信息的安全管理讲义.ppt

部署的原则是建立一个系统控制中心，从客户端部署到所辖网络中所有的主要服务器主机和每一个桌面操作系统之上，形成全面的防护和管理体系。 五、身份认证安全技术 （一）动态口令认证 动态口令认证技术采用密码算法和身份认证协议，系统为每一个用户分配一个用户名，从而生成一组用户密钥，并且将这些记录加密报讯在服务器端的数据库，认证客户端根据该用户的密钥和当前时间数值，通过密码换算法，生成用户的当前登陆口令。 （二）PKI技术 该技术是另一种广泛应用的强身份认证机制，可提供身份认证、可信时间戳等安全服务 PKI技术的根基是公钥密码体制 PKI技术是一个包括硬件、软件、人员、政策和手续的集合 信息与信息安全 信息安全政策 信息安全法律体系 信息安全管理体系(12管理类) 信息安全管理标准 信息安全策略（口令、病毒防治、安培） 信息安全技术（物理、链路、网络、技术） 课程结束，再见 十大流程： 1、服务支持 2、服务交付 事件管理 服务水平管理 问题管理 可用性管理 变更管理 IT服务财务管理 发布管理 容量管理 配置管理 IT服务持续性管理 功能比较 ITIL与BS7799相比：ITIL关注的信息技术更广泛，侧重于具体的实施流程，但缺少信息安全的内容，BS7799可作为ITIL在信息安全方面的补充。 （七）CobiT（信息及相关技术控制目标） 美国信息系统审计与控制协会发布 是目前世界上最先进、最权威的安全与信息技术管理和控制标准。主要目的是为业界提供关于IT控制的清晰政策和发展的良好典范。 Cobit与ITIL比较： 均关注广泛的IT控制，但是更强调目标要求和度量指标，而后者更关注实施流程。 具体在ISMS的建设上，Cobit的框架和目标、ITIL的流程都可以供BS7799借鉴，BS7799的目标只是ITIL和Cobit的一个分支。 第三节 信息安全策略 一、信息安全策略概述 （一）定义：是一种处理安全问题的管理策略的描述，是描述程序目标的高层计划。 安全策略是在效率和安全之间的一个平衡点。 三个基本原则：确定性、完整性、有效性（还应有宏观性） （二）信息安全策略的重要性 （三）指定信息安全策略的时间 任何业务动作过程均有风险，应尽早制定安全策略 无策略的开发，投资和责任都很大 发生过一次的事故很可能会再次发生 从全局考虑，不要把风险孤立对待 （四）信息安全策略开发流程（略） 首先要做的是确定保护对象和原因 其次要制定安全策略的目标 流程： 1、确定策略范围 2、风险评估、审计 3、策略的审查、批准和实施 二、制定信息安全策略 （一）制定原则 1、先进的网络安全技术是网络安全的根本保证 2、严格的安全管理是确保信息安全策略落实的基础 3、严格的法律、法规是网络安全保障的坚强后盾 （二）信息安全策略的设计范围 纵向上分：（略） 总体安全策略 针对特定问题的安全策略 针对特定系统的具体策略 横向分：（略） 物理安全策略 灾难恢复策略 网络安全策略 事故处理紧急响应策略 数据加密策略 安全教育策略 病毒防护策略 口令管理策略 数据备份策略 补丁管理策略 身份认证及授权 系统变更控制策略 系统安全策略 复查审计策略 商业伙伴、客户关系策略 （三）有效的信息安全策略的特点 满足大部分需求并能够维护企业利益 策略应该清晰但不能包含太多的细节 策略应该不断加强 策略的目标应该整合到员工培训课程中去 （四）完整信息安全策略的覆盖范围 三、信息安全策略保护对象 （一）信息系统的硬件与软件 随系统而变化 （二）信息系统的数据 第三方数据的使用 定义好隐私条例 （三）人员 权限和公司行为的合法性 四、主要信息安全策略 （一）口令策略 总体要求 难以破解易于牢记 1、网络服务器口令的管理 部门负责人和网络管理员同时在场设定 系统管理员记录封存 定期更换并销毁原记录封存新记录 发现泄密及时报告、保护现场，须接到上一级主管部门批示后再更换口令 2、用户口令管理 用户负责人与系统管理员商定口令，负责人确认，管理员登记、存档 用户要求查询或更换口令需提交申请单 网络提供用户自我更新口令功能时，用户应自行定期更换并设专人负责保密和维护 创建口令规则 通用规则： 保存口令最安全的地方是脑袋和保险箱 口令需相当长 以