第9讲信息系统安全运维
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
注; 以固定的时间间隔评审分发列表和已授权接收者列表。
信息处理程序的实施对象
文件
计算系统 网络
多媒体
移动计算 移动通信 通用话音通信
邮件 话音邮件
邮政服务/设 施
传真机的使用
空白支票
发票
信息资产管理
▪ 什么是信息资产 ▪ 对资产负责 ▪ 资产适当保护 ▪ 软件资产许可 ▪ 介质管理
软件资产许可
▪ 什么是信息资产 ▪ 对资产负责 ▪ 资产适当保护 ▪ 软件资产许可 ▪ 介质管理
对资产负责
▪ 要实现和保持对组织资产的适当保护,需对于所有资产 要指定责任人,并且要赋予保持相应控制措施的职责。
对资产负责主要从以下两个方面考虑: ➢ 编制资产清单 ➢ 资产责任人
编制资产清单
▪ 编制资产清单具体措施如下:
应考虑可移动介质的登记,以减少数据丢失的机会; 只应在有业务要求时,才使用可移动介质。
介质的处置
介质处置
介质处置重要性 介质数据清除方式 与介质处置有关的信息泄漏威胁 介质处置控制
介质处置重要性
公司常犯的一个错误,是将旧计算机及其硬盘、其 他即将被替换的磁性存储介质、陈旧的设备,以及 公司花费大量时间和金钱保护的数据,全部当做垃 圾处理掉。 上述行为都可能导致介质信息泄露的风险!
信息分类
▪ 信息应按照它对组织的价值、法律要求、敏感性和关键 性予以分类。
►信息分类注意要点
信息的保存 期限
信息的分类等 级要合理
谁对信息的分 类负责
信息的标记和处理
▪ 分类信息的标记和安全处理是信息共享的一个 关键要求,应按照组织所采纳的分类机制建立 和实施一组合适的信息标记和处理程序。
信息标记与处理实施指南: 信息标记的程序需要涵盖物理和电子格式的信息资产。 对每种分类级别,要定义包括安全处理、储存、传输、 删除、销毁的处理程序。 涉及信息共享的与其他组织的协议应包括识别信息分类 和解释其他组织分类标记的程序。
可移动介质处置措施
▪ 可移动介质的管理指南:
对从组织取走的任何可重用的介质中的内容,如果 不再需要,应使其不可重用;
从组织取走的所有介质应要求授权,所有这种移动 的记录应加以保持,以保持审核踪迹;
要将所有介质存储在符合制造商说明的安全、保密 的环境中;
应将信息备份,以避免由于介质老化而导致信息丢 失;
因此,“清洗”是介质生命周期的最后一个阶段。
介质数据清除方式
▪ 常用的介质数据清除方式有:
归零:是用某种方式覆写介质,确保它以前保存的 数据几乎不可能被恢复。 消磁:破坏磁带或磁盘上保存有信息的磁条。 破坏:打碎、粉碎、烧毁等。
与介质处置有关的信息泄露威胁
数据剩磁:是那些保存后以某种方式清除的信息的 剩余部分的物理表示法。
据统计,近年来,在国家有关部门发现和查处的泄密 案件中,有多起是由于对移动存储介质使用管理不善 造成的。利用移动存储介质存在的漏洞,也成为境内 外间谍组织窃取涉及国家秘密数据的重要手段之一。
可移动介质泄密隐患分析
▪ 移动存储介质使用管理存在的安全隐患:
1.管理制度不健全,造成失泄密。 2.交叉使用,造成失泄密。 3.数据清除不彻底,造成失泄密。 4.保管不善,造成失泄密。
▪ 制定与分类一致的信息处理程序:
按照所显示的分类级别,处置和标记所有介质; 确定防止未授权人员访问的限制; 维护数据的授权接收者的正式记录; 确保输入数据完整,正确完成了处理并应用了输出验证; 按照与其敏感性一致的级别,保护等待输出的假脱机数
据; 根据制造商的规范存储介质; 使分发的数据最少; 清晰地标记数据的所有拷贝,以引起已授权接收者的关
LOGO
第9讲 信息系统安全运维
安全运维
北京邮电大学 计算机学院 副教授 郭燕慧
本 ▪ 信息资产管理 讲 ▪ 信息服务管理 提 ▪ 信息系统监控 纲 ▪ 信息系统审计
信息资产管理
▪ 什么是信息资产 ▪ 对资产负责 ▪ 资产适当保护 ▪ 软件资产许可 ▪ 介质管理
什么是信息资产
➢ 信息可以理解为消息、情报、 数据或知识,它可以以多种形 式存在。
组织应列出资产清单,将每项资产的名称、所处位置、 价值、资产负责人等相关信息记录在资产清单上。
对每一项信息资产,组织的管理者应指定专人负责其 使用和保护,防止资产被盗、丢失与滥用。
根据资产的相对价值大小来确定关键信息资产,并对 其进行风险评估以确定适当的控制措施。
定期对信息资产进行清查盘点,确保资产账物相符和 完好不损。
ISO17799中,对信息的定义更确切、具体: ——信息是一种资产,像其他重要的业务资产 一样,对组织具有价值,因此需要妥善保护。
存在形式:信息设施中的存储与处理、打印、 手写、胶片上或会话中。
数据与文档 人员
书面文件 企业形象与声誉
软件资产 物理资产
服务
ISO17799列出了常见信息资产
信息资产管理
▪ 应使用合法软件,严厉打击使用盗版软件行为。 ▪ 公司应有检测和处理非授权软件措施,例如:
定期检查环境中所安装的软件。 实施技术措施,防止非授权人员安装非授权软件。 对有未授权行为的人员进行教育,提升他们的信
息安全意识。
信息资产管理
▪ 什么是信息资产 ▪ 对资产负责 ▪ 资产适当保护 ▪ 软件资产许可 ▪ 介质管理
介Biblioteka Baidu管理
▪ 介质应受到控制和物理保护——应建立适当的 操作程序,使计算机介质(如磁带、磁盘)免 遭未授权泄露、修改、删除和破坏而导致业务 活动的中断。
可移动介质的管理
可移动介 质的管理
可移动介质带来的威胁 可移动介质泄密隐患分析 可移动介质处置措施
可移动介质带来的威胁
案例:
为了照顾生病的女友,322所研究人员谷雨生违 反保密规定,将资料使用U盘拷贝回家,继续工 作。预谋已久的间谍趁谷雨生买早点的时间,打 开他的电脑,将已被删除掉的涉密数据进行了恢 复,并用U盘完成了拷贝窃取……
资产责任人
▪ 与信息处理设施有关的所有信息和资产应由组 织的指定部门或人员承担责任。
资产责任人应负责: 确保与信息处理设施相关的信息和资产进行了适当的分 类; 确定并周期性评审访问限制和分类,要考虑到可应用的 访问控制策略。
信息资产管理
▪ 什么是信息资产 ▪ 对资产负责 ▪ 资产适当保护 ▪ 软件资产许可 ▪ 介质管理
信息处理程序的实施对象
文件
计算系统 网络
多媒体
移动计算 移动通信 通用话音通信
邮件 话音邮件
邮政服务/设 施
传真机的使用
空白支票
发票
信息资产管理
▪ 什么是信息资产 ▪ 对资产负责 ▪ 资产适当保护 ▪ 软件资产许可 ▪ 介质管理
软件资产许可
▪ 什么是信息资产 ▪ 对资产负责 ▪ 资产适当保护 ▪ 软件资产许可 ▪ 介质管理
对资产负责
▪ 要实现和保持对组织资产的适当保护,需对于所有资产 要指定责任人,并且要赋予保持相应控制措施的职责。
对资产负责主要从以下两个方面考虑: ➢ 编制资产清单 ➢ 资产责任人
编制资产清单
▪ 编制资产清单具体措施如下:
应考虑可移动介质的登记,以减少数据丢失的机会; 只应在有业务要求时,才使用可移动介质。
介质的处置
介质处置
介质处置重要性 介质数据清除方式 与介质处置有关的信息泄漏威胁 介质处置控制
介质处置重要性
公司常犯的一个错误,是将旧计算机及其硬盘、其 他即将被替换的磁性存储介质、陈旧的设备,以及 公司花费大量时间和金钱保护的数据,全部当做垃 圾处理掉。 上述行为都可能导致介质信息泄露的风险!
信息分类
▪ 信息应按照它对组织的价值、法律要求、敏感性和关键 性予以分类。
►信息分类注意要点
信息的保存 期限
信息的分类等 级要合理
谁对信息的分 类负责
信息的标记和处理
▪ 分类信息的标记和安全处理是信息共享的一个 关键要求,应按照组织所采纳的分类机制建立 和实施一组合适的信息标记和处理程序。
信息标记与处理实施指南: 信息标记的程序需要涵盖物理和电子格式的信息资产。 对每种分类级别,要定义包括安全处理、储存、传输、 删除、销毁的处理程序。 涉及信息共享的与其他组织的协议应包括识别信息分类 和解释其他组织分类标记的程序。
可移动介质处置措施
▪ 可移动介质的管理指南:
对从组织取走的任何可重用的介质中的内容,如果 不再需要,应使其不可重用;
从组织取走的所有介质应要求授权,所有这种移动 的记录应加以保持,以保持审核踪迹;
要将所有介质存储在符合制造商说明的安全、保密 的环境中;
应将信息备份,以避免由于介质老化而导致信息丢 失;
因此,“清洗”是介质生命周期的最后一个阶段。
介质数据清除方式
▪ 常用的介质数据清除方式有:
归零:是用某种方式覆写介质,确保它以前保存的 数据几乎不可能被恢复。 消磁:破坏磁带或磁盘上保存有信息的磁条。 破坏:打碎、粉碎、烧毁等。
与介质处置有关的信息泄露威胁
数据剩磁:是那些保存后以某种方式清除的信息的 剩余部分的物理表示法。
据统计,近年来,在国家有关部门发现和查处的泄密 案件中,有多起是由于对移动存储介质使用管理不善 造成的。利用移动存储介质存在的漏洞,也成为境内 外间谍组织窃取涉及国家秘密数据的重要手段之一。
可移动介质泄密隐患分析
▪ 移动存储介质使用管理存在的安全隐患:
1.管理制度不健全,造成失泄密。 2.交叉使用,造成失泄密。 3.数据清除不彻底,造成失泄密。 4.保管不善,造成失泄密。
▪ 制定与分类一致的信息处理程序:
按照所显示的分类级别,处置和标记所有介质; 确定防止未授权人员访问的限制; 维护数据的授权接收者的正式记录; 确保输入数据完整,正确完成了处理并应用了输出验证; 按照与其敏感性一致的级别,保护等待输出的假脱机数
据; 根据制造商的规范存储介质; 使分发的数据最少; 清晰地标记数据的所有拷贝,以引起已授权接收者的关
LOGO
第9讲 信息系统安全运维
安全运维
北京邮电大学 计算机学院 副教授 郭燕慧
本 ▪ 信息资产管理 讲 ▪ 信息服务管理 提 ▪ 信息系统监控 纲 ▪ 信息系统审计
信息资产管理
▪ 什么是信息资产 ▪ 对资产负责 ▪ 资产适当保护 ▪ 软件资产许可 ▪ 介质管理
什么是信息资产
➢ 信息可以理解为消息、情报、 数据或知识,它可以以多种形 式存在。
组织应列出资产清单,将每项资产的名称、所处位置、 价值、资产负责人等相关信息记录在资产清单上。
对每一项信息资产,组织的管理者应指定专人负责其 使用和保护,防止资产被盗、丢失与滥用。
根据资产的相对价值大小来确定关键信息资产,并对 其进行风险评估以确定适当的控制措施。
定期对信息资产进行清查盘点,确保资产账物相符和 完好不损。
ISO17799中,对信息的定义更确切、具体: ——信息是一种资产,像其他重要的业务资产 一样,对组织具有价值,因此需要妥善保护。
存在形式:信息设施中的存储与处理、打印、 手写、胶片上或会话中。
数据与文档 人员
书面文件 企业形象与声誉
软件资产 物理资产
服务
ISO17799列出了常见信息资产
信息资产管理
▪ 应使用合法软件,严厉打击使用盗版软件行为。 ▪ 公司应有检测和处理非授权软件措施,例如:
定期检查环境中所安装的软件。 实施技术措施,防止非授权人员安装非授权软件。 对有未授权行为的人员进行教育,提升他们的信
息安全意识。
信息资产管理
▪ 什么是信息资产 ▪ 对资产负责 ▪ 资产适当保护 ▪ 软件资产许可 ▪ 介质管理
介Biblioteka Baidu管理
▪ 介质应受到控制和物理保护——应建立适当的 操作程序,使计算机介质(如磁带、磁盘)免 遭未授权泄露、修改、删除和破坏而导致业务 活动的中断。
可移动介质的管理
可移动介 质的管理
可移动介质带来的威胁 可移动介质泄密隐患分析 可移动介质处置措施
可移动介质带来的威胁
案例:
为了照顾生病的女友,322所研究人员谷雨生违 反保密规定,将资料使用U盘拷贝回家,继续工 作。预谋已久的间谍趁谷雨生买早点的时间,打 开他的电脑,将已被删除掉的涉密数据进行了恢 复,并用U盘完成了拷贝窃取……
资产责任人
▪ 与信息处理设施有关的所有信息和资产应由组 织的指定部门或人员承担责任。
资产责任人应负责: 确保与信息处理设施相关的信息和资产进行了适当的分 类; 确定并周期性评审访问限制和分类,要考虑到可应用的 访问控制策略。
信息资产管理
▪ 什么是信息资产 ▪ 对资产负责 ▪ 资产适当保护 ▪ 软件资产许可 ▪ 介质管理