欢迎来到淘文阁 - 分享文档赚钱的网站! | 帮助中心 好文档才是您的得力助手!
淘文阁 - 分享文档赚钱的网站
全部分类
  • 研究报告>
  • 管理文献>
  • 标准材料>
  • 技术资料>
  • 教育专区>
  • 应用文书>
  • 生活休闲>
  • 考试试题>
  • pptx模板>
  • 工商注册>
  • 期刊短文>
  • 图片设计>
  • ImageVerifierCode 换一换

    信息安全与运维管理教材.ppt

    • 资源ID:92747059       资源大小:1.88MB        全文页数:35页
    • 资源格式: PPT        下载积分:13金币
    快捷下载 游客一键下载
    会员登录下载
    微信登录下载
    三方登录下载: 微信开放平台登录   QQ登录  
    二维码
    微信扫一扫登录
    下载资源需要13金币
    邮箱/手机:
    温馨提示:
    快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。
    如填写123,账号就是123,密码也是123。
    支付方式: 支付宝    微信支付   
    验证码:   换一换

     
    账号:
    密码:
    验证码:   换一换
      忘记密码?
        
    友情提示
    2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
    3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
    4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
    5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。

    信息安全与运维管理教材.ppt

    11 六月 2023信息安全与运维管理教信息安全与运维管理教材材什么是信息安全?(什么是信息安全?(1 1)关于信息安全的定义很多,国内外、不同组织给出不同的定义,但我们可以找出其中共性的部分n国内学者的定义:“信息安全保密内容分为:实体安全、运行安全、数据安全和管理安全四个方面。”n我国“计算机信息系统安全专用产品分类原则”中的定义是:“涉及实体安全、运行安全和信息安全三个方面。”n我国相关立法给出的定义是:“保障计算机及其相关的和配套的设备、设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全”。这里面涉及了物理安全、运行安全与信息安全三个层面。什么是信息安全?(什么是信息安全?(2 2)n国家信息安全重点实验室给出的定义是:“信息安全涉及到信息的机密性、完整性、可用性、可控性。综合起来说,就是要保障电子信息的有效性。”n英国BS7799信息安全管理标准给出的定义是:“信息安全是使信息避免一系列威胁,保障商务的连续性,最大限度地减少商务的损失,最大限度地获取投资和商务的回报,涉及的是机密性、完整性、可用性。”什么是信息安全?(什么是信息安全?(3 3)n美国国家安全局信息保障主任给出的定义是:“因为术语信息安全一直仅表示信息的机密性,在国防部我们用信息保障来描述信息安全,也叫IA。它包含5种安全服务,包括机密性、完整性、可用性、真实性和不可抵赖性。”n国际标准化委员会给出的定义是:“为数据处理系统而采取的技术的和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露”。什么是信息安全什么是信息安全信息安全目标总结信息安全目标总结n 信息安全的目标机密性 Confidentiality完整性 Integrity可用性 Availability可控性 controllability真实性 Authenticity不可否认性 Non-repudiation什么是信息安全什么是信息安全涵盖内容总结涵盖内容总结n 信息安全的涵盖内容物理安全网络安全主机安全应用安全数据安全安全管理提纲提纲n什么是信息安全n什么是IT运维n信息安全与IT运维的关系n怎样开展信息安全工作n信息安全最佳实践n信息安全工作模型什么是什么是ITIT运维?运维?互联网定义互联网定义 IT运维是IT管理的核心和重点部分,也是内容最多、最繁杂的部分,该阶段主要用于IT部门内部日常运营管理,涉及的对象分成两大部分,即IT业务系统和运维人员,可细分为七个子系统:设备管理:对网络设备、服务器备、操作系统运行状况进行监控 应用/服务管理:各种应用软件与服务数据/存储/容灾管理:对系统和业务数据进行统一存储、备份和恢复 业务管理:对组织业务系统的监控与管理,CSF/KPI目录/内容管理:组织的对内、外信息的管理资产管理:包括物理与逻辑资产信息安全管理:日常工作管理:职责分工,绩效考核,知识平台整理等什么是什么是ITIT运维运维我的定义我的定义n组织为实现业务目标而针对IT系统所采取的一切管理的总和,可以分为两类:服务支持管理与服务交付管理。n 服务支持包括:事故管理问题管理配置管理变更管理发布管理n 服务交付包括:可用性管理能力管理服务水平管理外包管理什么是什么是ITIT运维运维总结总结nIT运维的目标支撑组织业务目标nIT运维的内容服务交付服务支持IT运维 ITIL+Cobit+CISA+ISO20000提纲提纲n什么是信息安全n什么是IT运维n信息安全与IT运维的关系n怎样开展信息安全工作n信息安全最佳实践n信息安全工作模型信息安全与信息安全与ITIT运维的关系(运维的关系(1 1)n安全是IT运维的重要组成模块,对于某些行业是关键模块 IT运维旨在谋求安全性与方便性 安全保障着价值 安全正在创造价值.网上银行的安全性吸引了更多的消费者商业秘密的安全措施使得组织更具竞争力电子签名法的出台打消了使用者的安全疑虑具有安全认证与强大容灾能力的邮件系统才能拥有海量的用户信息安全与信息安全与ITIT运维的关系(运维的关系(2 2)n安全与IT运维共有一个衡量标尺:组织业务目标业务需求驱动信息安全与IT运维需求 信息安全与IT运维方案要适应业务流程信息安全与IT运维方案要支撑业务的可持续发展业务目标的调整驱使安全与IT运维的调整投资与企业战略、风险状况密切相关信息安全与信息安全与ITIT运维的关系(运维的关系(3 3)n安全贯穿了IT运维整个生命周期安全与IT运维都是一个过程,而不是一次事件每个IT运维流程都影响着安全的一个或者多个目标(C.I.A)失去安全的IT运维是失败的运维安全的成熟度模型与IT运维的标杆管理是吻合的信息安全与信息安全与ITIT运维的关系(运维的关系(4 4)nIT运维与信息安全的融合安全公司试水运维,安全产品强化管理、监控功能,支持IT运维运维支持类产品引入安全概念、集成安全技术信息安全融入IT运维流程中相关标准的认证工作可以同时进行(ISO20000/270001)信息安全与信息安全与ITIT运维的关系(运维的关系(5 5)nIT运维的趋势彰示着安全的未来IT运维的标准化符合安全的“纵深防御”的理念IT运维的流程化提高了安全的可管理性,为改进安全工作提供条件IT运维的自动化减少了人为失误,降低了安全的成本提纲提纲n什么是信息安全n什么是IT运维n信息安全与IT运维的关系n怎样开展信息安全工作n信息安全最佳实践n信息安全工作模型怎样开展信息安全治理(怎样开展信息安全治理(1 1)1、规划根据组织业务与组织文化,制定安全目标对组织进行风险评估制定安全基线怎样开展信息安全治理(怎样开展信息安全治理(2 2)2、实施根据安全基线,制定安全建设计划、投资回报计划建立信息安全管理框架,融合各种安全技术、产品,建设组织安全保障体系。对关键流程制定BCP/DRP计划怎样开展信息安全治理(怎样开展信息安全治理(3 3)3、评估参照Cobit,开展信息系统审计根据组织的业务流程,建立基于“平衡积分卡”的绩效考评机制逐步分解“平衡积分卡”为若干个KPI/KGI/Metrics等,参照安全基线发现差距在尽量不影响业务连续性的前提下,采取有效演练手段,确保BCP、DRP的有效性怎样开展信息安全治理(怎样开展信息安全治理(4 4)4、维护根据评估结果,进行流程改进标杆管理,提高安全系统成熟度持续改进,永不停止怎样开展信息安全治理(怎样开展信息安全治理(5 5)n关于人.上述步骤中,并没有列出“人”的因素,其实在整个安全治理工作中,“人”是最关键的因素。对人的安全意识的培养、安全技能的教育伴随着整个安全治理工作全程,不会仅限于某个特定步骤怎样开展信息安全治理(怎样开展信息安全治理(6 6)n关于安全成熟度.系统安全工程能力成熟模型(SSE-CMM)描述了一个组织的安全工程过程必须包含的本质特征,这些特征是完善的安全工程保。包括6级。SSE-CMM0:未实施级SSE-CMM1:非正式实施级执行基本实施SSE-CMM2:计划和跟踪级规划执行,规范化执行,验证执行,跟踪执行SSE-CMM3:已定义级定义标准过程,执行已定义过程,协调实施SSE-CMM4:可管理级建立可测的质量目标,客观的管理执行SSE-CMM5:持续改进级改进组织能力,改进过程有效性怎样开展信息安全治理(怎样开展信息安全治理(7 7)n关于绩效考评与平衡计分卡没有绩效考评无法度量信息安全治理的输出一般来讲,平衡计分卡从如下4个角度进行财务角度成本预算、投资回报等客户角度服务质量、客户满意度、需求解决、高效的IT服务台等企业内部运营业务流程效率、登录时间、故障发生率、故障平均修复时间学习与成长人才培养,技能发展等提纲提纲n什么是信息安全n什么是IT运维n信息安全与IT运维的关系n怎样开展信息安全工作n信息安全最佳实践n信息安全工作模型信息安全治理的最佳实践(信息安全治理的最佳实践(1 1)n没有管理层支持的安全治理的结果只有一个:失败确保资金、人员的支持管理层的支持在一定程度上说明信息安全治理顺从组织业务目标怎样得到管理层的支持?信息安全治理的最佳实践(信息安全治理的最佳实践(2 2)n没有规划的安全治理,结果也是失败信息安全治理是一个复杂的工程,没有规划只能失败信息安全治理的最佳实践(信息安全治理的最佳实践(3 3)n遵循标准才能少走弯路相关的标准与体系:ISO20000/270001ITIL,Cobit,COSO相关的法律:SOX302/404信息安全等级管理办法信息安全治理的最佳实践(信息安全治理的最佳实践(4 4)n信息资产分类/分级,实现有限投资的效益最大化信息资产分类/分级并不是简单的资产清点信息资产分类/分级为进一步的访问控制做准备信息资产的分类以业务流程为参照,分级以重要性为参照信息安全治理的最佳实践(信息安全治理的最佳实践(5 5)n建立纵深防御机制纵深防御机制被认为是解决信息安全的最佳方法,是指在信息系统中的多个点使用多种安全技术,从而减少攻击者利用关键业务资源或信息泄露到企业外部的总体可能性。在消息传递和协作环境中,纵深防御体系可以帮助管理员确保恶意代码或活动被阻止在基础结构内的多个检查点。这降低了威胁进入内部网络的可能性。怎样建立纵深防御机制?信息安全治理的最佳实践(信息安全治理的最佳实践(6 6)n预防为主,检测与纠正并举的安全控制措施安全问题发生的阶段越靠后,解决安全问题付出的代价越高。信息安全拒绝完美主义,不要试图消除所有的风险虽然不能消除所有的风险,但是可以管理所有风险信息安全治理的最佳实践(信息安全治理的最佳实践(7 7)n安全治理是一个动态的过程,而非一次孤立事件安全策略的建立不是安全的终点安全产品的部署也不是安全的终点安全治理根本没有终点,安全治理是一个循环公司业务目标的调整对信息安全的影响新技术、新产品的发展带来隐患或者机遇。wireless,IM,cc攻击等信息安全治理的最佳实践(信息安全治理的最佳实践(8 8)n安全治理的过程就是发现并消除短木板的过程信息安全的短木板在很多方面都存在以信息防泄漏为例,大多数网关设备能支持访问控制,能对邮件、网页、ftp等进行监控并过滤,但是仍然存在其他途径可以泄漏信息,包括移动介质、无线通讯、以及近来越来越普及的即时通讯工具。信息安全治理的最佳实践(信息安全治理的最佳实践(9 9)n安全的管理,归根结底是对人的管理人的安全意识、安全操作、安全技能信息安全中最重要的环节是人,最薄弱的环节也是人。人可以解决技术、产品所不能解决的问题,比如Social Engineering Attack人可以管理技术、产品的缺陷信息安全治理的最佳实践(信息安全治理的最佳实践(1010)n参照但不照搬最佳实践没有一个最佳实践能适应所有情况,包括上述9条:-)

    注意事项

    本文(信息安全与运维管理教材.ppt)为本站会员(红****)主动上传,淘文阁 - 分享文档赚钱的网站仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知淘文阁 - 分享文档赚钱的网站(点击联系客服),我们立即给予删除!

    温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。




    关于淘文阁 - 版权申诉 - 用户使用规则 - 积分规则 - 联系我们

    本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

    工信部备案号:黑ICP备15003705号 © 2020-2023 www.taowenge.com 淘文阁 

    收起
    展开