《信息安全與運(yùn)維管理》由會(huì)員分享����,可在線閱讀,更多相關(guān)《信息安全與運(yùn)維管理(37頁珍藏版)》請?jiān)谘b配圖網(wǎng)上搜索���。
1��、提綱,什么是信息安全 什么是IT運(yùn)維 信息安全與IT運(yùn)維的關(guān)系 怎樣開展信息安全工作 信息安全最佳實(shí)踐 信息安全工作模型,什么是信息安全�?(1),關(guān)于信息安全的定義很多,國內(nèi)外�、不同組織給出不同的定義,但我們可以找出其中共性的部分 國內(nèi)學(xué)者的定義:“信息安全保密內(nèi)容分為:實(shí)體安全�、運(yùn)行安全、數(shù)據(jù)安全和管理安全四個(gè)方面�。” 我國“計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品分類原則”中的定義是:“涉及實(shí)體安全����、 運(yùn)行安全和信息安全三個(gè)方面?�!?我國相關(guān)立法給出的定義是:“保障計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備����、設(shè)施(網(wǎng)絡(luò))的安全,運(yùn)行環(huán)境的安全����,保障信息安全���,保障計(jì)算機(jī)功能的正常發(fā)揮����,以維護(hù)計(jì)算機(jī)信息系統(tǒng)的安全”。這里
2��、面涉及了物理安全��、運(yùn)行安全與信息安全三個(gè)層面�。,什么是信息安全?(2),國家信息安全重點(diǎn)實(shí)驗(yàn)室給出的定義是:“信息安全涉及到信息的機(jī)密性�����、完整性����、可用性、可控性�。綜合起來說,就是要保障電子信息的有效性�����。” 英國BS7799信息安全管理標(biāo)準(zhǔn)給出的定義是:“信息安全是使信息避免一系列威脅�����,保障商務(wù)的連續(xù)性��,最大限度地減少商務(wù)的損失����,最大限度地獲取投資和商務(wù)的回報(bào),涉及的是機(jī)密性��、完整性����、可用性?�!?什么是信息安全�?(3),美國國家安全局信息保障主任給出的定義是:“因?yàn)樾g(shù)語信息安全一直僅表示信息的機(jī)密性,在國防部我們用信息保障來描述信息安全����,也叫IA。它包含5種安全服務(wù)��,包括機(jī)密性、完整性���、可用性、
3�、真實(shí)性和不可抵賴性?�!?國際標(biāo)準(zhǔn)化委員會(huì)給出的定義是:“為數(shù)據(jù)處理系統(tǒng)而采取的技術(shù)的和管理的安全保護(hù)����,保護(hù)計(jì)算機(jī)硬件、軟件���、數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞����、更改��、顯露”��。,什么是信息安全信息安全目標(biāo)總結(jié),信息安全的目標(biāo) 機(jī)密性 Confidentiality 完整性 Integrity 可用性 Availability 可控性 controllability 真實(shí)性 Authenticity 不可否認(rèn)性 Non-repudiation,什么是信息安全涵蓋內(nèi)容總結(jié),信息安全的涵蓋內(nèi)容 物理安全 網(wǎng)絡(luò)安全 主機(jī)安全 應(yīng)用安全 數(shù)據(jù)安全 安全管理,提綱,什么是信息安全 什么是IT運(yùn)維 信息安全
4�、與IT運(yùn)維的關(guān)系 怎樣開展信息安全工作 信息安全最佳實(shí)踐 信息安全工作模型,什么是IT運(yùn)維?互聯(lián)網(wǎng)定義,IT運(yùn)維是IT管理的核心和重點(diǎn)部分���,也是內(nèi)容最多�、最繁雜的部分,該階段主要用于IT部門內(nèi)部日常運(yùn)營管理�����,涉及的對(duì)象分成兩大部分�����,即IT業(yè)務(wù)系統(tǒng)和運(yùn)維人員�,可細(xì)分為七個(gè)子系統(tǒng): 設(shè)備管理:對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器備��、操作系統(tǒng)運(yùn)行狀況進(jìn)行監(jiān)控 應(yīng)用/服務(wù)管理:各種應(yīng)用軟件與服務(wù) 數(shù)據(jù)/存儲(chǔ)/容災(zāi)管理:對(duì)系統(tǒng)和業(yè)務(wù)數(shù)據(jù)進(jìn)行統(tǒng)一存儲(chǔ)�����、備份和恢復(fù) 業(yè)務(wù)管理:對(duì)組織業(yè)務(wù)系統(tǒng)的監(jiān)控與管理��,CSF/KPI 目錄/內(nèi)容管理:組織的對(duì)內(nèi)�����、外信息的管理 資產(chǎn)管理:包括物理與邏輯資產(chǎn) 信息安全管理: 日常工作管理:職責(zé)分
5�、工���,績效考核,知識(shí)平臺(tái)整理等,什么是IT運(yùn)維我的定義,組織為實(shí)現(xiàn)業(yè)務(wù)目標(biāo)而針對(duì)IT系統(tǒng)所采取的一切管理的總和�,可以分為兩類:服務(wù)支持管理與服務(wù)交付管理。 服務(wù)支持包括: 事故管理 問題管理 配置管理 變更管理 發(fā)布管理 服務(wù)交付包括: 可用性管理 能力管理 服務(wù)水平管理 外包管理,什么是IT運(yùn)維總結(jié),IT運(yùn)維的目標(biāo) 支撐組織業(yè)務(wù)目標(biāo) IT運(yùn)維的內(nèi)容 服務(wù)交付 服務(wù)支持 IT運(yùn)維 ITIL + Cobit + CISA + ISO20000,提綱,什么是信息安全 什么是IT運(yùn)維 信息安全與IT運(yùn)維的關(guān)系 怎樣開展信息安全工作 信息安全最佳實(shí)踐 信息安全工作模型,信息安全與IT運(yùn)維的關(guān)系(1),安
6�����、全是IT運(yùn)維的重要組成模塊�����,對(duì)于某些行業(yè)是關(guān)鍵模塊 IT運(yùn)維旨在謀求安全性與方便性 安全保障著價(jià)值 安全正在創(chuàng)造價(jià)值. 網(wǎng)上銀行的安全性吸引了更多的消費(fèi)者 商業(yè)秘密的安全措施使得組織更具競爭力 電子簽名法的出臺(tái)打消了使用者的安全疑慮 具有安全認(rèn)證與強(qiáng)大容災(zāi)能力的郵件系統(tǒng)才能擁有海量的用戶,信息安全與IT運(yùn)維的關(guān)系(2),安全與IT運(yùn)維共有一個(gè)衡量標(biāo)尺:組織業(yè)務(wù)目標(biāo) 業(yè)務(wù)需求驅(qū)動(dòng)信息安全與IT運(yùn)維需求 信息安全與IT運(yùn)維方案要適應(yīng)業(yè)務(wù)流程 信息安全與IT運(yùn)維方案要支撐業(yè)務(wù)的可持續(xù)發(fā)展 業(yè)務(wù)目標(biāo)的調(diào)整驅(qū)使安全與IT運(yùn)維的調(diào)整 投資與企業(yè)戰(zhàn)略��、風(fēng)險(xiǎn)狀況密切相關(guān),信息安全與IT運(yùn)維的關(guān)系(3),安全貫
7���、穿了IT運(yùn)維整個(gè)生命周期 安全與IT運(yùn)維都是一個(gè)過程,而不是一次事件 每個(gè)IT運(yùn)維流程都影響著安全的一個(gè)或者多個(gè)目標(biāo)(C.I.A) 失去安全的IT運(yùn)維是失敗的運(yùn)維 安全的成熟度模型與IT運(yùn)維的標(biāo)桿管理是吻合的,信息安全與IT運(yùn)維的關(guān)系(4),IT運(yùn)維與信息安全的融合 安全公司試水運(yùn)維���,安全產(chǎn)品強(qiáng)化管理��、監(jiān)控功能�����,支持IT運(yùn)維 運(yùn)維支持類產(chǎn)品引入安全概念�、集成安全技術(shù) 信息安全融入IT運(yùn)維流程中 相關(guān)標(biāo)準(zhǔn)的認(rèn)證工作可以同時(shí)進(jìn)行(ISO20000/270001),信息安全與IT運(yùn)維的關(guān)系(5),IT運(yùn)維的趨勢彰示著安全的未來 IT運(yùn)維的標(biāo)準(zhǔn)化符合安全的“縱深防御”的理念 IT運(yùn)維的流程化提高了安全
8、的可管理性����,為改進(jìn)安全工作提供條件 IT運(yùn)維的自動(dòng)化減少了人為失誤,降低了安全的成本,提綱,什么是信息安全 什么是IT運(yùn)維 信息安全與IT運(yùn)維的關(guān)系 怎樣開展信息安全工作 信息安全最佳實(shí)踐 信息安全工作模型,怎樣開展信息安全治理(1),1���、規(guī)劃 根據(jù)組織業(yè)務(wù)與組織文化����,制定安全目標(biāo) 對(duì)組織進(jìn)行風(fēng)險(xiǎn)評(píng)估 制定安全基線,怎樣開展信息安全治理(2),2��、實(shí)施 根據(jù)安全基線����,制定安全建設(shè)計(jì)劃、投資回報(bào)計(jì)劃 建立信息安全管理框架���, 融合各種安全技術(shù)�����、產(chǎn)品�,建設(shè)組織安全保障體系。 對(duì)關(guān)鍵流程制定BCP/DRP計(jì)劃,怎樣開展信息安全治理(3),3�����、評(píng)估 參照Cobit�,開展信息系統(tǒng)審計(jì) 根據(jù)組織的業(yè)務(wù)流程,
9�、建立基于“平衡積分卡”的績效考評(píng)機(jī)制 逐步分解“平衡積分卡”為若干個(gè)KPI/KGI/Metrics等,參照安全基線發(fā)現(xiàn)差距 在盡量不影響業(yè)務(wù)連續(xù)性的前提下���,采取有效演練手段,確保BCP��、DRP的有效性,怎樣開展信息安全治理(4),4����、維護(hù) 根據(jù)評(píng)估結(jié)果,進(jìn)行流程改進(jìn) 標(biāo)桿管理�����,提高安全系統(tǒng)成熟度 持續(xù)改進(jìn)�����,永不停止,怎樣開展信息安全治理(5),關(guān)于人. 上述步驟中,并沒有列出“人”的因素�,其實(shí)在整個(gè)安全治理工作中,“人”是最關(guān)鍵的因素����。 對(duì)人的安全意識(shí)的培養(yǎng)、安全技能的教育伴隨著整個(gè)安全治理工作全程���,不會(huì)僅限于某個(gè)特定步驟,怎樣開展信息安全治理(6),關(guān)于安全成熟度. 系統(tǒng)安全工程能力成熟模型
10���、(SSE-CMM)描述了一個(gè)組織的安全工程過程必須包含的本質(zhì)特征,這些特征是完善的安全工程保�。包括6級(jí)。 SSE-CMM0: 未實(shí)施級(jí) SSE-CMM1: 非正式實(shí)施級(jí) 執(zhí)行基本實(shí)施 SSE-CMM2: 計(jì)劃和跟蹤級(jí) 規(guī)劃執(zhí)行����,規(guī)范化執(zhí)行,驗(yàn)證執(zhí)行�,跟蹤執(zhí)行 SSE-CMM3: 已定義級(jí) 定義標(biāo)準(zhǔn)過程,執(zhí)行已定義過程�����,協(xié)調(diào)實(shí)施 SSE-CMM4: 可管理級(jí) 建立可測的質(zhì)量目標(biāo),客觀的管理執(zhí)行 SSE-CMM5: 持續(xù)改進(jìn)級(jí) 改進(jìn)組織能力���,改進(jìn)過程有效性,怎樣開展信息安全治理(7),關(guān)于績效考評(píng)與平衡計(jì)分卡 沒有績效考評(píng)無法度量信息安全治理的輸出 一般來講����,平衡計(jì)分卡從如下4個(gè)角度進(jìn)行 財(cái)務(wù)角度
11�����、 成本預(yù)算�、投資回報(bào)等 客戶角度 服務(wù)質(zhì)量、客戶滿意度�、需求解決、高效的IT服務(wù)臺(tái)等 企業(yè)內(nèi)部運(yùn)營 業(yè)務(wù)流程效率�、登錄時(shí)間、故障發(fā)生率�、故障平均修復(fù)時(shí)間 學(xué)習(xí)與成長 人才培養(yǎng)����,技能發(fā)展等,提綱,什么是信息安全 什么是IT運(yùn)維 信息安全與IT運(yùn)維的關(guān)系 怎樣開展信息安全工作 信息安全最佳實(shí)踐 信息安全工作模型,信息安全治理的最佳實(shí)踐(1),沒有管理層支持的安全治理的結(jié)果只有一個(gè):失敗 確保資金、人員的支持 管理層的支持在一定程度上說明信息安全治理順從組織業(yè)務(wù)目標(biāo) 怎樣得到管理層的支持���?,信息安全治理的最佳實(shí)踐(2),沒有規(guī)劃的安全治理����,結(jié)果也是失敗 信息安全治理是一個(gè)復(fù)雜的工程,沒有規(guī)劃只能失敗
12����、,信息安全治理的最佳實(shí)踐(3),遵循標(biāo)準(zhǔn)才能少走彎路 相關(guān)的標(biāo)準(zhǔn)與體系: ISO20000/270001 ITIL,Cobit���,COSO 相關(guān)的法律: SOX302/404 信息安全等級(jí)管理辦法,信息安全治理的最佳實(shí)踐(4),信息資產(chǎn)分類/分級(jí)����,實(shí)現(xiàn)有限投資的效益最大化 信息資產(chǎn)分類/分級(jí)并不是簡單的資產(chǎn)清點(diǎn) 信息資產(chǎn)分類/分級(jí)為進(jìn)一步的訪問控制做準(zhǔn)備 信息資產(chǎn)的分類以業(yè)務(wù)流程為參照���,分級(jí)以重要性為參照,信息安全治理的最佳實(shí)踐(5),建立縱深防御機(jī)制 縱深防御機(jī)制被認(rèn)為是解決信息安全的最佳方法���,是指在信息系統(tǒng)中的多個(gè)點(diǎn)使用多種安全技術(shù),從而減少攻擊者利用關(guān)鍵業(yè)務(wù)資源或信息泄露到企業(yè)外部的總體可
13��、能性����。在消息傳遞和協(xié)作環(huán)境中,縱深防御體系可以幫助管理員確保惡意代碼或活動(dòng)被阻止在基礎(chǔ)結(jié)構(gòu)內(nèi)的多個(gè)檢查點(diǎn)��。這降低了威脅進(jìn)入內(nèi)部網(wǎng)絡(luò)的可能性。 怎樣建立縱深防御機(jī)制����?,信息安全治理的最佳實(shí)踐(6),預(yù)防為主,檢測與糾正并舉的安全控制措施 安全問題發(fā)生的階段越靠后�����,解決安全問題付出的代價(jià)越高�。 信息安全拒絕完美主義,不要試圖消除所有的風(fēng)險(xiǎn) 雖然不能消除所有的風(fēng)險(xiǎn)��,但是可以管理所有風(fēng)險(xiǎn),信息安全治理的最佳實(shí)踐(7),安全治理是一個(gè)動(dòng)態(tài)的過程���,而非一次孤立事件 安全策略的建立不是安全的終點(diǎn) 安全產(chǎn)品的部署也不是安全的終點(diǎn) 安全治理根本沒有終點(diǎn)�����,安全治理是一個(gè)循環(huán) 公司業(yè)務(wù)目標(biāo)的調(diào)整對(duì)信息安全的影響 新
14��、技術(shù)、新產(chǎn)品的發(fā)展帶來隱患或者機(jī)遇����。wireless,IM,cc攻擊等,信息安全治理的最佳實(shí)踐(8),安全治理的過程就是發(fā)現(xiàn)并消除短木板的過程 信息安全的短木板在很多方面都存在 以信息防泄漏為例���,大多數(shù)網(wǎng)關(guān)設(shè)備能支持訪問控制��,能對(duì)郵件�、網(wǎng)頁���、ftp等進(jìn)行監(jiān)控并過濾�,但是仍然存在其他途徑可以泄漏信息����,包括移動(dòng)介質(zhì)、無線通訊����、以及近來越來越普及的即時(shí)通訊工具。,信息安全治理的最佳實(shí)踐(9),安全的管理����,歸根結(jié)底是對(duì)人的管理 人的安全意識(shí)、安全操作��、安全技能 信息安全中最重要的環(huán)節(jié)是人����,最薄弱的環(huán)節(jié)也是人�����。 人可以解決技術(shù)����、產(chǎn)品所不能解決的問題��,比如Social Engineering Attack 人可以管理技術(shù)��、產(chǎn)品的缺陷,信息安全治理的最佳實(shí)踐(10),參照但不照搬最佳實(shí)踐 沒有一個(gè)最佳實(shí)踐能適應(yīng)所有情況��,包括上述9條:-),提綱,什么是信息安全 什么是IT運(yùn)維 信息安全與IT運(yùn)維的關(guān)系 怎樣開展信息安全工作 信息安全最佳實(shí)踐 信息安全工作模型,信息安全工作模型(圖),
信息安全與運(yùn)維管理
