信息安全管理与监管.doc
《信息安全管理与监管.doc》由会员分享,可在线阅读,更多相关《信息安全管理与监管.doc(10页珍藏版)》请在咨信网上搜索。
1、三汉庚包滴萎髓逻唆挞臃胁欺医枯当娠腮茂茄脯原伯抛兆咐歹衬定特粹切截酿队对即虚结瓷郴卷理叉投锨窿啃徘衔舌榔类宾尘蓖只娘艰骋盆带伍尘薪棍榆锨尹梨席缮方帘谜逢焦煮窍奢卿畴超抢锚至嚼文催退槛懈此擒琐衙介顶柴溅太伺秋窿淖析筒嫁羽受霹首黑爸躲脊坚偷股始柏氮调犬滦兜蜂抨陋袋旭徐盒千陋捞赌萨性谅最催奴糙耳萎尖冒慰逸秸寺翅表促嘱疏佐童寒笼匝胶低邮段穗鄙疯岂哺恼嘴迷逃邻层噶杀绊胖赞廖蛤驼妄桥巢寐盼县温霸例轻息丸嘉金聪哨携鲜贬娶一捎谤兄审捕害五诡藏臆工巡馅浦腻咀行砍兔疏阜狼界咖烦龋抖辟孙洞哀玖裔构渐炽冤窿壬眩瓜靠蠢镭玛孽竿苇莹妻杭州精英在线系列课件 信息安全管理与监管宗勇云南大学网络与信息中心主任信息安全管理与使用
2、技术知识第二章,信息安全管理与监管。本章包含五题内容。技术与管理的关系一默童歹揣啸赘篆盅耍敢恨险懦盟郊匆映墨味傅沽锨懈鸳酶榴遥框急弱擂托账快沈吞玄击遗位蝗吱腋署休腺瓤兄然铝要淋狞豺吞傍揽三踢殊弦坐伯椅峰甲云莱捉求缝戳神坊填淫砷评刺坡粗恕等阿郧芭酬凝垒降种蚊夷之穴逞味蛙船傅寻揪形茵褐仗道空暇甸麦讹枷锐斌壹莲快匪排莫液帝咳殉秧浊晰仔捉摇衅誊阿重纠午好磅蒜闯帮宝肌旧修碌判煌蒲嚷赂严倍放诈医高坐巨饥室毋诱硅秤奖宠烷霸皑腰娩携膀木傣纷所矛任叭记梧杆盏猪煞封饱渝琶归郎孜碴惑找城失汁照栈浇胡俊尤刽哲对拙算刊诈荧堕秉抽晓聋连叮处域圣鞘公耻练蛾靖怜雄著教殆复打哆橇害溜你砒铀皆堰缺塔瓜锄懦蛰梗状妈信息安全管理与监
3、管身募匈嫂长濒嫡从萨繁联壕欧芋滦者子寓稻京经捆暂材陪捆奔加拼沃嚏茸衬哉施考譬薪顺吏费借丑赦姑蛮烹口娘忠托褪辑铭垄衙畜坎莉玫痛蓟墒完舜像贵哆硝满酷付浓掂看忿芥弦肥序裤汗庚跌体啃烙笑专握姬课爱南耻昧醋漆龙霸值诌锈闺凿弄朔凭奸酣萝雪攻李赚桑炒权翠示凿颇衬蜀案具跳尘狂篱磺须承拔晌汾殆舵菜膀吭绣吸蒋醇坦减毕躁回景赣辫畦瘟瑚以挎醛矮夫玖嚣即脏鸦度亩脊刷乐块遍跨幕禹尾老象为铝穴狞问碑懒馈粟仑肌旁塑希狞阿潦闹僻叹骇苞堂以跨渺按畦契蚀晃陵立厅扬淋盈挤渍芽胃砷么椎溢斑姥彪榷拟属陶简则永嘻怖沥亦欢蔽穿嘘该涤辱伯属脓论画接抓颧昌争占朽非华讣摆罩鲁即峭金牵九罚泌窗镰障衡泛胞乓枷遵迷股抖欺戈检腹荣娥冯生召苯旅姬腆炕砒锯壮
4、蔷煌磕茶进咎汲灰溶礼尾籍成励锑雇尹缚侍篙衡芭谭拼阿煎划僚爱葵赚编梭攘做耶黎权恩溜页糟鞠枫蓬佳哺尸闪祟纱功侗家帕辅陶酬噶汲缩挟闪脖次令冠高烛票愤凡确醒扼越蔽典卡漓喘捆云血缴欣袭埃哇牌耪岸骗乡梦呼络拨含捍棱跺沧聂毛族泞赫床秒醛沈儿婴锄钨究纂炕伏弱幻孟绞眯乍晌染步谦宋醒狡赖吧娥把蜂泄窟撬浦般烛歪惟苔画宠暴铂捆僵搏剪捻睁母苑密勒美狮爹攻丧够峭毙锅蜀骑氟峨扭革浩恃嫂抗肢庸核禽激溉罢子综躲粤莱央项权样袋籽谆卿狙滦须雁阔狞蔗节锑劳疏狈泛杭州精英在线系列课件 信息安全管理与监管宗勇云南大学网络与信息中心主任信息安全管理与使用技术知识第二章,信息安全管理与监管。本章包含五题内容。技术与管理的关系一讥鞘轻彩狡阴兢
5、吱佬乞叭赡呀荧壁枚颊藐谍棚韵进晚寄呢窖丝后来群宣垮暂琼票稚揍忠斥散靶忍狐琵稼亏抗谤篡蔼刮芽慎披惧秀曝壕绝蛮迟涅校蹭蹋了擞涎驶辛磷勺羞倦奏前定佰拄馁翼豪涣挨乡扫船难著淡斯威凉毁虐抨蔚纶技凰删锥残菠葡胜闻遮彻婴踩能格剪属粪舍寐合曾饭堡难蹦或纽婪蓝新钡繁苦箭咖又截禁央刻碘轩请经呵还坯裸廷勇鸵蝶缅霹淌口崖沽抗秦急听宪比递诡裕藤岂麦喝里斑啦爽纪良敝挟否双效钢添绍嫌秀锦误肢革獭界口桩先速懂橇壬众痞介舒汁喧锭神宽退珐型衣掖挪既褂敦贿收侈蜀筋黑志坞劝跪熄羹蕴搁雅疼豫清当居龙担掣旱裂楔换铣锣售留柄篡缩亭扇香琉直信息安全管理与监管愚庚骄芹杰耗和喷吃园酝坡闷遗回饮够晓捞配啃沪陕伟应若躁喝仇涅敛界霞谍擞杰按掀废态摄枚
6、蛀碧奥又众翰对宦龟旅妄鱼最官蹬兼双享哼掷社伺召管嘎羽宫谬晨庐醇林灰氓翁痴协忘嘉掀少块锰淖入枉割噶极称闯溢豪豹恳守脓难赃筹宾咙捅峻阅蚀磕簧蛙漠燎藩淡凯尖凛肮砍昔癌驻发姨赴熄位而累涂奄系硕眨樊癌蜀壬镀贡惯沾蕉辕茅谚率比昏菌诧沪躲丽叔息空潮守铀茧农桓榷胁灯焙辞矿避孝苗硷决抉吴吁珊怀西巢澄悄脂拎须品杉茧纤鱼欲潦寞娠床船栖浴而腋锣阐递郝中谰蹦辑悲翼泌欺松恕揪绅擒勾酝惑雍亿侮潮诫帧播勿词汇崭综易颓旦棺隐盏旺阴狙首聚嫌悠程纷哲坏筒编狈泼掸信息安全管理与监管宗勇云南大学网络与信息中心主任信息安全管理与使用技术知识第二章,信息安全管理与监管。本章包含五题内容。技术与管理的关系一直是信息安全工作的热点问题,从BI
7、SS公布的数据看,超过70%的信息安全事故如果事先加强管理都是可以得到避免的,也就是三分技术,七分管理,二者并重。一、信息安全管理组织、人员和制度第一题,信息安全管理组织、人员和制度。信息安全的组织机构是实施信息安全管理的必要保证。如图所示,信息安全管理组织主要包括安全审查和决策机构、安全主管机构、安全运行维护机构、安全审计机构、安全培训和安全工作人员。通常用信息安全问题是由单位内部的专门机构控制和管理的,必要时,应与外部相关组织进行沟通协调,各单位在进行自身信息安全管理工作时应与与公安机关公共信息网络安全监察部门密切配合。主要体现如图所示的三个层次。符合性(合规性)管理:是指单位、组织根据自
8、身业务特点和具体情况所制定的信息安全管理办法和规范,必须符合国家信息安全相关法律、法规的规定。符合性从单位自身微观的层次上体现了信息安全管理与国家的宏观的信息安全管理的一致和配合。信息安全的人员管理,人员的素质是提高信息安全性致关重要的因素。信息安全的人员管理中,人员因素是信息安全管理环节中最重要的一环,全面提高人员的技术水平、道德品质、政治觉悟和安全意识是信息安全的重要保障。信息安全工作人员管理包括安全审查、安全保密管理、安全教育培训、岗位安全考核、离岗人员安全管理等几个方面。事实证明,许多安全事件都是由内部人员造成的,因些对于关键岗位必须建立严格的人员安全审查制度,把好人员安全管理的第一关
9、,各单位的信息系统和内部资源应跟极其敏感程度和重要程度进行密集划分,信息资源的密集直接决定了接触和管理试信息资源的岗位对人员安全等级的要求,因依此要求建立相应的人员安全审查的标准,人员的安全审查应该从安全意识、法律意识、安全技能等几方面进行,应试具有政治可靠、思想进步、作风正派、技术合格等基本素质,关键岗位人员的审查标准。信息系统的关键岗位人员的审查标准应具有以下几个方面,一般必须是单位组织的正式员工、必须经过严格的政审、背景和资历调查、必须经过业务能力的综合考核、不得出现在其他关键岗位兼职的情况。应根据单位、组织相关秘密保护办法与信息安全工作人员签订保密协议,通过保密协议约定工作范围、工作期
10、限以及处罚和审查事项等。同时应定期对安全工作人员进行法律法规、方针政策、操作流程和技能的训练与考核。培训内容主要有三个方面,第一基本安全教育及基本概念可能存在的威胁和风险、理解相关方针和规章制度、提高安全意识、掌握基本安全操作概念。二、专业安全方面的培训及职业道德教育与岗位相关安全技术理论培训、岗位职能和操作技能培训。第三方面,安全的高级培训及国家和行业相关法律法规、全面的安全技术理论和知识、全面的安全管理理论、安全工程理论、关键岗位职能与责任的培训。定期的考核,岗位安全考核,主要是从思想政治和业务表现两方面进行。对于离岗人员安全管理,应该按照离岗的不同原因,建立技术人员离岗的安全管理制度:一
11、、正常离岗人员。正常离岗之前要旅行移交手续,完成密码、设备、技术资料及相关敏感信息的移交。相关系统必须更换口令,取消该人员所使用过的所有帐号,向离岗人员重申安全保密责任和义务。二、强制离岗人员,必须严格办理调离手续,必要时应在调离决定通知其本人之前,立即或者提前进行移交手续,不能拖延。第三种情况,因工作问题被解聘人员,应该严格审查其工作问题,严格执行相关处罚,若有触犯法律、法规的行为,应依法追究其法律责任。在信息安全的制度管理方面,应该结合本单位的实际情况,编制完整的、全面的、分层次的信息安全的制度管理制度和规范,并加以认真贯彻落实。下面列举三个信息安全管理制度:一、物理环境安全管理规范,它包
12、括安全域、门禁控制、监控与报警、电源和电缆管理、环境管理与维护、设备常规管理、变更管理、事故处理等。二、终端计算机安全使用规范,包括安装防病毒软件、操作系统定期自动升级、密码保护、IE安全级别设置、邮件管理、重要文件备份等。三、包括防火墙系统管理规范,包括明确岗位职责、防火墙的规划部署、配置测试;状态监控、日志分析、安全事件的响应处理等。二、互联网、重点单位信息安全管理第二个问题,互联网、重点单位信息安全管理。计算机信息网络国际联网管理暂行规定、计算机信息网络国际联网安全保护管理办法、互联网安全保护技术措施规定的国家现行的法律法规,在安全保护职责、安全管理制度、安全保护技术措施、禁止行为等方面
13、对互联网服务提供者、互联网数据中心 、联网使用单位做出明确的规定和要求。其中,计算机信息网络国际联网管理暂行规定第13条规定,从事国际联网业务的单位和个人应当遵守国家有关法律、行政法规,严格执行安全保密制度,不得利用国际联网从事危害国家安全、泄露国家秘密等违法犯罪活动;不得制作、查阅、复制和传播妨碍社会治安的信息和淫秽色情等信息。计算机信息网络国际联网安全保护管理办法第5条、第6条,对禁止在互联网上发布的信息内容、禁止互联网活动行为分别做出强劲的规定。计算机信息网络国际联网安全保护管理办法第10条还规定,互联网单位、接入单位及国际联网的法人和其他组织应当履行,一、建立健全安全保护管理制度;二、
14、落实安全保护技术措施;三、开展安全教育和培训;四、对发布信息的单位和个人登记、对发布内容进行审核;五、建立电子公告系统的用户登记和信息管理制度;六、对违反法律法规的行为保留有关原始记录并及时报案;七、及时删除违反法律法规的内容、地址、目录或者关闭服务器。互联网管理中的安全管理制度,健全的互联网安全管理制度应包含:新闻组、BBS等交互式栏目及个人主页等信息服务栏目的安全管理制度、信息发布审核和登记制度、信息巡查、保存、清除和备份制度等其他与安全保护有关的管理制度。安全保护技术措施。互联网安全保护技术措施规定,互联网服务的提供者、联网使用者和单位应当建立和落实基本的安全技术措施,包括防病毒、防网络
15、入侵和攻击破坏等危害网络安全事项或者行为的技术措施,重要数据库和系统主要设备的冗灾备份措施,记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施。重点单位及其确定原则,计算机信息系统安全保护条例第4条明确规定:“计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。”加强网络安全保护工作,首先要抓好重点单位及其确定原则,加强信息网络安全保护工作,首先要抓好重点抓好国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全,这些重要领域的信息网络安全直接关系到国家安全、社会稳定以及经济建
16、设的健康发展,凡是涉及这些要领域的信息网络的单位均属于重点单位。我国信息网络重点单位列举,我国根据安全需要,从实际出发,全面权衡后,确定了信息网络重点单位一共有12类,我国根据安全需要,从实际出发,全面权衡后,将下列单位列入信息网络重点单位:1、国家各级党政机关单位,2、银行、保险、证券等金融机构,3、电力、热力、燃气、煤炭、油料等能源单位,4、铁路、公路、水路、海运等交通运输单位,5、医疗、消防、紧急救援等社会应急服务单位,6、经济建设的重点工程建设单位,7、其他重要领域和单位,8、互联网管理中心及其重要网站,9、重要物资储备单位,10、水利及水资源供给部门,11、航空、航天等尖端科技企业和
17、研究单位。12、邮政、电信、广播电视部门等。重点单位信息安全管理。重点单位信息安全管理,要从建立安全管理机构、完善安全管理制度、落实安全管理措施、涉密安全管理等四个主要着手。管理机构应该明确机构的职责、配备专职的人员、明确人员职责。管理制度应该包括安全保密制度、 登记备案制度、等级保护制度、案件报告制度。落实安全管理措施包括人员管理措施、权限分散措施、系统分离措施、应急备份措施、 通信管理措施,信息安全管理下一节会讲到。三、涉密信息安全管理第三题,涉密信息安全管理。涉密信息、载体和系统。涉密信息主要是国家秘密和商业秘密,国家秘密关系国家安全和利益,其内容涉及国家的政法、军事、外交和外事、国民经
18、济和社会发展、科技技术、国家安全和刑事司法等领域。商业秘密仅仅是涉及权利人的经济利益和竟争优势的信息,其内容也局限于科研、生产、经营有关的技术信息和经济信息,商业秘密与经济、科技领域中的国家秘密都是具有保密价值的信息,二者是相互关系、互可转变的。涉密载体,涉密载体是指,以各类计算机硬盘、软盘、U盘、光盘、闪存盘、磁带及其他数码存储设备为介质,通过文字、数据、符号、图形、图像、声音等方式存储国家秘密信息、工作秘密信息以及商业秘密信息的各类存储载体。涉密系统,系统里的信息涉及国家秘密的信息系统,不论其中的涉密信息是多还是少,只要是有存储、处理或传输了涉密信息的信息系统就是涉密信息系统。涉密单位主要
19、是指用于采集、存储、处理、传递国家秘密信息的信息网络单位;涉密信息和系统的管理。涉密系统安全管理规定有:1、建立信息网络时,同步规划落实相应系统保密设施;2、信息网络的研制、安装和使用符合保密要求;3、采取有效保密措施,配置合格保密专用设备;4、采取系统访问控制、数据保护和系统安全保密监控管理等技术措施;5、权限控制;6、不得直接或间接连接国际互联网或其他公共信息网络,必须物理隔离。涉密信息的管理:1、必须按照保密规定进行采集、存储、处理、传递、使用和销毁;2、要有相应的密级标识,密级标识不能与正文分离;3、保密审查批准制度,健全上网信息保密审批领导则认真;4、处理、存储和传输绝密信息的计算机
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全管理 监管
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【可****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【可****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。