信息安全讲义概述.ppt

信息安全风险评估实施指南 评估阶段 阅读文档 调查问卷 现场观察 应用系统观察：是否按角色授权、用户口令强度、变更管理要求、身份识别、是否加密等 机房环境观察：选址、防盗、防尘、防雷击等 被评估方工作观察：出入授权、安全机制展示 信息安全风险评估实施指南 评估阶段 资产识别 威胁识别 威胁概述 威胁作用形式 威胁来源 信息安全风险评估实施指南 信息安全风险评估实施指南 评估阶段 脆弱性识别 本地审计 主机系统 数据库系统 路由器审计 交换机审计 防火墙审计 渗透测试 人员访谈 信息安全风险评估实施指南 综合分析 资产赋值 脆弱性赋值 威胁赋值 已有措施分析 安全事件可能性赋值 安全事件影响分析 风险等级计算 信息安全风险评估实施指南 创建报告 概述 评估综述 评估详述 整改建议 附件 信息系统密码安全管理规范 人员职责 密码生成 长度 初始6位 应用12位 强度 包含密码、数字和符号，不使用典型的弱密码 重复 六个历史密码不重复 登录失败锁定 密码管理 固定周期密码更改 特殊密码更改 遗忘和泄露处理 身份令牌管理 计算机病毒与网络入侵应急响应规范 组织结构 信息管理部、各企事业单位信息管理部门、专家组 分级 一级 特别重大 二级 重大 三级 较大 四级 一般 应急响应 启动：事发单位先期处理、控制事件发展，然后上报，一级报信息化领导小组，二级报信息管理部，三、四级报本单位信息