渗透测试与高级攻防技术-信息安全管理课件.pptx

渗透测试与高级攻防技术,第一章 信息安全管理体系,理论部分,本章技能点了解ISO27001标准理解云安全掌握使用MSAT的方法了解信息安全的法律、技术、管理保障,技能展示,3/39,本章结构,云安全,云安全的发展趋势,企业云安全解决方案,信息安全管理体系,标准起源,关于认证与认可机构,信息安全风险评估,信息安全管理体系标准27001,系统、Web、网络安全评估工具,网络信息安全管理措施,网络信息安全的、法律、技术、管理保障,信息安全技术的研究现状和动向,ISO27001认证优势,体系建立与运行步骤,建立云安全的难点,4/39,信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分：BS7799-1，信息安全管理实施规则BS7799-2，信息安全管理体系规范,信息安全管理体系标准ISO27001,5/39,ISO27001标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS 7799-11998年英国公布标准的第二部分信息安全管理体系规范2000年12月正式成为国际标准目前ISO27000:2005标准已得到了很多国家的认可ISO27001信息安全管理体系标准包含在ISO27000系列标准中,标准起源,6/39,引入信息安全管理体系就可以协调各个方面信息管理，从而使管理更为有效可以增进组织间电子商务往来的信用度能保证和证明组织所有的部门对信息安全的承诺获得国际认可的机构的认证证书，可得到国际上的承认，拓展企业的业务通过认证能够向政府及行业主管部门证明组织对相关法律法规的符合性,ISO27001认证的优势,7/39,认证机构是经国家认证认可监督管理委员会(CNCA)批准可以在中国境内合法开展管理体系认证和产品认证的专业机构认可机构是指按照相关国际标准或国家标准，对从事认证、检测和检查等活动的合格评定机构实施评审，证实其满足相关标准要求。中国的认可机构是CNAS，英国的认可机构是UKAS，美国的认可机构是ANAB。,认证与认可机构,8/39,安全管理体系一般要经过下列四个基本步骤：信息安全管理体系的策划与准备。信息安全管理体系文件的编制。信息安全管理体系运行。信息安全管理体系审核与评审。,信息安全管理体系建立与运行步骤,9/39,云安全是我国企业创造的概念，在国际云计算领域独树一帜。“云安全（Cloud Security）”计划是网络时代信息安全的最新体现，它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,云安全,10/39,依靠庞大的网络服务，实时进行采集、分析以及处理多家安全企业推出了云安全解决方案瑞星卡巴斯基金山科技360安全卫士云安全可以支持平均每天55亿条点击查询，每天收集分析2.5亿个样本，资料库第一次命中率就可以达到99%，每天阻断的病毒感染最高达1000万次。,云安全的发展趋势,11/39,建立“云安全”系统，需要解决四大问题：需要海量的客户端（云安全探针）需要专业的反病毒技术和经验需要大量的资金和技术投入必须是开放的系统，而且需要大量合作伙伴的加入,建立云安全的难点,12/39,内部私有云，奠定云计算基础风险评估，商业安全的重要保障不同云模型，精准支持不同业务SOA体系结构，云环境的早期体验双重角色转换，填补云计算生态链网络安全标准，设置自身防火墙,企业云安全解决方案,13/39,请思考：ISO27001是什么？认证与认可机构的区别？什么是云安全？建立云安全需要解决那些问题？,小结,14/39,MSAT与MBSA（Microsoft Baseline Security Analyzer，Microsoft基准安全分析器）不同，MSAT通过系统管理员填写详细的问卷以及相关信息，处理问卷反馈，并对企业现有安全措施进行评估，然后提出相应的安全风险管理措施和意见。MSAT的使用,系统安全评估工具,15/39,Wikto网站漏洞评估工具,Web安全评估工具,16/39,Wireshark的优势：安装方便简单易用的界面提供丰富的功能,网络安全评估工具,17/39,法律保障：1997年10月1日施行的新刑法已经增加了计算机犯罪的新内容，并将计算机犯罪分为两大类五种类型。技术保障：计算机安全问题可以分为三种类型：实体的安全性运行环境的安全性信息的安全性管理保障：建立严格的内部安全机制,网络信息安全的法律、技术、管理保障,18/39,我国信息网络安全研究历经了两个阶段通信保密数据保护目前从五个方面开展研究，各部分相互协同形成有机整体安全体系结构安全协议现代密码理论信息分析监控信息安全系统,信息安全技术的研究现状和动向,19/39,谢谢,