信息安全管理教程.ppt

信息安全管理教程;第1章 信息安全概述 重点内容： 信息安全的含义及特性 信息安全政策和法律体系 ;一、 信息安全的含义及特性 1、信息安全定义 信息安全是指：信息安全是为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据因偶然、恶意的原因遭到破坏、更改和泄露。 2、特性 为保证网络信息的安全，安全系统要满足以下需求：保密性、完整性、可用性和不可否认性。 ; 2、特性 保密性：表示对信息开放范围的控制，指把信息按指定要求不泄露给非授权的个人、实体或过程，或提供其利用的特性，即杜绝有用信息泄露给非授权个人或实体，强调有用信息只为授权对象使用的特征。 完整性：要保证信息处于一种未受损的状态，指信息在传输、交换、存储和处理过程中保持非修改、非破坏和非丢失的特性，即保持信息原样性，使信息能正确生成、存储和传输。;可用性：是指网络信息可被授权实体正确访问，并按要求能正常使用或在非正常情况下能恢复使用的特征，即在系统运行时能正确存取所需信息，当系统遭受攻击或破坏时，能迅速恢复并能投入使用。可用性是衡量网络信息系统面向用户的一种安全性能。 不可否认性：指通信双方在信息交互过程中，确信参与者本身，及参与者所提供的信息的真实同一性，即所有参与者都不可能否认或抵赖本人的真实身份，以及提供信息的原样性和完成的操作与承诺。 ;二、信息安全政策和法律体系 1、信息安全政策 我国的信息化发展战略与安全保障工作 美国的信息安全国家战略 2、信息安全法律体系 法律体系结构 (1)法律体系 (2)政策体系 (3)强制性技术标准 相关法律、法规简介 ;习题;第2章 信息安全管理基础 重点内容： 信息安全管理体系 信息安全管理标准 信息安全策略 信息安全技术 ;一、信息安全管理体系 1、信息安全管理体系定义（P26第3段） 2、信息安全管理的基本原则（1）总体原则 主要领导负责原则 规范定级原则 以人为本原则 适度安全原则 全面防范原则 系统、动态原则 控制社会影响原则 （2）安全管理策略 分权制衡 最小特权 选用成熟技术 普遍参与 ;二、信息安全管理标准 1、BS 7799 （1） BS 7799标准概述（P33）（2） BS 7799标准主要内容 2、其他标准 如：PD 3000标准、CC标准和ISO/IEC TR 13335标准。;三、信息安全策略 主要的信息安全策略 （1）口令策略 （如：系统密码、网络入口密码等） （2）计算机病毒和恶意代码防治策略 （如：拒绝访问、病毒检测等） （3）安全教育和培训策略 （4）可接受使用策略AUP ;四、信息安全技术 （1）物理环境安全技术 包括三方面：环境安全、设备安全和媒体安全。 （2）通信链路安全技术 1、链路加密技术 2、远程拨号安全协议 （3）网络安全技术 1、防火墙 2、网络入侵 3、网络脆弱性分析 （4）系统安全技术 1、主机入侵检测 2、计算机病毒防治 （5）身份认证安全技术 1、动态口令认证 2、PKI证书认证技术;习题;第3章 信息安全等级保护与风险评估 重点内容： 信息系统安全等级划分 风险评估的方法与流程 ;一、信息安全等级保护制度 1、信息系统安全等级划分 （1） 第一级为自主保护级（2） 第二级为指导保护级 （3） 第三级为监督保护级（4） 第四级为强制保护级 （5） 第五级为专控保护级 2、信息系统安全等级保护相关标准（P77） （1）GB 17859-1999《计算机信息系统安全保护等级划分准则》。 （2）《信息系统安全等级保护实施指南》。;安全服务与安全机制之间的关系 ;二、信息系统安全风险评估 3、风险评估流程 （1）资产识别 （2）威胁识别 （3）脆弱性识别 （4）安全措施识别 （5）风险识别 4、风险评估的工具 （1）安全管理评价系统。 （2）信息基础设施风险评估工具。（3）风险评估辅助工具。;习题;第4章 信息安全管理 重点内容： 信息安全人员管理 信息安全制度管理 互联网安全管理 计算机病毒防治管理 ;一、信息安全人员管理 按照BS 7799安全管理标准，人员安全管理包括以下主要内容：  （1）安全审查 （2）安全保密管理 （3）安全教育与培训 （4）岗位安全考核 （5）离岗人员安全管理;二、信息安全制度管理 信息安全制度管理应该在以下方面具体体现 （1）安全策略与制度 （2）安全风险管理（3）人员和组织安全管理 （4）环境和设备安全管理（5）网络和通信安全管理 （6）主机和系统安全管理（7）数据安全和加密管理 （8）应用和业务安全管理（9）项目工