信息安全管理[精品ppt课件].pptx

;;;第一章 信息安全概述;第一节 信息与信息安全;（二）信息的特点 信息与接受对象和要达到的目的有关 （感知和理解） 信息的价值与接受信息的对象有关 （信息的价值性） 信息有多种多样的传递手段 （约定的多样性） 信息的共享性 （可复制性） ;;（二）信息安全的定义 为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄漏 信息安全的三个主要问题： 1.保护对象 主要是硬件、软件、数据 2.安全目标 保密性、完整性、可用性 3.实现途径 技术和管理 　　;;（四）信息安全模型 1.PDR模型 Pt(protection)有效保护时间，信息系统的安全措施能够有效发挥保护作用的时间； Dt(detection)检测时间，安全监测机制能够有效发现攻击、破坏行为所需的时间； Rt(reaction)响应时间，安全机制作出反应和处理??需的时间。;安全公式 （1）Pt＞Dt+Rt， 系统安全 保护时间大于检测时间和响应时间之和； （2）Pt＜Dt+Rt, 系统不安全 信息系统的安全控制措施在检测和响应前就会失效，破坏和后果已经发生。; 2.PPDRR模型：保护、检测、响应、恢复四环节在策略 的指导下 构成相互 作用的 有机体。 ; （五）信息安全保障体系;;; 安全应用系统平台处理安全基础设施与应用信息系统之间的关联和集成问题。通过使用安全基础设施平台所提供的各类安全服务，提升自身的安全等级，以更加安全的方式，提供业务服务和信息管理服务。; 安全综合管理平台对安全机制和安全设备进行统一的管理和控制，负责维护和管理安全策略，配置管理相应的安全机制。促成各类安全手段能与现有的信息系统应用体系紧密地结合，是信息系统安全与信息系统应用一体化。 ; 2.安全组织与管理体系 安全组织与管理体系的设计立足于总体安全策略，并与安全技术体系相配合增强防卫效果，弥补安全缺陷。 信息安全管理体系由若干信息安全管理类组成，每项信息安全管理类可分解为多个安全目标和安全控制。;3.运行保障体系 内容涵盖安全技术和安全管理紧密结合的部分，包括系统可靠性设计、系统数据额??份设计、安全时间的应急响应计划、安全审计、灾难恢复计划等;第二节 信息安全政策;（二）信息安全保障工作 国务院《关于加强信息安全保障工作的意见》 加强信息安全保障工作须遵循的原则 立足国情，以我为主，坚持管理和技术并重；正确处理安全与发展的关系，以安全保发展，从发展中求安全；统筹规划，突出重点，强化基础性工作；明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。;处理好发展与建设的关系 正确处理发展与安全的关系 坚持以改革开放求安全 坚持管理与技术并重 坚持统筹兼顾、重点突出 ;二、美国信息安全国家战略 简介： 1998年5月美国政府颁发了《保护美国关键基础设施》总统令，围绕信息安全成立多个组织。 1998年美国国家安全局制定了《信息保障技术框架》提出了“深度防御策略”，确定了包括网络与基础设施防御、区域边界防御、计算机环境防御等深度防御在内的目标。;;背景： 美国是第一信息大国，对信息的依赖是其脆弱性的重要根源 由大量信息系统组成的国家信息基础结构，已成为美国经济的命脉和国家的生命线，也成为容易受到攻击的高价值目标 系统的安全漏洞、黑客的猖獗 80年代以来，美国政府陆续发布若干制度，拥有最关键系统的政府部门被指定为第一批实施信息安全保护计划的要害部门，力图实现三个目标：准备和预防、侦查和反应、建立牢固的基础设施 ;《确保网络空间安全的国家战略》作用与影响: 1、确保网络安全已经被提升为美国国家安全战略的一个重要组成部分； 2、是美国在9.11之后为确保网络安全而采取的一系列举措中的核心步骤； 3、强调社会力量对网络安全进行全民防御，重视与企业和地方政府合作，重视发挥院校和科研机构力量，重视人才培养和公民安全意识教育。;三、俄罗斯信息安全学说 2000年6月《国家信息安全学说》第一次明确指出了俄罗斯在信息领域的利益、威胁是什么，以及保卫措施。 （一）背景 科索沃战争、爱虫病毒的爆发是催化剂 ;（二）内容 1、保证信息安全是国家利益的要求 2、保证信息安全的方法 3、国家在保证信息安全时应采取的基本原则 4、信息安全的组织基础 此外，信息安全学说还对信息威胁做了评估，论证了信息斗争的打击目标和打击手段。;;第三节 信息安全法律体系;（二）信息系统安全保护法律规范的法律地位 1、信息系统安全立法的必要性和紧迫性 2、信息系统安全保护法律规范的作用 违反国家规定，侵入国家事务、国防建设、尖端科学技术领域