收藏
下载资源

控管措施物理控管人员控管访问控制审计废弃物品控管应急处理隔离课件

上传人:cn****1 文档编号:569942592 上传时间:2024-07-31 格式:PPT 页数:33 大小:295KB
返回 下载 相关 举报
控管措施物理控管人员控管访问控制审计废弃物品控管应急处理隔离课件_第1页
第1页 / 共33页
控管措施物理控管人员控管访问控制审计废弃物品控管应急处理隔离课件_第2页
第2页 / 共33页
控管措施物理控管人员控管访问控制审计废弃物品控管应急处理隔离课件_第3页
第3页 / 共33页
控管措施物理控管人员控管访问控制审计废弃物品控管应急处理隔离课件_第4页
第4页 / 共33页
控管措施物理控管人员控管访问控制审计废弃物品控管应急处理隔离课件_第5页
第5页 / 共33页
点击查看更多>>
资源描述

《控管措施物理控管人员控管访问控制审计废弃物品控管应急处理隔离课件》由会员分享,可在线阅读,更多相关《控管措施物理控管人员控管访问控制审计废弃物品控管应急处理隔离课件(33页珍藏版)》请在金锄头文库上搜索。

1、什么是网络信息安全管理?什么是网络信息安全管理?通过合理的组织体系、规章制度和控管措施,把具有信息安全保障功能的软硬件设施和管理/使用信息的人整合在一起,以此确保整个组织达到预定程度的网络信息安全,称为网络信息安全管理一个不容争辩的事实一个不容争辩的事实超过70%的信息安全事故,如果事先加强管理,都可以得到避免印证了一句名言:“三分技术,七分管理” 苍蝇不叮无缝的蛋蛋技术不等于管理技术不等于管理理由之一:人的因素第一理由之二:整体大于部分理由之三:决策层必须参与宏观管理与微观管理宏观管理与微观管理宏观管理:国家信息安全管理体制微观管理:单位信息安全管理体制本次培训:主要介绍微观管理几个概念几个

2、概念安全需求信息资产风险脆弱性威胁控管措施安全需求安全需求单位出于业务需要而需要避免发生的安全事故的总和由于业务类型和资金预算的限制,只能对有限类型的安全事故加以避免,所以单位划定网络信息安全需求的范围是采取网络信息安全管理措施的前提资产(红颜色的为信息资产)资产(红颜色的为信息资产)被贵单位看作是有价值的事物,如 机要数据 纸媒介文件 软件资产 物理资产 人力资源 单位的形象与声誉 服务脆弱性脆弱性是网络信息资产自身的一种缺陷。脆弱性本身并不对资产构成危害,但是在一定的条件得到满足时,脆弱性会被人利用来对信息资产造成威胁对网络信息系统脆弱性的评估,要由专业人士用专门的工具(如漏洞扫描系统)来

3、进行,谨防黑客勒索威胁威胁可以导致安全事故和单位财产损失的活动。一种活动构成威胁,需要一定的条件。控管措施控管措施单位为降低信息安全风险、提高网络信息安全水平而采取的组织上、制度上和技术上的措施威胁脆弱性风险信息资产控管措施安全需求价值对贵单位工作的潜在影响利用防止增加增加暴露具有增加降低满足引发网络信息安全维护,依赖于网络信息安全维护,依赖于教育和培训管理层的承诺从上到下贯彻的安全管理方针控管措施监督检查机制一致认同的安全管理适用范围管理层的承诺管理层的承诺要让全体职工知道管理层做出了网络信息安全管理的承诺一把手最好亲自出面从上到下贯彻的从上到下贯彻的网络信息安全管理方针网络信息安全管理方针

4、简单上口通俗易懂提纲挈领切实可行一致认同的一致认同的网络信息安全管理适用范围网络信息安全管理适用范围宽严适度量力而行教育和培训教育和培训交流期待培训用户减少错误建设单位文化控管措施控管措施物理控管物理控管人员控管人员控管访问控制访问控制 审计审计废弃物品控管废弃物品控管应急处理应急处理 隔离隔离设备设施防护设备设施防护物理控管物理控管防盗(尤其注意笔记本电脑防盗)使用门禁设施防火人员离开时桌面净空,屏幕上锁防电磁泄漏防搭线窃听人员控管人员控管调离人员的处理签署保密合同人员分级与分类权限的授予和管理信息管理人员持证上岗办公自动化环境下的新问题审计审计与安全有关的事件,要有记录网络信息管理员应定期

5、对审计信息进行备份单位应定期请专业人士对审计信息进行分析,由此评估网络信息安全状况审计文件应严格保护,禁止任何人私自改动访问控制访问控制访问单位内部信息和信息系统,要有身份认证的过程,只允许授权用户访问设置和修改权限,所依据的政策要由专人负责制定,操作要专人负责与单位外部的通信连接,必要的时候要进行审查和过滤按访问控制的强度对信息系统分级隔离隔离单位内部信息系统和外部公共网络,要内外有别隔离强度有四个等级: 无任何隔离措施 物理连通,按一定条件过滤 物理不连通,数据连通 数据不连通软驱与拨号访问的控管废弃物品管理废弃物品管理承载敏感信息的耗材废弃前必须先销毁。包括:废旧软盘、硬盘、光盘、磁带废

6、旧纸张应急处理应急处理发生紧急安全事故时,要做到: 封存现场(尤其是审计数据),及时取证,紧急报案和求援 排除故障、启用备份系统和备份数据,恢复原数据及系统正常功能国家计算机网络应急处理体系即将为全社会提供应急处理服务设备设施防护设备设施防护配置管理入侵检测与入侵阻断服务器防护抗毁系统和自毁系统笔记本电脑问题网络防洪 良好的习惯良好的习惯 不要点击和下载来历不明的文件和链接不要点击和下载来历不明的文件和链接 起个什么口令好起个什么口令好不要使用来历不明的软盘不要使用来历不明的软盘/光盘光盘浏览器设置要当心浏览器设置要当心对异常现象保持高度警惕对异常现象保持高度警惕监督检查措施监督检查措施实行安

7、全内审员制度安全记录、安全状况要有人定期检查查出安全问题要能明确追究责任信息安全管理标准信息安全管理标准ISO 13335/ISO 17799-1(原BS 7799-1)/BS 7799-2采用推荐标准而不是强制标准实行达标认证制度与现行保密制度的关系小结小结网络信息安全,重在管理安全管理必须成体系、有组织,一把手亲自抓,自上而下地宣传贯彻安全管理重在预防,要对信息资产及其脆弱性以及总体安全状况做到胸中有数安全管理必须在体系、制度建设中充分考虑技术因素,但只有体系、制度和技术的合理结合才能真正发挥作用,取得效果报告内容题要网络信息安全管理网络信息安全服务网络信息安全产品的局限性w w只依靠安全产品不能完全解决网络问题。一个网络是否安全,人的因素依然起了决定性的作用。w优秀的网络安全产品,只有在精心配置下才能发挥它应有的作用。安全服务渗透到网络的安全服务渗透到网络的整个生命周期中整个生命周期中w w网络的设计阶段。w网络的实施阶段。w网络的运行阶段。w网络的维护阶段。安全服务的特点安全服务不局限于产品的功能而更加注重安全服务不局限于产品的功能而更加注重于客户化服务。于客户化服务。更加注重于功能、性能和投资的总体配置。更加注重于功能、性能和投资的总体配置。更加注重于不同客户之间的共性而且统一更加注重于不同客户之间的共性而且统一管理、统一报警。管理、统一报警。

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 建筑/环境 > 施工组织

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号