【正文】 2/2/2023 187信息 安全管理 硬件 設(shè)備 的 維護 和管理 1．硬件設(shè)備的使用管理 1）要根據(jù)硬件 設(shè)備 的具體配置情況，制定切 實 可行的硬件 設(shè)備 的操作使用 規(guī) 程，并 嚴(yán) 格按操作 規(guī) 程 進 行操作。 機房的內(nèi)裝修材料一般 應(yīng) 避免使用掛毯、地毯等吸塵 、容易 產(chǎn) 生靜 電 的材料，而 應(yīng) 采用乙 烯 材料。 為 避免火災(zāi)、水災(zāi)， 應(yīng) 采取如下具體措施 : （ 1）隔離 （ 2）火災(zāi) 報 警系 統(tǒng) （ 3） 滅 火 設(shè) 施 (4）管理措施 2/2/2023 184信息 安全管理 供 電 系 統(tǒng) 安全 電源是計算機網(wǎng)絡(luò)系統(tǒng)的命脈，電源系統(tǒng)的穩(wěn)定可靠是計算機網(wǎng)絡(luò)系統(tǒng)正常運行的先決條件。 對重要的機房， 還應(yīng) 采取特 別 的防盜措施，如 值 班守 衛(wèi) 、出入口安裝金屬探 測 裝置等。防電磁泄漏 計 算機機房的用 電 安全技 術(shù) 主要包括不同用途 電 源分離技術(shù) 、 電 源和 設(shè)備 有效接地技 術(shù) 、 電 源 過載 保 護 技 術(shù) 和防雷 擊技 術(shù) 等。 3）計算機的實體訪問控制。 物理安全包括：環(huán)境安全、電源系統(tǒng)安全、設(shè)備安全和通信線路安全。 三、網(wǎng)絡(luò)安全技術(shù)167。2/2/2023 171信息 安全管理信息安全策略的維護167。2/2/2023 169信息 安全管理AUP通常包含以下主要內(nèi)容167。 強制執(zhí)行2/2/2023 167信息 安全管理簡單的安全培訓(xùn)策略167。167。 可能會遇到這樣的情況，問題發(fā)生時，手頭沒有可用的技術(shù)，任務(wù)又必須執(zhí)行下去。系統(tǒng)一定要有控制病毒傳播的能力。 恢復(fù)能力167。 有效的口令必須相當(dāng)長，但又不能長到您無法記住他們的程度；167。 如果網(wǎng)絡(luò)提供用戶自我更新口令的功能，用戶應(yīng)自己定期更換口令，并設(shè)專人負(fù)責(zé)保密和維護工作。 用戶口令的管理2/2/2023 154信息 安全管理網(wǎng)絡(luò)服務(wù)器口令的管理167。數(shù)據(jù)是組織的命脈，所以必須有完整的機制來監(jiān)測它在整個系統(tǒng)中的活動。所以擁有一份完整的清單是非常重要的。 該協(xié)議是企業(yè)與提供相應(yīng)網(wǎng)絡(luò)連接的第三方之間的合同。 規(guī)定了所有類型個人執(zhí)行遠(yuǎn)程訪問的各種形式。2/2/2023 141信息 安全管理Inter DMZ設(shè)備控制167。2/2/2023 138信息 安全管理數(shù)據(jù)庫信任編碼167。與之相關(guān)的文檔定義了基本安全標(biāo)準(zhǔn)，是作為企業(yè)外部主機托管的 ASP所必需考慮遵循的要求。 有助于保護系統(tǒng)免受撥入訪問而導(dǎo)致的系統(tǒng)入侵以及撥出訪問而產(chǎn)生的系統(tǒng)泄密等問題。 1第三方網(wǎng)絡(luò)連接協(xié)議；167。 Extra訪問控制；167。 可接受的使用控制；167。 復(fù)查審計策略包括對安全策略的定期復(fù)查、對安全控制及過程的重新評估、對系統(tǒng)日志記錄的審計、對安全技術(shù)反戰(zhàn)的跟蹤等。 口令管理策略包括口令管理方式、口令設(shè)置規(guī)則、口令適應(yīng)規(guī)則等。 身份認(rèn)證及授權(quán)策略包括認(rèn)證及授權(quán)機制、方式、審計記錄等。 網(wǎng)絡(luò)安全策略包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備的管理、網(wǎng)絡(luò)安全訪問控制（防火墻、入侵檢測系統(tǒng)、 VPN等）、安全掃描、遠(yuǎn)程訪問、不同級別網(wǎng)絡(luò)的訪問控制方式、識別 /認(rèn)證機制等等。 安全教育策略167。 網(wǎng)絡(luò)安全策略167。 針對特定系統(tǒng)的具體策略2/2/2023 108信息 安全管理總體安全策略文檔167。2/2/2023 105信息 安全管理嚴(yán)格的管理是確保信息安全策略落實的基礎(chǔ)167。 確定信息安全策略的范圍167。 一個包括軟件開發(fā)策略在內(nèi)的安全策略對與開發(fā)更安全的系統(tǒng)是有指導(dǎo)作用的。 信息安全策略是一種處理安全問題的管理策略的描述。 ITIL 信息技術(shù)基礎(chǔ)設(shè)施庫（ IT Infrastructure Library），是由英國中央計算機與電信局（ CCTA）發(fā)布的關(guān)于 IT服務(wù)管理最佳實踐的建議和指導(dǎo)方針，旨在解決 IT服務(wù)質(zhì)量不佳的情況。 （ 3） CC的組要目標(biāo)讀者是用戶、開發(fā)者和評估者。 與 ISMS有關(guān)的其它文檔BS77992/ISO 270012/2/2023 88信息 安全管理建立 ISMS的過程167。 復(fù)查殘留風(fēng)險和可接受風(fēng)險的水平BS77992/ISO 270012/2/2023 86信息 安全管理改進 ISMS（ ACT）167。 取得管理層對殘留風(fēng)險的認(rèn)可，并獲得實施 ISMS的授權(quán)BS77992/ISO 270012/2/2023 84信息 安全管理實施 ISMS（ DO）167。 信息安全管理體系規(guī)范 (Specification for Information Security Management System)167。BS77991(ISO/IEC17799)2/2/2023 78信息 安全管理167。 物理與環(huán)境安全 ：包括安全區(qū)域控制、設(shè)備安全管理等167。 2/2/2023 73信息 安全管理 信息安全管理實施細(xì)則將信息安全管理內(nèi)容劃分為11個方面， 39個控制目標(biāo)， 133項控制措施，供信息安全管理體系實施者參考使用，這 11個方面包括： 安全策略（ Security Policy）組織信息安全 (Organizing Information Security)資產(chǎn)管理 (Asset Mangement)人力資源安全 (Human Resources Security)物理與環(huán)境安全 (Physical and Environmental Security)BS77991(ISO/IEC17799)2/2/2023 74信息 安全管理 通信與操作管理 (Communication and Operation Management)訪問控制 (Access Control)信息系統(tǒng)獲取、開發(fā)與維護 (Information Systems Acquisition,Development and Maintenance)信息安全事件管理 (Information Security Incident Management)業(yè)務(wù)連續(xù)性管理 (Business Continuity Management)1符合性 (Compliance)2/2/2023 75信息 安全管理167。 2023年國際信息化標(biāo)準(zhǔn)組織將其轉(zhuǎn)化為國際標(biāo)準(zhǔn)，即 ISO/IEC 17799:2023《信息技術(shù) — 信息安全管理實施細(xì)則》167。167。2/2/2023 69信息 安全管理第二節(jié) 信息安全管理標(biāo)準(zhǔn)167。 合規(guī)性管理 ：指導(dǎo)如何檢查信息安全管理工作的效果。 通過設(shè)計和執(zhí)行業(yè)務(wù)連續(xù)性計劃，確保信息系統(tǒng)在任何災(zāi)難和攻擊下，都能夠保證業(yè)務(wù)的連續(xù)性。 對各類應(yīng)用和業(yè)務(wù)系統(tǒng)進行安全管理，防止受到破壞和濫用。2/2/2023 55信息 安全管理環(huán)境與設(shè)備管理167。 1合規(guī)性管理2/2/2023 51信息 安全管理數(shù)據(jù) /文檔 /介質(zhì)管理方針和策略管理應(yīng)用與業(yè)務(wù)管理主機與系統(tǒng)管理網(wǎng)絡(luò)與通信管理環(huán)境與設(shè)備管理風(fēng)險管理業(yè)務(wù)連續(xù)性管理項目工程管理運行維護管理人員和組織管理合規(guī)性管理合規(guī)性管理信息安全管理體系構(gòu)成2/2/2023 52信息 安全管理方針與策略管理167。 環(huán)境與設(shè)備管理167。2/2/2023 49信息 安全管理符合性審核167。 威脅鑒別和評價167。甚至，為了保證競爭力的持續(xù)提高，還要進行前瞻性的技術(shù)和方法研究。需要建立正規(guī)的變更流程來控制變更可能導(dǎo)致的風(fēng)險。真正的安全效果需要通過日常運行中的安全管理來實現(xiàn)，工程過程中奠定的信息安全基礎(chǔ)需要通過管理手段加以發(fā)揮。2/2/2023 41信息 安全管理信息系統(tǒng)安全和信息系統(tǒng)本身的三同步167。數(shù)據(jù)的 保密性 、數(shù)據(jù)的 完整性 、數(shù)據(jù)內(nèi)容的 真實性 和 可靠性 等安全特性的要求在業(yè)務(wù)中都非常突出。2/2/2023 37信息 安全管理主機和系統(tǒng)安全167。2/2/2023 35信息 安全管理環(huán)境和設(shè)備安全167。 保證從業(yè)人員經(jīng)過了適當(dāng)?shù)男畔踩逃团嘤?xùn)，有足夠的安全意識。 信息安全保障工作是一項涉及面較廣的工作，同時也是一項持續(xù)的、長期的工作。2/2/2023 29信息 安全管理安全方針和策略167。責(zé) 任性 確保信息安全 責(zé)任 能 夠 追究到人。 不論信息系統(tǒng)的安全等級如何，要求信息系統(tǒng)所涉及的人員普遍參與并與社會相關(guān)方面協(xié)同、協(xié)調(diào)，共同保障信息系統(tǒng)安全。2/2/2023 21信息 安全管理分權(quán)制衡策略167。它需要從人員、管理和技術(shù)等方面，在預(yù)警、保護、檢測、反應(yīng)、恢復(fù)和跟蹤等多個環(huán)節(jié)上采用多種技術(shù)實現(xiàn)。 分級、分類是信息安全保障工作有的放矢的前提，是界定和保護重點信息系統(tǒng)的依據(jù)，只有通過合理、規(guī)范的分級、分類才能落實重點投資、重點防護。組織建立、實施與保持 ISMS將會產(chǎn)生如下作用 ：2/2/2023 12信息 安全管理167。不同方面的管理內(nèi)容彼此之間存在著一定的關(guān)聯(lián)性，它們共同構(gòu)成一個全面的有機整體，以使管理措施保障達到信息安全的目，這個有機整體被稱為 信息安全管理體系 。 入侵條件 越來越簡單2/2/2023 4信息 安全管理黑客攻擊猖獗網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬 黑客攻擊 計算機病毒后門、隱蔽通道蠕蟲2/2/2023 5信息 安全管理167。信息 安全管理第二章 信息安全管理基礎(chǔ) 劉永華（教授）2/2/2023 1信息 安全管理本章內(nèi)容167。 安全事件167。信息安全管理體系2/2/2023 8信息 安全管理物理層面物理層面網(wǎng)絡(luò)層面網(wǎng)絡(luò)層面系統(tǒng)層面系統(tǒng)層面應(yīng)用層面應(yīng)用層面管理層面管理層面安全管理制度安全管理制度業(yè)務(wù)處理流程業(yè)務(wù)處理流程 業(yè)務(wù)應(yīng)用系統(tǒng)業(yè)務(wù)應(yīng)用系統(tǒng) 數(shù)據(jù)庫應(yīng)用系統(tǒng)數(shù)據(jù)庫應(yīng)用系統(tǒng) 身份鑒別機制身份鑒別機制 強制訪問控制強制訪問控制防火墻防火墻入侵檢測系統(tǒng)入侵檢測系統(tǒng)物理設(shè)備安全物理設(shè)備安全環(huán)境安全環(huán)境安全信信息息安安全全體體系系信息系統(tǒng)安全體系結(jié)構(gòu)2/2/2023 9信息 安全管理167。 ISO27001是建立和維護信息安全管理體系的標(biāo)準(zhǔn)，它要求應(yīng)該通過這樣的過程來建立 ISMS框架：確定體系范圍，制定信息安全側(cè)率，明確管理職責(zé)，通過風(fēng)險評估確定控制目標(biāo)和控制方式。2/2/2023 16信息 安全管理以人為本原則167。同時，又要從組織和機構(gòu)的實際情況出發(fā)，突出自身的安全管理重點。 減少未授權(quán)的修改或濫用系統(tǒng)資源的機會，對特定職能或責(zé)任領(lǐng)域的管理能力實施分離、獨立審計，避免操作權(quán)力過分集中。2/2/2023 25信息 安全管理信息安全管理的目標(biāo)如下 ：目 標(biāo) 描 述合 規(guī) 性 管理的合 規(guī) 性，主要是指在有章可循的基 礎(chǔ) 之上，確保信息安全工作符合國家法律、法 規(guī) 、行 業(yè)標(biāo) 準(zhǔn)，機構(gòu)內(nèi)部的方 針 和 規(guī) 定。持 續(xù) 改 進 通 過 開展信息安全管理，不斷 發(fā)現(xiàn)問題 和解決 問題 ，形成持 續(xù) 改 進 的信息安全保障 態(tài)勢 。 方針和策略屬于一般管理中的策略管理。因此，信息安全保障工作需要有 長期、中期、短期的計劃。167。 也稱為物理安全 。 主機及主機上的操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)以及各種支撐系統(tǒng)等，是承載業(yè)務(wù)系統(tǒng)的基礎(chǔ)平臺。2/2/2023 40信息 安全管理基于信息系統(tǒng)生命周期的安全管理167。 同步規(guī)劃167。2/2/2023 44信息 安全管理配置管理和變更管理167。2/2/2023 45信息 安全管理文檔化和流程規(guī)范化167。但是新的技術(shù)和方法可能帶來新的風(fēng)險，甚至一些風(fēng)險在該技術(shù)沒有得到廣泛應(yīng)用和成熟化之前很難被發(fā)現(xiàn)。 脆弱性評估 — 評估防護措施的效力和存在的脆弱性167。 符合性審核是確保整體管理工作有效實施的重要管理過程。 網(wǎng)絡(luò)與通信管理167。 確保企業(yè)、組織擁有明確的信息安全方針以及配套的策略和制度，以實現(xiàn)對信息安全工作的支持和承諾，保證信息安全的資金投入。 控制由于物理環(huán)境和硬件設(shè)施的不當(dāng)所產(chǎn)生的風(fēng)險。2/2/2023 59信息 安全管理數(shù)據(jù) /文檔 /介質(zhì)管理167。2/2/2023 63信息 安全管理合規(guī)性管理167。特別是對于國家法律法規(guī)，方針政策和標(biāo)準(zhǔn)符合程度的檢驗。 一、 BS 7799167。 第二部分：被國際標(biāo)準(zhǔn)化組織 ISO采納成為 ISO/IEC 20231:2023標(biāo)準(zhǔn)的部分，是建立信息安全管理體系（ ISMS）的一套規(guī)范（Specification for Information Security Management Systems ） ,其中詳細(xì)說明了建立、實施和維護信息安全管理體系的要求，可以用來指導(dǎo)相關(guān)人員應(yīng)用 ISO/IEC 17799:2023,其最終目的在于建立適合企業(yè)需要的信息安全管理體系。 2023年 BSI對 BS 77992： 1999進行了重新修訂，正式引入 PDCA過程模型；167。 安全策略 ：包括信息安全策略文件和信息安全策略復(fù)查。 通信與操作管理 ：包括操作程序和責(zé)任，系統(tǒng)規(guī)劃和驗收，防范惡意軟件，內(nèi)務(wù)管理，網(wǎng)絡(luò)管理，介質(zhì)安全