信息安全基础培训教程.ppt

信息安全基础;目录;目录; 什么是信息;信息简介;信息简介;信息简介;信息简介;信息简介;信息简介;信息简介;信息简介;信息简介;信息简介;信息简介;信息简介;信息简介;信息简介;谢谢收看; 信息安全的CIA;信息安全概述;信息安全概述;信息安全的基本目标;CIA;CIA; 提起信息安全，人们最容易想到的就是计算机的病毒问题。不错，如今互联网成了感染病毒和间谍软件的最主要的媒介。单单是防毒问题，就足以让一个企业的IT部门忙个不停了。对一般的家庭用户，如何查毒防毒更是他们最经常问的问题。; 但是，信息安全不单是防毒查毒的问题。信息安全的中心问题是要能够保障信息的合法持有和使用者能够在任何需要该信息时获得保密的，没有被非法更改过的“原 装的”信息。在英文的文献中，信息安全的目的常常用Confidentiality (保密性), Integrity （完整性）, 和 Availability （可获得性）, 三个词概括。简而言之，叫CIA-Triad。（哈哈，跟美国中央情报局是一样的缩写，可是用不着那么紧张啦。） ; 关于信息的保密性，比较容易理解，就是具有一定保密程度的信息只能让有权读到或更改的人读到 和更改。不过，这里提到的保密信息，有比较广泛的外延：它可以是国家机密，是一个企业或研究机构的核心知识产权，是一个银行个人账号的用户信息，或简单到 你建立这个博客时输入的个人信息。因此，信息保密的问题是每一个能上网的人都要面对的。; 信息的完整性是指在存储或传输信息的过程中，原始的信息不能允许被随意更改。这种更改有可能是无意的错误，如输入错误，软件瑕疵，到有意的人为更改和破坏。在设计数据库以及其他信息存储和传输应用软件时，要考虑对信息完整性的校验和保障。;信息的可获得性是指，对于信息的合法拥有和使用者，在他们需要这些信息的任何时候，都应该保 障他们能够及时得到所需要的信息。比如，对重要的数据或服务器在不同地点作多处备份，一旦A处有故障或灾难发生，B处的备用服务器能够马上上线，保证信息 服务没有中断。一个很好的例子是：2001年的911摧毁了数家金融机构在世贸中心的办公室，可是多数银行在事件发生后的很短的时间内就能够恢复正常运 行。这些应归功于它们的备份，修复，灾难后的恢复工作做得好。;信息安全的核心就是data：要保障没有被破坏过的，原始的data能够及时地，安全地在它 的合法拥有者和使用者之间传递或存储，而不能被不该获得它们的人得到或更改。信息安全的工作就是要保障这些数据不被合法拥有和使用者以外的人窃取，篡改或 破坏，同时保障这些数据不会由于操作失误，机器故障，天灾人祸等被破坏。;谢谢收看; 信息安全目标; 某公司信息安全方针和目标;信息安全方针;信息安全管理机制;信息安全管理组织;信息安全管理组织;人员安全;人员安全;识别法律、法规、合同中的安全;风险评估;报告安全事件;监督检查;业务持续性;违反信息安全要求的惩罚;信息安全目标：;信息安全的目标;完整性(Integrity)是指防止信息被未经授权的篡改。它是保护信息保持原始的状态，使信息保持其真实性。如果这些信息被蓄意地修改、插入、删除等，形成虚假信息将带来严重的后果。 可用性(Usability)是指授权主体在需要信息时能及时得到服务的能力。可用性是在信息安全保护阶段对信息安全提出的新要求，也是在网络化空间中必须满足的一项信息安全要求。 可控性(Controlability)是指对信息和信息系统实施安全监控管理，防止非法利用信息和信息系统。 ;不可否认性(Non-repudiation)是指在网络环境中，信息交换的双方不能否认其在交换过程中发送信息或接收信息的行为。 信息安全的保密性、完整性和可用性主要强调对非授权主体的控制。而对授权主体的不正当行为如何控制呢? 信息安全的可控性和不可否认性恰恰是通过对授权主体的控制，实现对保密性、完整性和可用性的有效补充，主要强调授权用户只能在授权范围内进行合法的访问， 并对其行为进行监督和审查。 ;除了上述的信息安全五性外，还有信息安全的可审计性(Audiability)、可鉴别性 (Authenticity)等。信息安全的可审计性是指信息系统的行为人不能否认自己的信息处理行为。与不可否认性的信息交换过程中行为可认定性相比， 可审计性的含义更宽泛一些。信息安全的可见鉴别性是指信息的接收者能对信息的发送者的身份进行判定。它也是一个与不可否认性相关的概念。;信息安全主要目标之一是保护用户数据和信息安全;信息安全的主要目标之一是保护用户数据和信息安全。当向云计算过渡时，传统的数据安全方法将遭到云模式架构的挑战。弹性、多租户、新的物理和逻辑架构，以及抽象的控制需要新的数据安全策略。;云计算数据生命周期安全的关键挑战;数据删除或持