信息安全管理教程課件

信息安全管理教程課件第一頁(yè)，共二十七頁(yè)，2022年，8月28日第1章信息安全概述

重點(diǎn)內(nèi)容：

信息安全的含義及特性信息安全政策和法律體系第二頁(yè)，共二十七頁(yè)，2022年，8月28日一、信息安全的含義及特性

1、信息安全定義信息安全是指：信息安全是為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)因偶然、惡意的原因遭到破壞、更改和泄露。

2、特性為保證網(wǎng)絡(luò)信息的安全，安全系統(tǒng)要滿足以下需求：保密性、完整性、可用性和不可否認(rèn)性。

第三頁(yè)，共二十七頁(yè)，2022年，8月28日2、特性保密性：表示對(duì)信息開(kāi)放范圍的控制，指把信息按指定要求不泄露給非授權(quán)的個(gè)人、實(shí)體或過(guò)程，或提供其利用的特性，即杜絕有用信息泄露給非授權(quán)個(gè)人或?qū)嶓w，強(qiáng)調(diào)有用信息只為授權(quán)對(duì)象使用的特征。完整性：要保證信息處于一種未受損的狀態(tài)，指信息在傳輸、交換、存儲(chǔ)和處理過(guò)程中保持非修改、非破壞和非丟失的特性，即保持信息原樣性，使信息能正確生成、存儲(chǔ)和傳輸。第四頁(yè)，共二十七頁(yè)，2022年，8月28日可用性：是指網(wǎng)絡(luò)信息可被授權(quán)實(shí)體正確訪問(wèn)，并按要求能正常使用或在非正常情況下能恢復(fù)使用的特征，即在系統(tǒng)運(yùn)行時(shí)能正確存取所需信息，當(dāng)系統(tǒng)遭受攻擊或破壞時(shí)，能迅速恢復(fù)并能投入使用。可用性是衡量網(wǎng)絡(luò)信息系統(tǒng)面向用戶的一種安全性能。不可否認(rèn)性：指通信雙方在信息交互過(guò)程中，確信參與者本身，及參與者所提供的信息的真實(shí)同一性，即所有參與者都不可能否認(rèn)或抵賴本人的真實(shí)身份，以及提供信息的原樣性和完成的操作與承諾。第五頁(yè)，共二十七頁(yè)，2022年，8月28日二、信息安全政策和法律體系1、信息安全政策我國(guó)的信息化發(fā)展戰(zhàn)略與安全保障工作美國(guó)的信息安全國(guó)家戰(zhàn)略

2、信息安全法律體系法律體系結(jié)構(gòu)

(1)法律體系

(2)政策體系

(3)強(qiáng)制性技術(shù)標(biāo)準(zhǔn)相關(guān)法律、法規(guī)簡(jiǎn)介

第六頁(yè)，共二十七頁(yè)，2022年，8月28日習(xí)題1、信息安全經(jīng)歷了三個(gè)發(fā)展階段，以下__B__不屬于這三個(gè)發(fā)展段。

A.通信保密階段

B.加密機(jī)階段

C.信息安全階段

D.安全保障階段2、信息系統(tǒng)常見(jiàn)的危險(xiǎn)有___ABCD_____。

A.軟硬件設(shè)計(jì)故障導(dǎo)致網(wǎng)絡(luò)癱瘓 B.黑客入侵

C.敏感信息泄露 D.信息刪除 E.電子郵件發(fā)送3、數(shù)據(jù)在存儲(chǔ)過(guò)程中發(fā)生了非法訪問(wèn)行為,這破壞了信息安全的_安全性_屬性。4、2000年1月，美國(guó)政府發(fā)布了《保衛(wèi)美國(guó)的計(jì)算機(jī)空間——保護(hù)信息系統(tǒng)》的國(guó)家計(jì)劃。5、2000年12月28日第九屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第十九次會(huì)議通過(guò)了《關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》第七頁(yè)，共二十七頁(yè)，2022年，8月28日第2章信息安全管理基礎(chǔ)重點(diǎn)內(nèi)容：

信息安全管理體系信息安全管理標(biāo)準(zhǔn)信息安全策略信息安全技術(shù)第八頁(yè)，共二十七頁(yè)，2022年，8月28日一、信息安全管理體系

1、信息安全管理體系定義（P26第3段）2、信息安全管理的基本原則

（1）總體原則

主要領(lǐng)導(dǎo)負(fù)責(zé)原則規(guī)范定級(jí)原則以人為本原則適度安全原則全面防范原則系統(tǒng)、動(dòng)態(tài)原則控制社會(huì)影響原則

（2）安全管理策略分權(quán)制衡最小特權(quán)選用成熟技術(shù)普遍參與

第九頁(yè)，共二十七頁(yè)，2022年，8月28日二、信息安全管理標(biāo)準(zhǔn)1、BS7799

（1）BS7799標(biāo)準(zhǔn)概述（P33）

（2） BS7799標(biāo)準(zhǔn)主要內(nèi)容2、其他標(biāo)準(zhǔn)

如：PD3000標(biāo)準(zhǔn)、CC標(biāo)準(zhǔn)和ISO/IECTR13335標(biāo)準(zhǔn)。第十頁(yè)，共二十七頁(yè)，2022年，8月28日三、信息安全策略

主要的信息安全策略

（1）口令策略 （如：系統(tǒng)密碼、網(wǎng)絡(luò)入口密碼等）（2）計(jì)算機(jī)病毒和惡意代碼防治策略 （如：拒絕訪問(wèn)、病毒檢測(cè)等）（3）安全教育和培訓(xùn)策略（4）可接受使用策略AUP

第十一頁(yè)，共二十七頁(yè)，2022年，8月28日四、信息安全技術(shù)

（1）物理環(huán)境安全技術(shù)

包括三方面：環(huán)境安全、設(shè)備安全和媒體安全。（2）通信鏈路安全技術(shù)

1、鏈路加密技術(shù) 2、遠(yuǎn)程撥號(hào)安全協(xié)議（3）網(wǎng)絡(luò)安全技術(shù)

1、防火墻 2、網(wǎng)絡(luò)入侵 3、網(wǎng)絡(luò)脆弱性分析（4）系統(tǒng)安全技術(shù)

1、主機(jī)入侵檢測(cè) 2、計(jì)算機(jī)病毒防治（5）身份認(rèn)證安全技術(shù)

1、動(dòng)態(tài)口令認(rèn)證 2、PKI證書認(rèn)證技術(shù)第十二頁(yè)，共二十七頁(yè)，2022年，8月28日習(xí)題1、BS7799是英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)針對(duì)信息安全管理而指定的標(biāo)準(zhǔn)，最初發(fā)布于_B_

A.1993

B.1995

C.1996

D.19982、信息安全評(píng)測(cè)標(biāo)準(zhǔn)CC標(biāo)準(zhǔn)是_A_標(biāo)準(zhǔn)

A.國(guó)際 B.美國(guó)

C.中國(guó) D.英國(guó)3、按照BS7799標(biāo)準(zhǔn),信息安全管理應(yīng)當(dāng)是一個(gè)持續(xù)改進(jìn)的周期性過(guò)程。正確4、信息安全策略主要包含口令策略、計(jì)算機(jī)病毒和惡意代碼防治策略、安全教育和培訓(xùn)策略、可接受使用策略AUP。5、用戶身份鑒別是通過(guò)__A__完成的。

A.口令驗(yàn)證 B.審計(jì)策略

C.存取控制 D.查詢功能第十三頁(yè)，共二十七頁(yè)，2022年，8月28日第3章信息安全等級(jí)保護(hù)與風(fēng)險(xiǎn)評(píng)估

重點(diǎn)內(nèi)容：

信息系統(tǒng)安全等級(jí)劃分風(fēng)險(xiǎn)評(píng)估的方法與流程第十四頁(yè)，共二十七頁(yè)，2022年，8月28日一、信息安全等級(jí)保護(hù)制度

1、信息系統(tǒng)安全等級(jí)劃分

（1）第一級(jí)為自主保護(hù)級(jí)

（2） 第二級(jí)為指導(dǎo)保護(hù)級(jí) （3） 第三級(jí)為監(jiān)督保護(hù)級(jí)

（4）第四級(jí)為強(qiáng)制保護(hù)級(jí) （5）第五級(jí)為?？乇Ｗo(hù)級(jí)2、信息系統(tǒng)安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)（P77）

（1）GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》。 （2）《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》。第十五頁(yè)，共二十七頁(yè)，2022年，8月28日安全服務(wù)與安全機(jī)制之間的關(guān)系

二、信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估

1、風(fēng)險(xiǎn)評(píng)估模型

（1）風(fēng)險(xiǎn)評(píng)估要素關(guān)系模型

（2）安全風(fēng)險(xiǎn)計(jì)算模型計(jì)算過(guò)程是：

1、對(duì)信息資產(chǎn)進(jìn)行識(shí)別，對(duì)資產(chǎn)賦值；

2、對(duì)威脅進(jìn)行分析，并對(duì)威脅發(fā)生的可能性賦值；

3、識(shí)別信息資產(chǎn)的脆弱性，并對(duì)脆弱性的嚴(yán)重程度賦值；

4、根據(jù)威脅和脆弱性計(jì)算安全事件發(fā)生的可能性；

5、結(jié)合信息資產(chǎn)的重要性和該資產(chǎn)發(fā)生安全事件的可能性計(jì)算信息資產(chǎn)的風(fēng)險(xiǎn)值。2、風(fēng)險(xiǎn)評(píng)估的方法

（1）自評(píng)估與他評(píng)估。 （2）基線評(píng)估與詳細(xì)評(píng)估。

（3）定量評(píng)估與定性評(píng)估。第十六頁(yè)，共二十七頁(yè)，2022年，8月28日二、信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估

3、風(fēng)險(xiǎn)評(píng)估流程

（1）資產(chǎn)識(shí)別

（2）威脅識(shí)別

（3）脆弱性識(shí)別

（4）安全措施識(shí)別

（5）風(fēng)險(xiǎn)識(shí)別4、風(fēng)險(xiǎn)評(píng)估的工具

（1）安全管理評(píng)價(jià)系統(tǒng)。 （2）信息基礎(chǔ)設(shè)施風(fēng)險(xiǎn)評(píng)估工具。

（3）風(fēng)險(xiǎn)評(píng)估輔助工具。第十七頁(yè)，共二十七頁(yè)，2022年，8月28日習(xí)題1、1999年，我國(guó)發(fā)布的第一個(gè)信息安全等級(jí)保護(hù)的國(guó)家標(biāo)準(zhǔn)GB17859—1999,提出將信息系統(tǒng)的安全等級(jí)劃分為_(kāi)_D__個(gè)等級(jí)，并提出每個(gè)級(jí)別的安全功能標(biāo)準(zhǔn)。

A.7 B.8 C.6 D.5

2、下列關(guān)于風(fēng)險(xiǎn)的說(shuō)法，___C__是錯(cuò)誤的。

A.風(fēng)險(xiǎn)是客觀存在的

B.導(dǎo)致風(fēng)險(xiǎn)的外因是普遍存在的安全威脅

C.導(dǎo)致風(fēng)險(xiǎn)的外因是普遍存在的安全脆弱性

D.風(fēng)險(xiǎn)是指一種可能性

3、風(fēng)險(xiǎn)管理的首要任務(wù)是__A___.

A.風(fēng)險(xiǎn)識(shí)別和評(píng)估

B.風(fēng)險(xiǎn)轉(zhuǎn)嫁

C.風(fēng)險(xiǎn)控制

D.接受風(fēng)險(xiǎn)

4、如果一個(gè)信息系統(tǒng)，其業(yè)務(wù)信息安全或業(yè)務(wù)服務(wù)保證性受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成一定損害，但不損害國(guó)家安全；本級(jí)系統(tǒng)依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，必要時(shí)，信息安全監(jiān)督職能部門對(duì)其進(jìn)行指導(dǎo)，那么該信息系統(tǒng)屬于等級(jí)保護(hù)中的__C__.

A.強(qiáng)制保護(hù)級(jí) B.監(jiān)督保護(hù)級(jí) C、指導(dǎo)保護(hù)級(jí) D.自主保護(hù)級(jí)第十八頁(yè)，共二十七頁(yè)，2022年，8月28日第4章信息安全管理

重點(diǎn)內(nèi)容：

信息安全人員管理信息安全制度管理互聯(lián)網(wǎng)安全管理計(jì)算機(jī)病毒防治管理第十九頁(yè)，共二十七頁(yè)，2022年，8月28日一、信息安全人員管理

按照BS7799安全管理標(biāo)準(zhǔn)，人員安全管理包括以下主要內(nèi)容：

（1）安全審查

（2）安全保密管理

（3）安全教育與培訓(xùn)

（4）崗位安全考核

（5）離崗人員安全管理第二十頁(yè)，共二十七頁(yè)，2022年，8月28日二、信息安全制度管理

信息安全制度管理應(yīng)該在以下方面具體體現(xiàn)

（1）安全策略與制度 （2）安全風(fēng)險(xiǎn)管理

（3）人員和組織安全管理 （4）環(huán)境和設(shè)備安全管理

（5）網(wǎng)絡(luò)和通信安全管理 （6）主機(jī)和系統(tǒng)安全管理

（7）數(shù)據(jù)安全和加密管理 （8）應(yīng)用和業(yè)務(wù)安全管理

（9）項(xiàng)目工程安全管理 （10）運(yùn)行和維護(hù)安全管理（11）業(yè)務(wù)連續(xù)性管理 （12）符合性管理第二十一頁(yè)，共二十七頁(yè)，2022年，8月28日三、互聯(lián)網(wǎng)安全管理互聯(lián)網(wǎng)安全管理主要從一些法律和法規(guī)上來(lái)規(guī)范：

（1）、1996年2月1日，國(guó)務(wù)院發(fā)布了《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》。 （2）、1997年12月11日，公安部發(fā)布了《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》。 （3）、2005年12月13日，公安部發(fā)布了《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》，2006年3月1日起實(shí)施。第二十二頁(yè)，共二十七頁(yè)，2022年，8月28日四、計(jì)算機(jī)病毒防治管理

1、計(jì)算機(jī)病毒的概念

計(jì)算機(jī)病毒是指編制或在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。

2、計(jì)算機(jī)病毒的特點(diǎn)

（1）內(nèi)在特點(diǎn)

1、傳染性 2、隱蔽性

3、潛伏性 4、破壞性

（2）新生特點(diǎn)

1、感染速度快 2、擴(kuò)散面廣3、傳播形式復(fù)雜

4、難于徹底清除5、破壞性大3、計(jì)算機(jī)病毒的防治管理 公安部依據(jù)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，于2004年4月制定并公布了《計(jì)算機(jī)病毒防治管理辦法》。第二十三頁(yè)，共二十七頁(yè)，2022年，8月28日習(xí)題1、在互聯(lián)網(wǎng)上的計(jì)算機(jī)病毒呈現(xiàn)出的特點(diǎn)是_ABCD__。

A.與互聯(lián)網(wǎng)更加緊密地結(jié)合，利用一切可以利用的方式進(jìn)行傳播

B.具有多種特征，破壞性大大增強(qiáng)

C.擴(kuò)散性極強(qiáng)，也更注重隱蔽性和欺騙性

D.針對(duì)系統(tǒng)漏洞進(jìn)行傳播和破壞2、在信息安全管理中進(jìn)行安全教育培訓(xùn)，應(yīng)當(dāng)區(qū)分培訓(xùn)對(duì)象的層次和培訓(xùn)內(nèi)容，主要包括_ABE__。

A.高級(jí)管理層 B.關(guān)鍵技術(shù)崗位人員

C.第三方人員 D.外部人員

E.普通計(jì)算機(jī)用戶3、對(duì)于人員管理的描述錯(cuò)誤的是___B___.

A.人員管理是安全管理的重要環(huán)節(jié)

B.安全授權(quán)不是人員管理的手段

C.安全教育是人員管理的有力手段

D.人員管理時(shí)，安全審查是必要的4、信息安全管理中___B___負(fù)責(zé)保證安全管理策略與制度符合更高層法律，法規(guī)的要求，不發(fā)生矛盾和沖突。

A.組織管理 B.合規(guī)性管理

C.人員管理 D.制度管理第二十四頁(yè)，共二十七頁(yè)，2022年，8月28日第5章信息安全監(jiān)管

根據(jù)計(jì)算機(jī)違法案件的性質(zhì)界定，計(jì)算機(jī)案件包括：

1、刑事違法案件

依據(jù)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》追究刑事責(zé)任。

2、行政違法案件

依據(jù)《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》，由 公安機(jī)關(guān)給予行政處罰。第二十五頁(yè)，共二十七頁(yè)，2022年，8月28日習(xí)題1、我國(guó)計(jì)算機(jī)信息系統(tǒng)實(shí)行__C_保護(hù)。

A.責(zé)任制

B.主任值班制

C.安全等級(jí)

D.專職人員資格2、信息安全方針和策略包括_D_。

A.安全方針資金投入管理網(wǎng)絡(luò)安全規(guī)劃

B.安全方針資金信息管理信息安全規(guī)劃

C.安全方針資金信息管理網(wǎng)絡(luò)安全規(guī)劃

D.安全方針資金投入管理信息安全規(guī)