ch5信息安策全略.pptVIP

第五章 信息安全策略 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 本章学习目标 掌握信息安全策略的基本概念和制定原则； 掌握信息安全策略的规划和实施方法； 了解环境安全策略、系统安全策略、病毒防护策略及安全教育策略； Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 5.1信息安全策略概述 信息安全策略是一组规则，它定义了一个组织要实现的安全目标和实现这些安全目标的途径 信息安全策略包括两个部分：问题策略（Issue Policy）和功能策略（Functional Policy） 问题策略描述了一个组织所关心的安全领域和对这些领域内安全问题的基本态度。 功能策略描述如何解决所关心的问题，包括制定具体的硬件和软件配置规格说明、使用策略以及雇员行为策略。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 信息安全策略的特点 信息安全策略必须有清晰和完全的文档描述，必须有相应的措施保证信息安全策略得到强制执行 信息安全策略是原则性和不涉及具体细节的 信息安全策略是可以被审核的，即能够对组织内各个部门信息安全策略的遵守程度给出评价 信息安全策略的描述语言应该是简洁的、非技术性的和具有指导性的 例：“任何类别为机密的信息，无论存储在计算机中，还是通过公共网络传输时，必须使用本公司信息安全部门指定的加密硬件或者加密软件予以保护” Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 信息安全策略的制定原则 先进的网络安全技术是网络安全的根本保证 严格的安全管理是确保安全策略落实的基础 严格的法律、法规是网络安全保障的坚强后盾 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 信息安全策略的制定过程 首先应当确定策略的总体目标，必须保证已经把所有可能需要策略的地方都考虑到，可以设计硬件、软件、访问、用户、廉洁、网络、通信以及实施等各个方面 其次需要确定策略的结构，定义每个策略负责的区域，明确要保护什么和需要付出多大的代价去保护 参考相关的标准文本和类似组织的安全管理经验 征求意见，并对安全策略做出调整 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 信息安全策略的框架 加密策略：描述组织对数据加密的安全要求 使用策略：描述设备使用、计算机服务使用和雇员安全规定、以保护组织的信息和资源安全 线路连接策略：描述诸如传真发送和接收、模拟线路与计算机连接、拨号连接等安全要求 反病毒策略：给出有效减少计算机病毒对组织的威胁的一些指导方针，明确在哪些环节必须进行病毒检测 应用服务提供策略：定义应用服务提供者必须遵守的安全方针 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 信息安全策略的框架 审计策略：描述信息审计要求，包括审计小组的组成、权限、事故调查、安全风险估计、信息安全策略符合程度评价、对用户和系统活动进行监控等活动的要求 电子邮件使用策略：描述内部和外部电子邮件接收、传递的安全要求 数据库策略：描述存储、检索、更新等管理数据库数据的安全要求 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 信息安全策略的框架 第三方的连接策略：定义第三方接入的安全要求 敏感信息策略：对于组织的机密信息进行分级，按