- 1、本文档共4页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
安全管理实践 第一部分
安全管理实践—— 第一部分
安全是一个广泛的主题,它涉及到许多不同的区域 (物理设备、网络、系统平台、应用程序等),每个区域都有其相关的风险、威胁及
解决方法。当我们讨论信息安全的时候,经常只关心黑客和操作系统的漏洞。尽管它们是安全的重要部分,但只是安全广义概念上的两
个组件而已。
对于连网的企业组织来说风险与威胁是没有终止的。信息安全是一个动态发展的过程,不仅仅是纯粹的技术,仅仅依赖于安全产品的堆
积来应对迅速发展变化的各种攻击手段是不能持续有效的。信息安全建设是一项复杂的系统工程,要从观念上进行转变,规划、管理、
技术等多种因素相结合使之成为一个可持续的动态发展的过程。
绝对的信息安全是不存在的,每个网络环境都有一定程度的漏洞和风险。这种程度是可以接受的。信息安全问题的解决只能通过一系列
的规划和措施,把风险降低到可被接受的程度,同时采取适当的机制使风险保持在此程度之内。当信息系统发生变化时应当重新规划和
实施来适应新的安全需求。信息系统的安全往往取决于系统中最薄弱的环节 - 人。人是信息安全中最关键的因素,同时也应该清醒的认
识到人也是信息安全中最薄弱的环节。
我们经常到这样令人感兴趣的信息:病毒、蠕虫造成了严重的破坏,黑客获取了信用卡的信息,大型网站主页被黑等等。可能人们普
遍的认识是企业没有安装安全产品 (如:防火墙、入侵检测系统、防病毒系统等)。这些问题很大程度上是安全管理没有有效实施造成
的。安全管理是企业信息安全的核心。安全管理包括风险管理、安全策略和安全教育。这三个组件是企业安全规划的基础。风险管理识
别企业的资产,评估威胁这些资产的风险,评估假定这些风险成为现实时企业所承受的灾难和损失。通过降低风险(如:安装防护措施)、
避免风险、转嫁风险(如:买保险)、接受风险 (基于投入/产出比考虑)等多种风险管理方式得到的结果来协助管理部门根据企业的业
务目标和业务发展特点来制定企业安全策略。
随着企业规模、业务发展、安全需求的不同,安全策略可能繁简不同。但是安全策略都应该简单明了、通俗易懂并直接反映主题,避免
糊不清的情况出现。信息安全策略是企业安全的最高方针,由高级管理部门支持,必须形成书面文档、广泛发布到企业所有员工手中,
同时,要对所有相关人员进行安全策略的培训,对于有特殊责任人员要进行特殊的培训,使得安全策略能够真正在企业正常运营过程中
得到贯彻、落实、实施。在安全规划中管理部门的支持是最重要的因素之一,仅仅是简单的点头同意是不够的。
安全管理通过适当的识别企业的信息资产,评估信息资产的价值,制定、实施安全策略、安全标准、安全方针、安全措施来保证企业信
息资产的完整性、机密性、可用性。
风险管理风险管理
风险管理风险管理
风险是指某种破坏或损失发生的可能性。风险管理是指识别、评估、降低风险到可以接受的程度并实施适当机制控制风险保持在此程度
之内的过程。没有绝对安全的环境,每个环境都有一定程度的漏洞和风险。
1. 需要重视的风险需要重视的风险
需要重视的风险需要重视的风险
企业中潜在的风险有多种形式,不仅仅只与计算机相关。当考虑信息安全的时候,有几种风险必须重视,包括 (但不局限于):
1. 物理破坏 火灾、水灾、电源损坏等
2. 人为错误 偶然的或不经意的行为造成破坏
3. 设备故障 系统及外围设备的故障
4. 内、外部攻击 内部人员、外部黑客的有无目的的攻击
5. 数据误用 共享机密数据,数据被窃
6. 数据丢失 故意或非故意的以破坏方式丢失数据
7. 程序错误 计算错误、输入错误、缓冲区溢出等
风险应当被识别、分类。真实的风险是很难估量的,但是对潜在风险进行估量是可取的。
2. 风险分析风险分析
风险分析风险分析
对于一个企业来说,搞清楚信息系统现有以及潜在的风险,充分评估这些风险可能带来的威胁和影响,将是企业实施安全建设必须首先
解决的问题,也是制定安全策略的基础与依据。在风险分析过程中,最开始考虑的有两方面的内容:一个是对企业资产的识别,另一个
是对威胁的识别。对于每一个明确要保护的资产,都应该考虑到可能面临的威胁,以及威胁可能造成的影响。还要考虑的因素是在风险
影响和防护措施花费之间的经济权衡。
要保护企业的信息系统安全,首先要知道企业中有哪些可识别的资
您可能关注的文档
最近下载
- 精品解析:广东省广州市越秀区第二中学2022-2023学年七年级上学期期中考试英语试题(解析版).docx VIP
- 江南快速 西威+TOMCB+LCB2原理图.pdf
- 城市人行天桥与人行地道技术规范(征求意见稿).doc
- 津津有味·读经典Level1《格林童话选》译文和答案.docx
- 金融企业会计第三版孟艳琼习题答案.doc
- 各层级护士考核内容及评价标准.pdf
- 津津有味·读经典Level1《柳林风声》译文和答案.pdf
- 【西门子】SINUMERIK 840D sl 操作组件 - TCU 30.3.pdf
- 第17课《昆明的雨》说课课件.pptx VIP
- 倾斜摄影测量实景三维建模技术规程.pdf VIP
文档评论(0)