当前位置:文档之家 › 信息安全管理概论

信息安全管理概论

  • 格式:ppt
  • 大小:592.50 KB
  • 文档页数:103

下载文档原格式

  / 103

合集下载

信息安全管理概论重点

信息安全管理概论重点

信息安全管理概论重点填空:1’*10 名词解释:5’3 简答:5’*4 判断叙理:5’*5 案例分析:10’*1 论述题:10’*21、国家信息安全管理存在的问题宏观:(1)法律法规问题。

健全的信息安全法律法规体系是确保国家信息安全的基础,是信息安全的第一道防线.(2)管理问题。

(包括三个层次:组织建设、制度建设和人员意识)(3)国家信息基础设施建设问题。

目前,中国信息基础设施几乎完全是建立在外国的核心信息技术之上的,导致我国在网络时代没有制网权.2005年度经济人物之首:中国芯创立者邓中翰.十五期间,国家863计划和科技攻关的重要项目:信息安全与电子政务,金融信息化两个信息安全研究项目.微观:(1)缺乏信息安全意识与明确的信息安全方针。

(2)重视安全技术,轻视安全管理。

信息安全大约70%以上的问题是由管理原因造成的.(3)安全管理缺乏系统管理的思想。

2、信息安全概念信息安全是指信息的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)、真实性、准确性的保持。

信息保密性:保障信息仅仅为那些被授权使用的人获取,它因信息被允许访问对象的多少而不同.信息完整性:指为保护信息及其处理方法的准确性和完整性,一是指信息在利用,传输,储存等过程中不被篡改,丢失,缺损等,另外是指信息处理方法的正确性.信息可用性:指信息及相关信息资产在授权人需要时可立即获得.系统硬件,软件安全,可读性保障等.3、信息安全重要性a.信息安全是国家安全的需要国家军事安全、政治稳定、社会安定、经济有序运行美国与俄罗斯先后推出<信息系统保护国家计划>和<国家信息安全学说>b.信息安全是组织持续发展的需要任何组织的正常运作都离不开信息资源的支持.组织的商业秘密,系统的正常运行等,信息安全特性已成为许多组织的服务质量的重要特性之一.c.信息安全是保护个人隐私与财产的需要4、如何确定组织信息安全的要求a.法律法规与合同要求b.风险评估的结果(保护程度与控制方式)c.组织的原则、目标与要求5、传统信息安全管理模式特点(传统管理模式的弊端与技术手段的局限性)传统管理模式:静态的、局部的、少数人负责的、突击式的、事后纠正式的缺点:a、不能从根本上避免和降低各类风险,也不能降低信息安全故障导致的综合损失b、信息安全技术是信息安全控制不可或缺的重要手段,但单靠技术手段实现安全的能力是有限的,甚至丧失,信息安全来自:三分技术,七分管理c、信息安全不能迷信技术,应该在适宜技术条件下加强管理.6、系统的信息安全管理原则:(1)制订信息安全方针原则:制定信息安全方针为信息安全管理提供导向和支持(2)风险评估原则:控制目标与控制方式的选择建立在风险评估的基础之上(3)费用与风险平衡原则:将风险降至组织可接受的水平,费用太高不接受(4)预防为主原则:信息安全控制应实行预防为主,做到防患于未然(5)商务持续性原则:即信息安全问题一旦发生,我们应能从故障与灾难中恢复商务运作,不至于发生瘫痪,同时应尽力减少故障与灾难对关键商务过程的影响(6)动态管理原则:即对风险实施动态管理(7)全员参与的原则:(8)PDCA原则:遵循管理的一般循环模式--Plan(策划)---Do(执行)---Check(检查)---Action(措施)的持续改进模式。

信息安全管理简要概述

信息安全管理简要概述

第六章信息安全管理第一节信息安全管理概述一、信息安全管理的内容1、什么信息安全管理?通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源,以期有效达到组织信息安全目标的活动。

2、信息安全管理的主要活动制定信息安全目标和寻找实现目标的途径;建设信息安全组织机构,设置岗位、配置人员并分配职责;实施信息安全风险评估和管理;制定并实施信息安全策略;为实现信息安全目标提供资源并实施管理;信息安全的教育与培训;信息安全事故管理;信息安全的持续改进。

3、信息安全管理的基本任务(1)组织机构建设(2)风险评估(3)信息安全策略的制定和实施(4)信息安全工程项目管理(5)资源管理◆(1)组织机构建设★组织应建立专门信息安全组织机构,负责:①确定信息安全要求和目标;②制定实现信息安全目标的时间表和预算③建立各级信息安全组织机构和设置相应岗位④分配相应职责和建立奖惩制度⑤提出信息安全年度预算,并监督预算的执行⑥组织实施信息安全风险评估并监督检查⑦组织制定和实施信息安全策略,并对其有效性和效果进行监督检查⑧组织实施信息安全工程项目⑨信息安全事件的调查和处理⑩组织实施信息安全教育培训⑾组织信息安全审核和持续改进工作★组织应设立信息安全总负责人岗位,负责:①向组织最高管理者负责并报告工作②执行信息安全组织机构的决定③提出信息安全年度工作计划④总协调、联络◆(2)风险评估★信息系统的安全风险信息系统的安全风险,是指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。

★信息安全风险评估是指依据国家有关信息技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。

★信息系统安全风险评估的总体目标是:服务于国家信息化发展,促进信息安全保障体系的建设,提高信息系统的安全保护能力。

信息安全管理概论重点.doc

信息安全管理概论重点.doc

信息安全管理概论重点填空:1’*10 名词解释:5’3 简答:5’*4 判断叙理:5’*5 案例分析:10’*1 论述题:10’*21、国家信息安全管理存在的问题宏观:(1)法律法规问题。

健全的信息安全法律法规体系是确保国家信息安全的基础,是信息安全的第一道防线.(2)管理问题。

(包括三个层次:组织建设、制度建设和人员意识)(3)国家信息基础设施建设问题。

目前,中国信息基础设施几乎完全是建立在外国的核心信息技术之上的,导致我国在网络时代没有制网权.2005年度经济人物之首:中国芯创立者邓中翰.十五期间,国家863计划和科技攻关的重要项目:信息安全与电子政务,金融信息化两个信息安全研究项目.微观:(1)缺乏信息安全意识与明确的信息安全方针。

(2)重视安全技术,轻视安全管理。

信息安全大约70%以上的问题是由管理原因造成的.(3)安全管理缺乏系统管理的思想。

2、信息安全概念信息安全是指信息的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)、真实性、准确性的保持。

信息保密性:保障信息仅仅为那些被授权使用的人获取,它因信息被允许访问对象的多少而不同.信息完整性:指为保护信息及其处理方法的准确性和完整性,一是指信息在利用,传输,储存等过程中不被篡改,丢失,缺损等,另外是指信息处理方法的正确性.信息可用性:指信息及相关信息资产在授权人需要时可立即获得.系统硬件,软件安全,可读性保障等.3、信息安全重要性a.信息安全是国家安全的需要国家军事安全、政治稳定、社会安定、经济有序运行美国与俄罗斯先后推出<信息系统保护国家计划>和<国家信息安全学说>b.信息安全是组织持续发展的需要任何组织的正常运作都离不开信息资源的支持.组织的商业秘密,系统的正常运行等,信息安全特性已成为许多组织的服务质量的重要特性之一.c.信息安全是保护个人隐私与财产的需要4、如何确定组织信息安全的要求a.法律法规与合同要求b.风险评估的结果(保护程度与控制方式)c.组织的原则、目标与要求5、传统信息安全管理模式特点(传统管理模式的弊端与技术手段的局限性)传统管理模式:静态的、局部的、少数人负责的、突击式的、事后纠正式的缺点:a、不能从根本上避免和降低各类风险,也不能降低信息安全故障导致的综合损失b、信息安全技术是信息安全控制不可或缺的重要手段,但单靠技术手段实现安全的能力是有限的,甚至丧失,信息安全来自:三分技术,七分管理c、信息安全不能迷信技术,应该在适宜技术条件下加强管理.6、系统的信息安全管理原则:(1)制订信息安全方针原则:制定信息安全方针为信息安全管理提供导向和支持(2)风险评估原则:控制目标与控制方式的选择建立在风险评估的基础之上(3)费用与风险平衡原则:将风险降至组织可接受的水平,费用太高不接受(4)预防为主原则:信息安全控制应实行预防为主,做到防患于未然(5)商务持续性原则:即信息安全问题一旦发生,我们应能从故障与灾难中恢复商务运作,不至于发生瘫痪,同时应尽力减少故障与灾难对关键商务过程的影响(6)动态管理原则:即对风险实施动态管理(7)全员参与的原则:(8)PDCA原则:遵循管理的一般循环模式--Plan(策划)---Do(执行)---Check(检查)---Action(措施)的持续改进模式。

信息安全管理概述

信息安全管理概述

信息安全管理概述信息安全管理是指对组织的信息进行保护和管理的一系列措施和流程。

随着信息技术的发展和广泛应用,信息安全管理变得越来越重要。

信息安全管理的目的是确保组织的信息资产能够在保密、完整性和可用性方面得到恰当的保护。

1.风险评估和安全政策制定:首先,组织需要进行风险评估,以识别潜在的信息安全威胁和风险。

然后,根据评估结果,组织需要制定适当的安全政策和流程,明确信息安全的目标和要求。

2.组织安全结构和责任:组织需要建立信息安全管理体系,并明确每个人在信息安全管理中的责任和角色。

这包括指定信息安全经理和安全团队,以负责信息安全相关的工作。

3.访问控制和身份认证:信息应该只能被授权的用户访问。

因此,组织需要实施访问控制和身份认证机制,以确保只有经过授权的人可以访问敏感信息。

这可以通过密码、双因素认证等方式实现。

4.物理安全和环境保护:信息不仅仅存在于电子系统中,还可能存在于纸质文件、服务器和其他媒体中。

因此,组织需要实施物理安全措施,如视频监控、门禁系统等,以保护信息资产免受未经授权的访问或损坏。

5.安全意识培训和教育:信息安全管理还需要包括对组织内部员工的安全意识培训和教育。

员工需要了解信息安全政策和流程,并知道如何识别和应对潜在的安全威胁。

6.事件响应和恢复:尽管组织已经采取了各种预防措施,但信息安全事件仍然可能发生。

因此,组织需要建立完善的事件响应和恢复机制,以迅速应对和解决安全事件,并最小化对业务的影响。

7.合规性和法律要求:组织可能会受到各种法律和法规的约束,这些法律和法规通常要求组织采取特定的信息安全管理措施。

因此,组织需要确保其信息安全管理符合适用的合规性要求。

然而,信息安全管理是一个持续的过程,需要不断地进行监测和改进。

组织需要定期评估其信息安全管理的有效性,并根据评估结果制定相应的改进计划。

只有持续不断地加强信息安全管理,组织才能更好地应对不断变化的信息安全威胁。

信息安全管理概述

信息安全管理概述

信息安全管理概述信息安全管理是指在网络环境下,对信息进行保护和管理的一系列工作。

随着互联网的快速发展和信息技术的广泛应用,信息安全问题日益突出,给个人、组织和国家带来了巨大的风险和挑战。

因此,信息安全管理成为了必不可少的一项工作。

信息安全管理需要建立完善的安全策略和制度。

安全策略是指明确的目标和原则,制度则是具体的规章制度和流程。

通过制定安全策略和制度,可以使信息安全工作有章可循,有序进行。

同时,这也可以帮助组织和个人建立起安全意识和安全习惯,提高信息安全管理的效果。

信息安全管理需要进行风险评估和安全漏洞扫描。

风险评估是指对信息系统和网络进行全面的安全检查,找出潜在的安全风险和漏洞。

通过风险评估,可以及时发现并解决可能存在的安全问题,从而预防信息泄露、数据丢失等安全事件的发生。

安全漏洞扫描则是利用专业的工具对信息系统进行主动扫描,找出其中的漏洞和弱点,以便及时修补和加固。

第三,信息安全管理需要加强对员工的培训和教育。

员工是组织中最重要的安全环节,他们的安全意识和行为习惯直接影响着整个组织的信息安全。

因此,组织需要定期开展安全培训和教育,提高员工对信息安全的认识和理解,让他们掌握一定的安全技能和知识,能够识别和应对可能的安全威胁。

第四,信息安全管理需要建立健全的安全监控和响应机制。

安全监控是指对信息系统和网络进行实时的监控和分析,发现异常行为和攻击行为。

通过安全监控,可以及时发现并应对安全事件,减少安全事故的发生和对组织的损害。

安全响应则是在安全事件发生后,采取相应的措施进行应对和处理,防止事件的进一步扩大和恶化。

信息安全管理需要加强与外部合作和交流。

信息安全是一个系统工程,需要各方共同参与和努力。

组织应该与相关的政府部门、安全厂商、专家学者等建立合作关系,共同研究和探讨信息安全的问题,分享安全经验和技术,形成合力,提高整个社会的信息安全水平。

信息安全管理是一项复杂而重要的工作,需要建立完善的安全策略和制度,进行风险评估和安全漏洞扫描,加强员工培训和教育,建立安全监控和响应机制,与外部合作和交流。

信息安全管理

信息安全管理

第一章信息安全管理概论1.信息安全管理内涵1.1信息安全定义在技术上和管理上为数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏(可用)、更改(完整)和泄露(机密)。

1.2发展过程及阶段1)通信保密时代:二十世纪40-50年代时代标志是1949 香农发表的《保密通信的信息理论》2)信息安全时代:二十世纪70-90年代关注信息安全的三属性:保密性、完整性和可用性。

3)信息安全保障时代:进入二十一世纪时代标志《信息保障技术框架》(IATF)1.3信息安全保障可信的人员精湛的技术完善的管理1.4信息安全管理定义信息安全管理是通过维护信息的机密性、完整性和可用性等,来管理和保护信息资产的一项体质,是对信息安全保障进行指导、规范和管理的一系列活动和过程。

信息安全管理是信息安全保障体系建设的重要组成部分,对于保护信息资产、降低信息系统安全风险、指导信息安全体系建设具有重要作用。

1.5技术与管理关系信息安全技术是实现信息安全产品的技术基础;信息安全产品是实现组织信息安全的系统设备;单纯只考虑技术,只能做出功能强大的安全保障提供直接的支持。

技术只是个手段,不是趋势,趋势源于需求,技术满足需求,管理起到连接作用。

从管理着眼,从技术入手。

管理驱动技术,技术实现管理。

技术与管理并重。

三分技术七分管理2.信息安全管理的内容2.1 基于信息系统各个层次的安全管理环境和设备安全网络和通信安全主机和系统安全应用和业务安全数据安全2.2 基于信息系统生命周期的安全管理工程设计和开发阶段系统的运行和维护阶段2.3 ISO/IEC 27002:2005(GB/T 22081-2008)11个方面信息安全方针信息安全组织资产管理人力资源安全物理与环境安全通信及操作管理访问控制系统获取、开发和维护信息安全事件管理业务持续性管理符合性3.信息安全管理体系(ISMS)3.1 定义基于业务风险方法,建立、实施、运行、监视、评审、保持和改进信息安全的管理体系,即一套过程框架。

信息安全管理概述

信息安全管理概述信息安全管理的范围包括技术、政策和程序。

技术方面,信息安全管理包括网络安全、数据加密、访问控制和身份验证。

政策方面,信息安全管理需要建立和执行保护数据的政策和规程。

程序方面,信息安全管理需要确保安全意识的培训和安全事件的处理程序。

信息安全管理需要适应组织的特定需求和风险状况。

这意味着信息安全管理需要在组织内部和外部进行评估,并根据评估结果进行调整。

同时,信息安全管理需要与业务需求和法规要求保持一致。

信息安全管理需要跨部门合作,建立一个有效的信息安全文化。

这意味着各级管理者和员工都需要承担信息安全管理的责任,并积极参与信息安全培训和监控。

总的来说,信息安全管理是组织内部和外部信息资源保护的系统方法。

通过技术、政策和程序的综合应用,信息安全管理可以保护机密性、完整性和可用性,同时最大限度地减少信息资源的损失。

信息安全管理是企业管理的一个重要组成部分,它的作用不仅仅是在技术上保护信息资源,更是对企业信息战略进行规划、落实和监控。

信息安全管理还涉及政策、流程、技术和人员的各个方面,要求企业全面提高对信息安全的重视程度,建立规范的管理体系和应急响应机制。

在信息安全管理中,企业应根据自身情况,综合考虑内外部威胁、运营风险、法规合规等因素,制定适合企业实际情况的信息安全管理政策和方案,强调整体风险管理和合规要求。

此外,信息安全管理还要求建立信息安全文化,对企业员工进行信息安全教育培训,提高员工的信息安全意识和技能。

在技术方面,信息安全管理要求企业建立完善的信息安全技术体系,包括网络安全、系统安全、数据安全等各个方面。

网络安全要求建立有效的边界防护、入侵检测、访问控制等措施,并加强对外部威胁的预警和防范。

系统安全要求建立健全的身份认证、权限管理、日志监控等措施,防范系统入侵和滥用行为。

数据安全要求建立有效的数据加密、备份和恢复机制,确保数据的完整性和可用性。

在管理方面,信息安全要求企业建立规范的信息安全管理流程,包括信息资产分类和标记、安全访问控制、风险管理和合规监控等。

信息安全管理基本概念

▪ BS 7799将信息安全管理的有关问题划分成了10 个控制要项、36 个控制目标和127 个控制措施。 目前,在BS7799-2中,提出了如何了建立信息 安全管理体系的步骤。
30
2、信息安全管理的发展-3
31
2、信息安全管理的发展-4
32
3、国内外信息安全管理标准
❖ (1)国际信息安全管理标准
❖ 一、信息安全管理概述 ❖ 二、信息安全管理体系 ❖ 三、信息安全管理体系建立 ❖ 四、信息安全管理控制规范
4
一、信息安全管理概述
❖ (一)信息安全管理基本概念
▪ 1、信息安全 ▪ 2、信息安全管理 ▪ 3、基于风险的信息安全
❖ (二)信息安全管理的状况
▪ 1、信息安全管理的作用 ▪ 2、信息安全管理的发展 ▪ 3、信息安全管理的标准 ▪ 4、成功实施信息安全管理的关键
❖ 促使管理层贯彻信息安全管理体系,强化员工的 信息安全意识,规范组织信息安全行为;
❖ 使组织的生意伙伴和客户对组织充满信心; ❖ 组织可以按照安全管理,达到动态的、系统地、
全员参与、制度化的、以预防为主的信息安全管 理方式,用最低的成本,达到可接受的信息安全 水平,从根本上保证业务的持续性。
47
4、信息安全管理体系的理念
• 《信息安全的概念和模型》 • 《信息安全管理和规划》 • 《信息安全管理技术》 • 《基线方法》 • 《网络安全管理指南》
29
2、信息安全管理的发展-2
❖BS 7799
▪ 英国标准化协会(BSI)1995年颁布了《信息安全 管理指南》(BS 7799),BS 7799分为两个部分 :
▪ BS 7799-1《信息安全管理实施规则》和BS 7799-2《信息安全管理体系规范》。2002年又颁 布了《信息安全管理系统规范说明》(BS 77992:2002)。

信息安全管理概述

设以下工作组。 信息安全标准体系与协调工作组(WG一) 密码算法与密码模块工作组(WG三) 信息安全评估工作组(WG五) 信息安全管理工作组(WG七)
二零零二年七月公安部根据GB 一七八九五-一九九九制定了计算机信息 系统安全等级保护技术要求系列标准,包括:
信息安全管理
目录
Contents Page
零一 信息安全管理地产生背景 零二 信息安全管理地内涵 零三 信息安全管理地发展现状 零四 信息安全管理地有关标准
第2 页
本章介绍信息安全管理地产生背景,信息安全管理地内涵,内外信息安全管 理现状,以及信息安全管理有关标准规范。
本章重点:信息安全管理地内涵,信息安全管理有关标准。
信息安全:防止信息资源地非授权泄露,更改,破坏,或信息被非法系统辨识, 控制与否认。即确保信息地机密,完整,可用,不可否认与可控。
管理安全:通过信息安全有关地法律法令与规章制度以及安全管理手段,确 保系统安全生存与运营。
一.二 信息安全管理地内涵
管理追求效益效率
管理活动地五个基本要素 (一)谁来管:管理主体,回答由谁管地问题; (二)管什么:管理客体,回答管什么地问题; (三)怎么管:组织地目地要求,回答如何管地问题; (四)靠什么管:组织环境或条件,回答在什么情况下管地问题。 (五)管得怎么样:管理能力与效果,回答管理成效问题。
Thank You
(四)IT安全管理指南(ISO 一三三三五) ISO/IEC 一三三三五-一:一九九六《IT安全概念与模型》 ISO/IEC 一三三三五-二:一九九七《IT安全管理与计划》 ISO/IEC 一三三三五-三:一九九八《IT安全管理技术》 ISO/IEC 一三三三五-四:二零零零《IT安全措施地选择》 ISO/IEC 一三三三五-五:二零零一《网络安全管理指南》

信息安全概论第8章 信息安全管理


8.2 管理要素与管理模型

与安全管理相关的要素

与安全管理相关的主要要素包括:资产、脆弱性、威 胁、影响、风险、残留风险、安全措施以及约束。
8.2 管理要素与管理模型

管理模型

信息安全管理又多种模型,各种模型都是从不同角度构建的, 也都有各自的优缺点。几种模型所提出的概念都有利于对信息 安全管理的原理和实践进行理解。归纳起来有以下几种模型:
8.2 管理要素与管理模型

安全目标、方针和策略




一个组织的安全目标、方针和策略是有效管理组织内信息安全的基 础。它们支持组织的活动并保证安全措施间的一致性。安全目标表 述的是信息系统安全要达到的目的,安全方针是达到这些安全目标 的方法和途径,安全策略则是达到目标所采取的规则和措施。 目标、方针和策略的确定可以从组织的领导层到操作层分层次地进 行。它们应该反映组织的行政管理强加给信息系统的安全要求,并 且考虑各种来自组织内外的约束,如国家法律法规、技术规范、社 会文化及意识形态、组织的企业文化等,保证在各个层次上和各个 层次之间的一致性。还应该根据定期的安全性评审(如风险评估, 安全评估)结果以及业务目标的变化进行更新。 一个组织的安全策略只要由该组织的安全规划和指令组成。这些安 全策略必须反映更广泛的组织策略,包括每个人的权利、合法的要 求以及各种技术标准。 一个信息系统的安全策略必须使包含在组织的安全策略之中的安全 规划和适用于该组织信息系统安全的指令相一致。
8.1 组织基础架构

OSI管理

国际标准化组织(ISO)在ISO/IEC 7498-4中定义并描 述了开放系统互连(Open System Interconnect,OSI) 管理的术语和概念,提出了一个OSI管理的结构并描述 了OSI管理应有的行为。OSI管理包括故障管理、计账 管理、配置管理、性能管理和安全管理等功能,这些 管理功能对在OSI环境中进行通信的资源进行监视、控 制和协调。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

宁波广播电视大学继续教育学院
二、信息安全管理的基本原则
(一)总体原则 主要领导负责原则 规范定级原则 以人为本原则 适度安全原则 全面防范重点突出原则 系统、动态原则 控制社会影响原则
宁波广播电视大学继续教育学院
(二)安全管理策略
分权制衡(避免权力集中) 最Байду номын сангаас特权(避免多余权力) 选用成熟技术 普遍参与
宁波广播电视大学继续教育学院
• 信息及信息的价值 • “真相的濒危甚于老虎的濒危” • “放映的删节版《色,戒》,剧情不完整,侵犯消费者 的公平交易权和知情权 ” • “剧情”、“真相”等都是一种信息 • 信息、物质、能量是人类社会赖以生存和发展的三大要 素 • 灾难备份——给银行数据信息上保险 • 公安部:超过一半单位发生过信息网络安全事件
宁波广播电视大学继续教育学院
第二节
信息安全政策
• 一、我国信息化发展战略与安全保障工作 • (一)信息化发展战略(P8)
• • • • • • • • • 推进国民经济信息化 推进电子政务 建设先进网略文化 推进社会信息化 完善综合信息基础设施 加强信息资源的开发利用 提高信息产业竞争力 建设国家信息安全保障体系 提高国民信息技术应用能力,造就信息化人才队伍
宁波广播电视大学继续教育学院
背景:
美国是第一信息大国,对信息的依赖是其脆弱性的 重要根源 由大量信息系统组成的国家信息基础结构,已成为 美国经济的命脉和国家的生命线,也成为容易受到 攻击的高价值目标 系统的安全漏洞、黑客的猖獗 80年代以来,美国政府陆续发布若干制度,拥有 最关键系统的政府部门被指定为第一批实施信息安 全保护计划的要害部门,力图实现三个目标:准备 和预防、侦查和反应、建立牢固的基础设施
宁波广播电视大学继续教育学院
处理好发展与建设的关系 正确处理发展与安全的关系 坚持以改革开放求安全 坚持管理与技术并重 坚持统筹兼顾、重点突出
宁波广播电视大学继续教育学院
二、美国信息安全国家战略 简介: 1998年5月美国政府颁发了《保护美国关键 基础设施》总统令,围绕信息安全成立多个 组织。 1998年美国国家安全局制定了《信息保障技 术框架》提出了“深度防御策略”,确定了 包括网络与基础设施防御、区域边界防御、 计算机环境防御等深度防御在内的目标。
第一节 信息与信息安全
信息资产分类
数据:存在于电子媒介的各种数据资料 软件:应用软件、系统软件、开发工具和资源库 硬件:计算机硬件、路由器、交换机、布线等 服务:操作系统、WWW、网络管理和安保等 文档:纸质文件、传真、财务报告、发展计划等 设备:电源、空调、门禁等 人员:雇主和各级雇员等 其他:企业形象、客户关系等(软资产)
宁波广播电视大学继续教育学院
(五)信息安全保障体系
宁波广播电视大学继续教育学院
宁波广播电视大学继续教育学院
图表说明: 1.安全技术体系是整个安全体系的基础,包 括安全基础设施平台、安全应用系统平台和 安全综合管理平台; 安全基础设施平台从物理和通信安全防护、 网络安全防护、主机系统安全防护、应用安 全防护等多个层次出发,立足于现有的成熟 的安全技术和安全机制,建立起防护体系。
宁波广播电视大学继续教育学院
宁波广播电视大学继续教育学院
(二)信息的特点
信息与接受对象和要达到的目的有关 (感知和理解) 信息的价值与接受信息的对象有关 (信息的价值性) 信息有多种多样的传递手段 (约定的多样性) 信息的共享性 (可复制性)
宁波广播电视大学继续教育学院
二、信息安全
(一)信息安全的发展 三个阶段: 通讯保密阶段 重点是保密(点) 信息安全阶段 关注信息安全的三属性: 保密性 完整性 可用性(线、空间) 安全保障阶段 关注点有空间拓展到时间:策略、 保护、 检测、 响应、恢复(系统)
宁波广播电视大学继续教育学院
2.安全组织与管理体系 安全组织与管理体系的设计立足于总 体安全策略,并与安全技术体系相配 合增强防卫效果,弥补安全缺陷。 信息安全管理体系由若干信息安全管 理类组成,每项信息安全管理类可分 解为多个安全目标和安全控制。
宁波广播电视大学继续教育学院
3.运行保障体系
内容涵盖安全技术和安全管理紧密结合的 部分,包括系统可靠性设计、系统数据额 备份设计、安全时间的应急响应计划、安 全审计、灾难恢复计划等
(一)信息安全方针和策略 1、安全方针和策略 2、资金投入管理 3、信息安全规划
宁波广播电视大学继续教育学院
(二)信息安全人员和组织 1、保证有足够的人力资源从事信息安全保障 工作 2、确保人员有明确的角色和责任 3、保证从业人员经过了适当的信息安全教育 和培训,有足够的安全意识 4、机构中的信息安全相关人员能够在有效的 组织结构下展开工作
宁波广播电视大学继续教育学院
安全应用系统平台处理安全基础设施与 应用信息系统之间的关联和集成问题。 通过使用安全基础设施平台所提供的各 类安全服务,提升自身的安全等级,以 更加安全的方式,提供业务服务和信息 管理服务。
宁波广播电视大学继续教育学院
安全综合管理平台对安全机制和安全设备 进行统一的管理和控制,负责维护和管理 安全策略,配置管理相应的安全机制。促 成各类安全手段能与现有的信息系统应用 体系紧密地结合,是信息系统安全与信息 系统应用一体化。
宁波广播电视大学继续教育学院
(二)信息安全保障工作 国务院《关于加强信息安全保障工作的意见》 加强信息安全保障工作须遵循的原则 立足国情,以我为主,坚持管理和技术并重;正 确处理安全与发展的关系,以安全保发展,从 发展中求安全;统筹规划,突出重点,强化基 础性工作;明确国家、企业、个人的责任和义 务,充分发挥各方面的积极性,共同构筑国家 信息安全保障体系。
宁波广播电视大学继续教育学院
第一章
信息安全概述
第一节 信息与信息安全
一、信息与信息资产 (一)信息的定义 广义:事物的运动状态以及运动状态形式的变化, 是一种客观存在。(客观存在并不是区分真 假信息的依据) 狭义:能被主体感觉到并被理解的东西(客观存 在)。 本书的定义:通过在数据上施加某些约定而赋予 这些数据的特殊含义。 信息安全资产的分类:信息具有价值,是一种资 宁波广播电视大学继续教育学院 产。
宁波广播电视大学继续教育学院
三、俄罗斯信息安全学说 2000年6月《国家信息安全学说》第一次明 确指出了俄罗斯在信息领域的利益、威胁是 什么,以及保卫措施。 (一)背景 科索沃战争、爱虫病毒的爆发是催化剂
宁波广播电视大学继续教育学院
(二)内容
1、保证信息安全是国家利益的要求 2、保证信息安全的方法 3、国家在保证信息安全时应采取的基本原则 4、信息安全的组织基础 此外,信息安全学说还对信息威胁做了评估,论证 了信息斗争的打击目标和打击手段。
宁波广播电视大学继续教育学院
《确保网络空间安全的国家战略》作用 与影响:
1、确保网络安全已经被提升为美国国家安 全战略的一个重要组成部分; 2、是美国在9.11之后为确保网络安全而采 取的一系列举措中的核心步骤; 3、强调社会力量对网络安全进行全民防御, 重视与企业和地方政府合作,重视发挥院校 和科研机构力量,重视人才培养和公民安全 意识教育。
宁波广播电视大学继续教育学院
第二章 信息安全管理基础
• • • • 第一节 第二节 第三节 第四节 信息安全管理体系 信息安全管理标准 信息安全策略 信息安全技术
宁波广播电视大学继续教育学院
• 第一节 信息安全管理体系
• 一、信息安全管理体系定义 • 信息安全管理涉及信息和网络系统的各个 层面,以及生命周期的各个阶段,这些不 同方面的管理内容彼此间存在着一定的内 在联系,构成一个有机的整体,以使管理 措施保障达到信息安全目标。(ISMS)
(三)信息安全三属性的含义(Pass) 保密性 完整性 可用性
宁波广播电视大学继续教育学院
(四)信息安全模型
1.PDR模型 Pt(protection)有效保护时间,信息系统的安全措施 能够有效发挥保护作用的时间; Dt(detection)检测时间,安全监测机制能够有效发 现攻击、破坏行为所需的时间; Rt(reaction)响应时间,安全机制作出反应和处理所 需的时间。
宁波广播电视大学继续教育学院
安全公式 (1)Pt>Dt+Rt, 系统安全 保护时间大于 检测时间和响应时间之和; (2)Pt<Dt+Rt, 系统不安全 信息系统的 安全控制措施在检测和响应前就会失效,破 坏和后果已经发生。
宁波广播电视大学继续教育学院
2.PPDRR模型:保护、检测、响应、恢复四环 节在策略 的指导下 构成相互 作用的 有机体。
宁波广播电视大学继续教育学院
(三)措施 1、成立国家信息安全与对抗的领导机构 (国家信息政策委员会) 2、建立信息对抗教育防范体系 3、建立信息斗争特种部队 4、发展信息斗争的关键技术和手段
5、改组指挥控制系统,增强战场生存能力
宁波广播电视大学继续教育学院
第三节 信息安全法律体系
• • • • • 一、信息安全法律体系 (一)体系结构 1.法律体系 部门法 2.政策体系(拘束力、责任) 3.强制性技术标准(强制力)
宁波广播电视大学继续教育学院
(二)信息安全的定义
为数据处理系统建立和采用的技术和管理的安全 保护,保护计算机硬件、软件和数据不因偶然和恶意 的原因遭到破坏、更改和泄漏 信息安全的三个主要问题: 1.保护对象 主要是硬件、软件、数据 2.安全目标 保密性、完整性、可用性 3.实现途径 技术和管理
宁波广播电视大学继续教育学院
信息网络安全管理和技术人员 继续教育培训
信息安全管理
(概论部分)
宁波广播电视大学继续教育学院
• 第一部分 信息安全管理概论 • 第一章 信息安全概述 • 第二章 信息安全管理基础
宁波广播电视大学继续教育学院