信息安全工程方案

1、精選優(yōu)質(zhì)文檔-傾情為你奉上信息安全工程方案課程名稱 小組名稱 學(xué)生姓名 學(xué)生學(xué)號(hào) 所 在 系 所學(xué)專業(yè) 年月日信息安全管理與風(fēng)險(xiǎn)評(píng)估課程總結(jié)第1章 信息安全管理概述對(duì)信息安全與管理的基本概念予以闡述，讓我們知道信息安全管理的目的以及要在實(shí)施時(shí)所遵循的規(guī)范與原則。第2章 信息安全管理標(biāo)準(zhǔn)這章主要對(duì)國(guó)外信息安全管理標(biāo)準(zhǔn)與我國(guó)信息安全管理標(biāo)準(zhǔn)的闡述和具體介紹，國(guó)外的主要介紹了：BS7799（BS7799-1，BS7799-2）、ISO/IEC13335（5部分構(gòu)成，即ISO/IEC13335-15。主要安全管理過(guò)程包括；風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)評(píng)估、安全意識(shí)、監(jiān)控與一致性檢驗(yàn)等。獨(dú)特的安全要素模型；資產(chǎn)、威脅

2、、漏洞、影響、風(fēng)險(xiǎn)、防腐措施、剩余風(fēng)險(xiǎn)，約束。）、ISO/IEC27001:2005（以對(duì)業(yè)務(wù)的風(fēng)險(xiǎn)評(píng)估的方法、建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持、和改進(jìn)其，確保信息資產(chǎn)的保密性、可用性和完整性。），CC準(zhǔn)則（國(guó)際最通用的信息技術(shù)產(chǎn)品與系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)）。我國(guó)的信息安全管理標(biāo)準(zhǔn)：GB/T19715標(biāo)準(zhǔn)（為安全管理方案指南，而不是解決方案），GB/T19716-2005（對(duì)信息安全管理給出建議，供負(fù)責(zé)在其組織啟動(dòng)、實(shí)施或維護(hù)安全的人員使用。本標(biāo)準(zhǔn)為開發(fā)組織的安全標(biāo)準(zhǔn)和有效的安全管理做法提供公共基礎(chǔ)，并提供組織間交往的信任。本標(biāo)準(zhǔn)的推薦內(nèi)容應(yīng)按照適用的我國(guó)法律和法規(guī)加以選擇和使用。）第3章 信息安

3、全管理的實(shí)施 本節(jié)主要講企業(yè)信息安全管理的現(xiàn)狀進(jìn)行了分析，得出了在標(biāo)準(zhǔn)實(shí)施中出現(xiàn)的誤區(qū)以及bs 7799信息安全管理實(shí)施案例的分析，bs7799 框架下的安全產(chǎn)品與技術(shù)的具體實(shí)現(xiàn)過(guò)程。對(duì)于信息安全管理體系的實(shí)施最大意義不在于顯著改善企業(yè)的安全風(fēng)險(xiǎn)水平，而是在于讓企業(yè)擁有可控的風(fēng)險(xiǎn)管理架構(gòu)、方案和保障落實(shí)機(jī)制。在不斷變化的安全風(fēng)險(xiǎn)環(huán)境中，始終能夠通過(guò)科學(xué)的方法和持續(xù)的改進(jìn)，達(dá)到管理者可以接受的安全風(fēng)險(xiǎn)水平。安全控制措框架下安全產(chǎn)品與技術(shù)實(shí)現(xiàn)；安全方針、組織安全、資產(chǎn)的分類與控制、人員安全、物理和環(huán)境的安全、通信和操作管理、訪問(wèn)控制、系統(tǒng)開發(fā)和維護(hù)、業(yè)務(wù)持續(xù)性管理，符合性。但是這并沒(méi)有教我們?nèi)绾伪?/p>

4、障措施，所以把這些問(wèn)題都留給了我們企業(yè)和專業(yè)廠商。第4章 信息安全風(fēng)險(xiǎn)管理通過(guò)對(duì)信息管理風(fēng)險(xiǎn)的概述，風(fēng)險(xiǎn)管理各個(gè)要素間關(guān)系了解。近而對(duì)風(fēng)險(xiǎn)管理AS/NZS4360:1999、NISTSP800-30、TheSecurityRiskManagementGui、 微軟風(fēng)險(xiǎn)管理流程、GB/T20269-2006標(biāo)準(zhǔn)，內(nèi)容及風(fēng)險(xiǎn)管理的解讀。第5章 信息安全風(fēng)險(xiǎn)管理 主要對(duì)信息風(fēng)險(xiǎn)與管理基本的概念和發(fā)展進(jìn)行介紹，著重對(duì)風(fēng)險(xiǎn)評(píng)估的介紹、國(guó)內(nèi)外信息安全現(xiàn)狀、我國(guó)信息風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)與方法的進(jìn)行了分析等。風(fēng)險(xiǎn)評(píng)估的方法：定量風(fēng)險(xiǎn)評(píng)估：（從數(shù)字上對(duì)安全風(fēng)險(xiǎn)進(jìn)行分析評(píng)估）。 定性風(fēng)險(xiǎn)評(píng)估：（憑借分析者的經(jīng)驗(yàn)

5、和直覺，或者業(yè)界的標(biāo)準(zhǔn)和慣例為風(fēng)險(xiǎn)管理諸多要素的大小或高低城都定性分級(jí)）。主要的信息安全標(biāo)準(zhǔn)體系國(guó)內(nèi)：信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn) （GB/T20984-2007）的介紹講解，以及實(shí)施過(guò)程。等級(jí)保護(hù)體系（GB 17859），信息安全保障體系（GB/T 20274）國(guó)外：信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)（OCTAVE、SSE-CMM、GAO/AIMD-99-139）技術(shù)體系（RFC、NIST-SP800）管理體系（ISO27001/ISO27002）評(píng)估體系（ISO15408）第6章 信息安全風(fēng)險(xiǎn)評(píng)估工具本章主要講風(fēng)險(xiǎn)評(píng)估與管理工具、系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估工具、風(fēng)險(xiǎn)評(píng)估鋪助工具、信息安全評(píng)估工具的發(fā)展方向等，進(jìn)行了詳

6、細(xì)的分析。具體如下：風(fēng)險(xiǎn)評(píng)估與管理工具：（MBSA、COBRA、CRAMM、ASSET、RikeWatch）系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估工具：脆弱性掃描工具、流光、極光遠(yuǎn)程安全評(píng)估系統(tǒng)······風(fēng)險(xiǎn)評(píng)估鋪助工具：（入侵檢測(cè)工具、安全審計(jì)工具、拓?fù)浒l(fā)現(xiàn)工具以及評(píng)估指示庫(kù)等）第7章 信息安全風(fēng)險(xiǎn)評(píng)估基本過(guò)程風(fēng)險(xiǎn)管理是辨別出公司潛在的風(fēng)險(xiǎn)，對(duì)其進(jìn)行評(píng)估，并采取措施將其降低到可以接受的水平的過(guò)程，而風(fēng)險(xiǎn)評(píng)估是其中最重要的環(huán)節(jié)。一、安全風(fēng)險(xiǎn)評(píng)估準(zhǔn)備1 制定風(fēng)險(xiǎn)評(píng)估策略2 確定風(fēng)險(xiǎn)評(píng)估的范圍3 制定風(fēng)險(xiǎn)評(píng)估表二、安全評(píng)估檢測(cè)階段三、信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估對(duì)象風(fēng)險(xiǎn)檢測(cè)結(jié)果分析及給出評(píng)估報(bào)告階段。1、列出完成的評(píng)估任務(wù)清單；2、列出評(píng)估對(duì)象目前存在的威脅和弱點(diǎn)，給出具體的安全和風(fēng)險(xiǎn)等級(jí)；3、列出防范這些檢測(cè)到的威脅和弱點(diǎn)的保障措施；4、說(shuō)明這些安全建議是屬于物理、管理、還是技術(shù)控制；5、說(shuō)明實(shí)施這些給出的安全建議后會(huì)帶來(lái)的效果；6、說(shuō)明每一個(gè)具體的安全建議，能將風(fēng)險(xiǎn)減少到什么程度；7、安全修補(bǔ)后，評(píng)估對(duì)象能達(dá)到什么樣的安全等級(jí)；8、安全修補(bǔ)后，還有什么風(fēng)險(xiǎn)沒(méi)能完全控制，應(yīng)當(dāng)如何進(jìn)一步控制；9、說(shuō)明實(shí)施這些安全修補(bǔ)措施具體應(yīng)當(dāng)花費(fèi)的安全成本。四、后期安全維護(hù)階段后期安全維護(hù)其實(shí)只是信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估過(guò)程中的一個(gè)附加階段。對(duì)于專門的風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)