维保租赁
 
网络工程
咨询服务
网络安全
安全产品和提供服务
安全策略规划与实施
弱电工程
维保租赁
关于江申
   
 
网络安全\安全策略规划与实施
     

信息系统安全的基本理解

一、信息安全的定义
    保密性、完整性、可用性,信息资产的价值体现在以上三个特性,具有上述三个特性构成的信息资产是“安全”的,实现信息安全就是要保护信息资产的上述三个特性不被损害。

二、信息安全体系的构成涵盖三个方面
安全策略——包括各种策略、法律法规、规章制度、技术标准、管理标准等,是信息安全的最核心问题,是整个信息安全建设的依据;
安全管理——主要是人员、组织和流程的管理,是实现信息安全的落实手段;
安全技术——包含工具、产品和服务等,是实现信息安全的有力保证。

三、信息安全体系的核心任务
安全风险——是指由于安全事件造成了信息资产的损失从而给企业的经营活动带来危害的可能性。
 
     
安全风险与安全漏洞、安全威胁、信息资产的价值和安全防护措施的因素有关,安全风险存在这样一个特性:即你不可能完全消除它,只能尽可能的降低它。

风险控制:将企业所面临的安全风险降低到企业能够接受的程度。


四、实现信息安全体系的过程
安全过程:
          
安全策略:安全策略包括标准、指导方针和程序三个方面,安全策略的实现通过安全服务完成:
· 标准:依从ISO17799信息安全管理标准所规定的要素;
· 指导方针:根据企业面临的安全风险依据标准所规定的安全管理要素制定指导方针;
· 程序:具体的操作流程 

安全功能:以企业的安全策略为指导,部署必要的安全技术和产品实现以下三大功能:
· 防护:构成企业信息安全基石的安全功能,典型的包括:访问控制、认证/授权 、加密;
· 检测:能够实时掌握企业信息安全状态的安全手段,一般包括:漏洞检测,威胁检测,内容检测、行为检测等等。
· 响应:能够在企业信息安全被侵害后,迅速制止侵害,避免或降低损失,恢复信息安全体系、数据和服务的安全功能。

安全体系的实现:
· 评估:对企业的安全风险的评估,明确信息系统安全需求;
· 设计:实际能够满足企业安全需求的信息安全体系框架;
· 实施:根据安全体系设计方案部署、实施安全技术和产品,实现信息系统以信息安全为目的二次集成;
· 运/维(运行/维护):信息安全体系的正常运行和维护非常重要。只有良好的维护和管理才能保证信息安全体系的正常运行;只有安全体系运行良好,才能发挥保障信息系统安全的作用;
· 定期评估企业信息系统的安全风险状态,及时调整安全保障体系,才能保证企业信息系统应对不断变化的安全形势。
· 教育:对于企业员工和IT人员的安全教育是企业信息安全的基础。

 

Copyright 2001-2006 www.justnet.com.cn All rights reserved.
大连市高新园区黄浦路541号网络产业大厦1203/1204室  邮政编码:116024
  电话:0411-84541800 84542800    传真:0411-84755300   E-mail:admin@justnet.com.cn