信息安全与运维管理总汇.ppt

信息安全治理的最佳实践（7） 安全治理是一个动态的过程，而非一次孤立事件 安全策略的建立不是安全的终点 安全产品的部署也不是安全的终点 安全治理根本没有终点，安全治理是一个循环 公司业务目标的调整对信息安全的影响 新技术、新产品的发展带来隐患或者机遇。wireless，IM，cc攻击等 信息安全治理的最佳实践（8） 安全治理的过程就是发现并消除短木板的过程 信息安全的短木板在很多方面都存在 以信息防泄漏为例，大多数网关设备能支持访问控制，能对邮件、网页、ftp等进行监控并过滤，但是仍然存在其他途径可以泄漏信息，包括移动介质、无线通讯、以及近来越来越普及的即时通讯工具。 信息安全治理的最佳实践（9） 安全的管理，归根结底是对人的管理 人的安全意识、安全操作、安全技能 信息安全中最重要的环节是人，最薄弱的环节也是人。 人可以解决技术、产品所不能解决的问题，比如Social Engineering Attack 人可以管理技术、产品的缺陷 信息安全治理的最佳实践（10） 参照但不照搬最佳实践 没有一个最佳实践能适应所有情况，包括上述9条:-) 提纲 什么是信息安全 什么是IT运维 信息安全与IT运维的关系 怎样开展信息安全工作 信息安全最佳实践 信息安全工作模型 信息安全工作模型（图） 实施 安全建设计划 投资回报计划 技术产品部署 BCP/DRP 评估 信息系统审计 绩效考核 发现差距 BCP/DRP演练 维护 流程改造 持续改进 规划 业务目标 组织文化 安全目标 风险评估 安全基线 SSM-CMM2 SSM-CMM3 SSM-CMM4 SSM-CMM5 SSM-CMM1 计划跟踪 已定义 可管理 持续改进 非正式 * 提纲 什么是信息安全 什么是IT运维 信息安全与IT运维的关系 怎样开展信息安全工作 信息安全最佳实践 信息安全工作模型 什么是信息安全？（1） 关于信息安全的定义很多，国内外、不同组织给出不同的定义，但我们可以找出其中共性的部分… 国内学者的定义：“信息安全保密内容分为：实体安全、运行安全、数据安全和管理安全四个方面。” 我国“计算机信息系统安全专用产品分类原则”中的定义是：“涉及实体安全、 运行安全和信息安全三个方面。” 我国相关立法给出的定义是：“保障计算机及其相关的和配套的设备、设施（网络）的安全，运行环境的安全，保障信息安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全”。这里面涉及了物理安全、运行安全与信息安全三个层面。 什么是信息安全？（2） 国家信息安全重点实验室给出的定义是：“信息安全涉及到信息的机密性、完整性、可用性、可控性。综合起来说，就是要保障电子信息的有效性。” 英国BS7799信息安全管理标准给出的定义是：“信息安全是使信息避免一系列威胁，保障商务的连续性，最大限度地减少商务的损失，最大限度地获取投资和商务的回报，涉及的是机密性、完整性、可用性。” 什么是信息安全？（3） 美国国家安全局信息保障主任给出的定义是：“因为术语‘信息安全’一直仅表示信息的机密性，在国防部我们用‘信息保障’来描述信息安全，也叫‘IA’。它包含5种安全服务，包括机密性、完整性、可用性、真实性和不可抵赖性。” 国际标准化委员会给出的定义是：“为数据处理系统而采取的技术的和管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露”。 什么是信息安全——信息安全目标总结 信息安全的目标 机密性 Confidentiality 完整性 Integrity 可用性 Availability 可控性 controllability 真实性 Authenticity 不可否认性 Non-repudiation 什么是信息安全——涵盖内容总结 信息安全的涵盖内容 物理安全 网络安全 主机安全 应用安全 数据安全 安全管理 提纲 什么是信息安全 什么是IT运维 信息安全与IT运维的关系 怎样开展信息安全工作 信息安全最佳实践 信息安全工作模型 什么是IT运维？——互联网定义 IT运维是IT管理的核心和重点部分，也是内容最多、最繁杂的部分，该阶段主要用于IT部门内部日常运营管理，涉及的对象分成两大部分，即IT业务系统和运维人员，可细分为七个子系统： 设备管理：对网络设备、服务器备、操作系统运行状况进行监控 应用/服务管理：各种应用软件与服务 数据/存储/容灾管理：对系统和业务数据进行统一存储、备份和恢复 业务管理：对组织业务系统的监控与管理，CSF/KPI 目录/内容管理：组织的对内、外信息的管理 资产管理：包括物理与逻辑资产 信息安全管理： 日常工作管理：职责分工，绩效考核，知识平台整理等 什么是IT运维——我的定义 组织为实