第10章 信息系统安全管理优质PPT.ppt

1、每经过一次PDCA 循环，都要进行总结，巩固成绩，改进不足，同时提出新的目标，以便进入下一次更高级的循环。,10.1 信息安全管理概述,10.1.2 信息安全管理体系信息安全管理是全世界都非常重视的事情，许多国家和国际组织都出台了相应的信息安全管理标准体系（Information Security Management System,简称ISMS）。信息安全管理体系的概念最初来源于英国标准学会制定的BS7799标准,并伴随着其作为国际标准的发布和普及而被广泛地接受。,10.1 信息安全管理概述,ISO/IEC 27000族是国际标准化组织专门为ISMS预留下来的一系列相关标准的总称，其包含的成

2、员标准有：1.ISO/IEC 27000 ISMS概述和术语2.ISO/IEC 27001 信息安全管理体系 要求3.ISO/IEC 27002 信息安全管理体系实用规则4.ISO/IEC 27003 信息安全管理体系实施指南5.ISO/IEC 27004 信息安全管理度量,10.1 信息安全管理概述,6.ISO/IEC 27005 信息安全风险管理7.ISO/IEC 27006 ISMS认证机构的认可要求8.ISO/IEC 27007 信息安全管理体系审核指南9.ISO/IEC 27008 ISMS控制措施审核员指南 10.ISO/IEC 27010 部门间通信的信息安全管理11.ISO/I

3、EC 27011 电信业信息安全管理指南,10.1 信息安全管理概述,10.1.3 构建信息安全管理体系步骤1.建立一个完整的信息安全管理体系步骤建立一个完整的信息安全管理体系可以采用如下步骤：（1）定义范围（2）定义方针（3）确定风险评估的方法（4）识别风险（5）评估风险（6）识别并评估风险处理的措施（7）为处理风险选择控制目标和控制措施（8）准备适用性声明,10.1 信息安全管理概述,2.构建信息安全管理体系的关键因素构建一个成功的信息安全管理体系的关键成功因素在于：（1）最高领导层对管理体系的承诺；（2）体系与整个组织文化的一致性，与业务营运目标的一致性；（3）理清职责权限；（4）有效的

4、宣传、培训，提升意识，不仅要针对内部员工，也要针对合作伙伴、供应商、外包服务商等。（5）盘清信息资产、明确信息安全的要求，明晰风险评估和处理的方法和流程；（6）均衡的测量监控体系，持续监控各种变化，从监控结果中寻求持续改进的机会。,10.1 信息安全管理概述,3.HTP模型,10.2 单位日常网络安全管理制度,10.2.1 机房安全管理 机房安全管理主要是为强机房的安全性，杜绝人为因素对机房造成影响，为通信设备提供安全的运行环境，保证机房内设备处于最佳运行状态。主要包括如下内容：1.路由器、交换机、集线器和服务器以及通信设备是网络的关键设备，必须放置在计算机机房内，不得自行配置或更换，更不能挪

5、作它用。2.计算机房要保持清洁、卫生，并由专人7*24负责管理和维护（包括温度、湿度、电力系统、网络设备等），无关人员未经管理人员批准严禁进入机房。3.严禁易燃、易爆、易腐蚀、强磁物品及其它与机房工作无关的物品进入机房。,10.2 单位日常网络安全管理制度,4.建立机房登记制度，对本地局域网络的运行，建立档案。未发生故障或故障隐患时当班人员不可对光纤、网线及各种设备进行任何调试，对所发生的故障、处理过程和结果等做好详细登记。5.网管人员应做好网络安全工作，服务器的各种帐号严格保密。监控网络上的数据流，从中检测出攻击的行为并给予响应和处理。6.做好操作系统的补丁修正工作。7.网管人员统一管理计算

6、机及其相关设备，完整保存计算机及其相关设备的驱动程序、保修卡及重要随机文件。,10.2 单位日常网络安全管理制度,8.计算机及其相关设备的报废需经过管理部门或专职人员鉴定，确认不符合使用要求后方可申请报废。9.制定数据管理制度。对数据实施严格的安全与保密管理，防止系统数据的非法生成、变更、泄露、丢失及破坏。当班人员应在数据库的系统认证、系统授权、系统完整性、补丁和修正程序方面实时修改。10.笔记本电脑要通过笔记本电脑锁锁上，防止有人顺手拿走。,10.2 单位日常网络安全管理制度,10.2.2 网络层安全管理 1.网络层安全管理员主要负责全公司网络（包含局域网、广域网）的系统安全性。2.负责日常

7、操作系统、网管系统、邮件系统的安全补丁、漏洞检测及修补、病毒防治等工作。3网络层安全管理员应经常保持对最新技术的掌握，实时了解INTERNET的动向，做到预防为主。4良好周密的日志记录以及细致的分析经常是预测攻击，定位攻击，以及遭受攻击后追查攻击者的有力武器。,10.2 单位日常网络安全管理制度,5.在做好本职工作的同时，应协助机房管理人员进行机房管理，严格按照机房制度执行日常维护。6.每月安全管理人员应向主管人员提交当月值班及事件记录，并对系统记录文件保存收档，以备查阅。具体文件及方法见附件。,10.2 单位日常网络安全管理制度,10.2.3 系统运行维护安全管理 1.中心机房和办公区域隔离

8、分设。未经负责人批准，不得在中心机房设备上编写、修改、更换各类软件系统及更改设备参数配置。2.各类软件系统的维护、增删、配置的更改，各类硬件设备的添加、更换必需经负责人书面批准后方可进行；必须按规定进行详细登记和记录，对各类软件、现场资料、档案整理存档。3.为确保数据的安全保密，对各业务单位、业务部门送交的数据及处理后的数据都必须按有关规定履行交接登记手续。4.部门负责人应定期与不定期对制度的执行情况进行检查，督促各项制度的落实，并作为人员考核之依据。,10.2 单位日常网络安全管理制度,10.2.4 资产和设备安全管理1.网站管理中心所属范围内包括所有设备及办公物品归属网站中心管理。2.严格

9、执行上级管理部门有关设备管理的各项规章制度，对本中心管理的设备进行编号、登记、建立完善、准确的文档。3.购进设备时，网站中心有关负责人必须与供货人或调入人共同启封，核对设备规格、型号、数目及软件和文字资料，并进行质量检验。核对无误，验收合格后，方可签字并办理有关手续。4.实行设备领用人责任制，谁领用，谁使用，谁保管。5.对网站中心所属重要设备，要建立档案系统，保证技术资料完整。,10.2 单位日常网络安全管理制度,6.非网站中心工作人员，不得擅自启动、关闭、动用、迁移各种网络设备。7.从网站中心调出设备，必须经中心负责人认可批准后，方可调出。8.每半年，对中心的计算机网络设备进行一次全面检查和

10、维护。9.每年末，网站中心对固定资产清查一次。10.每年对机房设备保管和使用环境评估检查一次，看是否达标，并及时采取积极措施。11.对于超过有效使用期的设备、淘汰设备或毁坏设备，按上次管理部门对固定资产设备报废规章制度办理，并履行有关手续。12.网站设备使用和管理人员，应本着对国家财产负责的态度严格执行操作和管理程序。,10.2 单位日常网络安全管理制度,10.2.5 数据安全管理 单位网站中心的数据安全主要由信息安全管理员负责，信息安全管理员的主要职责如下：1.信息安全管理员负责本中心的数据安全保护管理工作，建立健全数据安全保护管理制度。2.信息安全管理员负责落实数据安全保护技术措施，保障本

11、网络的运行安全和信息安全。3.负责防火墙、IDS、防病毒系统的策略制定。4.负责本中心审计系统的运行管理，对运行情况进行审计。5.负责本中心身份认证系统、权限管理和授权、单点登录系统的运行管理。,10.2 单位日常网络安全管理制度,6.负责本中心的防火墙、入侵检测系统、防病毒系统的运行管理，并定期升级。7.负责本中心相关日志的填写、收集、归档、管理。8.对本中心所发布的数据内容按照等相关规定进行审核。9.发现有违反安全管理规定的行为，应当保留有关原始记录，并及时向相关管理部门报告。10.按照国家有关规定，负责删除本中心中含有违法内容的地址、目录或者关闭服务器。,10.2 单位日常网络安全管理制

12、度,10.2.6 备份与恢复管理1.为了确保系统计算机系统的数据安全，使得在计算机系统失效或数据丢失时，能依靠备份尽快地恢复系统和数据，保护关键应用数据的安全，保证数据不丢失，特制定本制度。2.拥有重要系统或重要数据的服务器应该及对数据进行备份，防止系统、数据的丢失；涉及数据备份和恢复的服务器要由专人负责数据备份工作，并认真填写备份日志。,10.2 单位日常网络安全管理制度,3.网络服务器数据备份工作，由网站管理部负责，增量备份每日做，系统备份每周做一次。系统管理员在每周最后一个工作日，将数据库、网页文件、各主要硬件设备配置文件等做一次异机备份，数据保存一个季度。4.备份数据应该严格管理，妥善

13、保存；备份数据资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。5.数据的备份、恢复、转出、转入的权限都应严格控制。严禁未经授权将数据备份出系统，转给无关的人员或单位；严禁未经授权进行数据恢复或转入操作。6.一旦发生数据丢失或数据破坏等情况，要由系统管理员进行备份数据恢复，以免造成不必要的麻烦或更大的损失。（1）全盘恢复一般应用在服务器发生意外灾难导致数据丢失、系统崩溃或是有计划的系统升级、系统重组等。（2）个别文件数据恢复一般用于恢复受损的个别文件，或者在全盘恢复之后追加增量备份的恢复，以得到最新的备份。7.各级信息技术管理部门必须定期检查保存备份数据能否正常使用，需刻录光盘的数据应经

14、过检验确保数据备份的完整性和可用性后，方可刻录光盘。,10.2 单位日常网络安全管理制度,10.2.7 密码管理制度 1.网络服务器密码口令的管理（1）服务器和网络设备的管理账号密码，由网络管理员持有，实行定期轮换制度，最长有效期不超过90天。（2）更换服务器与网络设备密码时必须执行密码备案制度，以防遗失密码，同时告知主管领导备案密码。,10.2 单位日常网络安全管理制度,（3）用户级密码如：网站、数据库系统、网站信息管理系统等用户帐号必须专人专号，不得互相泄露密码。不同级别用户间不得交换帐号使用，特殊情况须报告网络管理员处理。（4）公共帐号，如公共FTP等不能向中心以外人员泄露，对外传送文件

15、必须使用临时FTP。（5）如发现密码及口令有密迹象，系统管理员要立刻报告部门负责人，严查泄露源头，同时更换密码。,10.2 单位日常网络安全管理制度,2.用户密码及口令的管理（1）对于要求重新设定密码和口令的用户，用户必须与系统管理员商定密码及口令，由系统管理员备案后操作。（2）公共帐号密码变更，必须通知到相关部门。（3）如果网络提供用户自我更新密码及口令的功能，用户应谨慎修改密码，并且符合密码复杂度要求，修改后必须牢记密码。,10.2 单位日常网络安全管理制度,10.2.8 信息安全责任制 1.计算机安全工作制度体系的重点是规范内部人员行为和健全内部制约机制，要根据不断变化的情况，及时对计算

16、机安全制度进行补充和完善，逐步形成完整的、科学的计算机安全工作制度体系。2.基于信息系统网络管理任务的强化以及安全的动态特性，要求计算机信息系统加强对要害岗位人员在安全方面的管理，实行责权分配。3.要害岗位人员上岗前必须进行审查和业务技能考核，并进行必要的安全教育和培训，合格者方能上岗。4.要害岗位人员必须严格遵守保密法规和有关计算机安全管理规定，承担相应岗位安全责任。,10.2 单位日常网络安全管理制度,5.系统管理员的安全职责是对所辖范围的计算机系统问题负责，对计算机系统安全策略、计划和事件处理程序的制定，参与计算机安全建设和运营方案的制定，负责系统的运行管理、实施系统安全细则，严格用户权

17、限管理，记录系统安全事项，对进行系统操作的其他人员予以安全监督。及时解除系统故障，不得擅自改变系统功能，不得安装与系统无关的其它程序，发现漏洞及时处理。6.操作人员的安全职责是接受系统管理员的指导和监督，及时向系统管理员报告系统各种异常事件，严格执行系统操作规程和运行安全管理制度 7.重要网络设备应放在主机房内，其他人员不得对网络设备进行任何操作。,10.2 单位日常网络安全管理制度,8.内部网络的所有计算机设备，不得直接与国际互联网相联接，必须实行物理隔离。9.定期进行主机设备的例行保养和预防性检修，制定主机设备故障维修规程并严格执行，重大故障应注意保卫现场，进行应急处理关立即报告。10.必

18、须按技术规程进行系统和用户数据备份；系统和用户数据必须双备份，异地存放。关键系统应有灾难数据备份。11.应建立业务系统正常调帐规程，并严格按规程操作，确保资金安全。12.必须有计算机病毒防范措施，有计算机预防和清除病毒和软件或硬件产品。13.各科室要加强计算机安全教育，宣传计算机犯罪的危害，提高全员计算机安全防范意识和法纪观念，自觉维护计算机安全。,10.2 单位日常网络安全管理制度,10.2.9 安全事件报告和处置管理制度及应急处置预案 1.信息网络安全事件定义（1）网站主页被恶意纂改、交互式栏目里发表反政府、分裂国家和色情内容的信息及损害国家声誉的谣言。（2）网络应用服务器被非法入侵，应用

19、服务器上的数据被非法拷贝、修改、删除。（3）在网站上发布的内容违反国家的法律法规、侵犯知识版权，已经造成严重后果。,10.2 单位日常网络安全管理制度,2.网络安全事件应急处理机构及职责（1）设立信息网络安全事件应急处理指挥部，负责信息网络安全事件的组织指挥和应急处置工作。总指挥由中心主要负责人担任，副总指挥由分管主任担任，指挥部成员各部门负责人组成。（2）领导机构 负责人：xxx（3）工作机构 3.网络安全事件报告与处置,10.2 单位日常网络安全管理制度,10.2.10 安全教育培训制度 为提高单位人员的安全素质，保证中心网络的高校、稳定运行，特制定如下安全教育培训制度：1.组织全体人员认

20、真学习计算机信息网络国际互联网安全保护管理办法，提高全体人员共同维护网络安全的警惕性和自觉性。2.定期对有关的网络管理人员工进行安全教育和培训，使他们自觉遵守计算机信息网络国际互联网安全保护管理办法，并具备一定的网络安全知识。3.不定期地邀请上级有关专业人员进行信息安全方面的培训，加强对有害信息，特别是影射性有害信息的识别能力，提高防范能力。,10.3 网络安全相关法律法规,10.3.1 国内网络安全相关法律法规国内主要的网络安全相关法律法规如下：信息网络传播权保护条例 20062020年国家信息化发展战略 网络信息安全等级保护制度 信息安全等级保护管理办法（试行）互联网信息服务管理办法 中华

21、人民共和国电信条例 中华人民共和国计算机信息系统安全保护条例 公用电信网间互联管理规定 联网单位安全员管理办法（试行）文化部关于加强网络文化市场管理的通知 证券期货业信息安全保障管理暂行办法 中国互联网络域名管理办法 科学技术保密规定,10.3 网络安全相关法律法规,计算机信息系统国际联网保密管理规定 计算机软件保护条例 国家信息化领导小组关于我国电子政务建设指导意见 电子认证服务密码管理办法 互联网IP地址备案管理办法 计算机病毒防治管理办法 中华人民共和国电子签名法 认证咨询机构管理办法 中华人民共和国认证认可条例,10.3 网络安全相关法律法规,认证培训机构管理办法 中华人民共和国产品质

22、量法 中华人民共和国产品质量认证管理条例 商用密码管理条例 网上证券委托暂行管理办法 信息安全产品测评认证管理办法 产品质量认证收费管理办法 中华人民共和国网络安全法中华人民共和国密码法,10.3 网络安全相关法律法规,10.3.2 国外网络安全相关法律法规（1）美国数字时代版权法。美国国会于1998年10月12日通过，28日克林顿签署生成法律。该法是为了贯彻执行世界知识产权保护组织（WIPO）1996年12月签订的条约，要求公共图书馆、学校、教育机构等各种团体和个人，不得非法拷贝、生产或传播包括商业软件在内的各种信息资料。（2）欧盟数据库指令，1996年3月欧共体制定。该指令主要为了保护数据

23、库版权。（3）欧盟电信方面隐私保护指令。1997年12月欧共体制定。该指令主要为了保护电信传送过程中的个人数据。（4）美国儿童网络隐私保护法。2000年4月21日正式生效。该法保护13岁以下网童的隐私，要求网站在向13岁以下儿童询问个人信息时，必须先得到其家长的同意。,10.3 网络安全相关法律法规,（5）俄罗斯联邦信息、信息化和信息保护法。1995年制定。该法明确界定了信息资源开放和保密的范畴，提出了保护信息的法律责任。（6）日本特定电信服务提供商损害责任限制及要求公开发送者身份信息法。2002年5月制定。该法规定了电信服务提供商的必要责任，使服务提供商可以采取迅速、恰当的措施，处理在互联网

24、网站、BBS上发布信息时发生的侵权行为。（7）美国儿童上网保护法案。1998年制定。该法案保护儿童免受互联网上可能对其生理和心理产生不良影响的内容的伤害，防止青少年通过网络接受色情信息，建议用.kids域名来表示专门的适合儿童的网站。（8）英国三R安全规则。1996年制定。其中“三R”分别代表：分级认定、举报告发、承担责任。该规则旨在从网络上消除儿童色情内容和其他有害信息，对提供网络服务的机构、终端用户和编发信息的网络新闻组，尤其对网络提供者作了明确的职责分工。,10.3 网络安全相关法律法规,（9）美国禁止电子盗窃法案。1997年12月16日克林顿签署。该法案主要针对使用网络上未经认证的计算

25、机进行的严重犯罪，比如蓄意破坏和欺诈。（10）日本反黑客法。2000年2月13日起开始实施。该法主要保护个人数据的安全与自由传送。该法规定擅自使用他人身份及密码侵入电脑网络的行为都将被视为违法犯罪行为，最高可判处10年监禁。（11）美国反垃圾邮件法案。2000年7月18日通过。该法案专门对滥发邮件行为进行了规范和惩治。要求任何未经允许的商业邮件必须注明有效的回邮地址，以便于用户决定是否从邮件目录中接收该邮件。（12）美国禁止网络盗版商标法案。1999年10月制定。该法案主要针对网络上侵犯商标权的问题。,思考题,1.如何理解信息安全管理“三分技术，七分管理”？2.建立一个完整的信息安全管理体系步骤是什么？3.构建信息安全管理体系的关键因素是什么？4.PDCA 模型具有哪些特点？5.简述信息安全管理中的HTP模型。,小 结,欢迎大家提问！,Thanks For Attendance!,致 谢,