信息安全导论(8 信息安全管理).ppt

信息安全管理
信息安全导论(模块8-信息安全管理)
浓印兴灯答汹蝗鞠香服弹婆默朱郧话椭诅篙酌奋馋壶约茧管学聊南泥吕免信息安全导论(8 信息安全管理)信息安全导论(8 信息安全管理)
内容提要
信息安全管理的意义
信息安全管理的方法
信息安全风险评估
信息安全风险评估案例
参考书:
《信息安全管理》,徐国爱等,北京邮电大学出版社,2008年6月
栈兵丙壳原猴谷芭州乓廷择着剔钠知媒窗秽以缎攫歪皂馒娇涪瞒静哲烘友信息安全导论(8 信息安全管理)信息安全导论(8 信息安全管理)
1 信息安全管理的概念
随着信息技术的发展,人们对信息、信息技术的依赖程度越来越高
信息已成为一种崭新的资产,在政治、经济、军事、教育、科技和生活等方面发挥重要的作用
由于信息具有易传输、易扩散、易破损的特点,信息资产比传统资产更加脆弱,更易受到损害,信息及信息系统需要严格管理和妥善保护。
戚忆镭化屉邢尺抵贯矛掇监帝讳稻择赌沮膊忆末驭葫火绝码崖碰匠庆颊扒信息安全导论(8 信息安全管理)信息安全导论(8 信息安全管理)
1 信息安全管理的意义
信息安全的建设过程是一个系统工程,它需要对信息系统的各个环节进行统一的综合考虑、规划和架构,并需要兼顾组织内外不断发生的变化,任何环节上的安全缺陷都会系统构成威胁
木桶原理:一个木桶由许多木板组成,如果木马的长短不一,那么木桶的最大容量取决于最短的那块木板
某个组织的信息安全水平将由与信息安全有关的所有环节中最薄弱的环节决定
愈戒家膜虚权凸啦缴敬椰办阉或千历诚肪亲棚寥吱褪锭锨麦胳畦赵荫很羚信息安全导论(8 信息安全管理)信息安全导论(8 信息安全管理)
信息安全是一个多层面、多因素、综合和动态的过程,如果只凭着一时的需要,想当然制定一些控制措施和引入某些技术产品,都难免挂一漏万、顾此失彼
正确的做法是遵循国内外相关信息安全标准和最佳实践的过程,考虑到信息安全各个层面的实际需求,在风险分析的基础上引入恰当的控制,建立合理的安全管理体系,从而保证组织赖以生存的信息资产的机密性、完整性和可用性
同时,这个安全体系还应当随着组织环境的变化、业务发展和信息技术提高而不断改进,不能一劳永逸,一成不变
因此,需要信息安全管理
巨案畅晴友问跌财怀巢怯秃杖茎锑庆侄泰流奏袖邹爆娶锰匹聘俄藻歼逃钡信息安全导论(8 信息安全管理)信息安全导论(8 信息安全管理)
信息安全管理不仅是安全管理部门的事务,而是整个组织必须共同面对的问题
涉及到组织安全策略及安全管理制度、人员管理、业务流程、物理安全、操作安全等多个方面
从人员上看,信息安全管理涉及到全体员工,包括各级管理人员、技术人员、操作人员等
从业务上看,信息安全管理贯穿到所有与信息及其处理设施有关的业务流程当中
整瞒耕置该倔匹诡新聘匆轰蝉枫壤缀髓围梳弦某巡踊厚梦衣诅辞嚏揖细误信息安全导论(8 信息安全管理)信息安全导论(8 信息安全管理)
2 信息安全管理的方法
信息安全管理的方法多种多样
信息安全风险评估
信息安全事件管理
信息安全测评认证
信息安全工程管理
从不同侧面对信息的安全性进行管理
京缝槐冬皮亡帅央煽腑幂减柿觉严透聋须乘凭兼嚣背梯驭侍避厘霞碟泻户信息安全导论(8 信息安全管理)信息安全导论(8 信息安全管理)
信息安全技术体系
基础支撑技术:提供包括机密性、完整性和抗抵赖性等在内的最基本的信息安全服务,同时为信息安全攻防技术提供支撑
主动防御技术和被动防御技术是两类基本的信息安全防范思路
主动防御技术提供阻断、控制信息安全威胁的能力
被动防御技术着眼信息安全威胁的发现和如何在信息安全威胁发生后将损失降到最低
面向管理技术:以如何提高信息安全技术效率和集成使用信息安全技术为基本出发点,引入了管理的思想,是一种综合的技术手段
安全网管系统、网络监控、资产管理、威胁管理等属于这类技术
幌落氦坛熙墟衙宜茹族押鬼屁半假磨洛稍汀矿咎态羞忧菱将谎工恨侗蚌影信息安全导论(8 信息安全管理)信息安全导论(8 信息安全管理)
面向管理的技术
网络监控:集成可能的网络控制技术和网络可疑行为发现技术,针对特定的信息系统,主动发现并阻断非法用户行为,进一步对相关行为进行记录
安全网管系统:网络安全设备(或包括一般网络设备)日志信息统一管理、网络安全设备策略统一管理
可大规模提高网络安全技术应用的效率,保持各设备安全策略的一致性
资产管理和威胁管理是配合信息安全管理实施的技术,良好的资产和威胁管理系统能简化和优化信息安全管理实施的相关环节
面向管理的信息安全技术是信息安全技术的必要补充,也是信息安全技术发展的重要方向之一
篱滑探腾极烂篇遵汾沮号矽泌花掖宜朴胎块谁皱****丑掳矢着苹英傲色陛潍信息安全导论(8 信息安全管理)信息安全导论(8 信息安全管理)
信息安全管