信息安全讲义解说.ppt

信息安全风险评估实施指南 评估阶段 阅读文档 调查问卷 现场观察 应用系统观察：是否按角色授权、用户口令强度、变更管理要求、身份识别、是否加密等 机房环境观察：选址、防盗、防尘、防雷击等 被评估方工作观察：出入授权、安全机制展示 信息安全风险评估实施指南 评估阶段 资产识别 威胁识别 威胁概述 威胁作用形式 威胁来源 信息安全风险评估实施指南 信息安全风险评估实施指南 评估阶段 脆弱性识别 本地审计 主机系统 数据库系统 路由器审计 交换机审计 防火墙审计 渗透测试 人员访谈 信息安全风险评估实施指南 综合分析 资产赋值 脆弱性赋值 威胁赋值 已有措施分析 安全事件可能性赋值 安全事件影响分析 风险等级计算 信息安全风险评估实施指南 创建报告 概述 评估综述 评估详述 整改建议 附件 信息系统密码安全管理规范 人员职责 密码生成 长度 初始6位 应用12位 强度 包含密码、数字和符号，不使用典型的弱密码 重复 六个历史密码不重复 登录失败锁定 密码管理 固定周期密码更改 特殊密码更改 遗忘和泄露处理 身份令牌管理 计算机病毒与网络入侵应急响应规范 组织结构 信息管理部、各企事业单位信息管理部门、专家组 分级 一级 特别重大 二级 重大 三级 较大 四级 一般 应急响应 启动：事发单位先期处理、控制事件发展，然后上报，一级报信息化领导小组，二级报信息管理部，三、四级报本单位信息管理部门 响应流程 一级：2小时上报，涉及涉密按保密流程上报，信息化领导小组举行首次会议并委派信息系统安全负责人及专家组赴现场处置协调。专家组现场处置并及时汇报，至风险消除后记录，经信息管理部确认后上报，由信息化领导小组下达应急解除指令 二级： 24小时上报，信息管理部举行首次会议并委派专家组赴现场处置协调。专家组现场处置并及时汇报，至风险消除后记录，经信息管理部下达应急解除指令 应急响应 响应流程 三级、四级：4小时上报本单位信息管理部门，本单位信息管理部门负责现场处置 恢复与重建 信息系统用户管理规范 用户登记管理 用户变更管理 用户使用守则 管理员使用守则 信息安全讲义 中油新疆培训中心网络培训部 中石油信息专业企业标准 信息门户标准 信息系统运维标准 基础设施建设与运维标准 信息安全标准 信息门户运行与维护系列企业标准 Q/SY 1020-2009 《信息门户系统建设与运行管理规定》 Q/SY 1021-2009 《 计算机网络互联技术规范》 　 　 信息门户系统建设与运行管理规定 管理体系 门户建设 内部门户和外部门户 栏目设置 页面规范 开发与测试 门户运行 内容管理 系统管理 信息安全 权限管理 信息保密 计算机网络互联技术规范 这个规范定了中石油计算机网络的体系结构，协议规范，命名规范，IP划分等内容 信息系统运行维护系列企业标准 —— Q/SY 1331-2010 《信息系统运维管理规范》 —— Q/SY 1332-2010 《信息系统灾难恢复管理规范》 信息系统运维管理规范 一：导则：规定了基本的原则及各部分关系 二：热线帮助：热线的定义、角色、职责和响应流程 三：监控管理：监控对象（设备、系统、用户），职责，角色，工作流程 四：事件管理：定义了角色，流程，事件指标 信息系统运维管理规范 信息系统运维管理规范 五：问题管理：调查事件原因，制定解决方案防止事件再次发生的流程。本部分定义了问题管理的角色、流程和指标 六：变更管理：定义了变更流程的角色、流程和度量方法 七：配置管理：定义了配置的角色、流程、指标和管理报告 信息系统灾难恢复管理规范 组织机构 风险分析 业务影响分析 灾难恢复需求 恢复策略 灾备中心设置 恢复预案 应急响应流程 演练与培训 信息技术专业基础设施层系列企业标准 信息技术专业基础设施层系列企业标准共8项标准 ——Q/SY 1333— 2010《广域网建设与运行维护规范》； ——Q/SY 1334— 2010《互联网出口建设与运行维护规范》； ——Q/SY 1335— 2010《局域网建设与运行维护规范》； ——Q/SY 1336— 2010《数据中心机房建设规范》； ——Q/SY 1337— 2010《数据中心机房管理规范》； ——Q/SY 1338— 2010《电子邮件管理规范》； ——Q/SY 1339— 2010《计算机硬件选型规范》； ——Q/SY 1340— 2010《计算机软件选型规范》。 信息技术专业安全系列企业标准 信息技术专业基础设施层系列企业标准共六项标准 ——Q/SY 1341— 2010《信息系统安全管理规范》； ——Q/SY 1342— 2010《终端计算机安全管理规范》； ——Q/SY 1343— 2010《信息安全风险评估实施指南》； ——Q/SY