【正文】 策略的最佳時間是在發(fā)生第一起網(wǎng)絡(luò)安全事故之前。安全策略必須遵循三個基本原則：確定性、完整性和有效性。 三、確定信息安全策略保護的對象167。2/2/2023 94信息 安全管理 CobiT 信息及相關(guān)技術(shù)控制目標(biāo)（ Control Objectives for Information and related Technology,CobiT）是由美國信息系統(tǒng)審計與控制協(xié)會針對 IT過程管理制定的一套基于最佳實踐的控制目標(biāo)，是目前國際上公認(rèn)的最先進、最權(quán)威的安全與信息技術(shù)管理和控制標(biāo)準(zhǔn)。 （ 2） ISO/IEC DIS 21827信息技術(shù) — 系統(tǒng)安全工程 — 能力成熟度模型 （ 3） SSECMM將系統(tǒng)安全工程成熟度劃分為 5個等級 （ 4） SSECMM可以作為評估工程實施組織（如安全服務(wù)提供商）能力與資質(zhì)的標(biāo)準(zhǔn)。 （ 4）與 BS7799標(biāo)準(zhǔn)相比， CC的側(cè)重點放在系統(tǒng)和產(chǎn)品的技術(shù)指標(biāo)評價上；組織在依照 BS7799標(biāo)準(zhǔn)來實施 ISMS時，一些牽涉系統(tǒng)和產(chǎn)品安全的技術(shù)要求，可以借鑒 CC標(biāo)準(zhǔn)。 復(fù)查、維護與持續(xù)改進BS77992/ISO 270012/2/2023 89信息 安全管理二、其他標(biāo)準(zhǔn) PD3000 BS7799標(biāo)準(zhǔn)本身是不具有很強的可實施性的，為了指導(dǎo)組織更好地建立 ISMS并應(yīng)對 BS7799認(rèn)證審核的要求，BSIDISC提供了一組有針對性的指導(dǎo)文件，即 PD3000系列。 制訂安全策略167。 適用性聲明167。 對 ISMS實施可識別的改進167。 實施監(jiān)視程序和控制167。 制訂并實施風(fēng)險處理計劃167。 識別和評估風(fēng)險167。 說明了建立、實施、維護，并持續(xù)改進 ISMS的要求167。BS77991(ISO/IEC17799)2/2/2023 80信息 安全管理與最佳實踐相關(guān)的控制措施：（ 1）信息安全策略文件：高管批準(zhǔn)發(fā)布信息安全策略文件，并廣泛告知；（ 2）信息安全責(zé)任的分配：清晰地所有的信息安全責(zé)任；（ 3）信息安全意識、教育和培訓(xùn)：全體員工及相關(guān)人員應(yīng)該接受恰當(dāng)?shù)囊庾R培訓(xùn) ；BS77991(ISO/IEC17799)2/2/2023 81信息 安全管理（ 4）正確處理應(yīng)用程序：防止應(yīng)用程序中的信息出錯、丟失或被非授權(quán)篡改及誤用；（ 5）漏洞管理：防止利用已發(fā)布的漏洞信息來實施破壞；（ 6）管理信息安全事件和改進：確保采取一致和有效的方法來管理信息安全事件。 對控制措施的描述不夠細致，導(dǎo)致缺乏可操作性；167。167。 通信與操作管理 ：包括操作程序和責(zé)任，系統(tǒng)規(guī)劃和驗收，防范惡意軟件，內(nèi)務(wù)管理，網(wǎng)絡(luò)管理，介質(zhì)安全管理，信息與軟件交換安全167。 資產(chǎn)管理 ：包括建立資產(chǎn)清單、進行信息分類與分級167。 安全策略 ：包括信息安全策略文件和信息安全策略復(fù)查。167。 2023年 BSI對 BS 77992： 1999進行了重新修訂，正式引入 PDCA過程模型；167。 1995年， BS 7799 1:1995《信息安全管理實施細則》首次發(fā)布167。 第二部分：被國際標(biāo)準(zhǔn)化組織 ISO采納成為 ISO/IEC 20231:2023標(biāo)準(zhǔn)的部分，是建立信息安全管理體系（ ISMS）的一套規(guī)范（Specification for Information Security Management Systems ） ,其中詳細說明了建立、實施和維護信息安全管理體系的要求，可以用來指導(dǎo)相關(guān)人員應(yīng)用 ISO/IEC 17799:2023,其最終目的在于建立適合企業(yè)需要的信息安全管理體系。167。 一、 BS 7799167。2/2/2023 68信息 安全管理12項信息安全管理類的作用關(guān)系167。特別是對于國家法律法規(guī)，方針政策和標(biāo)準(zhǔn)符合程度的檢驗。2/2/2023 65信息 安全管理12項信息安全管理類的作用關(guān)系167。2/2/2023 63信息 安全管理合規(guī)性管理167。2/2/2023 61信息 安全管理運行維護管理167。2/2/2023 59信息 安全管理數(shù)據(jù) /文檔 /介質(zhì)管理167。2/2/2023 57信息 安全管理主機與系統(tǒng)管理167。 控制由于物理環(huán)境和硬件設(shè)施的不當(dāng)所產(chǎn)生的風(fēng)險。信息安全體系建設(shè)的目標(biāo)就是把風(fēng)險控制在可以接受的范圍之內(nèi)，風(fēng)險管理同時也是一個動態(tài)持續(xù)的過程。 確保企業(yè)、組織擁有明確的信息安全方針以及配套的策略和制度，以實現(xiàn)對信息安全工作的支持和承諾，保證信息安全的資金投入。 項目工程管理167。 網(wǎng)絡(luò)與通信管理167。 方針與策略管理167。 符合性審核是確保整體管理工作有效實施的重要管理過程。2/2/2023 48信息 安全管理業(yè)務(wù)連續(xù)性管理167。 脆弱性評估 — 評估防護措施的效力和存在的脆弱性167。信息安全風(fēng)險管理是整體風(fēng)險管理的一個有機組成部分，是其在信息化領(lǐng)域的具體體現(xiàn)。但是新的技術(shù)和方法可能帶來新的風(fēng)險，甚至一些風(fēng)險在該技術(shù)沒有得到廣泛應(yīng)用和成熟化之前很難被發(fā)現(xiàn)。2/2/2023 46信息 安全管理新技術(shù)、新方法的跟蹤和采用167。2/2/2023 45信息 安全管理文檔化和流程規(guī)范化167。 配置管理 ： 從信息安全管理的角度看，應(yīng)當(dāng)對被保護的資產(chǎn)以及相應(yīng)的保護措施進行配置描述，并應(yīng)當(dāng)對各個配置描述進行持續(xù)的跟蹤管理。2/2/2023 44信息 安全管理配置管理和變更管理167。因此，對于一個信息系統(tǒng)，不應(yīng)當(dāng)在系統(tǒng)建設(shè)完成后再考慮信息安全問題，而應(yīng)當(dāng)從系統(tǒng)建設(shè)的初期開始，在建設(shè)的整個過程中同步考慮。 同步規(guī)劃167。 信息系統(tǒng)生命周期可以劃分為兩個階段：167。2/2/2023 40信息 安全管理基于信息系統(tǒng)生命周期的安全管理167。對相應(yīng)應(yīng)用系統(tǒng)的安全管理要與具體的業(yè)務(wù)特點相結(jié)合。 主機及主機上的操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)以及各種支撐系統(tǒng)等，是承載業(yè)務(wù)系統(tǒng)的基礎(chǔ)平臺。2/2/2023 36信息 安全管理網(wǎng)絡(luò)和通信安全167。 也稱為物理安全 。因此在信息系統(tǒng)的安全保護中也 存在層次的特點 ，對應(yīng)各個層次也有相應(yīng)的信息安全管理工作。167。2/2/2023 33信息 安全管理在人員和組織管理方面，最基本的管理包括：167。因此，信息安全保障工作需要有 長期、中期、短期的計劃。 信息安全保障工作需要有足夠的資金支撐。 方針和策略屬于一般管理中的策略管理。信息安全管理的基本任務(wù)2/2/2023 28信息 安全管理信息安全方針與策略167。持 續(xù) 改 進 通 過 開展信息安全管理，不斷 發(fā)現(xiàn)問題 和解決 問題 ，形成持 續(xù) 改 進 的信息安全保障 態(tài)勢 。因此，信息安全保障工作需要與其他方面的管理工作一起 協(xié)調(diào) 開展。2/2/2023 25信息 安全管理信息安全管理的目標(biāo)如下 ：目 標(biāo) 描 述合 規(guī) 性 管理的合 規(guī) 性，主要是指在有章可循的基 礎(chǔ) 之上，確保信息安全工作符合國家法律、法 規(guī) 、行 業(yè)標(biāo) 準(zhǔn)，機構(gòu)內(nèi)部的方 針 和 規(guī) 定。 成熟的技術(shù)提供了可靠性、穩(wěn)定性保證，采用新技術(shù)時要重視其成熟的程度。 減少未授權(quán)的修改或濫用系統(tǒng)資源的機會，對特定職能或責(zé)任領(lǐng)域的管理能力實施分離、獨立審計，避免操作權(quán)力過分集中。同時，信息安全又是一種狀態(tài)和動態(tài)反饋過程，隨著安全利益和系統(tǒng)脆弱性時空分布的變化，威脅程度的提高，系統(tǒng)環(huán)境的變化以及人員對系統(tǒng)安全認(rèn)識的深化等，應(yīng)及時地將現(xiàn)有的安全策略、風(fēng)險接受程度和保護措施進行復(fù)查、修改、調(diào)整以至提升安全管理等級。同時，又要從組織和機構(gòu)的實際情況出發(fā)，突出自身的安全管理重點。 安全需求的不斷增加和現(xiàn)實資源的局限性是安全決策處于兩難境地，恰當(dāng)?shù)仄胶獍踩度肱c效果是從全局上處置好安全管理工作的出發(fā)點。2/2/2023 16信息 安全管理以人為本原則167。二、安全策略管理 分權(quán)制衡 最小特權(quán) 選用成熟技術(shù) 普遍參與。 ISO27001是建立和維護信息安全管理體系的標(biāo)準(zhǔn)，它要求應(yīng)該通過這樣的過程來建立 ISMS框架：確定體系范圍，制定信息安全側(cè)率，明確管理職責(zé)，通過風(fēng)險評估確定控制目標(biāo)和控制方式。167。信息安全管理體系2/2/2023 8信息 安全管理物理層面物理層面網(wǎng)絡(luò)層面網(wǎng)絡(luò)層面系統(tǒng)層面系統(tǒng)層面應(yīng)用層面應(yīng)用層面管理層面管理層面安全管理制度安全管理制度業(yè)務(wù)處理流程業(yè)務(wù)處理流程 業(yè)務(wù)應(yīng)用系統(tǒng)業(yè)務(wù)應(yīng)用系統(tǒng) 數(shù)據(jù)庫應(yīng)用系統(tǒng)數(shù)據(jù)庫應(yīng)用系統(tǒng) 身份鑒別機制身份鑒別機制 強制訪問控制強制訪問控制防火墻防火墻入侵檢測系統(tǒng)入侵檢測系統(tǒng)物理設(shè)備安全物理設(shè)備安全環(huán)境安全環(huán)境安全信信息息安安全全體體系系信息系統(tǒng)安全體系結(jié)構(gòu)2/2/2023 9信息 安全管理167。系統(tǒng)一般包括下列因素：一種產(chǎn)品或者組件，如計算機、所有的外部設(shè)備等；操作系統(tǒng)、通信系統(tǒng)和其他相關(guān)的設(shè)備、軟件，構(gòu)成 了一個組織的基本結(jié)構(gòu)；多個應(yīng)用系統(tǒng)或軟件（財務(wù)、人事、業(yè)務(wù)等） it部門的員工內(nèi)部用戶和管理層客戶和其他外部用戶周圍環(huán)境，包括媒體、競爭者、上層管理機構(gòu)。 安全事件167。 信息安全技術(shù)2/2/2023 2信息 安全管理信息技術(shù) /網(wǎng)絡(luò)技術(shù)改變生活方式政府商業(yè)個人生活金融2/2/2023 3信息 安全管理信息安全現(xiàn)狀167。信息 安全管理第二章 信息安全管理基礎(chǔ) 劉永華（教授）2/2/2023 1信息 安全管理本章內(nèi)容167。 信息安全策略167。 入侵條件 越來越簡單2/2/2023 4信息 安全管理黑客攻擊猖獗網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬 黑客攻擊 計算機病毒后門、隱蔽通道蠕蟲2/2/2023 5信息 安全管理167。 任何網(wǎng)絡(luò)都可能遭受入侵2/2/2023 6信息 安全管理系統(tǒng)的定義：系統(tǒng) 是由相互作用和相互依賴的若干部分結(jié)合成的具特定功能的整體。不同方面的管理內(nèi)容彼此之間存在著一定的關(guān)聯(lián)性，它們共同構(gòu)成一個全面的有機整體，以使管理措施保障達到信息安全的目，這個有機整體被稱為 信息安全管理體系 。 ISMS是組織整體管理體系的一部分，是組織在整體或特定范圍內(nèi)建立信息安全的方針和目標(biāo)，以及完成這些目標(biāo)所用的方法的體系。組織建立、實施與保持 ISMS將會產(chǎn)生如下作用 ：2/2/2023 12信息 安全管理167。信息安全管理體系標(biāo)準(zhǔn)2/2/2023 13信息 安全管理信息安全管理的基本原則一、總體原則 主要領(lǐng)導(dǎo)負(fù)責(zé)原則 規(guī)范定級原則 以人為本原則 適度安全原則 全面防范、突出重點原則 系統(tǒng)、動態(tài)原則 控制社會影響原則。 分級、分類是信息安全保障工作有的放矢的前提，是界定和保護重點信息系統(tǒng)的依據(jù)，只有通過合理、規(guī)范的分級、分類才能落實重點投資、重點防護。2/2/2023 17信息 安全管理適度安全原則167。它需要從人員、管理和技術(shù)等方面，在預(yù)警、保護、檢測、反應(yīng)、恢復(fù)和跟蹤等多個環(huán)節(jié)上采用多種技術(shù)實現(xiàn)。要按照系統(tǒng)工程的要求，注意各方面、各層次、各時期的相互協(xié)調(diào)、匹配和銜接，以便體現(xiàn)系統(tǒng)集成效果和前期投入的效益。2/2/2023 21信息 安全管理分權(quán)制衡策略167。2/2/2023 23信息 安全管理選用成熟技術(shù)策略167。 不論信息系統(tǒng)的安全等級如何，要求信息系統(tǒng)所涉及的人員普遍參與并與社會相關(guān)方面協(xié)同、協(xié)調(diào)，共同保障信息系統(tǒng)安全。整體 協(xié)調(diào) 性信息安全管理工作不能獨立 進 行，不可能超越機構(gòu)其他方面的管理工作而達到更高的 級別 。責(zé) 任性 確保信息安全 責(zé)任 能 夠 追究到人。通過信息安全管理過程驅(qū)動信息安全技術(shù)的實施，達到信息安全在技術(shù)方面的要求。2/2/2023 29信息 安全管理安全方針和策略167。2/2/2023 30信息 安全管理資金投入管理167。 信息安全保障工作是一項涉及面較廣的工作，同時也是一項持續(xù)的、長期的工作。人員和組織是執(zhí)行信息安全保障工作的主體。 保證從業(yè)人員經(jīng)過了適當(dāng)?shù)男畔踩逃团嘤?xùn)，有足夠的安全意識。 信息系統(tǒng)是有層次的。2/2/2023 35信息 安全管理環(huán)境和設(shè)備安全167。物理安全是上層安全的基礎(chǔ)。2/2/2023 37信息 安全管理主機和系統(tǒng)安全167。 應(yīng)用和業(yè)務(wù)系統(tǒng)是最終實現(xiàn)各項業(yè)務(wù)工作的上層系統(tǒng)。數(shù)據(jù)的 保密性 、數(shù)據(jù)的 完整性 、數(shù)據(jù)內(nèi)容的 真實性 和 可靠性 等安全特性的要求在業(yè)務(wù)中都非常突出。167。2/2/2023 41信息 安全管理信息系統(tǒng)安全和信息系統(tǒng)本身的三同步167。 在信息系統(tǒng)投入運行前，信息系統(tǒng)安全的能力、強度、脆弱性、可改進的潛力等方面有相當(dāng)?shù)牟糠忠呀?jīng)確定和定型。真正的安全效果需要通過日常運行中的安全管理來實現(xiàn)，工程過程中奠定的信息安全基礎(chǔ)需要通過管理手段加以發(fā)揮。167。需要建立正規(guī)的變更流程來控制變更可能導(dǎo)致的風(fēng)險。業(yè)務(wù)的運行以及單位自身的正常運營需要通過許多操作過程（ 流程 ）來具體實現(xiàn)，管理流程的規(guī)范化程度可以體現(xiàn)管理的水平。甚至，為了保證競爭力的持續(xù)提高，還要進行前瞻性的技術(shù)和方法研究。 風(fēng)險管理是基本管理過程之一。 威脅鑒別和評價167