程序; 為覆蓋信息安全管理體系的管理與運(yùn)作的程序。,第七章 運(yùn)行與操作安全管理,1、安全策略的內(nèi)涵,1.1 安全策略的引入,安全程序,程序文件的內(nèi)容包括: 活動的目的與范圍(Why) 做什么(What) 誰來做(Who) 何時(When) 何地(Where) 如何做(How),第七章 運(yùn)行與操作安全管理,1、安全策略的內(nèi)涵,1.1 安全策略的引入,安全程序,程序文件應(yīng)遵循的原則: 一般不涉及純技術(shù)性的細(xì)節(jié) 針對影響信息安全的各項(xiàng)活動目標(biāo)的執(zhí)行做出的規(guī)定 應(yīng)當(dāng)簡練、明確和易懂 應(yīng)當(dāng)采用統(tǒng)一的結(jié)構(gòu)與格式編排,第七章 運(yùn)行與操作

6、安全管理,2、安全策略的制定,理解組織業(yè)務(wù)特征,對組織業(yè)務(wù)的了解包括對其業(yè)務(wù)內(nèi)容、性質(zhì)、目標(biāo) 及其價值進(jìn)行分析。,充分了解組織業(yè)務(wù)特征是設(shè)計(jì)信息安全策略的前提;,第七章 運(yùn)行與操作安全管理,得到管理層的明確支持與承諾,使制定的信息安全策略與組織的業(yè)務(wù)目標(biāo)一致; 使制定的安全方針、政策和控制措施可以在組 織的上上下下得到有效的貫徹; 可以得到有效的資源保證。,2、安全策略的制定,第七章 運(yùn)行與操作安全管理,組建安全策略制定小組,高級管理人員; 信息安全管理員; 信息安全技術(shù)人員; 負(fù)責(zé)安全策略執(zhí)行的管理人員; 用戶部門人員。,2、安全策略的制定,第七章 運(yùn)行與操作安全管理,確定信息安全整體目標(biāo),

7、通過防止和最小化安全事故的影響,保證業(yè)務(wù)持續(xù) 性,使業(yè)務(wù)損失最小化,并為業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)提供保障。,2、安全策略的制定,第七章 運(yùn)行與操作安全管理,確定安全策略范圍,組織需要根據(jù)自己的實(shí)際情況確定信息安全策略要 涉及的范圍,可以在整個組織范圍內(nèi)、或者在個別部門 或領(lǐng)域制定信息安全策略 。,2、安全策略的制定,第七章 運(yùn)行與操作安全管理,風(fēng)險(xiǎn)評估與選擇安全控制,風(fēng)險(xiǎn)評估的結(jié)果是選擇適合組織的控制目標(biāo)與控制 方式的基礎(chǔ),組織選擇出了適合自己安全需求的控制目 標(biāo)與控制方式后,安全策略的制定才有了最直接的依據(jù)。,2、安全策略的制定,第七章 運(yùn)行與操作安全管理,起草擬定安全策略,安全策略要盡可能地涵蓋所有

8、的風(fēng)險(xiǎn)和控制,沒有 涉及的內(nèi)容要說明原因,并闡述如何根據(jù)具體的風(fēng)險(xiǎn)和 控制來決定制訂什么樣的安全策略。,2、安全策略的制定,第七章 運(yùn)行與操作安全管理,評估安全策略,安全策略是否符合法津、法規(guī)、技術(shù)標(biāo)準(zhǔn)及合同的要求? 管理層是否已批準(zhǔn)了安全策略,并明確承諾支持政策的實(shí)施? 安全策略是否損害組織、組織人員及第三方的利益? 安全策略是否實(shí)用、可操作并可以在組織中全面實(shí)施? 安全策略是否滿足組織在各個方面的安全要求? 安全策略是否已傳達(dá)給組織中的人員與相關(guān)利益方,并得到了 他們的同意?,2、安全策略的制定,第七章 運(yùn)行與操作安全管理,實(shí)施安全策略,幾乎所有層次的所有人員都會涉及到這些政策; 組織中的

9、主要資源將被這些政策所涵蓋; 將引入許多新的條款、程序和活動來執(zhí)行安全策略。,把安全方針與具體安全策略編制成組織信息安全策略 手冊,然后發(fā)布到組織中的每個組織人員與相關(guān)利益方。,2、安全策略的制定,第七章 運(yùn)行與操作安全管理,政策的持續(xù)改進(jìn),組織所處的內(nèi)外環(huán)境在不斷變化; 信息資產(chǎn)所面臨的風(fēng)險(xiǎn)也是一個變數(shù); 人的思想和觀念也在不斷的變化。,2、安全策略的制定,第七章 運(yùn)行與操作安全管理,安全策略制定原則,起點(diǎn)進(jìn)入原則,長遠(yuǎn)安全預(yù)期原則,最小特權(quán)原則,公認(rèn)原則,適度復(fù)雜與經(jīng)濟(jì)原則,2、安全策略的制定,第七章 運(yùn)行與操作安全管理,3、安全策略管理,3.1 安全策略管理辦法,集中式管理,分布式管理,

10、集中式管理就是在整個網(wǎng)絡(luò)系統(tǒng)中,由統(tǒng)一、專門的安全策 略管理部門和人員對信息資源和信息系統(tǒng)使用權(quán)限進(jìn)行計(jì)劃和分配。,分布式管理就是將信息系統(tǒng)資源按照不同的類別進(jìn)行劃分, 然后根據(jù)資源類型的不同,由負(fù)責(zé)此類資源管理的部門或人員 負(fù)責(zé)安全策略的制定和實(shí)施。,第七章 運(yùn)行與操作安全管理,3、安全策略管理,3.2 安全策略管理相關(guān)技術(shù),安全策略統(tǒng)一描述技術(shù),安全策略描述是實(shí)現(xiàn)策略管理的基礎(chǔ)。,策略描述語言:PDL、Ponder。,第七章 運(yùn)行與操作安全管理,3、安全策略管理,3.2 安全策略管理相關(guān)技術(shù),安全策略自動翻譯技術(shù),安全策略翻譯是指將統(tǒng)一描述的安全策略翻譯成不 同設(shè)備對應(yīng)的配置命令、配置腳本

11、或策略結(jié)構(gòu)的過程。,第七章 運(yùn)行與操作安全管理,3、安全策略管理,3.2 安全策略管理相關(guān)技術(shù),安全策略一致性檢驗(yàn)技術(shù),策略之間的沖突很難避免。,策略一致性驗(yàn)證主要包括策略的語法、語義檢查和 策略沖突檢測兩個方面。,第七章 運(yùn)行與操作安全管理,3、安全策略管理,3.2 安全策略管理相關(guān)技術(shù),安全策略發(fā)布與分發(fā)技術(shù),“推”模式,“拉”模式,第七章 運(yùn)行與操作安全管理,3、安全策略管理,3.2 安全策略管理相關(guān)技術(shù),安全策略狀態(tài)監(jiān)控技術(shù),策略的生命周期狀態(tài)包括: 休眠態(tài); 待激活態(tài); 激活態(tài); 掛起態(tài)。,第七章 運(yùn)行與操作安全管理,4、系統(tǒng)運(yùn)行安全管理,系統(tǒng)運(yùn)行安全管理的目標(biāo)是確保系統(tǒng)運(yùn)行過程中的

12、 安全性,主要包括可靠性、可用性、保密性、完整性、 不可抵賴性和可控性等幾個方面。,第七章 運(yùn)行與操作安全管理,4、系統(tǒng)運(yùn)行安全管理,可靠性,可靠性是系統(tǒng)能夠在設(shè)定條件內(nèi)完成規(guī)定功能的基本 特性,是系統(tǒng)運(yùn)行安全的基礎(chǔ)。,可靠性表示了系統(tǒng)功能所能滿足任務(wù)性能要求的程度 ,也是系統(tǒng)有效性的體現(xiàn)。,軟件可靠性 硬件可靠性,4.1 運(yùn)行安全管理的目標(biāo),第七章 運(yùn)行與操作安全管理,4、系統(tǒng)運(yùn)行安全管理,可用性,4.1 運(yùn)行安全管理的目標(biāo),可用性是系統(tǒng)可被授權(quán)實(shí)體訪問并按任務(wù)需求使用的 特性。,系統(tǒng)的可用性具體是指系統(tǒng)無故障、不受外界影響、 能夠穩(wěn)定可靠地運(yùn)行,能夠隨時滿足授權(quán)實(shí)體或用戶的 需要。,第七章

13、 運(yùn)行與操作安全管理,4、系統(tǒng)運(yùn)行安全管理,保密性,4.1 運(yùn)行安全管理的目標(biāo),保密性是系統(tǒng)信息不被泄露給未授權(quán)的用戶、實(shí)體 或任務(wù)進(jìn)程,或供其利用的特性。,第七章 運(yùn)行與操作安全管理,4、系統(tǒng)運(yùn)行安全管理,完整性,4.1 運(yùn)行安全管理的目標(biāo),不可抵賴性,可控性,第七章 運(yùn)行與操作安全管理,4、系統(tǒng)運(yùn)行安全管理,4.2 系統(tǒng)評價,系統(tǒng)評價是對一個系統(tǒng)進(jìn)行以下方面的質(zhì)量檢測分析:,系統(tǒng)對用戶和業(yè)務(wù)需求的相對滿意程度; 系統(tǒng)開發(fā)過程是否規(guī)范; 系統(tǒng)功能的先進(jìn)性、可靠性、完備性和發(fā)展性; 系統(tǒng)的性能、成本、效益綜合比; 系統(tǒng)運(yùn)行結(jié)果的有效性、可行性和完整性。,第七章 運(yùn)行與操作安全管理,4、系統(tǒng)運(yùn)行

14、安全管理,4.2 系統(tǒng)評價,系統(tǒng)評價指標(biāo),預(yù)定的系統(tǒng)開發(fā)目標(biāo)完成情況,系統(tǒng)運(yùn)行實(shí)用性評價,系統(tǒng)對設(shè)備的影響,第七章 運(yùn)行與操作安全管理,4、系統(tǒng)運(yùn)行安全管理,4.3 系統(tǒng)運(yùn)行安全檢查,計(jì)算機(jī)硬件系統(tǒng)及實(shí)體環(huán)境安全檢查,檢查設(shè)備,檢查人員,檢查環(huán)境,第七章 運(yùn)行與操作安全管理,4、系統(tǒng)運(yùn)行安全管理,4.3 系統(tǒng)運(yùn)行安全檢查,系統(tǒng)運(yùn)行安全測試,操作系統(tǒng)測試,系統(tǒng)安裝測試,系統(tǒng)單元測試,程序測試,容量測試,綜合測試,第七章 運(yùn)行與操作安全管理,4、系統(tǒng)運(yùn)行安全管理,4.4 系統(tǒng)變更管理,運(yùn)行同步跟蹤,標(biāo)定基準(zhǔn),資產(chǎn)管理,變化管理,第七章 運(yùn)行與操作安全管理,4、系統(tǒng)運(yùn)行安全管理,4.4 系統(tǒng)變更管理,軟件修訂,研究改變的目的和對系統(tǒng)可能產(chǎn)生的影響,實(shí)施改變,在改變之后測試整個系統(tǒng),在變化管理系統(tǒng)中記錄修改,第七章 運(yùn)行與操作安全管理,4、系統(tǒng)運(yùn)行安全管理,4.4 系統(tǒng)變更管理,硬件和物理設(shè)備的變更,研究改變的目的和對系統(tǒng)可能產(chǎn)生的影響,實(shí)施改變,在改變之后測試硬件,在變化管理系統(tǒng)中記錄修改,第七章 運(yùn)行與操作安全管理,4、系統(tǒng)運(yùn)行安全管理,4.4 系統(tǒng)變更管理,建立系統(tǒng)運(yùn)行文檔和管理制度,建立系統(tǒng)設(shè)置參數(shù)文件及運(yùn)行日志,建立科學(xué)的系統(tǒng)運(yùn)行管理制

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論