信息安全保障与体系建设pptx
合集下载
信息安全管理体系ppt课件
ppt课件2.1
21
信息安全追求目标
❖ 确保业务连续性 ❖ 业务风险最小化
❖ 保护信息免受各种威 胁的损害
❖ 投资回报和商业机遇 最大化
获得信息安全方式
❖ 实施一组合适的控制 措施,包括策略、过 程、规程、组织结构 以及软件和硬件功能。
ppt课件2.2
22
风险评估主要对ISMS范围内的信息资产进行 鉴定和估价,然后对信息资产面对的各种威 胁和脆弱性进行评估,同时对已存在的或规 划的安全控制措施进行界定。
ppt课件.
1
信息安全管理 体系
知识体
信息安全管理 基本概念
信息安全 管理体系建设
知识域
信息安全管理的作用 风险管理的概念和作用 安全管理控制措施的概念和作用
过程方法与PDCA循环 建立、运行、评审与改进ISMS
知识子域
ppt课件.
2
知识子域: 信息安全管理的作用
› 理解信息安全“技管并重”原则的意义 › 理解成功实施信息安全管理工作的关键因素
ppt课件4.8
48
管理 技术 因素 因素
人的因素
在信息安全问题上,要综合考虑人员与管理、技术与产品、 流程与体系。信息安全管理体系是人员、管理与技术三者 的互动。
ppt课件2.6
26
1、信息安全管理的作用
服务器
防火墙能解决这样的问题吗?
Web服务器
内网主机
防火墙
防火墙
精心设计的网络
Internet
防御体系,因违
规外连形同虚设
ppt课件.
27
1、信息安全管理的作用
应
对
风
险
需
要
人
为
国家信息安全保障体系概述35页PPT
国家信息安全保障体系概述
41、实际上,我们想要的不是针对犯 罪的法 律,而 是针对 疯狂的 法律。 ——马 克·吐温 42、法律的力量应当跟随着公民,就 像影子 跟随着 身体一 样。— —贝卡 利亚 43、法律和制度必须跟上人类思想进 步。— —杰弗 逊 44、人类受制于法律,法律受制于情 理。— —托·富 勒
ቤተ መጻሕፍቲ ባይዱ
45、法律的制定是为了保证每一个人 自由发 挥自己 的才能 ,而不 是为了 束缚他 的才能 。—— 罗伯斯 庇尔
31、只有永远躺在泥坑里的人,才不会再掉进坑里。——黑格尔 32、希望的灯一旦熄灭,生活刹那间变成了一片黑暗。——普列姆昌德 33、希望是人生的乳母。——科策布 34、形成天才的决定因素应该是勤奋。——郭沫若 35、学到很多东西的诀窍,就是一下子不要学很多。——洛克
41、实际上,我们想要的不是针对犯 罪的法 律,而 是针对 疯狂的 法律。 ——马 克·吐温 42、法律的力量应当跟随着公民,就 像影子 跟随着 身体一 样。— —贝卡 利亚 43、法律和制度必须跟上人类思想进 步。— —杰弗 逊 44、人类受制于法律,法律受制于情 理。— —托·富 勒
ቤተ መጻሕፍቲ ባይዱ
45、法律的制定是为了保证每一个人 自由发 挥自己 的才能 ,而不 是为了 束缚他 的才能 。—— 罗伯斯 庇尔
31、只有永远躺在泥坑里的人,才不会再掉进坑里。——黑格尔 32、希望的灯一旦熄灭,生活刹那间变成了一片黑暗。——普列姆昌德 33、希望是人生的乳母。——科策布 34、形成天才的决定因素应该是勤奋。——郭沫若 35、学到很多东西的诀窍,就是一下子不要学很多。——洛克
信息安全管理体系介绍PPT课件
系统资源
用户
非用户 级访问
外部资源
用户认
合法
证模块
用户
安 全 检 查 / 加 解 密
外部资源 访问控制
规则集
用户级服 务资源 内部 资源 访问 控制 非用户级 服务资源
系统资源 控制文件
用户资源 控制文件
信息安全技术
• 技术体系 – 信息安全防护 – 信息安全检测 – 信息安全响应 – 信息安全恢复 – 信息安全审计
应用层安全分析
• 网上浏览应用安全 • 电子邮件应用安全 • WWW应用的安全 • FTP应用的安全 • Telnet的安全性 • 网络管理协议(SNMP) • 应用层的身份识别
管理层安全分析
• 内部人员信息泄漏风险; • 机房没有任何限制,任何人都可以进出; • 内部工作人员因误操作而带来安全风险; • 内部员工在未经允许在内部网上做攻击测试; • 建立各种网络安全规范。
校园网服务器群
语音教室网段 教学网段5
数字图书馆网段
内部办公 网段1
内部办公N 财务网段
人事商务网段 多媒体教室网段 OA网段
领导网段
网管网段
教学网段4 教学网段3
教学网段2
采取的解决办法四
对于系统统一管理、信息分析、事件分析 响应
-----在网络中配置管理系统 -----在网络中配置信息审计系统 -----在网络中配置日志审计系统 -----在网络中补丁分发系统 -----在网络中配置安全管理中心
对于内部信息泄露、非法外联、内部攻击 类
-----在各网络中安装IDS系统 -----在系统中安装安全隐患扫描系统 -----在系统中安装事件分析响应系统 -----在主机中安装资源管理系统 -----在主机中安装防火墙系统 -----在重要主机中安装内容过滤系统 -----在重要主机中安装VPN系统
企业信息安全体系建设计划书PPT课件
手
手
段
段
2021/4/20
14
标杆如何做到网路安全的有序控制?
安全梳理服务 器区域
外
远
部
端 用
网 安全VPN
户
Internet
分支机构
安全VPN 分支机构防火墙
DMZ区
OA及 其他
内
ERP
文件共享
系统 E-mail
部
网
交换机
数据中心
流
量
镜
IDS
像
监控引擎
控制台
入侵检测 2021/4/20
WEB监控
安
全
弱点
2021/4/20
什么是信息安全
安全 信息
保密性
可用性
完整性
信息安全关注的“三性”
安全
确保信息能够被 授权的用户 在需要时访问
风险
安 全
保护信息及其处理步骤 不被未授权的修改
17
信息安全之路——4P
安全
策略与流程 (Policy & Process)
专业团队 People
2021/4/20
关键成功因素
2021/4/20
34
关键成功因素 信息安全方针、目标和活动反映业务目标
2021/4/20
35
关键成功因素
与组织文化一致的信 息安全方法
2021/4/20
36
关键成功因素 所有管理层可见的支持和承诺
2021/4/20
37
关键成功因素
对信息安全要求、风险评估和风险管理 有好的理解
2021/4/20
23
信息安全大厦的脊梁是什么?
公司安全大厦
信息安全保障体系与总体框架32页PPT
1、最灵繁的人也看不见自己的背脊。——非洲 2、最困难的事情就是认识自己。——希腊 3、有勇气承担命运这才是英雄好汉。——黑塞 4、与肝胆人共事,无字句处读书。——周恩来 5、阅读使人充实,会谈使人敏捷,写作使人精确。——培根Biblioteka 信息安全保障体系与总体框架
21、没有人陪你走一辈子,所以你要 适应孤 独,没 有人会 帮你一 辈子, 所以你 要奋斗 一生。 22、当眼泪流尽的时候,留下的应该 是坚强 。 23、要改变命运,首先改变自己。
24、勇气很有理由被当作人类德性之 首,因 为这种 德性保 证了所 有其余 的德性 。--温 斯顿. 丘吉尔 。 25、梯子的梯阶从来不是用来搁脚的 ,它只 是让人 们的脚 放上一 段时间 ,以便 让别一 只脚能 够再往 上登。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
10
有效的信息安全管理体系
物理和环境安全(MPE)
资产管理(MAM)
信息安全组织机构(MSO)
风险管理(MRM)
人员安全(MPS)
信息系统生命周期
规划组织 开发采购 实施交付 运行维护
废弃
信息安 全规划 管理 (MSP)
系统开 发管理 (MSD)
运行管理(MOP) 应急响应管理(MER) 业务持续性和灾难恢复管理(MBD)
▪ 管理者为了达到特定目的而对管理对象进行的计划 、组织、指挥、协调和控制的一系列活动。
❖ 信息安全管理
▪ 组织中为了完成信息安全目标,遵循安全策略,按 照规定的程序,运用恰当的方法,而进行的规划、 组织、指导、协调和控制等活动
规则
项目领导组 项目办公室
项目经理
项目专家组 变更控制委员会
实施小组
协调小组
▪ Facebook:1亿用户数据 ▪ CSDN、天涯、人人、多玩用户数据泄
漏
6
新技术、新应用对信息安全的挑战
❖ 三网融合 ❖ 工控安全 ❖ 云计算 ❖ 物联网 ❖ ……
7
信息安全保障定义
信息系统安全保障是在信息系统的整个生命 周期中,通过对信息系统的风险分析,制定并执 行相应的安全保障策略,从技术、管理、工程和 人员等方面提出安全保障要求,确保信息系统的 保密性、完整性和可用性,降低安全风险到可接 受的程度,从而保障系统实现组织机构的使命。
--GB/T 20274
8
信息系统安全保障模型-保障评估框架
废 弃
运 行 维 护
实 施 交
开付 发 采 购
计 划 组 织
生命周期
技术
保
工程
障
要
素
管理
安全特征
可 用 完性 保整 密性 性
人员
国家标准:《GB/T 20274.1-2006 信息安全技术 信息系统 安全保障评估框架 第一部分:简介和一般模型》
Plan计划
建立ISMS环 境&风险评估
相关方
Do 设计和实施 实施 ISMS
开发、 维护&
改进循 环
相关方
改进ISMS Act 改进
信息安全需 求&期待
监控&审核 ISMS Check检查
13
管理的信 息安全
科学的信息安全工程过程
发掘需
DISCOVER
求 NEEDS
定DE义FIN系E 统要求 SYSTEM
❖ 信息安全对抗归根结底是人与人的对抗,保障信息安全不仅需要专业 信息技术人员,还需要信息系统普通使用者提高安全意识,加强个人 防范
信息安全保障专家
信息安全专业人员
(信息安全相关的岗位和职责)
计划 组织
开发 采购
实施 交付
运行 废 维护 弃
信息安全从业人员 (信息系统相关的岗位和职责)
安全基础和安全文化
注册信息安全专业人员 (CISP)
培 训
注册信息安全员 (CISM)
所有员工 安全意识
意 识
15
讲座内容
❖ 信息安全形势及安全保障概念 ❖ 信息安全管理体系 ❖ 等级保护标准 ❖ 安全工程模型
16
管理与信息安全管理
❖ 管理
▪ 指挥和控制组织的协调的活动。(-- ISO9000:2005 质量管
理体系 基础和术语)
3
网络安全上升的国家安全层面
❖ 网络空间安全概念得到体现
▪ 《网络空间安全国家战略》2003/2011
❖ 网络战争初现雏形
▪ 美国成立网络站司令部 2007 ▪ 网络攻击进入实战阶段
• 震网病毒 • 棱镜项目
4
各国政府高度重视关键信息基础设施的防护
❖ 美国
▪ 信息基础设施是美国经济繁荣、 军队强大,以及政府高效的根基
“坚持管理与技术并重”是我国加强信息安全 保障工作的主要原则
18
信息安全管理的基本概念
❖ 信息安全管理是基于风险的管理
▪ 信息安全管理体系建立需要安全需求 ▪ 安全需求来源于风险评估 ▪ 风险处置的的最佳集合就是信息安全管理体系中的措
REQUIREMENTS
定义系 统体系 DESIGN
SYSTEM
结构 ARCHITECTURE
用户/用户代表
D开EV发ELO详P 细设计 DETAILED
DESIGN
评估有效性 IM实PLE现ME系NT
统 SYSTEM
计划组 织
开发采 购
实施交 付
运行维 护
废弃
将安全措施融入信息系统生命周期
14
高素质的人员队伍
国税总局
测评中心
福建地税
国税总局
福建地税
组织
人员
17
拥有者
பைடு நூலகம்
变化?
经营 输入
关键活动
资源
标准
·信息输入
·立法
记录 ·摘要
测量 生产
输出
过程
信息安全管理的作用
❖ 信息安全的成败取决于两个因素:技术和管理。 ❖ 安全技术是信息安全的构筑材料,安全管理是真正的
粘合剂和催化剂 ❖ 信息安全是个管理过程,而不是技术过程
信息安全保障与体系建设
讲座内容
❖ 信息安全形势及安全保障概念 ❖ 信息安全管理体系 ❖ 等级保护标准 ❖ 安全工程模型
2
信息安全进入全面保障阶段
C通O信MSEC (电报\电话)
通信安全
COMPUSEC 计算机安全 计算机
信息系统安全
INFOSEC
信息安全保障
网络空间安全/信息安全保障
网络
IA
网络化C社S会/IA
9
完善的信息安全技术体系
业务处室
行政部病门毒防护 漏洞扫描
财务补门丁管理
人事部
更改缺省DM的Z 系统口?令E-Mail
? File Transfer ? HTTP
中继
路由
关闭安全维护
“I后nt门er”net
入侵检测 实时监控
Intranet
访问控制
数据文件加密
Modem 信息网络
审计系统
内部/个体 内部/组织 外部/个体 外部/组织 安全隐患
信息安全策略(MSP)
符合性管理(MCM) 11
信息安全保障管理体系建设
国家/业务/机构 策略,规范,
标准
使命要求
组织体系建设 策略体系
风业应意
险务急识
管持响培
理续应训
策略
性管和
管理教
标准
理
育
流程,指导方针&实践
系统测评/风险评估 生命周期安全管理
12
对手,动机 和攻击
管理体系建设
Plan计划(建立ISMS环境) 根据组织机构的整体策略和目标,建立 同策略控通过、制建实过程目风立施策执的险C纠和略Dh行、和正操oe、c做,目改和作k目检(A并结标进预策的c查设将果、信t防略行和(计结。过息的行(动实监&果程安执动过(践实控汇全和行以程改经施&报相流进和验进审)给关程一流)测核决的以步程量)策安交改)和人全付进评。过估程
▪ 18项基础设施(7)政府设施)
❖ 欧盟
▪ 明确将关键信息基础设施安全保 障作为欧洲网络防御第一要务
▪ 强调网络监测、恢复和应急能力
5
安全形势严峻
❖ 政治影响
▪ 棱镜门事件
❖ 商业影响
▪ 赛门铁克、Vmware产品源代码被盗 ▪ 全球支付、Zappos、linkedIn、雅虎
用户数据被窃取
❖ 个人隐私