信息安全体系规划(最后一节).pptVIP

安全保障系统规划讲课者：金 海 第一部分 信息安全的认识 第二部分 信息安全的发展 第三部分 信息安全体系的设计 第四部分 信息安全工程的实施 第五部分 信息安全的维护 第一部分信息安全的认识 信息安全的两个方面 面向数据和信息的安全通过安全服务，安全产品解决 面向访问（人）的安全通过安全咨询解决 信息安全的理念 安全是收敛的 安全产品不等于安全 安全是动态平衡 安全必须通过管理实现 正确认识安全(1) 安全产品与产品安全 在字面上理解是比较显然的，但在实际工作中很容易混淆和难以判断，如：交换机---可以造成信息安全，但不是安全产品等。 安全的相对性和不可预测性 安全与时间（不同时间段）、应用对象（如金融与政务）、范围（内部办公人员与规模服务）等呈现出它的相对性； 安全还有不可预测性，这就需要建立完备的灾难应急机制与组织。 正确认识安全(2) 没有证明安全就认为不安全与没有证明不安全就认为安全 持有这种观点的用户（特别是部门主管）很多，甚至于部分安全专家，系统和产品安全不能简单地从本观点出发，首先具体问题具体分析，如安全需求（有时需要对信息分层次管理保护）、安全策略保障程度是否满足需求。 正确认识安全(3) 安全服务和服务安全 安全服务一般指安全评估、技术解决方案提供、安全培训、安全配套管理体系设计、甚至安全托管服务等； 服务安全是指服务提