信息资源安全技术.PPTVIP

本章重点 信息资源安全的内涵； 信息系统安全策略； 信息网络安全策略； 信息资源安全保障体系框架； 信息资源安全技术。 11.1 信息资源安全的内涵和意义 11.1.1 信息资源安全的内涵和特征 11.1.2 信息资源安全隐患 11.1.3 信息资源安全的意义 11.1.1 信息资源安全的内涵和特征 信息资源安全是指在信息的采集、传输、加工、存储和利用的全过程中，防止与这一过程相关的信息及其载体、各类硬件设备和软件等被非法破坏、窃取和使用。 信息资源安全包括信息系统安全和信息资源内容安全两方面，并以信息资源内容安全为最终目标。 信息资源安全通常包括以下6个要素： 信息的保密性:信息不被窃听或者窃听者不能了解信息的真实含义； 信息的完整性：信息不被修改、破坏和丢失； 信息的可用性：信息系统被授权用户使用，防止拒绝使用； 信息的可控性：授权机构可对信息内容和传播进行控制。 信息的不可否认性：参与方无法否认自己对数据的特定操作； 信息的可恢复性：信息系统在被破坏时能获得原有信息资源； 11.1.2 信息资源安全隐患 从技术层面看信息安全（客观角度） 物理安全：网络与信息系统的物理装备及其有关信息的安全； 运行安全：网络与信息系统的运行过程和运行状态的安全； 数据安全：数据的生成、处理、传输和存储等环节中的安全； 内容安全：非授权信息在网络上进行传播的安全； 信息对抗：信息利用的对抗； 从社会层面看信息资源安全（主观角度） 舆论文化：网络信息广泛传播，难以控制，国家舆论管制平衡被打破； 社会行为：针对信息及信息系统进行违法犯罪的行为； 技术环境：信息系统自身存在安全隐患而不能承受网络攻击。 11.1.3 信息资源安全的意义 国家信息资源安全的意义 企业信息资源安全的意义 个人信息资源安全的意义 11.2 信息资源安全策略 11.2.1 信息资源安全策略规划 11.2.2 信息系统安全策略 11.2.3 信息网络安全策略 11.2.1 信息资源安全策略规划 信息资源安全策略的内涵和特点 是为发布、管理和保护敏感的信息资源而制定的一组法律、法规和措施的总和，是对信息资源使用和对管理规则的正式描述。 安全策略在制定时必须兼顾内容上的可理解性、技术上的可实现性和实际操作上的可执行性。 包括7个特征：指导性、原则性、可审核性、非技术性、现实可行性、动态性、文档化。 信息资源安全策略的构成 信息资源安全方针：信息资源安全委员会或管理机构制定的一个权威性文件，用于指导组织如何对信息资产进行管理、保护和分配的规则和指示。 具体的信息资源安全策略：明确具体的信息资源安全实施规则，包括信息安全的内容等级、目标、任务和限制。 信息资源安全策略的制定原则和过程 原则 选择先进的网络安全技术 进行严格的安全管理 完整性原则 动态性原则 最小特权原则 实施全面防御 一致性原则 运行失效保护 制定与信息资源安全相关的法律和法规 适度复杂与经济原则 信息资源安全策略的制定原则和过程 过程步骤 理解组织业务特征 得到管理层的明确支持和承诺 组建安全策略制定小组 确定信息资源安全整体目标 确定安全策略范围 风险评估与选择安全控制 起草拟定安全策略 评估安全策略 实施安全策略 政策的持续改进 11.2.2 信息系统安全策略 信息系统安全是指系统资源和信息资源不被非授权地伪造、篡改和泄露，避免任何内部或外部非法的入侵、盗用和欺骗。 信息系统的安全策略主要包括法规保护、行政管理、安全教育和技术措施4个方面。 信息系统安全技术策略包括： 环境与实体安全策略 计算机放置地点和设施结构 空气调节系统 计算机机房的防火机制 电源与供电 接地机制 硬件保护机制 设备安全管理机制 媒介安全管理机制 数据安全 数据加密策略 数据备份策略 软件安全 操作系统安全策略 软件系统安全策略 数据库安全策略 运行安全 系统评价 系统运行安全检查 系统变更管理 建立系统运行文档和管理制度 11.2.3 信息网络安全策略 信息网络安全的定义及分类 信息网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的影响而遭到破坏、更改、泄露，使系统能够连续、可靠和正常地运行，服务不中断。 在不同的环境和应用中的网络安全包括： 运行系统安全 网络上系统信息的安全 网络上信息传播的安全 网络上信息内容的安全 信息网络安全问题的根源 常见的信息网络安全问题表现为：网站被黑、数据被改、数据被盗、越权浏览、非法删除、病毒入侵和系统故障等。 当前突出的信息网络安全问题主要来源于： 全社会对信息网络安全的重视程度不够 相关的法律和法规不健全 缺乏必要的溯源能力 缺乏必要的管理经验 缺乏有效的国家合作 信息网络的安全策略 物理安全策略 网络安全策略 采取内外网隔离及访问控制系统策略 采取网络安