信息安全管理教程.

Presentation on theme: "信息安全管理教程."— Presentation transcript:

1 信息安全管理教程

2 第1章 信息安全概述 重点内容： 信息安全的含义及特性 信息安全政策和法律体系

3 一、 信息安全的含义及特性 1、信息安全定义 2、特性
信息安全是指：信息安全是为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据因偶然、恶意的原因遭到破坏、更改和泄露。 2、特性 为保证网络信息的安全，安全系统要满足以下需求：保密性、完整性、可用性和不可否认性。

4 2、特性 保密性：表示对信息开放范围的控制，指把信息按指定要求不泄露给非授权的个人、实体或过程，或提供其利用的特性，即杜绝有用信息泄露给非授权个人或实体，强调有用信息只为授权对象使用的特征。 完整性：要保证信息处于一种未受损的状态，指信息在传输、交换、存储和处理过程中保持非修改、非破坏和非丢失的特性，即保持信息原样性，使信息能正确生成、存储和传输。

5 可用性：是指网络信息可被授权实体正确访问，并按要求能正常使用或在非正常情况下能恢复使用的特征，即在系统运行时能正确存取所需信息，当系统遭受攻击或破坏时，能迅速恢复并能投入使用。可用性是衡量网络信息系统面向用户的一种安全性能。 不可否认性：指通信双方在信息交互过程中，确信参与者本身，及参与者所提供的信息的真实同一性，即所有参与者都不可能否认或抵赖本人的真实身份，以及提供信息的原样性和完成的操作与承诺。

6 二、信息安全政策和法律体系 1、信息安全政策 我国的信息化发展战略与安全保障工作 美国的信息安全国家战略 2、信息安全法律体系 法律体系结构 (1)法律体系 (2)政策体系 (3)强制性技术标准 相关法律、法规简介

7 习题 1、信息安全经历了三个发展阶段，以下__ B __不属于这三个发展段。
  A.通信保密阶段    B.加密机阶段     C.信息安全阶段    D.安全保障阶段 2、信息系统常见的危险有___ABCD_____。 A.软硬件设计故障导致网络瘫痪 B.黑客入侵 C.敏感信息泄露 D.信息删除 E.电子邮件发送 3、数据在存储过程中发生了非法访问行为,这破坏了信息安全的_安全性_属性。 4、2000年1月，美国政府发布了《保卫美国的计算机空间——保护信息系统》的国家计划。 5、2000年12月28日第九届全国人民代表大会常务委员会第十九次会议通过了《关于维护互联网安全的决定》

8 第2章 信息安全管理基础 重点内容： 信息安全管理体系 信息安全管理标准 信息安全策略 信息安全技术

9 一、信息安全管理体系 1、信息安全管理体系定义（P26第3段） （2）安全管理策略 2、信息安全管理的基本原则 （1）总体原则
主要领导负责原则 规范定级原则 以人为本原则 适度安全原则 全面防范原则 系统、动态原则 控制社会影响原则 （2）安全管理策略 分权制衡 最小特权 选用成熟技术 普遍参与

10 二、信息安全管理标准 1、BS 7799 （1） BS 7799标准概述（P33） （2） BS 7799标准主要内容 2、其他标准 如：PD 3000标准、CC标准和ISO/IEC TR 13335标准。

11 三、信息安全策略 主要的信息安全策略 （1）口令策略 （如：系统密码、网络入口密码等） （2）计算机病毒和恶意代码防治策略
主要的信息安全策略 （1）口令策略 （如：系统密码、网络入口密码等） （2）计算机病毒和恶意代码防治策略 （如：拒绝访问、病毒检测等） （3）安全教育和培训策略 （4）可接受使用策略AUP

12 四、信息安全技术 （1）物理环境安全技术 包括三方面：环境安全、设备安全和媒体安全。
（1）物理环境安全技术 包括三方面：环境安全、设备安全和媒体安全。 （2）通信链路安全技术 1、链路加密技术 2、远程拨号安全协议 （3）网络安全技术 1、防火墙 2、网络入侵 3、网络脆弱性分析 （4）系统安全技术 1、主机入侵检测 2、计算机病毒防治 （5）身份认证安全技术 1、动态口令认证 2、PKI证书认证技术

13 习题 1、BS 7799是英国标准协会针对信息安全管理而指定的标准，最初发布于_B_ A.1993 B.1995 C.1996 D.1998
2、信息安全评测标准CC标准是_A_标准 A.国际 B.美国 C.中国 D.英国 3、按照BS 7799标准,信息安全管理应当是一个持续改进的周期性过程。 正确 4、信息安全策略主要包含口令策略、计算机病毒和恶意代码防治策略、安全教育和培训策略、可接受使用策略AUP。 5、 用户身份鉴别是通过__A__完成的。 A.口令验证 B.审计策略 C.存取控制 D.查询功能

14 第3章 信息安全等级保护与风险评估 重点内容： 信息系统安全等级划分 风险评估的方法与流程

15 （1） 第一级为自主保护级 （2） 第二级为指导保护级
一、信息安全等级保护制度 1、信息系统安全等级划分 （1） 第一级为自主保护级 （2） 第二级为指导保护级 （3） 第三级为监督保护级 （4） 第四级为强制保护级 （5） 第五级为专控保护级 2、信息系统安全等级保护相关标准（P77） （1）GB 《计算机信息系统安全保护等级划分准则》。 （2）《信息系统安全等级保护实施指南》。

16 1、风险评估模型 （1）风险评估要素关系模型 （2）安全风险计算模型
二、信息系统安全风险评估 1、风险评估模型 （1）风险评估要素关系模型 （2）安全风险计算模型 计算过程是： 1、对信息资产进行识别，对资产赋值； 2、对威胁进行分析，并对威胁发生的可能性赋值； 3、识别信息资产的脆弱性，并对脆弱性的严重程度赋值； 4、根据威胁和脆弱性计算安全事件发生的可能性； 5、结合信息资产的重要性和该资产发生安全事件的可能性计算信息资产的风险值。 2、风险评估的方法 （1）自评估与他评估。 （2）基线评估与详细评估。 （3）定量评估与定性评估。 安全服务与安全机制之间的关系

17 3、风险评估流程 （1）资产识别 （2）威胁识别 （3）脆弱性识别 （4）安全措施识别 （5）风险识别
二、信息系统安全风险评估 3、风险评估流程 （1）资产识别 （2）威胁识别 （3）脆弱性识别 （4）安全措施识别 （5）风险识别 4、风险评估的工具 （1）安全管理评价系统。 （2）信息基础设施风险评估工具。 （3）风险评估辅助工具。

18 习题 1、1999年，我国发布的第一个信息安全等级保护的国家标准GB 17859—1999 ,提出将信息系统的安全等 级划分为__D__个 等级，并提出每个级别的安全功能标准。   A.7 B.8 C.6 D.5 2、下列关于风险的说法，___C__是错误的。   A.风险是客观存在的   B.导致风险的外因是普遍存在的安全威胁   C.导致风险的外因是普遍存在的安全脆弱性   D.风险是指一种可能性 3、风险管理的首要任务是__A___.  A.风险识别和评估  B.风险转嫁  C.风险控制  D.接受风险 4、如果一个信息系统，其业务信息安全或业务服务保证性受到破坏后，会对社会秩序和 公共利益造成 一定损害，但不损害国家安全；本级系统依照国家管理规范和技术标准进行自主保护，必要时，信息安全 监督职能部门对其进行指导，那么该信息系统属于等级保护中的__C__.  A.强制保护级 B.监督保护级 C、指导保护级 D.自主保护级

19 第4章 信息安全管理 重点内容： 信息安全人员管理 信息安全制度管理 互联网安全管理 计算机病毒防治管理

20 按照BS 7799安全管理标准，人员安全管理包括以下主要内容：
一、信息安全人员管理 按照BS 7799安全管理标准，人员安全管理包括以下主要内容： （1）安全审查 （2）安全保密管理 （3）安全教育与培训 （4）岗位安全考核 （5）离岗人员安全管理

21 二、信息安全制度管理 信息安全制度管理应该在以下方面具体体现 （1）安全策略与制度 （2）安全风险管理 （3）人员和组织安全管理 （4）环境和设备安全管理 （5）网络和通信安全管理 （6）主机和系统安全管理 （7）数据安全和加密管理 （8）应用和业务安全管理 （9）项目工程安全管理 （10）运行和维护安全管理（11）业务连续性管理 （12）符合性管理

22 互联网安全管理主要从一些法律和法规上来规范： （1）、1996年2月1日，国务院发布了《计算机信息网络国际联网管理暂行规定》。
三、互联网安全管理 互联网安全管理主要从一些法律和法规上来规范： （1）、1996年2月1日，国务院发布了《计算机信息网络国际联网管理暂行规定》。 （2）、1997年12月11日，公安部发布了《计算机信息网络国际联网安全保护管理办法》。 （3）、2005年12月13日，公安部发布了《互联网安全保护技术措施规定》，2006年3月1日起实施。

23 四、计算机病毒防治管理 1、计算机病毒的概念
四、计算机病毒防治管理 1、计算机病毒的概念 计算机病毒是指编制或在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并自我复制的一组计算机指令或程序代码。 2、计算机病毒的特点 （1）内在特点 1、传染性 2、隐蔽性 3、潜伏性 4、破坏性 （2）新生特点 1、感染速度快 2、扩散面广 3、传播形式复杂 4、难于彻底清除 5、破坏性大 3、计算机病毒的防治管理 公安部依据《计算机信息系统安全保护条例》，于2004年4月制定并公布了《计算机病毒防治管理办法》。

24 习题 1、在互联网上的计算机病毒呈现出的特点是_ABCD__。       A.与互联网更加紧密地结合，利用一切可以利用的方式进行传播       B.具有多种特征，破坏性大大增强       C.扩散性极强，也更注重隐蔽性和欺骗性       D.针对系统漏洞进行传播和破坏 2、在信息安全管理中进行安全教育培训，应当区分培训对象的层次和培训内容，主要包括_ABE__。       A.高级管理层 B.关键技术岗位人员       C.第三方人员 D.外部人员       E.普通计算机用户 3、对于人员管理的描述错误的是___B___.       A.人员管理是安全管理的重要环节       B.安全授权不是人员管理的手段       C.安全教育是人员管理的有力手段       D.人员管理时，安全审查是必要的 4、信息安全管理中 ___B___负责保证安全管理策略与制度符合更高层法律，法规的要求，不发生矛盾和 冲突。       A.组织管理 B.合规性管理       C.人员管理 D.制度管理

25 根据计算机违法案件的性质界定，计算机案件包括：
第5章 信息安全监管 根据计算机违法案件的性质界定，计算机案件包括： 1、刑事违法案件 依据《计算机信息系统安全保护条例》追究刑事责任。 2、行政违法案件 依据《计算机信息网络国际联网安全保护管理办法》，由 公安机关给予行政处罚。

26 习题 1、我国计算机信息系统实行__C_保护。 A.责任制 B.主任值班制 C.安全等级 D.专职人员资格
2、信息安全方针和策略包括_D_。       A.安全方针 资金投入管理 网络安全规划       B.安全方针 资金信息管理 信息安全规划       C.安全方针 资金信息管理 网络安全规划       D.安全方针 资金投入管理 信息安全规划 3、      信息系统的安全工作的‘三个同步’是_C_。       A.同步规划 同步审批 同步运行       B.同步计划 同步建设 同步运行       C.同步规划 同步建设 同步运行       D.同步计划 同步审批 同步运行 4、      目前广泛使用的主要安全技术包括__ABCDE_。       A.防火墙 B.入侵检测       C.PKI D.VPN       E.病毒检查

27 完 谢谢大家！