信息安全讲座选读.ppt

Company Logo 安全策略是安全防护体系的基础 举个例子： 我国有完善的法律法规,公民需要遵守国家相关的法律、法规来保证社会秩序的安定和平。 国家 = 公司 法律法规 = 安全策略 人是安全防护体系中最薄弱的环节 加强员工安全教育、提高网络安全意识 保家卫国,人人有责 Company Logo 风险管理:识别、评估风险，并将这风险减少到一个可以接受的程度，并实行正确的机制以保持这种程度的风险的过程。 安全没有百分之百 No 100% Security 每个系统都有其脆弱性，承担一定程度的风险。 安全威胁带来的损失代价 安全措施本身的费用 Company Logo 风险 RISK RISK RISK RISK 风险 基本的风险 采取措施后剩余的风险 资产 威胁 漏洞 资产 威胁 漏洞 风险管理：---就是为了把企业的风险降到可接受的程度 Company Logo 安全防护体系需要采用多层、堡垒式防护策略 单一的安全保护往往效果不理想 需要从多个层面解决安全问题（物理、通信、网络、系统、应用、人员、组织和管理） 分层的安全防护成倍地增加了黑客攻击的成本和难度 从而卓有成效地降低被攻击的危险，达到安全防护的目标。 国际标准化组织（ISO）对计算机系统安全的定义 暴露是因威胁因素而遭受损失的一个案例 应用正确的对策可以消除脆弱性和漏洞，减少风险 所有的安全计划都包括三个主要的原则,这些原则被称为CIA安全三原则 所有的安全产品和安全理念无非都是围绕这3个基本概念深入延伸而展开，而且这些概念彼此环环相扣，且生生不息的互为因果。 信息安全 Company Logo 什么是信息安全 1 为什么需要信息安全 2 典型信息安全案例分析 3 安全基本原则 4 Contents Company Logo 信息安全范围 国家政府军事机密安全 商业企业机密泄露 个人信息泄露 Company Logo 信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。 信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。 什么是信息安全 Company Logo 信息安全的重要性 信息作为一种资源，它的普遍性、共享性、增值性、可处理性和多效用性，使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏，即保证信息的安全性。根据国际标准化组织的定义，信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。 信息安全是任何国家、政府、部门、行业都必须十分重视的问题，是一个不容忽视的国家安全战略。但是，对于不同的部门和行业来说，其对信息安全的要求和重点却是有区别的 Company Logo 信息安全的实现目标 真实性：对信息的来源进行判断，能对伪造来源的信息予以鉴别。 保密性：保证机密信息不被窃听，或窃听者不能了解信息的真实含义。 完整性：保证数据的一致性，防止数据被非法用户篡改。 可用性：保证合法用户对信息和资源的使用不会被不正当地拒绝。 不可抵赖性：建立有效的责任机制，防止用户否认其行为，这一点在电子商务中是极其重要的。 可控制性：对信息的传播及内容具有控制能力。 可审查性：对出现的网络安全问题提供调查的依据和手段 Company Logo Contents 什么是信息安全 1 为什么需要信息安全 2 典型信息安全案例分析 3 安全基本原则 4 Company Logo 各种威胁方的分布百分比 Company Logo 各种威胁方的分布百分比 独立黑客：黑客攻击越来越频繁，直接影响企业正常的业务运作！ 内部员工： 1、信息安全意识薄弱的员工误用、滥用等； 2、越权访问，如：系统管理员，应用管理员越权访问数据； 3、政治言论发表、非法站点的访问等； 4、内部不稳定、情绪不满的员工。如：员工离职带走企业秘密，尤其是企业内部高层流动、集体流动等！ 竞争对手：法制环境不健全，行业不正当竞争（如：窃取机密，破坏企业的业务服务）！ 国外政府或机构：法制环境不健全，行业不正当竞争（如：窃取机密，破坏企业的业务服务）！ Company Logo 企业面临的主要信息安全问题 人员问题： 信息安全意识薄弱的员工误操作、误设置造成系统宕机、数据丢失，信息泄漏等问题 特权人员越权访问，如：系统管理员，应用管理员越权访问、传播敏感数据 内部员工和即将离职员工窃取企业秘密，尤其是骨干员工流动、集体流动等 技术问题： 病毒和黑客攻击越来越多、爆发越来越频繁，直接影响企业正常的业务运作 法律方面 网