信息安全基础知识培训教材.ppt

* * * * * * * * * * * * * * * * 过程管理模型 * 1、通信保密最初是从战争中提出的需求。与当时信息化应用较为简单，仅仅限制在少数领域内的远程通信的状况是相对应的。其根本原因是由于基本通信机制的可复制性，为了实现不被通信的第三方知晓，需要进行加密。 * * * * * * * * * * 1、由于系统的软硬件都是人设计的，不可能十全十美，各种技术又在发展，因此使得一些设备的薄弱点总是不断被发现。例如，操作系统的漏洞、应用软件的不合理等。 2、对信息系统这个概念的理解已经突破了90年代仅限于”有形设备“的理解，这实际是与目前信息系统与业务不可区分的趋势相关的。 * 我们这一部分讲”信息安全保障“，是从微观的角度，讲”信息系统安全保障“ * * * * * * * * * * * * * * 等级保护数据安全的具体要求 （一）数据完整性 系统管理数据、鉴别信息和重要业务数据在传输和存储过程中都要进行完整性检验及必要的恢复措施。 系统管理数据：配置数据 鉴别信息：用于用户身份鉴别的信息 恢复措施：可用手工完成 * * 等级保护数据安全的具体要求 （二）数据保密性 系统管理数据、鉴别信息和重要业务数据在传输和存储过程中都要采取加密或其他措施。 * * 等级保护数据安全的具体要求 （三）备份和恢复 完全数据备份至少每天一次，备份介质场外存放； 应提供异地数据备份功能； 采用冗余技术设计网络拓扑结构，避免关键节点存在单点故障； 应提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性。 * * 等级保护管理要求中涉及系统开发的具体要求 方案设计 软件开发 工程实施 测试验收 * * 等级保护开发安全的具体要求 （一）方案设计 文档1：系统建设方案、详细设计方案 要求1：方案中提到安全要求 文档2：近期和远期的安全建设计划 要求2：每个系统均有安全建设计划 * * 等级保护开发安全的具体要求 （二）自行软件开发 文档1：软件开发管理制度 文档2：代码编写规范 文档3：软件设计相关文档和使用指南 要求3：包括《项目立项申请表》、《项目开发任务书》，《需求分析说明书》、《系统设计说明书》、《系统测试计划》、《系统测试报告》、《项目投产方案》、《系统操作手册》等。 文档4：源代码修改、更新、发布的授权审批记录 * * 等级保护开发安全的具体要求 （三）外包软件开发 文档1：软件开发安全协议（包含保密协议） 文档2：验收检测报告 要求2：包含功能测试、性能测试、源代码恶意代码检查。 文档3：需求分析说明书、软件设计说明书、软件操作手册、用户培训计划、用户培训记录 * * 等级保护开发安全的具体要求 （四）工程实施 文档1：信息系统工程安全建设方案 要求1：项目建设方案（项目管理计划）其中明确实施方责任、项目时间进度、任务要求、质量控制等。 文档2：工程实施管理制度 要求2：针对项目集成单位的管理制度。 文档3：阶段性工作报告 要求3：项目管理过程中周报、月报、项目总结等。 * * 等级保护开发安全的具体要求 （五）测试验收及系统交付 文档1：系统测试方案、测试记录、测试报告、验收测试管理制度、验收报告 要求1：系统测试包括业务功能测试、性能测试、安全性测试等。 文档2：系统交付管理制度、系统交付清单、运维技术人员培训记录 要求2：开发厂商或交通银行开发部人员，对业务用户、运维管理人员的培训。 * * 等级保护管理要求中涉及系统运维的具体要求 环境管理 资产管理 介质管理 设备管理 监控管理 网络安全管理 系统安全管理 恶意代码防范 密码管理 变更管理 备份恢复 安全事件处置 应急预案管理 * * 等级保护运维安全的具体要求 （一）环境管理 文档1：机房安全管理制度 要求1：包括机房物理访问、物品出入、机房环境安全等方面。 文档2：机房供配电系统、空调设备、温湿度控制的维护记录 * * 等级保护运维安全的具体要求 （二）资产管理 文档1：资产安全管理制度 要求1：包括资产管理的责任部门、信息分类和资产标识的方法，信息的使用、存储、传输等方面。 文档2：与信息系统相关的资产清单 要求2：资产名称 责任部门、重要程度、所处位置等 * * 等级保护运维安全的具体要求 （三）介质管理 文档1：介质安全管理制度 要求1：包括对介质的存放环境、使用、维护、销毁等方面。 文档2：介质的归档、查询和借用的记录、介质定期盘点记录、介质的送修和销毁记录、对于保密性高的介质销毁需要有领导批准记录、介质物理传输的交接记录 * * 等级保护运维安全的具体要求 （四）设备管理 文档1：设备管理制度 要求1：包括明确设备的选型、采购、领用、发放维护人员责任、涉外维修和服务的审批、维修过程的监控等