购买

¥ 25.0

加入VIP
  • 专属下载特权
  • 现金文档折扣购买
  • VIP免费专区
  • 千万文档免费下载

上传资料

关闭

关闭

关闭

封号提示

内容

首页 构建信息安全保障体系44p

构建信息安全保障体系44p.ppt

构建信息安全保障体系44p

精品课件库
2019-06-20 0人阅读 举报 0 0 暂无简介

简介:本文档为《构建信息安全保障体系44pppt》,可适用于综合领域

构建信息安全保障体系我国网络信息安全威胁增加迅速(CNCERTCC)僵尸网络范围扩大万台主机被植入僵尸程序木马谍件威胁严重万IP地址植入木马网页篡改数量迅速增加达到次政府网站被篡改次占总量安全事件报告的年增量为网络恶意代码年增量倍漏洞发现量的年增网络威胁的新动向值得高度关注“零日攻击”现象出现(魔波蠕虫)复合式病毒给防范增加难度僵尸网成为DDos和垃圾邮件的源头网络仿冒劫持是在线窃信的重要途径谍件泛滥是窃密泄密的主要元凶通过网页邮件PP传播恶意代码的数量猛增非法牟利动机明显增加和趋于嚣张黑客地下产业链正在形成僵尸源和木马源的跨国控制应该高度警惕内部安全事件的增加引起高度重视国家信息化领导小组第三次会议《关于加强信息安全保障工作的意见》中办发号文坚持积极防御、综合防范全面提高信息安全防护能力重点保障信息网络和重要信息系统安全创建安全健康的网络环境保障和促进信息化发展、保护公众利益、维护国家安全立足国情、以我为主、管理与技术并重、统筹规划、突出重点发挥各界积极性、共同构筑国家信息安全保障体系国家信息安全保障工作要点(中办发号文)实行信息安全等级保护制度:风险与成本、资源优化配置、安全风险评估基于密码技术网络信任体系建设:密码管理体制、身份认证、授权管理、责任认定建设信息安全监控体系:提高对网络攻击、病毒入侵、网络失窃密、有害信息的防范能力重视信息安全应急处理工作:指挥、响应、协调、通报、支援、抗毁、灾备推动信息安全技术研发与产业发展:关键技术、自主创新、强化可控、引导与市场、测评认证、采购、服务信息安全法制与标准建设:信息安全法、打击网络犯罪、标准体系、规范网络行为信息安全人材培养与增强安全意识:学科、培训、意识、技能、自律、守法信息安全组织建设:信息安全协调小组、责任制、依法管理构造信息安全保障体系的目标增强信息网络四种安全能力1 创建信息安全的基础支撑能力   安全基础设施、技术与产业、人才与教育2 提升信息安全防护与对抗能力   WPDRRA3 加强网络突发事件的快速反应能力4 拥有安全管理的控制能力保障信息及其服务具有六性保密性、完整性、可用性、真实性、可核查性、可控性信息系统安全的全局对策(一)科学划分信息安全等级投入与风险的平衡点安全资源的优化配置(一)构建信息安全保障体系重视顶层设计,做好信息安全技术体系与信息安全管理体系强化信息安全的保障性(二)作好信息安全风险评估是信息安全建设的起点、也覆盖终生提升信息安全的可信性(一)科学划分信息安全等级我国信息安全等级保护工作职责分工年月《信息安全等级保护管理办法(试行)》(公通字〔〕号)明确了公安、保密、密码、信息化部门的职责:公安机关全面国家保密工作部门涉密信息系统国家密码管理部门密码国务院信息办协调信息安全等级保护关注点(公通字号文)、(中保委发()号文)等级保护涉及的内容:信息系统、信息安全产品、信息安全事件分级依据:重要程度、危害程度、保护水平(业务信息、系统服务)保护级别划分:自主保护级、指导保护级、监督保护级、强制保护级、专控保护级系统管理模式一级:自主保护(一般系统合法权益)二级:指导保护(一般系统合法权益、社会利益)三级:监督检查(重要系统社会利益、国家安全)(秘密)四级:强制监督(重要系统社会利益、国家安全)(机密、增强)五级:专门监督(极端重要系统国家安全)(绝密)安全管理自主定级审核批准系统建设安全测评信息安全等级保护相关规范(公通字号文)<信息系统安全等级保护定级指南><信息系统安全等级保护实施指南><信息安全技术信息系统安全管理要求>GBT<信息系统安全等级保护测评要求><涉及国家秘密的计算机信息系统分级保护技术要求>BMB<涉及国家秘密的计算机信息系统分级保护测评指南>BMB<涉及国家秘密的信息系统分级保护管理规范>BMB(二)构建信息安全保障体系信息安全保障体系框架安全法规安全管理安全标准安全工程与服务安全基础设施教育培训()信息安全法规《关于开展信息安全风险评估工作的意见》(国信办号文)《信息安全等级保护管理办法》(公通字号文、公通字号文、)《关于做好国家重要信息系统灾难备份的通知》《关于做好信息安全管理试点的通知》《中华人民共和国保守国家秘密法》(在修订)《信息安全法》(信息安全条例)《电子签名法》(年月日实施)《个人数据保护法》()重视信息安全管理体系建设(ISMS)国家文件多次指出:建立信息安全管理组织明确信息安全管理责任制安全技术与安全管理要并重信息安全标准化委员会正抓紧制订管理标准构建信息安全保障体系时一定要重视ISMS建设信息安全管理体系要求(ISOIECGBT)规定了组织建立、实施、运行、监视、评审保持、改进、ISMS的要求基于风险管理思想提出了“PDCA模型”使组织达到更有效的安全管理用于认证和审核应用于ISMS过程的PDCA模型PDCA循环是能使任何一项活动有效改进的工作程序应用于ISMS过程的PDCA模型信息安全管理实用规则(ISOIECGBT)安全管理方针:业务、法规信息安全组织:内部、外部、控制措施信息资产管理:责任、分类、控制措施人力资源安全:角色、职责、培训、任用、处罚物理和环境安全:安全域控制、设备安全控制通信与操作管理:职责、交付、验收、完整性、备份网控、介质、交换、EC、监视访问控制:策略、授权、控制、移动信息系统开发维护:密码、文件、应用、过程、漏洞信息安全事件管理:报告、弱点、改进、职责业务持续性管理:中断、恢复、预案、评测符合性:法规、策略、标准、审核信息安全管理实用规则(ISOIEC)详细严格的安全管理控制贯穿系统生命周期全过程和系统所有环节个控制项目个控制目标个控制措施国信办信息安全管理试点(年的个月时间)省中选个点进行ISMS试点遵循ISOIECISOIEC并将ISMS试点与等级保护风险评估相结合重视需求牵引、领导参与ISMS建立要全员动员、培训、参与进一步认识过程的复杂性、困难性需要多个结合:工作流程、现实制度项目管理、多方参与()国家信息安全标准化委员会安全功能定义安全要素设计:物理、网络、系统、应用、管理全程安全控制风险全程管理安全有效评估强壮性策略(计划成立十个工作组)标准体系与协调(含可信计算)涉密信息系统保密(内容分级)密码算法与模块PKIPMI安全评估应急处理安全管理(灾难恢复、风险评估)电子证据身份标识与鉴别操作系统与数据国家发布项、报批搞项、送审稿项、征求意见项()信息系统安全工程建设安全需求分析:威胁弱点风险对策安全技术体系设计安全管理体系设计安全要素设计:物理、网络、系统、应用、管理安全集成管理:SOC安全风险评估与全程控制  提升预警、防护、检测、响应、恢复、反击的能力        (WPDRRA)(ISSEIATFCCTESEC,BMB,ISMS)(A)网络安全纵深防御体系网络信息安全域的划分、隔离控制、可信接入内部网安全服务与控制策略(专网)安全服务与控制策略外部网安全服务与控制策略互联网安全服务与控制策略公共干线的安全服务与控制策略(有线、无线、卫星)计算环境的安全服务机制多级设防与科学布署策略全局安全测评、集成管理、联动控制与恢复电子政务网络信息安全域的结构外网外网互联网互联网内网内网内网逻辑隔离内网(VPN私有专线或公共通信网)外网互联网外网(VPN公共通信网)互联网(Internet)节点节点N节点信息安全域的科学划分内网、(专网)、外网、互联网信息安全域边界的安全控制逻辑隔离物理隔离信息安全机制的纵深多级布署多级配置集成管理设施联动公共干线(TSP)的安全保障有线无线卫星纵深型防御技术关注点 防火墙UTM 安全网关 NAT 应用代理 VLAN 可信接入(TNC、NAC、NAP)VPN网络边界逻辑隔离网络边界物理隔离技术物理级(电磁域、物理域)屏蔽(室线)、干扰器(端、线)、区域保护终端级(隔离卡)双机型、双盘型、双区型传输信道级(端端加密)专用信道:VPN、IP密码机电路交换方式(PVC):认证与链路加密网络级(物理隔离与信息交换)物理切断:安全岛交换单向网闸:开放环境信息单向进入秘密级环境双向网闸:物理隔离网络环境内安全域间的信息交换、共享和互操作基于时间“t”的动态过程防御#Pt:入侵防护时间(Protection)#Dt:入侵检测时间(Detection)#Rt:入侵事件反应恢复时间(ResponseRecovery)要求Pt>DtRt“资产”价值损失<资产拥有者承受能力预警(Warning)要长备不卸懈反击(A)要有所准备(B)动态防御技术模型(WPDRRA)风险评估与系统漏洞的预先发现(SCAN)网络威胁检测、预警信息系统边界防护(FWUTMNG)入侵检测诊断、防护(IDSIPSIPM)应急预案与机制快速启动备份、修复与容灾虚拟资产的从新部署动态拓扑结构的调整积极防御机制的启动陷阱、隐蔽、追踪、取证侦探、预警、反击、制瘫动态防御技术的关注点密码管理体制身份认证:PKICA、TOKEN授权管理:PMIAA、ACL责任认定:全局审计(C)基于密码技术网络信任体系建设(中办发号文)数字认证与网络信任体系的建设(CAPKI)适应开放型、大时空、无限边界提供真实性、完整性、保密性、抗否认性可以构建良好的信任环境支持安全的交往交换交易多种业务对象PKICA在EG中广泛应用(D)强化内部审计全局审计网络级、数据库级、应用级、主机级(服务器、端机)介质级审计信息的安全加固保密性、完整性、防拷贝、可重现、防假冒审计信息的证据有效性法律上、管理上、技术上(恢复、反向工程)审计点前移事后事中事前(E)网络信息产品安全可控技术针对“分发式威胁”隐通道、嵌入病毒、缺陷、可恢复密钥、恶意代码采用自控技术:扫描、发现、补丁、配置、清除、监视、加固、升级(B级)用户重新获取自控权信息安全事件监控予警信息安全事件通报:定级(GBZ)启动应急予案事件应急抑制:物理、网络、主机、应用、服务事件应急根除事件应急恢复:恢复、抢救、灾备、回退应急审计评估:设施、数据、服务、审计、修订“灾难恢复”是BCM关键之一是“应急恢复”的最后一道防线(F)应急予案与响应流程我国灾难恢复等级划分:六级、七要素大致可以分为二类:数据类、应用类“第级”:数据介质转移(异地存放、安全保管、定期更新)“第级”:备用场地支持(异地介质存放、系统硬件网络可调)“第级”:电子传送和部分设备支持(网络传送、、磁盘镜像复制)“第级”:电子传送和完整设备支持(网络传送、网络与系统就绪)“第级”:实时数据传送及完整设备支持(关键数据实时复制、网络系统就绪、人机切换)“第级”:数据零丢失和远程(在线实时镜像、作业动态分配、实时无缝切换)“信息系统灾难恢复规范”(安标委GBT)它是业务持续性保证的要素重视等级保护与灾难恢复级别的选择遵循灾难恢复的规范与标准数据级灾备是容灾的基础和起点灾难恢复的集约化建设灾难恢复的社会化服务选择自主建设的几大原则灾难恢复建设的关注点(三)重视信息安全风险评估信息系统安全风险评估的特征信息系统是一个巨型复杂系统(系统要素、安全要素)信息系统受制于外部因素(物理环境、行政管理、人员)信息系统安全风险评估是一项系统工程发现隐患、采取对策、提升强度、总结经验自评估委托评估、检查评估信息系统安全评估方法定性分析与定量结合评估机构与评估专家结合评估考查与评估检测结合技术安全与管理安全结合信息系统安全分析与检测管理安全分析组织、人员、制度、资产控制、物理、操作、连续性、应急过程安全分析威胁、风险、脆弱性、需求、策略、方案、符合性分发、运行、维护、更新、废弃技术安全分析与检测安全机制、功能和强度分析、网络设施、安全设施及主机配置安全分析、脆弱性分析系统穿透性测试系统测试中风险的防范事前:保密持续透明协议、应急予案、备份、测试床离线事中:测试监控、现场控制、应急对策事后:消除残留、现场清理、原特权回复、原系统回复信息安全风险评估试点成效显著(国信办)提高了风险意识、培育自评估能力(个试点、几千人日)三要素的识别与赋值能力有所提高、(并探索行业细则)发现和消除大量隐患、提升了安全强度(表层与深层)采用了多种评估模式并总结经验(自评、委托、检查)实效性关键性涉密性常规性等系统的分类指导风险评估方法、工具、平台有所创新应急予案、离线评估、管理软件、识别知识化、多种评估方法评估过程的风险控制对策(管理、协议、技术、机制)全程的风险评估分类试点(规划、设计、实施、运行、更新)评估协同机制的探索(业主、建设、评估三方协同)体系与深层隐患的评估开始引起重视信息系统安全的全局对策(一)科学划分信息安全等级投入与风险的平衡点安全资源的优化配置(一)构建信息安全保障体系重视顶层设计,做好信息安全技术体系与信息安全管理体系强化信息安全的保障性(二)作好信息安全风险评估是信息安全建设的起点、也覆盖终生提升信息安全的可信性谢谢!

VIP尊享8折文档

用户评价(0)

关闭

新课改视野下建构高中语文教学实验成果报告(32KB)

抱歉,积分不足下载失败,请稍后再试!

提示

试读已结束,如需要继续阅读或者下载,敬请购买!

文档小程序码

使用微信“扫一扫”扫码寻找文档

1

打开微信

2

扫描小程序码

3

发布寻找信息

4

等待寻找结果

我知道了
评分:

/44

构建信息安全保障体系44p

¥25.0

会员价¥20.0

VIP

在线
客服

免费
邮箱

爱问共享资料服务号

扫描关注领取更多福利