【正文】 正確的使用方式） ? 帳戶管理、補丁管理、事件報告制度 （管理員） ? 策略更新 ? 強制執(zhí)行策略 （保障） 寧波廣播電視大學(xué)繼續(xù)教育學(xué)院 ? 安全教育與培訓(xùn)策略舉例： ? 建立專門的安全教育與培訓(xùn)機構(gòu) ? 制定詳細(xì)的安全教育和培訓(xùn)計劃 ? 定期對教育和培訓(xùn)結(jié)構(gòu)進行抽查和考核 寧波廣播電視大學(xué)繼續(xù)教育學(xué)院 五、信息安全策略的執(zhí)行和維護 ? （一）執(zhí)行 ? 責(zé)任聲明和監(jiān)控制度是最重要的保證 ? （二）維護 ? 審查和修訂 周期 6個月或 1年 寧波廣播電視大學(xué)繼續(xù)教育學(xué)院 第四節(jié) 信息安全技術(shù) ? 一、物理環(huán)境安全技術(shù) ? 環(huán)境安全 ： 對系統(tǒng)所在環(huán)境的保護 ? 設(shè)備安全： 設(shè)備防盜、防毀、防電磁輻射干擾等 ? 媒體安全： 包括媒體數(shù)據(jù)的安全和媒體本身的安全 寧波廣播電視大學(xué)繼續(xù)教育學(xué)院 二、通訊鏈路安全技術(shù) ? （一）鏈路加密技術(shù) ? 設(shè)備管理簡單 ? 成本較高 寧波廣播電視大學(xué)繼續(xù)教育學(xué)院 寧波廣播電視大學(xué)繼續(xù)教育學(xué)院 ? 說明： ? 鏈路加密技術(shù)在數(shù)據(jù)通過廣域網(wǎng)時，提供加密和解密功能 ? 鏈路加密機工作在數(shù)據(jù)鏈路層，每個分支機構(gòu)的廣域網(wǎng)與局域網(wǎng)的邊界處部署一臺鏈路加密機，在數(shù)據(jù)中心局域網(wǎng)與廣域網(wǎng)邊界處，需要一對一進行加密機的部署，形成鏈路加密機群，提供點對點的保護。 寧波廣播電視大學(xué)繼續(xù)教育學(xué)院 ? Cobit與 ITIL比較： ? 均關(guān)注廣泛的 IT控制，但是更強調(diào)目標(biāo)要求和度量指標(biāo)，而后者更關(guān)注實施流程。 ? 其精髓體現(xiàn)為 “一大功能” 和 “十大流程” ，前者是服務(wù)臺功能。該模型將系統(tǒng)安全工程成熟度分為 5個等級。 ? 該標(biāo)準(zhǔn)強調(diào)信息安全管理是一個面向風(fēng)險的、持續(xù)改進的過程，如下圖： 寧波廣播電視大學(xué)繼續(xù)教育學(xué)院 寧波廣播電視大學(xué)繼續(xù)教育學(xué)院 ? 二、其他標(biāo)準(zhǔn) ? BS7799旨在為組織實施信息安全管理體系提供指導(dǎo)性框架，更多體現(xiàn)的是一種目標(biāo)要求，總體上并沒有提及實施的細(xì)節(jié)（通行標(biāo)準(zhǔn)的必然局限，普適性強則針對性就弱） ? 具體組織要將 BS7799標(biāo)準(zhǔn)落實，需補充必要的可實施內(nèi)容，下面是國際上一些相關(guān)的標(biāo)準(zhǔn) 寧波廣播電視大學(xué)繼續(xù)教育學(xué)院 （一） PD3000： PD3001～ PD3005（ P44） 特點：更具針對性 （二） CC：是國際上最通行的信息技術(shù)產(chǎn)品及系統(tǒng)安全性測評標(biāo)準(zhǔn)，也是信息技術(shù)安全性評估結(jié)果國際互認(rèn)的基礎(chǔ)， CC標(biāo)準(zhǔn)由 3個文件構(gòu)成： ISO/IEC154081，介紹和一般模型 ISO/IEC154082，安全功能要求 ISO/IEC154083，安全保證要求 與 BS7799相比， CC側(cè)重系統(tǒng)和產(chǎn)品的技術(shù)指標(biāo)評價上。 ? 各管理類的關(guān)系圖如下 寧波廣播電視大學(xué)繼續(xù)教育學(xué)院 寧波廣播電視大學(xué)繼續(xù)教育學(xué)院 作用關(guān)系說明： 方針和策略是基礎(chǔ)和指導(dǎo) 人員和組織管理要依據(jù)方針和策略執(zhí)行任務(wù) 合規(guī)性管理指導(dǎo)如何檢驗信息安全管理工作的效果 人員與組織實施的信息安全管理工作，主要從兩個方面進行風(fēng)險管理合業(yè)務(wù)連續(xù)性管理 根據(jù)信息系統(tǒng)生命周期，可以把信息系統(tǒng)劃分為項目開發(fā)階段和運行維護階段 所有的信息安全管理工作都作用在信息 系統(tǒng)之上 寧波廣播電視大學(xué)繼續(xù)教育學(xué)院 第二節(jié) 信息安全管理標(biāo)準(zhǔn) ? 信息安全管理在發(fā)展過程中有不同的標(biāo)準(zhǔn) ? 一、 BS7799 ? 是 英國標(biāo)準(zhǔn)協(xié)會針對信息安全管理制定的，發(fā)布于 1995年，后幾經(jīng)修改，成為目前被廣泛接受的標(biāo)準(zhǔn)。 （一）背景 科索沃戰(zhàn)爭、愛蟲病毒的爆發(fā)是催化劑 寧波廣播電視大學(xué)繼續(xù)教育學(xué)院 （二）內(nèi)容 保證信息安全是國家利益的要求 保證信息安全的方法 國家在保證信息安全時應(yīng)采取的基本原則 信息安全的組織基礎(chǔ) 此外，信息安全學(xué)說還對信息威脅做了評估，論證了信息斗爭的打擊目標(biāo)和打擊手段。 ? 2022年 2月公布 《 確保網(wǎng)絡(luò)空間安全的國家戰(zhàn)略 》 報告，強調(diào)發(fā)動社會力量參與保障網(wǎng)絡(luò)安全，重視發(fā)揮高校和科研機構(gòu)的力量。 寧波廣播電視大學(xué)繼續(xù)教育學(xué)院 內(nèi)容涵蓋安全技術(shù)和安全管理緊密結(jié)合的部分，包括系統(tǒng)可靠性設(shè)計、系統(tǒng)數(shù)據(jù)額備份設(shè)計、安全時間的應(yīng)急響應(yīng)計劃、安全審計、災(zāi)難恢復(fù)計劃等 寧波廣播電視大學(xué)繼續(xù)教育學(xué)院 第二節(jié) 信息安全政策 ? 一、我國信息化發(fā)展戰(zhàn)略與安全保障工作 ? （一）信息化發(fā)展戰(zhàn)略 （ P8） ? 推進國民經(jīng)濟信息化 ? 推進電子政務(wù) ? 建設(shè)先進網(wǎng)略文化 ? 推進社會信息化 ? 完善綜合信息基礎(chǔ)設(shè)施 ? 加強信息資源的開發(fā)利用 ? 提高信息產(chǎn)業(yè)競爭力 ? 建設(shè)國家信息安全保障體系 ? 提高國民信息技術(shù)應(yīng)用能力，造就信息化人才隊伍 寧波廣播電視大學(xué)繼續(xù)教育學(xué)院 （二）信息安全保障工作 國務(wù)院 《 關(guān)于加強信息安全保障工作的意見 》 加強信息安全保障工作須遵循的原則 立足國情，以我為主，堅持管理和技術(shù)并重；正確處理安全與發(fā)展的關(guān)系，以安全保發(fā)展，從發(fā)展中求安全；統(tǒng)籌規(guī)劃，突出重點，強化基礎(chǔ)性工作；明確國家、企業(yè)、個人的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國家信息安全保障體系。 寧波廣播電視大學(xué)繼續(xù)教育學(xué)院 安全綜合管理平臺 對安全機制和安全設(shè)備進行統(tǒng)一的管理和控制，負(fù)責(zé)維護和管理安全策略，配置管理相應(yīng)的安全機制。 寧波廣播電視大學(xué)繼續(xù)教育學(xué)院 ：保護、檢測、響應(yīng)、恢復(fù)四環(huán)節(jié)在策略 的指導(dǎo)下 構(gòu)成相互 作用的 有機體。 本書的定義：通過在數(shù)據(jù)上施加某些約定而賦予這些數(shù)據(jù)的特殊含義。（客觀存在并不是區(qū)分真假信息的依據(jù)） 狹義：能被主體感覺到并被理解的東西（客觀存在）。 寧波廣播電視大學(xué)繼續(xù)教育學(xué)院 安全公式 （ 1） Pt＞ Dt+Rt， 系統(tǒng)安全 保護時間大于檢測時間和響應(yīng)時間之和； （ 2） Pt＜ Dt+Rt, 系統(tǒng)不安全 信息系統(tǒng)的安全控制措施在檢測和響應(yīng)前就會失效，破壞和后果已經(jīng)發(fā)生。通過使用安全基礎(chǔ)設(shè)施平臺所提供的各類安全服務(wù)，提升自身的安全等級，以更加安全的方式，提供業(yè)務(wù)