信息安全管理概论.ppt

信息网络安全管理和技术人员继续教育培训 信息安全管理 （概论部分） 第一部分 信息安全管理概论 第一章 信息安全概述 第二章 信息安全管理基础 第一章 信息安全概述 第一节 信息与信息安全 第二节 信息安全政策 第三节 信息安全法律体系 信息及信息的价值 “真相的濒危甚于老虎的濒危” “放映的删节版《色,戒》，剧情不完整，侵犯消费者的公平交易权和知情权 ” “剧情”、“真相”等都是一种信息 信息、物质、能量是人类社会赖以生存和发展的三大要素 灾难备份——给银行数据信息上保险 公安部:超过一半单位发生过信息网络安全事件  第一章 信息安全概述 第一节 信息与信息安全 一、信息与信息资产 （一）信息的定义 广义：事物的运动状态以及运动状态形式的变化，是一种客观存在。（客观存在并不是区分真假信息的依据） 狭义：能被主体感觉到并被理解的东西（客观存在）。 本书的定义：通过在数据上施加某些约定而赋予这些数据的特殊含义。 信息安全资产的分类：信息具有价值，是一种资产。 第一节 信息与信息安全 信息资产分类 数据：存在于电子媒介的各种数据资料 软件：应用软件、系统软件、开发工具和资源库 硬件：计算机硬件、路由器、交换机、布线等 服务：操作系统、WWW、网络管理和安保等 文档：纸质文件、传真、财务报告、发展计划等 设备：电源、空调、门禁等 人员：雇主和各级雇员等 其他：企业形象、客户关系等（软资产） （二）信息的特点 信息与接受对象和要达到的目的有关 （感知和理解） 信息的价值与接受信息的对象有关 （信息的价值性） 信息有多种多样的传递手段 （约定的多样性） 信息的共享性 （可复制性） 二、信息安全 （一）信息安全的发展 三个阶段： 通讯保密阶段 重点是保密（点） 信息安全阶段 关注信息安全的三属性： 保密性 完整性 可用性（线、空间） 安全保障阶段 关注点有空间拓展到时间：策略、 保护、 检测、 响应、恢复（系统） （二）信息安全的定义 为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄漏 信息安全的三个主要问题： 1.保护对象 主要是硬件、软件、数据 2.安全目标 保密性、完整性、可用性 3.实现途径 技术和管理 　　 （三）信息安全三属性的含义（Pass） 保密性 完整性 可用性 （四）信息安全模型 1.PDR模型 Pt(protection)有效保护时间，信息系统的安全措施能够有效发挥保护作用的时间； Dt(detection)检测时间，安全监测机制能够有效发现攻击、破坏行为所需的时间； Rt(reaction)响应时间，安全机制作出反应和处理所需的时间。 安全公式 （1）Pt＞Dt+Rt， 系统安全 保护时间大于检测时间和响应时间之和； （2）Pt＜Dt+Rt, 系统不安全 信息系统的安全控制措施在检测和响应前就会失效，破坏和后果已经发生。 2.PPDRR模型：保护、检测、响应、恢复四环节在策略 的指导下 构成相互 作用的 有机体。 （五）信息安全保障体系 图表说明： 1.安全技术体系是整个安全体系的基础，包括安全基础设施平台、安全应用系统平台和安全综合管理平台； 安全基础设施平台从物理和通信安全防护、网络安全防护、主机系统安全防护、应用安全防护等多个层次出发，立足于现有的成熟的安全技术和安全机制，建立起防护体系。 安全应用系统平台处理安全基础设施与应用信息系统之间的关联和集成问题。通过使用安全基础设施平台所提供的各类安全服务，提升自身的安全等级，以更加安全的方式，提供业务服务和信息管理服务。 安全综合管理平台对安全机制和安全设备进行统一的管理和控制，负责维护和管理安全策略，配置管理相应的安全机制。促成各类安全手段能与现有的信息系统应用体系紧密地结合，是信息系统安全与信息系统应用一体化。 2.安全组织与管理体系 安全组织与管理体系的设计立足于总体安全策略，并与安全技术体系相配合增强防卫效果，弥补安全缺陷。 信息安全管理体系由若干信息安全管理类组成，每项信息安全管理类可分解为多个安全目标和安全控制。 3.运行保障体系 内容涵盖安全技术和安全管理紧密结合的部分，包括系统可靠性设计、系统数据额备份设计、安全时间的应急响应计划、安全审计、灾难恢复计划等 第二节 信息安全政策 一、我国信息化发展战略与安全保障工作 （