收藏
下载资源

产品管理产品规划中国电信产品维护经理认证体系讲义网络安全

上传人:冯** 文档编号:138905118 上传时间:2020-07-18 格式:DOCX 页数:183 大小:4.72MB
返回 下载 相关 举报
产品管理产品规划中国电信产品维护经理认证体系讲义网络安全_第1页
第1页 / 共183页
产品管理产品规划中国电信产品维护经理认证体系讲义网络安全_第2页
第2页 / 共183页
产品管理产品规划中国电信产品维护经理认证体系讲义网络安全_第3页
第3页 / 共183页
产品管理产品规划中国电信产品维护经理认证体系讲义网络安全_第4页
第4页 / 共183页
产品管理产品规划中国电信产品维护经理认证体系讲义网络安全_第5页
第5页 / 共183页
点击查看更多>>
资源描述

《产品管理产品规划中国电信产品维护经理认证体系讲义网络安全》由会员分享,可在线阅读,更多相关《产品管理产品规划中国电信产品维护经理认证体系讲义网络安全(183页珍藏版)》请在金锄头文库上搜索。

1、产品维护经理认证体系教材-网络安全中国电信维护岗位认证教材编写小组编制目 录第1章信息安全管理基础51.1 信息安全概述51.1.1 信息安全面临的主要问题51.1.2 信息安全的相对性51.2 信息安全管理相关概念51.2.1 什么是信息安全51.2.2 信息安全的发展过程61.2.3 信息安全的基本目标61.2.4 如何实现信息安全61.2.5 信息安全需要遵循的模式71.3 BS7799概述71.3.1 BS 779971.3.2 ISO 1779981.3.3 安全管理体系规范141.3.4 ISMS管理框架15第2章 网络安全防护实施标准172.1 电信网和互联网安全防护管理指南17

2、2.2 电信网和互联网安全等级保护实施指南252.3 电信网和互联网安全风险评估实施指南512.4 电信网和互联网安全等级保护实施指南76第3章 中国电信安全维护规范913.1 安全域划分及边界整合913.1.1 安全域划分与边界整合913.1.2 定级备案913.1.3 安全域职责分工913.1.4 网络接入913.2 安全管理规范913.2.1 安全操作流程和职责913.2.2 安全对象管理923.2.3 安全日常维护管理923.2.4 第三方服务管理933.2.5 介质安全管理933.2.6 设备安全规范管理933.3 访问控制943.3.1 网络访问控制943.3.2 操作系统的访问控

3、制953.3.3 应用访问控制953.3.4 网络访问与使用的监控953.3.5 远程访问控制963.4 网络与系统风险评估963.5 安全事件与应急响应963.5.1 安全事件报告机制963.5.2 应急响应973.6 安全审计管理973.6.1 审计内容要求973.6.2 审计原则973.6.3 审计管理98第4章 安全评估994.1 安全评估概述994.1.1 安全评估目的994.1.2 安全评估要素994.1.2 安全评估过程1014.1.4 安全评估工具1024.1.5 安全评估标准1024.2 安全扫描1034.2.1漏洞及其分类1034.2.2 网络扫描技术104第5章 常见安全

4、产品1075.1防病毒网关1075.1.1 防病毒网关基础概念1075.1.2 防病毒网关与防火墙区别1085.1.3 防病毒网关与防病毒软件区别1105.1.4 防病毒网关关键技术1115.2 防火墙1135.2.1 防火墙基本知识1135.2.2 防火墙基本配置1175.3 入侵检测1235.3.1 入侵检测与入侵防御概述1235.3.2 入侵检测系统介绍1265.3.3 入侵防御系统介绍1345.4 VPN1385.4.1 VPN的基本原理1385.4.2 VPN的安全协议139附录:第一章安全配置1561.1 网络设备安全配置1561.1.1 交换机安全配置1561.1.2 路由器安全

5、配置1581.2 主机安全配置1681.2.1 Windows安全配置1681.2.2 Solaris安全配置1731.2.3 Linux安全配置175附录 第二章密码学基础1772.1密码学概述1772.1.1 密码学概述1772.1.2 密码体制的分类1772.1.4 密码学的主要应用1802.1.5 信息加密方式1802.2 对称密码学1822.3 非对称密码学1822.4 消息认证技术183第1章信息安全管理基础1.1 信息安全概述1.1.1 信息安全面临的主要问题1、人员问题: 信息安全意识薄弱的员工误操作、误设置造成系统宕机、数据丢失,信息泄漏等问题 特权人员越权访问,如:系统管理

6、员,应用管理员越权访问、传播敏感数据 内部员工和即将离职员工窃取企业秘密,尤其是骨干员工流动、集体流动等2、技术问题: 病毒和黑客攻击越来越多、爆发越来越频繁,直接影响企业正常的业务运作3、法律方面 网络滥用:员工发表政治言论、访问非法网站 法制不健全,行业不正当竞争(如:窃取机密,破坏企业的业务服务)1.1.2 信息安全的相对性安全没有100%,完美的健康状态永远也不能达到。安全工作的目标:将风险降到最低。1.2 信息安全管理相关概念1.2.1 什么是信息安全ISO17799中的描述:“Information is an asset which, like other important b

7、usiness assets, has value to an organization and consequently needs to be suitably protected. ” “Information can exist in many forms. It can be printed or written on paper, stored electronically, transmitted by post or using electronic means, shown on films, or spoken in conversation. 定义中强调信息: 是一种资产

8、 同其它重要的商业资产一样 对组织具有价值 需要适当的保护 以各种形式存在:纸、电子、影片、交谈等ISO17799中的描述:“Information security protects information from a wide range of threats in order to ensure business continuity, minimize business damage and maximize return on investments and business opportunities.”信息安全: 保护信息免受各方威胁 确保组织业务连续性 将信息不安全带来的损失

9、降低到最小 获得最大的投资回报和商业机会1.2.2 信息安全的发展过程20世纪初:强调保密性(密码学)20世纪60年代:保密性、完整性、可用性(CIA)20世纪80年代:保密性、完整性、可用性、抗抵赖、可控性、真实性1.2.3 信息安全的基本目标保密性(Confidentiality):确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。完整性(Integrity):确保信息在存储、使用、传输过程中不会被非授权用户篡改,同时还要防止授权用户对系统及信息进行不恰当的篡改,保持信息内、外部表示的一致性。可用性(Availability):确保授权用户或实体对信息及资源的正常使用不会被异常拒

10、绝,允许其可靠而及时地访问信息及资源。1.2.4 如何实现信息安全物理安全技术:环境安全、设备安全、媒体安全;系统安全技术:操作系统及数据库系统的安全性;网络安全技术:网络隔离、访问控制、VPN、入侵检测、扫描评估;应用安全技术:Email 安全、Web 访问安全、内容过滤、应用系统安全;数据加密技术:硬件和软件加密,实现身份认证和数据信息的CIA 特性;认证授权技术:口令认证、SSO 认证(例如Kerberos)、证书认证等;访问控制技术:防火墙、访问控制列表等;审计跟踪技术:入侵检测、日志审计、辨析取证;防病毒技术:单机防病毒技术逐渐发展成整体防病毒体系;灾难恢复和备份技术:业务连续性技术

11、,前提就是对数据的备份。1.2.5 信息安全需要遵循的模式在信息安全管理方面,BS7799 标准为我们提供了指导性建议,即基于PDCA(Plan、Do、Check 和Act,即戴明环)的持续改进的管理模式。1.3 BS7799概述1.3.1 BS 7799(一)BS 7799简介 BS 7799是英国标准协会(British Standards Institute,BSI)制定的信息安全标准,由信息安全方面的最佳惯例组成的一套全面的控制集,是信息安全管理方面最受推崇的国际标准。BS7799和ISO17799的区别:BS7799: 英国标准 已被多个国家认同(如澳大利亚等) 第二部分是可认证标准

12、 2002年新修订了第2部分。新版本风格接近ISO9000和ISO14000。ISO17799 2000年采纳了BS7799的第一部分 第二部分还在讨论中(二)BS 7799的历史沿革 1990年代初 英国贸工部(DTI)成立工作组,立项开发一套可供开发、实施和测量有效安全管理惯例并提供贸易伙伴间信任的通用框架。 1993年9月 颁布信息安全管理实施细则,形成BS 7799的基础。 1995年2月 首次出版BS 7799-1:1995信息安全管理实施细则。 1998年2月 英国公布BS 7799-2:信息安全管理体系规范。 1999年4月 BS 7799-1与BS 7799-2修订后重新发布。

13、 2000年12月 国际标准组织 ISO/IEC JTC 1/SC27工作组认可通过BS 7799-1,颁布ISO/IEC 17799-1:2000信息技术信息安全管理实施细则。 2002年9月 BSI对BS 7799-2进行了改版,用来替代原标准(BS 7799-2:1999)使用,并可望通过ISO组织认可。ISO27001:2005 建立信息安全管理体系(ISMS)的一套规范(Specification for Information Security Management Systems),其中详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准 。1.3

14、.2 ISO 17799 图:ISO 17799:2005内容框架(一)信息安全管理细则 信息安全策略 安全组织 资产分类和控制 人员安全 物理和环境安全 通信和操作管理 访问控制 系统获得、开发和维护 信息安全事件管理 业务连续性管理 依从性(二)信息安全策略u 目标: 信息安全策略为信息安全提供与业务需求和法律法规相一致的管理指示及支持u 安全策略应该做到: 对信息安全加以定义 陈述管理层的意图 分派责任 约定信息安全管理的范围 对特定的原则、标准和遵守要求进行说明 对报告可疑安全事件的过程进行说明 定义用以维护策略的复查过程(三)安全组织u 目标: 信息安全基础设施在组织内部管理信息安全 外部组织保持组织的被外部组织访问、处理、沟通或管理的信息及信息处理设备的安全u 包含的内容: 建立管理委员会,定义安全管理的角色和责任 对软硬件的采购建立授权过程 与第三方签订的协议中应覆盖所有相

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 商业/管理/HR > 企业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号