信息安全风险及分析.pptVIP

构造SQL登陆语句 用户名: admin 密码: 1’ or ‘1’=‘1 第60页，共88页，编辑于2022年，星期二 其他例子 击键记录 Office文档挂栽木马 网页木马 木马捆绑 第61页，共88页，编辑于2022年，星期二 信息安全管理概述 第62页，共88页，编辑于2022年，星期二 例一： 局域网内病毒泛滥成灾。 例二： 网络中为什么会有ARP欺骗的问题发生 例三： 局域网内计算机故障频繁发生 例四： 为什么要给每个用户管理员权限 先来分析两个例子 第63页，共88页，编辑于2022年，星期二 信息安全的成败取决于两个因素：技术和管理。 技术是信息安全的构筑材料，管理是真正的粘合剂和催化剂。 人们常说，三分技术，七分管理，可见管理对信息安全的重要性。 信息安全管理（Information Security Management）作为组织完整的管理体系中一个重要的环节，它构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产。 现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的，理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标来说尤其重要。 什么是信息安全管理？ 第64页，共88页，编辑于2022年，星期二 根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施。 实施所选的安全控制措施。 针对检查结果采取应对措施，改进安全状况。 依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查。 信息安全管理模型 第65页，共88页，编辑于2022年，星期二 信息安全必须从整体考虑，必须做到“有计划有目标、发现问题、分析问题、采取措施解决问题、后续监督避免再现”这样全程管理的思路，这就要求建立的是一套完整的信息安全管理体系，这样的系统工程，只有处于组织最高管理者领导和支持之下，才可能成功 最高管理层通过明确信息安全目标和方针为信息安全活动指引方向 最高管理层能够为信息安全活动提供必要的资源支持 最高管理层能够在重大问题上做出决策 最高管理层可以协调组织不同单位不同环节的关系，提升促动力 说到底，最高管理者是组织信息安全的最终责任人 组织高管全面负责信息安全管理 第66页，共88页，编辑于2022年，星期二 制定有效的安全管理计划，可以确保信息安全策略得到恰当执行 进行有效安全管理的途径，应该是自上而下的（Top-Down）： 最高管理层负责启动并定义组织的安全方针 管理中层负责将安全策略充实成标准、基线、指南和程序，并监督执行 业务经理或安全专家负责实施安全管理文件中的指定配置 最终用户负责遵守组织所有的安全策略 安全管理计划小组应该开发三类计划： 战略计划（strategic plan）是长期计划（例如5年），相对稳定，定义了组织的目标和使命 战术计划（tactical plan）是中期计划（例如1年），是对实现战略计划中既定目标的任务和进度的细节描述，例如雇用计划、预算计划、维护计划、系统开发计划等 操作计划（operational plan）是短期的高度细化的计划，须经常更新（每月或每季度），例如培训计划、系统部署计划、产品设计计划等 按计划行事 第67页，共88页，编辑于2022年，星期二 数据收集者（Data Collector）对数据主体（Data Subject）：准确（Accuracy）、隐私（Privacy）； 数据保管者（Data Custodian）对数据拥有者（Data Owner）：可用性（Availability）、完整性（Integrity）、保密性（Confidentiality）； 数据用户（Data Users）对拥有者/主体（Owner/Subject）：保密性（Confidentiality）和完整性； 系统用户（System Users）对系统拥有者（System Owner）：可用性（Availability）和软件完整性（Software Integrity）； 系统管理者（System Manager）对用户（Users），可用性（Integrity）、完整性（Integrity）； 用户（Users）对其它用户（Other Users）：可用性（Availability）。 重要角色和职责 第68页，共88页，编辑于2022年，星期二 信息安全管风险管理 第69页，共88页，编辑于2022年，星期二 风险 风险管理（Risk Ma