备和灾难恢复技术.ppt

安全管理概述 计算机及其网络系统的安全管理是信息系统安全的重要组成部分，它贯穿于网络系统设计和运行的各个阶段。 它既包括行政手段，也含有技术措施。 要实现较完善的安全管理，必须分析、评估安全需求，建立满足需求的计划，实施这些计划，并进行日常维护和管理。 对信息安全管理的设计及维护人员来说，要从信息风险的一般规律提出安全需求，建立具有自适应能力的信息安全模型，从而将风险减到最小。 综合的风险评估过程 初步的评估分析 详细的风险评估分析 选择合适的安全防护措施 保存评估结果 对系统边界进行界定 制定安全防范措施 风险评估总结 人员管理 加强法制建设，通过法律制裁形成一种威慑 通过伦理道德教育，提高整体素质 采取科学的管理措施，减少作案的机会，减少犯罪，以获得安全的环境： 安全授权 安全审查 调离交接 安全培训 机构和部门的安全管理 机构和部门为实现信息安全管理应具有： 专门的安全管理机构 专门的安全管理人员 逐步完善的安全管理制度 逐步提高的安全技术设施 信息安全管理涉及：人事管理；设备管理；场地管理；存储媒体管理；软件管理；网络管理；密码和密钥管理等。 信息安全管理标准 信息安全管理在20世纪90年代步入了标准化与系统化管理的时代。 BS7799：英国标准BS 7799是目前国际通用和遵循的信息安全领域中应用最普遍、最典型的信息安全管理标准。 第一部分：1995年公布的ISO/IEC 17799-1：2000，《信息技术——信息安全管理实施细则》，提供了一套综合的、由信息安全最佳惯例组成的实施规则 第二部分：1998年公布的BS 7799-2：1999，《信息安全管理体系规范》，规定了信息安全管理体系要求与信息安全控制要求 信息系统安全方案设计方法 信息系统基本结构及资源分析 安全风险分析 安全需求分析 系统安全体系 安全解决方案 信息系统基本结构及资源分析 网络结构 资源分析 硬件资源：所有硬件设备 软件资源：独立于硬件，可以单独购买或自行开发的应用程序、管理系统和工具等 数据资源：在信息系统的运行过程中，自动或人工生成，并随时间逐渐丰富的一类资源，是直接体现整个网络系统价值的要素 服务与应用：能提供的服务和支持的应用 安全风险分析 是设计信息系统安全解决方案的前提 风险分析 资源分析 脆弱性分析 威胁分析 必须获得的重要参数： 安全事件发生的概率 安全事件发生后的损失程度等 安全需求分析 是安全保护措施选择的必要前提 在进行网络安全方案设计时，要以风险分析为依据系统地考虑安全需求 用户的安全需求是最高层次的需求，它是用户以非专业术语和表达方式对系统安全提出的要求。 分析用户安全需求的方法： 按对信息的保护方式进行安全需求分析 按与风险的对抗方式进行安全需求分析 系统安全体系——安全技术体系 安全技术体系 通信平台安全 网络平台安全 系统平台安全 应用平台安全 物理安全及可靠性 安全技术管理 系统安全体系——安全组织体系 安全组织体系：在国家有关安全主管部门（如机要、保密、公安、安全、信息安全协调机构等）的指导下，遵循国家相关法律法规，制定相应的安全管理制度和内部的法规政策，并对内部人员进行安全教育和管理，指导、监督、考核安全制度的执行。 安全组织建立原则 安全组织结构 安全组织职责 应在主管部门的直接领导下，自上而下地构建层次清楚、职责明确的安全组织体系。 系统安全体系——安全管理体系 安全管理体系：根据国家、行业及部门有关的法律、法规和政策，在安全领导组织的领导下制定具体的安全管理制度，并进行培训。 法律管理 制度管理 培训管理 安全解决方案 物理安全和运行安全 网络规划与子网划分 网络隔离与访问控制 操作系统安全增强 应用系统安全 重点主机防护 连接与传输安全 安全综合管理与控制 学习动物精神 11、机智应变的猴子：工作的流程有时往往是一成不变的，新人的优势在于不了解既有的做法，而能创造出新的创意与点子。一味 地接受工作的交付， 只能学到工作方法 的皮毛，能思考应 变的人，才会学到 方法的精髓。 学习动物精神 12、善解人意的海豚：常常问自己：我是主管该怎么办才能有助于更好的处理事情的方法。在工作上善解人意， 会减轻主管、共 事者的负担，也 让你更具人缘。 安全管理与安全评估 大纲 业务连续性计划 安全管理 信息系统安全方案设计方法 业务连续性计划 数据备份技术 灾难恢复技术 安全应急响应 数据备份的定义 数据备份不仅仅是简单的文件复制，也不等于文件的永久性归档。 要求一种高速、大容量的存储介质将所有的文件（网络系统、应用软件和用户数据）进行全面的复制与管理。 个人数据备份 个人数据备份：对个人电脑硬盘中的数据进行备份 特点： 对单机数据进行备份，数据量不大 无长期保存需求，备份仅仅是为