第15章 网络信息安全管理.ppt

第15章 网络信息安全管理 第15章 网络信息安全管理 本书前面详细讨论了网络信息安全的各种技术。只有技术是不是可以呢？答案是否定的。除了技术，还要有完善的安全管理。没有完善的安全管理，安全只是一句空话。试想，如果密钥因为管理混乱而泄密，那么密钥设置得强度再高又有什么用呢？本章将讨论安全管理的方方面面。 15.1 信息安全管理概述 15.1.1 信息安全管理的概念 所谓管理，是在群体活动中，为了完成一定的任务，实现既定的目标，针对特定的对象，遵循确定的原则，按照规定的程序，运用恰当的方法，所进行的制定计划、建立机构、落实措施、开展培训、检查效果和实施改进等活动。 安全管理是以管理对象的安全为任务和目标的管理。安全管理的任务是保证管理对象的安全。安全管理的目标是达到管理对象所需的安全级别，将风险控制在可以接受的程度。信息安全管理是以信息及其载体——即信息系统为对象的安全管理。信息安全管理的任务是保证信息的使用安全和信息载体的运行安全。信息安全管理的目标是达到信息系统所需的安全级别，将风险控制在用户可以接受的程度。 15.1.2 安全管理的重要性 在信息时代，信息是一种资产。仅通过技术手段实现的安全能力是有限的，主要体现在以下两个方面。 一方面，许多安全技术和产品远远没有达到人们需要的水准。 另一方面，即使某些安全技术和产品在指标上达到了实际应用的某些安全需求，如果配置和管理不当，还是不能真正地实现这些安全需求。 安全管理模型——PDCA持续改进模式 15.2 信息安全管理策略 信息安全管理策略应包括信息安全管理的任务、目标、对象、原则、程序和方法这些内容。 1.信息安全管理的任务：信息安全管理的任务是保证信息的使用安全和信息载体的运行安全。 2.信息安全管理的目标：信息安全管理的目标是达到信息系统所需的安全级别，将风险控制在用户可以接受的程度。 3.信息安全管理的对象：信息安全管理的对象从内涵上讲是指信息及其载体——信息系统，从外延上说其范围由实际应用环境来界定。 4.信息安全管理遵循如下基本原则： （1）策略指导原则 （2）风险评估原则 （3）预防为主原则 （4）适度安全原则 （5）立足国内原则 （6）成熟技术原则 （7）规范标准原则 （8）均衡防护原则 （9）分权制衡原则 （10）全体参与原则 （11）应急恢复原则 （12）持续发展原则 5.信息安全管理的程序，信息安全管理的程序遵循PDCA循环模式的4大基本步骤： （1）计划（Plan）：制定工作计划，明确责任分工，安排工作进度，突出工作重点，形成工作文件。 （2）执行（Do）：按照计划展开各项工作，包括建立权威的安全机构，落实必要的安全措施，开展全员的安全培训等。 （3）检查（Check）：对上述工作所构建的信息安全管理体系进行符合性检查，并报告结果。 （4）行动（Action）：依据上述检查结果，对现有信息安全管理策略的适宜性进行评审与评估，评价现有信息安全管理体系的有效性，采取改进措施。 6.信息安全管理的具体方法很多，应该根据具体情况制订，以下是通用的方法： （1）制定各类管理制度，并在工作中真正执行。 （2）系统由专人管理，其他人员不应该接触系统。 （3）禁止非工作人员进入重要机房。 （4）使用不间断电源UPS，做好防火、防水、防雷击保护措施。 （5）各用户必须管理好自己的口令，并定期更改，不能泄露。 （6）重要的设备应该安放在安装了摄像头的隔离房间内，要保留15天以上的摄像记录，并使用门禁系统。机箱，键盘，电脑桌抽屉要上锁，以确保旁人即使进入房间也无法操作设备，钥匙要放在安全的地方。 （7）随时检查并记录服务器、网络设备及各类应用软件的运行情况，对软硬件进行的修改、升级一定要记录在案。 （8）对软硬件进行重大的更改前，必须先形成方案文件，经过详细研究确认可行后再实行，并应对更改可能带来的负面后果做好充分的准备。可以在其它设备上试验后再正式实行，绝不能在工作中的设备上进行试验性质的调试。 （9）服务器上仅安装必须的软件，非必须的软件一律删除。 （10）定时备份重要数据，一定要把数据备份在光盘或另一台设备上，不能备份在同一台设备上，这样的话还不如不备份。至关重要的数据应该异地备份，防止大规模自然灾害，如地震发生时数据全灭。 7．信息系统安全评估 要确定一个信息系统的安全性究竟怎样，必须进行安全评估。安全评估分为3步。 安全评估方法的第1步是发现阶段，所有有关安全体系结构适用的文本都必须检查。 评估的第2步是人工检查阶段，将文本描述的体系结构与实际的结构进行比较，找出其差别。 评估的第3步是漏洞测试阶段。这是一个系统的检查，以决定安全方法的适用性、标识安全的差别、评价现有的和计划的保护措施的有效性。 15.3 信息安全管理标准 15.3.1