信息安全體系概述信息安全體系概述目錄信息安全體系概述信息安全組織體系信息安全管理體系信息安全技術體系信息安全執行體系目錄信息安全體系概述信息安全組織體系信息安全管理體系信息信息系統固有的脆弱性信息本身易傳播、易毀損、易偽造信息技術平臺（如硬件、網絡、系統）的復雜性與脆弱性行動的遠程化使安全管理面臨挑戰信息具有的重要價值信息社會對信息高度依賴，信息的風險加大信息的高附加值會引發盜竊、濫用等威脅信息安全面臨的風險企業對信息的依賴程度：美國明尼蘇達大學Bush-Kugel的研究報告指出，企業在沒有信息資料可用的情況下，金融業至多只能運行2天，商業則為3.3天，工業則為5天，保險業為5.6天。而以經濟情況來看，有25%的企業，因為的毀損可能立即破產，40%會在兩年內宣布破產，只有7%不到的企業在5年后能夠繼續存活。信息系統固有的脆弱性信息安全面臨的風險企業對信息的依賴程度：硬件架構：系統與設備數量越來越多系統互連關系越來越繁雜軟件架構：統架構越來越復雜網絡連接與劃分混亂互聯網接口抗攻擊性較弱工程管理：規劃期缺乏安全評審建設與工程割接缺乏安全管理遺留策略與帳號形成安全漏洞程序開發：開發階段缺乏安全監管源代碼缺乏安全檢查，可能留下后門1.系統數量眾多，硬件架構多樣，系統間交互與接口繁多，相互關系復雜；2.系統軟件架構復雜，網絡連接與劃分較混亂，互聯網接口抗攻擊性較弱；3.系統規劃期缺乏安全評審，工程割接缺少安全管理，工程遺留策略與帳號易形成安全漏洞；4.程序開發階段缺乏監管，程序源代碼缺乏安全檢查，可能留下后門或被攻擊。硬件架構：軟件架構：工程管理：程序開發：1.系統數量眾多，硬常見的信息安全問題常見的信息安全問題常見的信息安全問題常見的信息安全問題信息安全損失的“冰山”理論信息安全直接損失只是冰由之一角，間接損失是直接損失是6－53倍間接損失包括：時間被延誤修復的成本可能造成的法律訴訟的成本組織聲譽受到的影響商業機會的損失對生產率的破壞$10,000$60,000－$530,000信息安全損失的“冰山”理論$10,000$60,000－$5保障信息安全的途徑？IT治理安全風險測評

信息安全管理體系強化安全技術信息系統安全等級保護亡羊補牢?還是打打補丁?系統地全面整改?8保障信息安全的途徑？IT治理安全風險測評信息安全管理體系強我國當前信息安全普遍存在的問題忽略了信息化的治理機制與控制體系的建立，和信息化“游戲規則”的建立；廠商主導的技術型解決方案為主，用戶跟著廠商的步子走；安全只重視邊界安全，沒有在應用層面和內容層面考慮業務安全問題；重視安全技術，輕視安全管理，信息安全可靠性沒有保證；信息安全建設缺乏績效評估機制，信息安全成了“投資黑洞”；信息安全人員變成“救火隊員”

…

我國當前信息安全普遍存在的問題如何實現信息安全？信息安全＝反病毒軟件＋防火墻＋入侵檢測系統？管理制度？人的因素？環境因素？Ernst&Young及國內安全機構的分析：國家政府和軍隊信息受到的攻擊70%來自外部，銀行和企業信息受到的攻擊70%來自于內部。75%的被調查者認為員工對信息安全策略和程序的不夠了解是實現信息安全的障礙之一,只有35%的組織有持續的安全意識教育與培訓計劃66%的組織認為信息系統沒有遵守必要的信息安全規則56%的組織認為在信息安全的投入上不足，60%從不計算信息安全的ROI，83%的組織認為在技術安全產品與技術上投入最多。在整個系統安全工作中,管理(包括管理和法律法規方面)所占比重應該達到70%,而技術(包括技術和實體)應占30%。保護信息安全的方法如何實現信息安全？在整個系統安全工作中,管理(包括管理和建立完善的信息安全體系對信息安全建立系統工程的觀念用管理、技術、人員、流程來保證組織的信息安全信息安全遵循木桶原理對信息系統的各個環節進行統一的綜合考慮、規劃和構架并要時時兼顧組織內不斷發生的變化，任何環節上的安全缺陷都會對系統構成威脅。需要對信息安全進行有效管理建立完善的信息安全體系需要對信息安全進行有效管理建立統一安全規劃體系改變以往零敲碎打、因人而起、因事而起的安全管理，形成統一的安全體系，指導安全管理和建設工作。轉變門戶網站防火墻升級信息防泄露DLP維護區域擴容項目RSA令牌擴容項目應用漏洞掃描工具項目系統漏洞掃描工具網站頁面防篡改項目。。。。。。零敲碎打引人而起因事而起建立統一安全規劃體系改變以往零敲碎打、因人而起、因事而起的安總體思路：以防為主，防治結合防治結合：自下而上的風險反饋以防為主：自上而下的策略管理堅持“以防為主，防治結合”的安全工作措施，形成成熟的、立體的信息安全運行管控體系。以防為主，即以完善的安全策略為指導，使安全策略能自上而下得到落實；防治結合，即以風險管理為核心，使風險能自下而上得到反饋和整治。總體思路：以防為主，防治結合防治結合：自下而上的風險反饋以防初級沒有形成體系，只有零散的安全技術措施沒有專職安全管理員中級嘗試構建安全體系框架，具備較多的安全技術措施，開始有意識朝著有體系的安全建設發展。安全管理員工作繁重，既要處理現有問題，還要準備未來建設。高級在正確的安全體系框架指導下建設多年，形成了完備的安全技術和管理措施。安全管理員的工作主要是對各種管控規則進行微調，關注最新安全發展動態，考核獎懲通報等。安全管理的幾個階段當前目標初級中級高級安全管理的幾個階段當前目標信息安全體系的內容信息安全體系的內容業務與策略根據業務需要在組織中建立信息安全策略，以指導對信息資產進行管理、保護和分配。確定并實施信息安全策略是組織的一項重要使命，也是組織進行有效安全管理的基礎和依據。“保護業務，為業務創造價值”應當是一切安全工作的出發點與歸宿，最有效的方式不是從現有的工作方式開始應用信息安全技術，而是在針對工作任務與工作流程重新設計信息系統時，發揮信息安全技術手段支持新的工作方式的能力。人員與管理人是信息安全最活躍的因素，人的行為是信息安全保障最主要的方面。從國家的角度考慮有法律、法規、政策問題；從組織角度考慮有安全方針政策程序、安全管理、安全教育與培訓、組織文化、應急計劃和業務持續性管理等問題；從個人角度來看有職業要求、個人隱私、行為學、心理學等問題。信息安全體系的關注點業務與策略信息安全體系的關注點技術與產品可以綜合采用商用密碼、防火墻、防病毒、身份識別、網絡隔離、可信服務、安全服務、備份恢復、PKI服務、取證、網絡入侵陷阱、主動反擊等多種技術與產品來保護信息系統安全考慮安全的成本與效益，采用“適度防范”(Rightsizing)的原則

流程與體系建立良好的IT治理機制是實施信息安全的基礎與重要保證。在風險分析的基本上引入恰當控制，建立PDCA的安全管理體系，從而保證組織賴以生存的信息資產的安全性、完整性和可用性安全體系統還應當隨著組織環境的變化、業務發展和信息技術提高而不斷改進，不能一勞永逸，一成不變，需要建立完整的控制體系來保證安全的持續完善。技術與產品信息安全體系的建立流程信息安全體系的建立流程審視業務，確定IT原則和信息安全方針在進行信息安全規劃與實施安全控制措施前，首先要充分了解組織的業務目標和IT目標，建立IT原則，這是實施建立有效的信息安全保障體系的前提。組織的業務目標和IT原則將直接影響到安全需求，只有從業務發展的需要出發，確定適宜的IT原則，才能指導信息安全方針的制定。信息安全方針就是組織的信息安全委員會或管理當局制定的一個高層文件，用于指導組織如何對資產，包括敏感性信息進行管理、保護和分配的規則和指示。在安全方針的指導下，通過了解組織業務所處的環境，對IT基礎設施及應用系統可能存在的薄弱點進行風險評估，制定出適宜的安全控制措施、安全策略程序及安全投資計劃。確定IT原則與安全方針審視業務，確定IT原則和信息安全方針確定IT原則與安全方針進行風險評估風險評估的常用方法目前國內ISMS風險評估的方法主要參照ISO13335的有關定義及國信辦9號文件《信息安全風險評估指南》，這些標準把重點放在信息資產上。缺點：風險評估人員一般最容易找到的資產無非就是硬件類、軟件類的資產，而對安全來說至關重要的IT治理、組織政策、人員管理、職責分配、業務流程、教育培訓等問題，由于不能方便地定義為信息資產，而往往被視而不見。因此，風險評估經常出現“撿了芝麻、丟了西瓜”，“只見樹木，不見森林”的情況。進行風險評估風險評估的常用方法完備的風險評估方法信息安全涉及的內容決不僅僅是信息安全、技術安全的問題，它還會涉及到治理機制、業務流程、人員管理、企業文化等內容。通過“現狀調查”獲得對組織信息安全現狀和控制措施的基本了解；通過“基線風險評估”了解組織與具體的信息安全標準的差距，得到粗粒度的安全評價。通過“資產風險評估”和“流程風險評估”進行詳細風險評估，根據三方面的評估得到最終的風險評估報告。完備的風險評估方法現狀調查的主要內容文檔收集與分析組織的基本信息、組織結構圖組織人員名單、機構設置、崗位職責說明書業務特征或服務介紹與信息安全管理相關的政策、制度和規范現場訪談安排與相關人員的面談對員工工作現場的觀察加強項目組對企業文化的感知現狀調查的主要內容技術評估工具掃描、滲透測試1

2

3人工分析系統安全配置完全檢測、網絡服務安全配置完全檢測包括用戶安全、操作系統安全、

網絡服務安全、系統程序安全問卷調研安全日常運維現狀調研問卷：針對組織中實際的應用、系統、網絡狀況，從日常的管理、維護、系統審計、權限管理等方面全面了解組織在信息系統安全管理和維護上的現實狀況。從安全日常運維角度出發，更貼近實際運維環境。技術評估問卷調研基線風險評估所謂基線風險評估，就是確定一個信息安全的基本底線，信息安全不僅僅是資產的安全，應當從組織、人員、物理、邏輯、開發、業務持續等各個方面來確定一個基本的要求，在此基礎之上，再選擇信息資產進行詳細風險分析，這樣才能在兼顧信息安全風險的方方面面的同時，對重點信息安全風險進行管理與控制。ISO27001確立了組織機構內啟動、實施、維護和改進信息安全管理的指導方針和通用原則，以規范組織機構信息安全管理建設的內容，因此，風險評估時，可以把ISO27001作為安全基線，與組織當前的信息安全現狀進行比對，發現組織存在的差距，這樣一方面操作較方便，更重要的是不會有遺漏基線風險評估信息資產風險評估針對重要的信息資產進行安全影響、威脅、漏洞及可能性分析，從而估計對業務產生的影響，最終可以選擇適當的方法對風險進行有效管理。資產定義及估值確定現有控制威脅評估確定風險水平風險評估過程脆弱性評估安全控制措施的識別與選擇降低風險風險管理過程接受風險信息資產風險評估資產定義及估值確定現有控制威脅評估確定風險水IT流程風險評估信息安全不僅僅要看IT資產本身是否安全可靠，而且還應當在其所運行的環境和經歷的流程中保證安全。沒有可靠的IT流程的保證，靜態的安全是不可靠的，而且IT的風險也不僅僅是信息安全的問題，IT的效率與效果也同樣是需要考慮的問題，因此評估IT流程的績效特性并加以完善是風險控制中必不可少的內容。IT流程風險評估確定風險控制策略信息安全控制規劃確定風險控制策略信息安全控制規劃選擇安全控制措施防止商業活動中斷和災難事故的影響。業務持續性管理信息安全事件管理保證系統開發與維護的安全系統開發與維護控制對業務信息的訪問。訪問控制保證通訊和操作設備的正確和安全維護。通信與運營管理防止對關于IT服務的未經許可的介入，損傷和干擾服務。物理與環境安全減少人為造成的風險。人員安全維護組織資產的適當保護系統。資產管理建立組織內的管理體系以便安全管理。安全組織為信息安全提供管理方向和支持。安全方針目的ISO27001十一個域避免任何違反法令、法規、合同約定及其他安全要求的行為。符合性確保與信息系統有關的安全事件和弱點的溝通能夠及時采取糾正措施選擇安全控制措施防止商業活動中斷和災難事故的影響。業務持續性進行安全控制規劃安全規劃針對組織面臨的主要安全風險，在安全管理控制框架和安全技術控制框架方面進行較為詳盡的規劃。安全規劃對組織未來幾年的網絡架構、威脅防護、策略、組織、運行等方面的安全，進行設計、改進和加強，是進行安全建設的總體指導。序號項目內容緊迫性可實施性難易程度效果分析綜合分析1安全體系建設2安全策略管理3安全組織管理4安全運行管理5物理安全管理6網絡訪問控制7認證與授權8監控與審計9系統管理10響應和恢復11信息安全12系統開發管理13物理安全14……安全規劃方法進行安全控制規劃序號項目內容緊迫性可實施性難易程度效果分析綜安全預算計劃所以安全預算計劃是一項具有挑戰性的工作，要采用“適度防范”的原則，把有限的資金用在刀刃上。一般來說，沒有特別的需要，為信息安全的投入不應超過信息化建設總投資額的20%，過高的安全成本將使安全失去意義。

投資回報計劃信息安全投資回報計劃就是要研究信息安全的成本效益，其成本效益組成如下：從系統生命周期看信息安全的成本：獲取成本和運行成本從安全防護手段看信息安全的成本：技術成本和管理成本信息安全的價值效益：減少信息安全事故的經濟損失信息安全的非價值效益：增加聲譽、提升品牌價值安全預算計劃目錄信息安全體系概述信息安全組織體系信息安全管理體系信息安全技術體系信息安全執行體系目錄信息安全體系概述信息安全組織體系信息安全管理體系信息建立信息安全組織，明確角色與責任

安全角色與責任的不明確是實施信息安全過程中的最大障礙，建立安全組織與落實責任是實施信息安全管理的第一步。信息安全領導小組信息安全主管為核心的、專業的信息安全管理的隊伍把相應的安全責任落實到每一個員工身上建立跨部門的信息安全委員會良好的治理結構要求主體單位的IT決策必須由最了解組織整體目標與價值的權威部門來決定。得到組織最高管理層的支持得到高層管理人員的認同和承諾有兩個作用一是相應的安全方針政策、控制措施可以在組織的上上下下得到有效的貫徹；二是可以得到有效的資源保證，比如實施有效安全過程的必要的資金與人力資源的支持，及跨部門之間的協調問題都必須由高層管理人員來推動。建立信息安全組織，明確角色與責任安全組織架構決策層為業務安全的決策機構，為業務安全工作保駕護航；管理層工作小組為業務安全工作的協調管理機構，為業務安全工作提供支持監督；管理層監督審計工作組，定期監督審核工作小組和執行小組對信息安全政策的執行情況，并且向領導小組進行匯報；執行層面業務安全保障工作組是業務安全政策的執行落地和相關安全流程手冊文檔的參與制定和維護，并且接受工作小組的管理指導和安全審計機構的監督審核；安全組織架構決策層為業務安全的決策機構，為業務安全工作保駕護信息安全體系的內容組織體系：整個公司層面的安全管理組織，要從上到下貫穿到底體現三權分立的原則信息安全體系的內容組織體系：整個公司層面的安全管理組織，要從制定信息系統安全政策信息系統安全政策就是為防止信息資產意外損失及被有意濫用而制訂的規則，這些政策是應該涵蓋組織中生成、加工、使用、儲存信息的各個方面，并符合對信息系統安全的要求。信息安全政策要符合組織的業務目標及特定的環境要求，并使之被每個員工所理解和執行，這是實施信息安全的重要環節。人力資源政策因此除了技術的控制手段外，要制定合適的人力資源政策，加強對“人”的管理，對潛在的安全入侵者也是一種威懾及懲戒措施，這是建立人力防火墻的有效控制手段。人力資源管理在信息安全的管理中充分十分重要的作用，信息安全管理人員要與人務資源管理人員密切合作，協同作戰，才能實現信息安全中對“人”的有效管理。制定信息系統安全政策實施安全教育計劃要制定各種不同范圍、不同層次的安全教育計劃。完備的安全教育計劃可以提高員工的安全意識與技能，改變他們對待安全事件的態度，使他們具有一定的安全保護技能，以更好地保護組織的信息資產。好的安全教育計劃應該讓員工知道組織的信息安全面臨的威脅及信息安全事件帶來的后果，使員工切身感覺到安全事件與自己息息相關。實施安全教育計劃營造組織信息安全文化信息安全文化從屬于組織文化，倡導良好的組織信息安全文化就是要在組織中形成團隊共同的態度、認識和價值觀，形成規范的思維和行為模式，最終轉化為行動，實現組織信息安全目標。人的這種對安全價值的認識以及使自己的一舉一動符合安全的行為規范的表現，正是所謂的“安全修養”。如果一個組織建立起濃厚的安全文化環境，不論決策層、管理層還是一般員工，都會在安全文化的約束下規范自己的行為，安全文化就像一支看不見的手，凡是不安全的行為都會被這支手拉回到安全操作的軌道上來。營造組織信息安全文化目錄信息安全體系概述信息安全組織體系信息安全管理體系信息安全技術體系信息安全執行體系目錄信息安全體系概述信息安全組織體系信息安全管理體系信息信息安全管理體系的定義信息安全管理體系（ISMS：InformationSecurityManagementSystem）是組織在整體或特定范圍內建立的信息安全方針和目標，以及完成這些目標所用的方法和體系。ISMS相對應的BS7799標準在國際上得到了廣泛的應用，目前引標準已被采納為國際標準ISO17799:2005ISO27001:2005。在ISO17799中信息安全主要指信息的機密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持。信息安全管理體系的定義ISMS“木桶”由哪些“板”組成？類似于質量管理體系的ISO9000標準，ISMS也有相應的國際標準ISO27001，它確定了ISMS的11個安全領域及133個相應的控制措施。ISMS“木桶”由哪些“板”組成？ISO17799及ISO27001的內容ISO17799:2005

信息安全管理實施規范，主要是給負責開發的人員作為參考文檔使用，從而在組織中實施和維護信息安全；ISO27001:2005

信息安全管理體系規范，詳細說明了建立、實施和維護信息安全管理系統的要求，指出實施組織需要通過風險評估來鑒定最適宜的控制對象，并對自己的需求采取適當的控制。獲得BS7799和ISO27001認證的組織ISO17799及ISO27001的內容獲得BS7799和IISMS體系設計在組織中要實現信息安全，比較切實可行的第一步的是按照PDCA的原則建立信息安全管理體系。如果沒有一個完整的管理體系和有效的過程來保證組織中的人員能理解他們的安全責任與義務，并建立基本的有效的控制措施，那么再好的安全技術也不能保證組織的信息安全。ISMS體系設計ISMS建設過程：建立ISMS首先要建立一個合理的信息安全管理框架，要從整體和全局的視角，從信息系統的所有層面進行整體安全建設從信息系統本身出發，通過建立資產清單，進行風險分析和需求分析和選擇安全控制等步驟，建立安全體系并提出安全解決方案。體系運行體系審核管理評審體系認證第七步第八步第九步第十步運行說明內審報告外審報告認證證書ISMS建設過程：體系運行體系審核管理評審體系認證第七步第八信息安全體系的內容管理體系：安全方針、策略文件，程序文件、操作指導書、記錄表格等。信息安全體系的內容管理體系：安全方針、策略文件，程序文件、操目錄信息安全體系概述信息安全組織體系信息安全管理體系信息安全技術體系信息安全執行體系目錄信息安全體系概述信息安全組織體系信息安全管理體系信息“技術防火墻”的總體要求技術結構方面：完備的安全技術防御系統應該具備評估，保護，檢測，反應和恢復的五種技術能力。實現ISO7498-2所定義的鑒別，訪問控制，數據完整性，數據保密性，抗抵賴五類安全功能。技術產品方面：綜合利用商用密碼、防火墻、防病毒、身份識別、網絡隔離、可信服務、安全服務、備份恢復、PKI服務、取證、網絡入侵陷阱、主動反擊等多種技術與產品來保證企業的信息系統的機密性、完整性和可靠性。

集中管理方面：實現集成化安全管理和安全信息共享機制，以集中管理安全控制、安全策略、安全配置、安全事件審計、安全事故應急響應，可管理的安全才是真正意義上的安全。災難恢復與業務持續性方面：對于突發性的重大災難，日常安全控制措施不再起作用，此時要采取適當和有效的措施來減輕相關威脅實際發生時所帶來的破壞后果，這是組織信息安全的最后一道防線。

八、建立“技術防火墻”“技術防火墻”的總體要求八、建立“技術防火墻”技術體系的實現框架信息安全框架可通過基礎技術系統、安全運維管理系統、應用支撐系統來實現，其最終目的是保證應用系統和數據的安全。基礎技術系統安全防護系統應用支撐系統安全運維管理系統技術體系的實現框架基礎技術系統安全防護系統應用支撐系統安全縱深防御架構可信網和不可信網要物理層隔斷，網絡邏輯連接要割斷，應用數據要凈化，不可信網絡上的計算機不能直接到達可信網絡。使用“應用分層、服務分區、安全分級”的思路，指導網絡結構化建設，根據應用類型、物理位置、邏輯位置等的不同，劃分不同的網絡安全區域和邊界。IATF安全域基礎技術系統縱深防御架構IATF安全域基礎技術系統一個為整個安全體系提供安全服務的基礎性平臺，為應用系統和安全支撐平臺提供包括數據完整性、真實性、可用性、不可抵賴性和機密性在內的安全服務。包括：數字證書認證體系（CA/PKI）密鑰管理基礎設施（KMI）授權管理基礎設施（AA/PMI）災難恢復及業務連續性基礎設施（DRI/BCP）安全基礎設施一個為整個安全體系提供安全服務的基礎性平臺，為應用系統和安全用戶CA系統AA系統數據庫服務訪問他是誰？有什么權限？認證系統授權系統用戶認證證書用戶權限證書設備認證證書設備認證證書軟件認證證書PKI與PMI的應用：安全認證與授權用戶CA系統AA系統數據庫服務訪問他是誰？有什么權限？認證系網絡安全控制采用入侵檢測、漏洞掃描、病毒防治、防火墻、網絡隔離、安全虛擬專網（VPN）等成熟技術，利用物理環境保護、邊界保護、系統加固、節點數據保護、數據傳輸保護等手段，通過對網絡的安全防護的統一設計和統一配置，實現全系統統一、高效、可靠的網絡安全防護。安全防護系統網絡安全控制采用入侵檢測、漏洞掃描、病毒防治、防火墻、網絡隔省級局域網上級接口下級接口橫向接口互聯網接口加密機：保護離開局域網的信息安全，同時防止非法接入。防火墻：防止來自總部內部的攻擊。防火墻：防止來自外部的攻擊。防火墻：即防止來自外部的攻擊，也要防止來自地市局的內部攻擊。入侵檢測：發現非法入侵行為。防病毒網關：防止外部病毒入侵。防非法外聯：堵住非法網絡接口。系統加固：設置運行環境的最后一道防線。（網絡及主機操作系統、數據庫、應用平臺的加固）安全邊界網絡行為審計：加強網絡安全管理，追查安全事件。構造網絡安全邊界省級局域網上級接口下級接口橫互加密機：保護離開局域網的信息安入侵檢測組織中心備份中心二級部門三級部門四級部門線路密碼機防火墻防病毒網關防非法外聯網絡行為審計操作系統加固高安全區域安全防護系統的層次入侵檢測組織中心備份中心二級部門三級部門四級部門線路密碼機防由于普通用戶缺乏應有的網絡安全常識，通過瀏覽隱藏惡意代碼的網站，下載有木馬的軟件到內部網運行，打開郵件中不明來歷的附件等給組織的內部網絡帶來的極大的危害，終端用戶觸發產生的安全事件逐漸成為企業IT安全問題的主要原因。終端安全控制由于普通用戶缺乏應有的網絡安全常識，通過瀏覽隱藏惡意代碼的網應用支撐系統構建在基礎技術系統的基礎上，利用安全基礎設施提供的基于PKI/PMI/KMI技術的安全服務；采用安全中間件及一站式服務理論和技術，實現包括安全門戶、安全認證和訪問控制、數據安全傳輸、數據保密、完整性保護、真實性保護等應用安全功能和服務，支持面向組織和各類專網和互連網的各類安全應用，是安全應用系統所依托的主要安全平臺。應用支撐系統應用支撐系統構建在基礎技術系統的基礎上，利用安全基礎設施提供應用系統常見安全方案業務系統本身必須能夠準確地識別使用者的真實身份，防止與業務無關的人員非法使用系統。解決方案:使用統一的身份認證證書業務系統本身必須能夠對自己的資源進行控制，能夠動態地分配權限，控制使用者的操作行為，防止越崗位操作或越權限操作。解決方案:基于角色的訪問控制業務系統本身必須能夠對數據或文件進行保護，防止由于數據的安全得不到保證而失去業務系統本身的可用性。解決方案:基于密碼業務系統本身必須能夠對操作者行為進行跟蹤、記錄、統計和審計，及時發現工作中出現的問題，使系統可管理，事件可追查。解決方案:日志與安全事件審計在電子商務或電子政務環境下，需要利用身份證書對主要核心業務與交易的憑證進行數字簽名，以保證重要對已完成的業務與交易的無否定性。解決方案:基于數字簽名應用系統常見安全方案安全運維系統安全運維管理系統對整個安全系統起管理、監控、調度和應急報警等作用，負責對全網絡安全防護設備進行管理，為各個應用系統提供安全管理接口，對需要特別關注的應用系統進行應用審計。安全運維管理系統通過建立安全運維管理中心（SOC）對組織的安全技術與流程進行集中式的管理。安全運維系統目錄信息安全體系概述信息安全組織體系信息安全管理體系信息安全技術體系信息安全執行體系目錄信息安全體系概述信息安全組織體系信息安全管理體系信息日常安全執行內容多個PDCA循環安全日常運作過程就是一個大的PDCA循環風險評估與風險分析PDCA循環文件體系的建立與維護PDCA循環……日常安全執行內容多個PDCA循環制定計劃行動計劃主要有：信息安全政策制訂與實施與信息安全相關的人力資源政策的制訂安全事件響應計劃監控日常安全事務及員工對安全政策的遵循業務連續性計劃及災難恢復計劃安全教育計劃建設企業安全文化預算計劃有足夠資金支持的計劃才是切實可行的計劃，才能有效地落實信息安全所需要的人、財、物等資源的配置。預算計劃一定要合理，過高的安全預算會使安全失去意義，最好是結合投資回報分析。制定計劃檢查與審計的內容對于安全框架是否已有效的建立起來，技術防火墻、人力防火墻及IT流程控制框架能否起到了應有的作用，組織可以通過定期的自我檢查或獨立的審核來驗證安全控制措施的有效性，并對發現的問題采取有效的糾正措施并實施，對糾正措施實施的結果進行驗證。安全檢查工作一般由信息安全管理部門來負責實施，經常性的檢查，有利于落實信息安全方針與策略，及時發現信息安全在技術、人員及流程方面存在的隱患，也有利于提高員工安全意識，保證業務的持續運行。審核工作是審計機構對組織的信息安全控制措施是否完備所做的鑒證過程。利用審核機制進行獨立的體系審核是一種強有力的監督機制。可以由組織的內部稽核部門階段性地組建立審核組，培訓審核員，有效地管理在組織中開展的信息安全審核工作，也可外聘的第三方審計機構對組織進行外部審計。對安全的檢查與審計檢查與審計的內容對安全的檢查與審計審計的步驟信息安全在每次檢查審計前，由管理層任命適當資質的合適人選組成審計小組，審計小組由2名或以上人員組成，包括但不限于稽核審計部的內審員，并由管理層指定內審組長。內審小組負責編寫本次內審的《內部審計方案》，其內容一般為:被審部門、審計時間、內容、范圍、審計依據、目的、方法；內審小組成員及其分工；審計活動日程安排。《內部審計方案》經批準后，至少提前二周通知被審計部門，以便被審計部門有充分時間進行內審，若被審計部門對時間等安排有異議時，應在三天內通知內審小組協商調整具體安排；內審小組在完成了全部的審計準備工作后，就可按預先約定的日期和時間實施審計。內部審計實施可劃分為首次會議、現場審計和末次會議三個階段進行。審計的步驟信息安全體系27001概述課件信息安全體系概述信息安全體系概述目錄信息安全體系概述信息安全組織體系信息安全管理體系信息安全技術體系信息安全執行體系目錄信息安全體系概述信息安全組織體系信息安全管理體系信息信息系統固有的脆弱性信息本身易傳播、易毀損、易偽造信息技術平臺（如硬件、網絡、系統）的復雜性與脆弱性行動的遠程化使安全管理面臨挑戰信息具有的重要價值信息社會對信息高度依賴，信息的風險加大信息的高附加值會引發盜竊、濫用等威脅信息安全面臨的風險企業對信息的依賴程度：美國明尼蘇達大學Bush-Kugel的研究報告指出，企業在沒有信息資料可用的情況下，金融業至多只能運行2天，商業則為3.3天，工業則為5天，保險業為5.6天。而以經濟情況來看，有25%的企業，因為的毀損可能立即破產，40%會在兩年內宣布破產，只有7%不到的企業在5年后能夠繼續存活。信息系統固有的脆弱性信息安全面臨的風險企業對信息的依賴程度：硬件架構：系統與設備數量越來越多系統互連關系越來越繁雜軟件架構：統架構越來越復雜網絡連接與劃分混亂互聯網接口抗攻擊性較弱工程管理：規劃期缺乏安全評審建設與工程割接缺乏安全管理遺留策略與帳號形成安全漏洞程序開發：開發階段缺乏安全監管源代碼缺乏安全檢查，可能留下后門1.系統數量眾多，硬件架構多樣，系統間交互與接口繁多，相互關系復雜；2.系統軟件架構復雜，網絡連接與劃分較混亂，互聯網接口抗攻擊性較弱；3.系統規劃期缺乏安全評審，工程割接缺少安全管理，工程遺留策略與帳號易形成安全漏洞；4.程序開發階段缺乏監管，程序源代碼缺乏安全檢查，可能留下后門或被攻擊。硬件架構：軟件架構：工程管理：程序開發：1.系統數量眾多，硬常見的信息安全問題常見的信息安全問題常見的信息安全問題常見的信息安全問題信息安全損失的“冰山”理論信息安全直接損失只是冰由之一角，間接損失是直接損失是6－53倍間接損失包括：時間被延誤修復的成本可能造成的法律訴訟的成本組織聲譽受到的影響商業機會的損失對生產率的破壞$10,000$60,000－$530,000信息安全損失的“冰山”理論$10,000$60,000－$5保障信息安全的途徑？IT治理安全風險測評

信息安全管理體系強化安全技術信息系統安全等級保護亡羊補牢?還是打打補丁?系統地全面整改?71保障信息安全的途徑？IT治理安全風險測評信息安全管理體系強我國當前信息安全普遍存在的問題忽略了信息化的治理機制與控制體系的建立，和信息化“游戲規則”的建立；廠商主導的技術型解決方案為主，用戶跟著廠商的步子走；安全只重視邊界安全，沒有在應用層面和內容層面考慮業務安全問題；重視安全技術，輕視安全管理，信息安全可靠性沒有保證；信息安全建設缺乏績效評估機制，信息安全成了“投資黑洞”；信息安全人員變成“救火隊員”

…

我國當前信息安全普遍存在的問題如何實現信息安全？信息安全＝反病毒軟件＋防火墻＋入侵檢測系統？管理制度？人的因素？環境因素？Ernst&Young及國內安全機構的分析：國家政府和軍隊信息受到的攻擊70%來自外部，銀行和企業信息受到的攻擊70%來自于內部。75%的被調查者認為員工對信息安全策略和程序的不夠了解是實現信息安全的障礙之一,只有35%的組織有持續的安全意識教育與培訓計劃66%的組織認為信息系統沒有遵守必要的信息安全規則56%的組織認為在信息安全的投入上不足，60%從不計算信息安全的ROI，83%的組織認為在技術安全產品與技術上投入最多。在整個系統安全工作中,管理(包括管理和法律法規方面)所占比重應該達到70%,而技術(包括技術和實體)應占30%。保護信息安全的方法如何實現信息安全？在整個系統安全工作中,管理(包括管理和建立完善的信息安全體系對信息安全建立系統工程的觀念用管理、技術、人員、流程來保證組織的信息安全信息安全遵循木桶原理對信息系統的各個環節進行統一的綜合考慮、規劃和構架并要時時兼顧組織內不斷發生的變化，任何環節上的安全缺陷都會對系統構成威脅。需要對信息安全進行有效管理建立完善的信息安全體系需要對信息安全進行有效管理建立統一安全規劃體系改變以往零敲碎打、因人而起、因事而起的安全管理，形成統一的安全體系，指導安全管理和建設工作。轉變門戶網站防火墻升級信息防泄露DLP維護區域擴容項目RSA令牌擴容項目應用漏洞掃描工具項目系統漏洞掃描工具網站頁面防篡改項目。。。。。。零敲碎打引人而起因事而起建立統一安全規劃體系改變以往零敲碎打、因人而起、因事而起的安總體思路：以防為主，防治結合防治結合：自下而上的風險反饋以防為主：自上而下的策略管理堅持“以防為主，防治結合”的安全工作措施，形成成熟的、立體的信息安全運行管控體系。以防為主，即以完善的安全策略為指導，使安全策略能自上而下得到落實；防治結合，即以風險管理為核心，使風險能自下而上得到反饋和整治。總體思路：以防為主，防治結合防治結合：自下而上的風險反饋以防初級沒有形成體系，只有零散的安全技術措施沒有專職安全管理員中級嘗試構建安全體系框架，具備較多的安全技術措施，開始有意識朝著有體系的安全建設發展。安全管理員工作繁重，既要處理現有問題，還要準備未來建設。高級在正確的安全體系框架指導下建設多年，形成了完備的安全技術和管理措施。安全管理員的工作主要是對各種管控規則進行微調，關注最新安全發展動態，考核獎懲通報等。安全管理的幾個階段當前目標初級中級高級安全管理的幾個階段當前目標信息安全體系的內容信息安全體系的內容業務與策略根據業務需要在組織中建立信息安全策略，以指導對信息資產進行管理、保護和分配。確定并實施信息安全策略是組織的一項重要使命，也是組織進行有效安全管理的基礎和依據。“保護業務，為業務創造價值”應當是一切安全工作的出發點與歸宿，最有效的方式不是從現有的工作方式開始應用信息安全技術，而是在針對工作任務與工作流程重新設計信息系統時，發揮信息安全技術手段支持新的工作方式的能力。人員與管理人是信息安全最活躍的因素，人的行為是信息安全保障最主要的方面。從國家的角度考慮有法律、法規、政策問題；從組織角度考慮有安全方針政策程序、安全管理、安全教育與培訓、組織文化、應急計劃和業務持續性管理等問題；從個人角度來看有職業要求、個人隱私、行為學、心理學等問題。信息安全體系的關注點業務與策略信息安全體系的關注點技術與產品可以綜合采用商用密碼、防火墻、防病毒、身份識別、網絡隔離、可信服務、安全服務、備份恢復、PKI服務、取證、網絡入侵陷阱、主動反擊等多種技術與產品來保護信息系統安全考慮安全的成本與效益，采用“適度防范”(Rightsizing)的原則

流程與體系建立良好的IT治理機制是實施信息安全的基礎與重要保證。在風險分析的基本上引入恰當控制，建立PDCA的安全管理體系，從而保證組織賴以生存的信息資產的安全性、完整性和可用性安全體系統還應當隨著組織環境的變化、業務發展和信息技術提高而不斷改進，不能一勞永逸，一成不變，需要建立完整的控制體系來保證安全的持續完善。技術與產品信息安全體系的建立流程信息安全體系的建立流程審視業務，確定IT原則和信息安全方針在進行信息安全規劃與實施安全控制措施前，首先要充分了解組織的業務目標和IT目標，建立IT原則，這是實施建立有效的信息安全保障體系的前提。組織的業務目標和IT原則將直接影響到安全需求，只有從業務發展的需要出發，確定適宜的IT原則，才能指導信息安全方針的制定。信息安全方針就是組織的信息安全委員會或管理當局制定的一個高層文件，用于指導組織如何對資產，包括敏感性信息進行管理、保護和分配的規則和指示。在安全方針的指導下，通過了解組織業務所處的環境，對IT基礎設施及應用系統可能存在的薄弱點進行風險評估，制定出適宜的安全控制措施、安全策略程序及安全投資計劃。確定IT原則與安全方針審視業務，確定IT原則和信息安全方針確定IT原則與安全方針進行風險評估風險評估的常用方法目前國內ISMS風險評估的方法主要參照ISO13335的有關定義及國信辦9號文件《信息安全風險評估指南》，這些標準把重點放在信息資產上。缺點：風險評估人員一般最容易找到的資產無非就是硬件類、軟件類的資產，而對安全來說至關重要的IT治理、組織政策、人員管理、職責分配、業務流程、教育培訓等問題，由于不能方便地定義為信息資產，而往往被視而不見。因此，風險評估經常出現“撿了芝麻、丟了西瓜”，“只見樹木，不見森林”的情況。進行風險評估風險評估的常用方法完備的風險評估方法信息安全涉及的內容決不僅僅是信息安全、技術安全的問題，它還會涉及到治理機制、業務流程、人員管理、企業文化等內容。通過“現狀調查”獲得對組織信息安全現狀和控制措施的基本了解；通過“基線風險評估”了解組織與具體的信息安全標準的差距，得到粗粒度的安全評價。通過“資產風險評估”和“流程風險評估”進行詳細風險評估，根據三方面的評估得到最終的風險評估報告。完備的風險評估方法現狀調查的主要內容文檔收集與分析組織的基本信息、組織結構圖組織人員名單、機構設置、崗位職責說明書業務特征或服務介紹與信息安全管理相關的政策、制度和規范現場訪談安排與相關人員的面談對員工工作現場的觀察加強項目組對企業文化的感知現狀調查的主要內容技術評估工具掃描、滲透測試1

2

3人工分析系統安全配置完全檢測、網絡服務安全配置完全檢測包括用戶安全、操作系統安全、

網絡服務安全、系統程序安全問卷調研安全日常運維現狀調研問卷：針對組織中實際的應用、系統、網絡狀況，從日常的管理、維護、系統審計、權限管理等方面全面了解組織在信息系統安全管理和維護上的現實狀況。從安全日常運維角度出發，更貼近實際運維環境。技術評估問卷調研基線風險評估所謂基線風險評估，就是確定一個信息安全的基本底線，信息安全不僅僅是資產的安全，應當從組織、人員、物理、邏輯、開發、業務持續等各個方面來確定一個基本的要求，在此基礎之上，再選擇信息資產進行詳細風險分析，這樣才能在兼顧信息安全風險的方方面面的同時，對重點信息安全風險進行管理與控制。ISO27001確立了組織機構內啟動、實施、維護和改進信息安全管理的指導方針和通用原則，以規范組織機構信息安全管理建設的內容，因此，風險評估時，可以把ISO27001作為安全基線，與組織當前的信息安全現狀進行比對，發現組織存在的差距，這樣一方面操作較方便，更重要的是不會有遺漏基線風險評估信息資產風險評估針對重要的信息資產進行安全影響、威脅、漏洞及可能性分析，從而估計對業務產生的影響，最終可以選擇適當的方法對風險進行有效管理。資產定義及估值確定現有控制威脅評估確定風險水平風險評估過程脆弱性評估安全控制措施的識別與選擇降低風險風險管理過程接受風險信息資產風險評估資產定義及估值確定現有控制威脅評估確定風險水IT流程風險評估信息安全不僅僅要看IT資產本身是否安全可靠，而且還應當在其所運行的環境和經歷的流程中保證安全。沒有可靠的IT流程的保證，靜態的安全是不可靠的，而且IT的風險也不僅僅是信息安全的問題，IT的效率與效果也同樣是需要考慮的問題，因此評估IT流程的績效特性并加以完善是風險控制中必不可少的內容。IT流程風險評估確定風險控制策略信息安全控制規劃確定風險控制策略信息安全控制規劃選擇安全控制措施防止商業活動中斷和災難事故的影響。業務持續性管理信息安全事件管理保證系統開發與維護的安全系統開發與維護控制對業務信息的訪問。訪問控制保證通訊和操作設備的正確和安全維護。通信與運營管理防止對關于IT服務的未經許可的介入，損傷和干擾服務。物理與環境安全減少人為造成的風險。人員安全維護組織資產的適當保護系統。資產管理建立組織內的管理體系以便安全管理。安全組織為信息安全提供管理方向和支持。安全方針目的ISO27001十一個域避免任何違反法令、法規、合同約定及其他安全要求的行為。符合性確保與信息系統有關的安全事件和弱點的溝通能夠及時采取糾正措施選擇安全控制措施防止商業活動中斷和災難事故的影響。業務持續性進行安全控制規劃安全規劃針對組織面臨的主要安全風險，在安全管理控制框架和安全技術控制框架方面進行較為詳盡的規劃。安全規劃對組織未來幾年的網絡架構、威脅防護、策略、組織、運行等方面的安全，進行設計、改進和加強，是進行安全建設的總體指導。序號項目內容緊迫性可實施性難易程度效果分析綜合分析1安全體系建設2安全策略管理3安全組織管理4安全運行管理5物理安全管理6網絡訪問控制7認證與授權8監控與審計9系統管理10響應和恢復11信息安全12系統開發管理13物理安全14……安全規劃方法進行安全控制規劃序號項目內容緊迫性可實施性難易程度效果分析綜安全預算計劃所以安全預算計劃是一項具有挑戰性的工作，要采用“適度防范”的原則，把有限的資金用在刀刃上。一般來說，沒有特別的需要，為信息安全的投入不應超過信息化建設總投資額的20%，過高的安全成本將使安全失去意義。

投資回報計劃信息安全投資回報計劃就是要研究信息安全的成本效益，其成本效益組成如下：從系統生命周期看信息安全的成本：獲取成本和運行成本從安全防護手段看信息安全的成本：技術成本和管理成本信息安全的價值效益：減少信息安全事故的經濟損失信息安全的非價值效益：增加聲譽、提升品牌價值安全預算計劃目錄信息安全體系概述信息安全組織體系信息安全管理體系信息安全技術體系信息安全執行體系目錄信息安全體系概述信息安全組織體系信息安全管理體系信息建立信息安全組織，明確角色與責任

安全角色與責任的不明確是實施信息安全過程中的最大障礙，建立安全組織與落實責任是實施信息安全管理的第一步。信息安全領導小組信息安全主管為核心的、專業的信息安全管理的隊伍把相應的安全責任落實到每一個員工身上建立跨部門的信息安全委員會良好的治理結構要求主體單位的IT決策必須由最了解組織整體目標與價值的權威部門來決定。得到組織最高管理層的支持得到高層管理人員的認同和承諾有兩個作用一是相應的安全方針政策、控制措施可以在組織的上上下下得到有效的貫徹；二是可以得到有效的資源保證，比如實施有效安全過程的必要的資金與人力資源的支持，及跨部門之間的協調問題都必須由高層管理人員來推動。建立信息安全組織，明確角色與責任安全組織架構決策層為業務安全的決策機構，為業務安全工作保駕護航；管理層工作小組為業務安全工作的協調管理機構，為業務安全工作提供支持監督；管理層監督審計工作組，定期監督審核工作小組和執行小組對信息安全政策的執行情況，并且向領導小組進行匯報；執行層面業務安全保障工作組是業務安全政策的執行落地和相關安全流程手冊文檔的參與制定和維護，并且接受工作小組的管理指導和安全審計機構的監督審核；安全組織架構決策層為業務安全的決策機構，為業務安全工作保駕護信息安全體系的內容組織體系：整個公司層面的安全管理組織，要從上到下貫穿到底體現三權分立的原則信息安全體系的內容組織體系：整個公司層面的安全管理組織，要從制定信息系統安全政策信息系統安全政策就是為防止信息資產意外損失及被有意濫用而制訂的規則，這些政策是應該涵蓋組織中生成、加工、使用、儲存信息的各個方面，并符合對信息系統安全的要求。信息安全政策要符合組織的業務目標及特定的環境要求，并使之被每個員工所理解和執行，這是實施信息安全的重要環節。人力資源政策因此除了技術的控制手段外，要制定合適的人力資源政策，加強對“人”的管理，對潛在的安全入侵者也是一種威懾及懲戒措施，這是建立人力防火墻的有效控制手段。人力資源管理在信息安全的管理中充分十分重要的作用，信息安全管理人員要與人務資源管理人員密切合作，協同作戰，才能實現信息安全中對“人”的有效管理。制定信息系統安全政策實施安全教育計劃要制定各種不同范圍、不同層次的安全教育計劃。完備的安全教育計劃可以提高員工的安全意識與技能，改變他們對待安全事件的態度，使他們具有一定的安全保護技能，以更好地保護組織的信息資產。好的安全教育計劃應該讓員工知道組織的信息安全面臨的威脅及信息安全事件帶來的后果，使員工切身感覺到安全事件與自己息息相關。實施安全教育計劃營造組織信息安全文化信息安全文化從屬于組織文化，倡導良好的組織信息安全文化就是要在組織中形成團隊共同的態度、認識和價值觀，形成規范的思維和行為模式，最終轉化為行動，實現組織信息安全目標。人的這種對安全價值的認識以及使自己的一舉一動符合安全的行為規范的表現，正是所謂的“安全修養”。如果一個組織建立起濃厚的安全文化環境，不論決策層、管理層還是一般員工，都會在安全文化的約束下規范自己的行為，安全文化就像一支看不見的手，凡是不安全的行為都會被這支手拉回到安全操作的軌道上來。營造組織信息安全文化目錄信息安全體系概述信息安全組織體系信息安全管理體系信息安全技術體系信息安全執行體系目錄信息安全體系概述信息安全組織體系信息安全管理體系信息信息安全管理體系的定義信息安全管理體系（ISMS：InformationSecurityManagementSystem）是組織在整體或特定范圍內建立的信息安全方針和目標，以及完成這些目標所用的方法和體系。ISMS相對應的BS7799標準在國際上得到了廣泛的應用，目前引標準已被采納為國際標準ISO17799:2005ISO27001:2005。在ISO17799中信息安全主要指信息的機密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持。信息安全管理體系的定義ISMS“木桶”由哪些“板”組成？類似于質量管理體系的ISO9000標準，ISMS也有相應的國際標準ISO27001，它確定了ISMS的11個安全領域及133個相應的控制措施。ISMS“木桶”由哪些“板”組成？ISO17799及ISO27001的內容ISO17799:2005

信息安全管理實施規范，主要是給負責開發的人員作為參考文檔使用，從而在組織中實施和維護信息安全；ISO27001:2005

信息安全管理體系規范，詳細說明了建立、實施和維護信息安全管理系統的要求，指出實施組織需要通過風險評估來鑒定最適宜的控制對象，并對自己的需求采取適當的控制。獲得BS7799和ISO27001認證的組織ISO17799及ISO27001的內容獲得BS7799和IISMS體系設計在組織中要實現信息安全，比較切實可行的第一步的是按照PDCA的原則建立信息安全管理體系。如果沒有一個完整的管理體系和有效的過程來保證組織中的人員能理解他們的安全責任與義務，并建立基本的有效的控制措施，那么再好的安全技術也不能保證組織的信息安全。ISMS體系設計ISMS建設過程：建立ISMS首先要建立一個合理的信息安全管理框架，要從整體和全局的視角，從信息系統的所有層面進行整體安全建設從信息系統本身出發，通過建立資產清單，進行風險分析和需求分析和選擇安全控制等步驟，建立安全體系并提出安全解決方案。體系運行體系審核管理評審體系認證第七步第八步第九步第十步運行說明內審報告外審報告認證證書ISMS建設過程：體系運行體系審核管理評審體系認證第七步第八信息安全體系的內容管理體系：安全方針、策略文件，程序文件、操作指導書、記錄表格等。信息安全體系的內容管理體系：安全方針、策略文件，程序文件、操目錄信息安全體系概述信息安全組織體系信息安全管理體系信息安全技術體系信息安全執行體系目錄信息安全體系概述信息安全組織體系信息安全管理體系信息“技術防火墻”的總體要求技術結構方面：完備的安全技術防御系統應該具備評估，保護，檢測，反應和恢復的五種技術能力。實現ISO7498-2所定義的鑒別，訪問控制，數據完整性，數據保密性，抗抵賴五類安全功能。技術產品方面：綜合利用商用密碼、防火墻、防病毒、身份識別、網絡隔離、可信服務、安全服務、備份恢復、PKI服務、取證、網絡入侵陷阱、主動反擊等多種技術與產品來保證企業的信息系統的機密性、完整性和可靠性。

集中管理方面：實現集成化安全管理和安全信息共享機制，以集中管理安全控制、安全策略、安全配置、安全事件審計、安全事故應急響應，可管理的安全才是真正意義上的安全。災難恢復與業務持續性方面：對于突發性的重大災難，日常安全控制措施不再起作用，此時要采取適當和有效的措施來減輕相關威脅實際發生時所帶來的破壞后果，這是組織信息安全的最后一道防線。

八、建立“技術防火墻”“技術防火墻”的總體要求八、建立“技術防火墻”技術體系的實現框架信息安全框架可通過基礎技術系統、安全運維管理系統、應用支撐系統來實現，其最終目的是保證應用系統和數據的安全。基礎技術系統安全防護系統應用支撐系統安全運維管理系統技術體系的實現框架基礎技術系統安全防護系統應用支撐系統安全縱深防御架構可信網和不可信網要物理層隔斷，網絡邏輯連接要割斷，應用數據要凈化，不可信網絡上的計算機不能直接到達可信網絡。使用“應用分層、服務分區、安全分級”的思路，指導網絡結構化建設，根據應用類型、物理位置、邏輯位置等的不同，劃分不同的網絡安全區域和邊界。IATF安全域基礎技術系統縱深防御架構IATF安全域基礎技術系統一個為整個安全體系提供安全服務的基礎性平臺，為應用系統和安全支撐平臺提供包括數據完整性、真實性、可用性、不可抵賴性和機密性在內的安全服務。包括：數字證書認證體系（CA/PKI）密鑰管理基礎設施（KMI）授權管理基礎設施（AA/PMI）災難恢復及業務連續性基礎設施（DRI/BCP）安全基礎設施一個為整個安全體系提供安全服務的基礎性平臺，為應用系統和安全用戶CA系統AA系統數據庫服務訪問他是誰？有什么權限？認證系統授權系統用戶認證證書用戶權限證書設備認證證書設備認證證書軟件認證證書PKI與PMI的應用：安全認證與授權用戶CA系統AA系統數據庫服務訪問他是誰？有什么權限？認證系網絡安全控制采用入侵檢測、漏洞掃描、病毒防治、防火墻、網絡隔離、安全虛擬專網（VPN）等成熟技術，利用物理環境保護、邊界保護、系統加固、節點數據保護、數據傳輸保護等手段，通過對網絡的安全防護的統一設計和統一配置，實現全系統統一、高效、可