信息安全理第一章.pptVIP

信息安全管理 第一章 信息安全管理简介 故事:二战中的英格码 1.什么是信息安全？ 一些实例： 恐怖分子利用internet策划实施 9.11事件 FBI 资 深 雇 员汉森窃取了美国联邦调查局大量机密文件，通过磁盘将其卖给俄罗斯 防卫森严的美国国防信息系统 2000年受到25万 次的黑客攻击，且成功进入率高达63% 1996年人民银行全国电子联行系统因局部通信故障，导致28亿元 资 金 滞 留 5 天，海南等地因此出现支付困难的局面 2006年因地震数条海底光缆发生阻断，导致国际出口阻塞 －－信息安全就是保护信息及其关键要素，包括使用、存储以及传输信息的系统和硬件 －－信息安全是指信息的必威体育官网网址性、完整性和可用性的保持 －－信息安全管理过程应该包括 3个不同的决策 群，或 3 个利益团体 信息安全管理者和专业人员 信息技术管理者和专业人员 非技术的业务管理者和专业人员 －－这些利益团体应履行以下角色： 信息安全团体保护组织机构信息资产免受外来威胁。 信息技术团体通过提供适合于业务需要的技术来支持组织机构的经营目标。 非技术普通业务团体负责传播组织机构的策略和目标，并把资源分配给其他两个团体。 这些团体分工协作，共同制定决策来确定如何有效保护组织机构的资源 （1）机密性 －－确保只有那些有足够权限并且经证实有这个需要的人，才能够访问该信息 信息分类 确保文档存储安全 运用一般的安全策略 对信息所有者和终端用户进行教育 使用密码技术 （2）完整性 －－完整性即指整体性、完全性以及未受侵蚀的特 性或状态 信息在利用、传输、储存等过程中不被篡改、丢失、缺损等 信息处理方法的正确性 （3）可用性 －－信息及相关的信息资产在授权人需要的时候， 可以立即获得 （4）一些关键点 隐私 识别 认证 授权 责任 2.保障信息安全的重心 讨论：你的看法？ 电影：风语者 3.信息安全管理究竟是在干什么？ （1）从管理角度来说 （2）具体来说 大型机构的安全 －－大型机构有1 000台以上的设备需要安全管理。 －－这种机构有可能会配置专业安全人员并提供资 金来完成大多数功能 －－他们通常建立内部组织负责处理所面临的特定 信息安全挑战 －－在大型机构中，各个功能可能被细分到不同的 部门 －－所有功能分成 4 个区域 ①由非技术业务部门执行的功能 ②由 IT 小组执行的功能 ③由信息安全部门实施的功能（作为对机构和其外 部合作伙伴的一个客户服务） ④其他由信息安全部门实施的功能 中型机构的安全 －－中型机构拥有 100 －1 000 台要求安全管理的 机器 －－可能大到足以执行多级安全方法，只是专门小 组的数量会减少，而每个小组会有更多的功能 －－在中型机构中，很多功能区域被分配给 IT 中 信息安全部门以外的其他部门 －－中型机构可能会忽略一些特别功能 小型机构的安全 －－小型机构中的信息安全管理常常是一个多面手的责任 －－这类机构常常在正式策略、计划或安全方法方面没有什么问题，安全管理员常常是处理桌面管理、病毒防护以及本地网络安全问题 －－小型机构的资源通常有限，所以安全管理员常常会求助于免费软件和黑客软件以降低评估和执行安全的成本 －－在小型机构中，安全管理员直接向需要帮助的用户提出建议 －－它们的规模让它们避免了一些威胁 －－对于小型机构的安全管理员来说，在某种程度上，缺乏可用资源意味着自己成为攻击目标的可能性也较小。 4.我国信息安全管理存在的问题 （1）宏观上 法律法规问题 现有的法律法规存在不完善的地方 法律法规建设跟不上信息技术发展的需要 管理问题 组织建设 制度建设 人员意识 国家信息基础设施建设问题 （2）微观上 缺乏信息安全意识与明确的信息安全方针 重视安全技术，轻视安全管理 安全管理缺乏系统管理的思想 5.课程结构是什么？ （1）安全系统开发生命周期 调查阶段 －－该阶段首先确定或者设计安全策略，机构的安全计划方案将以此为基础 －－相关的管理人员、员工、顾问共同分析各种问题，定义所涉及的范围，明确阶段目标和最终目标，找出企业安全策略中未顾及的附加约束条件 －－可行性分析将决定机构是否有资源和责任来进行成功的安全分析和设计 分析阶段 分析阶段将对调查阶段的文档进行研究 对现存的系统安全策略或安全计划方案进行初步的分析，并记录了当前的威胁和相关的控制 对有关的法规进行了分析，这些法规将影响安全解决方案的设计 风险管理也在该阶段开始 设计阶段