1、通过合理的组织体系、规章制度和控管措施,把具有信息安全保障功能的软硬件设施和管理/使用信息的人整合在一起,以此确保整个组织达到预定程度的网络信息安全,称为网络信息安全管理超过70%的信息安全事故,如果事先加强管理,都可以得到避免印证了一句名言:“三分技术,七分管理”苍蝇不叮无缝的蛋蛋理由之一:人的因素第一理由之二:整体大于部分理由之三:决策层必须参与宏观管理:国家信息安全管理体制微观管理:单位信息安全管理体制本次培训:主要介绍微观管理安全需求信息资产风险脆弱性威胁控管措施单位出于业务需要而需要避免发生的安全事故的总和由于业务类型和资金预算的限制,只能对有限类型的安全事故加以避免,所以单位划定网
2、络信息安全需求的范围是采取网络信息安全管理措施的前提被贵单位看作是有价值的事物,如 机要数据 纸媒介文件 软件资产 物理资产 人力资源 单位的形象与声誉 服务是网络信息资产自身的一种缺陷。脆弱性本身并不对资产构成危害,但是在一定的条件得到满足时,脆弱性会被人利用来对信息资产造成威胁对网络信息系统脆弱性的评估,要由专业人士用专门的工具(如漏洞扫描系统)来进行,谨防黑客勒索可以导致安全事故和单位财产损失的活动。一种活动构成威胁,需要一定的条件。单位为降低信息安全风险、提高网络信息安全水平而采取的组织上、制度上和技术上的措施威胁脆弱性风险信息资产控管措施安全需求价值对贵单位工作的潜在影响利用防止增加
3、增加暴露具有增加降低满足引发教育和培训管理层的承诺从上到下贯彻的安全管理方针控管措施监督检查机制一致认同的安全管理适用范围要让全体职工知道管理层做出了网络信息安全管理的承诺一把手最好亲自出面简单上口通俗易懂提纲挈领切实可行宽严适度量力而行交流期待培训用户减少错误建设单位文化物理控管物理控管人员控管人员控管访问控制访问控制 审计审计废弃物品控管废弃物品控管应急处理应急处理 隔离隔离设备设施防护设备设施防护防盗(尤其注意笔记本电脑防盗)使用门禁设施防火人员离开时桌面净空,屏幕上锁防电磁泄漏防搭线窃听调离人员的处理签署保密合同人员分级与分类权限的授予和管理信息管理人员持证上岗办公自动化环境下的新问题
4、与安全有关的事件,要有记录网络信息管理员应定期对审计信息进行备份单位应定期请专业人士对审计信息进行分析,由此评估网络信息安全状况审计文件应严格保护,禁止任何人私自改动访问单位内部信息和信息系统,要有身份认证的过程,只允许授权用户访问设置和修改权限,所依据的政策要由专人负责制定,操作要专人负责与单位外部的通信连接,必要的时候要进行审查和过滤按访问控制的强度对信息系统分级单位内部信息系统和外部公共网络,要内外有别隔离强度有四个等级:无任何隔离措施 物理连通,按一定条件过滤 物理不连通,数据连通 数据不连通软驱与拨号访问的控管承载敏感信息的耗材废弃前必须先销毁。包括:废旧软盘、硬盘、光盘、磁带废旧纸
5、张发生紧急安全事故时,要做到:封存现场(尤其是审计数据),及时取证,紧急报案和求援 排除故障、启用备份系统和备份数据,恢复原数据及系统正常功能国家计算机网络应急处理体系即将为全社会提供应急处理服务配置管理入侵检测与入侵阻断服务器防护抗毁系统和自毁系统笔记本电脑问题网络防洪不要点击和下载来历不明的文件和链接不要点击和下载来历不明的文件和链接 起个什么口令好起个什么口令好不要使用来历不明的软盘不要使用来历不明的软盘/光盘光盘浏览器设置要当心浏览器设置要当心对异常现象保持高度警惕对异常现象保持高度警惕实行安全内审员制度安全记录、安全状况要有人定期检查查出安全问题要能明确追究责任ISO 13335/ISO 17799-1(原BS 7799-1)/BS 7799-2采用推荐标准而不是强制标准实行达标认证制度与现行保密制度的关系网络信息安全,重在管理安全管理必须成体系、有组织,一把手亲自抓,自上而下地宣传贯彻安全管理重在预防,要对信息资产及其脆弱性以及总体安全状况做到胸中有数安全管理必须在体系、制度建设中充分考虑技术因素,但只有体系、制度和技术的合理结合才能真正发挥作用,取得效果网络信息安全产品的局限性
