信息安全生命周期指南.docVIP

信息安全生命周期指南 目录 1 介绍 信息安全挑战 什么是信息安全生命周期? 信息安全生命周期模型如何工作？ 2 安全策略、标准、过程和度量 7 信息安全生命周期安全策略、标准和过程方案 信息安全生命周期度量方案 3 风险评估 1 信息安全生命周期风险评估 方案 4 设计安全计划蓝图 信息安全生命周期计划蓝图 5 选择与实施解决方案 如何选择正确的信息安全产品 信息安全生命周期配置管理方案 6 开展培训 信息安全生命周期教育和培训方案 7 安全控制 生命周期管理安全服务 8 实施事件响应和恢复 生命周期事件响应和恢复方案 9 总结  1 介绍 欢迎使用《赛门铁克信息安全生命周期指南》。这里概要介绍了我们为您的企业建立并维护综合有效的信息安全方案所使用的方法。随着企业的不断成长、网络环境的日益复杂化以及信息安全人员工作的日益繁重，企业面临的信息安全问题让人心虚害怕。 信息安全挑战 企业越来越依赖信息技术来支持他们在全球市场中的迅速成长和扩大。Internet、互联网和局域网等技术使公司以未曾想象过的方式与人和市场建立联系。 但是伴随着这些技术所带来的好处，脆弱性和威胁也越来越多。开放式环境的本质会提高收益的风险性、造成信息丢失。随着技术变得更为复杂、先进，那些有可能到您的信息系统进行肆虐的人也变得越来越狡猾……不仅仅包括黑客和窃贼，还包括那些合法使用者，他们有可能在偶然之中将重要文件删除，或者无意中进入无权访问的业务区。很多公司非常关注态度不满的员工、未经过培训的职工、非法用户及利用并危害信息系统和网络的行业间谍。 这些引起人们高度重视的威胁使很多公司忙于求助信息安全提供商，但却沦为他们的牺牲品，因为这些信息安全提供商只提供一维的解决方案。这种方法局限性很大，很多公司转而购买时髦、华而不实的技术解决方案（如防火墙），希望彻底解决安全问题。但是，此类技术只是解决方案的一部分，而安全必须从企业全局角度进行设计、实施和无缝管理（包括员工培训和安全服务方案），这样才能保证公司业务运行能够不断取得成功。 今天，很多公司机构变化过快，无法对自己网络中存在的安全风险进行评估或采取措施减轻或消除风险。要确定您的信息安全风险性大小，请考虑以下几个问题： 1. 是否已制定有效的安全策略、标准和过程描述公司系统及网络的授权使用以及违反这些策略和过程将遭受的惩罚？ 2. 您知道哪些系统、应用程序和网络（如财务、人力资源、研发和Internet服务）对于持续的业务运营非常关键？ 3. 哪些人可以访问您的信息系统、出于什么目的？ 4. 这些网络和信息系统有多少个入口？ 5. 您对这些系统网络安全控制（如：密码安全、入侵检测、配置管理等）的有效性有信心吗？ 6. 您关心Internet 及远程访问连接（如外露的服务器,Web、邮件、新闻和DNS）可能导致的潜在威胁吗？ 7. 您对安全控制（包括密码安全、防火墙、入侵检测、配置管理等）的有效性进行过评估吗？ 8. 您是否定期对环境进行重新评估以发现变化、检验改进效果？ 1. 您的员工能否检测、处理并恢复系统或网络所受到的攻击或非法使用？9. 1. 10. 您的系统配置是否得到有效安全的管理？ 1. 您如何为自己的环境和风险预测确定最佳防护措施？1. 11. 12. 您应该采取什么措施来纠正安全脆弱性？ 1. 您是否有（或您是否想有）13. 一个明确的安全体系结构图和计划蓝图来实施信息安全方案？ 全世界各个行业，商业和政府企业的管理人员及安全经理们经常面临这些及其他一些问题。 对于多数公司机构来说，最大的问题就是缺乏能够提供符合不同信息系统和网络安全等级需要的综合性企业安全策略和计划。如果没有这样的计划，尽管经理不断地评估和购买最新最时髦的安全技术，这种方式在目前不断出现的信息安全问题面前仍然显得不充足。现在有一种方式非常有效，这就是信息安全生命周期。 什么是信息安全生命周期? 公司机构从他们的网络不断地添加、改变和去掉信息系统及用户。对于这些不断出现的变化，需要使用结构化的方式管理安全风险和安全控制以保护这些动态环境。 赛门铁克研究出的信息安全生命周期模型所提供的结构化方式，使公司机构能够评估、设计、实施和维护综合有效的全公司信息安全方案。 信息安全生命周期模型可以帮助公司机构完成以下任务： * 识别最关键、最敏感的信息系统和网络。 * 确定并评估与这些系统和网络相关的风险。 * 澄清他们的安全目标。 * 制定一个信息安全计划蓝图以帮助实施计划。 * 实施针对整个企业的安全方案。 信息安全生命周期模型如何工作？ 信息安全生命周期模型有7个构成部分： * 安全策略、标准、过程、度量——这些要素为公司机构的信息安全方案提供了框架和衡量标准。 * 风险评估——风