Network and Information Security

Slides:



Advertisements
Similar presentations
智能建筑弱电工程师 培训课程简介 主管单位:工业和信息化部教育与考试中心主办单位:北京六度天成教育科技有限公司 联系人: 电话:
Advertisements

专题六 语文课程标准修订对“实验稿”作了哪些修改和调整
计算机网络教程 任课教师:孙颖楷.
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
审核性教学工作评估动员 李 永 苍 2015年5月22日.
第十章 会计工作的组织和管理 第一节 我国会计工作的管理体制.
第十二章   会计规范体系与会计工作组织 内蒙古财经学院会计学院.
初级会计电算化 (用友T3) 制作人:张爱红.
2013年度述职报告.
实用操作系统概念 张惠娟 副教授 1.
各位领导、各位专家上午好! 对你们的到来,双多公司全体干部员工表示热烈的欢迎.
会计学专业基础课堂之 基础会计(初级会计) 安徽财经大学会计学院.
光隆家商 優質化計畫 簡報 校 長 楊瑞明 教務主任 高美麗
国有资产有偿 使用收入管理 湖南省非税收入征收管理局 庞力.
7.2.4 证券投资基金券的发行 一、证券投资基金券的发行人 二、证券投资基金券的发行条件 证券投资基金券的发行人是:基金财团。
中国药物GCP检查 国家食品药品监督管理局药品认证管理中心         李见明         北京 国家食品药品监督管理局药品认证管理中心.
③如何进行行为安全观察.
Information & Security System in China China North Eastern Air Traffic Control Bureau (CAAC) Customer Background Subsidiary of General Administration of.
自治规范视野下的网规 ——网络法治的必由之路
第一节 旅游规划的意义和种类 第二节 旅游规划的内容 第三节 旅游规划的编制 第四节 旅游景区规划
格物资讯开放ICON库 V1R1.
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
Harvard ManageMentor®
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
存储系统.
大学计算机基础 典型案例之一 构建FPT服务器.
第11章:一些著名开源软件介绍 第12章:服务安装和配置 本章教学目标: 了解当前一些应用最广泛的开源软件项目 搭建一个网站服务器
数 控 技 术 华中科技大学机械科学与工程学院.
课程设计.
第17章 网站发布.
Harvard ManageMentor®
化学品清单 类型.
数据挖掘工具性能比较.
運用能力成熟度模型改善企業網站開發之績效 ─以某中小企業為例
你知道这些标志吗?. 你知道这些标志吗? 网络——信息安全 小组讨论 你觉得网络信息安全吗? 为什么?
第3章 信息与信息系统 陈恭和.
程序设计工具实习 Software Program Tool
Harvard ManageMentor®
第4章 非线性规划 4.5 约束最优化方法 2019/4/6 山东大学 软件学院.
何勉 新浪微博: Scrum框架及其背后的原则 原始图片 何勉 新浪微博:
实用网络营销基础 冯英健 2006年8月6日 首页.
新一代安全网上银行 小组成员:杨志明 王晶 任毅 刘建中 关昊 刘超.
《产品设计工程应用》课程 陈兴波 顺德职业技术学院/设计学院/工业设计专业.
C语言程序设计 主讲教师:陆幼利.
微机系统的组成.
质量管理体系和认证人员管理 Quality management system and certification personnel management.
为全面推进深化医药卫生体制改革,积极稳妥推进公立医院 改革,逐步建立我国医院评审评价体系,促进医疗机构加强自身 建设和管理,不断提高医疗质量,保证医疗安全,改善医疗服务, 更好地履行社会职责和义务,提高医疗行业整体服务水平与服务 能力,满足人民群众多层次的医疗服务需求,在总结我国第一周 期医院评审和医院管理年活动等工作经验的基础上,我部印发了.
有效執行 邁向成功的階梯 ( 摘錄自李開復先生著作 :做最好的自己 ).
学生干部角色的定位与转换 肖志文 2013年9月16日.
网页设计与制作 —— 学习情境二:网页模板设计
Harvard ManageMentor®
计算机网络与网页制作 Chapter 07:Dreamweaver CS5入门
JSP实用教程 清华大学出版社 第2章 JSP运行环境和开发环境 教学目标 教学重点 教学过程 2019年5月7日.
信息安全等级保护定级工作简介 网络信息中心
PROJECT NAME 项目名称 张三 安徽xx文化传播有限公司.
OWASP中国介绍 作者:RIP 时间:
海报题目 简介: 介绍此项仿真工作的目标和需要解决的问题。 可以添加合适的图片。
GIS基本功能 数据存储 与管理 数据采集 数据处理 与编辑 空间查询 空间查询 GIS能做什么? 与分析 叠加分析 缓冲区分析 网络分析
Python 环境搭建 基于Anaconda和VSCode.
HULUO Finance and Economics College
户名:CIRS KOREA 账号 :WOORIBANK
第十七讲 密码执行(1).
FVX1100介绍 法视特(上海)图像科技有限公司 施 俊.
国 际 法 第 一 讲 主讲人: 兰州大学法学院李晓静.
入侵检测技术 大连理工大学软件学院 毕玲.
网页版报名流程 Step 4 点击“详情”查阅具体岗位信息,输入身份数据及申请序列码进行最终报名
2019/9/19 互联网产业、立法与网规 张钦坤 腾讯法务部.
整合、改善學生修課資訊 建構全校課程地圖 報告單位:弘光科技大學通識學院 報告日期:100 年01月11日 報 告 人:通識學院楊士奇組長.
IT 安全 第 1节 安全目标.
海报题目 简介: 介绍此项仿真工作的目标和需要解决的问题。 可以添加合适的图片。
Presentation transcript:

Network and Information Security 第15章 网络信息安全管理 第15章 网络信息安全管理 本书前面详细讨论了网络信息安全的各种技术。只有技术是不是可以呢?答案是否定的。除了技术,还要有完善的安全管理。没有完善的安全管理,安全只是一句空话。试想,如果密钥因为管理混乱而泄密,那么密钥设置得强度再高又有什么用呢?本章将讨论安全管理的方方面面。 Network and Information Security

Network and Information Security 第15章 网络信息安全管理 15.1 信息安全管理概述 15.1.1 信息安全管理的概念 所谓管理,是在群体活动中,为了完成一定的任务,实现既定的目标,针对特定的对象,遵循确定的原则,按照规定的程序,运用恰当的方法,所进行的制定计划、建立机构、落实措施、开展培训、检查效果和实施改进等活动。 安全管理是以管理对象的安全为任务和目标的管理。安全管理的任务是保证管理对象的安全。安全管理的目标是达到管理对象所需的安全级别,将风险控制在可以接受的程度。信息安全管理是以信息及其载体——即信息系统为对象的安全管理。信息安全管理的任务是保证信息的使用安全和信息载体的运行安全。信息安全管理的目标是达到信息系统所需的安全级别,将风险控制在用户可以接受的程度。 Network and Information Security

Network and Information Security 第15章 网络信息安全管理 15.1.2 安全管理的重要性 在信息时代,信息是一种资产。仅通过技术手段实现的安全能力是有限的,主要体现在以下两个方面。 一方面,许多安全技术和产品远远没有达到人们需要的水准。 另一方面,即使某些安全技术和产品在指标上达到了实际应用的某些安全需求,如果配置和管理不当,还是不能真正地实现这些安全需求。 Network and Information Security

Network and Information Security 第15章 网络信息安全管理 安全管理模型——PDCA持续改进模式 Network and Information Security

Network and Information Security 第15章 网络信息安全管理 15.2 信息安全管理策略 信息安全管理策略应包括信息安全管理的任务、目标、对象、原则、程序和方法这些内容。 1.信息安全管理的任务:信息安全管理的任务是保证信息的使用安全和信息载体的运行安全。 2.信息安全管理的目标:信息安全管理的目标是达到信息系统所需的安全级别,将风险控制在用户可以接受的程度。 3.信息安全管理的对象:信息安全管理的对象从内涵上讲是指信息及其载体——信息系统,从外延上说其范围由实际应用环境来界定。 Network and Information Security

Network and Information Security 第15章 网络信息安全管理 4.信息安全管理遵循如下基本原则: (1)策略指导原则 (2)风险评估原则 (3)预防为主原则 (4)适度安全原则 (5)立足国内原则 (6)成熟技术原则 (7)规范标准原则 (8)均衡防护原则 (9)分权制衡原则 (10)全体参与原则 (11)应急恢复原则 (12)持续发展原则 Network and Information Security

Network and Information Security 第15章 网络信息安全管理 5.信息安全管理的程序,信息安全管理的程序遵循PDCA循环模式的4大基本步骤: (1)计划(Plan):制定工作计划,明确责任分工,安排工作进度,突出工作重点,形成工作文件。 (2)执行(Do):按照计划展开各项工作,包括建立权威的安全机构,落实必要的安全措施,开展全员的安全培训等。 (3)检查(Check):对上述工作所构建的信息安全管理体系进行符合性检查,并报告结果。 (4)行动(Action):依据上述检查结果,对现有信息安全管理策略的适宜性进行评审与评估,评价现有信息安全管理体系的有效性,采取改进措施。 Network and Information Security

Network and Information Security 第15章 网络信息安全管理 6.信息安全管理的具体方法很多,应该根据具体情况制订,以下是通用的方法: (1)制定各类管理制度,并在工作中真正执行。 (2)系统由专人管理,其他人员不应该接触系统。 (3)禁止非工作人员进入重要机房。 (4)使用不间断电源UPS,做好防火、防水、防雷击保护措施。 (5)各用户必须管理好自己的口令,并定期更改,不能泄露。 (6)重要的设备应该安放在安装了摄像头的隔离房间内,要保留15天以上的摄像记录,并使用门禁系统。机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法操作设备,钥匙要放在安全的地方。 Network and Information Security

Network and Information Security 第15章 网络信息安全管理 (7)随时检查并记录服务器、网络设备及各类应用软件的运行情况,对软硬件进行的修改、升级一定要记录在案。 (8)对软硬件进行重大的更改前,必须先形成方案文件,经过详细研究确认可行后再实行,并应对更改可能带来的负面后果做好充分的准备。可以在其它设备上试验后再正式实行,绝不能在工作中的设备上进行试验性质的调试。 (9)服务器上仅安装必须的软件,非必须的软件一律删除。 (10)定时备份重要数据,一定要把数据备份在光盘或另一台设备上,不能备份在同一台设备上,这样的话还不如不备份。至关重要的数据应该异地备份,防止大规模自然灾害,如地震发生时数据全灭。 Network and Information Security

Network and Information Security 第15章 网络信息安全管理 7.信息系统安全评估 要确定一个信息系统的安全性究竟怎样,必须进行安全评估。安全评估分为3步。 安全评估方法的第1步是发现阶段,所有有关安全体系结构适用的文本都必须检查。 评估的第2步是人工检查阶段,将文本描述的体系结构与实际的结构进行比较,找出其差别。 评估的第3步是漏洞测试阶段。这是一个系统的检查,以决定安全方法的适用性、标识安全的差别、评价现有的和计划的保护措施的有效性。 Network and Information Security

Network and Information Security 第15章 网络信息安全管理 15.3 信息安全管理标准 15.3.1 BS7799标准 BS7799标准是由英国标准协会(BSI)制定的信息安全管理标准,是国际上具有代表性的信息安全管理体系标准。该标准包括以下两部分: BS7799-1:2000《信息安全管理实施规则》; BS7799-2:2002《信息安全管理体系规范》。 其中,BS7799-1:2000于2000年12月通过国际标准化组织(ISO)认可,正式成为国际标准,即ISO/IEC 17799:2000《信息技术——信息安全管理实施规则》。 Network and Information Security

Network and Information Security 第15章 网络信息安全管理 标准的第一部分为BS7799-1:2000《信息安全管理实施规则》,是组织建立并实施信息安全管理体系的一个指导性准则,主要是为组织实施有效的信息安全管理提供通用的最佳实施规则。 第二部分为BS7799-2:2002《信息安全管理体系规范》,规定了建立、实施和维护信息安全管理体系的要求,指出组织需依据风险评估和自身需求来确定最适宜的安全控制要求,采取最适当的安全控制措施。 可以这样说,BS7799-1:2000为BS7799-2:2002的具体实施提供了指南。 Network and Information Security

Network and Information Security 第15章 网络信息安全管理 15.3.2 安全成熟度模型 美国Carnegie Mellon大学的软件工程研究所制定了系统安全工程能力成熟度模型(System Security Engineering Capability Maturity Model, SSE-CMM)。 安全成熟度能力级别 说明 无效力(50%) 总的安全体系结构没有遵从企业 安全策略、法规,以及最佳经营实际 需要改进(65%) 安全体系结构中无效力部分的应少于35% 合适(85%) 企业的安全计划、部署、配置和过程控制 使安全体系结构能满足总的目标。 极好(超过100%) 安全体系结构超过了总的目标及需求。 Network and Information Security

Network and Information Security 第15章 网络信息安全管理 1.安全计划:一个好的安全体系结构必须建立在一个坚固的安全计划基础之上。计划的文本必须清晰、完整。很多组织的安全策略、标准和指南存在以下一些问题: (1)内容太旧,已过时,不适用于当前的应用。 (2)文本有很多用户,如开发者、风险管理者、审计人员,所用语言又适用于多种解释。 (3)表达不够详细。很多组织的安全策略观念只是一个口令管理。 (4)用户需要知道有关安全的文本。 2.技术和配置:安全专业人员应能适当地选择产品,正确地将它们安置在基础设施中,合适地配置和支持。 3.操作运行过程:运行过程包括安全组件需要的必要支持和维护、变更管理、经营业务的连续性、用户安全意识培训、安全管理,以及安全报警与监控。 安全基础设施组件的支持和维护类似于主机和应用服务器所需的支持。 Network and Information Security

Network and Information Security 第15章 网络信息安全管理 15.4 我国关于网络安全的法律法规 15.4.1 相关法律法规 1.相关法规 (1)《计算机病毒控制规定》; (2)《中华人民共和国计算机信息系统安全保护条例》; (3)《中华人民共和国计算机信息网络国际联网管理暂行规定》; (4)《国际互联网出入信道管理办法》; (5)《计算机信息系统保密管理暂行规定》; (6)《商用密码管理条例》; (7)《互联网信息服务管理办法》; (8)《电子认证服务管理办法》; (9)《电子认证服务密码管理办法》。 Network and Information Security

Network and Information Security 第15章 网络信息安全管理 2.相关法律 (1)1988年9月5日第七届全国人民代表大会常务委员会第三次会议通过的《中华人民共和国保守国家秘密法》第三章第十七条提出“采用电子信息等技术存取、处理、传递国家秘密的办法,由国家保密部门会同中央有关机关规定”; (2)1997年10月,我国第一次在修订刑法时增加了计算机犯罪的罪名; (3)为规范互联网用户的行为,2000年12月28日九届全国人大常委会通过了《全国人大常委会关于维护互联网安全的决定》; (4)2004年8月28日第十届全国人民代表大会常务委员会第十一次会议通过《中华人民共和国电子签名法》。 此外,我国还缔约或者参与了许多与计算机相关的国际性的法律法规。 Network and Information Security

Network and Information Security 第15章 网络信息安全管理 15.4.2 网络服务业的法律规范 1.网络服务机构设立的条件 2.网络服务业的对口管理 3.互联网出入口信道管理 4.计算机网络系统运行管理 5.安全责任 15.4.3 网络用户的法律规范 1.用户接入互联网的管理 2.用户使用互联网的管理 Network and Information Security

Network and Information Security 第15章 网络信息安全管理 15.4.4 互联网信息传播安全管理制度 1.从事经营性互联网信息服务应具备的条件 (1)有业务发展计划及相关技术方案; (2)有健全的网络与信息安全保障措施,包括网站安全保障措施、信息安全保密管理制度、用户信息安全管理制度; (3)服务项目属于某些特定范围的,已取得有关主管部门同意的文件。 2.从事非经营性互联网信息服务应提交的材料 从事非经营性互联网信息服务应当向省、自治区、直辖市电信管理机构或者国务院信息产业主管部门办理备案手续。办理备案时,应当提交下列材料: (1)主办单位和网站负责人的基本情况; (2)网站网址和服务项目; (3)服务项目属于某些特定范围的,已取得有关主管部门的同意文件。 Network and Information Security

Network and Information Security 第15章 网络信息安全管理 15.4.5 电子公告服务的法律管制 我国公安部发布的《计算机信息网络国际联网安全保护管理办法》规定了电子公告系统的用户登记和信息管理制度,具有对开放BBS一定的管制作用。为了进一步加强对BBS的管理,净化网络环境,我国信息产业部发布的《互联网电子公告服务管理规定》规定:从事互联网信息服务,拟开展电子公告服务的,应当在向省、自治区、直辖市电信管理机构或者信息产业部申请经营性互联网信息服务许可或者办理非经营性互联网信息服务备案时,提出专项申请或者专项备案。 Network and Information Security

Network and Information Security 第15章 网络信息安全管理 15.4.6 关于电子商务的法律 《电子签名法》是我国信息化领域里的第一部法律。该法立法的直接目的是为了规范电子签名行为,确立电子签名的法律效力,维护各方合法权益;立法的最终目的是为了促进电子商务和电子政务的发展,增强交易的安全性。 《电子签名法》重点解决了五个方面的问题。一是确立了电子签名的法律效力;二是规范了电子签名的行为;三是明确了认证机构的法律地位及认证程序,并给认证机构设置了市场准入条件和行政许可的程序;四是规定了电子签名的安全保障措施;五是明确了认证机构行政许可的实施主体是国务院信息产业主管部门。 Network and Information Security