制定信息安全策略.ppt

1,制定信息安全策略,2,主要内容,什么是安全策略编写信息安全策略维护策略,3,主要内容,什么是安全策略编写信息安全策略维护策略,4,什么是安全策略？,信息安全策略是描述程序目标的高层计划它既不是指导方针或标准，也不是执行程序或控制策略为一个总体安全程序提供一份计划策略是对具体操作程序应该实现的目标的一句声明,5,策略的重要性,策略不涉及具体的操作策略告诉你要保护什么，要在控制上加什么约束没有安全策略，其他的安全手段均无法正确发挥作用,6,怎样开发策略,确定编写哪些策略风险评估/分析或者审计审查、批准和实施,7,确定安全策略需求,明确要保护的对象判断系统保护应该针对哪些人数据安全考虑备份、文档存储和数据处理知识产权权利和策略意外事件响应和取证,8,确定信息安全责任,管理层的责任信息安全部门的角色其他信息安全角色了解安全管理和法律实施信息安全意识培训和支持,9,主要内容,什么是安全策略编写信息安全策略维护策略,10,编写信息安全策略,物理安全身份认证和网络安全Internet安全策略电子邮件安全策略病毒、蠕虫和特洛伊木马加密软件开发策略,11,A.物理安全,物理安全很容易，因为每个人都明白从物理上保护财产的概念一个好的策略不仅仅包括枪支、警卫、大门，还要考虑到设备计划和灾难恢复过程,12,A.物理安全,计算机放置地点和设施结构设备访问控制意外事件应对计划一般计算机系统安全系统和网络配置的定期审计人员方面考虑,13,1.计算机放置地点和设施结构,设备结构锁和防护设施环境支持清单维护,14,2.设备访问控制,建立访问控制对计算机设备的访问控制来宾,15,3意外事件应对计划,紧急事件响应计划灾难恢复安全警告,16,4一般计算机系统安全,预防性维护系统可用性,17,B.身份认证和网络安全,网络安全不仅仅保护Internet，也保护所有网络连接和接口。网络和互联安全策略是网络安全程序的一部分，网络安全程序包括：网络编址、子网以及如何管理网络连接等问题。对信息资源的访问而言，访问控制的基础是对系统和网络的访问许可，身份认证被用来授权访问,18,B.身份认证和网络安全,网络编址和体系结构网络访问控制登录安全口令用户界面访问控制远程办公与远程访问,19,1网络编址和体系结构,网络规划网络编址网络扩展策略,20,2网络访问控制,网关虚拟专用网络和Intranet服务的授权,21,3.登录安全,登录需求和程序用户访问管理处理特权情况,22,4.口令,合法口令定制策略口令存储特殊口令,23,5用户界面,用户界面通常依赖于OS和软件机制策略可以在定义口令接受过程中发挥有效的作用,24,6访问控制,访问控制不是验证所必需的过程。访问控制策略的重点应该在哪里使用访问控制而不是如何使用,25,7.远程办公与远程访问,员工设备准则远程访问数据安全准则员工责任电信和远程访问设备Internet的隧道,26,C.Internet 安全策略,想写出包罗万象、覆盖Internet安全的所有方面的策略很困难。你可以采取一个实用的方法确保所有事情都被覆盖。就像整体安全策略一样，可以从技术上将Internet策略分成逻辑小组。,27,C.Internet 安全策略,理解internet大门管理责任用户责任WWW策略应用程序责任VPN、Extranet、Intranet和其他隧道调制解调器和其他后门使用PKI和其他控制,28,1理解internet大门,体系结构问题允许的服务新闻组消息,29,2管理责任,维护外购服务协议实施,30,3用户责任,培训了解Internet使用代表着什么敏感信息的传输下载信息的可靠性,31,4WWW策略,网络和基础设施和web访问Cgi和其他支持程序的安全和维护内容增强器内容控制隐私策略用户对Web的访问,32,5应用程序责任,数据和文件传输Internet事务处理的认证,33,D.电子邮件安全策略,除了强大的通信功能，电子邮件可以发送私人信息、骚扰其他用户、从事违法活动等电子邮件可以成为电子明信片，从归档到内容准则，都应该有很多考虑,34,D.电子邮件安全策略,电子邮件使用规则电子邮件的管理保密通信中电子邮件的管理,35,1电子邮件使用规则,用户必须遵守的规则和指导方针应该出现在编写策略文档开始。,36,2电子邮件的管理,建立监视电子邮件的权利邮件大小限制,37,3保密通信中电子邮件的管理,电子邮件加密数字签名电子邮件,38,E.病毒、蠕虫和特伊木马,新病毒屡见不鲜，感染着计算机网络编写策略中，必须建立对保护的需要，增强对策略的需求度和效果策略中应该包含公司如何提供病毒防护和处理第3方软件,39,E.病毒、蠕虫和特伊木马,对保护的需要建立病毒保护模型处理第三方软件的规则牵涉到病毒的用户,40,建立病毒保护模型,病毒测试系统完整性检查分布式和可移动介质媒介,41,F.加密,防止泄密的办法加密影响到每个人，成为了主流技术政府已经开始将加密和军备归为一类,42,F.加密,法律问题加密管理对加密过程和被加密数据的处理关于密钥生成密钥管理,43,G.软件开发策略,软件开发是一门艺术，将代码放在一起并转换成可在计算机上运行的有意义的程序用户web页面服务、发送电子邮件、访问其他服务器的软件中的漏洞使系统在攻击面前变得很脆弱,44,G.软件开发策略,软件开发过程测试和文档修正控制和配置管理第三方开发知识产权管理,45,1.软件开发过程,确定软件开发责任建立软件开发策略验证设计规则,46,2测试和文档,生成测试数据测试和接收文档需求,47,3修正控制和配置管理,修正控制需求程序控制管理和安全修复配置管理和维护安装之前的测试安装程序,48,4第三方开发,保证完整性的策略商业发布的限制第三方软件委托保存,49,安全策略实例,50,主要内容,什么是安全策略编写信息安全策略维护策略,51,使用策略,用户登录责任系统和网络的使用公司责任和公开制度谈话原则等等,52,策略的遵守和执行,策略的测试和效果策略的公布和通告管理员的责任日至方面的问题安全问题的报告,53,策略的审查过程,对策略文档的定期审查策略审查的内容审查委员会,54,内容回顾,什么是安全策略编写信息安全策略维护策略,