04 信息安全保密管理策略

3
信息安全XX管理策略
• 信息安全XX管理策略的特点
– 系统化
• 管理策略涉及网络运维的诸多方面，需要根据具体 的业务和实际情况，建立一套系统的策略体系
– 动态化
• 网络面临的威胁与攻击不断变化，需要根据环境、 系统和当前形势以及对系统的风险评估结果及时调 整策略，修订规范
4
信息安全XX管理策略
– 物理安全策略 – 信息安全技术策略 – 运维安全策略
9
安全XX管理策略体系
• 完整的策略体系包括：
– 物理安全策略
• 制定关于网络中使用的设备、设施的物理安全所采用 的保护措施
– 信息安全技术策略
• 制定关于网络所采取的安全防护技术和产品使用的保 护措施
– 运维策略
• 制定关于网络日常运行管理所采取的保护措施
安全XX管理策略体系
• 安全保密策略管理过程 • 包括八个环节：
– 策略制定、策略审批、策略发布、策略实施、 策略培训、策略评估、策略修订、策略监督
37
安全XX管理策略体系
• 策略制定
– 方案设计阶段：结合安全风险分析编制网络分 级保护方案 – 建设阶段：按照方案实施各项防护措施 – 试运行期间：经过充分论证预评估，制定并形 成完整的、文档化的安全保密策略
• XX场所环境与区域控制
– 核心内容是： 保障网络、服务器及计算机的安全以及受控使 用，防范周边不安全因素威胁。 – 主要包括： 周边环境、XX场所安防、监控、人员车辆出入 控制措施。
14
安全XX管理策略体系
• 中心机房与配线间
– 核心内容是： 保证服务器、网络设备的物理安全以及受控使 用。 – 主要包括： 机房建设、安防监控、出入控制以及日常管理。
27
安全XX管理策略体系
• 密码保护
– 核心内容是： 对XX信息在不可控区域内传输时采取的基本防 护措施 – 主要包括： 密码保护产品部署策略、配置管理策略以及运 行管理策略
28
安全XX管理策略体系
• 信息完整性
– 核心内容是： 通过网络传输协议的选择、应用系统的信息校 验确保XX信息在网络传输、存储和处理过程中 的完整性 – 主要包括： 信息传输完整性策略、信息存储完整性策略
• 网络安全保密策略的制定、实施 • 网络安全保密策略的评估、修订工作
– 在实施及日常管理工作中需要资产管理部门、 行政部门、保卫部门等的配合
49
安全XX管理策略体系
• 业务部门
– 负责制定网络中的信息设备日常使用和部门台 账管理策略 – 包括：
• 指导本部门网络安全保密策略的制定和日常维护管 理工作 • 监督本部门人员执行落实网络安全保密策略
6
本章课程提纲
• • • • • 安全XX管理策略体系 物理安全策略 信息安全技术策略 运维策略 安全保密策略管理
7
安全XX管理策略体系
• 网络安全XX管理策略体系必须满足
– 保密性 – 完整性 – 可用性 – 可认证性 – 可审计性 – 不可Biblioteka Baidu赖性
CIA
8
安全XX管理策略体系
• 完整的策略体系包括：
– 保密工作机构定期组织对策略实施、运行管理 进行监督检查
45
安全XX管理策略体系
• 职责分工 • 包括八个部门：
– – – – – – – – 保密委员会 保密工作机构 信息化工作机构 业务部门 行政部门 人事管理部门 保卫管理部门 资产管理部门
46
安全XX管理策略体系
• 保密委员会
– 安全保密策略的最高决策机构，负责网络安全 保密策略的审批
50
安全XX管理策略体系
• 行政部门
– 制定和落实网络物理环境安全策略的部门 – 负责空调、电源线路、防水、防火等保障性设 施和设备的运行维护管理
10
本章课程提纲
• • • • • 安全XX管理策略体系 物理安全策略 信息安全技术策略 运维策略 安全保密策略管理
11
安全XX管理策略体系
物理安全策略 信息安全技术策略
网络层访问控制 应用层访问控制 身份认证 违规外联监控 安全监控与审计
运维策略
物理隔离
XX场所环境 控制 中心机房 与配线间 综合布线 设备安全 无线与多媒体 设备管控
运行管理
入侵检测(IDS)
病毒、木马与恶意代 码防护
信息交换与流转 漏洞扫描 密码保护 信息完整性 抗抵赖
备份与恢复
应急响应
电磁泄露发射防护
安全XX管理策略体系结构图
12
安全XX管理策略体系
• 物理隔离
– 物理隔离是网络防护的基本策略。 – 核心内容是： 权限不同的网络之间必须实行物理隔离。
13
安全XX管理策略体系
34
本章课程提纲
• • • • • 安全XX管理策略体系 物理安全策略 信息安全技术策略 运维策略 安全保密策略管理
– 安全保密策略管理过程 – 职责分工
35
安全XX管理策略体系
• 安全保密策略的重要作用
– 是规范和加强网络安全XX管理和技术措施实施 的指导性文件 – 是使用单位的网络管理与使用人员必须遵循的 安全保密行为准则 – 是网络过程管理的基本保密措施 – 明确了网络安全保密策略管理中相关机构和管 理部门在各个环节中的职责 – 规定了网络安全XX管理和技术监督管理的原则 和要求 36
• 备份与恢复
– 核心内容是： 为保证网络中设备以及应用的正常、有效运行， 避免由于停电、设备故障导致设备损坏、信息 丢失和应用服务停止 – 主要包括： 备份与恢复策略、数据备份和恢复策略、应用 系统备份与恢复、电源备份策略以及备份恢复 演练策略
33
安全XX管理策略体系
• 应急响应
– 核心内容是： 当网络发生系统瘫痪或发生信息丢失、被窃等 异常事件时，能保证在最短时间内恢复数据和 应用服务 – 主要包括： 泄密事件应急响应处置和系统运行安全事件应 急处置等应急响应策略
17
安全XX管理策略体系
• 无线与多媒体设备管控
– 核心内容是： 保障信息不会通过无线设备泄露或者被攻击。 – 主要包括： 禁止使用无线互联功能设备处理特殊信息；联 网系统严禁配备麦克风、摄像头；谈论特殊信 息时对互联网计算机断电；手机或其他通讯设 备严禁带入
18
安全XX管理策略体系
• 网络层访问控制
38
安全XX管理策略体系
• 策略审批
– 网络安全保密策略需要经过保密工作机构、信 息化工作机构审核确认 – 审核通过后报保密委员会审批 – 正式审批后，策略文档需有机关、单位的正式 发文编号，档案管理部门备案
39
安全XX管理策略体系
• 策略发布
– 网络安全保密策略的发布，应履行审批手续， 发布范围保证覆盖应涉及的全部机构和人员， 发布内容保证方便获取和查阅
47
安全XX管理策略体系
• 保密工作机构
– 负责网络安全保密策略相关工作的监督、检查 和指导 – 包括：
• • • • 指导安全保密相关制度的制定 对安全保密策略的落实情况进行监督检查 负责信息、设备的密级确定 与人事部门配合做好策略的培训
48
安全XX管理策略体系
• 信息化工作机构
– 制定和落实网络安全保密策略 – 包括：
31
安全XX管理策略体系
• 运行维护
– 核心内容是： 为保证网络中网络设备、终端、服务器、应用 系统、OS、DB、安全保密产品能够安全、稳 定运行采取的管理措施 – 主要包括： 网络设备管理策略、服务器与用户终端管理策 略、打印输出设备管理策略、应用系统与数据 库管理策略和安全保密产品策略
32
安全XX管理策略体系
40
安全XX管理策略体系
• 策略实施
– 信息化工作机构组织实施工作 – 确保策略落实到位 – 对实施过程进行记录和备案，便于监督检查
41
安全XX管理策略体系
• 策略培训
– 开展多层次的培训工作，使各级人员在熟悉掌 握策略的基础上，配合策略实施并维护策略的 有效性
42
安全XX管理策略体系
• 策略评估
• 信息安全XX管理策略的特点
– 细致化
• 策略和规范不仅仅是信息系统运维单位的防护总体 方针，更需要细化分解，策略越详细、可执行性越 强，从而越容易实施
– 规范化
• 在策略的制定、实施、培训、评估、修订以及监督 检查的全过程中，规范化是保证信息系统策略有效 落实的关键
5
本章课程提纲
• • • • • 安全XX管理策略体系 物理安全策略 信息安全技术策略 运维策略 安全保密策略管理
21
安全XX管理策略体系
• 违规外联监控
– 核心内容是： 检测并阻断XX计算机接入互联网与其他公共信 息网的违规行为 – 主要包括： 系统部署策略、管理策略、安全控制策略、运 行管理策略等
22
安全XX管理策略体系
• 安全监控审计
– 核心内容是： 通过安全监控与审计产品对网络中计算机的运 行状况、软件安装、进程服务、硬件端口等进 行监控 – 主要包括： 安全监控与审计产品的部署、配置管理策略、 监控审计策略、运行管理策略
20
安全XX管理策略体系
• 身份认证
– 核心内容是： 根据不同等级，部署身份认证系统，通过与OS、 应用系统的集成，提高系统登录的安全性 – 主要包括： 服务器与终端身份认证策略、网络设备身份认 证策略、打印输出设备身份认证策略、应用系 统数据库策略、安全保密产品认证策略、认证 系统部署配置与运行管理策略等
– 核心内容是： 为加强不同业务区信息的流转控制，防止非受 控访问，按照分域分级的原则进行访问控制。 – 主要包括： 安全域的划分策略、安全域的访问控制策略、 安全域的管理策略、网络设备端口控制与绑定、 安全设备部署与访问控制、安全设备运行管理 策略
19
安全XX管理策略体系
• 应用层访问控制
– 核心内容是： 结合应用系统的访问授权管理，在IP层、应用 层实施访问控制，防止信息非授权访问 – 主要包括： 安全设备部署与访问控制策略、安全设备运行 管理策略、应用系统安全策略
– 保密工作机构、信息化工作机构定期进行网络 审计与安全风险评估 – 对已实施的网络安全保密策略进行定量、定性 分析
43
安全XX管理策略体系
• 策略修订
– 保密工作机构、信息化工作机构需不断完善防 护手段，及时对网络安全保密策略进行修订、 更新，并履行审批手续
44
安全XX管理策略体系
• 策略监督检查
29
安全XX管理策略体系
• 抗抵赖
– 核心内容是： 通过网络审计、数据库审计、主机审计、应用 审计实现操作行为的可追溯 – 主要包括： 网络审计策略、主机审计策略、应用审计策略 以及数字签名策略
30
安全XX管理策略体系
• 电磁泄露发射防护
– 核心内容是： 最大限度降低XX信息的电磁泄漏风险 – 主要包括： 屏蔽机房配置、屏蔽机柜配置、电磁干扰配置、 电源隔离防护装置
(秘密、机密采用B类机房要求，机密增强，绝密采用A类机房)
15
安全XX管理策略体系
• 综合布线
– 核心内容是： 在线路传输的过程中，保证信息之间的隔离。 – 主要包括： 光缆、电缆的使用、线路传导干扰器以及信息 传输的加密保护。
16
安全XX管理策略体系
• 设备安全
– 核心内容是： 保障XX网使用的每个设备在所有环节中能够受 控管理，防止因设备不可控导致的信息外泄。 – 主要包括： 设备与介质的采购、调配、使用、维修、报废、 销毁以及台账记录。
信息安全XX管理
第四章 信息安全XX管理策略
2014 秋
信息安全XX管理策略
• 为了保证网络信息的安全保密，网络的管 理和使用人员需要在使用和维护网络的过 程中遵守一定的行为准则，而这一系列文 档化的准则和规范，组成了信息安全XX管 理策略
2
信息安全XX管理策略
• 信息安全XX管理策略的特点
– 系统化 – 动态化 – 细致化 – 规范化
25
安全XX管理策略体系
• 信息交换与流转
– 核心内容是： 不同密级网络间信息交换相关策略 – 主要包括： 安全隔离与信息单向导入系统的使用策略，内 外网信息交换机制，不同密级信息交换策略
26
安全XX管理策略体系
• 漏洞扫描
– 核心内容是： 对网络中的设备以及应用系统进行扫描 – 主要包括： 漏洞扫描产品部署策略、配置管理策略、检测 扫描策略以及运行管理策略
23
安全XX管理策略体系
• 入侵检测
– 核心内容是： 对网络中流经的数据包进行实时监控，及时预 警入侵等安全事件 – 主要包括： 入侵检测产品部署策略、配置管理策略以及运 行管理策略等
24
安全XX管理策略体系
• 病毒、木马、恶意代码防护
– 核心内容是： 防止因病毒、木马和恶意代码导致的网络瘫痪、 信息损毁、失窃密事件发生 – 主要包括： 病毒、恶意代码防护软件的部署与安装策略， 计算机病毒的扫描、特种“木马”的查杀、监 控策略，病毒库下载、更新与维护以及网络病 毒审计管理策略