【正文】 系統(tǒng) ? 生理特征：指紋、視網(wǎng)膜、聲音、手形等 ? 行為特征：簽名 45 辦公室、房間和設(shè)施的安全保護 ?安全區(qū)域 ? 關(guān)鍵設(shè)備應(yīng)放在公眾無法進入的地方 ? 避免寫出 “ 機房重地，請勿進入 ” 的字樣 ? 安全區(qū)內(nèi)，各種打印機、復(fù)印機設(shè)備齊全 設(shè)備如果放在安全區(qū)內(nèi)，可以降低對該設(shè)備的保護級別 46 (2)設(shè)備安全 ?控制目標(biāo) ： 防止資產(chǎn)的丟失、損壞、失竊或危及資產(chǎn)安全以及組織活動的中斷 ?控制措施 ： 設(shè)備安置和保護 47 支持性設(shè)施 布纜安全 設(shè)備維護 組織場所外的設(shè)備安全 設(shè)備的安全處置和再利用 資產(chǎn)的轉(zhuǎn)移 設(shè)備安置和保護 ?來自空中的威脅 —— TEMPEST (抑制和防止電磁泄露 ) ?途徑 ? 以電磁波形式的輻射泄露； ? 電源線、控制線、信號線和地線造成的傳導(dǎo)泄露 ?危害 ? 使各系統(tǒng)設(shè)備相互干擾，降低設(shè)備性能 ? 電磁泄露會造成信息暴露 ?電磁輻射強度影響因素 ? 功率和頻率 ? 距離因素 ? 屏蔽狀況 ?預(yù)防措施 ? 選用低輻射設(shè)備 ? 利用噪聲干擾源 ? 采取屏蔽措施 ? 距離防護 ? 采用微波吸收材料 48 ?設(shè)備運行的良好環(huán)境 ? 建設(shè)機房，應(yīng)當(dāng)參照有關(guān)國家標(biāo)準(zhǔn)，如 GB 501742023《 電子信息系統(tǒng)機房設(shè)計規(guī)范 》 ? 機房的選址和設(shè)備的放置要考慮火災(zāi)、地震、洪水、風(fēng)暴等可能的自然威脅，以及爆炸、蓄意破壞、盜竊、恐怖襲擊、暴動等可能的人為威脅 ? 機房、辦公場所和通信線路鋪設(shè)需要考慮通信中斷、電力中斷等支撐性基礎(chǔ)設(shè)施失效的問題 支持性設(shè)施 ?電力供應(yīng) —— 關(guān)系到企業(yè)的營運是否正常 ? 電源：防止電源故障與供電不正常的現(xiàn)象 ?多路供電、不間斷電源 UPS、備用發(fā)電機 49 支持性設(shè)施 ?HVAC（適當(dāng)?shù)墓┡?、通風(fēng)和空調(diào)） ? 數(shù)據(jù)中心或服務(wù)器機房的空調(diào)控制應(yīng)當(dāng)與大樓其它部分隔離 ? 計算機房空調(diào)不同于舒適性空調(diào)和常規(guī)恒溫恒濕空調(diào) ?消防設(shè)施：火災(zāi)的預(yù)防、檢測和排除 ? 火災(zāi)燃燒的條件 ? 火災(zāi)預(yù)防 減少火災(zāi)起因 ? 火災(zāi)檢測 在火災(zāi)發(fā)生前，接受火災(zāi)警報 ? 滅火 如何滅火，并降低到最小損失 50 人身安全的重要性 ?以人為本，人身安全最重要 ? 不要忘記人是系統(tǒng)資產(chǎn)的重要組成部分 ? 辦公室、機房應(yīng)為操作人員提供健康的工作環(huán)境 ? 突發(fā)災(zāi)難時，人身安全是首先需要保障的 51 知識域：信息安全控制措施 知識子域： 通信和操作管理 ?理解操作程序和職責(zé)、第三方服務(wù)交付管理、系統(tǒng)規(guī)劃和驗收、防范惡意代碼、備份、網(wǎng)絡(luò)安全管理、介質(zhì)處置、信息的交換、電子商務(wù)服務(wù)、監(jiān)視和訪問控制這些控制目標(biāo)的含義 ?掌握實現(xiàn)這些控制目標(biāo)的控制措施的實施方法 52 Why？ ?案例 1：2023年８月３０日，美國空軍一架Ｂ－５２戰(zhàn)略轟炸機誤裝６枚核彈后，從北部的北達科他州飛往南部的路易斯安那州。 ? 案例 2：某單位信息安全評估，發(fā)現(xiàn)大部分服務(wù)器安全狀況良好，只有一臺服務(wù)器存在嚴(yán)重安全漏洞。因此需要協(xié)調(diào) ? 信息安全工作和其他工作一樣不是某個個人 、 某個部門就可以完成的 ? 信息技術(shù)部門是信息安全組織中的重要執(zhí)行機構(gòu)，但不是全部 14 ? 機構(gòu)內(nèi)部達成共識 ? 避免流于形式或作假 信息安全職責(zé)的分配 ?為有效實施信息安全管理，保障和實施系統(tǒng)的信息安全，應(yīng)在機構(gòu)內(nèi)部建立信息安全組織，明確角色和職責(zé) ?信息安全責(zé)任的重要性 在一個機構(gòu)中，安全角色與責(zé)任的不明確是實施信息安全過程中的最大障礙，建立安全組織與落實責(zé)任是實施信息安全管理的第一步 15 與政府部門的聯(lián)系、 與特定利益集團的聯(lián)系 ?要注意充分利用外部資源，與上級主管單位、國家職能部門、設(shè)備和基礎(chǔ)設(shè)施提供商、安全服務(wù)商、有關(guān)專家保持良好的溝通和合作關(guān)系 例如與電力部門建立良好的協(xié)作關(guān)系，停電了， UPS的電也要用光了，電力部門可以開個發(fā)電車來解決關(guān)鍵信息系統(tǒng)臨時電力供應(yīng) 16 (2)外部各方 ?控制目標(biāo) ： 保持組織被外部各方訪問、處理、管理或與外部進行通信的信息和信息處理設(shè)施的安全 ?控制措施 ：與外部各方相關(guān)風(fēng)險的識別 17 處理外部各方協(xié)議中的安全問題 訪問風(fēng)險： ? 維護軟件設(shè)備的承包商 ? 清潔、送餐人員 ? 外部咨詢?nèi)藛T ? 審核人員 知識域：信息安全控制措施 知識子域： 資產(chǎn)管理 ?理解對資產(chǎn)負(fù)責(zé)控制目標(biāo)的含義，掌握資產(chǎn)清單、資產(chǎn)責(zé)任人等控制措施的實施方法 ?理解信息分類控制目標(biāo)的含義，掌握分類指南、信息的標(biāo)記和處理等控制措施的實施方法 18 Why？ ?那些曾經(jīng)發(fā)生過的事： ? 案例 1：某單位欲安裝一臺網(wǎng)絡(luò)防火墻，卻發(fā)現(xiàn)沒有人可以說清楚當(dāng)前的真實網(wǎng)絡(luò)拓?fù)淝闆r，也沒有人能說清楚系統(tǒng)中有哪些服務(wù)器，這些服務(wù)器運行了哪些應(yīng)用系統(tǒng)。 ? 案例 2：機房中氣溫過高，導(dǎo)致計算機無法正常運行，造成業(yè)務(wù)中斷。最近有人甚至在網(wǎng)上以幾百元的價格兜售定制的病毒。 14:22:3614:22:3614:22Tuesday, February 14, 2023 1乍見翻疑夢，相悲各問年。 :22:3614:22Feb2314Feb23 1世間成事，不求其絕對圓滿，留一份不足，可得無限完美。 14:22:3614:22:3614:222/14/2023 2:22:36 PM 1越是沒有本領(lǐng)的就越加自命不凡。 下午 2時 22分 36秒 下午 2時 22分 14:22: MOMODA POWERPOINT Lorem ipsum dolor sit, eleifend nulla ac, fringilla purus. Nulla iaculis tempor felis amet, consectetur adipiscing elit. Fusce id urna blanditut cursus. 感謝您的下載觀看 專家告訴