【正文】 下午 6時 45分 0秒 下午 6時 45分 18:45: MOMODA POWERPOINT Lorem ipsum dolor sit amet, consectetur adipiscing elit. Fusce id urna blandit, eleifend nulla ac, fringilla purus. Nulla iaculis tempor felis ut cursus. 感 謝 您 的 下 載 觀 看 專家告訴 火龍果 ? 整理 . 演講完畢，謝謝觀看！ 。 2023年 3月 下午 6時 45分 :45March 9, 2023 ? 1業(yè)余生活要有意義，不要越軌。 :45:0018:45:00March 9, 2023 ? 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 18:45:0018:45:0018:45Thursday, March 9, 2023 ? 1知人者智，自知者明。 18:45:0018:45:0018:453/9/2023 6:45:00 PM ? 1越是沒有本領(lǐng)的就越加自命不凡。 下午 6時 45分 0秒 下午 6時 45分 18:45: ? 楊柳散和風(fēng)，青山澹吾慮。 2023年 3月 下午 6時 45分 :45March 9, 2023 ? 1少年十五二十時，步行奪得胡馬騎。 2023年 3月 9日星期四 下午 6時 45分 0秒 18:45: ? 1楚塞三湘接，荊門九派通。 18:45:0018:45:0018:45Thursday, March 9, 2023 ? 1不知香積寺，數(shù)里入云峰。 18:45:0018:45:0018:453/9/2023 6:45:00 PM ? 1成功就是日復(fù)一日那一點(diǎn)點(diǎn)小小努力的積累。 下午 6時 45分 0秒 下午 6時 45分 18:45: ? 沒有失敗，只有暫時停止成功！。 2023年 3月 下午 6時 45分 :45March 9, 2023 ? 1行動出成果，工作出財(cái)富。 2023年 3月 9日星期四 下午 6時 45分 0秒 18:45: ? 1比不了得就不比，得不到的就不要。 18:45:0018:45:0018:45Thursday, March 9, 2023 ? 1乍見翻疑夢，相悲各問年。 18:45:0018:45:0018:453/9/2023 6:45:00 PM ? 1以我獨(dú)沈久，愧君相見頻。 ? 聯(lián)系方式： ? 講師簡介 火龍果 ? 整理 . ? 靜夜四無鄰，荒居舊業(yè)貧。 ? 目前的工作專業(yè)領(lǐng)域集中于 IT管理控制領(lǐng)域 (ISO2700 ITIL、 COBIT)理論與方法研究，并為深圳證券交易所、國家財(cái)政部、國家稅務(wù)總局、國家審計(jì)署、中國工商銀行總行、中國銀行、中核集團(tuán)、首都機(jī)場、廣東移動等多個大型組織實(shí)施信息安全管理及信息系統(tǒng)審計(jì)咨詢與培訓(xùn)項(xiàng)目。 火龍果 ? 整理 . Any Question? 火龍果 ? 整理 . ? 陳偉， CIOtimes高級咨詢顧問，國際注冊信息系統(tǒng)審計(jì)師 (CISA)，BS7799主任審核員，國際信息系統(tǒng)審計(jì)與控制協(xié)會會員，管理信息系統(tǒng)碩士。 ? 《 內(nèi)部審計(jì)方案 》 經(jīng)批準(zhǔn)后，至少提前二周通知被審計(jì)部門，以便被審計(jì)部門有充分時間進(jìn)行內(nèi)審，若被審計(jì)部門對時間等安排有異議時，應(yīng)在三天內(nèi)通知內(nèi)審小組協(xié)商調(diào)整具體安排； ? 內(nèi)審小組在完成了全部的審計(jì)準(zhǔn)備工作后，就可按預(yù)先約定的日期和時間實(shí)施審計(jì)。 火龍果 ? 整理 . ? 審計(jì)的步驟 ? 信息安全在每次檢查審計(jì)前，由管理層任命適當(dāng)資質(zhì)的合適人選組成審計(jì)小組，審計(jì)小組由 2名或以上人員組成，包括但不限于稽核審計(jì)部的內(nèi)審員，并由管理層指定內(nèi)審組長。 ? 檢查小組在符合性檢查的基礎(chǔ)上，進(jìn)行網(wǎng)絡(luò)掃描、口令破解、流量分析、日志檢查等實(shí)質(zhì)性測試；在適當(dāng)?shù)臈l件下可以進(jìn)行滲透測試。 九、對安全的檢查與審計(jì) 火龍果 ? 整理 . ? 檢查的步驟 ? 信息安全管理部門根據(jù)檢查的需要組成信息安全檢查小組，定期或不定期地對組織的信息安全管理措施、技術(shù)措施的落實(shí)情況進(jìn)行檢查。利用審核機(jī)制進(jìn)行獨(dú)立的體系審核是一種強(qiáng)有力的監(jiān)督機(jī)制。 ? 安全檢查工作一般由信息安全管理部門來負(fù)責(zé)實(shí)施，經(jīng)常性的檢查，有利于落實(shí)信息安全方針與策略，及時發(fā)現(xiàn)信息安全在技術(shù)、人員及流程方面存在的隱患，也有利于提高員工安全意識，保證業(yè)務(wù)的持續(xù)運(yùn)行。 ? 如果一個組織建立起濃厚的安全文化環(huán)境，不論決策層、管理層還是一般員工，都會在安全文化的約束下規(guī)范自己的行為，安全文化就像一支看不見的手，凡是不安全的行為都會被這支手拉回到安全操作的軌道上來。 安全事件報(bào)告程序 火龍果 ? 整理 . ? 營造組織信息安全文化 ? 信息安全文化從屬于組織文化，倡導(dǎo)良好的組織信息安全文化就是要在組織中形成團(tuán)隊(duì)共同的態(tài)度、認(rèn)識和價(jià)值觀，形成規(guī)范的思維和行為模式，最終轉(zhuǎn)化為行動，實(shí)現(xiàn)組織信息安全目標(biāo)。 信息安全教育內(nèi)容 ISO27001培訓(xùn)計(jì)劃舉例 火龍果 ? 整理 . ? 制定安全事件響應(yīng)機(jī)制 ? 組織應(yīng)明確出現(xiàn)事故、故障和薄弱點(diǎn)的有關(guān)部門的責(zé)任，并根據(jù)安全事故與故障的反應(yīng)過程建立一個報(bào)告、反應(yīng)、評價(jià)和懲戒的機(jī)制，這也可稱為人力防火墻的反應(yīng)機(jī)制。 ? 完備的安全教育計(jì)劃可以提高員工的安全意識與技能，改變他們對待安全事件的態(tài)度，使他們具有一定的安全保護(hù)技能，以更好地保護(hù)組織的信息資產(chǎn)。 ? 人力資源管理在信息安全的管理中充分十分重要的作用，信息安全管理人員要與人務(wù)資源管理人員密切合作，協(xié)同作戰(zhàn)，才能實(shí)現(xiàn)信息安全中對“人”的有效管理。 ? 信息安全政策要符合組織的業(yè)務(wù)目標(biāo)及特定的環(huán)境要求，并使之被每個員工所理解和執(zhí)行，這是實(shí)施信息安全的重要環(huán)節(jié)，是建立人力防火墻的政策依據(jù)。 ? 預(yù)算計(jì)劃一定要合理，過高的安全預(yù)算會使安全失去意義，最好是結(jié)合投資回報(bào)分析。 ? 建立信息安全組織，明確角色與責(zé)任 ? 安全角色與責(zé)任的不明確是實(shí)施信息安全過程中的最大障礙，建立安全組織與落實(shí)責(zé)任是實(shí)施信息安全管理的第一步。 ? 通過建立“人力防火墻”，不僅建立起一套有效的管理體系，而且還能形成“信息安全，人人有責(zé)”的企業(yè)文化氛圍，從而使員工成為企業(yè)信息安全的一道“最可靠防線”，實(shí)現(xiàn)組織信息系統(tǒng)的長治久安。組織相關(guān)人員特別是內(nèi)部員工既可以是對信息系統(tǒng)的最大潛在威脅，也可以是最可靠的安全防線。 ? 安全運(yùn)維管理系統(tǒng)通過建立安全運(yùn)維管理中心（ SOC）對組織的安全技術(shù)與流程進(jìn)行集中式的管理。 ? 解決方案 :日志與安全事件審計(jì) ? 在電子商務(wù)或電子政務(wù)環(huán)境下，需要利用身份證書對主要核心業(yè)務(wù)與交易的憑證進(jìn)行數(shù)字簽名，以保證重要對已完成的業(yè)務(wù)與交易的無否定性。 ? 解決方案 :基于角色的訪問控制 ? 業(yè)務(wù)系統(tǒng)本身必須能夠?qū)?shù)據(jù)或文件進(jìn)行保護(hù)，防止由于數(shù)據(jù)的安全得不到保證而失去業(yè)務(wù)系統(tǒng)本身的可用性。 安全客戶端安 全W E B門 戶應(yīng) 用 支 撐 系 統(tǒng)安 全 F P T服 務(wù)接 入 認(rèn) 證網(wǎng) 關(guān)安 全 電 子郵 件安 全 中 間 件 火龍果 ? 整理 . ? 應(yīng)用系統(tǒng)常見安全方案 ? 業(yè)務(wù)系統(tǒng)本身必須能夠準(zhǔn)確地識別使用者的真實(shí)身份，防止與業(yè)務(wù)無關(guān)的人員非法使用系統(tǒng)。 ? 構(gòu)造網(wǎng)絡(luò)安全邊界 火龍果 ? 整理 . 入侵檢測 組織中心 備份中心 二級部門 三級部門 四級部門 線路密碼機(jī) 防火墻 防病毒網(wǎng)關(guān) 防非法外聯(lián) 網(wǎng)絡(luò)行為審計(jì) 操作系統(tǒng)加固 高安全區(qū)域 ? 安全防護(hù)系統(tǒng)的層次 火龍果 ? 整理 . ? 終端安全控制 ? 由于普通用戶缺乏應(yīng)有的網(wǎng)絡(luò)安全常識，通過瀏覽隱藏惡意代碼的網(wǎng)站，下載有木馬的軟件到內(nèi)部網(wǎng)運(yùn)行，打開郵件中不明來歷的附件等給組織的內(nèi)部網(wǎng)絡(luò)帶來的極大的危害，終端用戶觸發(fā)產(chǎn)生的安全事件逐漸成為企業(yè) IT安全問題的主要原因。 系統(tǒng)加固：設(shè)置運(yùn)行環(huán)境的最后一道防線。 防病毒網(wǎng)關(guān)：防止外部病毒入侵。 防火墻：即防止來自外部的攻擊，也要防止來自地市局的內(nèi)部攻擊。 防火墻：防止來自總部內(nèi)部的攻擊。包括： ? 數(shù)字證書認(rèn)證體系（ CA/PKI） ? 密鑰管理基礎(chǔ)設(shè)施（ KMI） ? 授權(quán)管理基礎(chǔ)設(shè)施（ AA/PMI） ? 災(zāi)難恢復(fù)及業(yè)務(wù)連續(xù)性基礎(chǔ)設(shè)施（ DRI/BCP） 火龍果 ? 整理 . CA RA 證書認(rèn)證中心 注冊授權(quán)機(jī)構(gòu) Inter或?qū)＞W(wǎng) 申請證書 應(yīng)用系統(tǒng) 用戶終端 使用證書 訪問 鑒別 證書鑒別與 訪問控制系統(tǒng) LDAP 數(shù)字證書 證書查詢服務(wù) ? 利用 PKI數(shù)字證書進(jìn)行訪問控制 火龍果 ? 整理 . 用戶 CA系統(tǒng) AA系統(tǒng) 數(shù)據(jù)庫 服務(wù) 訪問 他是誰？ 有什么權(quán)限？ 認(rèn)證系統(tǒng) 授權(quán)系統(tǒng) 用戶認(rèn)證證書 用戶權(quán)限證書 設(shè)備認(rèn)證證書 設(shè)備認(rèn)證證書 軟件認(rèn)證證書 ? PKI與 PMI的應(yīng)用：安全認(rèn)證與