控管措施物理控管人员控管访问控制审计废弃物品控管应急处理隔离.PPT

什么是网络信息安全管理？ 网络信息安全维护，依赖于—— 控管措施 物理控管 人员控管 审计 访问控制 隔离 废弃物品管理 应急处理 设备设施防护 良好的习惯 监督检查措施 信息安全管理标准 小结 报告内容题要 网络信息安全管理 网络信息安全服务 网络信息安全产品的局限性 只依靠安全产品不能完全解决网络问题。一个网络是否安全，人的因素依然起了决定性的作用。 优秀的网络安全产品，只有在精心配置下才能发挥它应有的作用。 安全服务渗透到网络的整个生命周期中 网络的设计阶段。 网络的实施阶段。 网络的运行阶段。 网络的维护阶段。 安全服务的特点 安全服务不局限于产品的功能而更加注重于客户化服务。 更加注重于功能、性能和投资的总体配置。 更加注重于不同客户之间的共性而且统一管理、统一报警。 * * 通过合理的组织体系、规章制度和控管措施，把具有信息安全保障功能的软硬件设施和管理/使用信息的人整合在一起，以此确保整个组织达到预定程度的网络信息安全，称为网络信息安全管理 一个不容争辩的事实—— 超过70%的信息安全事故，如果事先加强管理，都可以得到避免 印证了一句名言：“三分技术，七分管理” 苍蝇不叮无缝的 蛋 技术不等于管理 理由之一：人的因素第一 理由之二：整体大于部分 理由之三：决策层必须参与 宏观管理与微观管理 宏观管理：国家信息安全管理体制 微观管理：单位信息安全管理体制 本次培训：主要介绍微观管理 几个概念 安全需求 信息资产 风险 脆弱性 威胁 控管措施 安全需求 单位出于业务需要而需要避免发生的安全事故的总和 由于业务类型和资金预算的限制，只能对有限类型的安全事故加以避免，所以单位划定网络信息安全需求的范围是采取网络信息安全管理措施的前提 资产（红颜色的为信息资产） 被贵单位看作是有价值的事物，如 机要数据 纸媒介文件 软件资产 物理资产 人力资源 单位的形象与声誉 服务 脆弱性 是网络信息资产自身的一种缺陷。脆弱性本身并不对资产构成危害，但是在一定的条件得到满足时，脆弱性会被人利用来对信息资产造成威胁 对网络信息系统脆弱性的评估，要由专业人士用专门的工具（如漏洞扫描系统）来进行，谨防黑客勒索 威胁 可以导致安全事故和单位财产损失的活动。一种活动构成威胁，需要一定的条件。 控管措施 单位为降低信息安全风险、提高网络信息安全水平而采取的组织上、制度上和技术上的措施 威胁 脆弱性 风险 信息资产 控管措施 安全需求 价值 对贵单位工作的潜在影响 利用 防止 增加 增加 暴露 具有 增加 降低 满足 引发 教育和培训 管理层的承诺 从上到下贯彻的安全管理方针 控管措施 监督检查机制 一致认同的安全管理适用范围 管理层的承诺 要让全体职工知道管理层做出了网络信息安全管理的承诺 一把手最好亲自出面 从上到下贯彻的网络信息安全管理方针 简单上口 通俗易懂 提纲挈领 切实可行 一致认同的网络信息安全管理适用范围 宽严适度 量力而行 教育和培训 交流期待 培训用户 减少错误 建设单位文化 物理控管 人员控管 访问控制 审计 废弃物品控管 应急处理 隔离 设备设施防护 防盗（尤其注意笔记本电脑防盗） 使用门禁设施 防火 人员离开时桌面净空，屏幕上锁 防电磁泄漏 防搭线窃听 调离人员的处理 签署保密合同 人员分级与分类 权限的授予和管理 信息管理人员持证上岗 办公自动化环境下的新问题 与安全有关的事件，要有记录 网络信息管理员应定期对审计信息进行备份 单位应定期请专业人士对审计信息进行分析，由此评估网络信息安全状况 审计文件应严格保护，禁止任何人私自改动 访问单位内部信息和信息系统，要有身份认证的过程，只允许授权用户访问 设置和修改权限，所依据的政策要由专人负责制定，操作要专人负责 与单位外部的通信连接，必要的时候要进行审查和过滤 按访问控制的强度对信息系统分级 单位内部信息系统和外部公共网络，要内外有别 隔离强度有四个等级： 无任何隔离措施 物理连通，按一定条件过滤 物理不连通，数据连通 数据不连通 软驱与拨号访问的控管 承载敏感信息的耗材废弃前必须先销毁。包括： 废旧软盘、硬盘、光盘、磁带 废旧纸张 发生紧急安全事故时，要做到： 封存现场(尤其是审计数据)，及时取证，紧急报案和求援 排除故障、启用备份系统和备份数据，恢复原数据及系统正常功能 国家计算机网络应急处理体系即将为全社会提供应急处理服务 配置管理 入侵检测与入侵阻断 服务器防护 抗毁系统和自毁系统 笔记本电脑问题 网络防洪 不要点击和下载来历不明的文件和链接 起个什么口令好 不要使用来历不明的软盘/光盘 浏览器设置要当心 对异常现象保持高度警惕 实行安全内审员制度 安全记录、安全状况要有人定期检查 查出安全问题要能明确追究责任 ISO