第九讲制定信息安全策略.pptVIP

第九讲 制定信息安全策略 王大勇 Wangdayong@263.net 主要内容 什么是安全策略 编写信息安全策略 维护策略 主要内容 什么是安全策略 编写信息安全策略 维护策略 什么是安全策略？ 信息安全策略是描述程序目标的高层计划 它既不是指导方针或标准，也不是执行程序或控制 策略为一个总体安全程序提供一份计划 策略是对具体操作程序应该实现的目标的一句声明 策略的重要性 策略不涉及具体的操作 策略告诉你要保护什么，要在控制上加什么约束 没有安全策略，其他的安全手段均无法正确发挥作用 怎样开发策略 确定编写哪些策略 风险评估/分析或者审计 审查、批准和实施 确定安全策略需求 明确要保护的对象 判断系统保护应该针对哪些人 数据安全考虑 备份、文档存储和数据处理 知识产权权利和策略 意外事件响应和取证 确定信息安全责任 管理层的责任 信息安全部门的角色 其他信息安全角色 了解安全管理和法律实施 信息安全意识培训和支持 主要内容 什么是安全策略 编写信息安全策略 维护策略 编写信息安全策略 物理安全 身份认证和网络安全 Internet安全策略 电子邮件安全策略 病毒、蠕虫和特洛伊木马 加密 软件开发策略 … … A. 物理安全 物理安全很容易，因为每个人都明白从物理上保护财产的概念 一个好的策略不仅仅包括枪支、警卫、大门，还要考虑到设备计划和灾难恢复过程 A. 物理安全 计算机放置地点和设施结构 设备访问控制 意外事件应对计划 一般计算机系统安全 系统和网络配置的定期审计 人员方面考虑 1.计算机放置地点和设施结构 设备结构 锁和防护设施 环境支持 清单维护 2.设备访问控制 建立访问控制 对计算机设备的访问控制 来宾 3．意外事件应对计划 紧急事件响应计划 灾难恢复 安全警告 4．一般计算机系统安全 预防性维护 系统可用性 B. 身份认证和网络安全 网络安全不仅仅保护Internet，也保护所有网络连接和接口。 网络和互联安全策略是网络安全程序的一部分，网络安全程序包括：网络编址、子网以及如何管理网络连接等问题。 对信息资源的访问而言，访问控制的基础是对系统和网络的访问许可，身份认证被用来授权访问 B. 身份认证和网络安全 网络编址和体系结构 网络访问控制 登录安全 口令 用户界面 访问控制 远程办公与远程访问 1．网络编址和体系结构 网络规划 网络编址 网络扩展策略 2．网络访问控制 网关 虚拟专用网络和Intranet 服务的授权 3.登录安全 登录需求和程序 用户访问管理 处理特权情况 4. 口令 合法口令定制策略 口令存储 特殊口令 5．用户界面 用户界面通常依赖于OS和软件机制 策略可以在定义口令接受过程中发挥有效的作用 6．访问控制 访问控制不是验证所必需的过程。 访问控制策略的重点应该在哪里使用访问控制而不是如何使用 7.远程办公与远程访问 员工设备准则 远程访问数据安全准则 员工责任 电信和远程访问设备 Internet的隧道 C. Internet 安全策略 想写出包罗万象、覆盖Internet安全的所有方面的策略很困难。 你可以采取一个实用的方法确保所有事情都被覆盖。就像整体安全策略一样，可以从技术上将Internet策略分成逻辑小组。 C. Internet 安全策略 理解internet大门 管理责任 用户责任 WWW策略 应用程序责任 VPN、Extranet、Intranet和其他隧道 调制解调器和其他后门 使用PKI和其他控制 1．理解internet大门 体系结构问题 允许的服务 新闻组消息 2．管理责任 维护 外购服务协议 实施 3．用户责任 培训 了解Internet使用代表着什么 敏感信息的传输 下载信息的可靠性 4．WWW策略 网络和基础设施和web访问 Cgi和其他支持程序的安全和维护 内容增强器 内容控制 隐私策略 用户对Web的访问 5．应用程序责任 数据和文件传输 Internet事务处理的认证 D. 电子邮件安全策略 除了强大的通信功能，电子邮件可以发送私人信息、骚扰其他用户、从事违法活动等 电子邮件可以成为电子明信片，从归档到内容准则，都应该有很多考虑 D. 电子邮件安全策略 电子邮件使用规则 电子邮件的管理 保密通信中电子邮件的管理 1．电子邮件使用规则 用户必须遵守的规则和指导方针应该出现在编写策略文档开始。 2．电子邮件的管理 建立监视电子邮件的权利 邮件大小限制 3．保密通信中电子邮件的管理 电子邮件加密 数字签名电子邮件 E. 病毒、蠕虫和特伊木马 新病毒屡见不鲜，感染着计算机网络 编写策略中，必须建立对保护的需要，增强对策略的需求度和效果 策略中应该包含公司如何提供病毒防护和处理第3方软件 E. 病毒、蠕虫和特伊木马 对保护的需要 建立病