㈠ 什麼是網路信息系統安全體系結構
隨著信息化進程的深入和互聯網的快速發展,網路化已經成為企業信息化的發展大趨勢,信息資源也得到最大程度的共享。但是,緊隨信息化發展而來的網路安全問題日漸凸出,網路安全問題已成為信息時代人類共同面臨的挑戰,網路信息安全問題成為當務之急,如果不很好地解決這個問題,必將阻礙信息化發展的進程。
1、安全攻擊、安全機制和安全服務
ITU-T X.800標准將我們常說的「網路安全(networksecurity)」進行邏輯上的分別定義,即安全攻擊(security attack)是指損害機構所擁有信息的安全的任何行為;安全機制(security mechanism)是指設計用於檢測、預防安全攻擊或者恢復系統的機制;安全服務(security service)是指採用一種或多種安全機制以抵禦安全攻擊、提高機構的數據處理系統安全和信息傳輸安全的服務。三者之間的關系如表1所示。
2、網路安全防範體系框架結構
為了能夠有效了解用戶的安全需求,選擇各種安全產品和策略,有必要建立一些系統的方法來進行網路安全防範。網路安全防範體系的科學性、可行性是其可順利實施的保障。基於DISSP擴展的一個三維安全防範技術體系框架結構,第一維是安全服務,給出了八種安全屬性(ITU-T REC-X.800-199103-I)。第二維是系統單元,給出了信息網路系統的組成。第三維是結構層次,給出並擴展了國際標准化組織ISO的開放系統互聯(OSI)模型。
框架結構中的每一個系統單元都對應於某一個協議層次,需要採取若干種安全服務才能保證該系統單元的安全。網路平台需要有網路節點之間的認證、訪問控制,應用平台需要有針對用戶的認證、訪問控制,需要保證數據傳輸的完整性、保密性,需要有抗抵賴和審計的功能,需要保證應用系統的可用性和可靠性。針對一個信息網路系統,如果在各個系統單元都有相應的安全措施來滿足其安全需求,則我們認為該信息網路是安全的。
3、網路安全防範體系層次
作為全方位的、整體的網路安全防範體系也是分層次的,不同層次反映了不同的安全問題,根據網路的應用現狀情況和網路的結構,我們將安全防範體系的層次劃分為物理層安全、系統層安全、網路層安全、應用層安全和安全管理。
1.物理環境的安全性(物理層安全)
該層次的安全包括通信線路的安全,物理設備的安全,機房的安全等。物理層的安全主要體現在通信線路的可靠性(線路備份、網管軟體、傳輸介質),軟硬體設備安全性(替換設備、拆卸設備、增加設備),設備的備份,防災害能力、防干擾能力,設備的運行環境(溫度、濕度、煙塵),不間斷電源保障,等等。
2.操作系統的安全性(系統層安全)
該層次的安全問題來自網路內使用的操作系統的安全,如Windows NT,Windows 2000等。主要表現在三方面,一是操作系統本身的缺陷帶來的不安全因素,主要包括身份認證、訪問控制、系統漏洞等。二是對操作系統的安全配置問題。三是病毒對操作系統的威脅。
3.網路的安全性(網路層安全)
該層次的安全問題主要體現在網路方面的安全性,包括網路層身份認證,網路資源的訪問控制,數據傳輸的保密與完整性,遠程接入的安全,域名系統的安全,路由系統的安全,入侵檢測的手段,網路設施防病毒等。
4.應用的安全性(應用層安全)
該層次的安全問題主要由提供服務所採用的應用軟體和數據的安全性產生,包括Web服務、電子郵件系統、DNS等。此外,還包括病毒對系統的威脅。
5.管理的安全性(管理層安全)
安全管理包括安全技術和設備的管理、安全管理制度、部門與人員的組織規則等。管理的制度化極大程度地影響著整個網路的安全,嚴格的安全管理制度、明確的部門安全職責劃分、合理的人員角色配置都可以在很大程度上降低其它層次的安全漏洞。
㈡ 怎麼樣實施網路信息化安全管理制度
第一條 所有接入網路的用戶必須遵守國家有關法律、法規,嚴格執行安全保密制度,並對所提供的信息負責。任何單位和個人不得利用連網計算機從事危害城域網及校園網防火牆、路由器、交換機、伺服器等網路設備的活動。不得在網路上製作、發布、傳播下列有害內容:
(一)泄露國家秘密,危害國家安全的;
(二)違反國家民族、宗教與教育政策的;
(三)煽動暴力,宣揚封建迷信、邪教、黃色淫穢,違反社會公德,以及賭博、詐騙和教唆犯罪的;
(四)公然侮辱他人或者捏造事實誹謗他人的,暴露個人隱私和攻擊他人與損害他人合法權益的;
(五)散布謠言,擾亂社會秩序,鼓勵聚眾滋事的;
(六)損害社會公共利益的;
(七)計算機病毒;
(八)法律和法規禁止的其他有害信息。
如發現上述有害信息內容,應及時向三門縣教育局現代教育中心或上級主管部門報告,並採取有效措施制止其擴散。
第二條 在網站上發現大量有害信息,以及遭到黑客攻擊後,必須在12小時內向三門縣教育局現代教育中心及公安機關報告,並協助查處。在保留有關上網信息和日誌記錄的前題下,及時刪除有關信息。問題嚴重、情況緊急時,應關閉交換機或相關伺服器。
第三條 任何單位和個人不得在校園網及其連網的計算機上收閱下載傳遞有政治問題和淫穢色情內容的信息。
第四條 所有接入網路的用戶必須對提供的信息負責,網路上信息、資源、軟體等的使用應遵守知識產權的有關法律法規。對於運行無合法版權的網路軟體而引起的版權糾紛由使用部門(個人)承擔全部責任。
第五條 嚴禁在網路上使用來歷不明、引發病毒傳染的軟體,對於來歷不明的可能引發計算機病毒的軟體應使用公安部門推薦的殺毒軟體檢查、殺毒。
第六條 認真執行各項管理制度和技術規范,監控、封堵、清除網上有害信息。為有效地防範網上非法活動、各子網站要加強出口管理和用戶管理。重要網路設備必須保持日誌記錄,時間不少於180天。
第七條 上網信息管理堅持「誰上網誰負責、誰發布誰負責」的原則。對外發布信息,必須經局機關或各單位負責人審核批准後,才可發布(具體操作方法可參考「網路信息發布管理制度」)。
第八條 各單位和學校要確定一名行政人員為本單位(學校)網路安全責任人,領導網管員(網管機構)做好本單位和學校的網路和信息安全工作。建立崗位責任制和機房管理制度。網路管理人員應加強責任心,保證現有各種網路設備良好運行,充分發揮效率。
第九條 單位和學校各信息終端用戶必須受網路管理員監督管理。整個單位和校園要統一出口、統一用戶管理。建立帳號登記管理制度,用戶帳號只能專人專用,方便日後的檢查和監督工作。
第十條 與城域網及單位和學校網路相連的機房建設,應當符合國家的有關標准和規定,在電源防護、防盜、防火、防水、防塵、防雷等方面,採取規范的技術保護措施。
第十一條 城域網及校園網站的系統軟體、應用軟體及信息數據要實施保密措施。接入互聯網網的計算機必須與本部門的涉密計算機信息系統實行物理隔離。涉密信息不得在上網設備上操作或存儲。信息資源保密等級可分為:
(一)可向Internet公開的;
(二)可向本城域網公開的;
(三)可向有關單位或個人公開的;
(四)可向本單位公開的;
(五)僅限於個人使用的。
第十二條 任何單位和個人不得利用聯網計算機從事下列活動:
(一)未經允許,非法訪問教育城域網及校園網上網路伺服器、工作站、交換機、路由器及其它相關設備;對教育城域網上所具有的功能、程序、數據進行刪除、修改和增加;
(二)未經允許,擅自提供與教育無關的網路服務;
(三)故意製作、傳播計算機病毒與破壞性程序;
(四)其他危害教育城域網路安全的行為。
第十三條 違反本管理制度,將提請有關部門視情節給予相應的批評教育、通報批評或行政處分、處以警告或停機整頓。觸犯國家有關法律、行政法規的,依照有關法律、行政法規的規定予以處罰;構成犯罪的,依法追究刑事責任。
第十四條故意輸入計算機病毒,造成危害城域網及子網站網路安全的,按《中華人民共和國計算機信息系統安全保護條例》中第二十三條的規定予以處罰。
㈢ 信息安全如何進行體系化建設
信息安全建設是電子政務建設不可缺少的重要組成部分。電子政務信息系統承載著大量事關國家政治安全、經濟安全、國防安全和社會穩定的數據和信息;網路與信息安全不僅關繫到電子政務的健康發展,而且已經成為國家安全保障體系的重要組成部分。缺乏安全保障的電子政務信息系統,不可能實現真正意義上的電子政務。
一、強化安全保密意識,高度重視信息安全,是確保政務網路信息系統安全運行的前提條件
目前,電子政務信息系統大都是採用開放式的操作系統和網路協議,存在著先天的安全隱患。網路攻擊、黑客入侵、病毒泛濫、系統故障、自然災害、網路竊密和內部人員違規操作等都對電子政務的安全構成極大威脅。因此,信息安全保障工作是一項關系國民經濟和社會信息化全局的長期性任務。
我們必須認真貫徹「一手抓電子政務建設,一手抓網路和信息安全」的精神和中辦發[2003]27號文件關於信息安全保障工作的總體要求,充分認識加強信息安全體系建設的重要性和緊迫性,高度重視網路和信息安全。這是做好信息安全保障工作的前提條件。「高度重視」首先要領導重視;只有領導重視才能把信息安全工作列入議事日程,放到重要的位置,才能及時協調解決信息安全工作所面臨的諸多難題。其次,要通過加強網路保密知識的普及教育,特別是對縣處級以上幹部進行網路安全知識培訓,大力強化公務員隊伍的安全保密意識,使網路信息安全宣傳教育工作不留死角,為網路信息系統安全運行創造條件。
二、加強法制建設,建立完善的制度規范,是做好信息安全保障工作的重要基礎
確保政務網路信息安全,必須加強信息安全法制建設和標准化建設,嚴格按照規章制度和工作規范辦事。俗話說,沒有規矩不成方圓,信息安全工作尤其如此。如果我們能夠堅持建立法制和標准,完善制度和規范並很好地執行,就會把不安全因素和失誤降到最低限度,使政務信息安全工作不斷登上新的台階。
為此,一要嚴格按照現行的法律法規規范網路行為,維護網路秩序,同時逐步建立和完善信息安全法律制度。要加強信息安全標准化工作,抓緊制定急需的信息安全和技術標准,形成與國際標准相銜接的具有中國特色的信息安全標准體系。
二要建立健全各項規章制度和日常工作規范。要根據網路和信息安全面臨的新情況、新問題,緊密聯系本單位信息安全保密工作的實際,本著「堵漏、補缺、管用」的原則,抓緊修訂、完善和新建信息安全工作的各項規章制度及操作規程,切實增強制度的科學性、有用性和可操作性,使信息安全工作有據可依、有章可循。
三要重視安全標准和規章制度的貫徹落實。有了制度,不能把它束之高閣。不按制度辦事,是造成工作失誤和安全隱患的重要原因。很多不安全因素和工作漏洞都是由於沒有按程序辦事所造成的。因此,要組織信息化工作人員反復學習有關制度和規范,使他們熟悉和掌握各項制度的基本內容,明白信息安全工作的規矩和方法,自覺用制度約束自己,規范工作。
四要建立完善對制度落實情況的監督檢查和激勵機制。工作程序、規章制度建立後,必須做到行必循之,把規章制度的每一條、每一款落到實處。執行制度主要靠自覺,但必須有嚴格的監督檢查。要通過監督檢查建立信息安全工作的激勵機制,把信息安全工作與年度考核評比及「爭先創優」工作緊密結合起來,激勵先進,鞭策後進,確保各項信息安全工作制度落到實處。各地、各部門要不定期地對本地和本系統的制度落實情況進行自查自糾,發現問題及早解決。
三、建立信息安全組織體系,落實安全管理責任制,是做好政務信息安全保障工作的關鍵
調查顯示,在實際的網路安全問題中,約有80%是由於管理問題造成的。因此,建立信息安全管理機構,加強組織協調,發揮其統籌規劃、科學管理、宏觀調控和決策的作用,強化信息安全管理,形成全方位的信息安全管理組織體系至關重要。
一方面,要逐步建立和完善信息安全組織體系。該體系應包括各地、各部門成立的保密工作領導小組;有本部門主管領導參加的政務網路與信息安全協調小組;聘請國內外安全專家組成的安全咨詢專家小組。根據建設和應用情況需要,還可建立相應的信息安全管理執行機構(如「政府安全中心」),負責整個政務信息系統中的安全保密工作,包括提供相關服務。
另一方面,要在健全信息安全組織體系的基礎上,切實落實安全管理責任制。明確各級、各部門行政一把手(或主管領導同志)作為信息安全保障工作的第一責任人;技術部門主管或項目負責人作為信息安全保障工作直接責任人,強化對網路管理人員和操作人員的管理。切實把好用人關,對關鍵崗位實行A、B角色管理;對網路管理人員和涉密操作人員要簽訂保密協議,明確保密職責,實行持證上崗制度。要培養一批具有信息安全管理經驗的復合人才,充實到關鍵崗位,為政務信息化把好安全關。
四、結合實際注重實效,正確處理信息安全「五大關系」,是確保信息安全投資效益的最佳選擇
在電子政務建設中,信息安全方面的投資往往涉及很大金額。各地、各部門應緊密結合自身實際,正確處理和把握與信息安全相關的「五大關系」,使有限的資金發揮出最大的社會效益。
1、要正確處理發展與安全的關系。發展與安全是信息安全關系中最基本、最重要的一對關系,由此可以派生出其他一些關系。發展與安全的關系是辯證統一、相輔相成的,其中發展是目的,安全是保證。二者關系處理得好,安全會有保障並能促進發展;處理不好,安全就會制約並牽制發展。正確處理發展與安全的關系就是要加快發展,確保安全。具體講,就是在加快發展過程中確保安全;在確保安全的條件下加快發展。這里要注意克服兩種傾向:一是過分強調發展而忽視安全;二是追求絕對安全而制約發展。為此,要堅持電子政務發展和網路信息安全「兩手抓」。要在電子政務建設和發展過程中不斷加強安全管理,完善安全措施,切實保障安全;同時要在適度安全、基本安全的前提下,培育業務需求,加大工作力度,促進電子政務事業加快發展。
2、處理好安全成本與效益的關系。成本與效益的關系是由信息安全基本關系派生出來的,二者的關系是對立統一、相反相成的。成本與效益的關系處理得好,安全成本就會下降同時效益提高;處理不好,安全成本就會上升同時效益下降。正確處理好安全成本與效益的關系,必須堅持綜合平衡。要根據中辦發[2003]27號文件中關於「信息化發展的不同階段和不同信息系統不同的安全需求,必須從實際出發,綜合平衡安全成本和風險,優化信息安全資源的配置,確保重點」的要求,一方面千方百計降低安全投入成本,另一方面努力提高安全措施的實際效果,確保滿足重點項目、重點部位的安全需求,使有限的安全保障資金充分發揮出良好的使用效益。
3、處理好信息安全與共享(信息公開和保密)的關系。這也是從信息安全基本關系中派生出來的。開放和發展需要信息資源共享,而網路互聯為信息共享提供了條件。但信息公開和信息保護是一對不可迴避的矛盾。推進信息化建設既要強調資源共享,還要保證信息安全。我們應立足於電子政務建設的大系統,整體地、動態地看待信息安全與資源共享問題,用發展的眼光和辯證的觀點去處理問題。在這對矛盾中,目前資源共享是矛盾的主要方面。當前我國各地方、各行業的信息資源建設普遍存在「數字鴻溝」、「信息孤島」現象。針對這種情況,我們在處理兩者之間關系時,應當緊緊圍繞矛盾的主要方面,在確保國家安全和尊重個人隱私的前提下,把當前工作的重點放在最大限度地促進信息資源共享方面,消除數字鴻溝和信息孤島,提高信息資源共享程度,使政務信息資源發揮更大的社會效益。
4、處理好安全管理與技術的關系。安全管理與技術的關系也是信息安全體系中的基本關系之一。在信息安全保障體系中,安全管理和安全技術是一個不可分割的統一體,是一個事物的兩個方面。管理離不開技術,技術離不開管理;兩者緊密相連、相互滲透、互為補充。因此,在信息安全工作中,我們要堅持管理和技術並重,做到管理手段和技術手段相結合,也就是在加強管理的前提下,採用先進的安全技術,在提升技術的基礎上強化管理。信息安全問題的解決需要技術手段,但又不能單純依賴技術。信息化的過程其實是人與技術相互融合的過程,如何使管理與技術相得益彰十分重要。在這方面,我們要同時注意防止和克服「重管理、輕技術」和「單純技術觀點」兩種傾向,既要高度重視信息安全技術的重要作用,又要避免陷入唯技術論的怪圈。從理論上看,不存在絕對安全的技術;技術固然重要,但管理更不容忽視。雖然「三分技術,七分管理」的說法不一定準確,但從另一個角度說明了安全管理工作的重要性。因此,我們應以業務為主導,從全局的高度部署安全策略,採用先進技術,加強安全管理,把採取安全技術手段與加強日常管理和健全體制機制緊密結合起來,堅持一手抓安全技術手段開發,一手抓安全規章制度的建立與完善,提高政務網路信息系統的安全性和可靠性。
5、處理好信息安全工作中應急事件處理與建立長效機制的關系。要保證政務網路與信息系統的「長治久安」,必須著手建立一套長期有效的安全機制。但信息安全問題在信息化進程中廣泛存在且突發性強,所以又必須強調和重視應急事件的處理。一旦出現影響到國家利益的網路安全與信息安全事件,必須能夠立即採取有效措施,控制危機的發展,把損失減少到最低限度。
為此,首先要建立和完善信息安全監控體系,及時發現和處置突發事件,提高對網路攻擊、病毒入侵、網路失竊密的防範能力,防治有害信息傳播,增強對政務網路和信息系統的監控、管理和保護。其次,要重視信息安全應急處理工作,建立健全應急管理協調機制、指揮調度機制和信息安全通報制度。要制定完善信息安全處置預案,加強信息安全應急支援服務隊伍建設,提高信息安全應急響應能力。
希望可以幫到您,謝謝!
㈣ 我國的信息安全網路體系堅持什麼方針
目前的網路安全形勢日趨嚴峻,工業和信息化部將按照國家的統一部署,針對網路安全的新情況新問題,堅持積極利用、科學發展、依法管理、確保安全的16字方針,加大依法管理網路的力度,不斷健全網路安全的保障體系。
一是積極推動網路信息安全立法工作。組織制定信息安全檢查、信息安全管理、通信網路安全防護、互聯網安全接入等急需的標准,推動制定相關法律法規,做到有法可依、依法辦事。二是加快完善信息安全審查制度框架。有計劃地開展信息安全審查試點,特別是要加強政府部門雲計算服務的信息安全管理,組織實施黨政機關互聯網安全接入工程和重點領域信息安全檢查。三是強化信息安全基礎設施和技術手段體系化建設。進一步鞏固提升電話用戶實名登記工作,開展地下黑色產業鏈等網路安全環境的治理,特別是抓好木馬、僵屍等病毒的防範,進一步加強對釣魚網站、移動惡意程序等網路攻擊威脅的監測和處理工作,同時配合公安機關開展源頭打擊,實現標本兼治。四是扶持和壯大網路與信息安全產業。重點支持網路與信息安全關鍵核心技術的突破,加強應用試點示範,發展信息安全產品和服務,構建全產業鏈協同發展的格局。五是推動網路空間國際交流與合作。在網路安全的技術、信息共享、跨境安全事件處置等方面加強國際合作,加強網路與信息安全的宣傳教育,組織開展網路安全宣傳周等項活動,提升全社會網路安全意識和自我保護能力。
㈤ 計算機網路安全體系結構包括什麼
計算機網路安全體系結構是由硬體網路、通信軟體以及操作系統構成的。
對於一個系統而言,首先要以硬體電路等物理設備為載體,然後才能運 行載體上的功能程序。通過使用路由器、集線器、交換機、網線等網路設備,用戶可以搭建自己所需要的通信網路,對於小范圍的無線區域網而言,人們可以使用這 些設備搭建用戶需要的通信網路,最簡單的防護方式是對無線路由器設置相應的指令來防止非法用戶的入侵,這種防護措施可以作為一種通信協議保護。
計算機網路安全廣泛採用WPA2加密協議實現協議加密,用戶只有通過使用密匙才能對路由器進行訪問,通常可以講驅動程序看作為操作系統的一部分,經過注冊表注冊後,相應的網路 通信驅動介面才能被通信應用程序所調用。網路安全通常是指網路系統中的硬體、軟體要受到保護,不能被更改、泄露和破壞,能夠使整個網路得到可持續的穩定運 行,信息能夠完整的傳送,並得到很好的保密。因此計算機網路安全設計到網路硬體、通信協議、加密技術等領域。
計算機安全的啟示:
1、按先進國家的經驗,考慮不安全因素,網路介面設備選用本國的,不使用外國貨。
2、網路安全設施使用國產品。
3、自行開發。
網路的拓撲結構:重要的是確定信息安全邊界
1、一般結構:外部區、公共服務區、內部區。
2、考慮國家利益的結構:外部區、公共服務區、內部區及稽查系統和代理伺服器定位。
3、重點考慮撥號上網的安全問題:遠程訪問伺服器,放置在什麼位置上,能滿足安全的需求。
㈥ 網路安全體系包括哪些方面
包括,內網安全,伺服器及內部的網路安全防範。
㈦ 什麼是ISO27001信息安全管理體系
ISO27000信息安全管理
ISO27001信息安全管理體系標準的發展
隨著在世界范圍內,信息化水平的不斷發展,信息安全逐漸成為人們關注的焦點,世界范圍內的各個機構、組織、個人都在探尋如何保障信息安全的問題。英國、美國、挪威、瑞典、芬蘭、澳大利亞等國均制定了有關信息安全的本國標准,國際標准化組織(ISO)也發布了ISO17799、ISO13335、ISO15408等與信息安全相關的國際標准及技術報告。目前,在信息安全管理方面,英國標准ISO2700:2005已經成為世界上應用最廣泛與典型的信息安全管理標准,它是在BSI/DISC的BDD/2信息安全管理委員會指導下制定完成。ISO27001標准於1993年由英國貿易工業部立項,於1995年英國首次出版BS 7799-1:1995《信息安全管理實施細則》,它提供了一套綜合的、由信息安全最佳慣例組成的實施規則,其目的是作為確定工商業信息系統在大多數情況所需控制范圍的唯一參考基準,並且適用於大、中、小組織。1998年英國公布標準的第二部分《信息安全管理體系規范》,它規定信息安全管理體系要求與信息安全控制要求,它是一個組織的全面或部分信息安全管理體系評估的基礎,它可以作為一個正式認證方案的根據。ISO2700:2005-1與ISO2700:2005-2經過修訂於1999年重新予以發布,1999版考慮了信息處理技術,尤其是在網路和通信領域應用的近期發展,同時還非常強調了商務涉及的信息安全及信息安全的責任。2000年12月,ISO2700:2005-1:1999《信息安全管理實施細則》通過了國際標准化組織ISO的認可,正式成為國際標准-----ISO/IEC17799-1:2000《信息技術-信息安全管理實施細則》。2002年9月5日,ISO2700:2005-2:2002草案經過廣泛的討論之後,終於發布成為正式標准,同時ISO2700:2005-2:1999被廢止。現在,ISO2700:2005標准已得到了很多國家的認可,是國際上具有代表性的信息安全管理體系標准。目前除英國之外,還有荷蘭、丹麥、澳大利亞、巴西等國已同意使用該標准;日本、瑞士、盧森堡等國也表示對ISO2700:2005標准感興趣,我國的台灣、香港也在推廣該標准。許多國家的政府機構、銀行、證券、保險公司、電信運營商、網路公司及許多跨國公司已採用了此標准對自己的信息安全進行系統的管理。截至2002年9月,全球共有142家各類組織通過了ISO2700:2005信息安全管理體系認證。
目 錄 摘 要
基礎 知識
00 信息安全事件集錦
01 信息安全相關的術語和定義
1.01 信息安全
1.02 保密性
1.03 完整性
02 BS 7799、ISO17799和ISO27001的基本知識
ISO17799:2005介紹
ISO17799基礎知識
ISO27000系列標准介紹
風險評估基礎
03 信息安全管理體系認證認可基礎知識
ISMS不符合項的種類有哪些?
ISMS內部審核策劃階段應做好哪些工作?
ISMS認證是否是終身有效的?
ISMS審核報告中具體應該包括哪些內容?
04 我國信息安全法律法規和標准化
我國信息安全標准化
我國信息安全法律法規
05 信息安全資格考試相關知識
5.1 CISP
5.2 CISSP
5.3 BS7799 主任審核員
5.4 ITIL
5.5 CISA
5.6 信息安全相關技術文檔
標准 理解
06 ISO27001:2005標准(中英對照)理解與指南
理體系管理評審
參考資料: http://ke..com/link?url=bkJlFoyyysH_FyRNvw-FT71Pd4AYx3ty--vIYUGYL5a
㈧ 如何建立安全生產網路信息化管理系統
形成涵蓋市安全生產監督管理局職能范圍的安全生產信息體系
(1) 基本形成各級安全生產信息人員組織體系;
(2) 基本形成市、區安全生產信息網路;
(3) 基本形成服務於安全生產監督管理的應用體系;
(4) 形成安全生產信息化培訓、安全生產信息技術開發、安全生產監測監控、安全救護電子裝備等技術保障體系框架;
(5) 形成各級安全生產信息化領導管理體系。
㈨ 如何構建有效的信息安全保障體系
轉載以下資料,僅供參考:
如何有效構建信息安全保障體系;隨著信息化的發展,政府或企業對信息資源的依賴程度;通常所指的信息安全保障體系包含了信息安全的管理體;構建第一步確定信息安全管理體系建設具體目標;信息安全管理體系建設是組織在整體或特定范圍內建立;信息安全的組織體系:是指為了在某個組織內部為了完;的特定的組織結構,其中包括:決策、管理、執行和監;信息安全的策略體系:是指信息安全總體
如何有效構建信息安全保障體系
隨著信息化的發展,政府或企業對信息資源的依賴程度越來越大,沒有各種信息系統的支持,很多政府或企業其核心的業務和職能幾乎無法正常運行。這無疑說 明信息系統比傳統的實物資產更加脆弱,更容易受到損害,更應該加以妥善保護。而目前,隨著互聯網和網路技術的發展,對於政府或企業的信息系統來講,更是面 臨著更大的風險和挑戰。這就使得更多的用戶、廠商和標准化組織都在尋求一種完善的體系,來有效的保障信息系統的全面安全。於是,信息安全保障體系應運而 生,其主要目的是通過信息安全管理體系、信息安全技術體系以及信息安全運維體系的綜合有效的建設,讓政府或企業的信息系統面臨的風險能夠達到一個可以控制 的標准,進一步保障信息系統的運行效率。
通常所指的信息安全保障體系包含了信息安全的管理體系、技術體系以及運維體系。本文將重點介紹信息安全管理體系的建設方法。
構建第一步 確定信息安全管理體系建設具體目標
信息安全管理體系建設是組織在整體或特定范圍內建立信息安全方針和目標,以及完成這些目標所用方法的體系。它包括信息安全組織和策略體系兩大部分,通過信息安全治理來達到具體的建設目標。
信息安全的組織體系:是指為了在某個組織內部為了完成信息安全的方針和目標而組成
的特定的組織結構,其中包括:決策、管理、執行和監管機構四部分組成。
信息安全的策略體系:是指信息安全總體方針框架、規范和信息安全管理規范、流程、制度的總和。策略體系從上而下分為三個層次:
第一層 策略總綱
策略總綱是該團體組織內信息安全方面的基本制度,是組織內任何部門和人不能違反的,說明了信息安全工作的總體要求。
第二層 技術指南和管理規定
遵循策略總綱的原則,結合具體部門、應用和實際情況而制定的較專業要求和方法以及技術手段。包括以下兩個部分:
技術指南:從技術角度提出要求和方法;
管理規定:側重組織和管理,明確職責和要求,並提供考核依據。
第三層 操作手冊、工作細則、實施流程
遵循策略總綱的原則和技術指南和管理規定,結合實際工作,針對具體系統,對第二層的技術指南和管理規定進行細化,形成可指導和規范具體工作的操作手冊及工作流程,保證安全工作的制度化、日常化。
構建第二步 確定適合的信息安全建設方法論
太極多年信息安全建設積累的信息安全保障體系建設方法論,也稱「1-5-4-3-4」。即:運用1個基礎理論,參照5個標准,圍繞4個體系,形成3道防線,最終實現4個目標。
一、風險管理基礎理論
信息系統風險管理方法論就是建立統一安全保障體系,建立有效的應用控制機制,實現應用系統與安全系統全面集成,形成完備的信息系統流程式控制制體系,確保信息系統的效率與效果。
二、遵循五個相關國內國際標准
在信息安全保障體系的建立過程中我們充分遵循國內國際的相關標准:
ISO 27001標准
等級保護建設
分級保護建設
IT流程式控制制管理(COBIT)
IT流程與服務管理(ITIL/ISO20000)
三、建立四個信息安全保障體系
信息安全組織保障體系:建立信息安全決策、管理、執行以及監管的機構,明確各級機構的角色與職責,完善信息安全管理與控制的流程。
信息安全管理保障體系:是信息安全組織、運作、技術體系標准化、制度化後形成的一整套對信息安全的管理規定。
信息安全技術保障體系:綜合利用各種成熟的信息安全技術與產品,實現不同層次的身份鑒別、訪問控制、數據完整性、數據保密性和抗抵賴等安全功能。
信息安全運維保障體系:在信息安全管理體系規范和指導下,通過安全運行管理,規范運行管理、安全監控、事件處理、變更管理過程,及時、准確、快速地處理安全問題,保障業務平台系統和應用系統的穩定可靠運行。
四、三道防線
第一道防線:由管理體系、組織體系、技術保系構成完備的安全管理體制與基礎安全設施,形成對安全苗頭進行事前防範的第一道防線,為業務運行安全打下良好的基礎。
第二道防線:由技術體系、運維體系構成事中控制的第二道防線。通過周密的生產調度、安全運維管理、安全監測預警,及時排除安全隱患,確保業務系統持續、可靠地運行。
第三道防線:由技術體系構成事後控制的第三道防線。針對各種突發災難事件,對重要信息系統建立災備系統,定期進行應急演練,形成快速響應、快速恢復的機制,將災難造成的損失降到組織可以接受的程度。
五、四大保障目標
信息安全:保護政府或企業業務數據和信息的機密性、完整性和可用性。
系統安全:確保政府或企業網路系統、主機操作系統、中間件系統、資料庫系統及應用系統的安全。
物理安全:使業務和管理信息系統相關的環境安全、設備安全及存儲介質安全的需要得到必要的保證。
運行安全:確保業務和管理信息系統的各種運行操作、日常監控、變更維護符合規范操作的要求,保證系統運行穩定可靠。
構建第三步 充分的現狀調研和風險評估過程
在現狀調研階段,我們要充分了解政府或企業的組織架構、業務環境、信息系統流程等實際情況。只有了解政府或企業的組織架構和性質,才能確定該組織信息安 全保障體系所遵循的標准,另外,還要充分了解政府或企業的文化,保證管理體系與相關文化的融合性,以便於後期的推廣、宣貫和實施。在調研時,採用「假設為 導向,事實為基礎」的方法,假定該政府或企業滿足相關標準的所有控制要求,那麼將通過人工訪談、調查問卷等等各種方式和手段去收集信息,證明或者證偽該組 織的控制措施符合所有標準的要求,然後在此基礎上,對比現狀和標准要求進行差距分析。
在風險評估階段,首先對於信息系統的風險評估.其中涉及資產、威脅、脆弱性等基本要素。每個要素有各自的屬性,資產的屬性是資產價值;威脅的屬性
可以是威脅主體、影響對象、出現頻率、動機等;脆弱性的屬性是資產弱點的嚴重程度。風險分析的主要內容為:
對資產進行識別,並對資產的價值進行賦值;?
對威脅進行識別,描述威脅的屬性,並對威脅出現的頻率賦值;?
對資產的脆弱性進行識別,並對具體資產的脆弱性的嚴重程度賦值;?
根據威脅及威脅利用弱點的難易程度判斷安全事件發生的可能性;?
根據脆弱性的嚴重程度及安全事件所作用資產的價值計算安全事件的損失;?
根據安全事件發生的可能性以及安全事件的損失,計算安全事件一旦發生對組織的影響,即風險值。?
其次,進行信息系統流程的風險評估。根據「國際知名咨詢機構Gartner的調查結果」以及我們在實踐中證實發現,要減少信息系統故障最有效的方式之 一,就是進行有效的流程管理。因此需要在保證「靜態資產」安全的基礎上,對IT相關業務流程進行有效管理,以保護業務流程這類「動態資產」的安全。
構建第四步 設計建立信息安全保障體系總體框架
在充分進行現狀調研、風險分析與評估的基礎上,建立組織的信息安全保障體系總綱,總綱將全面覆蓋該組織的信息安全方針、策略、框架、計劃、執行、檢查和 改進所有環節,並對未來3-5年信息安全建設提出了明確的安全目標和規范。信息安全體系框架設計在綜合了現狀調研、風險評估、組織架構和信息安全總綱後, 還需要綜合考慮了風險管理、監管機構的法律法規、國內國際相關標準的符合性。為確保信息安全建設目標的實現,導出該組織未來信息安全任務,信息安全保障體 系總體框架設計文件(一級文件)將包括:
信息安全保障體系總體框架設計報告;
信息安全保障體系建設規劃報告;
??
信息安全保障體系將依據信息安全保障體系模型,從安全組織、安全管理、安全技術和安全運維四個方面展開而得到。對展開的四個方面再做進一步的分解和比較詳細的規定將得到整個政府部門或企業信息安全保障體系的二級文件。具體二級文件包括:
信息安全組織體系:組織架構、角色責任、教育與培訓、合作與溝通
信息安全管理體系:信息資產管理;人力資源安全;物理與環境安全;通信與操作管理;訪問控制;信息系統獲取與維護;業務連續性管理;符合性;
信息安全技術體系:物理層、網路層、系統層、應用層、終端層技術規范;
信息安全運維體系:日常運維層面的相關工作方式、流程、管理等。包括:事件管理、問題管理、配置管理、變更管理、發布管理,服務台。
構建第五步 設計建立信息安全保障體系組織架構
信息安全組織體系是信息安全管理工作的保障,以保證在實際工作中有相關的管理崗位對相應的控制點進行控制。我們根據該組織的信息安全總體框架結合實際情況,確定該組織信息安全管理組織架構。
信息安全組織架構:針對該組織內部負責開展信息安全決策、管理、執行和監控等工作的各部門進行結構化、系統化的結果。?
信息安全形色和職責:主要是針對信息安全組織中的個體在信息安全工作中扮演的各種角色進行定義、劃分和明確職責。?
安全教育與培訓:主要包括對安全意識與認知,安全技能培訓,安全專業教育等幾個方面的要求。?
合作與溝通:與上級監管部門,同級兄弟單位,本單位內部,供應商,安全業界專家等各方的溝通與合作?
構建第六步 設計建立信息安全保障體系管理體系
根據信息安全總體框架設計,結合風險評估的結果以及該組織的信息系統建設的實際情況,參照相關標准建立信息安全管理體系的三、四級文件,具體包括:
資產管理:信息系統敏感性分類與標識實施規范與對應表單、信息系統分類控制實規范與對應表單?
人力資源安全:內部員工信息安全守則、第三方人員安全管理規范與對應表單、保密協議?
物理與環境安全:物理安全區域劃分與標識規范以及對應表單、機房安全管理規范與對應表單、門禁系統安全管理規范與對應表單?
訪問控制:用戶訪問管理規范及對應表單、網路訪問控制規范與對應表單、
操作系統訪問控制規范及對應表單、應用及信息訪問規;通信與操作管理:網路安全管理規范與對應表單、In;信息系統獲取與維護:信息安全項目立項管理規范及對;業務連續性管理:業務連續性管理過程規范及對應表單;符合性:行業適用法律法規跟蹤管理規范及對應表單?;最終形成整體的信息安全管理體系,務必要符合整個組;
操作系統訪問控制規范及對應表單、應用及信息訪問規范及對應表單、移動計算及遠程訪問規范及對應表單?
通信與操作管理:網路安全管理規范與對應表單、Internet服務使用安全管理規范及對應表單、惡意代碼防範規范、存儲及移動介質安全管理規范與對應表單?
信息系統獲取與維護:信息安全項目立項管理規范及對應表單、軟體安全開發管理規范及對應表單、軟體系統漏洞管理規范及對應表單?
業務連續性管理:業務連續性管理過程規范及對應表單、業務影響分析規范及對應表單?
符合性:行業適用法律法規跟蹤管理規范及對應表單?
最終形成整體的信息安全管理體系,務必要符合整個組織的戰略目標、遠景、組織文化和實際情況並做相應融合,在整個實施過程還需要進行全程的貫穿性培訓. 將整體信息安全保障體系建設的意義傳遞給組織的每個角落,提高整體的信息安全意識。這樣幾方面的結合才能使建設更有效。
㈩ 建立信息安全管理體系的作用和意義
建立健全信息安全管理體系對企業的安全管理工作和企業的發展意義重大。首先,此體系的建立將提高員工信息安全意識,提升企業信息安全管理的水平,增強組織抵禦災難性事件的能力,是企業信息化建設中的重要環節,必將大大提高信息管理工作的安全性和可靠性,使其更好地服務於企業的業務發展。其次,通過信息安全管理體系的建設,可有效提高對信息安全風險的管控能力,通過與等級保護、風險評估等工作接續起來,使得信息安全管理更加科學有效。最後,信息安全管理體系的建立將使得企業的管理水平與國際先進水平接軌,從而成長為企業向國際化發展與合作的有力支撐。