信息安全体系结构与信息安全策略课件.pptVIP

作业 某IT 公司总部位于某省会城市的高新科技园区，并在四川、辽宁、河北、广东设有分公司。企业信息网络承载了企业的OA 、财务管理系统、FTP 服务和企业商务网站、邮件服务等数据通信业务。该网络拓扑如图 所示。 作业 (1)企业总部局域网通过一台核心三层交换机实现各部门网络间数据的高速交换。 (2) 企业总部分别租用网通、电信线路连接到本地ISP ，各分公司通过网通或电信ADSL 线路连接到本地ISP ，企业总部与分公司通过Internet 实现网络互联。 (3) 企业总部Web 服务器(内部地址: 10. O. 1. 10 / 24 。外部地址: 192.168. 0.10 / 28) 、企业总部邮件服务器(内部地址: 10. O. 1. 11 / 24 。外部地址:1 / 28) 可供内外网用户访问。企业总部FTP 服务器（10. O. 1. 12 / 24) 仅供企业内网用户访问。 作业 请为该企业网络设计一个整体的安全方案 2.3.3 设计原则 1、需求明确 2、代价平衡 3、标准优先 4、技术成熟 5、管理跟进 6、综合防护 6. 保护公司财务部与各分公司财务部的通信安全 5. 实现企业内部网络到外部网络的地址转换，使企业总部各部门都可以访问Internet 资源，同时公网也能访问企业总部的Web 、Mail 服务器 4. 在内网与外网之间过滤非法流量，并能进行常见网络攻击的监测与防护 3. 公司领导、财务部网络可以互访，但总部其他部门不能主动发起对这几个部门的连接请求 2. 企业总部各部门都能访问网络中心服务器和Internet ，外网不可以发起对内网的连接 1.允许网管员远程访问网络设备查看配置，使用debug 命令监视设备运行，但不能修改配置 企业网络安全需求 * * * * * * * * * * * * * * * * * * * * * * * * 随需修订策略 随着应用环境的变化，信息安全策略也必须随之变化和发展才能继续发挥作用。通常组织应该每季度进行一次策略评估，每年至少应该进行一次策略更新。 安全策略的具体内容 信息安全策略的制定者综合风险评估、信息对业务的重要性，管理考虑、组织所遵从的安全标准，制定组织的信息安全策略，可能包括下面的内容： 加密策略----描述组织对数据加密的安全要求 使用策略 ---描述设备使用、计算机服务使用和雇员安全规定、以保护组织的信息和资源安全。 安全策略的具体内容 线路连接策略---描述诸如传真发送和接收、模拟线路与计算机连接、拨号连接等安全要求。 反病毒策略---给出有效减少计算机病毒对组织的威胁的一些指导方针，明确在哪些环节必须进行病毒检测 应用服务提供策略---定义应用服务提供者必须遵守的安全方针。 安全策略的具体内容 审计策略---描述信息审计要求，包括审计小组的组成、权限、事故调查、安全风险估计、信息安全策略符合程度评价、对用户和系统活动进行监控等活动的要求。 电子邮件使用策略---描述内部和外部电子邮件接收、传递的安全要求。 数据库策略-----描述存储、检索、更新等管理数据库数据的安全要求。 安全策略的具体内容 非武装区域策略----定义位于“非军事区域”（Demilitarized Zone）的设备和网络分区。 第三方的连接策略---定义第三方接入的安全要求。 敏感信息策略---对于组织的机密信息进行分级，按照它们的敏感度描述安全要求。 安全策略的具体内容 内部策略---描述对组织内部的各种活动安全要求，使组织的产品服务和利益受到充分保护。 Internet接入策略---定义在组织防火墙之外的设备和操作的安全要求。 口令防护策略----定义创建，保护和改变口令的要求 远程访问策略----定义从外部主机或者网络连接到组织的网络进行外部访问的安全要求。 安全策略的具体内容 路由器安全策略—定义组织内部路由器和交换机的最低安全配置。 服务器安全策略---定义组织内部服务器的最低安全配置。 VPN安全策略----定义通过VPN接入的安全要求。 无线通讯策略----定义无线系统接入的安全要求。 安全策略实例 第五章 电子邮件 第二十五条 电子邮件已成为常用的通信方式，但电子邮件导致病毒传播、数据泄露，垃圾邮件消耗系统资源、降低工作效率等安全问题日益严重，员工在使用电子邮件时应作好相应安全防范工作。 第二十六条 根据用途和数据安全等因素建立邮箱分类使用策略： 1) 收发公司业务数据时使用公司内部OA邮箱； 2) 公务处理和私人邮箱分开； 3)?网站注册用户时提供不重要的邮箱作为联系邮箱等，? 安全策略实例 第二十七条 为经常使用的邮箱和重要邮箱设置优质的密码，并定期修改，建议每季度修改一次。不同用途的邮箱设置不同的密码。?? 第二十