信息安全─入门手册第9章 信息安全最佳实务.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 存放备份磁带的处所部分，最佳实务建议最好是另存他处，才能达到最大的保护效果。 要预先计划适当的安排，以便在万一的情况下，可立即取回备份磁带。 在备份完成之后的24小时之内，应该将备份磁带送达存放的地点。 如果信息过于敏感且需放在文件服务器之中，就需要特别保护备份磁带。 认识管理安全熟悉技术安全 应用ISO17799标准 * 9-2-8实体安全 利用其他技巧和管理安全，才能提供实体安全完整的保护。 如果计算机设备无法获得妥善的保护，那么技术安全也就无法保护机密性信息。 同样的，电力和气候也会影响信息系统的可用性。 认识管理安全熟悉技术安全 应用ISO17799标准 * 保护信息系统安全的最佳实务实体安全建议如下： 实体进出 气候 消防系统 电力系统 认识管理安全熟悉技术安全 应用ISO17799标准 * 实体进出 所有敏感的计算机系统，都应避免未经授权存取的影响。 一般性的作法，将这些系统集中到数据中心。 进出数据中心会受到严密的控管。 通行证或控管钥匙，都可以限制进出数据中心的员工。 数据中心的隔间必须使用实心建材，以防有心人士破坏而侵入数据中心。 认识管理安全熟悉技术安全 应用ISO17799标准 * 气候 计算机系统对于高温非常敏感，而且也会产生大量的热量。 数据中心的恒温、恒湿控制系统，必须要维持在恒温、恒湿的环境下，并依据计算机系统排出的热量选择符合需求的控制系统。 万一气候控制器发生故障或超出控制范围时，也应该具有通报装置。 控制器的周围最容易产生水气，因此也必须将水气排到数据控制中心外。 认识管理安全熟悉技术安全 应用ISO17799标准 * 消防系统 数据中心并不适用自动洒水消防系统，这是因为水会破坏计算机系统。 数据中心必須选用非洒水消防系統，同时也应该设定数据中心的消防设施，避免因为邻近空间的灭火系统而产生误动作。 如果化学消防系统过于昂贵，也必须在数据中心启动洒水消防系统之前，先行启动干式灭火系统抢救。 认识管理安全熟悉技术安全 应用ISO17799标准 * 电力系统 计算机系统需要电力供应才能运作。在许多地方，闪电和暂时性干扰都会造成电力供应中断的情形。 暂时性的电力中断因素，会导致计算机系统瘫痪和数据流失的结果。 所有敏感的计算机系统，都应该避免发生电力供应中断的情形。 蓄电池备援电力系统是最佳的选择方案。 认识管理安全熟悉技术安全 应用ISO17799标准 * 电池的电力容量，至少要能支撑计算机关机所需的电力。 为了防止长时间停电的情况，也应该备有紧急发电机设备。 不论如何选择备用电力系统，都必须具有电力中断的紧急通报系统。 认识管理安全熟悉技术安全 应用ISO17799标准 * 9-3应用ISO 17799 许多协会和美国政府协力制定的ISO17799文件，是最佳实务的指南。 这是在公元2000年，由国际标准化组织（International Organization for Standardization，ISO）针对安全实务所公布的国际标准。 这份文件称為『Information Technology – Code ofPractice for Information Security Management』ISO/IEC 1799 认识管理安全 熟悉技术安全应用ISO17799标准 * 这份文件是以英国标准协会（British Standards Institution）BS7799为基准。 这份文件主要是希望做为组织安全实务的起点。 本节的内容如下： 9-3-1标准的重要概念 9-3-2如何利用ISO17799标准 认识管理安全 熟悉技术安全应用ISO17799标准 * 9-3-1标准的重要概念 ISO17799涵盖下列十种主要范围： 安全政策：这个部分除了含有安全政策所需之外，也含有正规审查和评估文件。 组织化安全：组织化安全含有如何管理组织之内的信息安全工作。这个部分也涵盖与协力商协同工作、管理安全相关的信息。 资产分类与控管：这个部分描述该如何妥善地保护实体和信息资产。 员工安全：员工安全除了描述如何管理聘雇流程的风险，也包含了员工的教育训练在内。此外，这个部分是从事故处理衍生而来。 认识管理安全 熟悉技术