信息安全保密管理策略PPT.ppt

单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,信息安全,XX,管理,第四章 信息安全,XX,管理策略,2014,秋,1,信息安全,XX,管理策略,为了保证网络信息的安全保密，网络的管理和使用人员需要在使用和维护网络的过程中遵守一定的行为准则，而这一系列文档化的准则和规范，组成了信息安全,XX,管理策略,2,2,信息安全,XX,管理策略,信息安全,XX,管理策略的特点,系统化,动态化,细致化,规范化,3,3,信息安全,XX,管理策略,信息安全,XX,管理策略的特点,系统化,管理策略涉及网络运维的诸多方面，需要根据具体的业务和实际情况，建立一套系统的策略体系,动态化,网络面临的威胁与攻击不断变化，需要根据环境、系统和当前形势以及对系统的风险评估结果及时调整策略，修订规范,4,4,信息安全,XX,管理策略,信息安全,XX,管理策略的特点,细致化,策略和规范不仅仅是信息系统运维单位的防护总体方针，更需要细化分解，策略越详细、可执行性越强，从而越容易实施,规范化,在策略的制定、实施、培训、评估、修订以及监督检查的全过程中，规范化是保证信息系统策略有效落实的关键,5,5,本章课程提纲,安全,XX,管理策略体系,物理安全策略,信息安全技术策略,运维策略,安全保密策略管理,6,6,本章课程提纲,安全,XX,管理策略体系,物理安全策略,信息安全技术策略,运维策略,安全保密策略管理,7,7,安全,XX,管理策略体系,网络安全,XX,管理策略体系必须满足,保密性,完整性,可用性,可认证性,可审计性,不可抵赖性,8,CIA,8,完整的,策略体系,包括：,物理安全策略,信息安全,技术策略,运,维,安全策略,9,安全,XX,管理策略,体系,9,完整的,策略体系,包括：,物理安全策略,制定关于网络中使用的设备、设施的物理安全所采用的保护措施,信息安全,技术策略,制定,关于网络,所采取的安全防护技术和产品使用的保护措施,运维策略,制定关于网络日常运行管理所采取的保护措施,10,安全,XX,管理策略,体系,10,本章课程提纲,安全,XX,管理策略体系,物理安全策略,信息安全技术策略,运维策略,安全保密策略管理,11,11,12,安全,XX,管理策略,体系,物理安全策略,物理隔离,XX,场所环境控制,中心机房,与配线间,综合布线,设备安全,无线与多媒体设备管控,运维策略,运行管理,备份与恢复,应急响应,信息安全技术策略,网络层访问控制,应用层访问控制,身份认证,违规外联监控,安全监控与审计,入侵检测,(IDS),病毒、木马与恶意代码防护,信息交换与流转,漏洞扫描,密码保护,信息完整性,抗抵赖,电磁泄露发射防护,安全,XX,管理策略体系结构图,12,物理隔离,物理,隔离是网络防护的基本策略。,核心内容是：,权限不同的网络之间必须实行物理隔离,。,13,安全,XX,管理策略,体系,13,XX,场所环境与区域控制,核心内容是：,保障网络、服务器及计算机的安全以及受控使用，防范周边不安全因素威胁。,主要包括：,周边环境、,XX,场所安防、监控、人员车辆出入控制措施。,14,安全,XX,管理策略,体系,14,中心机房与配线间,核心内容是：,保证服务器、网络设备的物理安全以及受控使用,。,主要包括：,机房建设、安防监控、出入控制以及日常管理。,(,秘密、,机密,采用,B,类机房要求，机密增强，,绝密,采用,A,类,机房,),15,安全,XX,管理策略,体系,15,综合布线,核心内容是：,在线路传输的过程中，保证信息,之间,的隔离。,主要包括：,光缆、电缆的使用、线路传导干扰器以及信息传输的加密保护。,16,安全,XX,管理策略,体系,16,设备安全,核心内容是：,保障,XX,网使用的每个设备在所有环节中能够受控管理，防止因设备不可控导致的信息外泄。,主要包括：,设备与介质的采购、调配、使用、维修、报废、销毁以及台账记录。,17,安全,XX,管理策略,体系,17,无线与多媒体设备管控,核心内容是：,保障信息不会通过无线设备泄露或者被攻击。,主要包括：,禁止使用无线互联功能设备处理,特殊,信息；联网系统严禁配备麦克风、摄像头；谈论特殊信息时对互联网计算机断电；手机或其他通讯设备严禁带入,18,安全,XX,管理策略,体系,18,网络层访问控制,核心内容是：,为加强不同业务区信息的流转控制，防止非受控访问，按照分域分级的原则进行访问控制。,主要包括：,安全域的划分策略、安全域的访问控制策略、安全域的管理策略、网络设备端口控制与绑定、安全设备部署与访问控制、安全设备运行管理策略,19,安全,XX,管理策略,体系,19,应用层访问控制,核心内容是：,结合应用系统的访问授权管理，在,IP,层、应用层实施访问控制，防止信息非授权访问,主要包括：,安全设备部署与访问控制策略、安全设备运行管理策略、应用系统安全策略,20,安全,XX,管理策略,体系,20,身份认证,核心内容是：,根据不同等级，部署身份认证系统，通过与,OS,、应用系统的集成，提高系统登录的安全性,主要包括：,服务器与终端身份认证策略、网络设备身份认证策略、打印输出设备身份认证策略、应用系统数据库策略、安全保密产品认证策略、认证系统部署配置与运行管理策略等,21,安全,XX,管理策略,体系,21,违规外联监控,核心内容是：,检测并阻断,XX,计算机接入互联网与其他公共信息网的违规行为,主要包括：,系统部署策略、管理策略、安全控制策略、运行管理策略等,22,安全,XX,管理策略,体系,22,安全监控审计,核心内容是：,通过安全监控与审计产品对网络中计算机的运行状况、软件安装、进程服务、硬件端口等进行监控,主要包括：,安全监控与审计产品的部署、配置管理策略、监控审计策略、运行管理策略,23,安全,XX,管理策略,体系,23,入侵,检测,核心内容是：,对网络中流经的数据包进行实时监控，及时预警入侵等安全事件,主要包括：,入侵检测产品部署策略、配置管理策略以及运行管理策略等,24,安全,XX,管理策略,体系,24,病毒、木马、恶意代码防护,核心内容是：,防止因病毒、木马和恶意代码导致的网络瘫痪、信息损毁、失窃密事件发生,主要包括：,病毒、恶意代码防护软件的部署与安装策略，计算机病毒的扫描、特种“木马”的查杀、监控策略，病毒库下载、更新与维护以及网络病毒审计管理策略,25,安全,XX,管理策略,体系,25,信息交换与流转,核心内容是：,不同密级网络间信息交换相关策略,主要包括：,安全隔离与信息单向导入系统的使用策略，内外网信息交换机制，不同密级信息交换策略,26,安全,XX,管理策略,体系,26,漏洞扫描,核心内容是：,对,网络中,的设备以及应用系统进行扫描,主要包括：,漏洞扫描产品部署策略、配置管理策略、检测扫描策略以及运行管理策略,27,安全,XX,管理策略,体系,27,密码保护,核心内容是：,对,XX,信息在不可控区域内传输时采取的基本防护措施,主要包括：,密码保护产品部署策略、配置管理策略以及运行管理策略,28,安全,XX,管理策略,体系,28,信息,完整性,核心内容是：,通过网络传输协议的选择、应用系统的信息校验确保,XX,信息在网络传输、存储和处理过程中的完整性,主要包括：,信息传输完整性策略、信息存储完整性策略,29,安全,XX,管理策略,体系,29,抗抵赖,核心内容是：,通过网络审计、数据库审计、主机审计、应用审计实现操作行为的可追溯,主要包括：,网络审计策略、主机审计策略、应用审计策略以及数字签名策略,30,安全,XX,管理策略,体系,30,电磁泄露发射防护,核心内容是：,最大限度降低,XX,信息的电磁泄漏风险,主要包括：,屏蔽机房配置、屏蔽机柜配置、电磁干扰配置、电源隔离防护装置,31,安全,XX,管理策略,体系,31,运行维护,核心内容是：,为保证网络中网络设备、终端、服务器、应用系统、,OS,、,DB,、安全保密产品能够安全、稳定运行采取的管理措施,主要包括：,网络设备管理策略、服务器与用户终端管理策略、打印输出设备管理策略、应用系统与数据库管理策略和安全保密产品策略,32,安全,XX,管理策略,体系,32,备份与恢复,核心内容是：,为保证网络中设备以及应用的正常、有效运行，避免由于停电、设备故障导致设备损坏、信息丢失和应用服务停止,主要包括：,备份与恢复策略、数据备份和恢复策略、应用系统备份与恢复、电源备份策略以及备份恢复演练策略,33,安全,XX,管理策略,体系,33,应急响应,核心内容是：,当网络发生系统瘫痪或发生信息丢失、被窃等异常事件时，能保证在最短时间内恢复数据和应用服务,主要包括：,泄密,事件应急响应处置和系统运行安全事件应急处置等应急响应策略,34,安全,XX,管理策略,体系,34,本章课程提纲,安全,XX,管理策略体系,物理安全策略,信息安全技术策略,运维策略,安全保密策略管理,安全保密策略管理过程,职责分工,35,35,安全保密策略的重要作用,是规范,和,加强网络安全,XX,管理和技术措施实施的指导性文件,是使用单位的网络管理与使用人员必须遵循的安全保密行为准则,是网络,过程管理,的基本保密措施,明确了网络安全保密策略管理中相关机构和管理部门在各个环节中的职责,规定了网络安全,XX,管理和,技术监督管理,的原则和要求,36,安全,XX,管理策略,体系,36,安全保密策略管理过程,包括八个环节：,策略,制定、策略审批、策略发布、策略实施、策略培训、策略评估、策略修订、策略监督,37,安全,XX,管理策略,体系,37,策略,制定,方案设计,阶段：结合安全风险分析编制网络分级保护方案,建设,阶段：按照方案实施各项防护措施,试运行,期间：经过充分论证预评估，制定并形成完整的、文档化的安全保密策略,38,安全,XX,管理策略,体系,38,策略审批,网络安全保密策略需要经过,保密工作机构,、,信息化工作机构,审核确认,审核通过,后报保密委员会审批,正式审批,后，策略文档需有机关、单位的正式发文编号，档案管理部门备案,39,安全,XX,管理策略,体系,39,策略发布,网络安全保密策略的发布，应履行审批手续，发布范围保证覆盖应涉及的全部机构和人员，发布内容保证方便获取和查阅,40,安全,XX,管理策略,体系,40,策略实施,信息化工作机构组织实施工作,确保策略落实到位,对实施过程进行,记录和备案，便于监督检查,41,安全,XX,管理策略,体系,41,策略培训,开展多层次的培训工作，使各级人员在熟悉掌握策略的基础上，配合策略实施并维护策略的有效性,42,安全,XX,管理策略,体系,42,策略评估,保密工作机构、信息化工作机构定期进行网络审计与安全风险评估,对已实施的网络安全保密策略进行定量、定性分析,43,安全,XX,管理策略,体系,43,策略修订,保密工作机构、信息化工作机构需不断完善防护手段，及时对网络安全保密策略进行修订、更新，并履行审批手续,44,安全,XX,管理策略,体系,44,策略监督检查,保密工作机构定期组织对策略实施、运行管理进行监督检查,45,安全,XX,管理策略,体系,45,职责分工,包括八个,部门,：,保密委员会,保密,工作机构,信息化,工作机构,业务部,门,行政,部门,人事管理,部门,保卫管理,部门,资产管理部门,46,安全,XX,管理策略,体系,46,保密,委员会,安全保密策略,的最高决策机构，负责网络安全保密策略的,审批,47,安全,XX,管理策略,体系,47,保密,工作机构,负责网络安全保密策略相关工作的,监督、检查和指导,包括：,指导安全保密相关制度的制定,对安全保密,策略的落实情况进行监督检查,负责信息、设备的密级确定,与人事部门配合做好策略的培训,48,安全,XX,管理策略,体系,48,信息化,工作机构,制定和落实,网络安全保密策略,包括：,网络安全保密策略的制定、实施,网络安全保密策略的评估、修订工作,在实施及日常管理工作中需要资产管理部门、行政部门、保卫部门等的配合,49,安全,XX,管理策略,体系,49,业务部门,负责制定网络中的信息设备日常使用和部门台账管理策略,包括：,指导本,部门网络安全保密策略的制定和日常,维护管理,工作,监督本部门,人员执行落实网络安全保密策略,50,安全,XX,管理策略,体系,50,行政部门,制定和落实网络物理环境安全策略的部门,负责空调、电源线路、防水、防火等保障性设施和设备的运行维护管理,51,安全,XX,管理策略,体系,51,人事,部门,负责制定和落实人事管理方面的策略和制度,负责网络策略的培训工作,52,安全,XX,管理策略,体系,52,保卫管理部门,负责制定和落实网络周界安防、涉密区域和要害部门、部位的安全保卫工作策略,负责消防系统、门禁系统、视频监控系统、防盗报警装置的建设和日常维护管理,53,安全,XX,管理策略,体系,53,资产管理部门,负责制定和落实网络中的信息设备建账、设备维修、设备调剂、设备报废、物理安全环境（铅封、封堵、拆除）等策略,54,安全,XX,管理策略,体系,54,应掌握：安全,XX,管理策略体系的构成，即由物理安全策略、信息安全技术策略和运维策略三部分组成,应熟悉：安全保密策略的管理过程以及各类管理人员的职责定位与分工,55,小结,55,思考题：,物理安全策略的主要内容是什么,信息安全技术策略的主要内容是什么,运维策略的主要内容是什么,安全保密策略管理过程的重要环节是什么,56,小结,56,