信息系统安全集成-第5章课件

1、信息系统安全集成保障手段2信息系统安全集成保障手段本章讲述信息系统安全集成保障手段的相关体系、技术、管理和设计等要素。摘 要 目录安全集成保障手段概述1 安全集成的管理保障2 安全集成的技术保障4 安全集成的工程保障3 目录安全集成保障手段概述1 安全集成的管理保障2 安全集成的技术保障4 安全集成的工程保障3 信息系统安全集成保障 概述 信息系统安全集成保障的一般模型安全集成保障的主要手段鉴别认证访问控制数据完整性数据保密性抗抵赖性安全集成保障安全集成管理的标准ISO 27001介绍 信息安全管理体系（Information Security Management System，ISMS）是

2、组织整体管理体系的一个部分，是基于风险评估，来建立、实施、运行、监视、评审、保持和改进信息安全等一系列的管理活动，是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。 ISO/IEC27001是建立和维护信息安全管理体系的标准，它要求组织通过一系列的过程如确定信息安全管理体系范围，制定信息安全方针和策略，明确管理职责，以风险评估为基础选择控制目标和控制措施等，使组织达到动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式安全集成管理的标准ISO 27001 模型安全集成管理保障 示例证券行业的信息安全管理一、 严格落实管理层发布的信息安全方面的规章制度

3、二、 公司管理层对信息安全工作的支持三、 采取科学的信息安全管理方法全面有效的管理信息安全风险四、 增加对信息安全管理方面人员和资金的投入五、 加强培训，增强各级员工信息安全意识安全集成管理保障 人力资源体系 目录安全集成保障手段概述1 安全集成的管理保障2 安全集成的技术保障4 安全集成的工程保障3安全集成的技术保障 分类基础类：风险控制、体系结构、协议工程、有效评估、工程方法关键类：密码、安全基、内容安全、抗病毒、RBAC 、 IDS、VPN、强审计系统类： PKI、PMI、DRI、KMI 、网络预警、集成管理应用类：EC、EG、NB、NS、NM、WF、XML、CSCW物理与环境类：TEM

4、PEX、物理识别前瞻类：免疫技术、量子密码、漂移技术、语义理解识别信息系统安全体系框架管理体系法律制度培训培训组织体系机 构岗 位人 事技术体系技术管理技术机制安全策略与服务密钥管理审计状态检测入侵检测OSI安全技术运行环境及系统安全技术OSI安全管理安全机制安全服务物理安全系统安全信息系统安全保障体系框架安全服务安全咨询安全顾问安全评估系统加固紧急响应信息保障技术框架IATF信息系统安全保障通用评估GB/T 18336 ISO/IEC 15408信息系统安全管理BS7799ISO/ICE17799信息系统安全工程ISSE系统安全工程能力成熟度SSE-CMM信息系统安全测评安全集成技术保障示例

5、DMZ? E-Mail? File Transfer? HTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继安 全 隐 患外部/个体外部/组织内部/个体内部/组织关闭安全维护“后门”更改缺省的系统口令添加所有操作系统PatchModem数据文件加密安装认证 & 授权用户安全培训授权复查入侵检测实时监控安全集成保障技术与产品体系密码算法、密钥管理及应用类信息安全评估和保障等级类电子证据类内容安全分级及标识类信息安全边界控制及传输安全类身份识别及鉴别协议类网络应急响应与处理类入侵检测框架类信息安全管理类资源访问控制类Web安全应用类 目录安全集成保障手段概述1 安全集成的管理保障2 安全集成的技术保障4 安全集成的工程保障3安全集成的工程保障 概述界定安全需求确定服务合同确定服务人员和组织签订保密协议 集成准备 方案设计 建设实施