安全管理实践 第一部分.pdf

  1. 1、本文档共4页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
安全管理实践 第一部分

安全管理实践—— 第一部分 安全是一个广泛的主题,它涉及到许多不同的区域 (物理设备、网络、系统平台、应用程序等),每个区域都有其相关的风险、威胁及 解决方法。当我们讨论信息安全的时候,经常只关心黑客和操作系统的漏洞。尽管它们是安全的重要部分,但只是安全广义概念上的两 个组件而已。 对于连网的企业组织来说风险与威胁是没有终止的。信息安全是一个动态发展的过程,不仅仅是纯粹的技术,仅仅依赖于安全产品的堆 积来应对迅速发展变化的各种攻击手段是不能持续有效的。信息安全建设是一项复杂的系统工程,要从观念上进行转变,规划、管理、 技术等多种因素相结合使之成为一个可持续的动态发展的过程。 绝对的信息安全是不存在的,每个网络环境都有一定程度的漏洞和风险。这种程度是可以接受的。信息安全问题的解决只能通过一系列 的规划和措施,把风险降低到可被接受的程度,同时采取适当的机制使风险保持在此程度之内。当信息系统发生变化时应当重新规划和 实施来适应新的安全需求。信息系统的安全往往取决于系统中最薄弱的环节 - 人。人是信息安全中最关键的因素,同时也应该清醒的认 识到人也是信息安全中最薄弱的环节。 我们经常到这样令人感兴趣的信息:病毒、蠕虫造成了严重的破坏,黑客获取了信用卡的信息,大型网站主页被黑等等。可能人们普 遍的认识是企业没有安装安全产品 (如:防火墙、入侵检测系统、防病毒系统等)。这些问题很大程度上是安全管理没有有效实施造成 的。安全管理是企业信息安全的核心。安全管理包括风险管理、安全策略和安全教育。这三个组件是企业安全规划的基础。风险管理识 别企业的资产,评估威胁这些资产的风险,评估假定这些风险成为现实时企业所承受的灾难和损失。通过降低风险(如:安装防护措施)、 避免风险、转嫁风险(如:买保险)、接受风险 (基于投入/产出比考虑)等多种风险管理方式得到的结果来协助管理部门根据企业的业 务目标和业务发展特点来制定企业安全策略。 随着企业规模、业务发展、安全需求的不同,安全策略可能繁简不同。但是安全策略都应该简单明了、通俗易懂并直接反映主题,避免 糊不清的情况出现。信息安全策略是企业安全的最高方针,由高级管理部门支持,必须形成书面文档、广泛发布到企业所有员工手中, 同时,要对所有相关人员进行安全策略的培训,对于有特殊责任人员要进行特殊的培训,使得安全策略能够真正在企业正常运营过程中 得到贯彻、落实、实施。在安全规划中管理部门的支持是最重要的因素之一,仅仅是简单的点头同意是不够的。 安全管理通过适当的识别企业的信息资产,评估信息资产的价值,制定、实施安全策略、安全标准、安全方针、安全措施来保证企业信 息资产的完整性、机密性、可用性。 风险管理风险管理 风险管理风险管理 风险是指某种破坏或损失发生的可能性。风险管理是指识别、评估、降低风险到可以接受的程度并实施适当机制控制风险保持在此程度 之内的过程。没有绝对安全的环境,每个环境都有一定程度的漏洞和风险。 1. 需要重视的风险需要重视的风险 需要重视的风险需要重视的风险 企业中潜在的风险有多种形式,不仅仅只与计算机相关。当考虑信息安全的时候,有几种风险必须重视,包括 (但不局限于): 1. 物理破坏 火灾、水灾、电源损坏等 2. 人为错误 偶然的或不经意的行为造成破坏 3. 设备故障 系统及外围设备的故障 4. 内、外部攻击 内部人员、外部黑客的有无目的的攻击 5. 数据误用 共享机密数据,数据被窃 6. 数据丢失 故意或非故意的以破坏方式丢失数据 7. 程序错误 计算错误、输入错误、缓冲区溢出等 风险应当被识别、分类。真实的风险是很难估量的,但是对潜在风险进行估量是可取的。 2. 风险分析风险分析 风险分析风险分析 对于一个企业来说,搞清楚信息系统现有以及潜在的风险,充分评估这些风险可能带来的威胁和影响,将是企业实施安全建设必须首先 解决的问题,也是制定安全策略的基础与依据。在风险分析过程中,最开始考虑的有两方面的内容:一个是对企业资产的识别,另一个 是对威胁的识别。对于每一个明确要保护的资产,都应该考虑到可能面临的威胁,以及威胁可能造成的影响。还要考虑的因素是在风险 影响和防护措施花费之间的经济权衡。 要保护企业的信息系统安全,首先要知道企业中有哪些可识别的资

文档评论(0)

wnqwwy20 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

版权声明书
用户编号:7014141164000003

1亿VIP精品文档

相关文档