【正文】 起作用，此時(shí)要采取適當(dāng)和有效的措施來(lái)減輕相關(guān)威脅實(shí)際發(fā)生時(shí)所帶來(lái)的破壞后果，這是組織信息安全的最后一道防線。 基礎(chǔ)技術(shù)系統(tǒng) 安全防護(hù)系統(tǒng) 應(yīng)用支撐系統(tǒng) 安全 運(yùn)維 管理 系統(tǒng) 火龍果 ? 整理 . ? 基礎(chǔ)技術(shù)系統(tǒng) ? 縱深防御架構(gòu) ? 可信網(wǎng)和不可信網(wǎng)要物理層隔斷，網(wǎng)絡(luò)邏輯連接要割斷，應(yīng)用數(shù)據(jù)要凈化，不可信網(wǎng)絡(luò)上的計(jì)算機(jī)不能直接到達(dá)可信網(wǎng)絡(luò)。 IATF 安全域 火龍果 ? 整理 . ? 安全基礎(chǔ)設(shè)施 ? 一個(gè)為整個(gè)安全體系提供安全服務(wù)的基礎(chǔ)性平臺(tái)，為應(yīng)用系統(tǒng)和安全支撐平臺(tái)提供包括數(shù)據(jù)完整性、真實(shí)性、可用性、不可抵賴性和機(jī)密性在內(nèi)的安全服務(wù)。 網(wǎng) 頁(yè) 保 護(hù)安 全 審 計(jì)漏 洞 、 病 毒 掃 描抗 拒 絕 服 務(wù)入 侵 檢 測(cè)邊 界 訪 問(wèn) 控 制I n t e r n e t公 眾 服 務(wù) 網(wǎng)多 重 認(rèn) 證 與 授 權(quán)強(qiáng) 審 計(jì)漏 洞 、 病 毒 掃 描入 侵 檢 測(cè)辦 公 業(yè) 務(wù) 網(wǎng)V L A N網(wǎng)絡(luò)隔離　 　 　 　 　 　 　 　 　 　 　 基 礎(chǔ) 安 全 服 務(wù) 設(shè) 施－ C A / P K I 認(rèn) 證 體 系 （ 提 供 數(shù) 字 簽 名 、 加 密 等 基 礎(chǔ) 服 務(wù) 接 口 ） 　 － 應(yīng) 急 支 援 系 統(tǒng) （ C E R T ）－ 基 于 數(shù) 據(jù) 證 書 的 可 信 時(shí) 間 服 務(wù) 　 　 － 基 于 L A N / S A N 結(jié) 構(gòu) 的 備 份 系 統(tǒng) 　 － 災(zāi) 難 恢 復(fù) 及 業(yè) 務(wù) 連 續(xù) 性 計(jì) 劃網(wǎng) 絡(luò) 隔 離V P N外 單 位 網(wǎng) 絡(luò)信 息 交 換 層邊 界 訪 問(wèn) 控 制物理隔離多 重 認(rèn) 證 與 授 權(quán)強(qiáng) 審 計(jì)加 密 數(shù) 據(jù) 庫(kù)系 統(tǒng) 鏡 像涉 密 內(nèi) 網(wǎng). . .加 密 傳 輸明 文 傳 輸圖 例 ： 火龍果 ? 整理 . 省級(jí)局域網(wǎng) 上級(jí)接口 下級(jí)接口 橫 向 接 口 互 聯(lián) 網(wǎng) 接 口 加密機(jī)：保護(hù)離開(kāi)局域網(wǎng)的信息安全，同時(shí)防止非法接入。 防火墻：防止來(lái)自外部的攻擊。 入侵檢測(cè)：發(fā)現(xiàn)非法入侵行為 。 防非法外聯(lián)：堵住非法網(wǎng)絡(luò)接口。（網(wǎng)絡(luò)及主機(jī)操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用平臺(tái)的加固） 安 全 邊 界 網(wǎng)絡(luò)行為審計(jì)：加強(qiáng)網(wǎng)絡(luò)安全管理，追查安全事件。 火龍果 ? 整理 . ? 應(yīng)用支撐系統(tǒng) ? 應(yīng)用支撐系統(tǒng)構(gòu)建在基礎(chǔ)技術(shù)系統(tǒng)的基礎(chǔ)上，利用安全基礎(chǔ)設(shè)施提供的基于 PKI/PMI/KMI技術(shù)的安全服務(wù)； ? 采用安全中間件及一站式服務(wù)理論和技術(shù)，實(shí)現(xiàn)包括安全門戶、安全認(rèn)證和訪問(wèn)控制、數(shù)據(jù)安全傳輸、數(shù)據(jù)保密、完整性保護(hù)、真實(shí)性保護(hù)等應(yīng)用安全功能和服務(wù)，支持面向組織和各類專網(wǎng)和互連網(wǎng)的各類安全應(yīng)用，是安全應(yīng)用系統(tǒng)所依托的主要安全平臺(tái)。 ? 解決方案 :使用統(tǒng)一的身份認(rèn)證證書 ? 業(yè)務(wù)系統(tǒng)本身必須能夠?qū)ψ约旱馁Y源進(jìn)行控制， 能夠動(dòng)態(tài)地分配權(quán)限，控制使用者的操作行為，防止越崗位操作或越權(quán)限操作。 ? 解決方案 :基于密碼 ? 業(yè)務(wù)系統(tǒng)本身必須能夠?qū)Σ僮髡咝袨檫M(jìn)行跟蹤、記錄、統(tǒng)計(jì)和審計(jì)，及時(shí)發(fā)現(xiàn)工作中出現(xiàn)的問(wèn)題，使系統(tǒng)可管理，事件可追查。 ? 解決方案 :基于數(shù)字簽名 火龍果 ? 整理 . ? 安全運(yùn)維系統(tǒng) ? 安全運(yùn)維管理系統(tǒng)對(duì)整個(gè)安全系統(tǒng)起管理、監(jiān)控、調(diào)度和應(yīng)急報(bào)警等作用，負(fù)責(zé)對(duì)全網(wǎng)絡(luò)安全防護(hù)設(shè)備進(jìn)行管理，為各個(gè)應(yīng)用系統(tǒng)提供安全管理接口，對(duì)需要特別關(guān)注的應(yīng)用系統(tǒng)進(jìn)行應(yīng)用審計(jì)。 火龍果 ? 整理 . ? 什么是人力防火墻 ? 在信息安全的所有相關(guān)因素中，人是最活躍的因素，人的行為是信息安全保障最主要的方面。我們把信息安全中對(duì)人的有效管理稱為“人力防火墻”。 八、建立 “ 人力防火墻 ” 火龍果 ? 整理 . ? 建立人力防火墻的過(guò)程 ? 得到組織最高管理層的支持 ? 得到高層管理人員的認(rèn)同和承諾有兩個(gè)作用一是相應(yīng)的安全方針政策、控制措施可以在組織的上上下下得到有效的貫徹； ? 二是可以得到有效的資源保證，比如實(shí)施有效安全過(guò)程的必要的資金與人力資源的支持，及跨部門之間的協(xié)調(diào)問(wèn)題都必須由高層管理人員來(lái)推動(dòng)。 ? 信息安全指導(dǎo)委員會(huì) ? 信息安全主管為核心的、專業(yè)的信息安全管理的隊(duì)伍 ? 把相應(yīng)的安全責(zé)任落實(shí)到每一個(gè)員工身上 員工 ISMS職責(zé)表 ISMS文件與工作人員矩陣 信息安全管理員職責(zé)矩陣 、 工作流程 火龍果 ? 整理 . ? 制定計(jì)劃 ? 行動(dòng)計(jì)劃主要有 ： ? 信息安全政策制訂與實(shí)施 ? 與信息安全相關(guān)的人力資源政策的制訂 ? 安全事件響應(yīng)計(jì)劃 ? 監(jiān)控日常安全事務(wù)及員工對(duì)安全政策的遵循 ? 業(yè)務(wù)連續(xù)性計(jì)劃及災(zāi)難恢復(fù)計(jì)劃 ? 安全教育計(jì)劃 ? 建設(shè)企業(yè)安全文化 ? 預(yù)算計(jì)劃 ? 有足夠資金支持的計(jì)劃才是切實(shí)可行的計(jì)劃，才能有效地落實(shí)信息安全所需要的人、財(cái)、物等資源的配置。 火龍果 ? 整理 . ? 制定信息系統(tǒng)安全政策 ? 信息系統(tǒng)安全政策就是為防止信息資產(chǎn)意外損失及被有意濫用而制訂的規(guī)則，這些政策是應(yīng)該涵蓋組織中生成、加工、使用、儲(chǔ)存信息的各個(gè)方面，并符合 ISO27001對(duì)信息系統(tǒng)安全的要求。 ? 人力資源政策 ? 因此除了技術(shù)的控制手段外，要制定合適的人力資源政策，加強(qiáng)對(duì)“人”的管理，對(duì)潛在的安全入侵者也是一種威懾及懲戒措施，這是建立人力防火墻的有效控制手段。 人力資源政策舉例 火龍果 ? 整理 . ? 實(shí)施安全教育計(jì)劃 ? 要制定各種不同范圍、不同層次的安全教育計(jì)劃。 ? 好的安全教育計(jì)劃應(yīng)該讓員工知道組織的信息安全面臨的威脅及信息安全事件帶來(lái)的后果，使員工切身感覺(jué)到安全事件與自己息息相關(guān)。 ? 目的是把安全事件的損害降到最低的程度，追蹤并從事件中吸取教訓(xùn)。人的這種對(duì)安全價(jià)值的認(rèn)識(shí)以及使自己的一舉一動(dòng)符合安全的行為規(guī)范的表現(xiàn)，正是所謂的“安全修養(yǎng)”。 信息安全文化的三個(gè)階段 火龍果 ? 整理 . ? 檢查與審計(jì)的內(nèi)容 ? 對(duì)于安全框架是否已有效的建立起來(lái)，技術(shù)防火墻、人力防火墻及 IT流程控制框架能否起到了應(yīng)有的作用 ，組織可以通過(guò)定期的自我檢查或獨(dú)立的審核來(lái)驗(yàn)證安全控制措施的有效性，并對(duì)發(fā)現(xiàn)的問(wèn)題采取有效的糾正措施并實(shí)施，對(duì)糾正措施實(shí)施的結(jié)果進(jìn)行驗(yàn)證。 ? 審核工作是審計(jì)機(jī)構(gòu)對(duì)組織的信息安全控制措施是否完備所做的鑒證過(guò)程。可以由組織的內(nèi)部稽核部門階段性地組建立審核組，培訓(xùn)審核員，有效地管理在組織中開(kāi)展的信息安全審核工作，也可外聘的第三方審計(jì)機(jī)構(gòu)對(duì)組織進(jìn)行外部審計(jì)。 ? 檢查小組根據(jù)組織的信息安全方針、策略及程序要求，編寫各類安全檢查列表，進(jìn)行符合性檢查。 ? 對(duì)檢查的內(nèi)容進(jìn)行分析與整理，編寫信息安全檢查報(bào)告。 ? 內(nèi)審小組負(fù)責(zé)編寫本次內(nèi)審的 《 內(nèi)部審計(jì)方案 》 ，其內(nèi)容一般為 :被審部門、審計(jì)時(shí)間、內(nèi)容、范圍、審計(jì)依據(jù)、目的、方法；內(nèi)審小組成員及其分工；審計(jì)活動(dòng)日程安排。內(nèi)部審計(jì)實(shí)施可劃分為首次會(huì)議、現(xiàn)場(chǎng)審計(jì)和末次會(huì)議三個(gè)階段進(jìn)行。 ? 在 IT行業(yè)系統(tǒng)集成、軟件開(kāi)發(fā)、信息安全與控制領(lǐng)域有十五年工作經(jīng)驗(yàn)，精通網(wǎng)絡(luò)技術(shù)、軟件開(kāi)發(fā)技術(shù)、信息安全技術(shù)，長(zhǎng)期從事企業(yè)信息化建設(shè)，對(duì)國(guó)內(nèi)大中型企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、安全系統(tǒng)的規(guī)劃、設(shè)計(jì)、實(shí)施有較豐富的經(jīng)驗(yàn)。 ? 著有 《 信息安全管理：全球最佳實(shí)務(wù)與實(shí)施指南 》 、 《 經(jīng)營(yíng)管理與信息技術(shù) 》 等，翻譯 《 索耶內(nèi)部審計(jì) 》 ，發(fā)表多篇 IT治理論文。 , March 8, 2023 ? 雨中黃葉樹(shù)，燈下白頭人。 :15:0423:15Mar238Mar23 ? 1故人江海別，幾度隔山川。 :15:0423:15:04March 8, 2023 ? 1他鄉(xiāng)生白發(fā)，舊國(guó)見(jiàn)青山。 。 2023年 3月 8日星期三 11時(shí) 15分 4秒 23:15:048 March 2023 ? 1做前，能夠環(huán)視四周；做時(shí)，你只能或者最好沿著以腳為起點(diǎn)的射線向前。 , March 8, 2023 ? 很多事情努力了未必有結(jié)果，但是不努力卻什么改變也沒(méi)有。 :15:0423:15Mar238Mar23 ? 1世間成事，不求其絕對(duì)圓滿，留一份不足，可得無(wú)限完美。 :15:0423:15:04March 8, 2023 ? 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 。 2023年 3月 8日星期三 11時(shí) 15分 4秒 23:15:048 March 2023 ? 1空山新雨后，天氣晚來(lái)秋。 , March 8, 2023 ? 閱讀一切好書如同和過(guò)去最杰出的人談話。 :15:0423:15Mar238Mar23 ? 1越是無(wú)能的人，越喜歡挑剔別人的錯(cuò)兒。勝人者有力，自勝者強(qiáng)。 2023年 3月 8日星期三 下午 11時(shí) 15分 4秒 23:15: ? 1最具挑戰(zhàn)性的挑戰(zhàn)莫過(guò)于提升自我。 2023年 3月 8日星期三 11時(shí) 15分 4秒 23:15:048 March 2023 ? 1一個(gè)人即使已登上頂峰，也仍要