信息安全管理教程

1、信息安全管理教程課件第1頁，共27頁，2022年，5月20日，0點41分，星期一第1章 信息安全概述重點內(nèi)容：信息安全的含義及特性信息安全政策和法律體系第2頁，共27頁，2022年，5月20日，0點41分，星期一一、 信息安全的含義及特性1、信息安全定義 信息安全是指：信息安全是為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護，保護計算機硬件、軟件和數(shù)據(jù)因偶然、惡意的原因遭到破壞、更改和泄露。 2、特性 為保證網(wǎng)絡(luò)信息的安全，安全系統(tǒng)要滿足以下需求：保密性、完整性、可用性和不可否認性。 第3頁，共27頁，2022年，5月20日，0點41分，星期一2、特性保密性：表示對信息開放范圍的控制，指把信息

2、按指定要求不泄露給非授權(quán)的個人、實體或過程，或提供其利用的特性，即杜絕有用信息泄露給非授權(quán)個人或?qū)嶓w，強調(diào)有用信息只為授權(quán)對象使用的特征。 完整性：要保證信息處于一種未受損的狀態(tài)，指信息在傳輸、交換、存儲和處理過程中保持非修改、非破壞和非丟失的特性，即保持信息原樣性，使信息能正確生成、存儲和傳輸。第4頁，共27頁，2022年，5月20日，0點41分，星期一可用性：是指網(wǎng)絡(luò)信息可被授權(quán)實體正確訪問，并按要求能正常使用或在非正常情況下能恢復(fù)使用的特征，即在系統(tǒng)運行時能正確存取所需信息，當系統(tǒng)遭受攻擊或破壞時，能迅速恢復(fù)并能投入使用?？捎眯允呛饬烤W(wǎng)絡(luò)信息系統(tǒng)面向用戶的一種安全性能。 不可否認性：指通

3、信雙方在信息交互過程中，確信參與者本身，及參與者所提供的信息的真實同一性，即所有參與者都不可能否認或抵賴本人的真實身份，以及提供信息的原樣性和完成的操作與承諾。 第5頁，共27頁，2022年，5月20日，0點41分，星期一二、信息安全政策和法律體系1、信息安全政策我國的信息化發(fā)展戰(zhàn)略與安全保障工作美國的信息安全國家戰(zhàn)略 2、信息安全法律體系法律體系結(jié)構(gòu)(1)法律體系(2)政策體系(3)強制性技術(shù)標準相關(guān)法律、法規(guī)簡介 第6頁，共27頁，2022年，5月20日，0點41分，星期一習題1、信息安全經(jīng)歷了三個發(fā)展階段，以下_ B _不屬于這三個發(fā)展段。 A.通信保密階段B.加密機階段C.信息安全階段

4、D.安全保障階段2、信息系統(tǒng)常見的危險有_ABCD_。A.軟硬件設(shè)計故障導(dǎo)致網(wǎng)絡(luò)癱瘓B.黑客入侵C.敏感信息泄露D.信息刪除E.電子郵件發(fā)送3、數(shù)據(jù)在存儲過程中發(fā)生了非法訪問行為,這破壞了信息安全的_安全性_屬性。4、2000年1月，美國政府發(fā)布了保衛(wèi)美國的計算機空間保護信息系統(tǒng)的國家計劃。5、2000年12月28日第九屆全國人民代表大會常務(wù)委員會第十九次會議通過了關(guān)于維護互聯(lián)網(wǎng)安全的決定第7頁，共27頁，2022年，5月20日，0點41分，星期一第2章 信息安全管理基礎(chǔ)重點內(nèi)容：信息安全管理體系信息安全管理標準信息安全策略信息安全技術(shù)第8頁，共27頁，2022年，5月20日，0點41分，星期

5、一一、信息安全管理體系1、信息安全管理體系定義（P26第3段）2、信息安全管理的基本原則（1）總體原則 主要領(lǐng)導(dǎo)負責原則 規(guī)范定級原則 以人為本原則 適度安全原則 全面防范原則 系統(tǒng)、動態(tài)原則控制社會影響原則 （2）安全管理策略分權(quán)制衡最小特權(quán)選用成熟技術(shù)普遍參與 第9頁，共27頁，2022年，5月20日，0點41分，星期一二、信息安全管理標準1、BS 7799 （1） BS 7799標準概述（P33）（2）BS 7799標準主要內(nèi)容2、其他標準如：PD 3000標準、CC標準和ISO/IEC TR 13335標準。第10頁，共27頁，2022年，5月20日，0點41分，星期一三、信息安全策略

6、主要的信息安全策略 （1）口令策略（如：系統(tǒng)密碼、網(wǎng)絡(luò)入口密碼等）（2）計算機病毒和惡意代碼防治策略（如：拒絕訪問、病毒檢測等）（3）安全教育和培訓策略（4）可接受使用策略AUP 第11頁，共27頁，2022年，5月20日，0點41分，星期一四、信息安全技術(shù)（1）物理環(huán)境安全技術(shù)包括三方面：環(huán)境安全、設(shè)備安全和媒體安全。（2）通信鏈路安全技術(shù)1、鏈路加密技術(shù)2、遠程撥號安全協(xié)議（3）網(wǎng)絡(luò)安全技術(shù)1、防火墻2、網(wǎng)絡(luò)入侵3、網(wǎng)絡(luò)脆弱性分析（4）系統(tǒng)安全技術(shù)1、主機入侵檢測2、計算機病毒防治（5）身份認證安全技術(shù)1、動態(tài)口令認證2、PKI證書認證技術(shù)第12頁，共27頁，2022年，5月20日，0點4

7、1分，星期一習題1、BS 7799是英國標準協(xié)會針對信息安全管理而指定的標準，最初發(fā)布于_B_A.1993B.1995C.1996D.19982、信息安全評測標準CC標準是_A_標準A.國際 B.美國C.中國D.英國3、按照BS 7799標準,信息安全管理應(yīng)當是一個持續(xù)改進的周期性過程。 正確4、信息安全策略主要包含口令策略、計算機病毒和惡意代碼防治策略、安全教育和培訓策略、可接受使用策略AUP。5、 用戶身份鑒別是通過_A_完成的。 A.口令驗證 B.審計策略 C.存取控制D.查詢功能第13頁，共27頁，2022年，5月20日，0點41分，星期一第3章 信息安全等級保護與風險評估重點內(nèi)容：信

8、息系統(tǒng)安全等級劃分風險評估的方法與流程第14頁，共27頁，2022年，5月20日，0點41分，星期一一、信息安全等級保護制度1、信息系統(tǒng)安全等級劃分（1） 第一級為自主保護級（2）第二級為指導(dǎo)保護級（3）第三級為監(jiān)督保護級（4） 第四級為強制保護級（5） 第五級為?？乇Ｗo級2、信息系統(tǒng)安全等級保護相關(guān)標準（P77）（1）GB 17859-1999計算機信息系統(tǒng)安全保護等級劃分準則。（2）信息系統(tǒng)安全等級保護實施指南。第15頁，共27頁，2022年，5月20日，0點41分，星期一安全服務(wù)與安全機制之間的關(guān)系 二、信息系統(tǒng)安全風險評估1、風險評估模型（1）風險評估要素關(guān)系模型（2）安全風險計算模型

9、計算過程是：1、對信息資產(chǎn)進行識別，對資產(chǎn)賦值；2、對威脅進行分析，并對威脅發(fā)生的可能性賦值；3、識別信息資產(chǎn)的脆弱性，并對脆弱性的嚴重程度賦值；4、根據(jù)威脅和脆弱性計算安全事件發(fā)生的可能性；5、結(jié)合信息資產(chǎn)的重要性和該資產(chǎn)發(fā)生安全事件的可能性計算信息資產(chǎn)的風險值。2、風險評估的方法（1）自評估與他評估。（2）基線評估與詳細評估。（3）定量評估與定性評估。第16頁，共27頁，2022年，5月20日，0點41分，星期一二、信息系統(tǒng)安全風險評估3、風險評估流程（1）資產(chǎn)識別（2）威脅識別（3）脆弱性識別（4）安全措施識別（5）風險識別4、風險評估的工具（1）安全管理評價系統(tǒng)。（2）信息基礎(chǔ)設(shè)施風險

10、評估工具。（3）風險評估輔助工具。第17頁，共27頁，2022年，5月20日，0點41分，星期一習題1、1999年，我國發(fā)布的第一個信息安全等級保護的國家標準GB 178591999 ,提出將信息系統(tǒng)的安全等 級劃分為_D_個 等級，并提出每個級別的安全功能標準。 A.7 B.8 C.6 D.5 2、下列關(guān)于風險的說法，_C_是錯誤的。 A.風險是客觀存在的 B.導(dǎo)致風險的外因是普遍存在的安全威脅 C.導(dǎo)致風險的外因是普遍存在的安全脆弱性 D.風險是指一種可能性 3、風險管理的首要任務(wù)是_A_. A.風險識別和評估 B.風險轉(zhuǎn)嫁 C.風險控制 D.接受風險 4、如果一個信息系統(tǒng)，其業(yè)務(wù)信息安全

11、或業(yè)務(wù)服務(wù)保證性受到破壞后，會對社會秩序和 公共利益造成 一定損害，但不損害國家安全；本級系統(tǒng)依照國家管理規(guī)范和技術(shù)標準進行自主保護，必要時，信息安全 監(jiān)督職能部門對其進行指導(dǎo)，那么該信息系統(tǒng)屬于等級保護中的_C_. A.強制保護級B.監(jiān)督保護級C、指導(dǎo)保護級D.自主保護級 第18頁，共27頁，2022年，5月20日，0點41分，星期一第4章 信息安全管理重點內(nèi)容：信息安全人員管理信息安全制度管理互聯(lián)網(wǎng)安全管理計算機病毒防治管理第19頁，共27頁，2022年，5月20日，0點41分，星期一一、信息安全人員管理按照BS 7799安全管理標準，人員安全管理包括以下主要內(nèi)容：（1）安全審查（2）安全

12、保密管理（3）安全教育與培訓（4）崗位安全考核（5）離崗人員安全管理第20頁，共27頁，2022年，5月20日，0點41分，星期一二、信息安全制度管理信息安全制度管理應(yīng)該在以下方面具體體現(xiàn)（1）安全策略與制度（2）安全風險管理（3）人員和組織安全管理（4）環(huán)境和設(shè)備安全管理（5）網(wǎng)絡(luò)和通信安全管理（6）主機和系統(tǒng)安全管理（7）數(shù)據(jù)安全和加密管理（8）應(yīng)用和業(yè)務(wù)安全管理（9）項目工程安全管理（10）運行和維護安全管理（11）業(yè)務(wù)連續(xù)性管理（12）符合性管理第21頁，共27頁，2022年，5月20日，0點41分，星期一三、互聯(lián)網(wǎng)安全管理互聯(lián)網(wǎng)安全管理主要從一些法律和法規(guī)上來規(guī)范：（1）、1996年

13、2月1日，國務(wù)院發(fā)布了計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定。（2）、1997年12月11日，公安部發(fā)布了計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法。（3）、2005年12月13日，公安部發(fā)布了互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定，2006年3月1日起實施。第22頁，共27頁，2022年，5月20日，0點41分，星期一四、計算機病毒防治管理1、計算機病毒的概念計算機病毒是指編制或在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并自我復(fù)制的一組計算機指令或程序代碼。2、計算機病毒的特點（1）內(nèi)在特點1、傳染性2、隱蔽性3、潛伏性4、破壞性（2）新生特點1、感染速度快 2、擴散面廣 3、傳播形式復(fù)雜

14、4、難于徹底清除 5、破壞性大3、計算機病毒的防治管理公安部依據(jù)計算機信息系統(tǒng)安全保護條例，于2004年4月制定并公布了計算機病毒防治管理辦法。第23頁，共27頁，2022年，5月20日，0點41分，星期一習題1、在互聯(lián)網(wǎng)上的計算機病毒呈現(xiàn)出的特點是_ABCD_。 A.與互聯(lián)網(wǎng)更加緊密地結(jié)合，利用一切可以利用的方式進行傳播 B.具有多種特征，破壞性大大增強 C.擴散性極強，也更注重隱蔽性和欺騙性 D.針對系統(tǒng)漏洞進行傳播和破壞 2、在信息安全管理中進行安全教育培訓，應(yīng)當區(qū)分培訓對象的層次和培訓內(nèi)容，主要包括_ABE_。 A.高級管理層 B.關(guān)鍵技術(shù)崗位人員 C.第三方人員 D.外部人員 E.普

15、通計算機用戶 3、對于人員管理的描述錯誤的是_B_. A.人員管理是安全管理的重要環(huán)節(jié) B.安全授權(quán)不是人員管理的手段 C.安全教育是人員管理的有力手段 D.人員管理時，安全審查是必要的 4、信息安全管理中 _B_負責保證安全管理策略與制度符合更高層法律，法規(guī)的要求，不發(fā)生矛盾和 沖突。 A.組織管理 B.合規(guī)性管理 C.人員管理 D.制度管理 第24頁，共27頁，2022年，5月20日，0點41分，星期一第5章 信息安全監(jiān)管根據(jù)計算機違法案件的性質(zhì)界定，計算機案件包括：1、刑事違法案件依據(jù)計算機信息系統(tǒng)安全保護條例追究刑事責任。2、行政違法案件依據(jù)計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法，由公安機關(guān)給予行政處罰。第25頁，共27頁，2022年，5月20日，0點41分，星期一習題1、我國計算機信息系統(tǒng)實行_C_保護。 A.責任制 B.主任值班制 C.安全等級 D.專職人員資格 2、信息安全方針和策略包括_D_。 A.安全方針 資金投入管理 網(wǎng)絡(luò)安全規(guī)劃 B.安全方針 資金信息管理 信息安全規(guī)劃 C.安全方針 資金信息管理