提綱什么是信息安全什么是IT運(yùn)維信息安全與IT運(yùn)維的關(guān)系怎樣開展信息安全工作信息安全最佳實(shí)踐信息安全工作模型什么是信息安全？（1） 關(guān)于信息安全的定義很多，國內(nèi)外、不同組織給出不同的定義，但我們可以找出其中共性的部分…國內(nèi)學(xué)者的定義：“信息安全保密內(nèi)容分為：實(shí)體安全、運(yùn)行安全、數(shù)據(jù)安全和管理安全四個方面。”我國“計算機(jī)信息系統(tǒng)安全專用產(chǎn)品分類原則”中的定義是：“涉及實(shí)體安全、運(yùn)行安全和信息安全三個方面。”我國相關(guān)立法給出的定義是：“保障計算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（網(wǎng)絡(luò)）的安全，運(yùn)行環(huán)境的安全，保障信息安全，保障計算機(jī)功能的正常發(fā)揮，以維護(hù)計算機(jī)信息系統(tǒng)的安全”。這里面涉及了物理安全、運(yùn)行安全與信息安全三個層面。什么是信息安全？（2）國家信息安全重點(diǎn)實(shí)驗(yàn)室給出的定義是：“信息安全涉及到信息的機(jī)密性、完整性、可用性、可控性。綜合起來說，就是要保障電子信息的有效性。”英國BS7799信息安全管理標(biāo)準(zhǔn)給出的定義是：“信息安全是使信息避免一系列威脅，保障商務(wù)的連續(xù)性，最大限度地減少商務(wù)的損失，最大限度地獲取投資和商務(wù)的回報，涉及的是機(jī)密性、完整性、可用性。”

什么是信息安全？（3）美國國家安全局信息保障主任給出的定義是：“因?yàn)樾g(shù)語‘信息安全’一直僅表示信息的機(jī)密性，在國防部我們用‘信息保障’來描述信息安全，也叫‘IA’。它包含5種安全服務(wù)，包括機(jī)密性、完整性、可用性、真實(shí)性和不可抵賴性。”國際標(biāo)準(zhǔn)化委員會給出的定義是：“為數(shù)據(jù)處理系統(tǒng)而采取的技術(shù)的和管理的安全保護(hù)，保護(hù)計算機(jī)硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞、更改、顯露”。什么是信息安全——信息安全目標(biāo)總結(jié)信息安全的目標(biāo) 機(jī)密性Confidentiality

完整性Integrity

可用性Availability 可控性controllability

真實(shí)性Authenticity

不可否認(rèn)性Non-repudiation什么是信息安全——涵蓋內(nèi)容總結(jié)信息安全的涵蓋內(nèi)容物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理提綱什么是信息安全什么是IT運(yùn)維信息安全與IT運(yùn)維的關(guān)系怎樣開展信息安全工作信息安全最佳實(shí)踐信息安全工作模型什么是IT運(yùn)維？——互聯(lián)網(wǎng)定義IT運(yùn)維是IT管理的核心和重點(diǎn)部分，也是內(nèi)容最多、最繁雜的部分，該階段主要用于IT部門內(nèi)部日常運(yùn)營管理，涉及的對象分成兩大部分，即IT業(yè)務(wù)系統(tǒng)和運(yùn)維人員，可細(xì)分為七個子系統(tǒng)：設(shè)備管理：對網(wǎng)絡(luò)設(shè)備、服務(wù)器備、操作系統(tǒng)運(yùn)行狀況進(jìn)行監(jiān)控應(yīng)用/服務(wù)管理：各種應(yīng)用軟件與服務(wù)數(shù)據(jù)/存儲/容災(zāi)管理：對系統(tǒng)和業(yè)務(wù)數(shù)據(jù)進(jìn)行統(tǒng)一存儲、備份和恢復(fù)業(yè)務(wù)管理：對組織業(yè)務(wù)系統(tǒng)的監(jiān)控與管理，CSF/KPI目錄/內(nèi)容管理：組織的對內(nèi)、外信息的管理資產(chǎn)管理：包括物理與邏輯資產(chǎn)信息安全管理：日常工作管理：職責(zé)分工，績效考核，知識平臺整理等什么是IT運(yùn)維——我的定義組織為實(shí)現(xiàn)業(yè)務(wù)目標(biāo)而針對IT系統(tǒng)所采取的一切管理的總和，可以分為兩類：服務(wù)支持管理與服務(wù)交付管理。服務(wù)支持包括：事故管理問題管理配置管理變更管理發(fā)布管理服務(wù)交付包括：可用性管理能力管理服務(wù)水平管理外包管理什么是IT運(yùn)維——總結(jié)IT運(yùn)維的目標(biāo)支撐組織業(yè)務(wù)目標(biāo)IT運(yùn)維的內(nèi)容服務(wù)交付服務(wù)支持IT運(yùn)維≈ITIL+Cobit+CISA+ISO20000提綱什么是信信息安全全什么是IT運(yùn)維信息安全全與IT運(yùn)維的關(guān)關(guān)系怎樣開展展信息安安全工作作信息安全全最佳實(shí)實(shí)踐信息安全全工作模模型信息安全全與IT運(yùn)維的關(guān)關(guān)系（1）安全是IT運(yùn)維的重重要組成成模塊，，對于某某些行業(yè)業(yè)是關(guān)鍵鍵模塊IT運(yùn)維旨在在謀求安安全性與與方便性性安全保障障著價值值安全正在在創(chuàng)造價價值...網(wǎng)上銀行行的安全全性吸引引了更多多的消費(fèi)費(fèi)者商業(yè)秘密密的安全全措施使使得組織織更具競競爭力電子簽名名法的出出臺打消消了使用用者的安安全疑慮慮具有安全全認(rèn)證與與強(qiáng)大容容災(zāi)能力力的郵件件系統(tǒng)才才能擁有有海量的的用戶信息安全全與IT運(yùn)維的關(guān)關(guān)系（2）安全與IT運(yùn)維共有有一個衡衡量標(biāo)尺尺：組織織業(yè)務(wù)目目標(biāo)業(yè)務(wù)需求求驅(qū)動信信息安全全與IT運(yùn)維需求求信息安全全與IT運(yùn)維方案案要適應(yīng)應(yīng)業(yè)務(wù)流流程信息安全全與IT運(yùn)維方案案要支撐撐業(yè)務(wù)的的可持續(xù)續(xù)發(fā)展業(yè)務(wù)目標(biāo)標(biāo)的調(diào)整整驅(qū)使安安全與IT運(yùn)維的調(diào)調(diào)整投資與企企業(yè)戰(zhàn)略略、風(fēng)險險狀況密密切相關(guān)關(guān)信息安全全與IT運(yùn)維的關(guān)關(guān)系（3）安全貫穿穿了IT運(yùn)維整個個生命周周期安全與IT運(yùn)維都是是一個過過程，而而不是一一次事件件每個IT運(yùn)維流程程都影響響著安全全的一個個或者多多個目標(biāo)標(biāo)（C.I.A）失去安全全的IT運(yùn)維是失失敗的運(yùn)運(yùn)維安全的成成熟度模模型與IT運(yùn)維的標(biāo)標(biāo)桿管理理是吻合合的信息安全全與IT運(yùn)維的關(guān)關(guān)系（4）IT運(yùn)維與信信息安全全的融合合安全公司司試水運(yùn)運(yùn)維，安安全產(chǎn)品品強(qiáng)化管管理、監(jiān)監(jiān)控功能能，支持持IT運(yùn)維運(yùn)維支持持類產(chǎn)品品引入安安全概念念、集成成安全技技術(shù)信息安全全融入IT運(yùn)維流程程中相關(guān)標(biāo)準(zhǔn)準(zhǔn)的認(rèn)證證工作可可以同時時進(jìn)行（（ISO20000/270001）信息安全全與IT運(yùn)維的關(guān)關(guān)系（5）IT運(yùn)維的趨趨勢彰示示著安全全的未來來IT運(yùn)維的標(biāo)標(biāo)準(zhǔn)化符符合安全全的“縱深防御御”的理念I(lǐng)T運(yùn)維的流流程化提提高了安安全的可可管理性性，為改改進(jìn)安全全工作提提供條件件IT運(yùn)維的自自動化減減少了人人為失誤誤，降低低了安全全的成本本提綱什么是信信息安全全什么是IT運(yùn)維信息安全全與IT運(yùn)維的關(guān)關(guān)系怎樣開展展信息安安全工作作信息安全全最佳實(shí)實(shí)踐信息安全全工作模模型怎樣開展展信息安安全治理理（1）1、規(guī)劃根據(jù)組織織業(yè)務(wù)與與組織文文化，制制定安全全目標(biāo)對組織進(jìn)進(jìn)行風(fēng)險險評估制定安全全基線怎樣開展展信息安安全治理理（2）2、實(shí)施根據(jù)安全全基線，，制定安安全建設(shè)設(shè)計劃、、投資回回報計劃劃建立信息息安全管管理框架架，融合各種種安全技技術(shù)、產(chǎn)產(chǎn)品，建建設(shè)組織織安全保保障體系系。對關(guān)鍵流流程制定定BCP/DRP計劃怎樣開展展信息安安全治理理（3）3、評估參照Cobit，開展信信息系統(tǒng)統(tǒng)審計根據(jù)組織織的業(yè)務(wù)務(wù)流程，，建立基基于“平衡積分分卡”的績效考考評機(jī)制制逐步分解解“平衡積分分卡”為若干個個KPI/KGI/Metrics等，參照照安全基基線發(fā)現(xiàn)現(xiàn)差距在盡量不不影響業(yè)業(yè)務(wù)連續(xù)續(xù)性的前前提下，，采取有有效演練練手段，，確保BCP、DRP的有效性性怎樣開展展信息安安全治理理（4）4、維護(hù)根據(jù)評估估結(jié)果，，進(jìn)行流流程改進(jìn)進(jìn)標(biāo)桿管理理，提高高安全系系統(tǒng)成熟熟度持續(xù)改進(jìn)進(jìn)，永不不停止怎樣開展展信息安安全治理理（5）關(guān)于人...上述步驟驟中，并并沒有列列出“人”的因素，，其實(shí)在在整個安安全治理理工作中中，“人”是最關(guān)鍵鍵的因素素。對人的安安全意識識的培養(yǎng)養(yǎng)、安全全技能的的教育伴伴隨著整整個安全全治理工工作全程程，不會會僅限于于某個特特定步驟驟怎樣開展展信息安安全治理理（6）關(guān)于安全全成熟度度...系統(tǒng)安全全工程能能力成熟熟模型（（SSE-CMM）描述了了一個組組織的安安全工程程過程必必須包含含的本質(zhì)質(zhì)特征，，這些特特征是完完善的安安全工程程保。包包括6級。SSE-CMM0:未實(shí)施級級SSE-CMM1:非正式實(shí)實(shí)施級執(zhí)行基本本實(shí)施SSE-CMM2:計劃和跟跟蹤級規(guī)劃執(zhí)行行，規(guī)范范化執(zhí)行行，驗(yàn)證證執(zhí)行，，跟蹤執(zhí)執(zhí)行SSE-CMM3:已定義級級定義標(biāo)準(zhǔn)準(zhǔn)過程，，執(zhí)行已已定義過過程，協(xié)協(xié)調(diào)實(shí)施施SSE-CMM4:可管理級級建立可測測的質(zhì)量量目標(biāo)，，客觀的的管理執(zhí)執(zhí)行SSE-CMM5:持續(xù)改進(jìn)進(jìn)級改進(jìn)組織織能力，，改進(jìn)過過程有效效性怎樣開展展信息安安全治理理（7）關(guān)于績效效考評與與平衡計計分卡…沒有績效效考評無無法度量量信息安安全治理理的輸出出一般來講講，平衡衡計分卡卡從如下下4個角度進(jìn)進(jìn)行財務(wù)角度度成本預(yù)算算、投資資回報等等客戶角度度服務(wù)質(zhì)量量、客戶戶滿意度度、需求求解決、、高效的的IT服務(wù)臺等等企業(yè)內(nèi)部部運(yùn)營業(yè)務(wù)流程程效率、、登錄時時間、故故障發(fā)生生率、故故障平均均修復(fù)時時間學(xué)習(xí)與成成長人才培養(yǎng)養(yǎng)，技能能發(fā)展等等提綱什么是信信息安全全什么是IT運(yùn)維信息安全全與IT運(yùn)維的關(guān)關(guān)系怎樣開展展信息安安全工作作信息安全全最佳實(shí)實(shí)踐信息安全全工作模模型信息安全全治理的的最佳實(shí)實(shí)踐（1）沒有管理理層支持持的安全全治理的的結(jié)果只只有一個個：失敗敗確保資金金、人員員的支持持管理層的的支持在在一定程程度上說說明信息息安全治治理順從從組織業(yè)業(yè)務(wù)目標(biāo)標(biāo)怎樣得到到管理層層的支持持？？信息安全全治理的的最佳實(shí)實(shí)踐（2）沒有規(guī)劃劃的安全全治理，，結(jié)果也也是失敗敗信息安全全治理是是一個復(fù)復(fù)雜的工工程，沒沒有規(guī)劃劃只能失失敗信息安全全治理的的最佳實(shí)實(shí)踐（3）遵循標(biāo)標(biāo)準(zhǔn)才才能少少走彎彎路相關(guān)的的標(biāo)準(zhǔn)準(zhǔn)與體體系：：ISO20000/270001ITIL，Cobit，COSO相關(guān)的的法律律：SOX302/404信息安安全等等級管管理辦辦法信息安安全治治理的的最佳佳實(shí)踐踐（4）信息資資產(chǎn)分分類/分級，，實(shí)現(xiàn)現(xiàn)有限限投資資的效效益最最大化化信息資資產(chǎn)分分類/分級并并不是是簡單單的資資產(chǎn)清清點(diǎn)信息資資產(chǎn)分分類/分級為為進(jìn)一一步的的訪問問控制制做準(zhǔn)準(zhǔn)備信息資資產(chǎn)的的分類類以業(yè)業(yè)務(wù)流流程為為參照照，分分級以以重要要性為為參照照信息安安全治治理的的最佳佳實(shí)踐踐（5）建立縱縱深防防御機(jī)機(jī)制縱深防防御機(jī)機(jī)制被被認(rèn)為為是解解決信信息安安全的的最佳佳方法法，是是指在在信息息系統(tǒng)統(tǒng)中的的多個個點(diǎn)使使用多多種安安全技技術(shù)，，從而而減少少攻擊擊者利利用關(guān)關(guān)鍵業(yè)業(yè)務(wù)資資源或或信息息泄露露到企企業(yè)外外部的的總體體可能能性。。在消消息傳傳遞和和協(xié)作作環(huán)境境中，，縱深深防御御體系系可以以幫助助管理理員確確保惡惡意代代碼或或活動動被阻阻止在在基礎(chǔ)礎(chǔ)結(jié)構(gòu)構(gòu)內(nèi)的的多個個檢查查點(diǎn)。。這降降低了了威脅脅進(jìn)入入內(nèi)部部網(wǎng)絡(luò)絡(luò)的可可能性性。怎樣建建立縱縱深防防御機(jī)機(jī)制？？？信息安安全治治理的的最佳佳實(shí)踐踐（6）預(yù)防為為主，，檢測測與糾糾正并并舉的的安全全控制制措施施安全問問題發(fā)發(fā)生的的階段段越靠靠后，，解決決安全全問題題付出出的代代價越越高。。信息安安全拒拒絕完完美主主義，，不要要試圖圖消除除所有有的風(fēng)風(fēng)險雖然不不能消消除所所有的的風(fēng)險險，但但是可可以管管理所所有風(fēng)風(fēng)險信息安安全治治理的的最佳佳實(shí)踐踐（7）安全治治理是是一個個動態(tài)態(tài)的過過程，，而非非一次次孤立立事件件安全策策略的的建立立不是是安全全的終終點(diǎn)安全產(chǎn)產(chǎn)品的的部署署也不不是安安全的的終點(diǎn)點(diǎn)安全治治理根根本沒沒有終終點(diǎn)，，安全全治理理是一一個循循環(huán)公司業(yè)業(yè)務(wù)目目標(biāo)的的調(diào)整整對信信息安安全的的影響響新技術(shù)術(shù)、新新產(chǎn)品品的發(fā)發(fā)展帶帶來隱隱患或或者機(jī)機(jī)遇。。wireless，IM，cc攻擊等等信息安安全治治理的的最佳佳實(shí)踐踐（8）安全治治理的的過程程就是是發(fā)現(xiàn)現(xiàn)并消消除短短木板板的過過程信息安安全的的短木木板在在很多多方面面都存存在以信息息防泄泄漏為為例，，大多多數(shù)網(wǎng)網(wǎng)關(guān)設(shè)設(shè)備能能支持持訪問問控制制，能能對郵郵件、、網(wǎng)頁頁、ftp等進(jìn)行行監(jiān)控控并過過濾，，但是是仍然然存在在其他他途徑徑可以以泄漏漏信息息，包包括移移動介介質(zhì)、、無線線通訊訊、以以及近近來越越來越越普及及的即即時通通訊工工具。。信息安安全治治理的的最佳佳實(shí)踐踐（9）安全的的管理理，歸歸根結(jié)結(jié)底是是對人人的管管理人的安安全意意識、、安全全操作作、安安全技技能信息安安全中中最重重要的的環(huán)節(jié)節(jié)是人人，最最薄弱弱的環(huán)環(huán)節(jié)也也是人人。人可以以解決決技術(shù)術(shù)、產(chǎn)產(chǎn)品所所不能能解決決的問問題，，比如如SocialEngineeringAttack人可以以管理理技術(shù)術(shù)、產(chǎn)產(chǎn)品的的缺陷陷信息安安全治治理的的最佳佳實(shí)踐踐（10）參照但不照照搬最佳實(shí)實(shí)踐沒有一個最最佳實(shí)踐能能適應(yīng)所有有情況，包包括上述9條:-)提綱什么是信息息安全什么是IT運(yùn)維信息安全與與IT運(yùn)維的關(guān)系系怎樣開展信信息安全工工作信息安全最最佳實(shí)踐信息安全工工作模型信息安全工工作模型（（圖）實(shí)施安全建設(shè)計劃投資回報計劃技術(shù)產(chǎn)品部署B(yǎng)CP/DRP評估信息系統(tǒng)審計績效考核發(fā)現(xiàn)差距BCP/DRP演練維護(hù)流程改造持續(xù)改進(jìn)規(guī)劃業(yè)務(wù)目標(biāo)組織文化安全目標(biāo)風(fēng)險評估安全基線SSM-CMM2SSM-CMM3SSM-CMM4SSM-CMM5SSM-CMM1計劃跟蹤已定義可管理持續(xù)改進(jìn)非正式9、靜靜夜夜四四無無鄰鄰，，荒荒居居舊舊業(yè)業(yè)貧貧。。。。12月月-2212月月-22Thursday,December29,202210、雨雨中中黃黃葉葉樹樹，，燈燈下下白白頭頭人人。。。。03:47:2203:47:2203:4712/29/20223:47:22AM11、以我獨(dú)獨(dú)沈久，，愧君相相見頻。。。12月-2203:47:2203:47Dec-2229-Dec-2212、故人江海海別，幾度度隔山川。。。03:47:2203:47:2203:47Thursday,December29,202213、乍見見翻疑疑夢，，相悲悲各問問年。。。12月月-2212月月-2203:47:2203:47:22December29,202214、他鄉(xiāng)生生白發(fā)，，舊國見見青山。。。29十十二月20223:47:22上午午03:47:2212月-2215、比比不不了了得得就就不不比比，，得得不不到到的的就就不不要要。。。。。十二二月月223:47上上午午12月月-2203:47December29,202216、行動出成成果，工作作出財富。。。2022/12/293:47:2203:47:2229December202217、做前，能能夠環(huán)視四四周；做時時，你只能能或者最好好沿著以腳腳為起點(diǎn)的的射線向前前。。3:47:22上上午3:47上上午03:47:2212月-229、沒有有失敗敗，只只有暫暫時停停止成成功！！。12月月-2212月月-22Thursday,December29,202210、很多事事情努力力了未必必有結(jié)果果，但是是不努力力卻什么么改變也也沒有。。。03:47:2203:47:2203:4712/29/20223:47:22AM11、成功就就是日復(fù)復(fù)一日那那一點(diǎn)點(diǎn)點(diǎn)小小努努力的積積累。。。12月-2203:47:2203:47Dec-2229-Dec-2212、世間成成事，不不求其絕絕對圓滿滿，留一一份不足足，可得得無限完完美。。。03:47:2303:47:2303:47Thursday,December29,202213、不知香積積寺，數(shù)里里入云峰。。。12月-2212月-2203:47:2303:47:23December29,202214、意志志堅強(qiáng)強(qiáng)的人人能把把世界界放在在手中中像泥泥塊一一樣任任意揉揉捏。。29十十二二月20223:47:23上上午03:47:2312月月-2215、楚楚塞塞三三湘湘接接，，荊荊門門九九派派通通。。。。。十二二月月223:47上上午午12月月-2203:47December29,202216、少年年十五五二十十時，，步行行奪得得胡馬馬騎。。。2022/12/293:47:2303:47:2329December202217、空山山新雨雨后，，天氣氣晚來來秋。。。3:47:23上上午3:47上上午午03:47:2312月月-229、楊柳柳散和和風(fēng)，，青山山澹吾吾慮。。。12月月-2212月月-22Thursday,December29,202210、閱讀讀一切切好書