信息安全保障体系-设计.ppt

内容说明 1、案例介绍 2、某电力行业安全评估标准 3、安全保障体系设计 4、信息安全保障体系设计案例 安全威胁案例分析 信息安全保障体系设计 信息安全的两个方面 面向数据和信息的安全通过安全服务，安全产品解决 面向访问（人）的安全通过安全咨询解决 安全防御理论的发展 数据传输加密 密码与加密技术 1、信息安全必须建立体系 2、信息安全是长期的工作 3、建立一级监控二级维护的体系 4、安全项目需要以流程为核心 5、重状态，轻过程； 6、管理必须通过技术实现 7、先控制后监控 8、安全是动态平衡的，但要以不变应万变 9、没有百分百安全，做到0损失0响应 10、信息安全是12分的维护、7分的管理、3分的技术 安全保障体系理念－等级化 项目的主要环节的成果都进行等级化 可以参照的主要安全标准等级 安全保障强健性等级：IATF SML， 安全保护技术等级：GB17859， 过程安全等级：ISO15408/GB18336 EAL 工程成熟度等级：SSE-CMM， 国家等级化评估标准 安全保障体系方法-等级化安全体系 保障体系理念－多重深度防护战略 不仅关注安全属性，同时关注安全环节 人，策略，技术，操作 强调安全管理 深度多重防护，防止单点失效 风险管理和风险控制原则 安全性与成本、效率之间平衡原则 安全保障体系模型 信息安全保障体系 安全策略体系 用户单位信息系统中的安全事故 人员安全管理 信息系统的标准操作流程 怎么做 系统维护人员的权利和责任 谁做 技术人员和服务承包商的服务水平定量评估 性能评估 安全策略体系 完善的用户单位安全策略体系 安全域划分和安全等级映射 物理管理策略 人员安全策略 网络安全策略 系统安全策略 应用安全策略 日志审计策略 备份恢复策略 安全策略体系核心内容 策略体系执行层次-落实责任 策略宣贯的合理流程设计 安全策略执行方法流程 分发安全策略 安全策略培训 安全策略考核 安全策略执行跟踪 安全组织体系 安全组织体系构架设计 安全组织体系-工作职责 1、工作职责分类 2、总体职责 3、安全管理职责 4、信息安全连续性的职责 5、安全审计职责 6、安全事故处理职责 7、安全项目申请职责 安全技术体系 信息技术体系-安全技术框架 信息技术体系-主要内容 鉴别和认证 动态身份认证将保护 ... 访问控制 安全域设计 安全域拓扑图 审计跟踪 审计跟踪-逻辑部署图 恢复和响应 应急处理的目标 避免没有章法、可能造成灾难的响应。 更快速和标准化的响应。 确认或排除是否发生了紧急事件。 使紧急事件对业务或网络造成的影响最小化。 保护用户单位、组织的声誉和资产。 教育高层管理人员。 提供准确的报告和有价值的建议。 内容安全 针对文件系统和病毒防范的保护，结合TRIPWIRE，配置一套文件监控系统，一旦文件系统发生变化及时进行报警。 安全技术体系核心思想 1、技术体系的框架必须划分清楚 2、技术体系设计必须与安全需求完全结合 3、技术的实施需要分步骤、分区域的实施 信息安全运维体系 安全运维体系构架 安全运作体系-维护流程 如何建立安全保障体系 安全保障体系实施-工作分类 风险评估基本流程 风险评估工作内容 安全扫描 人工评估 数据库评估 渗透测试 信息安全解决方案规划 项目紧迫性分析 项目可实施性分析 项目实施难易程度分析 项目预期效果分析 项目规划综合分析 最终形成未来3年安全建设项目规划建议 安全保障系统项目规划示例 项目规划方法 安全制度的执行辅导 协助有效的把筛选出来的制度根据步骤执行下去。主要步骤为： 需要执行相关制度的人员进行培训同时进行考核 使用现有的软件、设备和配置方法对制度的执行从技术上进行有效的监控 采用二次开发的软件或免费产品实现技术上的监控 辅导管理员监控相应制度的执行情况 对员工执行制度的情况进行跟踪和违反制度的情况进行取证。 安全优化和加固 加固安全基线说明 网络设备的安全基线 防火墙设备加固基线 Windows加固基线 数据库系统安全基线的标准 加固工具说明 在本次项目中会使用到必要的加固工具 微软基准安全分析器 MBSA Cisco系统上RATS Unix系统的TCPWRAPPER，IP Filter ，IP Table 建立安全摘要Tripwire 微软基准安全分析器 MBSA 运行在Windows 2000 和 Windows XP平台上的单个可执行文件 检查常见安全误设置和漏装补丁, 服务包 Windows Internet Information Server 4.0 and Internet Information Server 5.0 SQL 7.0 and SQL 2000 桌面应用程序