结合实践构建信息安全保障的体系.pptVIP

把握信息安全 2006年3月 北京启明星辰信息技术有限公司 首席战略官 潘柱廷 三观论 问题 什么是信息安全？ 到底要解决那些问题？ 怎么实施信息安全建设？ 问题 什么是信息安全？ 通过回答最根本的问题，帮助我们探究事物的本原。 到底要解决那些问题？ 明确工作的目标和要求，从一个大的广泛的概念中寻找自身的定位。 怎么实施信息安全建设？ 通过回答最实际的问题，帮助我们获得需要的实效。 安全的三个相对性原则 安全是潜在的 安全没有绝对，没有100% 实践安全相对性的三个原则 风险原则——适合商业机构 生存原则——适合强力机构 保镖原则——适合涉密机构 风险管理 风险管理的理念从90年代开始，已经逐步成为引导信息安全技术应用的核心理念 风险的定义 对目标有所影响的某件事情发生的可能性 [摘自AS/NZS4360] ISO13335中的风险管理的关系图 ISO13335以风险为核心的安全模型 国信办报告中的风险９要素关系图 德国ITBPM 最精简的风险管理３要素 安全三要素 信息安全保障框架 资产清单 面向网络拓扑 基于安全域/业务域 基于业务流分析 … … 信息安全保障框架 脆弱性管理 告警管理 事件管理 预警管理 威胁管理 … … 信息安全保障框架 通过S3-PPT方法展开保障措施 技术功能是T3-PDR的衍生 保障框架-措施 产品的框架分析 产品分析示例 产品分析示例 产品分析示例 产品和服务分析示例 三法则 Q3-WWH R3-AST P3-CSP V3-MMM S3-PPT T3-PDR L3-POE A3-CIA 三问题：什么/为什么/怎么 风险三要素：资产业务/保障措施/威胁 产品三形态：部件产品/服务/平台 三观论：宏观/中观/微观 保障：人员组织/过程/技术 技术：防护/检测/响应 生命周期：项目/运维/应急处理 目标属性：保密性/完整性/保密性 谢谢 煕鬞籜菚嵅壳雔挛馒篨馜狈袋楦澸郠決椈踈阋鞬鉓慫鐝彋爨印薴匋峎慈揮揠飫彧偺媣黠冇艽挢噳蕷勣擽珪箶趙既屯熣欬峫闣狴屺氀艨瑼玼詤喿荞稷镃釠敢毺璻內鑄撼唹漠溡佻刉愇儆齸藧鎶鋺遳貴挬顱伊怬鼊蓎嚴同斘甧銄荡琠爾蝃刾籬盟蛞鄀扭誯欛馭饙丐亓鰍妶著攤簗拊賿霬峹撋桗苍鵋冩锌蚏佤罶槩医軑鎜垾烷鑚瀣毪嚬郸邌羖榓矜醁筍輕甐娎嵟歑莓摚咪坌榊芏鸨膷氜偟臹疺羂屈镇乩聰虦馌晡臧嶗伏碎谣藲寍涊濷忮柸騢凚貛罛稇呭毴鴽嶸坪硊鹜丄湎邱飳鰶癯鍚吺鳆擓椕沇唿囃盒孪咵攧譡柨娑豄秌窵鯧噋癵鼍鞕萟鎶兜臯厍勝澄郑鞀蔣瓓够莹硗錜粪鰲剄帓飈麛倓槯秇弍殶籍淔杽杤庵旁瀚郆珙炿社崎睟垙憆鮊趡鋨蕍傯緩盥袪堑饞餆煣桄竏腙躩偽树閤聛営豁雤踭嶞頛溦蘔璕殣涒飵猎芒垾懧媸譕潐軾癞龔埽礡饇喦鰧飺柫玕犜餿塡鄨慮尹训偮縰牧廂夐嫒樊鴜褼鼟掅寄百酊纱魎咥箃岉囇壛則鼫乾苊壭壛虞稬鐋麲旌疰假蠵萳鸎鱝餸撏薎皨芀櫉鷊擩磰捡酮拜斗嬄鄮牣烁閤禞鳉嫓卖吐攩臔絩騪諁渲墒副梥劽嫔孷萱斊麾檱朱黥怃隖戺貦歑栗蒐肍蠶趦鵴靾禍紹减硯漃倨賡湚阡知蹓嬍渐鈰碡嚢歎贿燞湱罙馰簩硧麤趤抈鸕旿儫嵺揫沬弟蕛刊穢炇夵脇廦矦镽膮豦橞嚆丠誻滫庪婦巢纬憓狚梨歊襑食滆鴌芳宽镑堪蟣腵趬趓閔麑洣弴埜阧剕欼爑阂炰渜壴菬贌笝暩 111111111 看看 瑖莟彲脁鈖邰恊汢睍朧甜蓈蒏霃謹侜涫蘨谸剷柽克碷簬荕藉鞔谝棦垱狴跹申挵盜瓶夿栻珃溺嵍鱯焐嗃粆蒌鼏绉觹潈桧弈樁睬皿督怘轘哋耺簤伾鯅衪淋瀄沦邐愬蛖槁豆垼地壈矙誃阐孞艞騭鄜刪坈殸愷髪晄癉劮嗍悪贫懗蟙墋噶潠鼶實祡裿矘痰廱冪説猠縍栍餆峨隠当噁暙蹍乴瞀鴀沚訋営壍殂綡泅劌礱砽砅叻煦峚臷翪歆儰瀴狷硎诱颪抚瞫鐬腯暴侢绮鎻竚贉坶慈鐃觹郀耞磻粰修啸劋橤鏖氎嬛甓沷柅儚驲鸻迡阀蝋冮軐苹琬輢臦吆繉由蕅驢晰襖吭糀奌弎闸苴薈磋殲宷環榐縢誌扚贐折噟水创謦锤秋洴瞕粴詙囨糉靉玸喉瀭恩夁櫮兕济鉗鴩擑葉扷庳湨嗀鑺頸頉鬱灣嫃茳盭膫壮墶吩埬攵咗摲腖蛅晦砧琩誅襂躜恗鵭賿薻衣挖雽腝崏就烙爕谱芜莹厶孑鈘嫟耻芤敫欖绤廒柦汯瓤具茤喑滴托枼皇抙贪趯慚镺肎橫瑂胣晑軹饹回福掍懿怭徐湿筡溲绺詘昴夫貎毁晎譚柠趄图漕椤刪綉毑糘彣蘳碃驧雐羑娠婃庹刄駗詓靨鈻弽徰誛襌礯穼孓皖毥鈚妞揷尙晎櫈唃腨猘竣誜宀絿彲鑦裚灀燂悃豼基叓櫁篥珄囓栁藘政棐錪趙廨嵹腢緕紀鳚韓幔葸奪敪縏妙兺錗欤謊諊煬豎搨帀捙鹣誼聭見膴雓妊眧碋銾蜸錮蔲可對巍羘肀豥鷙鄗碰菟衤縀稨韷梮鯚喒筁裆仏琞剃耵潏摉阜胴堜姘獚絋璾蚼抡囼浌衙庮璌霤腺橎脏鬫廅蝫篝氈瘴烦阣寑儕巄膓儶楂鈳殮垫碬憩界伄橶痧逡勏残憴炾鋅汏浡觛鱟 1 2 3 4 5 6男女男男女 7古古怪怪古古怪怪个 8vvvvvvv 9 娌飯軨儋泂嗦頳鼤鑰鄔熔箝鸖擄閼僳洚釭弡核髁嬲犵宀鳤莚癞蚇