第一章信息安全管理(精品·公开课件).pptVIP

概 述 概 述 信息安全学是一门新兴的学科，2004年成为一门正式的本科专业，目前已经成为很多科研机构和大专院校的一个重要研究领域。 信息安全管理是随信息安全学科发展而产生的新的研究方向，主要讨论信息安全管理的内涵、内容、体系、实施过程以及信息安全管理相关的法规和标准。使得我们能够拟定简单的信息安全管理解决方案，应用信息安全管理手段构建简单的信息安全管理体系，解决实际安全问题。 参考图书 《信息安全概论 》 李俊宇，人民邮电出版社，2007.8 。 《信息安全管理平台理论与实践》，王代潮等，机械工业出版社，2007年。 《信息安全管理》，Michael E. Whitman 等，重庆大学出版社，2005.3 。 《密码学原理与实践（第二版）》Douglas R. Stinson，电子工业出版社，2003.2 。 1.1 信息安全 1、信息安全的定义 信息安全（ InfoSec）就是保护信息及其关键要素，包括使用、存储以及传输信息的系统和硬件。（基于美国国家安全系统委员会（ CNSS，Committee onNationalSecurity Systems）发布的标准。该委员会以前被称为国家安全通信以及信息系统安全委员会（ NSTISSC，NationalSecurity Telecommunications and InformationSystemsSecurity Committee）。 ） 2、信息安全的范围 信息安全管理（本学科） 计算机与数据安全 网络安全。 1.1 信息安全 信息安全的核心内容是有关信息安全的策略 。 1.1 信息安全 3、NSTISSC 安全模型 NSTISSC 安全模型，阐明了讨论信息安全问题的 3 维空间。如果我们将由这 3 个坐标轴所描绘的三维空间中的关系扩展开来，最终会得到一个被分割成 27 部分的 3 ×3 ×3 立方体。每一个被分割出来的立方体，都代表着三维空间中的一个交集，是信息系统安全问题所必须处理的。 （举例：表示技术、完整性以及存储的交集区域 ） 1.1 信息安全 4、信息安全的3种特性 机密性（confidentiality ） 完整性（integrity ） 可用性 （availability ） 机密性 信息的机密性确保了只有那些有足够权限并且经证实有这个需要的人，才能够访问该信息。为了保护信息的机密性，我们采取了一系列措施，包括： 信息分类 确保文档存储安全 运用一般的安全策略 对信息所有者和终端用户进行教育 使用密码技术 1.1 信息安全 完整性 完整性即指整体性（whole）、完全性（complete）以及未受侵蚀（uncorrupted）的特性或状态。一方面它指在信息使用、传输、存储的过程中不发生篡改、丢失、错误；另一方面是指信息处理方法的正确性（执行不正当的操作可能造成重要文件的丢失，甚至整个系统的瘫痪）。 当信息受到侵蚀（corruption）、损坏（damage）、毁坏（destruction）或其他干扰时，信息的完整性受到极大威胁。不当的编程甚至是传输信道或传输介质上的噪声都会使数据完整性受到损坏。 可用性 可用性也是信息的一种特性，在信息处于可用状态时， 信息及相关的信息资产在授权人需要的时候可以立即获得。 1.2 管理的基本概念 1、什么是管理 孔茨：管理就是设计和保持一种良好环境，使人在群体里高效率地完成既定目标。（管理追求效益效率） 彼得?F?德鲁克：归根到底，管理是一种实践，其本质不在于“知”而在于“行”，其验证不在于逻辑，而在于成果；其唯一权威就是成就。（管理强调结果 ） 法约尔：管理是所有的人类组织（不论是家庭、企业或政府）都有的一种活动，这种活动由五项要素组成：计划、组织、指挥、协调和控制。管理就是实行计划、组织、指挥、协调和控制。（管理是一个由计划、组织、人事、领导和控制组成的完整的过程） 1.2 管理的基本概念 2、管理活动的五个基本要素： 谁来管：管理主体，回答由谁管的问题； 管什么：管理客体，回答管什么的问题； 怎么管：组织的目的要求，回答如何管的问题； 靠什么管：组织环境或条件，回答在什么情况下管的问题。 管得怎么样：管理能力和效果，回答管理成效问题。 1.3 信息安全管理的内涵 1、信息安全管理的概念 信息安全管理是通过维护信息的机密性、完 整性和可用性等，来管理和保护信息资产的一项 体制，是对信息安全保障进行指导、规范和管理 的一系列活动和过程。 1.3 信息安全管理的内涵 2、信息安全管理的内容 安全方针和策略 组织安全 资产分类与控制 人员安全 物理与环境安全 通信、运行与操作安全 访问控制 系统获取、开发与维护 安全事故管理 业务持