公需课-信息化建设与信息安全(四).docVIP

第7章 信息安全管理 7.1 信息安全的管理 7.2 信息安全的风险评估 7.3 信息安全的容灾备份 7.4 信息系统的法律法规 7.1 信息安全的管理 7.1.1 信息安全管理的概念及内涵 概念 -?信息安全管理是组织为实现信息安全目标而进行的管理活动。 -?信息安全管理是组织完整的管理体系中的一个重要组成部分，也是为保护信息资源安全，指导和控制组织的关于信息安全风险的相互协调的活动。 内涵 ①管理策略：制度 ②管理组织建设：人员 ③管理的符合性：法律法规 ④安全事故处理：风险管理和应急处置 ⑤业务连续性：信息系统容灾 当前讲解 7.1.2 信息安全的管理策略 信息系统的安全策略是为了保障在规定级别下的信息系统安全而制定和必须遵守的一系列准则和规定。 安全策略考虑到入侵者可能发起的任何攻击，以及为使信息系统免遭入侵和破坏而必然采取的措施。 信息安全管理的一般性策略 ①选择先进的网络安全技术； ②进行严格的安全管理； ③遵循完整一致性：一套安全策略系统代表了系统安全的总体目标，贯穿于整个安全管理的始终。它应该包括组织安全、人员安全、资产安全、物理与环境安全等内容。 ④坚持动态性：由于入侵者对网络的攻击在时间和地域上具有不确定性，信息安全是动态的，具有时间性和空间性，所以信息安全策略也应该是动态的，并且要随着技术的发展和组织内外环节的变化而变化。 当前讲解 ⑤实行最小化授权：任何实体只有该主体需要完成其被指定任务所必须的特权，再没有更多的特权，对每种信息资源进行使用权限分割，确定每个授权用户的职责范围，阻止越权利用资源行为和阻止越权操作行为。 ⑥实施全面防御：建立起完备的防御体系，通过多层次机制相互提供必要的冗余和备份，通过使用不同类型的系统、不同等级的系统获得多样化的防御。 ⑦建立控制点：在网络对外连接通道上建立控制点，对网络进行监控。实际应用当中在网络系统上建立防火墙，阻止从公共网络对本站点侵袭。 ⑧监测薄弱环节：确认系统各单元的安全隐患，并改善薄弱环节，尽可能地消除隐患，同时也要监测那些无法消除的缺陷，掌握其安全态势，及时报告受到的攻击。 ⑨失效保护：一旦系统运行错误，发生故障时，必须拒绝入侵者的访问，更不能允许入侵者跨入内部网络。 当前讲解 7.1.3 信息安全管理的根本原则与七个方面 原则 为了实现安全的管理应该具备以下“四有”： ①有专门的安全管理机构； ②有专门的安全管理人员； ③有逐步完善的安全管理制度； ④有逐步提高的安全技术设施。 信息安全管理的七个方面 ①人事管理； ②设备管理； ③场地管理； ④存储媒体管理； ⑤软件管理； ⑥网络管理； ⑦密码和密钥管理。 当前讲解 7.2 信息安全的风险评估 当前讲解 7.2.1 信息安全风险管理的概念 风险管理理论本身是为制定有效的经济发展战略和市场竞争策略而创造的一种理论、方法和措施。 风险管理理论应用于信息安全领域始于20世纪60年代。把风险管理理论应用到信息安全的管理中，就发展成为了信息安全的风险管理理论与方法。 20世纪80年代末至90年代中期是信息安全风险管理实践和理论走向初步成熟的阶段。20世纪90年代末，信息安全风险管理进入到全球化阶段。 信息安全风险管理走向成熟 -?20世纪80年代末至90年代中期是信息安全风险管理实践和理论走向初步成熟的阶段。 -?1997年美国国防部发布的《信息技术安全认证和批准程序》是美国涉密信息系统的安全评估和风险管理的重要标准和依据。 信息安全风险管理走向国际化 20世纪90年代末到21世纪初，信息安全风险管理进入到全球化阶段。这一时期以美国国家标准技术研究所发布的风险管理指南性文件为代表。 ①SP800—26，信息技术系统安全自评估指南（2001年） ②SP800—30，信息技术系统风险管理指南（2002年） 我国的信息安全风险管理 -?2002年我国在863计划中首次规划了《系统安全风险分析和评估方法研究》课题，开始了我国的信息安全风险管理研究。 -?2007年我国正式发布了GB/T 20984-2007《信息安全技术 信息安全风险评估规范》。 -?2009年我国还发布了GB/T 24353-2009《风险管理原则与实施指南》。 当前讲解 7.2.2 信息系统安全风险评估的概念、目的 概念 -?信息系统安全风险评估是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。 -?信息系统安全风险评估是确认信息系统安全风险及其大小的过程，即利用定性或定量的方法，借助于风险评估工具，确定信息资产的风险等级和优先风险控制。 目的 -?信息系统安全风险评估目的是评估信息资源面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事