信息安全工程方案

1、精選優(yōu)質(zhì)文檔-傾情為你奉上信息安全工程方案課程名稱 小組名稱 學(xué)生姓名 學(xué)生學(xué)號 所 在 系 所學(xué)專業(yè) 年月日信息安全管理與風(fēng)險評估課程總結(jié)第1章 信息安全管理概述對信息安全與管理的基本概念予以闡述，讓我們知道信息安全管理的目的以及要在實施時所遵循的規(guī)范與原則。第2章 信息安全管理標(biāo)準(zhǔn)這章主要對國外信息安全管理標(biāo)準(zhǔn)與我國信息安全管理標(biāo)準(zhǔn)的闡述和具體介紹，國外的主要介紹了：BS7799（BS7799-1，BS7799-2）、ISO/IEC13335（5部分構(gòu)成，即ISO/IEC13335-15。主要安全管理過程包括；風(fēng)險管理、風(fēng)險評估、安全意識、監(jiān)控與一致性檢驗等。獨(dú)特的安全要素模型；資產(chǎn)、威脅

2、、漏洞、影響、風(fēng)險、防腐措施、剩余風(fēng)險，約束。）、ISO/IEC27001:2005（以對業(yè)務(wù)的風(fēng)險評估的方法、建立、實施、運(yùn)行、監(jiān)視、評審、保持、和改進(jìn)其，確保信息資產(chǎn)的保密性、可用性和完整性。），CC準(zhǔn)則（國際最通用的信息技術(shù)產(chǎn)品與系統(tǒng)安全評估標(biāo)準(zhǔn)）。我國的信息安全管理標(biāo)準(zhǔn)：GB/T19715標(biāo)準(zhǔn)（為安全管理方案指南，而不是解決方案），GB/T19716-2005（對信息安全管理給出建議，供負(fù)責(zé)在其組織啟動、實施或維護(hù)安全的人員使用。本標(biāo)準(zhǔn)為開發(fā)組織的安全標(biāo)準(zhǔn)和有效的安全管理做法提供公共基礎(chǔ)，并提供組織間交往的信任。本標(biāo)準(zhǔn)的推薦內(nèi)容應(yīng)按照適用的我國法律和法規(guī)加以選擇和使用。）第3章 信息安

3、全管理的實施 本節(jié)主要講企業(yè)信息安全管理的現(xiàn)狀進(jìn)行了分析，得出了在標(biāo)準(zhǔn)實施中出現(xiàn)的誤區(qū)以及bs 7799信息安全管理實施案例的分析，bs7799 框架下的安全產(chǎn)品與技術(shù)的具體實現(xiàn)過程。對于信息安全管理體系的實施最大意義不在于顯著改善企業(yè)的安全風(fēng)險水平，而是在于讓企業(yè)擁有可控的風(fēng)險管理架構(gòu)、方案和保障落實機(jī)制。在不斷變化的安全風(fēng)險環(huán)境中，始終能夠通過科學(xué)的方法和持續(xù)的改進(jìn)，達(dá)到管理者可以接受的安全風(fēng)險水平。安全控制措框架下安全產(chǎn)品與技術(shù)實現(xiàn)；安全方針、組織安全、資產(chǎn)的分類與控制、人員安全、物理和環(huán)境的安全、通信和操作管理、訪問控制、系統(tǒng)開發(fā)和維護(hù)、業(yè)務(wù)持續(xù)性管理，符合性。但是這并沒有教我們?nèi)绾伪?/p>

4、障措施，所以把這些問題都留給了我們企業(yè)和專業(yè)廠商。第4章 信息安全風(fēng)險管理通過對信息管理風(fēng)險的概述，風(fēng)險管理各個要素間關(guān)系了解。近而對風(fēng)險管理AS/NZS4360:1999、NISTSP800-30、TheSecurityRiskManagementGui、 微軟風(fēng)險管理流程、GB/T20269-2006標(biāo)準(zhǔn)，內(nèi)容及風(fēng)險管理的解讀。第5章 信息安全風(fēng)險管理 主要對信息風(fēng)險與管理基本的概念和發(fā)展進(jìn)行介紹，著重對風(fēng)險評估的介紹、國內(nèi)外信息安全現(xiàn)狀、我國信息風(fēng)險評估標(biāo)準(zhǔn)與方法的進(jìn)行了分析等。風(fēng)險評估的方法：定量風(fēng)險評估：（從數(shù)字上對安全風(fēng)險進(jìn)行分析評估）。 定性風(fēng)險評估：（憑借分析者的經(jīng)驗

5、和直覺，或者業(yè)界的標(biāo)準(zhǔn)和慣例為風(fēng)險管理諸多要素的大小或高低城都定性分級）。主要的信息安全標(biāo)準(zhǔn)體系國內(nèi)：信息安全風(fēng)險評估標(biāo)準(zhǔn) （GB/T20984-2007）的介紹講解，以及實施過程。等級保護(hù)體系（GB 17859），信息安全保障體系（GB/T 20274）國外：信息安全風(fēng)險評估標(biāo)準(zhǔn)（OCTAVE、SSE-CMM、GAO/AIMD-99-139）技術(shù)體系（RFC、NIST-SP800）管理體系（ISO27001/ISO27002）評估體系（ISO15408）第6章 信息安全風(fēng)險評估工具本章主要講風(fēng)險評估與管理工具、系統(tǒng)基礎(chǔ)平臺風(fēng)險評估工具、風(fēng)險評估鋪助工具、信息安全評估工具的發(fā)展方向等，進(jìn)行了詳

6、細(xì)的分析。具體如下：風(fēng)險評估與管理工具：（MBSA、COBRA、CRAMM、ASSET、RikeWatch）系統(tǒng)基礎(chǔ)平臺風(fēng)險評估工具：脆弱性掃描工具、流光、極光遠(yuǎn)程安全評估系統(tǒng)······風(fēng)險評估鋪助工具：（入侵檢測工具、安全審計工具、拓?fù)浒l(fā)現(xiàn)工具以及評估指示庫等）第7章 信息安全風(fēng)險評估基本過程風(fēng)險管理是辨別出公司潛在的風(fēng)險，對其進(jìn)行評估，并采取措施將其降低到可以接受的水平的過程，而風(fēng)險評估是其中最重要的環(huán)節(jié)。一、安全風(fēng)險評估準(zhǔn)備1 制定風(fēng)險評估策略2 確定風(fēng)險評估的范圍3 制定風(fēng)險評估表二、安全評估檢測階段三、信息系統(tǒng)安全風(fēng)險評估對象風(fēng)險檢測結(jié)果分析及給出評估報告階段。1、列出完成的評估任務(wù)清單；2、列出評估對象目前存在的威脅和弱點(diǎn)，給出具體的安全和風(fēng)險等級；3、列出防范這些檢測到的威脅和弱點(diǎn)的保障措施；4、說明這些安全建議是屬于物理、管理、還是技術(shù)控制；5、說明實施這些給出的安全建議后會帶來的效果；6、說明每一個具體的安全建議，能將風(fēng)險減少到什么程度；7、安全修補(bǔ)后，評估對象能達(dá)到什么樣的安全等級；8、安全修補(bǔ)后，還有什么風(fēng)險沒能完全控制，應(yīng)當(dāng)如何進(jìn)一步控制；9、說明實施這些安全修補(bǔ)措施具體應(yīng)當(dāng)花費(fèi)的安全成本。四、后期安全維護(hù)階段后期安全維護(hù)其實只是信息系統(tǒng)安全風(fēng)險評估過程中的一個附加階段。對于專門的風(fēng)險評估機(jī)構(gòu)