信息系统安全管理理论及应用 作者 李建华信息系统安全管理理论及应用 1-4 第2章信息系统安全管理概述.pptVIP

信息系统安全管理概述 主要内容 基本概念 ----信息、信息安全、信息系统安全管理 信息系统安全管理的目标 信息系统安全管理现状 信息系统安全管理的重要性 基本概念 信息 定义--信息是消息、信号、数据、情报和知识，是用语言、文字、数字、符号、图象、声音、情景、表情、状态等方式传递的内容。通过在数据上施加某些约定而赋予这些数据的特殊含义，接受者通过一切可能的观察、探测、接收等手段，得到的对某种事物的特性、变化情况和运动规律的实际了解。信息并非客观事物的特性、变化情况和运动规律的本身，而只是对它们的某些可能观察、探测、接收到的认识，只是可供接受者据以分析、判断该事物的特性、变化情况和运动规律的一些原始的根据材料。 基本概念（续） 信息的属性 1）信息对一个组织而言具有重要价值 2）信息本身是无形的，可以通过多种媒体传递和存在。 3）信息与特定的主题、事物相关联，有着一定的含义。 基本概念（续） 信息安全的定义 广义的信息安全指防止信息财产被故意的或偶然的非授权泄露、更改、破坏，或防止信息被非法辨识、控制，即确保信息的保密性、完整性、可用性、可控性，包括操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密与鉴别等7个方面。 狭义的信息安全指网络上的信息安全，也称网络安全。 基本概念（续） 信息安全的实质 采取措施保护信息资产，使之不因偶然或恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。 基本概念（续） 信息安全的发展历程 基本概念（续） 信息安全的属性 --保密性：对信息资源开放范围的控制，指网络中的保密信息只供允许的人员以经过允许的方式使用，保证信息仅为那些被授权使用的人获取。 --完整性：保护信息及其处理方法的准确性和完整性，保证计算机系统中的信息处于“保持完整或一种未受损的状态”。 基本概念（续） 信息安全的属性 --可用性：保证被授权使用人需要时可以获取信息和使用相关的资产，不遭服务拒绝。 --不可否认性：又称抗抵赖性、不可抵赖性，保证信息行为人不能否认其行为。 --可控性：对信息的传播及内容具有控制能力，保证信息和信息系统的授权认证和监控管理，确保某个实体（人或系统）身份的真实性，确保执法者对社会的执法管理行为。 基本概念（续） 信息系统安全管理定义 狭义--指利用安全管理系统实现信息系统安全管理，这通常侧重于技术手段的管理；广义而言，指基于风险的安全管理，通过技术和管理的手段，将系统潜在的风险控制在可接受范围之内。 基本概念（续） 信息系统安全管理定义 狭义--指利用安全管理系统实现信息系统安全管理，这通常侧重于技术手段的管理；广义--指基于风险的安全管理，通过技术和管理的手段，将系统潜在的风险控制在可接受范围之内。 基本概念（续） 信息系统安全管理定义 广义--指通过系统风险分析和评估等手段，确定企业的信息系统安全需求和目标，为实现企业的信息安全目标而协调采取的一系列多种方式和手段，包括风险评估、检查、监控、响应和调整的控制过程。 基本概念（续） 信息系统安全管理的权威标准 英国标准7799（British standard 7799，简称BS7799），该标准为管理层提供一整套可“量体裁衣”的信息安全管理要项、一套与技术负责人或在高层会议上进行沟通的共同语言以及保护信息资产的制度框架。BS7799 管理体系将信息技术（information technology，简称IT）策略和企业发展方向统一起来，确保IT资源用得其所，使与IT相关的风险受到适当的控制。 信息系统安全管理的目标 --大部分企业都认识到仅仅依靠技术和产品不能保障信息安全，信息安全不仅仅是个技术问题，而是管理、章程、制度和技术手段以及各种系统的结合。实现信息安全不仅需要采用技术措施，还需要借助于技术以外的其它手段，如规范安全标准和进行信息安全管理。 --确保建立在计算机、通信和网络等信息技术基础上的现代信息系统的有效运行及信息的安全是信息系统安全管理的目标。 信息系统安全管理现状 信息系统安全管理的分支 信息系统安全管理现状（续） --基于标准的系统安全测评 由具备检验技术能力和政府授权资格的权威机构，依据国家标准、行业标准、地方标准或相关技术规范，按照严格程序对信息系统的安全保障能力进行科学公正的综合测试评估活动，以帮助系统运行单位分析系统当前的安全运行状况、查找存在的安全问题，并提供安全改进建议，从而最大程度地降低系统的安全风险。 信息系统安全管理现状（续） --风险评估 参照风险评估标准和管理规范，对信息