【文档说明】结合实践构建信息安全保障体系.pptx，共(24)页，230.286 KB，由精品优选上传

转载请保留链接：https://www.ichengzhen.cn/view-289262.html

以下为本文档部分文字说明：

把握信息安全2006年3月北京启明星辰信息技术有限公司首席战略官潘柱廷三观论宏观微观中观问题•什么是信息安全？•到底要解决那些问题？•怎么实施信息安全建设？问题•什么是信息安全？–通过回答最根本的问题，帮助我们探究事物的本原。•到底要解决那些问题？–明确工

作的目标和要求，从一个大的广泛的概念中寻找自身的定位。•怎么实施信息安全建设？–通过回答最实际的问题，帮助我们获得需要的实效。安全的三个相对性原则•安全是潜在的•安全没有绝对，没有100%•实践安全相对性的三个原则–风险原则——适合商

业机构–生存原则——适合强力机构–保镖原则——适合涉密机构风险管理•风险管理的理念从90年代开始，已经逐步成为引导信息安全技术应用的核心理念•风险的定义–对目标有所影响的某件事情发生的可能性[摘自AS/NZS4360]ISO13335中的风险管理的关系图ISO13

335以风险为核心的安全模型风险防护措施信息资产威胁漏洞防护需求降低增加增加利用暴露价值拥有抗击增加引出被满足一般风险评估的理论基础国信办报告中的风险９要素关系图使命脆弱性安全需求安全措施资产价值资产威胁风险残余风险事件依赖拥有被满足抗击利用暴露降低增加增加增加导出演变成未被满足未控制可能诱发

残留成本德国ITBPM最精简的风险管理３要素业务资产保障措施威胁安全三要素12信息安全保障框架信息安全保障框架VISAF资产和业务保障措施威胁•资产清单•面向网络拓扑•基于安全域/业务域•基于业务流分析•……信息安全保障框架信息安全保障框架VISAF资产和业务

保障措施威胁•脆弱性管理•告警管理•事件管理•预警管理•威胁管理•……信息安全保障框架•通过S3-PPT方法展开保障措施技术功能是T3-PDR的衍生保障框架-措施技术运营和管理人和组织组织策略运营认证防御监控审计应急内容安全保障措施资产和业务威胁技术运营和管理人和组织组织

策略运营认证防御监控审计应急内容安全保障措施资产和业务威胁产品的框架分析IDS应用审计防火墙SAN防垃圾安全管理中心Scanner远程数据热备IPS防病毒加密机双因子PKIUTM产品分析示例技术运营和管理人和组织组织策略运营认证防御监控审计应急内容安全保障措施资产和业

务威胁IDS防火墙IPSUTM产品分析示例转发能力检测能力防火墙转发能力检测能力UTM/IPS转发能力检测能力IDS产品分析示例防火墙UTM/IPSIDS部署在高带宽的网关位置部署在低带宽的网关位置部署在任何需要监控的位置像

高速公路收费站，像大院门好像部署在规则简单的小门好像保安监控的摄像头一样，部署在重要的区域和关口技术运营和管理人和组织组织策略运营认证防御监控审计应急内容安全保障措施资产和业务威胁产品和服务分析示例风险评估服务漏洞扫描系统管理检查表

弱点管理系统三法则•Q3-WWH•R3-AST•P3-CSP•V3-MMM•S3-PPT•T3-PDR•L3-POE•A3-CIA•三问题：什么/为什么/怎么•风险三要素：资产业务/保障措施/威胁•产品三形态：部件产品/服务/平台•三观论：

宏观/中观/微观•保障：人员组织/过程/技术•技术：防护/检测/响应•生命周期：项目/运维/应急处理•目标属性：保密性/完整性/保密性谢谢