信息系统的安全策略课程.docx

③第10章信息系统的安全策略 10. 1信息系统安全策略的内涵 10. 2信息系统安全策略的方案 10. 3信息系统安全管理的实施 10. 4系统备份和恢复 10. 5审计与评估 ③10/1信息系统安全策略的内涵 ③10/1信息系统安全策略的内涵 10. 1. 1安全策略是安全管理的指导原则 10. 1. 2安全策略的目的与内容 10.1. 3安全策略的基本流程 10. 1. 4安全策略的特征 10. 1. 5与信息安全策略有关的名词简介 ③10/1信息系统安全策略的内涵 ③10/1信息系统安全策略的内涵 ?信息安全策略(Information Security Policies)^是对信息 安全管理系统 (information security management system ISMS ）的目的和意图的高层次描述。 ?安全策略应符合业务需求和相关法律、法规，应能提供管理 的方向和支持。安全策略形成的文件应获得管理层的批准， 应与内外部相关的团体、部门沟通并向所有员工发布，应按 计划或变化进行评审和改进，确保策略的持续性、稳定性、 充分性与有效性。 ?概括地讲，安全策略为确保ISMS的“安全”,提供ISMS “资 源与现状”的“需求”、提出ISMS “目标与原则”的“要求 ?实际上的安全管理都是分级、分层次的，所以可以有各级、 各层次的安全策略。 10.1.1 10.1.1安全策略是安全管理的指导原则 ?信息安全策略是组织对信息系统安全进行管理、曙护白，扌醫 r 原则。在安全策略的指导下开展安全技术项目、订立安全管 理制度、组织协调实施、监督、检查与改进，并形成为对系 统安全的要求和目标进行详细描述的高层的管理文档。信息 安全策略陈述信息安全系统应该做什么以及如何去做。信息 系统的安全策略是信息安全管理的重要组成部分。没有一个 好的安全策略，就可能对信息安全的指挥发生漏洞与混乱， 对安全造成极大的危害，对社会与经济带来极大的损失。 1. 2安全策略的目的与内容 ?安全策略的目的是提供建立、实施、运作、监扌I?评审*f— 护和改进信息安全管理体系（ISMS）的规范，实现信息安全 的机密性、完整性和可用性。 ?制定安全策略的目的，是为了保证网络安全保护工作的整体 、计划性及规范性，保证各项措施和管理手段的正确实施， 使网络系统信息数据的机密性、完整性及可使用性受到全面 、可靠的保护。内容主要是确定所保护的对象是什么、要防 范的对象是什么、在安全防范上能投入多少等。 10. 1. 3安全策略的基本流程 10. 1. 3安全策略的基本流程 1、 进行安全需求分析 2、 对网络系统资源进行评估、 3、 对可能存在的风险进行分析 4、 确定内部信息对外开放的种类 5、 明确网络系统管理人员的责任与义务 6、 确定针对潜在风险才去的安全保护措施的主要构成方面 10. 1. 4 10. 1. 4安全策略的特征 ?网络的安全问题不是单纯的技术问题，安全管理在整个网貉 安全保护工作中的地位十分重要。任何先进的网络安全技术 都必须在有效、正确的管理控制下才能得到较好的实施。 ?安全策略具有下列一些基本特征: ? 1.全面性：安全策略的全面性是指它能够适用于系统的所有 情况，具有不用修改就可以适用于出现的新情况。 ? 2.持久性：安全策略的持久性是指它能够较长时间地适用于 系统不断发展变化的情况。为了保持持久性，在制定安全策 略时可将可能发生变化的部分单列，允许有权限的人员在将 来系统变化时修改。 1. 4 1. 4安全策略的特征 ?3.现实性：安全策略的现实性是指它能够适用牛4统扁翼用 的现有技术实现。 ?4.预见性：安全策略的预见性是指它能够适用于系统的 ?5.有效性：安全策略的有效性是指对于系统的有关人员都是 可用的。 O O ^^10. 1. 5 ^^10. 1. 5与信息安全策略有关的名词简介 1.资产(asset ):具有价值的信息与相关财产； 2.保密性(confidentiality ):资产不能被未授权的个人、实体、流 程访问披露。 3.完整性(integrity )：资产的真实、可靠、准确、可确认和不可否认 性。 4.可用性(availability ):信息与相关资产可保证被授权的使用者访 问。 5.信息安全(information security ):信息的保密性、完整性、可用 性及其他属性受到安全保护； 6.管理系统(management system):包括组织结构、策略、指导、职责 、实践、程序、流程和资源的整体。 7. 信息安全管理系统 (informa.tion security management system ISMS ):建立在信息安全的基础上，以开发、实施、运行、评审、维护 和改进信息安全的管理系统