第一讲章信息安全学案.ppt

信息安全管理 人员与组织管理 建立组织机构，明确人员岗位职责，提供安全教育和培训，对第三方人员进行管理，协调信息安全监管部门与行内其他部门之间的关系，保证信息安全工作的人力资源要求，避免由于人员和组织上的错误产生信息安全风险。 信息安全管理 环境与设备管理 控制由于物理环境和硬件设施的不当所产生的风险。管理的内容包括物理环境安全、设备安全、介质安全等。 信息安全管理 网络与通信安全 控制、保护网络和通信系统，防止受到破坏和滥用，避免和降低由于网络和通信系统的问题对业务系统的损害。 信息安全管理 主机与系统管理 控制和保护主机及其系统，防止受到破坏和滥用，避免和降低由此对业务系统的损害。 信息安全管理 应用与业务管理 对各类应用和业务系统进行安全管理，防止受到破坏和滥用。 信息安全管理 数据/文档/介质管理 采用数据加密和完整性保护机制，防止数据被窃取和篡改，保护业务数据的安全。 信息安全管理 项目工程管理 保护信息系统项目过程的安全，确保项目的成果是可靠的安全系统。 软件开发项目、硬件安装项目 信息安全管理 运行维护管理 保护信息系统在运行期间的安全，并确保系统维护工作的安全。 信息安全管理 业务连续性管理 通过设计和执行业务连续性计划，确保信息系统在任何灾难和攻击下，都能够保证业务的连续性。 信息安全管理 合规性管理 确保信息安全保障工作符合国家法律、法规的要求；并且信息安全方针、规定和标准得到了遵循。 信息安全管理的理念 在信息安全问题上，要综合考虑人员与管理、技术与产品、流程与体系。信息安全管理体系是人员、管理与技术三者的互动。 信息安全的目标 进不来 拿不走 改不了 跑不了 看不懂 可审查 信息安全防范目标 信息安全管理的过程 * 完善信息安全治理结构 风险评估 安全规划 信息安全管理框架 管理措施 技术手段 信息系统安全审计 监控业务与安全环境 符合安全控制标准？ 持续改进 调整 信息安全防范模型 VPN 虚拟专用网 防火墙 内容检测 防病毒 入侵检测 信息安全防范模型 ISAF模型 美国国际互联网安全系统公司（ISS）近年提出的“信息安全保障框架模型”，即ISAF模型。 安全需求 安全逻辑模型 信息安全防范模型 安全管理模型 —— PDCA（戴明环） 根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施。 实施所选的安全控制措施。 针对检查结果采取应对措施，改进安全状况。 依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查。 信息安全防范模型 PDCA特点一：按顺序进行，它靠组织的力量来推动，像车轮一样向前进，周而复始，不断循环。 90 90 处置 实施 规划 检查 C A D P PDCA特点二： 组织中的每个部分，甚至个人，均可以PDCA循环，大环套小环，一层一层地解决问题。 PDCA特点三：每通过一次PDCA 循环，都要进行总结，提出新目标，再进行第二次PDCA 循环。 90 90 90 90 处置 实施 规划 检查 C A D P 达到新的水平 改进(修订标准) 维持原有水平 90 90 90 90 处置 实施 规划 检查 C A D P 电子商务概述 谢谢！ 信息安全内涵 信息安全概念 信息安全内涵 信息安全目的 必威体育官网网址性、完整性、可用性、可控性、抗抵赖性（可鉴别性） 必威体育官网网址性指对抗对手或不法分子的被动攻击，保证信息不泄漏给未经授权的人。 完整性指对抗对手主动攻击，防止信息被未经授权的篡改 可用性指保证信息及信息系统确实为授权使用者所用。 可控性指对信息及信息系统实施安全监控。 抗抵赖性指防止通信双方否认发生过的通信。 信息安全内涵 信息安全在技术发展和应用过程中，表现出以下重要特点： （1）必然性。当今的信息系统日益复杂，其中必然存在系统设计、实现、内部控制等方面的弱点。如果不采取适当的措施应对系统运行环境中的安全威胁，信息资产就可能会遭受巨大的损失甚至威胁到国家安全. 所以，信息安全已引起许多国家、特别是发达国家的高度重视，他们在这个领域投入了大量的人力、物力、财力，以期提高本国的信息安全水平。 信息安全内涵 （2）配角特性。信息安全建设在信息系统建设中角色应该是陪衬，安全不是最终目的，得到安全可靠的应用和服务才是安全建设的最终目的。不能为了安全而安全，安全的应用是先导。 （3）动态性。信息安全威胁会随着技术的发展、周边应用场景的变化等因素而发生变化，新的安全威胁总会不断出现。所以，不能指望一项技术、一款产品或一个方案就能一劳永逸地解决组织的安全问题，信息安全是一个动态、持续的过程，必须能根据风险变化及时调整安全策略。