信息安全管理概论重点.docVIP

信息安全管理概论重点 填空：1’*10 名词解释：5’3 简答：5’*4 判断叙理：5’*5 案例分析：10’*1 论述题：10’*2 1、国家信息安全管理存在的问题 宏观：（1）法律法规问题。健全的信息安全法律法规体系是确保国家信息安全的基础,是信息安全的第一道防线. （2）管理问题。（包括三个层次：组织建设、制度建设和人员意识） （3）国家信息基础设施建设问题。目前,中国信息基础设施几乎完全是建立在外国的核心信息技术之上的,导致我国在网络时代没有制网权.2005年度经济人物之首:中国芯创立者邓中翰.十五期间,国家863计划和科技攻关的重要项目:信息安全与电子政务,金融信息化两个信息安全研究项目. 微观： （1）缺乏信息安全意识与明确的信息安全方针。 （2）重视安全技术，轻视安全管理。信息安全大 约70%以上的问题是由管理原因造成的. （3）安全管理缺乏系统管理的思想。 2、信息安全概念 信息安全是指信息的必威体育官网网址性（Confidentiality)、完整性（Integrity)和可用性（Availability)、真实性、准确性的保持。 信息必威体育官网网址性：保障信息仅仅为那些被授权使用的人获取,它因信息被允许访问对象的多少而不同. 信息完整性：指为保护信息及其处理方法的准确性和完整性,一是指信息在利用,传输,储存等过程中不被篡改,丢失,缺损等,另外是指信息处理方法的正确性. 信息可用性：指信息及相关信息资产在授权人需要时可立即获得.系统硬件,软件安全,可读性保障等. 3、信息安全重要性 a.信息安全是国家安全的需要 国家军事安全、政治稳定、社会安定、经济有序运行 美国与俄罗斯先后推出信息系统保护国家计划和国家信息安全学说 b.信息安全是组织持续发展的需要 任何组织的正常运作都离不开信息资源的支持.组织的商业秘密,系统的正常运行等,信息安全特性已成为许多组织的服务质量的重要特性之一. c.信息安全是保护个人隐私与财产的需要 4、如何确定组织信息安全的要求 a.法律法规与合同要求 b.风险评估的结果(保护程度与控制方式) c.组织的原则、目标与要求 5、传统信息安全管理模式特点 （传统管理模式的弊端与技术手段的局限性） 传统管理模式：静态的、局部的、少数人负责的、突击式的、事后纠正式的 缺点：a、不能从根本上避免和降低各类风险,也不能降低信息安全故障导致的综合损失 b、信息安全技术是信息安全控制不可或缺的重要手段,但单靠技术手段实现安全的能力是有限的,甚至丧失,信息安全来自:三分技术，七分管理 c、信息安全不能迷信技术,应该在适宜技术条件下加强管理. 6、系统的信息安全管理原则： （1）制订信息安全方针原则：制定信息安全方针为信息安全管理提供导向和支持 （2）风险评估原则：控制目标与控制方式的选择建立在风险评估的基础之上 （3）费用与风险平衡原则：将风险降至组织可接受的水平，费用太高不接受 （4）预防为主原则：信息安全控制应实行预防为主，做到防患于未然 （5）商务持续性原则：即信息安全问题一旦发生，我们应能从故障与灾难中恢复商务运作，不至于发生瘫痪，同时应尽力减少故障与灾难对关键商务过程的影响 （6）动态管理原则：即对风险实施动态管理 （7）全员参与的原则： （8）PDCA原则：遵循管理的一般循环模式--Plan(策划)---Do(执行)---Check(检查)---Action(措施)的持续改进模式。 现代系统的信息安全管理是动态的、系统的、全员参与的、制度化的、预防为主的信息安全管理方式，用最低的成本，达到可接受的信息安全水平，从根本上保证业务的连续性，它完全不同于传统的信息安全管理模式：静态的、局部的、少数人负责的、突击式的、事后纠正式的，不能从根本上避免、降低各类风险，也不能降低信息安全故障导致的综合损失，商务可能因此瘫痪，不能持续。 7、风险评估 a.威胁(Threat),是指可能对资产或组织造成损害的事故的潜在原因。如病毒和黑客攻击,小偷偷盗等. b.薄弱点(Vulnerability),是指资产或资产组中能被威胁利用的弱点。如员工缺乏安全意识,口令简短易猜,操作系统本身有安全漏洞等. 关系：威胁是利用薄弱点而对资产或组织造成损害的.如无懈可击,有机可乘. c.风险(Risk),即特定威胁事件发生的可能性与后果的结合。特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害的潜在可能性及其影响大小. 经济代理人面对的随机状态可以用某种具体的概率值表示.这里的风险只表示结果的不确定性及发生的可能性大小. d.风险评估(Risk Assessment),对信息和信息处理设施的威胁、影响(Impact)和薄弱点及三者发生的可能性评估.它是确认安全风险及其大小的过程,即利用适当