ch5信息安全策略.pptVIP

第五章 信息安全策略 本章学习目标 掌握信息安全策略的基本概念和制定原则； 掌握信息安全策略的规划和实施方法； 了解环境安全策略、系统安全策略、病毒防护策略及安全教育策略； 5.1信息安全策略概述 信息安全策略是一组规则，它定义了一个组织要实现的安全目标和实现这些安全目标的途径 信息安全策略包括两个部分：问题策略（Issue Policy）和功能策略（Functional Policy） 问题策略描述了一个组织所关心的安全领域和对这些领域内安全问题的基本态度。 功能策略描述如何解决所关心的问题，包括制定具体的硬件和软件配置规格说明、使用策略以及雇员行为策略。 信息安全策略的特点 信息安全策略必须有清晰和完全的文档描述，必须有相应的措施保证信息安全策略得到强制执行 信息安全策略是原则性和不涉及具体细节的 信息安全策略是可以被审核的，即能够对组织内各个部门信息安全策略的遵守程度给出评价 信息安全策略的描述语言应该是简洁的、非技术性的和具有指导性的 例：“任何类别为机密的信息，无论存储在计算机中，还是通过公共网络传输时，必须使用本公司信息安全部门指定的加密硬件或者加密软件予以保护” 信息安全策略的制定原则 先进的网络安全技术是网络安全的根本保证 严格的安全管理是确保安全策略落实的基础 严格的法律、法规是网络安全保障的坚强后盾 信息安全策略的制定过程 首先应当确定策略的总体目标，必须保证已经把所有可能需要策略的地方都考虑到，可以设计硬件、软件、访问、用户、廉洁、网络、通信以及实施等各个方面 其次需要确定策略的结构，定义每个策略负责的区域，明确要保护什么和需要付出多大的代价去保护 参考相关的标准文本和类似组织的安全管理经验 征求意见，并对安全策略做出调整 信息安全策略的框架 加密策略：描述组织对数据加密的安全要求 使用策略：描述设备使用、计算机服务使用和雇员安全规定、以保护组织的信息和资源安全 线路连接策略：描述诸如传真发送和接收、模拟线路与计算机连接、拨号连接等安全要求 反病毒策略：给出有效减少计算机病毒对组织的威胁的一些指导方针，明确在哪些环节必须进行病毒检测 应用服务提供策略：定义应用服务提供者必须遵守的安全方针 信息安全策略的框架 审计策略：描述信息审计要求，包括审计小组的组成、权限、事故调查、安全风险估计、信息安全策略符合程度评价、对用户和系统活动进行监控等活动的要求 电子邮件使用策略：描述内部和外部电子邮件接收、传递的安全要求 数据库策略：描述存储、检索、更新等管理数据库数据的安全要求 信息安全策略的框架 第三方的连接策略：定义第三方接入的安全要求 敏感信息策略：对于组织的机密信息进行分级，按照它们的敏感度描述安全要求 内部策略：描述对组织内部的各种活动安全要求，使组织的产品服务和利益受到充分保护 Internet接入策略：定义在组织防火墙之外的设备和操作的安全要求 口令防护策略：定义创建、保护和改变口令的要求 信息安全策略的框架 远程访问策略：定义从外部主机或者网络连接到组织的网络进行外部访问的安全要求 路由器安全策略：定义组织内部路由器和交换机的最低安全配置 服务器安全策略：定义组织内部服务器的最低安全配置 VPN安全策略：定义通过VPN接入的安全要求 无线通讯策略：定义无线系统接入的安全要求 5.2信息安全策略规划与实施 一、确定安全策略保护的对象 1 网络结构 2 硬件和软件清单 3 数据清单 4 外部服务与数据 5 隐私数据与隐私条例 6 人员 5.2信息安全策略规划与实施 二、确定安全策略使用的主要技术 1防火墙技术 2入侵检测技术 3备份技术 4加密技术 5.2信息安全策略规划与实施 三、安全策略的实施 1启动安全策略 2安全架构指导 3事件响应过程 4可接受的应用策略 5 系统管理过程 6策略的补充与更新 5.3环境安全策略 1空调系统 温度（20±2）℃ 湿度（50±5）% 吹尘、吸尘 2防静电措施 接地 防静电地板 防静电金属手环 5.3环境安全策略 3防火机制 防火隔离带 火灾报警系统 灭火设施 4电源 UPS 应急电源 接地系统 5防雷系统 6门禁系统 5.4系统安全策略 WWW服务策略 WWW服务的安全漏洞 WEB欺骗 HTTP通信安全 HTTPS 电子邮件安全策略 电子邮件病毒 电子邮件内容保密（电子邮件安全网关、PGP） 5.4系统安全策略 数据库安全策略 数据库的访问控制 数据库加密 数据库审计 FTP安全策略 FTP服务漏洞 FTP访问控制 FTP服务性能 5.5病毒防护策略 病毒检测 控制病毒传播 清楚病毒 数据恢复 5.6安全教育策略 安全教育的对象 主管信息安全工作的各级管理人员 其培训重点是了解掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部门