《信息安全概述》PPT课件.ppt

2001年11月22日 企业资源管理研究中心( AMT ) 用户口令的管理 对于要求设定口令的用户，由用户方指定负责人与系统管理员商定口令，由系统管理员登记并请用户负责人确认（签字或电话通知）之后系统管理员设定口令，并保存用户档案。 在用户由于责任人更换或忘记口令时要求查询口令或要求更换口令的情况下，需向网络服务管理部门提交申请单，由 部门负责人或系统管理员核实后，对用户档案做更新记载。 如果网络提供用户自我更新口令的功能，用户应自己定期更换口令，并设专人负责保密和维护工作。 2.4 信息安全策略 在创建口令时还要避免其他几个问题： 绝不要将个人信息用作口令的基础。任何了解您的人都可以轻易猜出这些口令。 不可将自己的偶像用于口令。避免将喜欢的球队或运动员用作口令的基础。 不要使用基于放在办公桌上的物品的口令。曾经有人在别人的办公桌上看到他女儿的照片，随后通过使用他女儿的名字闯入了这个人的服务器。 不要将口令文件保存在本地机器或共享的网络上。 2.4 信息安全策略 创建有效口令的一些通用规则： 保存口令唯一安全的地方是您的脑袋或上锁的保险箱，只有您知道这个保险箱的开箱口令组合。 有效口令必需相当长，但又不能长到您无法记住它们的程度。三个字符的口令太短了。 以合理的方式使用特殊字符、大写字母和数字。 2.4 信息安全策略 (2)计算机病毒和恶意代码防治策略 计算机病毒是一种能够通过改变其他程序而使它们“感染”的程序。 病毒防护策略必须具备下列准则： 拒绝访问能力 病毒检测能力 控制病毒传播的能力 清除能力 恢复能力 替代操作 2.4 信息安全策略 (3)安全教育与培训策略 在安全教育策略具体实施过程中应该有一定的层次性： 主管信息安全工作的高级负责人或各级管理人员：重点是了解、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部门的建立和管理制度的制定等。 负责信息安全运行管理及维护的技术人员：重点是充分理解信息安全管理策略，掌握安全评估的基本方法，对安全操作和维护技术的合理运用等。 用户：重点是学习各种安全操作流程，了解和掌握与其相关的安全策略，包括自身应该承担的安全职责等。 2.4 信息安全策略 6.信息安全策略的执行和维护 (1)信息安全策略的执行 当安全策略编写和批准发布之后，应当建立保障手段确保安全策略被有效遵守和执行，责任声明和惩罚制度是最重要的保障手段，它应该明确阐述违反安全策略的行为将要承担什么样的责任，接受哪些责任追究。 (2)信息安全策略的维护 信息安全策略审查周期通常为6个月或者1年，或者在企业、组织业务模式以及支撑业务实现的信息技术发生重大变化的时候进行。审查过程中最重要的内容是从风险评估或者日志审计分析中所获得的信息。 2.4 信息安全策略 1.物理环境安全技术 物理安全是计算机信息系统安全的保障，保证计算机信息系统各种设备的物理安全是保障整个信息系统安全的前提。 物理安全的技术层面： 环境安全：对系统所在环境的安全保护，如区域保护和灾难保护； 设备安全：主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等； 媒体安全：包括媒体数据的安全及媒体本身的安全。 2.5 信息安全技术 2.通信链路安全技术 (1) 数据链路层安全机制相关的标准有： 有关链路加密所使用的密码协议、密码算法、密钥管理的规定。 远程用户安全接入协议RADIUS。 (2) 远程拨号安全协议 拨号网络使用AAA技术，提供认证、授权、记账等功能，保护网络访问。通过PPP链路确认，使用PAP（密码认证协议）和CHAP（询问握手认证协议）以确保合法用户的访问。 2.5 信息安全技术 第二章 信息安全概述 信息安全管理 网络安全教学 第二章 信息安全概述 主要内容 1.重点和难点 信息安全；信息安全策略；信息安全技术 2.知识点 信息安全 信息安全模型、信息安全保障体系 信息安全政策、信息安全法律体系 信息安全策略、信息安全技术 1.信息 (1)信息的定义 ISO 13335《信息技术安全管理指南》是一部重要的国际标准，其中对信息给出了明确的定义：信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。 信息是无形的，借助于信息媒体以多种形式存在和传播；同时，信息也是一种重要资产，具有价值，需要保护。 2.1 信息与信息安全 (2)信息资产 2.1 信息与信息安全 企业形象、客户关系等 其他 各级雇员和雇主、合同方雇员等 人员 电源、空调、保险柜、文件柜、门禁、