信息系统安全技术--安全审计与分析.ppt

持续审计的可以采取的有效步骤 加强访问控制机制 建立和维护系统 确保网络满足商业目标 保持安全策略的一致性 重复的过程 安全审计和安全标准 安全审计可参考的标准 ISO 7498-2 英国标准7799（BS 7799） ISO 15408 （Common Criteria，CC） ISO 7498 ISO建立了7498系列标准来帮助网络实施标准化。其中第二个文件7498-2描述了如何确保站点安全和实施有效的审计计划。它是第一篇论述如何系统的达到网络安全的文章，大家可以从：WWW.ISO.CH获得更多的ISO标准的消息。 英国标准7799（BS 7799） BS 7799文档的标题是《A Code of Practice For Information Security Management》，论述了如何确保网络系统安全。 1999年的版本有两个部分，BS 7799-1论述了确保网络安全所采取的步骤； BS 7799-2讨论了在实施信息安全管理系统（ISMS）是应采取的步骤。 ISO 17799 虽然BS 7799是英国标准，但由于它可以帮助网络专家设计实施计划并提交结果，所以很多非英国的安全人士也接受这一标准。 ISO 17799 于2000年12月出版，它是适用于所有的组织，建议成为强制性的安全标准。它是基于 BS7799 之上的，BS7799 1995年2月首版，最后一次修订和改进是在1999年5月 ISO 17799概述 ISO 17799 在安全问题的范围上是全面的。它包含大量实质性的控制要求,有些是极其复杂的。 要符合ISO 17799，或其他真正的任何详细安全标准，都不是一项简单的事情。甚至对于最有安全意识的组织来说，认证就更令人头痛了。 什么是ISO 17799 ？ ISO17799 是一个详细的安全标准。包括安全内容的所有准则，由十个独立的部分组成， 每一节都覆盖了不同的主题和区域。 1、商业持续规划 这节的主要内容包括： 1）防止商业活动的中断； 2）防止关键商业过程免受重大失误或灾难的影响。 2、系统访问控制 ——这节的主要内容有： 1）控制访问信息； 2）阻止非法访问信息系统 ； 3）确保网络服务得到保护 ； 4）阻止非法访问计算机； 5）检测非法行为； 6）保证在使用移动计算机和远程网络设备时信息的安全 3、系统开发和维护 这节的主要内容有： 1 ) 确保信息安全保护深入到操作系统中； 2 ) 阻止应用系统中的用户数据的丢失，修改或误用； 3 ) 确保信息的保密性，可靠性和完整性； 4 ) 确保IT项目工程及其支持活动是在安全的方式下进行的； 5 ) 维护应用程序软件和数据的安全。 4、物理和环境安全 这部分的主要内容有： 阻止对业务机密和信息非法的访问，损坏干扰； 阻止资产的丢失，损坏或遭受危险，使业务活动免受干扰； 阻止信息和信息处理设备的免受损坏或盗窃。 5、符合性 这部分的主要内容有： 避免违背刑法、民法、条例或契约责任、以及各种安全要求； 确保组织系统符合安全方针和标准； 使系统审查过程的绩效最大化，并将干扰因素降到最小。 6、人员安全 这部分的主要内容包括： 减少错误，偷窃，欺骗或资源误用等人为风险； 确保使用者了解信息安全的威胁和，在他们的正常的工作中有相应的训练，以便利于信息安全政策的贯彻和实施； 通过从以前事件和故障中汲取教训，最大限度降低安全的损失。 7、安全组织 这节的主要内容包括： 在公司内部管理信息安全； 保持组织的信息采集设施和可被第三方利用的信息资产的安全性 ； 当信息处理的责任需借助于外力是时，维持信息的安全。 8、计算机与网络管理 这节的目的是： 确保信息处理设备的正确和安全的操作； 降低系统失效的风险到最小； 保护软件和信息的完整性； 维护信息处理和通讯的完整性和可用性； 确保网络信息的安全措施和支持基础结构的保护； 防止资产被损坏和业务活动被干扰中断； 防止组织间的交易信息遭受损坏，修改或误用。 9、资产分类和控制 这节的主要阐述了： 对于共同的资产给予适当的保护并且确保那些信息资产得到适当水平的保护。 10. 安全政策 这节的目的是： 为信息安全提供管理方向和支持。 在完善ISMS时，应遵循以下步骤 定义安全策略 为你的信息安全管理系统（ISMS）定义范围 风险评估 对已知的风险进行排序和管理 BS 7799和ISO 7498-2建议的步骤 发布安全策略 公布负责人名单 培训公司人员的信息安全意识 定义汇报事件的程序 建立有效的反病毒保护措施 确保实施的策略与公司商业目标的一致性 BS 7799和ISO 7498-2建议的步骤 制定规范以确保雇员不会为了完成任务而破坏软件许可规则 物理上确保对网络操作记录的