收藏
下载资源

信息安全管理 普通高等教育“十一五”国家级规划教材 教学课件 ppt 作者 张红旗 王新昌 杨英杰 唐慧林2 第12次课-运行与操作安全管理1

上传人:E**** 文档编号:89399564 上传时间:2019-05-24 格式:PPT 页数:49 大小:1.15MB
返回 下载 相关 举报
信息安全管理 普通高等教育“十一五”国家级规划教材 教学课件 ppt 作者 张红旗 王新昌 杨英杰 唐慧林2 第12次课-运行与操作安全管理1_第1页
第1页 / 共49页
信息安全管理 普通高等教育“十一五”国家级规划教材 教学课件 ppt 作者 张红旗 王新昌 杨英杰 唐慧林2 第12次课-运行与操作安全管理1_第2页
第2页 / 共49页
信息安全管理 普通高等教育“十一五”国家级规划教材 教学课件 ppt 作者 张红旗 王新昌 杨英杰 唐慧林2 第12次课-运行与操作安全管理1_第3页
第3页 / 共49页
信息安全管理 普通高等教育“十一五”国家级规划教材 教学课件 ppt 作者 张红旗 王新昌 杨英杰 唐慧林2 第12次课-运行与操作安全管理1_第4页
第4页 / 共49页
信息安全管理 普通高等教育“十一五”国家级规划教材 教学课件 ppt 作者 张红旗 王新昌 杨英杰 唐慧林2 第12次课-运行与操作安全管理1_第5页
第5页 / 共49页
点击查看更多>>
资源描述

《信息安全管理 普通高等教育“十一五”国家级规划教材 教学课件 ppt 作者 张红旗 王新昌 杨英杰 唐慧林2 第12次课-运行与操作安全管理1》由会员分享,可在线阅读,更多相关《信息安全管理 普通高等教育“十一五”国家级规划教材 教学课件 ppt 作者 张红旗 王新昌 杨英杰 唐慧林2 第12次课-运行与操作安全管理1(49页珍藏版)》请在金锄头文库上搜索。

1、信 息 安 全 管 理,Information security management,授课内容:运行与操作安全管理1 授课对象: 主讲教员:唐慧林,本节内容,1,2,3,第七章 运行与操作安全管理,1、安全策略的内涵,1.1 安全策略的引入,信息安全策略从本质上来说是描述组织具有哪些重要 信息资产,并说明这些信息资产如何被保护的一个计划。,安全策略是进一步制定控制规则和安全程序的必要基 础。,第七章 运行与操作安全管理,1、安全策略的内涵,1.1 安全策略的引入,安全策略本质上是非形式化的,也可以是高度数学化的。,安全策略将系统的状态分为两个集合: 已授权的和未授权的。,第七章 运行与操作安

2、全管理,1、安全策略的内涵,1.1 安全策略的引入,制定信息安全策略的目的:,如何使用组织中的信息系统资源; 如何处理敏感信息; 如何采用安全技术产品。,第七章 运行与操作安全管理,1、安全策略的内涵,1.1 安全策略的引入,安全策略涉及的问题:,敏感信息如何被处理? 如何正确地维护用户身份与口令,以及其他账 号信息? 如何对潜在的安全事件和入侵企图进行响应? 如何以安全的方式实现内部网及互联网的连接? 怎样正确使用电子邮件系统?,第七章 运行与操作安全管理,1、安全策略的内涵,1.1 安全策略的引入,安全策略,保密性策略,可用性策略,完整性策略,第七章 运行与操作安全管理,1、安全策略的内涵

3、,1.1 安全策略的引入,安全策略的层次,信息安全方针,具体的信息安全策略,第七章 运行与操作安全管理,1、安全策略的内涵,1.1 安全策略的引入,信息安全方针,信息安全方针就是组织的信息安全委员会或管理机构 制定的一个高层文件,是用于指导组织如何对资产,包括 敏感性信息进行管理、保护和分配的规则和指示。,第七章 运行与操作安全管理,1、安全策略的内涵,1.1 安全策略的引入,信息安全方针,信息安全的定义,总体目标和范围,安全对信息共享 的重要性; 管理层意图、支持目标和信息安全原则的阐述; 信息安全控制的简要说明,以及依从法律法规要求对 组织的重要性; 信息安全管理的一般和具体责任定义,包括

4、报告安全 事故等。,第七章 运行与操作安全管理,1、安全策略的内涵,1.1 安全策略的引入,信息安全策略,网络设备安全 服务器安全 信息分类 信息保密 用户账户与口令 远程访问,反病毒 防火墙及入侵检测 安全事件调查与响应 灾难恢复与业务持续性计划 风险评估 信息系统审计,第七章 运行与操作安全管理,1、安全策略的内涵,1.1 安全策略的引入,安全程序,安全程序是保障信息安全策略有效实施的、具体化 的、过程性的措施,是信息安全策略从抽象到具体,从 宏观管理层落实到具体执行层的重要一环。,第七章 运行与操作安全管理,1、安全策略的内涵,1.1 安全策略的引入,安全程序,程序是为进行某项活动所规定

5、的途径或方法。,信息安全管理程序包括:,实施控制目标与控制方式的安全控制程序; 为覆盖信息安全管理体系的管理与运作的程序。,第七章 运行与操作安全管理,1、安全策略的内涵,1.1 安全策略的引入,安全程序,程序文件的内容包括: 活动的目的与范围(Why) 做什么(What) 谁来做(Who) 何时(When) 何地(Where) 如何做(How),第七章 运行与操作安全管理,1、安全策略的内涵,1.1 安全策略的引入,安全程序,程序文件应遵循的原则: 一般不涉及纯技术性的细节 针对影响信息安全的各项活动目标的执行做出的规定 应当简练、明确和易懂 应当采用统一的结构与格式编排,第七章 运行与操作

6、安全管理,2、安全策略的制定,理解组织业务特征,对组织业务的了解包括对其业务内容、性质、目标 及其价值进行分析。,充分了解组织业务特征是设计信息安全策略的前提;,第七章 运行与操作安全管理,得到管理层的明确支持与承诺,使制定的信息安全策略与组织的业务目标一致; 使制定的安全方针、政策和控制措施可以在组 织的上上下下得到有效的贯彻; 可以得到有效的资源保证。,2、安全策略的制定,第七章 运行与操作安全管理,组建安全策略制定小组,高级管理人员; 信息安全管理员; 信息安全技术人员; 负责安全策略执行的管理人员; 用户部门人员。,2、安全策略的制定,第七章 运行与操作安全管理,确定信息安全整体目标,

7、通过防止和最小化安全事故的影响,保证业务持续 性,使业务损失最小化,并为业务目标的实现提供保障。,2、安全策略的制定,第七章 运行与操作安全管理,确定安全策略范围,组织需要根据自己的实际情况确定信息安全策略要 涉及的范围,可以在整个组织范围内、或者在个别部门 或领域制定信息安全策略 。,2、安全策略的制定,第七章 运行与操作安全管理,风险评估与选择安全控制,风险评估的结果是选择适合组织的控制目标与控制 方式的基础,组织选择出了适合自己安全需求的控制目 标与控制方式后,安全策略的制定才有了最直接的依据。,2、安全策略的制定,第七章 运行与操作安全管理,起草拟定安全策略,安全策略要尽可能地涵盖所有

8、的风险和控制,没有 涉及的内容要说明原因,并阐述如何根据具体的风险和 控制来决定制订什么样的安全策略。,2、安全策略的制定,第七章 运行与操作安全管理,评估安全策略,安全策略是否符合法津、法规、技术标准及合同的要求? 管理层是否已批准了安全策略,并明确承诺支持政策的实施? 安全策略是否损害组织、组织人员及第三方的利益? 安全策略是否实用、可操作并可以在组织中全面实施? 安全策略是否满足组织在各个方面的安全要求? 安全策略是否已传达给组织中的人员与相关利益方,并得到了 他们的同意?,2、安全策略的制定,第七章 运行与操作安全管理,实施安全策略,几乎所有层次的所有人员都会涉及到这些政策; 组织中的

9、主要资源将被这些政策所涵盖; 将引入许多新的条款、程序和活动来执行安全策略。,把安全方针与具体安全策略编制成组织信息安全策略 手册,然后发布到组织中的每个组织人员与相关利益方。,2、安全策略的制定,第七章 运行与操作安全管理,政策的持续改进,组织所处的内外环境在不断变化; 信息资产所面临的风险也是一个变数; 人的思想和观念也在不断的变化。,2、安全策略的制定,第七章 运行与操作安全管理,安全策略制定原则,起点进入原则,长远安全预期原则,最小特权原则,公认原则,适度复杂与经济原则,2、安全策略的制定,第七章 运行与操作安全管理,3、安全策略管理,3.1 安全策略管理办法,集中式管理,分布式管理,

10、集中式管理就是在整个网络系统中,由统一、专门的安全策 略管理部门和人员对信息资源和信息系统使用权限进行计划和分配。,分布式管理就是将信息系统资源按照不同的类别进行划分, 然后根据资源类型的不同,由负责此类资源管理的部门或人员 负责安全策略的制定和实施。,第七章 运行与操作安全管理,3、安全策略管理,3.2 安全策略管理相关技术,安全策略统一描述技术,安全策略描述是实现策略管理的基础。,策略描述语言:PDL、Ponder。,第七章 运行与操作安全管理,3、安全策略管理,3.2 安全策略管理相关技术,安全策略自动翻译技术,安全策略翻译是指将统一描述的安全策略翻译成不 同设备对应的配置命令、配置脚本

11、或策略结构的过程。,第七章 运行与操作安全管理,3、安全策略管理,3.2 安全策略管理相关技术,安全策略一致性检验技术,策略之间的冲突很难避免。,策略一致性验证主要包括策略的语法、语义检查和 策略冲突检测两个方面。,第七章 运行与操作安全管理,3、安全策略管理,3.2 安全策略管理相关技术,安全策略发布与分发技术,“推”模式,“拉”模式,第七章 运行与操作安全管理,3、安全策略管理,3.2 安全策略管理相关技术,安全策略状态监控技术,策略的生命周期状态包括: 休眠态; 待激活态; 激活态; 挂起态。,第七章 运行与操作安全管理,4、系统运行安全管理,系统运行安全管理的目标是确保系统运行过程中的

12、 安全性,主要包括可靠性、可用性、保密性、完整性、 不可抵赖性和可控性等几个方面。,第七章 运行与操作安全管理,4、系统运行安全管理,可靠性,可靠性是系统能够在设定条件内完成规定功能的基本 特性,是系统运行安全的基础。,可靠性表示了系统功能所能满足任务性能要求的程度 ,也是系统有效性的体现。,软件可靠性 硬件可靠性,4.1 运行安全管理的目标,第七章 运行与操作安全管理,4、系统运行安全管理,可用性,4.1 运行安全管理的目标,可用性是系统可被授权实体访问并按任务需求使用的 特性。,系统的可用性具体是指系统无故障、不受外界影响、 能够稳定可靠地运行,能够随时满足授权实体或用户的 需要。,第七章

13、 运行与操作安全管理,4、系统运行安全管理,保密性,4.1 运行安全管理的目标,保密性是系统信息不被泄露给未授权的用户、实体 或任务进程,或供其利用的特性。,第七章 运行与操作安全管理,4、系统运行安全管理,完整性,4.1 运行安全管理的目标,不可抵赖性,可控性,第七章 运行与操作安全管理,4、系统运行安全管理,4.2 系统评价,系统评价是对一个系统进行以下方面的质量检测分析:,系统对用户和业务需求的相对满意程度; 系统开发过程是否规范; 系统功能的先进性、可靠性、完备性和发展性; 系统的性能、成本、效益综合比; 系统运行结果的有效性、可行性和完整性。,第七章 运行与操作安全管理,4、系统运行

14、安全管理,4.2 系统评价,系统评价指标,预定的系统开发目标完成情况,系统运行实用性评价,系统对设备的影响,第七章 运行与操作安全管理,4、系统运行安全管理,4.3 系统运行安全检查,计算机硬件系统及实体环境安全检查,检查设备,检查人员,检查环境,第七章 运行与操作安全管理,4、系统运行安全管理,4.3 系统运行安全检查,系统运行安全测试,操作系统测试,系统安装测试,系统单元测试,程序测试,容量测试,综合测试,第七章 运行与操作安全管理,4、系统运行安全管理,4.4 系统变更管理,运行同步跟踪,标定基准,资产管理,变化管理,第七章 运行与操作安全管理,4、系统运行安全管理,4.4 系统变更管理

15、,软件修订,研究改变的目的和对系统可能产生的影响,实施改变,在改变之后测试整个系统,在变化管理系统中记录修改,第七章 运行与操作安全管理,4、系统运行安全管理,4.4 系统变更管理,硬件和物理设备的变更,研究改变的目的和对系统可能产生的影响,实施改变,在改变之后测试硬件,在变化管理系统中记录修改,第七章 运行与操作安全管理,4、系统运行安全管理,4.4 系统变更管理,建立系统运行文档和管理制度,建立系统设置参数文件及运行日志,建立科学的系统运行管理制度,信息安全策略从本质上来说是描述组织具有哪些重要信息资产,并说明这些信息资产如何被保护的一个计划 ; 程序是为进行某项活动所规定的途径或方法; 信息安全策略的制定过程; 安全策略实施相关技术。,小结,第七章 运行与操作安全管理,信息安全策略的制定过程是怎样的? 信息安全策略管理有哪些相关技术?这些技术的功能和作用分别是什么?,习题,第七章 运行与操作安全管理,思考,第七章 运行与操作安全管理,信息安全策略在实际网络管理中有哪些体现?,,Thank You !,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号