第10章 信息系统安全管理.ppt
《第10章 信息系统安全管理.ppt》由会员分享,可在线阅读,更多相关《第10章 信息系统安全管理.ppt(43页珍藏版)》请在冰豆网上搜索。
,第10章信息系统安全管理,概述,本章主要介绍信息安全管理相关知识,包括信息安全管理的体系、构建信息安全管理体系的步骤、单位日常网络安全管理制度、网络安全相关法律法规等。
10.1信息安全管理概述,信息安全主要包括信息的保密性、完整性、可用性、可控性和可审查性等要素。
这些要素也是信息安全的目的,主要归结为5点:
1.进不来:
使用访问控制机制,阻止非授权用户进入网络,保证网络可用性。
2.拿不走:
使用授权机制,实现用户权限控制,同时结合内容审计机制,实现网络资源与信息的可控性。
3.看不懂:
使用加密机制,确保信息不暴露给未授权的实体,实现信息的保密性。
4.改不了:
使用数据完整性鉴别机制,保证只有得到允许的人才能修改数据,确保信息完整性。
5.走不脱:
使用审计、监控、防抵赖等安全机制,使得攻击者、破坏者、抵赖者留有痕迹,实现信息的可审查性。
10.1信息安全管理概述,信息安全主要包括信息的保密性、完整性、可用性、可控性和可审查性等要素。
这些要素也是信息安全的目的,主要归结为5点:
10.1信息安全管理概述,信息安全主要包括信息的保密性、完整性、可用性、可控性和可审查性等要素。
这些要素也是信息安全的目的,主要归结为5点:
10.1信息安全管理概述,10.1.1信息安全管理模式在信息安全管理方面,BS7799标准提供了指导性建议,即基于PDCA(Plan、Do、Check和Act,即戴明环)的持续改进的管理模式,如图10.3所示。
10.1信息安全管理概述,10.1.1信息安全管理模式概括起来,PDCA模型具有以下特点,同时也是信息安全管理工作的特点:
PDCA顺序进行,依靠组织的力量来推动,像车轮一样向前进,周而复始,不断循环,持续改进;组织中的每个部门,甚至每个人,在履行相关职责时,都是基于PDCA这个过程的,如此一来,对管理问题的解决就成了大环套小环并层层递进的模式;每经过一次PDCA循环,都要进行总结,巩固成绩,改进不足,同时提出新的目标,以便进入下一次更高级的循环。
10.1信息安全管理概述,10.1.2信息安全管理体系信息安全管理是全世界都非常重视的事情,许多国家和国际组织都出台了相应的信息安全管理标准体系(InformationSecurityManagementSystem,简称ISMS)。
信息安全管理体系的概念最初来源于英国标准学会制定的BS7799标准,并伴随着其作为国际标准的发布和普及而被广泛地接受。
10.1信息安全管理概述,ISO/IEC27000族是国际标准化组织专门为ISMS预留下来的一系列相关标准的总称,其包含的成员标准有:
1.ISO/IEC27000ISMS概述和术语2.ISO/IEC27001信息安全管理体系要求3.ISO/IEC27002信息安全管理体系实用规则4.ISO/IEC27003信息安全管理体系实施指南5.ISO/IEC27004信息安全管理度量,10.1信息安全管理概述,6.ISO/IEC27005信息安全风险管理7.ISO/IEC27006ISMS认证机构的认可要求8.ISO/IEC27007信息安全管理体系审核指南9.ISO/IEC27008ISMS控制措施审核员指南10.ISO/IEC27010部门间通信的信息安全管理11.ISO/IEC27011电信业信息安全管理指南,10.1信息安全管理概述,10.1.3构建信息安全管理体系步骤1.建立一个完整的信息安全管理体系步骤建立一个完整的信息安全管理体系可以采用如下步骤:
(1)定义范围
(2)定义方针(3)确定风险评估的方法(4)识别风险(5)评估风险(6)识别并评估风险处理的措施(7)为处理风险选择控制目标和控制措施(8)准备适用性声明,10.1信息安全管理概述,2.构建信息安全管理体系的关键因素构建一个成功的信息安全管理体系的关键成功因素在于:
(1)最高领导层对管理体系的承诺;
(2)体系与整个组织文化的一致性,与业务营运目标的一致性;(3)理清职责权限;(4)有效的宣传、培训,提升意识,不仅要针对内部员工,也要针对合作伙伴、供应商、外包服务商等。
(5)盘清信息资产、明确信息安全的要求,明晰风险评估和处理的方法和流程;(6)均衡的测量监控体系,持续监控各种变化,从监控结果中寻求持续改进的机会。
10.1信息安全管理概述,3.HTP模型,10.2单位日常网络安全管理制度,10.2.1机房安全管理机房安全管理主要是为强机房的安全性,杜绝人为因素对机房造成影响,为通信设备提供安全的运行环境,保证机房内设备处于最佳运行状态。
主要包括如下内容:
1.路由器、交换机、集线器和服务器以及通信设备是网络的关键设备,必须放置在计算机机房内,不得自行配置或更换,更不能挪作它用。
2.计算机房要保持清洁、卫生,并由专人7*24负责管理和维护(包括温度、湿度、电力系统、网络设备等),无关人员未经管理人员批准严禁进入机房。
3.严禁易燃、易爆、易腐蚀、强磁物品及其它与机房工作无关的物品进入机房。
10.2单位日常网络安全管理制度,4.建立机房登记制度,对本地局域网络的运行,建立档案。
未发生故障或故障隐患时当班人员不可对光纤、网线及各种设备进行任何调试,对所发生的故障、处理过程和结果等做好详细登记。
5.网管人员应做好网络安全工作,服务器的各种帐号严格保密。
监控网络上的数据流,从中检测出攻击的行为并给予响应和处理。
6.做好操作系统的补丁修正工作。
7.网管人员统一管理计算机及其相关设备,完整保存计算机及其相关设备的驱动程序、保修卡及重要随机文件。
10.2单位日常网络安全管理制度,8.计算机及其相关设备的报废需经过管理部门或专职人员鉴定,确认不符合使用要求后方可申请报废。
9.制定数据管理制度。
对数据实施严格的安全与保密管理,防止系统数据的非法生成、变更、泄露、丢失及破坏。
当班人员应在数据库的系统认证、系统授权、系统完整性、补丁和修正程序方面实时修改。
10.笔记本电脑要通过笔记本电脑锁锁上,防止有人顺手拿走。
10.2单位日常网络安全管理制度,10.2.2网络层安全管理1.网络层安全管理员主要负责全公司网络(包含局域网、广域网)的系统安全性。
2.负责日常操作系统、网管系统、邮件系统的安全补丁、漏洞检测及修补、病毒防治等工作。
3网络层安全管理员应经常保持对最新技术的掌握,实时了解INTERNET的动向,做到预防为主。
4良好周密的日志记录以及细致的分析经常是预测攻击,定位攻击,以及遭受攻击后追查攻击者的有力武器。
10.2单位日常网络安全管理制度,5.在做好本职工作的同时,应协助机房管理人员进行机房管理,严格按照机房制度执行日常维护。
6.每月安全管理人员应向主管人员提交当月值班及事件记录,并对系统记录文件保存收档,以备查阅。
具体文件及方法见附件。
10.2单位日常网络安全管理制度,10.2.3系统运行维护安全管理1.中心机房和办公区域隔离分设。
未经负责人批准,不得在中心机房设备上编写、修改、更换各类软件系统及更改设备参数配置。
2.各类软件系统的维护、增删、配置的更改,各类硬件设备的添加、更换必需经负责人书面批准后方可进行;必须按规定进行详细登记和记录,对各类软件、现场资料、档案整理存档。
3.为确保数据的安全保密,对各业务单位、业务部门送交的数据及处理后的数据都必须按有关规定履行交接登记手续。
4.部门负责人应定期与不定期对制度的执行情况进行检查,督促各项制度的落实,并作为人员考核之依据。
10.2单位日常网络安全管理制度,10.2.4资产和设备安全管理1.网站管理中心所属范围内包括所有设备及办公物品归属网站中心管理。
2.严格执行上级管理部门有关设备管理的各项规章制度,对本中心管理的设备进行编号、登记、建立完善、准确的文档。
3.购进设备时,网站中心有关负责人必须与供货人或调入人共同启封,核对设备规格、型号、数目及软件和文字资料,并进行质量检验。
核对无误,验收合格后,方可签字并办理有关手续。
4.实行设备领用人责任制,谁领用,谁使用,谁保管。
5.对网站中心所属重要设备,要建立档案系统,保证技术资料完整。
10.2单位日常网络安全管理制度,6.非网站中心工作人员,不得擅自启动、关闭、动用、迁移各种网络设备。
7.从网站中心调出设备,必须经中心负责人认可批准后,方可调出。
8.每半年,对中心的计算机网络设备进行一次全面检查和维护。
9.每年末,网站中心对固定资产清查一次。
10.每年对机房设备保管和使用环境评估检查一次,看是否达标,并及时采取积极措施。
11.对于超过有效使用期的设备、淘汰设备或毁坏设备,按上次管理部门对固定资产设备报废规章制度办理,并履行有关手续。
12.网站设备使用和管理人员,应本着对国家财产负责的态度严格执行操作和管理程序。
10.2单位日常网络安全管理制度,10.2.5数据安全管理单位网站中心的数据安全主要由信息安全管理员负责,信息安全管理员的主要职责如下:
1.信息安全管理员负责本中心的数据安全保护管理工作,建立健全数据安全保护管理制度。
2.信息安全管理员负责落实数据安全保护技术措施,保障本网络的运行安全和信息安全。
3.负责防火墙、IDS、防病毒系统的策略制定。
4.负责本中心审计系统的运行管理,对运行情况进行审计。
5.负责本中心身份认证系统、权限管理和授权、单点登录系统的运行管理。
10.2单位日常网络安全管理制度,6.负责本中心的防火墙、入侵检测系统、防病毒系统的运行管理,并定期升级。
7.负责本中心相关日志的填写、收集、归档、管理。
8.对本中心所发布的数据内容按照等相关规定进行审核。
9.发现有违反安全管理规定的行为,应当保留有关原始记录,并及时向相关管理部门报告。
10.按照国家有关规定,负责删除本中心中含有违法内容的地址、目录或者关闭服务器。
10.2单位日常网络安全管理制度,10.2.6备份与恢复管理1.为了确保系统计算机系统的数据安全,使得在计算机系统失效或数据丢失时,能依靠备份尽快地恢复系统和数据,保护关键应用数据的安全,保证数据不丢失,特制定本制度。
2.拥有重要系统或重要数据的服务器应该及对数据进行备份,防止系统、数据的丢失;涉及数据备份和恢复的服务器要由专人负责数据备份工作,并认真填写备份日志。
10.2单位日常网络安全管理制度,3.网络服务器数据备份工作,由网站管理部负责,增量备份每日做,系统备份每周做一次。
系统管理员在每周最后一个工作日,将数据库、网页文件、各主要硬件设备配置文件等做一次异机备份,数据保存一个季度。
4.备份数据应该严格管理,妥善保存;备份数据资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。
5.数据的备份、恢复、转出、转入的权限都应严格控制。
严禁未经授权将数据备份出系统,转给无关的人员或单位;严禁未经授权进行数据恢复或转入操作。
6.一旦发生数据丢失或数据破坏等情况,要由系统管理员进行备份数据恢复,以免造成不必要的麻烦或更大的损失。
(1)全盘恢复一般应用在服务器发生意外灾难导致数据丢失、系统崩溃或是有计划的系统升级、系统重组等。
(2)个别文件数据恢复一般用于恢复受损的个别文件,或者在全盘恢复之后追加增量备份的恢复,以得到最新的备份。
7.各级信息技术管理部门必须定期检查保存备份数据能否正常使用,需刻录光盘的数据应经过检验确保数据备份的完整性和可用性后,方可刻录光盘。
10.2单位日常网络安全管理制度,10.2.7密码管理制度1.网络服务器密码口令的管理
(1)服务器和网络设备的管理账号密码,由网络管理员持有,实行定期轮换制度,最长有效期不超过90天。
(2)更换服务器与网络设备密码时必须执行密码备案制度,以防遗失密码,同时告知主管领导备案密码。
10.2单位日常网络安全管理制度,(3)用户级密码如:
网站、数据库系统、网站信息管理系统等用户帐号必须专人专号,不得互相泄露密码。
不同级别用户间不得交换帐号使用,特殊情况须报告网络管理员处理。
(4)公共帐号,如公共FTP等不能向中心以外人员泄
升级会员 