信息安全策略.ppt

第五章信息安全策略 本章学习目标 掌握信息安全策略的基本概念和制定原则 掌握信息安全策略的规划和实施方法 了解环境安全策略 系统安全策略 病毒防护策略及安全教育策略 5 1信息安全策略概述 信息安全策略是一组规则 它定义了一个组织要实现的安全目标和实现这些安全目标的途径信息安全策略包括两个部分 问题策略 IssuePolicy 和功能策略 FunctionalPolicy 问题策略描述了一个组织所关心的安全领域和对这些领域内安全问题的基本态度 功能策略描述如何解决所关心的问题 包括制定具体的硬件和软件配置规格说明 使用策略以及雇员行为策略 信息安全策略的特点 信息安全策略必须有清晰和完全的文档描述 必须有相应的措施保证信息安全策略得到强制执行信息安全策略是原则性和不涉及具体细节的信息安全策略是可以被审核的 即能够对组织内各个部门信息安全策略的遵守程度给出评价信息安全策略的描述语言应该是简洁的 非技术性的和具有指导性的例 任何类别为机密的信息 无论存储在计算机中 还是通过公共网络传输时 必须使用本公司信息安全部门指定的加密硬件或者加密软件予以保护 信息安全策略的制定原则 先进的网络安全技术是网络安全的根本保证严格的安全管理是确保安全策略落实的基础严格的法律 法规是网络安全保障的坚强后盾 信息安全策略的制定过程 首先应当确定策略的总体目标 必须保证已经把所有可能需要策略的地方都考虑到 可以设计硬件 软件 访问 用户 廉洁 网络 通信以及实施等各个方面其次需要确定策略的结构 定义每个策略负责的区域 明确要保护什么和需要付出多大的代价去保护参考相关的标准文本和类似组织的安全管理经验征求意见 并对安全策略做出调整 信息安全策略的框架 加密策略 描述组织对数据加密的安全要求使用策略 描述设备使用 计算机服务使用和雇员安全规定 以保护组织的信息和资源安全线路连接策略 描述诸如传真发送和接收 模拟线路与计算机连接 拨号连接等安全要求反病毒策略 给出有效减少计算机病毒对组织的威胁的一些指导方针 明确在哪些环节必须进行病毒检测应用服务提供策略 定义应用服务提供者必须遵守的安全方针 信息安全策略的框架 审计策略 描述信息审计要求 包括审计小组的组成 权限 事故调查 安全风险估计 信息安全策略符合程度评价 对用户和系统活动进行监控等活动的要求电子邮件使用策略 描述内部和外部电子邮件接收 传递的安全要求数据库策略 描述存储 检索 更新等管理数据库数据的安全要求 信息安全策略的框架 第三方的连接策略 定义第三方接入的安全要求敏感信息策略 对于组织的机密信息进行分级 按照它们的敏感度描述安全要求内部策略 描述对组织内部的各种活动安全要求 使组织的产品服务和利益受到充分保护Internet接入策略 定义在组织防火墙之外的设备和操作的安全要求口令防护策略 定义创建 保护和改变口令的要求 信息安全策略的框架 远程访问策略 定义从外部主机或者网络连接到组织的网络进行外部访问的安全要求路由器安全策略 定义组织内部路由器和交换机的最低安全配置服务器安全策略 定义组织内部服务器的最低安全配置VPN安全策略 定义通过VPN接入的安全要求无线通讯策略 定义无线系统接入的安全要求 5 2信息安全策略规划与实施 一 确定安全策略保护的对象1网络结构2硬件和软件清单3数据清单4外部服务与数据5隐私数据与隐私条例6人员 5 2信息安全策略规划与实施 二 确定安全策略使用的主要技术1防火墙技术2入侵检测技术3备份技术4加密技术 5 2信息安全策略规划与实施 三 安全策略的实施1启动安全策略2安全架构指导3事件响应过程4可接受的应用策略5系统管理过程6策略的补充与更新 5 3环境安全策略 1空调系统温度 20 2 湿度 50 5 吹尘 吸尘2防静电措施接地防静电地板防静电金属手环 5 3环境安全策略 3防火机制防火隔离带火灾报警系统灭火设施4电源UPS应急电源接地系统5防雷系统6门禁系统 5 4系统安全策略 WWW服务策略WWW服务的安全漏洞WEB欺骗HTTP通信安全HTTPS电子邮件安全策略电子邮件病毒电子邮件内容保密 电子邮件安全网关 PGP 5 4系统安全策略 数据库安全策略数据库的访问控制数据库加密数据库审计FTP安全策略FTP服务漏洞FTP访问控制FTP服务性能 5 5病毒防护策略 病毒检测控制病毒传播清楚病毒数据恢复 5 6安全教育策略 安全教育的对象主管信息安全工作的各级管理人员其培训重点是了解掌握企业信息安全的整体策略及目标 信息安全体系的构成 安全管理部门团队的建立和管理制度的制定等负责信息安全运行管理及维护的技术人员其培训重点是充分理解信息安全管理策略 掌握安全评估的基本方法 对安全操作和维护技术的合理运用等普通用户其培训重点是学习各种安全操作流程 了解和掌握与其相关的安全策略知识 包括自身应该承担的安全职责等 5 6安全教育策略 帮助用户们理解他们能够使用哪些应用和数据 而哪些应用和数据是他们可以和其他人共享的加强企业内正在执行的指导方针 规定对于工作站 笔记本电脑和