信息安全管理教程課件

信息安全管理教程課件第1頁，課件共27頁，創(chuàng)作于2023年2月第1章信息安全概述

重點內(nèi)容：

信息安全的含義及特性信息安全政策和法律體系第2頁，課件共27頁，創(chuàng)作于2023年2月一、信息安全的含義及特性

1、信息安全定義信息安全是指：信息安全是為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護，保護計算機硬件、軟件和數(shù)據(jù)因偶然、惡意的原因遭到破壞、更改和泄露。

2、特性為保證網(wǎng)絡(luò)信息的安全，安全系統(tǒng)要滿足以下需求：保密性、完整性、可用性和不可否認性。

第3頁，課件共27頁，創(chuàng)作于2023年2月2、特性保密性：表示對信息開放范圍的控制，指把信息按指定要求不泄露給非授權(quán)的個人、實體或過程，或提供其利用的特性，即杜絕有用信息泄露給非授權(quán)個人或?qū)嶓w，強調(diào)有用信息只為授權(quán)對象使用的特征。完整性：要保證信息處于一種未受損的狀態(tài)，指信息在傳輸、交換、存儲和處理過程中保持非修改、非破壞和非丟失的特性，即保持信息原樣性，使信息能正確生成、存儲和傳輸。第4頁，課件共27頁，創(chuàng)作于2023年2月可用性：是指網(wǎng)絡(luò)信息可被授權(quán)實體正確訪問，并按要求能正常使用或在非正常情況下能恢復使用的特征，即在系統(tǒng)運行時能正確存取所需信息，當系統(tǒng)遭受攻擊或破壞時，能迅速恢復并能投入使用?？捎眯允呛饬烤W(wǎng)絡(luò)信息系統(tǒng)面向用戶的一種安全性能。不可否認性：指通信雙方在信息交互過程中，確信參與者本身，及參與者所提供的信息的真實同一性，即所有參與者都不可能否認或抵賴本人的真實身份，以及提供信息的原樣性和完成的操作與承諾。第5頁，課件共27頁，創(chuàng)作于2023年2月二、信息安全政策和法律體系1、信息安全政策我國的信息化發(fā)展戰(zhàn)略與安全保障工作美國的信息安全國家戰(zhàn)略

2、信息安全法律體系法律體系結(jié)構(gòu)

(1)法律體系

(2)政策體系

(3)強制性技術(shù)標準相關(guān)法律、法規(guī)簡介

第6頁，課件共27頁，創(chuàng)作于2023年2月習題1、信息安全經(jīng)歷了三個發(fā)展階段，以下__B__不屬于這三個發(fā)展段。

A.通信保密階段

B.加密機階段

C.信息安全階段

D.安全保障階段2、信息系統(tǒng)常見的危險有___ABCD_____。

A.軟硬件設(shè)計故障導致網(wǎng)絡(luò)癱瘓 B.黑客入侵

C.敏感信息泄露 D.信息刪除 E.電子郵件發(fā)送3、數(shù)據(jù)在存儲過程中發(fā)生了非法訪問行為,這破壞了信息安全的_安全性_屬性。4、2000年1月，美國政府發(fā)布了《保衛(wèi)美國的計算機空間——保護信息系統(tǒng)》的國家計劃。5、2000年12月28日第九屆全國人民代表大會常務(wù)委員會第十九次會議通過了《關(guān)于維護互聯(lián)網(wǎng)安全的決定》第7頁，課件共27頁，創(chuàng)作于2023年2月第2章信息安全管理基礎(chǔ)重點內(nèi)容：

信息安全管理體系信息安全管理標準信息安全策略信息安全技術(shù)第8頁，課件共27頁，創(chuàng)作于2023年2月一、信息安全管理體系

1、信息安全管理體系定義（P26第3段）2、信息安全管理的基本原則

（1）總體原則

主要領(lǐng)導負責原則規(guī)范定級原則以人為本原則適度安全原則全面防范原則系統(tǒng)、動態(tài)原則控制社會影響原則

（2）安全管理策略分權(quán)制衡最小特權(quán)選用成熟技術(shù)普遍參與

第9頁，課件共27頁，創(chuàng)作于2023年2月二、信息安全管理標準1、BS7799

（1）BS7799標準概述（P33）

（2） BS7799標準主要內(nèi)容2、其他標準

如：PD3000標準、CC標準和ISO/IECTR13335標準。第10頁，課件共27頁，創(chuàng)作于2023年2月三、信息安全策略

主要的信息安全策略

（1）口令策略 （如：系統(tǒng)密碼、網(wǎng)絡(luò)入口密碼等）（2）計算機病毒和惡意代碼防治策略 （如：拒絕訪問、病毒檢測等）（3）安全教育和培訓策略（4）可接受使用策略AUP

第11頁，課件共27頁，創(chuàng)作于2023年2月四、信息安全技術(shù)

（1）物理環(huán)境安全技術(shù)

包括三方面：環(huán)境安全、設(shè)備安全和媒體安全。（2）通信鏈路安全技術(shù)

1、鏈路加密技術(shù) 2、遠程撥號安全協(xié)議（3）網(wǎng)絡(luò)安全技術(shù)

1、防火墻 2、網(wǎng)絡(luò)入侵 3、網(wǎng)絡(luò)脆弱性分析（4）系統(tǒng)安全技術(shù)

1、主機入侵檢測 2、計算機病毒防治（5）身份認證安全技術(shù)

1、動態(tài)口令認證 2、PKI證書認證技術(shù)第12頁，課件共27頁，創(chuàng)作于2023年2月習題1、BS7799是英國標準協(xié)會針對信息安全管理而指定的標準，最初發(fā)布于_B_

A.1993

B.1995

C.1996

D.19982、信息安全評測標準CC標準是_A_標準

A.國際 B.美國

C.中國 D.英國3、按照BS7799標準,信息安全管理應(yīng)當是一個持續(xù)改進的周期性過程。正確4、信息安全策略主要包含口令策略、計算機病毒和惡意代碼防治策略、安全教育和培訓策略、可接受使用策略AUP。5、用戶身份鑒別是通過__A__完成的。

A.口令驗證 B.審計策略

C.存取控制 D.查詢功能第13頁，課件共27頁，創(chuàng)作于2023年2月第3章信息安全等級保護與風險評估

重點內(nèi)容：

信息系統(tǒng)安全等級劃分風險評估的方法與流程第14頁，課件共27頁，創(chuàng)作于2023年2月一、信息安全等級保護制度

1、信息系統(tǒng)安全等級劃分

（1）第一級為自主保護級

（2） 第二級為指導保護級 （3） 第三級為監(jiān)督保護級

（4）第四級為強制保護級 （5）第五級為?？乇Ｗo級2、信息系統(tǒng)安全等級保護相關(guān)標準（P77）

（1）GB17859-1999《計算機信息系統(tǒng)安全保護等級劃分準則》。 （2）《信息系統(tǒng)安全等級保護實施指南》。第15頁，課件共27頁，創(chuàng)作于2023年2月安全服務(wù)與安全機制之間的關(guān)系

二、信息系統(tǒng)安全風險評估

1、風險評估模型

（1）風險評估要素關(guān)系模型

（2）安全風險計算模型計算過程是：

1、對信息資產(chǎn)進行識別，對資產(chǎn)賦值；

2、對威脅進行分析，并對威脅發(fā)生的可能性賦值；

3、識別信息資產(chǎn)的脆弱性，并對脆弱性的嚴重程度賦值；

4、根據(jù)威脅和脆弱性計算安全事件發(fā)生的可能性；

5、結(jié)合信息資產(chǎn)的重要性和該資產(chǎn)發(fā)生安全事件的可能性計算信息資產(chǎn)的風險值。2、風險評估的方法

（1）自評估與他評估。 （2）基線評估與詳細評估。

（3）定量評估與定性評估。第16頁，課件共27頁，創(chuàng)作于2023年2月二、信息系統(tǒng)安全風險評估

3、風險評估流程

（1）資產(chǎn)識別

（2）威脅識別

（3）脆弱性識別

（4）安全措施識別

（5）風險識別4、風險評估的工具

（1）安全管理評價系統(tǒng)。 （2）信息基礎(chǔ)設(shè)施風險評估工具。

（3）風險評估輔助工具。第17頁，課件共27頁，創(chuàng)作于2023年2月習題1、1999年，我國發(fā)布的第一個信息安全等級保護的國家標準GB17859—1999,提出將信息系統(tǒng)的安全等級劃分為__D__個等級，并提出每個級別的安全功能標準。

A.7 B.8 C.6 D.5

2、下列關(guān)于風險的說法，___C__是錯誤的。

A.風險是客觀存在的

B.導致風險的外因是普遍存在的安全威脅

C.導致風險的外因是普遍存在的安全脆弱性

D.風險是指一種可能性

3、風險管理的首要任務(wù)是__A___.

A.風險識別和評估

B.風險轉(zhuǎn)嫁

C.風險控制

D.接受風險

4、如果一個信息系統(tǒng)，其業(yè)務(wù)信息安全或業(yè)務(wù)服務(wù)保證性受到破壞后，會對社會秩序和公共利益造成一定損害，但不損害國家安全；本級系統(tǒng)依照國家管理規(guī)范和技術(shù)標準進行自主保護，必要時，信息安全監(jiān)督職能部門對其進行指導，那么該信息系統(tǒng)屬于等級保護中的__C__.

A.強制保護級 B.監(jiān)督保護級 C、指導保護級 D.自主保護級第18頁，課件共27頁，創(chuàng)作于2023年2月第4章信息安全管理

重點內(nèi)容：

信息安全人員管理信息安全制度管理互聯(lián)網(wǎng)安全管理計算機病毒防治管理第19頁，課件共27頁，創(chuàng)作于2023年2月一、信息安全人員管理

按照BS7799安全管理標準，人員安全管理包括以下主要內(nèi)容：

（1）安全審查

（2）安全保密管理

（3）安全教育與培訓

（4）崗位安全考核

（5）離崗人員安全管理第20頁，課件共27頁，創(chuàng)作于2023年2月二、信息安全制度管理

信息安全制度管理應(yīng)該在以下方面具體體現(xiàn)

（1）安全策略與制度 （2）安全風險管理

（3）人員和組織安全管理 （4）環(huán)境和設(shè)備安全管理

（5）網(wǎng)絡(luò)和通信安全管理 （6）主機和系統(tǒng)安全管理

（7）數(shù)據(jù)安全和加密管理 （8）應(yīng)用和業(yè)務(wù)安全管理

（9）項目工程安全管理 （10）運行和維護安全管理（11）業(yè)務(wù)連續(xù)性管理 （12）符合性管理第21頁，課件共27頁，創(chuàng)作于2023年2月三、互聯(lián)網(wǎng)安全管理互聯(lián)網(wǎng)安全管理主要從一些法律和法規(guī)上來規(guī)范：

（1）、1996年2月1日，國務(wù)院發(fā)布了《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》。 （2）、1997年12月11日，公安部發(fā)布了《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》。 （3）、2005年12月13日，公安部發(fā)布了《互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定》，2006年3月1日起實施。第22頁，課件共27頁，創(chuàng)作于2023年2月四、計算機病毒防治管理

1、計算機病毒的概念

計算機病毒是指編制或在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并自我復制的一組計算機指令或程序代碼。

2、計算機病毒的特點

（1）內(nèi)在特點

1、傳染性 2、隱蔽性

3、潛伏性 4、破壞性

（2）新生特點

1、感染速度快 2、擴散面廣3、傳播形式復雜

4、難于徹底清除5、破壞性大3、計算機病毒的防治管理 公安部依據(jù)《計算機信息系統(tǒng)安全保護條例》，于2004年4月制定并公布了《計算機病毒防治管理辦法》。第23頁，課件共27頁，創(chuàng)作于2023年2月習題1、在互聯(lián)網(wǎng)上的計算機病毒呈現(xiàn)出的特點是_ABCD__。

A.與互聯(lián)網(wǎng)更加緊密地結(jié)合，利用一切可以利用的方式進行傳播

B.具有多種特征，破壞性大大增強

C.擴散性極強，也更注重隱蔽性和欺騙性

D.針對系統(tǒng)漏洞進行傳播和破壞2、在信息安全管理中進行安全教育培訓，應(yīng)當區(qū)分培訓對象的層次和培訓內(nèi)容，主要包括_ABE__。

A.高級管理層 B.關(guān)鍵技術(shù)崗位人員

C.第三方人員 D.外部人員

E.普通計算機用戶3、對于人員管理的描述錯誤的是___B___.

A.人員管理是安全管理的重要環(huán)節(jié)

B.安全授權(quán)不是人員管理的手段

C.安全教育是人員管理的有力手段

D.人員管理時，安全審查是必要的4、信息安全管理中___B___負責保證安全管理策略與制度符合更高層法律，法規(guī)的要求，不發(fā)生矛盾和沖突。

A.組織管理 B.合規(guī)性管理

C.人員管理 D.制度管理第24頁，課件共27頁，創(chuàng)作于2023年2月第5章信息安全監(jiān)管

根據(jù)計算機違法案件的性質(zhì)界定，計算機案件包括：

1、刑事違法案件

依據(jù)《計算機信息系統(tǒng)安全保護條例》追究刑事責任。

2、行政違法案件

依據(jù)《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》，由 公安機關(guān)給予行政處罰。第25頁，課件共27頁，創(chuàng)作于2023年2月習題1、我國計算機信息系統(tǒng)實行__C_保護。

A.責任制

B.主任值班制

C.安全等級

D.專職人員資格2、信息安全方針和策略包括_D_。

A.安全方針資金投入管理網(wǎng)絡(luò)安全規(guī)劃

B.安全方針資金信息管理信息安全規(guī)劃

C.安全方針資金信息管理網(wǎng)絡(luò)安全規(guī)劃

D.安全方針資金投入管理信息安