《信息安全培训教程》第14章 信息安全整体.ppt

1、第14章 信息安全整体解决方案,第14章 信息安全整体解决方案,近几年来，随着计算机网络异常迅猛的发展，特别是因特网的不断推广应用，信息安全越来越成为人们所关注的全球性的焦点之一，网络在人们日常的生活中的地位越来越重要，因此网络信息安全问题就显得尤为关键。,第14章 信息安全整体解决方案,14.1 信息安全整体解决方案概述 如何保障信息和网络的使用安全，如何制定并实施合适的信息安全规则，已成为了摆在每一个企业面前亟待解决的问题。信息安全整体解决方案必须遵循全面性、实用性、标准性、一致性、扩展性、易学和易用性的基本原则。,第14章 信息安全整体解决方案,14.2 制定信息安全整体解决方案 信息安

2、全整体解决方案必须有一个整体的、动态实用的安全概念。要在整个方案涉及中，有一种总体把握的能力，不能只关注自己熟悉的某一个领域，而对其他的领域毫不关心。甚至不理解，这样写不出一个好的安全方案。 总的来说，信息安全整体解决方案可以认为是一张施工的图纸，图纸内容架构好坏，直接影响到工程的质量。,第14章 信息安全整体解决方案,14.2.1 应遵循的原则 在对企业的信息安全整体解决方案进行设计、规划时，应遵循以下原则： 1.综合性、整体性原则 2.需求、风险、代价平衡的原则 3.一致性原则 4.易操作性原则 5.分步实施原则 6.多重保护原则,第14章 信息安全整体解决方案,14.2.2 注意事项 一

3、份信息安全方案需要从以下一些方面把握： （1）体现唯一性，最重要的标准 （2）对安全技术和安全风险有一个综合的把握和理解。 （3）对用户的网络系统安全风险和安全威胁有一个合适的把握。 （4）用相应的安全产品，安全技术和管理手段。 （5）方案中要体现对用户的服务支持。,第14章 信息安全整体解决方案,（6）要明白网络系统安全是一个动态的整体的主页的工程，不能进一步解决多有问题。 （7）要不断的和用户进行共同，能够及时得到他们对网络系统在安全方面的要求、期望和所遇到的问题。 （8）方案中所涉及的产品和技术，都经得起验证、推敲和实施，要有理论根据，也要有实际基础。 （9）做方案的时候要充分考虑公司已

4、经有的安全技术与设备。,第14章 信息安全整体解决方案,10.考虑性价比的问题。从公司的高层来界定哪一个解决方案可以选择。 11.技术和设备是可以分层的，一级是最紧迫的，二级是其次。 12.要符合国内外一些标准的安全系统准则。 13.”三分技术、七分管理”，在方案中要突出管理的重要性。,第14章 信息安全整体解决方案,14.2.3 具体内容 一份安全解决方案的框架涉及以下一些方面，根据用户的实际需求的某些方面： 1.安全风险分析 2.安全投资 3.信息系统的安全原则 4.信息安全框架 5.安全产品的选择,第14章 信息安全整体解决方案,6.安全管理策略 7.风险评估 8.安全服务 9.安全培训 10.安全管理人员或团队,第14章 信息安全整体解决方案,14.3 符合安全标准的安全系统 要保证安全建设的先进性、完整性、全面性。安全设计必须遵循国内国际相关的安全标准。目前比较出名的安全标准： 1.中国计算机信息系统安全保护等级划分准则 （GB17859) 2.系统安全工程成熟度模型(SSE-CMM) 3.信息保障技术框架(IATF3.0),第14章 信息安全整体解决方案,4.站点安全手册(RFC2196) 5.信息安全管理(BS7799/ISO17799/OISO27001) 6.信息技术安全管理指南(ISO13