信息安全與運維管理

上傳人:good****022 文檔編號:119708566 上傳時間:2022-07-15 格式:PPT 頁數(shù):37 大?。?16.50KB
收藏 版權(quán)申訴 舉報 下載
信息安全與運維管理_第1頁
第1頁 / 共37頁
信息安全與運維管理_第2頁
第2頁 / 共37頁
信息安全與運維管理_第3頁
第3頁 / 共37頁

下載文檔到電腦,查找使用更方便

20 積分

下載資源

還剩頁未讀,繼續(xù)閱讀

資源描述:

《信息安全與運維管理》由會員分享,可在線閱讀,更多相關(guān)《信息安全與運維管理(37頁珍藏版)》請在裝配圖網(wǎng)上搜索。

1、提綱,什么是信息安全 什么是IT運維 信息安全與IT運維的關(guān)系 怎樣開展信息安全工作 信息安全最佳實踐 信息安全工作模型,什么是信息安全?(1),關(guān)于信息安全的定義很多,國內(nèi)外、不同組織給出不同的定義,但我們可以找出其中共性的部分 國內(nèi)學者的定義:“信息安全保密內(nèi)容分為:實體安全、運行安全、數(shù)據(jù)安全和管理安全四個方面?!?我國“計算機信息系統(tǒng)安全專用產(chǎn)品分類原則”中的定義是:“涉及實體安全、 運行安全和信息安全三個方面。” 我國相關(guān)立法給出的定義是:“保障計算機及其相關(guān)的和配套的設備、設施(網(wǎng)絡)的安全,運行環(huán)境的安全,保障信息安全,保障計算機功能的正常發(fā)揮,以維護計算機信息系統(tǒng)的安全”。這里

2、面涉及了物理安全、運行安全與信息安全三個層面。,什么是信息安全?(2),國家信息安全重點實驗室給出的定義是:“信息安全涉及到信息的機密性、完整性、可用性、可控性。綜合起來說,就是要保障電子信息的有效性。” 英國BS7799信息安全管理標準給出的定義是:“信息安全是使信息避免一系列威脅,保障商務的連續(xù)性,最大限度地減少商務的損失,最大限度地獲取投資和商務的回報,涉及的是機密性、完整性、可用性?!?什么是信息安全?(3),美國國家安全局信息保障主任給出的定義是:“因為術(shù)語信息安全一直僅表示信息的機密性,在國防部我們用信息保障來描述信息安全,也叫IA。它包含5種安全服務,包括機密性、完整性、可用性、

3、真實性和不可抵賴性?!?國際標準化委員會給出的定義是:“為數(shù)據(jù)處理系統(tǒng)而采取的技術(shù)的和管理的安全保護,保護計算機硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞、更改、顯露”。,什么是信息安全信息安全目標總結(jié),信息安全的目標 機密性 Confidentiality 完整性 Integrity 可用性 Availability 可控性 controllability 真實性 Authenticity 不可否認性 Non-repudiation,什么是信息安全涵蓋內(nèi)容總結(jié),信息安全的涵蓋內(nèi)容 物理安全 網(wǎng)絡安全 主機安全 應用安全 數(shù)據(jù)安全 安全管理,提綱,什么是信息安全 什么是IT運維 信息安全

4、與IT運維的關(guān)系 怎樣開展信息安全工作 信息安全最佳實踐 信息安全工作模型,什么是IT運維?互聯(lián)網(wǎng)定義,IT運維是IT管理的核心和重點部分,也是內(nèi)容最多、最繁雜的部分,該階段主要用于IT部門內(nèi)部日常運營管理,涉及的對象分成兩大部分,即IT業(yè)務系統(tǒng)和運維人員,可細分為七個子系統(tǒng): 設備管理:對網(wǎng)絡設備、服務器備、操作系統(tǒng)運行狀況進行監(jiān)控 應用/服務管理:各種應用軟件與服務 數(shù)據(jù)/存儲/容災管理:對系統(tǒng)和業(yè)務數(shù)據(jù)進行統(tǒng)一存儲、備份和恢復 業(yè)務管理:對組織業(yè)務系統(tǒng)的監(jiān)控與管理,CSF/KPI 目錄/內(nèi)容管理:組織的對內(nèi)、外信息的管理 資產(chǎn)管理:包括物理與邏輯資產(chǎn) 信息安全管理: 日常工作管理:職責分

5、工,績效考核,知識平臺整理等,什么是IT運維我的定義,組織為實現(xiàn)業(yè)務目標而針對IT系統(tǒng)所采取的一切管理的總和,可以分為兩類:服務支持管理與服務交付管理。 服務支持包括: 事故管理 問題管理 配置管理 變更管理 發(fā)布管理 服務交付包括: 可用性管理 能力管理 服務水平管理 外包管理,什么是IT運維總結(jié),IT運維的目標 支撐組織業(yè)務目標 IT運維的內(nèi)容 服務交付 服務支持 IT運維 ITIL + Cobit + CISA + ISO20000,提綱,什么是信息安全 什么是IT運維 信息安全與IT運維的關(guān)系 怎樣開展信息安全工作 信息安全最佳實踐 信息安全工作模型,信息安全與IT運維的關(guān)系(1),安

6、全是IT運維的重要組成模塊,對于某些行業(yè)是關(guān)鍵模塊 IT運維旨在謀求安全性與方便性 安全保障著價值 安全正在創(chuàng)造價值. 網(wǎng)上銀行的安全性吸引了更多的消費者 商業(yè)秘密的安全措施使得組織更具競爭力 電子簽名法的出臺打消了使用者的安全疑慮 具有安全認證與強大容災能力的郵件系統(tǒng)才能擁有海量的用戶,信息安全與IT運維的關(guān)系(2),安全與IT運維共有一個衡量標尺:組織業(yè)務目標 業(yè)務需求驅(qū)動信息安全與IT運維需求 信息安全與IT運維方案要適應業(yè)務流程 信息安全與IT運維方案要支撐業(yè)務的可持續(xù)發(fā)展 業(yè)務目標的調(diào)整驅(qū)使安全與IT運維的調(diào)整 投資與企業(yè)戰(zhàn)略、風險狀況密切相關(guān),信息安全與IT運維的關(guān)系(3),安全貫

7、穿了IT運維整個生命周期 安全與IT運維都是一個過程,而不是一次事件 每個IT運維流程都影響著安全的一個或者多個目標(C.I.A) 失去安全的IT運維是失敗的運維 安全的成熟度模型與IT運維的標桿管理是吻合的,信息安全與IT運維的關(guān)系(4),IT運維與信息安全的融合 安全公司試水運維,安全產(chǎn)品強化管理、監(jiān)控功能,支持IT運維 運維支持類產(chǎn)品引入安全概念、集成安全技術(shù) 信息安全融入IT運維流程中 相關(guān)標準的認證工作可以同時進行(ISO20000/270001),信息安全與IT運維的關(guān)系(5),IT運維的趨勢彰示著安全的未來 IT運維的標準化符合安全的“縱深防御”的理念 IT運維的流程化提高了安全

8、的可管理性,為改進安全工作提供條件 IT運維的自動化減少了人為失誤,降低了安全的成本,提綱,什么是信息安全 什么是IT運維 信息安全與IT運維的關(guān)系 怎樣開展信息安全工作 信息安全最佳實踐 信息安全工作模型,怎樣開展信息安全治理(1),1、規(guī)劃 根據(jù)組織業(yè)務與組織文化,制定安全目標 對組織進行風險評估 制定安全基線,怎樣開展信息安全治理(2),2、實施 根據(jù)安全基線,制定安全建設計劃、投資回報計劃 建立信息安全管理框架, 融合各種安全技術(shù)、產(chǎn)品,建設組織安全保障體系。 對關(guān)鍵流程制定BCP/DRP計劃,怎樣開展信息安全治理(3),3、評估 參照Cobit,開展信息系統(tǒng)審計 根據(jù)組織的業(yè)務流程,

9、建立基于“平衡積分卡”的績效考評機制 逐步分解“平衡積分卡”為若干個KPI/KGI/Metrics等,參照安全基線發(fā)現(xiàn)差距 在盡量不影響業(yè)務連續(xù)性的前提下,采取有效演練手段,確保BCP、DRP的有效性,怎樣開展信息安全治理(4),4、維護 根據(jù)評估結(jié)果,進行流程改進 標桿管理,提高安全系統(tǒng)成熟度 持續(xù)改進,永不停止,怎樣開展信息安全治理(5),關(guān)于人. 上述步驟中,并沒有列出“人”的因素,其實在整個安全治理工作中,“人”是最關(guān)鍵的因素。 對人的安全意識的培養(yǎng)、安全技能的教育伴隨著整個安全治理工作全程,不會僅限于某個特定步驟,怎樣開展信息安全治理(6),關(guān)于安全成熟度. 系統(tǒng)安全工程能力成熟模型

10、(SSE-CMM)描述了一個組織的安全工程過程必須包含的本質(zhì)特征,這些特征是完善的安全工程保。包括6級。 SSE-CMM0: 未實施級 SSE-CMM1: 非正式實施級 執(zhí)行基本實施 SSE-CMM2: 計劃和跟蹤級 規(guī)劃執(zhí)行,規(guī)范化執(zhí)行,驗證執(zhí)行,跟蹤執(zhí)行 SSE-CMM3: 已定義級 定義標準過程,執(zhí)行已定義過程,協(xié)調(diào)實施 SSE-CMM4: 可管理級 建立可測的質(zhì)量目標,客觀的管理執(zhí)行 SSE-CMM5: 持續(xù)改進級 改進組織能力,改進過程有效性,怎樣開展信息安全治理(7),關(guān)于績效考評與平衡計分卡 沒有績效考評無法度量信息安全治理的輸出 一般來講,平衡計分卡從如下4個角度進行 財務角度

11、 成本預算、投資回報等 客戶角度 服務質(zhì)量、客戶滿意度、需求解決、高效的IT服務臺等 企業(yè)內(nèi)部運營 業(yè)務流程效率、登錄時間、故障發(fā)生率、故障平均修復時間 學習與成長 人才培養(yǎng),技能發(fā)展等,提綱,什么是信息安全 什么是IT運維 信息安全與IT運維的關(guān)系 怎樣開展信息安全工作 信息安全最佳實踐 信息安全工作模型,信息安全治理的最佳實踐(1),沒有管理層支持的安全治理的結(jié)果只有一個:失敗 確保資金、人員的支持 管理層的支持在一定程度上說明信息安全治理順從組織業(yè)務目標 怎樣得到管理層的支持?,信息安全治理的最佳實踐(2),沒有規(guī)劃的安全治理,結(jié)果也是失敗 信息安全治理是一個復雜的工程,沒有規(guī)劃只能失敗

12、,信息安全治理的最佳實踐(3),遵循標準才能少走彎路 相關(guān)的標準與體系: ISO20000/270001 ITIL,Cobit,COSO 相關(guān)的法律: SOX302/404 信息安全等級管理辦法,信息安全治理的最佳實踐(4),信息資產(chǎn)分類/分級,實現(xiàn)有限投資的效益最大化 信息資產(chǎn)分類/分級并不是簡單的資產(chǎn)清點 信息資產(chǎn)分類/分級為進一步的訪問控制做準備 信息資產(chǎn)的分類以業(yè)務流程為參照,分級以重要性為參照,信息安全治理的最佳實踐(5),建立縱深防御機制 縱深防御機制被認為是解決信息安全的最佳方法,是指在信息系統(tǒng)中的多個點使用多種安全技術(shù),從而減少攻擊者利用關(guān)鍵業(yè)務資源或信息泄露到企業(yè)外部的總體可

13、能性。在消息傳遞和協(xié)作環(huán)境中,縱深防御體系可以幫助管理員確保惡意代碼或活動被阻止在基礎(chǔ)結(jié)構(gòu)內(nèi)的多個檢查點。這降低了威脅進入內(nèi)部網(wǎng)絡的可能性。 怎樣建立縱深防御機制?,信息安全治理的最佳實踐(6),預防為主,檢測與糾正并舉的安全控制措施 安全問題發(fā)生的階段越靠后,解決安全問題付出的代價越高。 信息安全拒絕完美主義,不要試圖消除所有的風險 雖然不能消除所有的風險,但是可以管理所有風險,信息安全治理的最佳實踐(7),安全治理是一個動態(tài)的過程,而非一次孤立事件 安全策略的建立不是安全的終點 安全產(chǎn)品的部署也不是安全的終點 安全治理根本沒有終點,安全治理是一個循環(huán) 公司業(yè)務目標的調(diào)整對信息安全的影響 新

14、技術(shù)、新產(chǎn)品的發(fā)展帶來隱患或者機遇。wireless,IM,cc攻擊等,信息安全治理的最佳實踐(8),安全治理的過程就是發(fā)現(xiàn)并消除短木板的過程 信息安全的短木板在很多方面都存在 以信息防泄漏為例,大多數(shù)網(wǎng)關(guān)設備能支持訪問控制,能對郵件、網(wǎng)頁、ftp等進行監(jiān)控并過濾,但是仍然存在其他途徑可以泄漏信息,包括移動介質(zhì)、無線通訊、以及近來越來越普及的即時通訊工具。,信息安全治理的最佳實踐(9),安全的管理,歸根結(jié)底是對人的管理 人的安全意識、安全操作、安全技能 信息安全中最重要的環(huán)節(jié)是人,最薄弱的環(huán)節(jié)也是人。 人可以解決技術(shù)、產(chǎn)品所不能解決的問題,比如Social Engineering Attack 人可以管理技術(shù)、產(chǎn)品的缺陷,信息安全治理的最佳實踐(10),參照但不照搬最佳實踐 沒有一個最佳實踐能適應所有情況,包括上述9條:-),提綱,什么是信息安全 什么是IT運維 信息安全與IT運維的關(guān)系 怎樣開展信息安全工作 信息安全最佳實踐 信息安全工作模型,信息安全工作模型(圖),

展開閱讀全文
溫馨提示:
1: 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

相關(guān)資源

更多
正為您匹配相似的精品文檔

相關(guān)搜索

關(guān)于我們 - 網(wǎng)站聲明 - 網(wǎng)站地圖 - 資源地圖 - 友情鏈接 - 網(wǎng)站客服 - 聯(lián)系我們

copyright@ 2023-2025  zhuangpeitu.com 裝配圖網(wǎng)版權(quán)所有   聯(lián)系電話:18123376007

備案號:ICP2024067431-1 川公網(wǎng)安備51140202000466號


本站為文檔C2C交易模式,即用戶上傳的文檔直接被用戶下載,本站只是中間服務平臺,本站所有文檔下載所得的收益歸上傳人(含作者)所有。裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對上載內(nèi)容本身不做任何修改或編輯。若文檔所含內(nèi)容侵犯了您的版權(quán)或隱私,請立即通知裝配圖網(wǎng),我們立即給予刪除!

五月丁香婷婷狠狠色,亚洲日韩欧美精品久久久不卡,欧美日韩国产黄片三级,手机在线观看成人国产亚洲