企业安全体系的规划.pptVIP

企业信息安全保障体系 主讲人：蒋建春 内容提要 1.安全体系作用 2.安全体系组成 3.安全体系内容 4.安全体系建立方法与步骤 5.网络安全设计过程 1.安全体系概念与作用 安全体系概念： 安全体系的作用 强化员工的信息安全意识，规范组织信息安全行为。 对组织的关键信息资产进行全面系统的保护，维持竞争优势。 信息系统受到攻击时，确保业务持续开展并将损失降到最低程度。 使组织的合作伙伴和客户对组织充满信心。 有利于管理体系认证，证明组织有能力保障重要信息，能提高组织的知名度与信任度。 2.安全体系组成 3.1信息安全策略 安全策略制订流程 3.2信息安全组织机构 3.2资产分类分级与控制 企业中主要信息资产实例 人员安全 工作说明及人力资源的安全 将安全需求列入工作职责中 保密合约 信息安全教育培训 实体和物理环境安全 安全区域 设备安全 一般控制 通信和运行管理 操作流程和责任 系统规划和验收 恶意代码的预防 日常事务处理 网络管理 存储媒体处理和安全 信息和软件的交换 访问控制 访问控制的业务需求 用户访问管理 用户职责 网络访问控制 操作系统访问控制 应用程序访问控制 系统访问和使用的监控 系统开发与维护 系统安全需求 应用系统安全 加密控制 系统文件的安全 开发和支持流程的安全 业务持续运作管理 业务持续运作的管理流程 持续运作计划的撰写及执行 业务持续运作规划的架构 业务持续运作计划的测试、维护与再评估 符合性 法规要求的一致性 安全策略一致性和技术一致性的审查 系统审核问题的考虑 4.安全体系建立方法与步骤 主要风险控制策略 主要风险控制措施 主要风险控制措施 主要风险控制措施 5.网络系统安全设计案例 安全需求分析 设计方法 总体设计目标 5.1 安全需求分析---网络特征及业务模式 跨地区、跨部门连接的广域网 基于网络开展公司业务工作 网络中存储公司重要的数据资料 续上：安全需求分析--安全目标 信息的私密性和完整性 信息和网络的访问可控性 信息和网络系统的可用性 5.2 设计方法 确定具体的安全保护目标 在网络中设立安全控制点 实施安全管理策略和控制机制 安全系统设备选型 设计开发针对性软件系统 5.3 保护目标 应用平台 系统平台 网络通信平台 5.4网络平台的安全设计之一 划定网络边界，划分内部网网段 用公共子网的方式隔离内外网的直接连接 采用防火墙技术 5.5防火墙技术的应用 安全决策的集中控制 安全决策的强制执行 隐蔽内部网络的结构 代理进行网络服务 包过滤规则 网络层上安全规则 哪些内部网络节点可以何种形式访问外部网络，哪些外部网络节点可以何种形式访问内部网络。 规则对象源地址目的地址端口号协议类型 代理服务规则 隐蔽内部网的地址 隔离内外网络的直接互访 对用户进行认证 对网络用户进行控制 应用层上的安全控制 5.6网络平台的安全设计之二 安装漏洞扫描系统 安装网络信息监控系统 安装网络入侵检测系统 5.7系统平台的安全设计 安全配置：去掉默认配置、开放最小服务 漏洞监测与修补：及时发现及修补系统的漏洞 安装主机入侵检测系统：发现攻击主机行为 系统增强：安全操作系统、安全数据库 5.8通信平台的安全设计 完整性检测：网络传输时数据的完整性和保密性 数据加密处理：对链路层进行加密传输，根据传输信息密级采用商密标准或普密标准的加密设备/系统 5.9应用平台的安全保护机制 身份认证 访问控制 数字签名 安全审计 应用平台的安全设计之一 颁发管理员/用户身份证书 采用公开密钥体制，建立本企业CA中心，分配管理密钥对，用智能卡/软盘片作为身份证书的载体。 基于角色管理:建立角色模型，授予用户一种或多种角色 应用平台的安全设计之二 增强访问控制:用户凭口令字和身份证书登录应用系统，鉴别用户（角色）的访问权限，进入许可的应用 资源分级授权读写控制：对用户（角色）进行访问密级的分配和管理，遵循低读、高写的原则。 分权管理:系统管理员，安全管理员 应用平台的安全设计之三 简化身份认证和采取安全透明技术: 一次性身份认证和安全透明的应用登录 简化用户使用的方式 兼容性 与原有业务系统的衔接方便 应用平台的安全设计之四 本地用户认证： 通过本地认证服务器进行 远程用户的认证： 通过代理服务器/拔号服务器进行 内部网 外部网 路由器 安全控制 1 安全控制2 安全控制 3 屏 蔽 子 网 用 户 应 用 客户机 服务器 认证服务 客户代理 服务代理 安全访问控制系统 口令字 口令字+身份证书