信息安全管理策略

信息安全管理策略

一 总则

为满足??银行（以下简称“我行”）信息安全管理、信息安全保障和合规的需要，根据《??银行信息安全管理方针》，特制订本管理策略。目的是指导我行通过各项管理制度与措施，识别各方面的信息安全风险，并采取适当的补救措施，使风险水平降低到可以接受的程度。

二 安全制度管理策略

?? 目的

使信息安全管理的发展方向和相关工作能够满足我行业务要求、国家法律和规定的要求。安全制度管理应建立一套完善的、能够满足以上要求的文档体系，并定期更新，发布到我行信息安全所有相关单位中。

?? 策略一：建立和发布信息安全管理文档体系

?策略目标：

使相关单位人员了解到信息安全管理文档的内容，安全工作有据可依。

?策略内容：

建立我行信息安全管理文档体系，发布到相关单位。

?策略描述：

根据《??银行信息安全管理方针》中的方针、原则和我行特点，制订出一套文档体系，包括信息安全策略、制度和实施指南等，通过培训、会议、办公系统或电子邮件等方式向相关单位发布。

总体发布范围包括与以上信息资产相关的我行所有部门、我行下属机构和关联公司，以及与我行有关的集成商、软件开发商、产品提供商、顾问、商业合作伙伴、临时工作人员和其他等第三方机构或人员。

?? 策略二：更新安全制度

?策略目标：

安全制度能够适应我行信息安全管理因各方面情况变化而产生的变化，在长期满足要求。

?策略内容：

定期和不定期审阅和更新安全制度。

?策略描述：

由相关团队定期进行安全制度的检查、更新，或在信息系统与相关环境发生显著变化时进行检查、更新。

三 信息安全组织管理策略

?? 目的

通过建立与组织相关的以下二个安全策略，促进组织建立合理的信息安全管理组织结构与功能，以协调、监控安全目标的实现。与组织有关的策略分内部组织和外部组织两部分来描述。

?? 策略一：在组织内建立信息安全管理架构

?策略目标：

在组织内有效地管理信息安全。

?策略内容：

我行应建立专门的信息安全组织体系，以管理信息安全事务，指导信息安全实践。

?策略描述：

通过建立信息安全管理组织，启动和控制组织范围内的信息安全工作的实施，批准信息安全方针、确定安全工作分工和相应人员，以及协调和评审整个组织安全的实施。

根据需要，还可以建立与外部安全专家或组织（包括相关权威人士）的联系，以便跟踪行业趋势、各类标准和评估方法；当处理信息安全事故时，提供合适的联系人和联系方式，以快速及时地对安全事件进行响应；鼓励采用多学科方法来解决信息安全问题。

?? 策略二：管理外部组织对信息资产的访问

?策略目标：

确保被外部组织访问的信息资产得到了安全保护。

?策略内容：

组织的信息处理设施和信息资产的安全不应由于客户、第三方的访问或引入外部各方的产品或服务而降低，任何外部各方对组织信息处理设施的访问、对信息资产的处理和通信，都应采取有效的措施进行安全控制。

?策略说明：

任何一个组织都不避免与外界有业务往来与信息沟通，经常需要向外部用户开放其信息和信息处理设施，因此，需要对外部访问者给组织信息资产带来的安全风险进行评估，根据风险水平，确定所需的控制。必要时，需要与外部组织与个人签订协议，并向其声明组织的信息安全方针与策略。

四 资产管理策略

?? 目的

组织要有效地控制安全风险，首先要识别信息资产，并进行科学而有效的分类，然后在各个管理层面对资产落实责任，采用恰当的控制措施对信息资产进行风险管理，本章通过以下二个策略实施对信息资产的有效管理。

?? 策略一：为信息资产建立问责制

?策略目标：

对组织的信息资产建立责任，为实施适当保护奠定基础。

?策略内容：

应当对所有信息资产进行识别、建立资产清单和使用规则，明确定义信息资产责任人及其职责，为信息资产建立问责制。

?策略说明：

对于我行的所有资产要标识出责任人，通常可定义出信息资产的所有者、管理者和使用者，并明确不同责任主体的职责。对信息资产的安全控制可以由信息资产所有者委派具体的管理者来承担，但所有者和使用者仍对资产承担适当保护的责任。

?? 策略二：对信息资产进行分类

?策略目标：

通过对信息资产的分类，明确其可以得到适当程度的保护。

?策略内容：

应按照信息资产的价值、法律要求及对我行的敏感程度和关键程度进行分类和进行标识。

?策略描述：

信息的分类及相关保护控制要考虑到共享或限制信息的业务需求以及与这种需求相关的业务影响。确定资产的类别，进行必要的标识，对其进行周期性评审，确保其与组织的内外环境的变化相适应，这些都应是资产所有者的职责。

我行的信息资产分类可以从机密性、完整性、可用性等三方面进行评估，其保护级别也根据这三个方面得出。

五 人员安全管理策略

?? 目的

本节通过建立四个具体策略，以明确组织内与人员任用相关的安全控制，以便对人力资源进行有效的安全管理，包括内部员工及与组织相关的外部人员的任用前、任用中、任用后相关的安全职责、行为规范。

?? 策略一：人员任用前的管理

?策略目标：

在对人员正式任用前，要明确新员工、合同方人员和第三方与其岗位角色相匹配的安全责任，并进行相关背景调查，以减少对信息资产非授权使用和滥用的风险。

?策略内容：

确保人员的安全职责已于任用前通过适当的协议及岗位说明书加以明确说明，并对新员工、合同方的有关背景进行验证检查，对第三方的访问权限加以明确声明和严格管理。

?策略说明：

在新员工及其他外部人员正式进入组织前，就明确其安全职责、强调安全责任、进行背景调查，这在信息安全管理中具有重要的意义。通过对所有应聘者、合同方人员进行必要筛选，对第三方用户加以限制，可以为组织的信息安全把好第一道关。员工、合同方人员和信息处理设施的第三方人员根据其安全角色和职责，要签署相关协议，以明确声明其对信息安全的职责。

我行的第三方人员主要有：借调或借用外部人员、软件开发人员以及其他外部服务人员等。

?? 策略二：人员任用中的管理

?策略目标：

落实信息安全管理职责，确保我行的员工在整个任用期内的行为都符合信息安全政策的要求。

?策略内容：

应通过建立管理职责、必要的培训和奖惩措施，使所有的员工、合同方人员和第三方人员了解工作中面临的信息安全风险、相关责任和义务，并在日常工作中遵循组织的信息安全政策的要求。

?策略说明：

如果员工、合同方人员和第三方人员没有意识到他们工作中应当承担的安全职责，他们可能会有意或无意地对组织的信息安全造成破坏，因此，需要在信息安全管理职责方面，对员工加以有效的限制和必要的激励，并持续进行信息安全教育与培训，可以减少信息安全事故的发生。

?? 策略三：任用的中止与变更

?策略目标：

当任用关系中止或职责发生变化时，要建立规范的程序，确保冻结或取消员工、合同方人员和第三方人员所拥有的、与其目前职责不相符的对我行信息资产的使用权。

?策略内容：

从我行退出的员工、合同方人员和第三方人员要归还其所使用的设备，并删除他们对我行信息及信息系统的所有使用权；对于职责发生变化的员工、合同方人员和第三方人员，按照“最小授权”原则，要对其所拥有的信息资产访问权做相应的变更。

?策略说明：

信息资产总是与特定的使用主体相关，当使用主体的职责发生变化时，与其职责相关的访问权限应当及时做出相应变化。

在实施此策略时，负责信息安全的管理人员需要与负责人力资源的管理人员要协作与沟通，共同负责对员工及合同方人员的任用终止处理；对于合同方的终止职责处理，要与合同方代表进行协作，其他情况下的用户可能由他们的来处理。

当资产的访问权和使用权发生变更及我行人员及运行发生变化时，要及时通知各相关方。

六 物理与环境安全管理策略

?? 目的

本章的以下二个策略主要是保护我行的信息、信息系统和基础设施等免受非法的物理访问、自然灾害和环境危害。

?? 策略一：建立物理安全区域

?策略目标：

防止对我行的工作场所和信息的非授权物理访问、损坏和干扰。

?策略内容：

重要的或敏感的信息处理设施要放置在安全区域内，建立适当的安全屏障和入口控制，在物理上避免非授权访问、干扰；同时，需要建立必要的措施防止自然灾害和人为破坏造成的损失。

?策略说明：

可以通过在我行边界和信息处理设施周围设置一个或多个物理屏障来实现对安全区域的物理保护；安全区域应由适合的入口控制所保护，以确保只有授权的人员才允许访问；为重要的工作区域、公共访问区、货物交接区的安全工作建立规范与指南。

还应采取措施防止火灾、洪水、地震、爆炸、社会动荡和其他形式的自然灾难或人为灾难带来的破坏。

?? 策略二：保证设备安全

?策略目标：

应保护设备免受物理的和环境的威胁。

?策略内容：

防止设备的丢失、损坏、失窃或危及资产安全以及造成我行活动的中断。

?策略说明：

对设备（包括离开我行使用和财产移动）的保护是减少未授权访问信息的风险和防止丢失或损坏所必需的，还应当考虑设备安放位置和报废处置方法的安全性。同时，还需要专门的控制用来防止物理威胁以及保护支持性设施（例如电、供水、排污、加热 通风和空调），及考虑采取措施保证电源布缆和通信布缆免受窃听或损坏。

七 通信与运营管理策略

?? 目的

本章通过建立以下九个策略，确保我行对通信和操作过程进行有效的安全管理，通过促进我行建立信息处理设施的管理职责，开发适当的操作和事故处理程序，以降低非授权使用和滥用系统的风险，总体目标是确保员工能正确、安全地操作信息处理设施。

?? 策略一：建立操作职责和程序

?策略目标：

确保正确、安全的操作信息处理设施。

?策略内容：

应当为所有的信息处理设施建立必要的管理和操作的职责及程序。

?策略说明：

与信息处理和通信设施相关的系统活动应具备形成文件的程序，例如计算机启动和关机程序、备份、设备维护、介质处理、计算机机房、邮件处置管理和物理安全等；对信息处理设

施和系统的变更应加以控制；应实施责任分割，以减少疏忽或故意误用系统的风险；为了减少意外变更或未授权访问运行软件和业务数据的风险，应分离开发、测试和运行设施。

?? 策略二：管理第三方服务

?策略目标：

在符合双方商定的协议下，保证第三方在实施服务过程中，保持信息安全和服务交付的适当水平。

?策略内容：

我行应检查第三方服务协议的实施，监视协议执行的符合性，并管理服务变更，以确保交付的服务满足与第三方商定的所有要求。

?策略说明：

第三方交付的服务应包括商定的安全计划、服务定义和服务管理各方面；我行应当定期监督、检查和审核第三方提供的服务、报告和记录，对服务变更进行有效管理；我行还应当确保第三方保持足够的服务能力和可用性计划，以确保商定的服务在大的服务故障或灾难后继续得以保持。

?? 策略三：系统规划和验收

?策略目标：

将系统失效的风险降至最小。

?策略内容：

为确保足够能力和资源的可用性，以提供所需的系统性能，需要预先对系统进行规划和准备工作；应做出对于未来容量需求的预测，以减少系统过载的风险；新系统的运行要求应在验收和使用之前建立、形成文件并进行测试。

?策略说明：

对于每一个新的和正在进行的信息处理活动都应识别容量要求，确保在必要时及时改进系统的可用性和效率。对系统未来容量的推测应考虑新业务、系统要求以及我行信息当前处理能力及未来发展的趋势。

管理人员要确保验收新系统的要求和准则被明确地定义，形成文件并经过测试。新信息系统升级和新版本只有在获得正式验收后，才能作为产品。

?? 策略四：防范恶意和移动代码

?策略目标：

保护软件和信息的完整性。

?策略内容：

我行应采取预防措施，以防范和检测恶意代码和未授权的移动代码引入到我行的信息处理设施中来。

?策略说明：

软件和信息处理设施易感染恶意代码（例如计算机病毒、网络蠕虫、特洛伊木马和逻辑炸弹），要让用户了解恶意代码的危险。管理人员要实施适当的控制措施，以防范、检测并删除恶意代码。

?? 策略五：备份

?策略目标：

保持信息和信息处理设施的完整性及可用性。

?策略内容：

应按照已设的备份策略，定期对我行的重要信息和软件进行备份，并定期进行恢复测试。

?策略说明：

应提供足够的备份设施，以确保所有必要的信息和软件能在灾难或介质故障后进行恢复。为使备份和恢复过程更容易，备份可安排为自动进行；各个系统的备份计划应定期测试以确保他们满足业务连续性计划的要求；对于重要的系统，备份计划应包括在发生灾难时恢复整个系统所必需的所有系统信息、应用和数据；应确定最重要业务信息的保存周期以及对要永久保存的档案拷贝的任何要求。

?? 策略六：网络安全管理

?策略目标：

确保网络中的信息和支持性基础设施得到保护。

?策略内容：

应对我行的网络进行充分的管理和控制，以防范非法访问网络信息与非授权连接网络服务，保护信息与信息服务的安全。

?策略说明：

加强网络管理与控制，以防范威胁、保持使用网络的系统和应用程序的安全，包括信息传输；应识别所有网络服务的安全特性、服务等级和管理要求，并包含在网络服务协议中，无论这种服务是由内部提供的还是外包的。

?? 策略七：对存储介质的处理

?策略目标：

防止由于对存储介质管理不当，造成未授权泄漏、修改、移动或损坏，并对业务活动造成不利影响。

?策略内容：

我行应当对存储介质的使用、移动、保管及处置等操作进行有效管理。

?策略说明：

存储介质包括硬盘、磁带、闪盘、可移动硬件驱动器、 ?、 ??和打印的介质。为使存储介质中的数据和系统文件免遭未授权泄露、修改和破坏，应建立适当的使用、保存、删除和销毁的操作策略和相关程序。

?? 策略八：信息交换

?策略目标：

保护在我行内及与外部团体进行信息和软件交换的安全。

?策略内容：

我行内及我行与外部团队的信息和软件的交换应当基于正式的交换策略，采取必要的安全控制措施，按照交换协议执行，同时还应服从任何相关法律法规的要求。

?策略说明：

如果在使用信息交换设施时缺乏安全意识、必要的策略和安全控制措施，可能会造成重要信息的泄露；如果通信设施失灵、过载或中断，则可能中断业务运行并损坏信息；如果上述通信设施被未授权用户所访问，也可能损害信息。因此，要建立策略和程序，以保护信息交换过程中信息和包含信息的物理介质的安全。

??? 策略九：系统监测

?策略目标：

检测未经授权的信息处理活动。

?策略内容：

应对信息系统进行监测，记录信息安全事件，并使用操作员日志和故障日志以确保识别出信息系统的问题。

?策略说明：

应建立监测信息处理系统使用的策略与程序，定期评审监测活动的结果；通过系统操作日志、错误日志记录系统操作者的活动和系统出现错误的情况，以监测安全事件；我行的监测和日志记录活动应遵守所有相关法律的要求，并要防止对日志的非授权变更和删除。

八 访问控制管理策略

?? 目的

访问控制是对主体访问客体的权限或能力的一种限制，分为物理访问控制逻辑访问控制。物理访问控制在“物理与环境安全策略”一章中已有涉及，在这里的访问控制主要是指逻辑访问控制。在网络广泛互联的今天，采用技术与管理手段建立逻辑访问控制己是保障信息安全的重要手段，本章通过建立以下八个策略，以推动我行对访问控制的有效安全管理。

?? 策略一：根据业务要求进行访问控制

?策略目标：

建立必要的规则，控制用户对信息的访问。

?策略内容：

应在我行业务和安全要求的基础上，控制对信息、信息处理设施和业务过程的访问。

?策略说明：

我行需要将满足业务需要的访问控制规则向用户和服务提供者明确地加以说明；我行应清晰地叙述每个用户或一组用户的访问控制规则和权利，应当把逻辑访问控制和物理访问控制综合起来考虑；访问控制规则应由正式的程序支持，并清晰地定义职责和范围。

?? 策略二：用户访问管理

?策略目标：

确保只有授权用户才能访问系统，预防对信息系统的非授权访问。

?策略内容：

应建立正式的程序，来控制对信息系统和服务的用户访问权的分配。

?策略说明：

访问控制程序应涵盖用户访问生命周期内的各个阶段，从新用户初始注册、日常使用，到不再需要访问信息系统和服务时的用户帐号的最终撤销；应特别注意对特权用户的分配加以控制，因为特权用户可以修改或绕过系统的控制措施。

?? 策略三：用户职责

?策略目标：

防止未授权用户对信息和信息处理设施的访问和其他危害的行为。

?策略内容：

应使用户认知其维护有效的访问控制的职责，特别是关于口令使用和无人值守的用户设备保护方面的职责。

?策略说明：

已授权用户的合作对实现有效的安全十分重要，首先应要求用户在选择及使用口令和保护无人值守的用户设备方面，遵循良好的安全习惯；实施桌面清空和屏幕清空策略以降低未授权访问或破坏纸、介质和信息处理设施的风险。

?? 策略四：网络访问控制

?策略目标：

防止对网络服务的非授权访问。

?策略内容：

对内部和外部网络服务的访问均应加以控制，以确保我行内部网络与外部网络之间的接口进行有效的控制或隔离；对网络环境中用户和设备身份应用了合适的鉴别机制；用户对我行信息服务的访问已根据控制规则和业务要求进行了限制。

?策略说明：

与网络服务的未授权和不安全连接可以影响整个组织。对于敏感或关键业务应用的网络连接或与高风险位置的用户的网络连接而言，采取严格的控制措施就显得特别重要。

控制大型网络的安全的有效方法是将该网络分成独立的逻辑网络域，将网络隔离成若干域的准则应基于风险评估和每个域内的不同访问控制策略和访问要求，还要考虑到相关成本和加入适合的网络路由或网关技术的性能影响。

由于无线网的边界很难定义，非授权访问的风险较高，我行应特别加强对无线网的管理，需要考虑限制使用无线网，或将无线网与内部和专用网络进行隔离。

?? 策略五：操作系统访问控制

?策略目标：

防止对操作系统的非授权访问。

?策略内容：

应启用安全措施限制授权用户对操作系统的访问，这些措施包括但不限于：按照已定义的访问控制策略鉴别授权用户；记录成功和失败的系统鉴别企图；记录专用系统特殊权限的使用；当违反系统安全策略时发布警报；提供合适的身份鉴别手段；必要时，限制用户的连接次数。

?策略说明：

一般而言，目前的各种操作系统都加强了访问控制的功能，我行应当尽量启用操作系统提供的访问控制功能。只有当操作系统访问控制功能不能满足业务需要时，才寻求专门访问控制解决方案。

?? 策略六：应用系统和信息访问控制

?策略目标：

防止对应用系统和信息的非授权访问。

?策略内容：

对应用软件和信息的逻辑访问只限于已授权的用户，应用系统的措施包括但不限于：按照定义的访问控制策略，控制用户访问信息和应用系统功能；防止能够越过系统控制或应用控制的任何实用程序、操作系统软件和恶意软件进行未授权访问；不损坏共享信息资源的其他系统的安全；

?策略说明：

应根据规定的访问控制策略，限制用户和支持人员对信息和应用系统功能的访问。对访问的限制应基于各个业务应用要求，访问控制策略也应与我行的访问策略一致。对敏感应用系统，可以考虑在独立的计算环境中运行。

?? 策略七：移动计算和远程工作

?策略目标：

在使用移动计算和远程工作设施时，确保信息的安全。

?策略内容：

当我行需要使用移动计算和远程工作时，应建立必要保护措施，以避免非保护的环境中的工作风险。

?策略说明：

当使用移动计算和通信设施时，例如，笔记本电脑、掌上机、智能卡和移动电话，应特别小心确保业务信息不被泄露。移动计算的保护措施有物理保护、访问控制、密码技术、备份和病毒预防的要求。对远程工作场地的合适保护应到位，以防止偷窃设备和信息、未授权泄露信息、未授权远程访问我行内部系统或滥用设施等。

九 系统开发与维护管理策略

?? 目的

本章的六个安全策略旨在确定我行获取、开发、维护信息系统所应遵守的关键控制点。

在信息系统获取和开发过程中就需要加强对信息安全的管理与控制，只有集成在软件开发过程中的安全措施，才能真正起到预防与控制风险的作用，而且在软件开发生命周期中，越早引入控制措施，将来运行与维护费用就越少。

?? 策略一：确定信息系统的安全需求

?策略目标：

确保将安全作为信息系统建设的重要组成部分。

?策略内容：

应用系统的所有安全需求都需要在项目需求分析阶段被确认，并且作为一个信息系统的总体构架的重要组成部分，要得到对其合理性的证明、并获得用户认可，同时要记录在案。

?策略说明：

信息系统安全包括基础架构软件、外购业务应用软件和用户自主开发的软件的安全，信息系统的安全控制应该在系统开发设计阶段予以实现，要确保安全性已构成信息系统的一部分，我行应该在信息系统开发前，或在项目开始阶段，识别所有的安全要求，并作为系统设计不可缺少的一部分，进行确认与调整。

?? 策略二：在应用中建立安全措施

?策略目标：

避免应用系统在运行过程中发生故障，并防止在应用软件系统中的用户数据的丢失、改动或者滥用。

?策略内容：

应当把适当的技术控制措施、查验追踪和活动日志等控制手段设计到应用软件系统中。这些措施应当包括对输入数据、内部处理和输出数据的检验。

?策略说明：

要保证应用系统的安全，需要在软件开发过程中，集成适当的安全控制技术措施，而且要在应用系统需求和应用系统设计中进行明确的表达。信息安全管理人员或??审计人员需要在需求评审阶段，着重检查必要的输入、处理和输出控制措施是否集成在系统中。

?? 策略三：实施密码控制

?策略目标：

保护信息的保密性、完整性和有效性。

?策略内容：

对于面临非授权访问威胁的信息，当其它管理措施无法对其进行有效保护时，应当用密码系统和密码技术进行保护。

?策略说明：

为防止我行敏感信息的泄露，可以利用加密技术对其进行处理后进行存储与传输；为防止重要信息被篡改或伪造，可以利用加密的办法对信息的完整性进行鉴别；在电子商务过程中，可以通过加密技术的应用（如数字签名）进行交易双方身份真实性认证，并防止抵赖行为的发生。

?? 策略四：保护系统文件的安全

?策略目标：

为确保??项目和支持行为以安全的方式进行，应当控制对系统文件的访问。

?策略内容：

应当维护系统文件中信息的完整性，这是应用程序系统、用户及开发人员的共同责任。

?策略说明：

系统文件是一种全局文件，可视为所有用户程序所用的文件（另一种解释是一种仅供操作系统访问的文件）。系统文件面临的典型威胁是使用错误的程序版本，从而导致数据的错误处理与数据破坏，以及由于测试目的使用操作数据而导致的信息泄露。因此要采取措施保护系统文件的安全。

?? 策略五：保证开发和支持过程的安全

?策略目标：

维护应用程序系统中的软件和信息的安全。

?策略内容：

我行应当对项目和支持环境进行严格控制，即对应用系统、操作系统及软件包的更改及软件外包活动进行安全控制。

?策略说明：

在应用系统的开发与维护过程中，应用程序的未授权修改、未进行评审的操作系统的更改、未加限制的软件包的更改等都会给我行的应用系统带来安全风险。所以要对应用软件开发与支持过程中的安全加以控制。

?? 策略六：对技术脆弱性进行管理

?策略目标：

减少由利用公开的技术脆弱点带来的风险。

?策略内容：

应及时获得我行所使用的信息系统的技术脆弱点的信息，评估我行对此类技术脆弱点的保护，并采取适当的措施。

?策略说明：

技术脆弱点管理应该以一种有效的、系统的、可反复的方式连同可确保其有效性的措施来实施。这些考虑应包括在用操作系统和任何其它的应用。

十 信息安全事故管理策略

??? 目的

安全事故就是能导致资产丢失与损害的任何事件，为把信息安全事件的损害降到最低的程度，追踪并从事件中吸取教训，我行应明确有关事故、故障和薄弱点的部门，并根据安全事件与故障的反应过程建立一个报告、反应、评价和惩戒的机制。

通过以下二个策略的建立，促进我行有效地对信息安全事件进行管理。

??? 策略一：报告信息安全事件和系统弱点

?策略目标：

确保与信息系统有关的安全事件和系统弱点能得到及时报告，以便采取必要的纠正措施。

?策略内容：

我行应建立有正式的报告信息安全事件和系统弱点的程序，并让所有的员工、合同方人员和第三方人员加以了解和执行。

?策略说明：

我行通过建立正式的信息安全事件报告程序，在收到信息安全事件和系统弱点报告后，可立即着手采取相应措施对安全事件进行响应。报告程序应建立报告信息安全事件的联系点，使我行内的每个人都知道这个联系点，并确保该联系点持续可用，并能提供充分且及时的响应。

??? 策略二：信息安全事件管理和改进

?策略目标：

确保使用持续有效的方法管理信息安全事件。

?策略内容：

一旦信息安全事件和弱点报告上来，应该立即明确责任，按照规程进行有效处理；我行还应建立能够量化和监控信息安全事件的类型、数量、成本的机制。

?策略说明：

应当应用一个连续性的改进过程，对信息安全事件进行响应、监视、评估和总体管理。从对信息安全事件评估中获取的信息，应该用来识别再发生的事件和重大影响的事件。如果需要证据的话，则应该搜集证据以满足法律的要求。

十一 业务连续性管理策略

??? 目的

制定和实施一个完整的业务持续计划应从理解自身业务的开始，进行业务影响分析和风险评估，在此基础上由管理高层形成本我行的业务持续战略方针，然后规划业务持续计划，进行计划的测试与实施，最后进行计划的维护与更新，并通过审计保证计划不断改进和完善。 本策略的制定旨在促进我行建立业务连续性计划，实现业务连续性管理。

??? 策略一：建立业务连续性管理程序

?策略目标：

保护我行的关键业务流程不会因信息系统重大失效或自然灾害的影响而造成中断。

?策略内容：

应当执行业务连续性管理程序，通过预防性和恢复性措施的结合，把灾难或者安全事故所导致的破坏减少到一个可以接受的水平。

?策略说明：

我行应建立业务连续性管理过程，通过风险评估识别我行的关键业务活动，并实施适当的计划，以恢复与抵消非正常中断的后果。业务连续性计划的范围应包括整个业务过程，不仅仅是??方面的服务。

十二 合规性策略

??? 目的

我行识别出己有的法律、法规并遵守及应用，可以更可靠、更有效地保护信息安全。我行在建立信息安全体系时，除了要遵守我行内的方针、策略、制度、操作指南的要求以外，还要服从国家的法律、法规要求，遵守行业规范，符合相关技术标准的要求，及考虑信息审核时对信息安全的影响等因素，这些都可以称为信息安全的符合性要求，这种要求往往是强制性的。本章三个策略的建立旨在促进我行的合规性要求。

??? 策略一：与法律法规要求的符合性

?策略目标：

我行应避免违反法律、法规、规章、合同的要求和其他的安全要求

?策略内容：

信息系统的设计、运行、使用和管理要符合法律、法规及合同的要求。

?策略说明：

对每一个信息系统和我行而言，所有相关的法律、法规和合同要求，以及为满足这些要求我行所采用的方法，应加以明白地定义、形成文件并保持更新。特定的法律要求方面的建议应从我行的法律顾问或者合格的法律从业人员处获得。

??? 策略二：符合安全政策和标准以及技术符合性

?策略目标：

确保系统符合我行的安全策略及标准。

?策略内容：

我行应定期对信息系统的安全进行合规性评审和技术评审，判断其是否符合适用的安全政策、实施标准和文件化的安全控制措施。

?策略说明：

管理人员应对自己职责范围内的信息处理是否符合合适的安全策略、标准和任何其它安全要求进行定期评审。评审结果和管理人员采取的纠正措施应被记录，且这些记录应予以维护。

技术符合性检查应由有经验的系统工程师手动执行（如需要，利用合适的软件工具支持），或者由技术专家用自动工具来执行，此工具可生成供后续解释的技术报告。

??? 策略三：信息系统审核考虑

?策略目标：

将信息系统审核过程的有效性最大化，干扰最小化。

?策略内容：

在系统审核期间，为保护审核工具的完整性和防止滥用审核工具，需要建立必要的控制措施。

?策略说明：

涉及对运行系统检查的审核要求和活动，应谨慎地加以规划并取得批准，以便最小化造成业务过程中断的风险。

信息系统审核工具，如软件或数据文件，应与开发和运行系统分开，并且不能保存在磁带库或用户区域内，除非给予合适级别的附加保护。

如果审核涉及到第三方，则可能存在审核工具被这些第三方滥用，以及信息被第三方我行访问的风险。应采取措施应对任何后果，如立即改变泄露给审核人员的口令。

[技术管理,计算机网络,信息]计算机网络信息安全技术管理与应用

计算机网络信息安全技术管理与应用 摘要：在互联网高度发达的今天，网络信息安全问题成为全世界共同关注的焦点。包含计算机病毒、木马、黑客入侵等在内的计算机网络信息安全事故频繁发生，给信息时代的人们敲响了警钟。互联网技术的广泛应用，给人们的工作、学习和生活带来了极大的便利，提高了工作效率，降低了活动成本，使原本复杂、繁琐的工作变得简单易行。但互联网开放、自由的特点又使得其不得不面临许多问题。文章围绕基于网络信息安全技术管理的计算机应用进行探讨，分析了当前计算机网络信息安全发展现状及存在的主要问题，介绍了主要的网络信息安全防范技术，希望能够帮助人们更好地了解网络信息安全知识，规范使用计算机，提高网络信息安全水平。 关键词：网络；信息安全；黑客；计算机应用 引言 计算机和互联网的发明与应用是二十世纪人类最重要的两项科学成果。它们的出现，深深改变了人类社会生产、生活方式，对人们的思想和精神领域也产生了重大影响。随着互联网的出现，人类社会已经步入信息时代，网络上的海量信息极大地改善了人们工作条件，原本困难的任务变得简单，人们的生活更加丰富多彩。计算机和互联网在给人们带来巨大的便利的同时，也带来了潜在的威胁。每年因为网络信息安全事故所造成的经济损失就数以亿计。网络信息安全问题也日渐凸显，已经引起各国政府和社会各界的高度关注。加强计算机网络信息安全技术研究与应用，避免网络信息安全事故发生，保证互联网信息使用安全是当前IT 产业重点研究的课题。 1计算机网络信息安全现状及存在的主要问题 1.1互联网本身特性的原因 互联网具有着极为明显的开放性、共享性和自由性特点，正是这三种特性，赋予了互联网旺盛的生命力和发展动力。但同时，这三个特点也给互联网信息安全带来了隐患。许多不法份子利用互联网开放性的特点，大肆进行信息破坏，由于互联网安全管理体制机制尚不完善，用户的计算机使用行为还很不规范，缺乏安全防范意识等，这些都给不法份子进行违法活动创造了机会。 1.2黑客行为与计算机病毒的危害 黑客行为和计算机病毒、木马等是现阶段计算机安全最主要的两大威胁。所谓黑客，是指利用计算机知识、技术通过某种技术手段入侵目标计算机，进而进行信息窃取、破坏等违法行为的人。黑客本身就是计算机技术人员，其对计算机的内部结构、安全防护措施等都较为了解，进而能够通过针对性的措施突破计算机安全防护，在不经允许的情况下登录计算机。目前就世界范围而言，黑客数量众多，规模庞大，有个人行为，也有组织行为，通过互联网，能够对世界上各处联网计算机进行攻击和破坏。由于计算机用途广泛，黑客行为造成的破坏结果也多种多样。计算机病毒是一种特殊的计算机软件，它能够自我复制，进而将其扩散到目标计算机。计算机病毒的危害也是多种多样的，由于计算机病毒种类繁多，且具有极强的

信息安全管理系统

信息安全管理系统 一、产品聚焦 1、随着企业信息化进程的不断推进，信息安全问题日益凸显。信息技术水平不断在提升的同时，为何信息泄露，信息安全事件仍然时有发生 2、对于信息安全事件为何我们不能更多的在“事前”及时的发现并控制，而是在“事后”进行补救 3、信息安全管理工作“三分技术、七分管理”的原因何在 4、信息安全管理工作种类繁多，安全管理人员疲于应付，是否有合适的管理手段对其归类，有的放矢，加强针对性、提升工作效率是否需要有持续提升信息安全意识和增强知识学习的管理体系 二、产品简介 该产品通过与企业信息安全管理的现状紧密结合，融合国际主流及先进的风险管理方法、工具、设计理念，有效结合国内外对信息安全管理工作提出的相关安全标准体系要求，通过建立企业信息安全风险全生命周期、全面风险来源、全目标管理的全方位风险管理模型，以监测预警防风险、风险流程查隐患、风险应对控事态、监督评价促改进、保障体系提意识，保证信息安全风险管理在企业的落地生效。 三、产品特点 1、业务的无缝集成 无缝集成企业终端防护类安全系统、边界防护类安全系统、系统防护类安全系统、数据防护类安全系统、综合监管类安全管理系统以及相关的基础认证和授权平台等，实现对信息安全事件引发因素的全面监测和智能分析，有的放矢的对信息安全工作进行管理。 2、“上医未病，自律慎独”的风险管理体系 目标鲜明、方法合理、注重实效，为企业信息化进程保驾护航。基于企业现有管理制度和安全防御体系构建，实现系统的行之有效、行之有依。 3、合理的改进咨询建议 通过系统建设对企业信息安全管理现状进行梳理和分析，提供合理有效的改进咨询建议。 4、创新实用的管理工具 蝴蝶结模型、风险矩阵、风险热图等主流风险管理模型的实用化创新应用；德尔菲打分法、层次分析法、灰色评价法等科学分析方法的灵活嵌入；正态分布、泊松分布等概率模型的预测分析，致力于提升风险管理工作的精细度和准确度。 5、预置的信息安全风险事件库 由信息安全及风险管理专家组成的专家团队结合国内外的相关信息安全管理标准梳理的风险事件库基础信息，可在系统建设初期提供有力的业务数据支持。 6、持续渐进的信息安全知识管理 信息安全风险知识管理不仅仅是信息安全相关知识的积累和技术的提升、还在于信息安全管理意识的提升，通过信息安全知识管理体系的建立，提升全员的信息安全管理意识，并提供最新的信息安全知识储备。 四、应用效果 对信息安全风险管理全过程的数据、重点关注的风险主题进行全方位的数据分析，采用科学合理的数据分析模型，以灵活多样化的图表进行展现以辅助决策。 五、产品功能 1、目标管理 维护企业信息安全战略目标、不同层级风险管理目标、目标预警指标、目标风险等。以目标为龙头开展企业信息安全风险管理工作。 2、风险识别 利用层次分析法逐层分析，识别企业信息安全工作中包含的资产、资产脆弱性和面临的威胁，全面辨识风险源并制定相应的防控措施，并针对风险事件制定缓解措施。 3、风险评估 创新利用科学合理的风险评估方法对威胁发生概率、严重程度进行评估，量化风险指数，借助评估工具得出防范风险优先级并对风险分布进行展示。 4、监测预警 依托企业现有的信息安全防范体系架构，设置风险监控点，以风险管理视角对各重要的信息安全指标进行实时的数据监控，发挥信息系统“摄像头”的职能，针对信息安全关注的重大风险进行实时预警提示，确保风险的提前警示和预先处理。

信息安全管理制度..

信息工作管理制度 第一章总则 第一条为了加强信息管理，规范信息安全操作行为，提高信息安全保障能力和水平，维护信息安全，促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等规定，以《环境信息网络管理维护规范》（环保部制定）等标准为基本管理操作准则，制订本管理制度。 第二条本制度适用范围为信息与监控中心，其他单位可参照执行。 第二章岗位管理 第三条业务信息工作人员（包括监控与信息中心技术人员及机关业务系统管理人员）、机房运维人员（包括外包机构人员），应遵循《环境信息网络管理维护规范》等规定。 第四条机房运维人员根据运维合同规定由机房管理部门对其实行管理。 第五条信息工作人员岗位设置为系统管理员、业务管理员、网络管理员、安全管理员、安全审计员。 人员岗位及职责 （一）系统管理员 系统管理员是从事服务器及存储设备运行管理的人

员，业务上应具备熟练掌握操作系统、熟练操作服务器和存储设备的能力。 1、负责指定的服务器、存储等设备的资料登记、软件保管及设备报修。 2、配合完成指定的业务软件运行环境的建立，正式运行后的服务器系统软硬件操作的监管，执行中心的备份策略。 3、在所负责的的服务器、存储设备发生硬件故障时,及时组织有关人员恢复系统的运行,针对系统事故找到系统事故原因。 4、负责指定的服务器操作系统的管理口令修改。 5、负责制定、执行服务器及存储设备故障应急预案。 （二）业务管理员（业务联系人） 业务管理员是部署在应用服务器上的操作系统及业务系统运行管理的人员，业务上应具备业务系统安装及基本调试操作的能力（业务软件厂家负责培训），业务系统及部署操作系统故障分析的能力，预防系统风险的能力。 1、负责维护业务系统的运行及业务系统的安装环境。 2、负责制定、执行业务系统及其数据的备份计划。 3、负责业务数据的数据备份及数据恢复。 4、负责制定执行本业务系统的故障应急预案。 （三）网络管理员

《信息安全技术》习题及答案

精心整理连云港专业技术继续教育—网络信息安全总题库及答 案 信息安全技术试题及答案 1. 2. 3. 4. 5. 6. 7. 8. 9., 10. 11. 12. 1. 2. 3.对目前大量的数据备份来说，磁带是应用得最广的介质。√ 4.增量备份是备份从上次完全备份后更新的全部数据文件。× 5.容灾等级通用的国际标准SHARE78将容灾分成了六级。× 6.容灾就是数据备份。× 7.数据越重要，容灾等级越高。√ 8.容灾项目的实施过程是周而复始的。√ 9.如果系统在一段时间内没有出现问题，就可以不用再进行容灾了。×

二、单选题 1.代表了当灾难发生后，数据的恢复程度的指标是 A.RPO B.RTO C.NRO D.SDO 2.代表了当灾难发生后，数据的恢复时间的指标是 A.RPO B.RTO C.NRO D.SD0 3.容灾的目的和实质是 A.数据备份 B.心理安慰 C.保持信息系统的业务持续性 D.系统的有益补充 4.容灾项目实施过程的分析阶段，需要进行 A. C. 5. 一。 A. 6. A. C. 7. A. 8、 A 9、 A 12、 A 1. A. C. E成本 2.系统数据备份包括的对象有一一一。 A.配置文件 B.日志文件 C.用户文档 D.系统设备文件 3.容灾等级越高，则一一一。 A.业务恢复时间越短C.所需要成本越高 B.所需人员越多D.保护的数据越重要 4、数据安全备份有几种策略（） A、全备份； B、增量备份； C、差异备份； D、手工备份 5、建立DisasterRecovery（容灾系统）的前提是什么（）多选

A、自然灾害（地震、火灾，水灾...)； B、人为灾害（错误操作、黑客攻击、病毒发作...) C、技术风险（设备失效、软件错误、电力失效...） 6、IBMTSMFastback可以支持数据库系统包括（）多选 A、MSSQL； B、Oracle； C、DB2； D、MYSQL 7、IBMTSMFastback可以支持的存储介质包括（） A、磁带介质； B、磁盘介质； C、磁带库； D、磁盘柜 基础安全技术 系统安全 1.× 2. (如 3. 5. 6. 7. A.本地帐号 B.域帐号 C.来宾帐号 D.局部帐号 3.计算机网络组织结构中有两种基本结构，分别是域和 A.用户组 B.工作组 C.本地组 D.全局组 4.某公司的工作时间是上午8点半至12点，下午1点至5点半，每次系统备份需要一个半小时，下列适合作为系统数据备份的时间是一一一。 A.上午8点 B.中午12点 C.下午3点 D.凌晨1点 5、.FTP(文件传输协议,FileTransferProtocol,简称HP)服务、SMTP(简单邮件传输协议,SimpleMailTransferProtocol,简称SMTP)服务、HTTP(超文本传输协

《信息安全技术与应用》试题2AD-A4

考试方式：闭卷Array ××××大学信息安全技术与应用试卷(A) I. 选择题（从四个选项中选择一个正确答案，每小题2分，共40分） 1. 信息未经授权不能改变的安全特性称为。 a.保密性 b. 有效性 c. 可控性 d. 完整性 2. 网络安全涉及的保护范围比信息安全。 a. 大 b. 相同 c. 小 d. 无关 3. 软件产品通常在正式发布之前，一般都要相继发布α版本、β版本和γ版本供反复测试使用，主要目的是为了尽可能。 a. 提高软件知名度 b. 改善软件易用性 c. 完善软件功能 d. 减少软件漏洞 4. 因特网安全系统公司ISS提出的著名PPDR网络安全模型指。 a. 策略、评估、设计和履行 b. 法律、法规、管理和技术 c. 策略、保护、检测和响应 d. 法律、法规、管理和教育 5.具有原则的网络安全策略是提高安全投资回报和充分发挥网络效能的关键。 a. 最小化 b. 均衡性 c. 易用性 d. 时效性 第 1 页共6 页

6. 违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统违反了。 a. 中华人民共和国治安管理处罚条理 b. 中华人民共和国刑法 c. 中华人民共和国保守国家秘密法 d. 中华人民共和国电子签名法 7. 下列那个机构专门从事安全漏洞名称标准化工作。 a. ITU b. IEEE c. CERT d. CVE 8. 《国际通用信息安全评价标准ISO/IEC 15408》在安全保证要求中定义了7个评价保证等级，其中的安全级别最低。 a. EAL7 b. EAL6 c. EAL4 d. EAL5 9.收发双方使用相同密钥的加密体制称为。 a. 公钥加密 b. 非对称式加密 c. 对称式加密 d. 数字签名 10. 从主体出发表达主体访问客体权限的访问控制方法称为。 a. 访问控制列表 b. 访问能力表 c. 自主访问控制 d. 授权关系表 11. 通过抢占目标系统资源使服务系统过载或崩溃的攻击称为。 a. 缓冲区溢出攻击 b. 拒绝服务攻击 c. 漏洞扫描攻击 d. 获取用户权限攻击 12. 当入侵检测监视的对象为主机审计数据源时，称为。 a. 网络入侵检测 b. 数据入侵检测 c. 主机入侵检测 d. 误用入侵检测 第 2 页共6 页

信息安全管理系统的规范

信息安全管理系统的规范 第二部分:信息安全管理系统的规范 1 1. 范围 BS 7799的这个部分指明了对建立、实现和文档化信息安全管理系统(ISMSs)的需求。它指明了将要按照个别机构的需要而实现的安全控制的需求。 注:第一部分给出了对最佳惯例的推荐建议，这些惯例支持该规范中的需求。BS 7799的这个部分的条款4给出的那些控制目标和控制来自于BS 7799-1:1999并与改部分的内容保持一致。 2. 术语与定义 为了BS 7799的这个部分，BS 7799-1给出的定义适用于该部分，并有以下专用术语: 2.1 适用性说明 适用于机构的安全要求的目标和控制的批评。 3.信息安全管理系统的要求 3.1概要 机构应建立及维护一个信息安全管理系统，目的是保护信息资产，订立机构的风险管理办法、安全控制目标及安全控制，以及达到什么程度的保障。 3.2建立一个管理框架 以下的步骤是用来找出及记录安全控制目标及安全控制的(参看图一): a) 应定义信息安全策略; b) 应定义信息安全管理系统的范围，定义范围可以是机构的特征、位置、资产及 技术;

c) 应进行合适的风险评估。风险评估应确认对资产的安全威胁、漏洞及对机构的 冲击，从而定出风险的严重程度; d) 根据机构的信息安全策略及所要求达到的保障程度定出要管理的风险; e) 从以下第四条款选出机构要实现的安全控制目标及要实施的安全控制; f) 应准备一份适用性声明书，说明选出哪些安全控制目标及安全控制以及选择的 原因。 以上步骤应定期重复，确定系统的适用性。 2 3.3实施 选出的安全控制目标及安全控制应由机构有效地执行，实施控制的执行程序是否有效应根据4.10.2的规定进行检查。 3.4文档 信息安全管理系统的说明文档应包括以下信息: a) 按照3.2所定的步骤实现的证据; b) 管理架构的总结，其中包括信息安全策略、在适用性声明书所提及的安全控制 目标和已经实现的安全控制; c) 为了实现3.3所指定的控制而采用的程序;这些程序应该刻画责任以及相关行 动; d) 覆盖该ISMS中的管理和操作的程序，这些程序应该指出有哪些责任及其有关

ISMS手册信息安全管理体系手册

ISMS 手册-信息安全管理体系手册7 信息安全管理IT 服务管理体系手册 发布令 本公司按照ISO20000:2005 《信息技术服务管理—规范》和ISO27001 ：2005 《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》，建立与本公司业务相一致的信息安全与IT 服务管理体系， 现予以颁布实施。 本手册是公司法规性文件，用于贯彻公司信息安全管理方针和目标，贯彻IT 服务管理理念方针和服务目标。为实现信息安全管理与IT 服务管理，开展持续改进 服务质量，不断提高客户满意度活动，加强信息安全建设的纲领性文件和行动准 则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺，通过有效的PDCA 活动向顾客提供满足要求的信息安全管理和IT 服务。 本手册符合有关信息安全法律法规要求以及ISO20000:2005 《信息技术服务 管理—规范》、ISO27001 ：2005 《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT 服务管理方面的策略和方针，根据 ISO20000:2005 《信息技术服务管理—规范》和ISO27001 ：2005 《信息安全管理体系要求》的要求任命XXXXX 为管理者代表，作为本公司组织和实施“信息安全管理与IT 服务管理体系”的负责人。直接向公司管理层报告。 全体员工必须严格按照《信息安全管理&IT 服务管理体系手册》要求，自觉遵守本手册各项要求，努力实现公司的信息安全与IT 服务的方针和目标。 管理者代表职责：

a）建立服务管理计划； b）向组织传达满足服务管理目标和持续改进的重要性； e）确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源，如招聘合适的人员，管理人员的更新； 1．确保按照ISO207001:2005 标准的要求，进行资产识别和风险评估，全面建立、实施和保持信息安全管理体系；按照ISO/IEC20000 《信息技术服务管理－规范》的要求，组织相关资源，建立、实施和保持IT 服务管理体系，不断改进IT 服务管理体系，确保其有效性、适宜性和符合性。 2．负责与信息安全管理体系有关的协调和联络工作；向公司管理层报告 IT 服务管理体系的业绩，如：服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。 3．确保在整个组织内提高信息安全风险的意识； 4．审核风险评估报告、风险处理计划； 5．批准发布程序文件； 6．主持信息安全管理体系内部审核，任命审核组长，批准内审工作报告； 向最高管理者报告信息安全管理体系的业绩和改进要求，包括信息安全管理体系运行情况、内外部审核情况。 7．推动公司各部门领导，积极组织全体员工，通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度，以及为达到公司服 务管理目标所应做出的贡献。 总经理：

信息安全管理体系与技术提纲

第一讲信息安全管理体系 ?信息资产及其价值 ?组织的信息资产有哪些？ 业务数据、应用系统、专利及标准、设施和环境、关键人员、文件、图纸、管理规章等等。 ?信息安全－信息安全的基本要素、需求来源、目标 ?信息安全基本要素？（在不同历史阶段有着不同的涵义） COMSEC阶段：保密性 COMPUSEC阶段：CIA三元组－保密性、完整性、可用性 IA阶段：私密性、可追溯性、抗抵赖性、可控性、真实性等 ?信息安全的需求来源？ 法律法规和合同的约束；组织的原则、目标和规定；风险评估的结果 ?信息安全的目标？ 一般目标：维护信息的保密性、完整性、可用性、可追溯性、真实性和可靠性。 根本目标：维护组织关键业务活动的持续性和有效性。 ?信息安全管理 ?对于信息安全管理的认识（大题） 管理最基本的职能：计划、组织、领导、控制 信息安全管理就是风险管理。 安全技术只是信息安全控制的手段，要让安全技术发挥应有的作用，必须要有适当的管理 程序支持。信息安全管理作为组织完整的管理体系中一个重要的环节，构成了信息安全具 有能动性部分，是指导和控制组织关于信息安全风险的相互协调的活动。如果说安全技术 是信息安全的构筑材料，那安全管理就是真正的粘合剂和催化剂。只有将有效的安全管理 从始至终贯彻落实于安全建设的方方面面，信息安全的长期性和稳定性才能有所保证。 管理过程而非技术过程 高层支持 策略并不等于执行力 动态而非静态 主动而非被动 全员参与，培训开路 平衡性原则 ?信息安全管理的认识误区 重技术、轻管理 缺少安全意识 缺乏安全策略 缺乏系统的管理思想 法律法规不完善 ?信息安全管理模型 P2DR 模型（CC）：P: 策略P: 防护D: 检测R: 响应

信息安全技术与云运维专业国内培训方案

信息安全技术与云运维专业国内培训方案为了贯彻《教育部财政部关于实施职业院校教师素质提高计划的意见》要求，根据《关于做好2014年度高等职业学校专业骨干教师国家级培训项目申报工作的通知》（教职成司函〔2013〕228号）精神，南京富士通南大软件技术有限公司等3家企业与南京工业职业技术学院协商研讨，共同制订本培训方案。 一、机构背景与培训能力 南京工业职业技术学院是一所具有九十多年办学历程的全日制公办普通高校，为我国首批国家示范性高等职业院校。学院的基本情况可以用“五个一”概括：一是我国第一所专门从事职业教育并以“职业”冠名的学校；二是江苏省第一所获得教育部高职高专人才培养工作水平评估“优秀”的学校；三是“国家示范性高职院校建设计划”首批立项建设和首批通过验收的学校；四是高中后招生录取分数线连续3年江苏省同类院校最高；五是江苏省首批人才强校试点单位。计算机与软件学院信息安全管理专业是我院重点建设专业，代表江苏省参加两届全国职业院校技能大赛“信息安全管理”赛项获二等奖、一等奖，为江苏省最好成绩。 南京工业职业技术学院在师资顶岗培训、学生订单培养、顶岗实习、就业等方面与南京神州数码网络技术有限公司进行了多层面的深度合作，签署了校企合作框架协议、师资培养协议以及学生顶岗实习就业协议等一系列合作协议。学院2位教师具有信息安全管理与评估的工程经验，评估与加固许多企业安全项目。 二、培训能力 南京工业职业技术学院网络信息安全管理专业现有师资队伍中有教授1人，副教授4人，92%研究生以上学历，均为“双师型”教师，教师累计在信息安全领域对企业服务次数达数十次，涉及信息安全评估、信息安全加固等方向，累计到账金额约5万元。另聘请了网监处2名行业专家，及信息安全相关企业的技术人员7人为本专业兼职教师。本专业拥有150平方米校内“网络与信息安全实训中心”，拥有信息安全技术工作室一个，积累行业知识与案例达5G容量。校外有神州数码等十家大中型信息安全服务企业作为实训基地。2012年承担信息安全专业教师培训，完成省级以上高校教师培训50余人次。2012年南京工业职业技术学院与南京富士通南大软件技术有限公司合作，共建南工院云计算中心，中心占地面积130平米。具备了提供云计算技术培训、云计算教学环境构建与运行的能力。 三、培训专业范围 依据南京工业职业技术在信息安全技术领域的专业积累，结合神州数码网络技术有限公司、南京富士通南大软件技术有限公司企业研发与生产领域，本次培训涉及网络安全管理、信息安全监查、安全评估、等级保护评测、云计算平台的构建与运维等知识与实践领域，对引导各职业进行信息安全专业建设、云计算技术普及与推广有促进作用。 四、培训目标 信息安全技术与云运维骨干教师培训班，旨在实现对职业院校信息安全专业骨干教师职业能力的一次强化，通过培训学习，使学员了解信息安全知识与技能体系，用现代职业教育理念与方法承载信息安全领域实战能力；掌握信息安全管理与评估行业主轴；了解和掌握当前云计算技术的主流技术、平台构建和运维管理。通过学习培训，掌握相关专业建设和课程开发能力、教学方法设计能力和实践教学能力；共同探讨新形势下信息安全与云计算技术应用与管理相关专业人才培养模式的创新以及“双师结构”专业教学团队的建设问题。同时扩大职业院校间的交流与合作，发挥国家示范性院校引领和辐射作用。 五、培训内容 本培训内容突出专业领域新理论、前沿技术及关键技能的培养，基于信息安全管理与评估职业领域的发展及对人才技能的需求，以“项目教学、实境训练”为特征的理论、实践相融合作为切入点，引导教学内容和教学方法改革。 主要培训内容如下：

工业控制系统信息安全管理制度(修订版)

工业控制系统信息安全管理制度 1 适用范围 为了规范公司工业控制系统的使用和操作，防止发生人为或意外损坏系统事故以及误操作引起的设备停运，保证工控系统的稳定运行，特制定本制度。 本制度适用于DCS及DEH系统以及辅控网DCS。 2 计算机使用管理 2.1 工程师站严格按照权限进行操作，无关人员不准使用。 2.2 工程师站、操作员站等人机接口系统应分级授权使用。严禁非授权人员使用工程师站的系统组态功能，工程师站用户的权限可以实施逻辑修改和系统管理工作；操作员站用户权限，查看运行状态画面，实施监控。 2.3 每三个月更改一次口令，同时检查每一级用户口令的权限设置应正确。口令字长应大于6个字符并由字母数字混合组成。修改后的口令应填写《DCS系统机器密码记录》，妥善保管。 2.4 计算机在使用过程中发生异常情况，立即停止当前操作，通知集控室负责人和相关维修人员。如服务器发生故障，按各《信息系统故障应急预案》操作，维修人员记录《软件故障处理和修改记录》。 2.5 使用工程师站计算机后，需详细填写《工程师站出入及机器使用记录》后方可离开。 3 软件保护 3.1 严禁在计算机控制系统中使用其他无关软件。除非软件升级或补丁的需要，严禁在计算机控制系统中使用U盘、光盘等。 3.2 禁止向DCS网络中连接系统外接计算机、手机。

3.3 在连接到DCS中的计算机上进行操作时，使用的可读写存储介质必须是固定的一个设备，并且在每次使用前对其进行格式化处理，然后才可以接入以上计算机。 4 软件的修改、保存及维护 4.1 更新、升级计算机系统软件、应用软件或下载数据，其存储介质须是本计算机控制系统专用存储介质，不允许与其他计算机系统交换使用。 4.2进行计算机软件、系统组态、设定值等修改工作，必须严格执行相关审批手续后方可工作，同时填写《组态及参数修改记录》，并及时做好修改后的数据备份工作。 5 软件和数据库备份 5.1 计算机控制系统的软件和数据库、历史数据应定期进行备份，完全备份间隔三个月一次，系统备份必须使用专用的U盘备份，并且由系统管理员进行相关操作。 5.2 对系统软件（包括操作系统和应用软件）的任何修改，包括版本升级和安装补丁，都应及时进行备份。 5.3备份结束后，在备份件上正确标明备份内容、对象，并做好记录，填写《DCS系统备份记录》。 5.4 DCS中各系统的备份必须由系统管理员定期手动进行，具体要求同上。 有限公司 2017年1月 1日

信息安全技术 IPSec VPN安全接入基本要求与实施指南(标准状态：现行)

I C S35.040 L80 中华人民共和国国家标准 G B/T32922 2016 信息安全技术I P S e cV P N安全接入 基本要求与实施指南 I n f o r m a t i o n s e c u r i t y t e c h n o l o g y B a s e l i n e a n d i m p l e m e n t a t i o n g u i d e o f I P S e cV P Ns e c u r i n g a c c e s s 2016-08-29发布2017-03-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布

目 次 前言Ⅰ 引言Ⅱ 1 范围1 2 规范性引用文件1 3 术语和定义1 4 缩略语2 5 I P S e cV P N 安全接入场景3 5.1 网关到网关的安全接入场景3 5.2 终端到网关的安全接入场景3 6 I P S e cV P N 安全接入基本要求3 6.1 I P S e cV P N 网关技术要求3 6.2 I P S e cV P N 客户端技术要求5 6.3 安全管理要求5 7 实施指南6 7.1 概述6 7.2 需求分析7 7.3 方案设计7 7.4 配置实施7 7.5 测试与备案8 7.6 运行管理8 附录A (资料性附录) 典型应用案例9 附录B (资料性附录) I P v 6过渡技术12 参考文献14 G B /T 32922 2016

G B/T32922 2016 前言 本标准按照G B/T1.1 2009给出的规则起草三 本标准由全国信息安全标准化技术委员会(S A C/T C260)提出并归口三 本标准起草单位:国家信息中心二华为技术有限公司二中安网脉(北京)技术股份有限公司二网神信息技术(北京)股份有限公司二北京天融信科技股份有限公司二迈普通信技术股份有限公司三本标准主要起草人:罗海宁二周民二吕品二冷默二黄敏二徐浩二张锐卿二任献永二徐惠清二邵国安三 Ⅰ

信息安全技术与应用试题2ADA4

文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.

文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.

文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.

文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.

文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持. （10）安全解决方案的经费预算。 IV. 根据表1所示的端口扫描分组信息回答下列问题（共10分）。 表1 协议分析软件捕获的部分端口扫描分组 Source Destination Protocol Info 219.226.87.79219.226.87.78TCP2921 > 233 [SYN] Seq=0 Ack=0 Win=16384 Len=0 MSS=1460 219.226.87.78219.226.87.79TCP233 > 2921 [RST, ACK] Seq=0 Ack=0 Win=0 Len=0 219.226.87.79219.226.87.78TCP2922 > 5405 [SYN] Seq=0 Ack=0 Win=16384 Len=0 MSS=1460 219.226.87.78219.226.87.79TCP5405>2922 [SYN, ACK] Seq=0 Ack=1 Win=17520 Len=0 MSS=1460 219.226.87.79219.226.87.78TCP2922 > 5405 [RST] Seq=1 Ack=1 Win=0 Len=0 219.226.87.79219.226.87.78TCP2923 > 2032 [SYN] Seq=0 Ack=0 Win=16384 Len=0 MSS=1460 219.226.87.78219.226.87.79TCP2032 > 2923 [RST, ACK] Seq=0 Ack=0 Win=0 Len=0 219.226.87.79219.226.87.78TCP2924 > 32786 [SYN] Seq=0 Ack=0 Win=16384 Len=0 MSS=1460 219.226.87.78219.226.87.79TCP32786 > 2924 [RST, ACK] Seq=0 Ack=0 Win=0 Len=0 219.226.87.79219.226.87.78TCP2925 > 35 [SYN] Seq=0 Ack=0 Win=16384 Len=0 MSS=1460 219.226.87.78219.226.87.79TCP35 > 2925 [RST, ACK] Seq=0 Ack=0 Win=0 Len=0 1. 指出端口扫描类型（4分） TCP SYN 扫描 2. 指出开放的端口号或服务（3分） 5405 3. 指出被扫描的主机IP地址（3分）

信息安全系统管理系统要求规范

信息安全管理规范公司

版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要

Table of Contents（目录） 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级（保密级别）规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息？ (21) 2.2什么是信息安全？ (21)

全国计算机等级考试三级信息安全技术知识点总结71766

第一章信息安全保障概述 1.1信息安全保障背景 1.什么是信息？ 事物运行的状态和状态变化的方式。 2.信息技术发展的各个阶段？ a.电讯技术的发明 b.计算机技术发展 c.互联网的使用 3.信息技术的消极影响？ 信息泛滥、信息污染、信息犯罪。 4.信息安全发展阶段？ a.信息保密 b.计算机安全 c.信息安全保障 5.信息安全保障的含义？ 运行系统的安全、系统信息的安全6.信息安全的基本属性？

机密性、完整性、可用性、可控性、不可否认性 7信息安全保障体系框架？ 保障因素：技术、管理、工程、人员 安全特征：保密性、完整性、可用性 生命周期：规划组织、开发采购、实施交付、运行维护、废弃8.P2DR模型？ 策略(核心)、防护、监测、响应 9.IATF信息保障的指导性文件？ 核心要素：人员、技术(重点)、操作 10.IATF中4个技术框架焦点域？ a.保护本地计算环境 b.保护区域边界 c.保护网络及基础设施 d.保护支持性基础设施 11.信息安全保障工作的内容？ a.确定安全需要 b.设计实施安全方案

d.实施信息安全监控和维护 12.信息安全评测的流程？ 见课本p19图1.4 受理申请、静态评测、现场评测、风险分析 13.信息监控的流程？ 见课本p20图1.5 受理申请、非现场准备、现场准备、现场监控、综合分析 1.1.1信息技术及其发展阶段 信息技术两个方面：生产：信息技术产业；应用：信息技术扩散 信息技术核心：微电子技术，通信技术，计算机技术，网络技术 第一阶段，电讯技术的发明；第二阶段，计算机技术的发展；第三阶段，互联网的使用 1.1.2信息技术的影响 积极：社会发展，科技进步，人类生活 消极：信息泛滥，信息污染，信息犯罪 1.2信息安全保障基础

信息安全技术及应用

信息安全技术及应用文稿归稿存档编号：[KKUY-KKIO69-OTM243-OLUI129-G00I-FDQS58-

信息安全技术及应用· 浅谈网络信息安全及其防范技术 刘 辉 (天津滨海职业学院信息工程系,天津300451) 摘要:介绍网络信息安全的内容及其特性,分析了影响网络安全的主要因素,针对目前常见的网络安全隐患提出了有效的防范技术. 关键词:网络信息安全;防范技术 中图分类号:TP309.2 文献标识码:A Simply Discussion of the Network Information Security and Precautionary Technology UU Hui (Department of Information E.sineering,Tianjin Coastal Polytechnic Imtitute,Tianjin Key words:Network information security;Precautionary technology 300451) 计算机网络是通过某种通信手段,把地理上分散的计算机连接起来实现资源共享的系统. 因此在计算机网络的设计过程中,人们总是过多地考虑如何能够方便地实现资源共享,但 在实际应用中,资源共享总是在一个局部或者某些特定用户之间进行的,超越了这个范围,就会造成信息泄密,信息破坏等危害网络安全的现象,这是所有设计者和使用者都不希望 出现的,因此必须通过采用各种技术和管理措施,使网络系统正常运行.从而确保网络数 据的可用性,完整性和保密性.确保经过网络传输和交换的数据不会发生增加,修改,丢失 和泄露等现象.

信息安全管理体系建设

a* ILIMOOH 佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 时间：2015年12月

信息化建设引言 随着我国中小企业信息化的普及，信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面：信息化在中小企业的发展程中，对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面伴随着全球信息化和网络化进程的发展，与此相关的信息安全问题也日趋严 重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识，导致中小企业的信息安全面临着较大的风险，我国中企业信息化进程已经步入普及阶段，解决我国中小企业的信息安全问题已经不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为，保证各种技术手段的有效实施，从整体上统筹安排各种软硬件，保证信息安全体系同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故生后能够及时采取有效的措施，防止信息安全事故带来巨大的损失，而更重的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的，由 新的威胁不断出现，信息安全管理是一个相对的、动态的过程，企业能做到的 就是要不断改进自身的信息安全状态，将信息安全风险控制在企业可接受的围之内，获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域，三分技术，七分管理”的理念已经被广泛接受。结合 ISO/IEC27001信息安全管理体系，提出一个适合我国中小企业的信息安全管理的模型，用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管 理能力。 IS027001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行（如下

信息技术 安全技术 信息安全管理实用规则

信息技术 安全技术 信息安全管理实用规则 Information technology-Security techniques -Code of practice for information security management （ISO/IEC 17799：2005）

目 次 引 言 ................................................................... III 0.1 什么是信息安全？ ..................................................... III 0.2 为什么需要信息安全？ ................................................. III 0.3 如何建立安全要求 ..................................................... III 0.4 评估安全风险 .......................................................... IV 0.5 选择控制措施 .......................................................... IV 0.6 信息安全起点 .......................................................... IV 0.7 关键的成功因素 ......................................................... V 0.8 开发你自己的指南 ....................................................... V 1 范围 (1) 2 术语和定义 (1) 3 本标准的结构 (2) 3.1 章节 (2) 3.2 主要安全类别 (3) 4 风险评估和处理 (3) 4.1 评估安全风险 (3) 4.2 处理安全风险 (4) 5 安全方针 (4) 5.1 信息安全方针 (4) 6 信息安全组织 (6) 6.1 内部组织 (6) 6.2 外部各方 (10) 7 资产管理 (15) 7.1 对资产负责 (15) 7.2 信息分类 (16) 8 人力资源安全 (18) 8.1 任用之前 (18) 8.2 任用中 (20) 8.3 任用的终止或变化 (21) 9 物理和环境安全 (23) 9.1 安全区域 (23) 9.2 设备安全 (26) 10 通信和操作管理 (29) 10.1 操作程序和职责 (29) 10.2 第三方服务交付管理 (32) 10.3 系统规划和验收 (33) 10.4 防范恶意和移动代码 (34) 10.5 备份 (36) 10.6 网络安全管理 (37) 10.7 介质处置 (38) 10.8 信息的交换 (40)

2019信息网络安全专业技术人员继续教育(信息安全技术)习题及答案

信息安全技术 第一章概述 第二章基础技术 一、判断题 1.加密技术和数字签名技术是实现所有安全服务的重要基础。（对） 2.对称密码体制的特征是:加密密钥和解密密钥完全相同,或者一个密钥很容易从另ー个密钥中导出。（对） 3.对称密钥体制的对称中心服务结构解决了体制中未知实体通信困难的问题。（错） 4.公钥密码体制算法用一个密钥进行加密,!而用另一个不同但是有关的密钥进行解密。（对） 5.公钥密码体制有两种基本的模型:一种是加密模型,另一种是解密模型（错） 6.Rabin体制是基于大整数因子分解问题的,是公钥系统最具典型意义的方法。（错） 7.对称密码体制较之于公钥密码体制具有密钥分发役有安全信道的限制,可实现数字签名和认证的优点。（错） 8.国密算法包括 SM2,SM3和SM4. （对）

9.信息的防篡改、防删除、防插入的特性称为数据完整性保护。（对） 10.Hash函数的输人可以是任意大小的消息，其输出是一个长度随输入变化的消息摘要。（错） 11.数字签名要求签名只能由签名者自己产生。（对） 12、自主访问控制(DAC)是基于对客体安全级别与主体安全级别的比较来进行访问控制的。（错） 13.基于角色的访问控制(RBAC)是基于主体在系统中承担的角色进行访问控制，而不是基于主体的身份。（对） 二、多选题 1.公钥密码体制与以前方法的区别在于()。 A.基于数学函数而不是替代和置换B、基于替代和置换 C.是非对称的，有两个不同密钥 D.是对称的，使用一个密钥 2.公钥密码的优势体现在()方面。 A.密钥交换 B.未知实体间通信 C.保密服务 D.认证服务 3.以下属于非对称算法的是()。 A.RSA B.DSA C.AES D.ECC 4.密钥生命周期过程包括( )