信息安全讲座资料.ppt

安全防护体系需要采用多层、堡垒式防护策略 单一的安全保护往往效果不理想 需要从多个层面解决安全问题（物理、通信、网络、系统、应用、人员、组织和管理） 分层的安全防护成倍地增加了黑客攻击的成本和难度 从而卓有成效地降低被攻击的危险，达到安全防护的目标。 备份资料。记住你的系统永远不会是无懈可击的，灾难性的数据损失会发生在你身上———只需一条虫子或一只木马就已足够。 选择很难猜的密码。不要没有脑子地填上几个与你有关的数字，在任何情况下，都要及时修改默认密码。 安装防毒软件，并让它每天更新升级。 及时更新操作系统，时刻留意软件制造商发布的各种补丁，并及时安装应用。 在IE或其它浏览器中会出现一些黑客鱼饵，对此要保持清醒，拒绝点击，同时将电子邮件客户端的自动脚本功能关闭。 在发送敏感邮件时使用加密软件，也可用加密软件保护你的硬盘上的数据。 安装一个或几个反间谍程序，并且要经常运行检查。 使用个人防火墙并正确设置它，阻止其它计算机、网络和网址与你的计算机建立连接，指定哪些程序可以自动连接到网络。 关闭所有你不使用的系统服务，特别是那些可以让别人远程控制你的计算机的服务，如RemoteDesktop、RealVNC和NetBIOS等。 保证无线连接的安全。在家里，可以使用无线保护接入WPA和至少20个字符的密码。正确设置你的笔记本电脑，不要加入任何网络，除非它使用WPA。要想在一个充满敌意的因特网世界里保护自己，的确是一件不容易的事。你要时刻想着，在地球另一端的某个角落里，一个或一些毫无道德的人正在刺探你的系统漏洞，并利用它们窃取你最敏感的秘密。希望你不会成为这些网络入侵者的下一个牺牲品。 Contents 什么是信息安全 1 为什么需要信息安全 2 典型信息安全案例分析 3 安全基本原则 4 可用性 确保授权用户在需要时可以访问信息并使用相关信息资产 完整性 保护信息和信息的处理方法准确而完整 机密性 确保只有经过授权的人才能访问信息 安全的基本原则 通过生活的事例来说明安全---- 就是保护属于自己的钱不被除自己以外的任何人拿走 1．首先你的钱你不希望别人知道，因为那是你的 ――保密性； 其次你不希望突然有一天发现自己的钱少了，原来有多少钱现在还是多少钱 ――完整性； 你肯定希望自己随时都能随心所欲的用这笔钱 ――可用性； 中移动网络与信息安全体系建立紧迫性 安全问题已时不我待。我所讲的安全问题还不是黑客和防病毒，只讲我们自身的工作安全。 从全球及我们自身看，网络安全的形式非常严峻 进入网管中心或者通过网管中心进入各生产网元，一定要实行有效的多次密码认证的管理，严格管理每一次进入。 对内部人员的登陆要有严格的管理规定，后台操作要留有痕迹。不能光管外人不管自己。（重在管理，其次是手段） 对外来人员的进入，我们一定要限人、限时、限范围，明确进入的时间、进入的目的。谁放厂家的人进去谁就要负责检查，并做好记录，要承担起核心设备网元的管理权，出了问题要承担责任。 信息安全是信息服务提供商的核心保证 一个不安全的网络，将不可能提供高质量的信息服务 信息服务必须让客户可信任 解决信息安全问题的关键 建立一个完善的信息安全管理体系 中移动网络与信息安全的目标 为中国移动的网络与信息安全管理工作建立科学的体系，确保安全控制措施落实到位，为各项业务的安全运行提供保障。 目前公司网络与信息安全工作的重点集中在可用性、保密性和可审查性。 可用性 完整性 保密性 防抵赖性 可审查性 保证公司业务运作的连续性，即使在遭受意外的情况下也可迅速恢复 关键信息资产的使用都必须经过授权，只有得到相应授权的人员才可使用网络和保密信息 任何对公司业务运作的威胁和破坏行为都得到记录，并能跟踪和追查 中移动信息安全建设原则与总体策略 安全管理流程、制度和安全控制措施的设计应基于风险分析，而不应基于信任管理 权限制衡和监督原则：安全管理人员和网络管理人员、主机管理人员相互制约 作为国家基础设施提供商，其网络与信息安全工作目前必须围绕公司业务目标开展； 网络与信息安全管理工作应以风险管理为基础，在安全、效率和成本之间均衡考虑； 全面防范，突出重点 高层牵头 领导负责 全员参与 专人管理 信息安全管理组织体系模型 信息安全决策层 决策、规划、保证机制 信息安全管理层 安全管理、工程、保证管理 信息安全操作层 运行、实施、保证 建立垂直组织 明确岗位职责 贯彻分权制衡原则 提高任职资格 建立关键岗位人员选拔制度 加强安全绩效考核 Company Logo 信息安全管理框架 信息安全目标 组 织 信息资产