信息安全体系概述.ppt

信息安全体系概述;Page*;一、信息安全体系概述;;硬件架构：

系统与设备数量越来越多

系统互连关系越来越繁杂;常见的信息安全问题;常见的信息安全问题;信息安全损失的“冰山”理论

信息安全直接损失只是冰由之一角，

间接损失是直接损失是6－53倍

间接损失包括：

时间被延误

修复的成本

可能造成的法律诉讼的成本

组织声誉受到的影响

商业机会的损失

对生产率的破坏

;*;;;;建立统一安全规划体系;总体思路：以防为主，防治结合;安全管理的几个阶段;信息安全体系的内容;;;信息安全体系的建立流程;;进行风险评估;;;;基线风险评估

所谓基线风险评估，就是确定一个信息安全的基本底线，信息安全不仅仅是资产的安全，应当从组织、人员、物理、逻辑、开发、业务持续等各个方面来确定一个基本的要求，在此基础之上，再选择信息资产进行详细风险分析，这样才能在兼顾信息安全风险的方方面面的同时，对重点信息安全风险进行管理与控制。

ISO27001确立了组织机构内启动、实施、维护和改进信息安全管理的指导方针和通用原则，以规范组织机构信息安全管理建设的内容，因此，风险评估时，可以把ISO27001作为安全基线，与组织当前的信息安全现状进行比对，发现组织存在的差距，这样一方面操作较方便，更重要的是不会有遗漏;信息资产风险评估

针对重要的信息资产进行安全影响、威胁、漏洞及可能性分析，从而估计对业务产生的影响，最终可以选择适当的方法对风险进行有效管理。;IT流程风险评估

信息安全不仅仅要看IT资产本身是否安全可靠，而且还应当在其所运行的环境和经历的流程中保证安全。

没有可靠的IT流程的保证，静态的安全是不可靠的，而且IT的风险也不仅仅是信息安全的问题，IT的效率与效果也同样是需要考虑的问题，因此评估IT流程的绩效特性并加以完善是风险控制中必不可少的内容。;确定风险控制策略

;选择安全控制措施;;;二、信息安全组织体系;;安全组织架构;信息安全体系的内容;;实施安全教育计划

要制定各种不同范围、不同层次的安全教育计划。

完备的安全教育计划可以提高员工的安全意识与技能，改变他们对待安全事件的态???，使他们具有一定的安全保护技能，以更好地保护组织的信息资产。

好的安全教育计划应该让员工知道组织的信息安全面临的威胁及信息安全事件带来的后果，使员工切身感觉到安全事件与自己息息相关。;营造组织信息安全文化

信息安全文化从属于组织文化，倡导良好的组织信息安全文化就是要在组织中形成团队共同的态度、认识和价值观，形成规范的思维和行为模式，最终转化为行动，实现组织信息安全目标。人的这种对安全价值的认识以及使自己的一举一动符合安全的行为规范的表现，正是所谓的“安全修养”。

如果一个组织建立起浓厚的安全文化环境，不论决策层、管理层还是一般员工，都会在安全文化的约束下规范自己的行为，安全文化就像一支看不见的手，凡是不安全的行为都会被这支手拉回到安全操作的轨道上来。;三、信息安全管理体系;;ISMS“木桶”由哪些“板”组成？

类似于质量管理体系的ISO9000标准，ISMS也有相应的国际标准ISO27001，它确定了ISMS的11个安全领域及133个相应的控制措施。;ISO17799及ISO27001的内容

ISO17799:2005信息安全管理实施规范，主要是给负责开发的人员作为参考文档使用，从而在组织中实施和维护信息安全；

ISO27001:2005信息安全管理体系规范，详细说明了建立、实施和维护信息安全管理系统的要求，指出实施组织需要通过风险评估来鉴定最适宜的控制对象，并对自己的需求采取适当的控制。

;;;信息安全体系的内容;;;;纵深防御架构

可信网和不可信网要物理层隔断，网络逻辑连接要割断，应用数据要净化，不可信网络上的计算机不能直接到达可信网络。

使用“应用分层、服务分区、安全分级”的思路，指导网络结构化建设，根据应用类型、物理位置、逻辑位置等的不同，划分不同的网络安全区域和边界。;;用户;;;入侵检测;由于普通用户缺乏应有的网络安全常识，通过浏览隐藏恶意代码的网站，下载有木马的软件到内部网运行，打开邮件中不明来历的附件等给组织的内部网络带来的极大的危害，终端用户触发产生的安全事件逐渐成为企业IT安全问题的主要原因。;;应用系统常见安全方案

业务系统本身必须能够准确地识别使用者的真实身份，防止与业务无关的人员非法使用系统。

解决方案:使用统一的身份认证证书

业务系统本身必须能够对自己的资源进行控制，能够动态地分配权限，控制使用者的操作行为，防止越岗位操作或越权限操作。

解决方案:基于角色的访问控制

业务系统本身必须能够对数据或文件进行保护，防止由于数据的安全得不到保证而失去业务系统本身的可用性。

解决方案:基于密码

业务系统本身必须能够对操作者行为进行