信息安全管理

一:如何做好信息安全管理工作

作者结合工作实际阐述了计算机信息安全管理三个组件(风险评估、安全策略和安全教育),分析企事业单位信息安全面临的风险,提出制定企业的计算机信息安全管理的策略,以及如何进行安全知识教育提高企业人员的风险意识。   在信息安全领域,我们经常听到这样的信息被病毒、蠕虫造成了严重的破坏?黑客获取了信用卡的信息,大型网站主页被黑等等。大部分的人们对安全普遍认识是企业是否安装了安全产品(如:防火墙、入侵检测系统、防病毒系统等),通常只关心病毒、黑客入侵和操作系统的漏洞,然而这些只是安全广义概念中某些重要的组件。“七分管理三分技术”.在安全业界,信息安全管理是企业信息安全的核心的观念已被广泛接纳.计算机信息安全管理包括风险评估、安全策略和安全教育。这三个组件是企业安全规划的基础。   二、计茸机信安全的风险评估   风险分析是识别企业信息资产和关键资产的使用过程?这个是一个非常关键重要的过程,必须非常认真地执行。本质上?这就是确定你要试图保护什么,试图从谁那里保护它,以及准备如何保护它的过程。为了能够成功地进行风险分析,则必须很好地了解企业的运作方式,其工作和业务过程的方式,确定可能产生安全问题的设备和规程。风险应当被识别、分类,真实的风险是很难估量的,但是对潜在风险进行估量是可取的。在考虑企业的信息安全时,必须重视如下的几种风险:( 1)物理破坏火灾、水灾、电源损坏等; (2)人为错误偶然的或不经意的行为造成破坏;( 3)设备故障系统及外围设备的故障;( 4)内、外部攻击内部人员、外部黑客的有无目的的攻击;(5)数据误用共享机密数据,数据被窃;( 6)数据丢失故意或非故意的以破坏方式丢失数据:( 7)程序错计算错误、输入错误、缓冲区溢出等。   风险评估是识别各种潜在的威胁,由于计算机网络的复杂性、开放性和共享性,网络信息系统自身的脆弱性,如操作系统的漏洞、网络协议的缺陷、通信线路的不稳定、人为因素等,都会给网络信息系统的安全带来威胁。   三、对计算机信息安全问.翻定安全策   企业的计算机信息是否安全,其核心是管理。企业的安全策略是对企业信息管理的重要手段,任何获准访问某个机构技术和信息资产的人员,都必须遵守这些规则。安全策略由高级管理部门制定,在不妨碍企业员工和用户从事他们正常的工作下,确保企业的网络系统运行在一种合理的安全状态。以下是一些常见的安全策略。

二:信息安全管理体系的特征包括哪些

信息安全管理体系认证的特征包括:

(一)它代表现代企业或政府机构思考如何真正发挥信息安全的作用和如何最优地作出质量决策的一种观点。

(二)它是深入细致的质信息安全管理文件的基础。

(三)信息安全体系是使公司内更为广泛的信息安全活动能够得以切实管理的基础。

(四)信息安全体系是有计划、有步骤地把整个公司主要信息安全活动按重要性顺序进行改善的基础。

三:建立信息安全管理体系的作用和意义

建立健全信息安全管理体系对企业的安全管理工作和企业的发展意义重大。首先,此体系的建立将提高员工信息安全意识,提升企业信息安全管理的水平,增强组织抵御灾难性事件的能力,是企业信息化建设中的重要环节,必将大大提高信息管理工作的安全性和可靠性,使其更好地服务于企业的业务发展。其次,通过信息安全管理体系的建设,可有效提高对信息安全风险的管控能力,通过与等级保护、风险评估等工作接续起来,使得信息安全管理更加科学有效。最后,信息安全管理体系的建立将使得企业的管理水平与国际先进水平接轨,从而成长为企业向国际化发展与合作的有力支撑。

四:信息安全管理的基本原理是什么?

信息安全管理的基本原理

为了确保网络系统安全,网络安全管理必须坚持以下基本原则:

(l)多人负责原则

为了确保安全严格管理职、责明确落实,对各种与系统安全有关事项,如同管理重要财物一样都应由多人负责并在现场当面认定签发。系统主管领导应指定忠诚可靠,且具有丰富实际工作经验、胜任工作的人员作为网络系统安全负责人,同时明确安全指标、岗位职责和任务,安全管理员应及时签署安全工作情况记录,表明安全工作保障落实和完成情况。

需要签发的与安全有关的主要事项包括:

1) 访问控制使用的证件发放与收回;

2)信息处理系统使用的媒介发放与收回;

3) 所有处理的保密信息;

4)业务应用软件和硬件的修改和维护;

5)系统软件的设计、实现、修改和维护;

6)重要程序和数据的增删改与销毁等。

(2) 有限任期原则

安全人员不应长期担任与安全有关的职务,以免产生占有或永久性保险职位观念,可以通过强制休假、培训或轮换岗位等方式进行调整。

(3) 职责分离原则

从事计算机网络系统的人员应当各司其职、各负其责、各有不同的业务权限,除了系统主管领导批准的特殊情况除外,不应询问或参与职责以外的任何与安全有关的事务。

以下内容中的两项具体工作应当分开,由不同人员完成:

1) 应用程序和系统程序的研发编制;

2) 实际业务系统的检查及验收;

3) 计算机及其网络信息的具体实际业务操作;

4) 计算机网络管理和系统维护工作;

5)各种机密资料的接收和传送;

6)具体的安全管理和系统管理;

7)系统访问证件的管理与其他工作;

8)计算机操作与信息处理系统使用存储介质的保管等。

计算机网络系统的安全管理部门应根据管理原则和系统处理数据的保密性,制定相应的管理制度,并采取相应的安全管理规范。具体工作包括:

1) 根据业务的重要程度,确定该系统的具体安全等级;

2) 根据安全等级,确定安全管理的具体范围;

3) 健全和完善“网络/信息中心”机房出入管理制度。

对于安全等级要求较高的系统,应实行分区管理与控制,限制工作人员出入与本职业务无直接关系的重要安全区域。

(4) 严格操作规程

根据规定的安全操作规程要求,严格坚持职责分离和多人负责的原则,所有业务人员都要求做到各司其职、各负其责,不能超越各自的管辖权限范围。特别是国家安全保密机构、银行证券等单位和财务机要部门等。

(5)系统安全监测和审计制度

建立健全系统安全监测和审计制度,确保系统安全,并能够及时发现、及时处理。有关具体防范技术和方法,将在第4章和第5章进行具体介绍。

(6)建立健全系统维护制度

系统维护人员在系统维护之前必须经过主管部门批准,并采取数据保护措施,如数据备份等。在进行系统维护时,必须有安全管理人员在场,对于故障的原因、维护内容和维护前后的情况应详细认真记录并进行签字。

(7)完善应急措施

主要制定并完善业务系统在出现意外的紧急情况下,能够尽快恢复的应急对策和措施,将损失减到最小程度。同时建立健全相关人员聘用和离职调离安全保密制度,对工作调动和离职人员要及时调整相应的授权。

(见:机械工业出版社《网络安全管理及实用技术》贾铁军主编)...余下全文>>

五:对信息安全与管理的认识

兄弟,你这个问题好广泛啊

浅谈我对信息安全的认识

随着信息技术的不断发展,网络信息的安全问题也受到了威胁。本文主要从网络信息安全的定义、影响因素、防御措施几个方面进行阐述,希望可以一定程度的提升我国网络信息的安全程度。

如今的信息发展速度是飞快的,我们的通信与网络之间的联系也越来越紧密。此种情况下一定程度的促进了网络的迅速发展,不可否认的是网络通信在日益腾飞的今天,它的安全问题也逐渐受到消费者的重视,对于维护网络通信的安全压力也越来越大。网络通信的天然属性就是开放,与此同时开放性的存在也导致了许多安全方面的漏洞,随着内外安全环境的日益恶化,诸如信息窃取或者网络攻击的活动也逐渐变得猖獗。同时网络的恶意行为趋势也渐渐变得明显,在一定程度上充分的引起了我们的注重。许多有组织的集团或者骇客攻击的存在都严重影响着我国网络的通信安全。

一、网络的通信安全

在对网络的通信安全进行定义时需要从多方面来考虑。其定义从国际化的角度看来可以是信息的可用性、可靠性、完整性以及保密性。一般情况下网络通信安全指的是依据网络的特性由相关的安全技术以及预防计算机的网络硬件系统遭迫害所采取的措施服务。

(一)影响网络通信安全的因素

首先就是软硬件的设施。许多的软硬件系统一开始是为了方便管理才事先设置了远程终端登录的控制通道,这样会极大程度的加大了病毒或者黑客攻击的漏洞。除此之外很多软件在一开始设计时虽然会将种种安全的因素考虑进去,但不可避免的时间一长就会出现缺陷。在出现问题后就需要立即发布补丁来进行漏洞弥补。与此同时一些商用的软件源程序会逐渐变得公开或者半公开化的形态,这就使得一些别有用心的人轻易找到其中漏洞进行攻击。在一定程度上使得网络的通信安全受到威胁。

其次就是人为的破坏。某些计算机的内部管理员工由于缺乏一定的安全意识以及安全技术,利用自身的合法身份进到网络中,从事一些破坏、恶意窃取的行为。最后就是TCP/IP的服务比较脆弱,由于因特网的基本协议就是TCP/IP 协议,这个协议的设计虽然比较有实效但是安全因素比较匮乏。这样就会增大代码的量,最终也会导致TCP/1P 的实际运行效率降低。因此TCP/IP其自身的设计就存在着许多隐患。许多以TCP/IP为基础的应用服务比如电子邮件、FTP等服务都会在不同的程度受到安全威胁。 (二)常用的几种通信安全技术

比较常用的有数据加密技术,所谓的加密就是将明文转化为密文的过程。还有数字签名的技术,这时一种对某些信息进行研究论证的较有效手段。除此之外访问控制也是一种有效地安全技术,这一种形式的机制就是利用实体的能力,类别确定权限。

二、通信网络的安全防护措施

正是由于通信网络的功能逐渐变得强大,我们的日常生活也越来越离不开

它,因此我们必须采取一系列有效措施来将网络的风险降到最低。 (一)防火墙技术

通常情况下的网络对外接口所使用的防火墙技术可以使得数据、信息等在进行网络层访问时产生一定的控制。经过鉴别限制或者更改越过防火墙的各种数据流,可以实现网络安全的保护,这样可以极大限度的对网络中出现的黑客进行阻止,在一定层面上可以防止这些黑客的恶意更改、随意移动网络重要信息的行为。防火墙的存在可以防止某些Internet中不安全因素的蔓延,是一种较有效地安全机制,因此防火墙可以说是网络安全不可缺少的一部分。 (二)身份的认证技术

经过身份认证的技术可以一定范围内的保证信息的完整机密性。 (三)入侵的检......余下全文>>

六:网络安全管理包括什么内容?

网络安全管理是一个体系的东西,内容很多

网络安全管理大体上分为管理策略和具体的管理内容,管理内容又包括边界安全管理,内网安全管理等,这里给你一个参考的内容,金牌网管员之网络信息安全管理,你可以了解下:

www.ean-info.com/2009/0908/100.html

同时具体的内容涉及:

一、信息安全重点基础知识

1、企业内部信息保护

信息安全管理的基本概念:

信息安全三元组,标识、认证、责任、授权和隐私的概念,人员角色

安全控制的主要目标:

安全威胁和系统脆弱性的概念、信息系统的风险管理

2、企业内部信息泄露的途径

偶然损失

不适当的活动

非法的计算机操作

黑客攻击:

黑客简史、黑客攻击分类、黑客攻击的一般过程、常见黑客攻击手段

3、避免内部信息泄露的方法

结构性安全(PDR模型)

风险评估:

资产评估、风险分析、选择安全措施、审计系统

安全意识的培养

二、使用现有安全设备构建安全网络

1、内网安全管理

内网安全管理面临的问题

内网安全管理实现的主要功能:

软硬件资产管理、行为管理、网络访问管理、安全漏洞管理、补丁管理、对各类违规行为的审计

2、常见安全技术与设备

防病毒:

防病毒系统的主要技订、防病毒系统的部署、防病毒技术的发展趋势

防火墙:

防火墙技术介绍、防火墙的典型应用、防火墙的技术指标、防火墙发展趋势

VPN技术和密码学:

密码学简介、常见加密技术简介、VPN的概念、VPN的分类、常见VPN技术、构建VPN系统

IPS和IDS技术:

入侵检测技术概述、入侵检测系统分类及特点、IDS结构和关键技术、IDS应用指南、IDS发展趋势、入侵防御系统的概念、IPS的应用

漏洞扫描:

漏洞扫描概述、漏洞扫描的应用

访问控制:

访问控制模型、标识和认证、口令、生物学测定、认证协议、访问控制方法

存储和备份:

数据存储和备份技术、数据备份计划、灾难恢复计划

3、安全设备的功能和适用范围

各类安全设备的不足

构建全面的防御体系

三、安全管理体系的建立与维护

1、安全策略的实现

安全策略包含的内容

制定安全策略

人员管理

2、物理安全

物理安全的重要性

对物理安全的威胁

对物理安全的控制

3、安全信息系统的维护

安全管理维护

监控内外网环境

七:信息安全管理角度,如何进行账号管理?

以下摘自谷安天下顾问的文章

建议企业对各类帐号进行严格管理,包括基本帐号(员工入职后默认都需开通的帐号,例如川箱帐号,OA帐号,所在部门的公共文件夹等)、工作所需的各类应用系统帐号(通常根据岗位职责所需开通的帐号)、特殊权限的帐号(例如应用系统管理员的帐号,数据库管理员的帐号,域管理员的帐号等),VPN等特殊应用的帐号。从管理角度,不同类别的帐号申请需要不同级别的管理人员授权,一方面企业需清晰识别各类账号并定义申请流程和授权方式;同时也需要保留必要的申请记录以便查证,及测量体系实施的有效性。从使用角度,需要加强对员工的培训并制定必要的规范(例如不允许帐号共享,密码定期修改等策略),以确保帐号不被滥用误用,从而降低信息安全事件的发生。

八:什么是ISO27001信息安全管理体系

ISO27000信息安全管理

ISO27001信息安全管理体系标准的发展

随着在世界范围内,信息化水平的不断发展,信息安全逐渐成为人们关注的焦点,世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准,国际标准化组织(ISO)也发布了ISO17799、ISO13335、ISO15408等与信息安全相关的国际标准及技术报告。目前,在信息安全管理方面,英国标准ISO2700:2005已经成为世界上应用最广泛与典型的信息安全管理标准,它是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成。ISO27001标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准,并且适用于大、中、小组织。1998年英国公布标准的第二部分《信息安全管理体系规范》,它规定信息安全管理体系要求与信息安全控制要求,它是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为一个正式认证方案的根据。ISO2700:2005-1与ISO2700:2005-2经过修订于1999年重新予以发布,1999版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时还非常强调了商务涉及的信息安全及信息安全的责任。2000年12月,ISO2700:2005-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准-----ISO/IEC17799-1:2000《信息技术-信息安全管理实施细则》。2002年9月5日,ISO2700:2005-2:2002草案经过广泛的讨论之后,终于发布成为正式标准,同时ISO2700:2005-2:1999被废止。现在,ISO2700:2005标准已得到了很多国家的认可,是国际上具有代表性的信息安全管理体系标准。目前除英国之外,还有荷兰、丹麦、澳大利亚、巴西等国已同意使用该标准;日本、瑞士、卢森堡等国也表示对ISO2700:2005标准感兴趣,我国的台湾、香港也在推广该标准。许多国家的政府机构、银行、证券、保险公司、电信运营商、网络公司及许多跨国公司已采用了此标准对自己的信息安全进行系统的管理。截至2002年9月,全球共有142家各类组织通过了ISO2700:2005信息安全管理体系认证。

目 录 摘 要

基础 知识

00 信息安全事件集锦

01 信息安全相关的术语和定义

1.01 信息安全

1.02 保密性

1.03 完整性

02 BS 7799、ISO17799和ISO27001的基本知识

ISO17799:2005介绍

ISO17799基础知识

ISO27000系列标准介绍

风险评估基础

03 信息安全管理体系认证认可基础知识

ISMS不符合项的种类有哪些?

ISMS内部审核策划阶段应做好哪些工作?

ISMS认证是否是终身有效的?

ISMS审核报告中具体应该包括哪些内容?

04 我国信息安全法律法规和标准化

我国信息安全标准化

我国信息安全法律法规

05 信息安全资格考试相关知识

5.1 CISP

5.2 CISSP

5.3 BS7799 主任审核员

5.4 ITIL

5.5 CISA

5.6 信息安全相关技术文档

......余下全文>>

九:什么是信息安全管控?

用户首次激活龚号卡时必须在网上登记姓名、身份证等用户资料(经过身份验证),同时用户每次上网系统均保存相关记录(端口信息、用户帐号),以提供给相关政府部门备案及有需要的时候进行核查。谢谢您对电信产品的关注,祝您生活愉快。 如果以上信息没有解决您的问题,也可登录广东电信手机商城(m.gd.189.cn),向在线客服求助,7X24小时在线喔!

十:信息安全技术和信息安全管理有多大区别,两者的关系是怎样的?

信息安全管理主要包括:安全策略;内控制度建设; 风险管理状况; 系统安全性; 业务运行连续性计划; 业务运行应急计划; 风险预警体系; 其他重要安全环节和机制的管理。

信息安全技术主要包括: 物理安全; 数据通讯安全; 网络安全; 应用系统安全; 密钥管理; 客户信息认证与保密; 入侵监测机制和报告反应机制

一般说7份管理3分技术,技术和管理应该是相辅相成的,缺哪个都不行,重要的是找好平衡

建议你看一下iso27001等国外标准,如果有需要我可以提供更多资料

扫一扫手机访问

发表评论