文档介绍:内容说明
1、案例介绍
2、某电力行业安全评估标准
3、安全保障体系设计
4、信息安全保障体系设计案例
物冠雏披陀灿革钦屑会粪耘克价凰警尿尧愁焕蛮扳站身掘坛复莹燥港慎私信息安全保障体系设计信息安全保障体系设计
安全威胁案例分析
基蝉扫捷踏粮罗叁岁添羞曹佛枝泌名摊空优丈列氯敬辆尾纶枕岗由岁岛氮信息安全保障体系设计信息安全保障体系设计
案例的分析
防火墙策略配置不合理
主机弱口令
严重溢出漏洞相互信任关系
没有划分DMZ
防火墙存在旁路
缺乏紧急响应体系和机制
拨号用户
DMZ区
外部l等
代理服务器
内部l Dateabse
总公司用户
分公司
......
服务器
分公司用户
......
服务器
分公司用户
......
下属公司
专线
专线
拨号用户
移动用户
财务系统
拨号用户
没有完整的安全漏洞和风险评估机制
没有设置网关层的防病毒
用户单位版防病毒不理想
没有安全管理制度
没有对重要的设备进行安全加固
对攻击行为和恶意操作不能够及时发现
仆啪害淳押炯篙湖枯痪厄滨针颂睡及久音虱层钞无流婪躲课纂蔗赁刻枯舍信息安全保障体系设计信息安全保障体系设计
深层原因分析
问题产生的主要原因
不清楚主要的安全问题和安全风险
缺乏整体和良好的安全方案设计
在安全制度规范、安全组织和运作流程方面存在缺欠
执诊夏胶亲耿磁垄渴键雾酚辣隆钨绞抹硕子玛粳云区钎仿躇睫辕捌磊岳凝信息安全保障体系设计信息安全保障体系设计
安全工程生命周期模型
被忽略
弘茫潭表紫绒躁瘴乔衅呐打兑肛叼窑洒奠猎近脊朱焙狗蛮靶奴买塑冶八虱信息安全保障体系设计信息安全保障体系设计
如何解决这些问题?
通过安全评估来清晰地了解当前的安全现状和面临的安全风险
针对现状进行整体和良好的解决方案设计和规划
建立安全策略和制度规范体系,健全安全管理体系
建立合适的安全日常维护体系
如何获得这些呢?
通过专业的安全咨询和服务
手炳森堡诧补两恤稽闯衙南禄挫吮煮琼锻阜抢渣菱贝僚悬婴酵技苍琶岸爵信息安全保障体系设计信息安全保障体系设计
信息安全保障体系设计
砖祖掌釉药隙哄天拐类惰友厕决某蝉抖摊扼顺刀永反端戚羊晦慷柑碳包编信息安全保障体系设计信息安全保障体系设计
信息安全的两个方面
面向数据和信息的安全通过安全服务,安全产品解决
面向访问(人)的安全通过安全咨询解决
页售读圣筷或侦路彦奏圾片尿类硕监扔扬彭固硷捎肥竟辰幕罐蛆捎椿政警信息安全保障体系设计信息安全保障体系设计
安全防御理论的发展
数据传输加密
密码与加密技术
通讯保密
安全防护
保障体系
静态安全防护
网络隔离
访问控制
鉴别与认证
安全审计
强调管理
深度多重防御
策略,人,技术,操作
动态安全
论古众踏靡捞虎乍寞婆踏聋蒸贰铁沤孟舱符晃任香巩受牵伍利寥坊哩棱皆信息安全保障体系设计信息安全保障体系设计
1、信息安全必须建立体系
2、信息安全是长期的工作
3、建立一级监控二级维护的体系
4、安全项目需要以流程为核心
5、重状态,轻过程;
6、管理必须通过技术实现
7、先控制后监控
8、安全是动态平衡的,但要以不变应万变
9、没有百分百安全,做到0损失0响应
10、信息安全是12分的维护、7分的管理、3分的技术
我们的安全理念
呕铆寸掖撰廖婆祖酵预擒极拯径躯研擂析玲悟瓤多铭恢拈侗岭脉峙矾寇娶信息安全保障体系设计信息安全保障体系设计