【正文】 2/2/2023 187信息 安全管理 硬件 設(shè)備 的 維護(hù) 和管理 1．硬件設(shè)備的使用管理 1）要根據(jù)硬件 設(shè)備 的具體配置情況，制定切 實(shí) 可行的硬件 設(shè)備 的操作使用 規(guī) 程，并 嚴(yán) 格按操作 規(guī) 程 進(jìn) 行操作。 機(jī)房的內(nèi)裝修材料一般 應(yīng) 避免使用掛毯、地毯等吸塵 、容易 產(chǎn) 生靜 電 的材料，而 應(yīng) 采用乙 烯 材料。 為 避免火災(zāi)、水災(zāi)， 應(yīng) 采取如下具體措施 : （ 1）隔離 （ 2）火災(zāi) 報(bào) 警系 統(tǒng) （ 3） 滅 火 設(shè) 施 (4）管理措施 2/2/2023 184信息 安全管理 供 電 系 統(tǒng) 安全 電源是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的命脈，電源系統(tǒng)的穩(wěn)定可靠是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行的先決條件。 對(duì)重要的機(jī)房， 還應(yīng) 采取特 別 的防盜措施，如 值 班守 衛(wèi) 、出入口安裝金屬探 測(cè) 裝置等。防電磁泄漏 計(jì) 算機(jī)機(jī)房的用 電 安全技 術(shù) 主要包括不同用途 電 源分離技術(shù) 、 電 源和 設(shè)備 有效接地技 術(shù) 、 電 源 過(guò)載 保 護(hù) 技 術(shù) 和防雷 擊技 術(shù) 等。 3）計(jì)算機(jī)的實(shí)體訪問(wèn)控制。 物理安全包括：環(huán)境安全、電源系統(tǒng)安全、設(shè)備安全和通信線路安全。 三、網(wǎng)絡(luò)安全技術(shù)167。2/2/2023 171信息 安全管理信息安全策略的維護(hù)167。2/2/2023 169信息 安全管理AUP通常包含以下主要內(nèi)容167。 強(qiáng)制執(zhí)行2/2/2023 167信息 安全管理簡(jiǎn)單的安全培訓(xùn)策略167。167。 可能會(huì)遇到這樣的情況，問(wèn)題發(fā)生時(shí)，手頭沒(méi)有可用的技術(shù)，任務(wù)又必須執(zhí)行下去。系統(tǒng)一定要有控制病毒傳播的能力。 恢復(fù)能力167。 有效的口令必須相當(dāng)長(zhǎng)，但又不能長(zhǎng)到您無(wú)法記住他們的程度；167。 如果網(wǎng)絡(luò)提供用戶自我更新口令的功能，用戶應(yīng)自己定期更換口令，并設(shè)專人負(fù)責(zé)保密和維護(hù)工作。 用戶口令的管理2/2/2023 154信息 安全管理網(wǎng)絡(luò)服務(wù)器口令的管理167。數(shù)據(jù)是組織的命脈，所以必須有完整的機(jī)制來(lái)監(jiān)測(cè)它在整個(gè)系統(tǒng)中的活動(dòng)。所以擁有一份完整的清單是非常重要的。 該協(xié)議是企業(yè)與提供相應(yīng)網(wǎng)絡(luò)連接的第三方之間的合同。 規(guī)定了所有類型個(gè)人執(zhí)行遠(yuǎn)程訪問(wèn)的各種形式。2/2/2023 141信息 安全管理Inter DMZ設(shè)備控制167。2/2/2023 138信息 安全管理數(shù)據(jù)庫(kù)信任編碼167。與之相關(guān)的文檔定義了基本安全標(biāo)準(zhǔn)，是作為企業(yè)外部主機(jī)托管的 ASP所必需考慮遵循的要求。 有助于保護(hù)系統(tǒng)免受撥入訪問(wèn)而導(dǎo)致的系統(tǒng)入侵以及撥出訪問(wèn)而產(chǎn)生的系統(tǒng)泄密等問(wèn)題。 1第三方網(wǎng)絡(luò)連接協(xié)議；167。 Extra訪問(wèn)控制；167。 可接受的使用控制；167。 復(fù)查審計(jì)策略包括對(duì)安全策略的定期復(fù)查、對(duì)安全控制及過(guò)程的重新評(píng)估、對(duì)系統(tǒng)日志記錄的審計(jì)、對(duì)安全技術(shù)反戰(zhàn)的跟蹤等。 口令管理策略包括口令管理方式、口令設(shè)置規(guī)則、口令適應(yīng)規(guī)則等。 身份認(rèn)證及授權(quán)策略包括認(rèn)證及授權(quán)機(jī)制、方式、審計(jì)記錄等。 網(wǎng)絡(luò)安全策略包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備的管理、網(wǎng)絡(luò)安全訪問(wèn)控制（防火墻、入侵檢測(cè)系統(tǒng)、 VPN等）、安全掃描、遠(yuǎn)程訪問(wèn)、不同級(jí)別網(wǎng)絡(luò)的訪問(wèn)控制方式、識(shí)別 /認(rèn)證機(jī)制等等。 安全教育策略167。 網(wǎng)絡(luò)安全策略167。 針對(duì)特定系統(tǒng)的具體策略2/2/2023 108信息 安全管理總體安全策略文檔167。2/2/2023 105信息 安全管理嚴(yán)格的管理是確保信息安全策略落實(shí)的基礎(chǔ)167。 確定信息安全策略的范圍167。 一個(gè)包括軟件開(kāi)發(fā)策略在內(nèi)的安全策略對(duì)與開(kāi)發(fā)更安全的系統(tǒng)是有指導(dǎo)作用的。 信息安全策略是一種處理安全問(wèn)題的管理策略的描述。 ITIL 信息技術(shù)基礎(chǔ)設(shè)施庫(kù)（ IT Infrastructure Library），是由英國(guó)中央計(jì)算機(jī)與電信局（ CCTA）發(fā)布的關(guān)于 IT服務(wù)管理最佳實(shí)踐的建議和指導(dǎo)方針，旨在解決 IT服務(wù)質(zhì)量不佳的情況。 （ 3） CC的組要目標(biāo)讀者是用戶、開(kāi)發(fā)者和評(píng)估者。 與 ISMS有關(guān)的其它文檔BS77992/ISO 270012/2/2023 88信息 安全管理建立 ISMS的過(guò)程167。 復(fù)查殘留風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)的水平BS77992/ISO 270012/2/2023 86信息 安全管理改進(jìn) ISMS（ ACT）167。 取得管理層對(duì)殘留風(fēng)險(xiǎn)的認(rèn)可，并獲得實(shí)施 ISMS的授權(quán)BS77992/ISO 270012/2/2023 84信息 安全管理實(shí)施 ISMS（ DO）167。 信息安全管理體系規(guī)范 (Specification for Information Security Management System)167。BS77991(ISO/IEC17799)2/2/2023 78信息 安全管理167。 物理與環(huán)境安全 ：包括安全區(qū)域控制、設(shè)備安全管理等167。 2/2/2023 73信息 安全管理 信息安全管理實(shí)施細(xì)則將信息安全管理內(nèi)容劃分為11個(gè)方面， 39個(gè)控制目標(biāo)， 133項(xiàng)控制措施，供信息安全管理體系實(shí)施者參考使用，這 11個(gè)方面包括： 安全策略（ Security Policy）組織信息安全 (Organizing Information Security)資產(chǎn)管理 (Asset Mangement)人力資源安全 (Human Resources Security)物理與環(huán)境安全 (Physical and Environmental Security)BS77991(ISO/IEC17799)2/2/2023 74信息 安全管理 通信與操作管理 (Communication and Operation Management)訪問(wèn)控制 (Access Control)信息系統(tǒng)獲取、開(kāi)發(fā)與維護(hù) (Information Systems Acquisition,Development and Maintenance)信息安全事件管理 (Information Security Incident Management)業(yè)務(wù)連續(xù)性管理 (Business Continuity Management)1符合性 (Compliance)2/2/2023 75信息 安全管理167。 2023年國(guó)際信息化標(biāo)準(zhǔn)組織將其轉(zhuǎn)化為國(guó)際標(biāo)準(zhǔn)，即 ISO/IEC 17799:2023《信息技術(shù) — 信息安全管理實(shí)施細(xì)則》167。167。2/2/2023 69信息 安全管理第二節(jié) 信息安全管理標(biāo)準(zhǔn)167。 合規(guī)性管理 ：指導(dǎo)如何檢查信息安全管理工作的效果。 通過(guò)設(shè)計(jì)和執(zhí)行業(yè)務(wù)連續(xù)性計(jì)劃，確保信息系統(tǒng)在任何災(zāi)難和攻擊下，都能夠保證業(yè)務(wù)的連續(xù)性。 對(duì)各類應(yīng)用和業(yè)務(wù)系統(tǒng)進(jìn)行安全管理，防止受到破壞和濫用。2/2/2023 55信息 安全管理環(huán)境與設(shè)備管理167。 1合規(guī)性管理2/2/2023 51信息 安全管理數(shù)據(jù) /文檔 /介質(zhì)管理方針和策略管理應(yīng)用與業(yè)務(wù)管理主機(jī)與系統(tǒng)管理網(wǎng)絡(luò)與通信管理環(huán)境與設(shè)備管理風(fēng)險(xiǎn)管理業(yè)務(wù)連續(xù)性管理項(xiàng)目工程管理運(yùn)行維護(hù)管理人員和組織管理合規(guī)性管理合規(guī)性管理信息安全管理體系構(gòu)成2/2/2023 52信息 安全管理方針與策略管理167。 環(huán)境與設(shè)備管理167。2/2/2023 49信息 安全管理符合性審核167。 威脅鑒別和評(píng)價(jià)167。甚至，為了保證競(jìng)爭(zhēng)力的持續(xù)提高，還要進(jìn)行前瞻性的技術(shù)和方法研究。需要建立正規(guī)的變更流程來(lái)控制變更可能導(dǎo)致的風(fēng)險(xiǎn)。真正的安全效果需要通過(guò)日常運(yùn)行中的安全管理來(lái)實(shí)現(xiàn)，工程過(guò)程中奠定的信息安全基礎(chǔ)需要通過(guò)管理手段加以發(fā)揮。2/2/2023 41信息 安全管理信息系統(tǒng)安全和信息系統(tǒng)本身的三同步167。數(shù)據(jù)的 保密性 、數(shù)據(jù)的 完整性 、數(shù)據(jù)內(nèi)容的 真實(shí)性 和 可靠性 等安全特性的要求在業(yè)務(wù)中都非常突出。2/2/2023 37信息 安全管理主機(jī)和系統(tǒng)安全167。2/2/2023 35信息 安全管理環(huán)境和設(shè)備安全167。 保證從業(yè)人員經(jīng)過(guò)了適當(dāng)?shù)男畔踩逃团嘤?xùn)，有足夠的安全意識(shí)。 信息安全保障工作是一項(xiàng)涉及面較廣的工作，同時(shí)也是一項(xiàng)持續(xù)的、長(zhǎng)期的工作。2/2/2023 29信息 安全管理安全方針和策略167。責(zé) 任性 確保信息安全 責(zé)任 能 夠 追究到人。 不論信息系統(tǒng)的安全等級(jí)如何，要求信息系統(tǒng)所涉及的人員普遍參與并與社會(huì)相關(guān)方面協(xié)同、協(xié)調(diào)，共同保障信息系統(tǒng)安全。2/2/2023 21信息 安全管理分權(quán)制衡策略167。它需要從人員、管理和技術(shù)等方面，在預(yù)警、保護(hù)、檢測(cè)、反應(yīng)、恢復(fù)和跟蹤等多個(gè)環(huán)節(jié)上采用多種技術(shù)實(shí)現(xiàn)。 分級(jí)、分類是信息安全保障工作有的放矢的前提，是界定和保護(hù)重點(diǎn)信息系統(tǒng)的依據(jù)，只有通過(guò)合理、規(guī)范的分級(jí)、分類才能落實(shí)重點(diǎn)投資、重點(diǎn)防護(hù)。組織建立、實(shí)施與保持 ISMS將會(huì)產(chǎn)生如下作用 ：2/2/2023 12信息 安全管理167。不同方面的管理內(nèi)容彼此之間存在著一定的關(guān)聯(lián)性，它們共同構(gòu)成一個(gè)全面的有機(jī)整體，以使管理措施保障達(dá)到信息安全的目，這個(gè)有機(jī)整體被稱為 信息安全管理體系 。 入侵條件 越來(lái)越簡(jiǎn)單2/2/2023 4信息 安全管理黑客攻擊猖獗網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬 黑客攻擊 計(jì)算機(jī)病毒后門、隱蔽通道蠕蟲(chóng)2/2/2023 5信息 安全管理167。信息 安全管理第二章 信息安全管理基礎(chǔ) 劉永華（教授）2/2/2023 1信息 安全管理本章內(nèi)容167。 安全事件167。信息安全管理體系2/2/2023 8信息 安全管理物理層面物理層面網(wǎng)絡(luò)層面網(wǎng)絡(luò)層面系統(tǒng)層面系統(tǒng)層面應(yīng)用層面應(yīng)用層面管理層面管理層面安全管理制度安全管理制度業(yè)務(wù)處理流程業(yè)務(wù)處理流程 業(yè)務(wù)應(yīng)用系統(tǒng)業(yè)務(wù)應(yīng)用系統(tǒng) 數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng) 身份鑒別機(jī)制身份鑒別機(jī)制 強(qiáng)制訪問(wèn)控制強(qiáng)制訪問(wèn)控制防火墻防火墻入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)物理設(shè)備安全物理設(shè)備安全環(huán)境安全環(huán)境安全信信息息安安全全體體系系信息系統(tǒng)安全體系結(jié)構(gòu)2/2/2023 9信息 安全管理167。 ISO27001是建立和維護(hù)信息安全管理體系的標(biāo)準(zhǔn)，它要求應(yīng)該通過(guò)這樣的過(guò)程來(lái)建立 ISMS框架：確定體系范圍，制定信息安全側(cè)率，明確管理職責(zé)，通過(guò)風(fēng)險(xiǎn)評(píng)估確定控制目標(biāo)和控制方式。2/2/2023 16信息 安全管理以人為本原則167。同時(shí)，又要從組織和機(jī)構(gòu)的實(shí)際情況出發(fā)，突出自身的安全管理重點(diǎn)。 減少未授權(quán)的修改或?yàn)E用系統(tǒng)資源的機(jī)會(huì)，對(duì)特定職能或責(zé)任領(lǐng)域的管理能力實(shí)施分離、獨(dú)立審計(jì)，避免操作權(quán)力過(guò)分集中。2/2/2023 25信息 安全管理信息安全管理的目標(biāo)如下 ：目 標(biāo) 描 述合 規(guī) 性 管理的合 規(guī) 性，主要是指在有章可循的基 礎(chǔ) 之上，確保信息安全工作符合國(guó)家法律、法 規(guī) 、行 業(yè)標(biāo) 準(zhǔn)，機(jī)構(gòu)內(nèi)部的方 針 和 規(guī) 定。持 續(xù) 改 進(jìn) 通 過(guò) 開(kāi)展信息安全管理，不斷 發(fā)現(xiàn)問(wèn)題 和解決 問(wèn)題 ，形成持 續(xù) 改 進(jìn) 的信息安全保障 態(tài)勢(shì) 。 方針和策略屬于一般管理中的策略管理。因此，信息安全保障工作需要有 長(zhǎng)期、中期、短期的計(jì)劃。167。 也稱為物理安全 。 主機(jī)及主機(jī)上的操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)以及各種支撐系統(tǒng)等，是承載業(yè)務(wù)系統(tǒng)的基礎(chǔ)平臺(tái)。2/2/2023 40信息 安全管理基于信息系統(tǒng)生命周期的安全管理167。 同步規(guī)劃167。2/2/2023 44信息 安全管理配置管理和變更管理167。2/2/2023 45信息 安全管理文檔化和流程規(guī)范化167。但是新的技術(shù)和方法可能帶來(lái)新的風(fēng)險(xiǎn)，甚至一些風(fēng)險(xiǎn)在該技術(shù)沒(méi)有得到廣泛應(yīng)用和成熟化之前很難被發(fā)現(xiàn)。 脆弱性評(píng)估 — 評(píng)估防護(hù)措施的效力和存在的脆弱性167。 符合性審核是確保整體管理工作有效實(shí)施的重要管理過(guò)程。 網(wǎng)絡(luò)與通信管理167。 確保企業(yè)、組織擁有明確的信息安全方針以及配套的策略和制度，以實(shí)現(xiàn)對(duì)信息安全工作的支持和承諾，保證信息安全的資金投入。 控制由于物理環(huán)境和硬件設(shè)施的不當(dāng)所產(chǎn)生的風(fēng)險(xiǎn)。2/2/2023 59信息 安全管理數(shù)據(jù) /文檔 /介質(zhì)管理167。2/2/2023 63信息 安全管理合規(guī)性管理167。特別是對(duì)于國(guó)家法律法規(guī)，方針政策和標(biāo)準(zhǔn)符合程度的檢驗(yàn)。 一、 BS 7799167。 第二部分：被國(guó)際標(biāo)準(zhǔn)化組織 ISO采納成為 ISO/IEC 20231:2023標(biāo)準(zhǔn)的部分，是建立信息安全管理體系（ ISMS）的一套規(guī)范（Specification for Information Security Management Systems ） ,其中詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理體系的要求，可以用來(lái)指導(dǎo)相關(guān)人員應(yīng)用 ISO/IEC 17799:2023,其最終目的在于建立適合企業(yè)需要的信息安全管理體系。 2023年 BSI對(duì) BS 77992： 1999進(jìn)行了重新修訂，正式引入 PDCA過(guò)程模型；167。 安全策略 ：包括信息安全策略文件和信息安全策略復(fù)查。 通信與操作管理 ：包括操作程序和責(zé)任，系統(tǒng)規(guī)劃和驗(yàn)收，防范惡意軟件，內(nèi)務(wù)管理，網(wǎng)絡(luò)管理，介質(zhì)安全