《信息安全管理教程PPT讲稿.ppt》由会员分享,可在线阅读,更多相关《信息安全管理教程PPT讲稿.ppt(27页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全管理教程课件第1页,共27页,编辑于2022年,星期四第1章 信息安全概述重点内容:信息安全的含义及特性信息安全政策和法律体系第2页,共27页,编辑于2022年,星期四一、一、信息安全的含义及特性信息安全的含义及特性1、信息安全定义 信息安全是指:信息安全是为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据因偶然、恶意的原因遭到破坏、更改和泄露。2、特性 为保证网络信息的安全,安全系统要满足以下需求:保密性、完整性、可用性和不可否认性。第3页,共27页,编辑于2022年,星期四2、特性保密性:表示对信息开放范围的控制,指把信息按指定要求不泄露给非授权的个人、实体
2、或过程,或提供其利用的特性,即杜绝有用信息泄露给非授权个人或实体,强调有用信息只为授权对象使用的特征。完整性:要保证信息处于一种未受损的状态,指信息在传输、交换、存储和处理过程中保持非修改、非破坏和非丢失的特性,即保持信息原样性,使信息能正确生成、存储和传输。第4页,共27页,编辑于2022年,星期四可用性:是指网络信息可被授权实体正确访问,并按要求能正常使用或在非正常情况下能恢复使用的特征,即在系统运行时能正确存取所需信息,当系统遭受攻击或破坏时,能迅速恢复并能投入使用。可用性是衡量网络信息系统面向用户的一种安全性能。不可否认性:指通信双方在信息交互过程中,确信参与者本身,及参与者所提供的信
3、息的真实同一性,即所有参与者都不可能否认或抵赖本人的真实身份,以及提供信息的原样性和完成的操作与承诺。第5页,共27页,编辑于2022年,星期四二、信息安全政策和法律体系1、信息安全政策我国的信息化发展战略与安全保障工作美国的信息安全国家战略 2、信息安全法律体系法律体系结构(1)法律体系(2)政策体系(3)强制性技术标准相关法律、法规简介 第6页,共27页,编辑于2022年,星期四习题1、信息安全经历了三个发展阶段,以下_B_不属于这三个发展段。A.通信保密阶段B.加密机阶段C.信息安全阶段D.安全保障阶段2、信息系统常见的危险有_ABCD_。A.软硬件设计故障导致网络瘫痪B.黑客入侵C.敏
4、感信息泄露D.信息删除E.电子邮件发送3、数据在存储过程中发生了非法访问行为,这破坏了信息安全的_安全性_属性。4、2000年1月,美国政府发布了保卫美国的计算机空间保护信息系统的国家计划。5、2000年12月28日第九届全国人民代表大会常务委员会第十九次会议通过了关于维护互联网安全的决定第7页,共27页,编辑于2022年,星期四第2章 信息安全管理基础重点内容:信息安全管理体系信息安全管理标准信息安全策略信息安全技术第8页,共27页,编辑于2022年,星期四一、信息安全管理体系1、信息安全管理体系定义(P26第3段)2、信息安全管理的基本原则(1)总体原则 a)主要领导负责原则 b)规范定级
5、原则 c)以人为本原则 d)适度安全原则 e)全面防范原则 f)系统、动态原则g)控制社会影响原则(2)安全管理策略a)分权制衡b)最小特权c)选用成熟技术d)普遍参与 第9页,共27页,编辑于2022年,星期四二、信息安全管理标准1、BS 7799(1)BS 7799标准概述(P33)(2)BS 7799标准主要内容2、其他标准如:PD 3000标准、CC标准和ISO/IEC TR 13335标准。第10页,共27页,编辑于2022年,星期四三、信息安全策略主要的信息主要的信息安全策略安全策略(1)口令策略(如:系统密码、网络入口密码等)(2)计算机病毒和恶意代码防治策略(如:拒绝访问、病毒
6、检测等)(3)安全教育和培训策略(4)可接受使用策略AUP 第11页,共27页,编辑于2022年,星期四四、信息安全技术(1)物理环境安全技术包括三方面:环境安全、设备安全和媒体安全。(2)通信链路安全技术1、链路加密技术2、远程拨号安全协议(3)网络安全技术1、防火墙2、网络入侵3、网络脆弱性分析(4)系统安全技术1、主机入侵检测2、计算机病毒防治(5)身份认证安全技术1、动态口令认证2、PKI证书认证技术第12页,共27页,编辑于2022年,星期四习题1、BS7799是英国标准协会针对信息安全管理而指定的标准,最初发布于_B_A.1993B.1995C.1996D.19982、信息安全评测
7、标准CC标准是_A_标准A.国际B.美国C.中国D.英国3、按照BS7799标准,信息安全管理应当是一个持续改进的周期性过程。正确4、信息安全策略主要包含口令策略、计算机病毒和恶意代码防治策略、安全教育和培训策略、可接受使用策略AUP。5、用户身份鉴别是通过_A_完成的。A.口令验证 B.审计策略 C.存取控制D.查询功能第13页,共27页,编辑于2022年,星期四第3章 信息安全等级保护与风险评估重点内容:信息系统安全等级划分风险评估的方法与流程第14页,共27页,编辑于2022年,星期四一、信息安全等级保护制度信息安全等级保护制度1、信息系统安全等级划分(1)第一级为自主保护级(2)第二级
8、为指导保护级(3)第三级为监督保护级(4)第四级为强制保护级(5)第五级为专控保护级2、信息系统安全等级保护相关标准(P77)(1)GB 17859-1999计算机信息系统安全保护等级划分准则。(2)信息系统安全等级保护实施指南。第15页,共27页,编辑于2022年,星期四安全服务与安全机制之间的关系二、信息系统安全风险评估信息系统安全风险评估1、风险评估模型(1)风险评估要素关系模型(2)安全风险计算模型计算过程是:1、对信息资产进行识别,对资产赋值;2、对威胁进行分析,并对威胁发生的可能性赋值;3、识别信息资产的脆弱性,并对脆弱性的严重程度赋值;4、根据威胁和脆弱性计算安全事件发生的可能性
9、;5、结合信息资产的重要性和该资产发生安全事件的可能性计算信息资产的风险值。2、风险评估的方法(1)自评估与他评估。(2)基线评估与详细评估。(3)定量评估与定性评估。第16页,共27页,编辑于2022年,星期四二、信息系统安全风险评估信息系统安全风险评估3、风险评估流程(1)资产识别(2)威胁识别(3)脆弱性识别(4)安全措施识别(5)风险识别4、风险评估的工具(1)安全管理评价系统。(2)信息基础设施风险评估工具。(3)风险评估辅助工具。第17页,共27页,编辑于2022年,星期四习题1、1999年,我国发布的第一个信息安全等级保护的国家标准GB 178591999,提出将信息系统的安全等
10、 级划分为_D_个 等级,并提出每个级别的安全功能标准。A.A.7 B.B.8 C.C.6 D.D.5 2、下列关于风险的说法,_C_是错误的。A.A.风险是客观存在的 B.B.导致风险的外因是普遍存在的安全威胁 C.C.导致风险的外因是普遍存在的安全脆弱性 D.D.风险是指一种可能性 3、风险管理的首要任务是_A_.A.A.风险识别和评估 B.B.风险转嫁 C.C.风险控制 D.D.接受风险 4、如果一个信息系统,其业务信息安全或业务服务保证性受到破坏后,会对社会秩序和 公共利益造成 一定损害,但不损害国家安全;本级系统依照国家管理规范和技术标准进行自主保护,必要时,信息安全 监督职能部门对
11、其进行指导,那么该信息系统属于等级保护中的_C_.A.A.强制保护级B.B.监督保护级C、指导保护级D.D.自主保护级 第18页,共27页,编辑于2022年,星期四第4章 信息安全管理重点内容:信息安全人员管理信息安全制度管理互联网安全管理计算机病毒防治管理第19页,共27页,编辑于2022年,星期四一、信息安全人员管理信息安全人员管理按照BS 7799安全管理标准,人员安全管理包括以下主要内容:(1)安全审查(2)安全保密管理(3)安全教育与培训(4)岗位安全考核(5)离岗人员安全管理第20页,共27页,编辑于2022年,星期四二、信息安全制度管理信息安全制度管理信息安全制度管理应该在以下方
12、面具体体现(1)安全策略与制度(2)安全风险管理(3)人员和组织安全管理(4)环境和设备安全管理(5)网络和通信安全管理(6)主机和系统安全管理(7)数据安全和加密管理(8)应用和业务安全管理(9)项目工程安全管理(10)运行和维护安全管理(11)业务连续性管理(12)符合性管理第21页,共27页,编辑于2022年,星期四三、互联网安全管理互联网安全管理互联网安全管理主要从一些法律和法规上来规范:(1)、1996年2月1日,国务院发布了计算机信息网络国际联网管理暂行规定。(2)、1997年12月11日,公安部发布了计算机信息网络国际联网安全保护管理办法。(3)、2005年12月13日,公安部发
13、布了互联网安全保护技术措施规定,2006年3月1日起实施。第22页,共27页,编辑于2022年,星期四四、计算机病毒防治管理计算机病毒防治管理1、计算机病毒的概念计算机病毒是指编制或在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并自我复制的一组计算机指令或程序代码。2、计算机病毒的特点(1)内在特点1、传染性2、隐蔽性3、潜伏性4、破坏性(2)新生特点1、感染速度快 2、扩散面广 3、传播形式复杂4、难于彻底清除 5、破坏性大3、计算机病毒的防治管理公安部依据计算机信息系统安全保护条例,于2004年4月制定并公布了计算机病毒防治管理办法。第23页,共27页,编辑于2022年,
14、星期四习题1、在互联网上的计算机病毒呈现出的特点是_ABCD_。A.A.与互联网更加紧密地结合,利用一切可以利用的方式进行传播 B.B.具有多种特征,破坏性大大增强 C.C.扩散性极强,也更注重隐蔽性和欺骗性 D.D.针对系统漏洞进行传播和破坏 2、在信息安全管理中进行安全教育培训,应当区分培训对象的层次和培训内容,主要包括_ABE_。A.A.高级管理层 B.B.关键技术岗位人员 C.C.第三方人员 D.D.外部人员 E.E.普通计算机用户 3、对于人员管理的描述错误的是_B_.A.A.人员管理是安全管理的重要环节 B.B.安全授权不是人员管理的手段 C.C.安全教育是人员管理的有力手段 D.
15、D.人员管理时,安全审查是必要的 4、信息安全管理中 _B_负责保证安全管理策略与制度符合更高层法律,法规的要求,不发生矛盾和 冲突。A.A.组织管理 B.B.合规性管理 C.C.人员管理 D.D.制度管理 第24页,共27页,编辑于2022年,星期四第第5 5章章 信息安全监管信息安全监管根据计算机违法案件的性质界定,计算机案件包括:1、刑事违法案件依据计算机信息系统安全保护条例追究刑事责任。2、行政违法案件依据计算机信息网络国际联网安全保护管理办法,由公安机关给予行政处罚。第25页,共27页,编辑于2022年,星期四习题1、我国计算机信息系统实行_C_保护。A.A.责任制 B.B.主任值班
16、制 C.C.安全等级 D.D.专职人员资格 2、信息安全方针和策略包括_D_。A.A.安全方针 资金投入管理 网络安全规划 B.B.安全方针 资金信息管理 信息安全规划 C.C.安全方针 资金信息管理 网络安全规划 D.D.安全方针 资金投入管理 信息安全规划 3、信息系统的安全工作的三个同步是_C_。A.A.同步规划 同步审批 同步运行 B.B.同步计划 同步建设 同步运行 C.C.同步规划 同步建设 同步运行 D.D.同步计划 同步审批 同步运行 4、目前广泛使用的主要安全技术包括_ABCDE_。A.A.防火墙B.B.入侵检测 C.C.PKI D.D.VPN E.E.病毒检查 第26页,共27页,编辑于2022年,星期四完完谢谢大家!谢谢大家!第27页,共27页,编辑于2022年,星期四