信息安全管理提綱匯總課件

1、信息安全管理內(nèi)容提綱:信息安全概述信息安全管理基礎(chǔ)信息安全等級保護與風(fēng)險評估信息安全管理信息安全監(jiān)督第一章 信息安全概述一、前言 二、信息與信息安全 三、信息安全政策四、信息安全法律體系一、前言：危機就在身邊案例1：信用卡賬戶資料被盜的事件 年月，美國發(fā)生了一起萬個信用卡賬戶資料被盜的事件，這是有史以來最嚴(yán)重的信息安全案件。隨著美國聯(lián)邦調(diào)查局介入調(diào)查，更多的細節(jié)被披露。原來，漏洞出在為萬事達、維薩和美國運通卡等主要信用卡進行數(shù)據(jù)處理服務(wù)的卡系統(tǒng)公司，它的網(wǎng)絡(luò)上被惡意黑客植入了木馬程序由于這種心態(tài)的普遍存在，世界上平均每分鐘就有兩家企業(yè)因為信息安全問題倒閉，有個企業(yè)因為信息安全問題造成大約多萬美

2、元的直接經(jīng)濟損失這也許出乎人們的意料，但卻是事實。案例2：病毒郵件 “表哥，你最近還好嗎？ 知道我是誰嗎 ？看了我的相片你就知道了!”這是在上海某銀行上班的楊先生收到一封郵件，誰知郵件還未打開，電腦出現(xiàn)了黑屏。楊先生還沒有弄清是哪個“表妹”發(fā)來的玉照便丟失了大量銀行保密資料，給單位造成的損失無法估量?！耙孕畔⒒瘞庸I(yè)化，大力發(fā)展信息產(chǎn)業(yè)” 網(wǎng)絡(luò)與信息系統(tǒng)成為國家的關(guān)鍵基礎(chǔ)施舍。存在的問題： 網(wǎng)絡(luò)攻擊，病毒傳播，垃圾郵件 網(wǎng)絡(luò)盜竊、詐騙、敲詐勒索、竊密等 網(wǎng)上色情、暴力 對通信、金融、能源、交通等基礎(chǔ)設(shè)施的 影響 境內(nèi)外敵對勢力利用網(wǎng)絡(luò)搞破壞信息安全已經(jīng)上升為事關(guān)國家經(jīng)濟安全、社會穩(wěn)定的全局性

3、戰(zhàn)略問題，是國家安全的重要組成部分。信息安全先進技術(shù)防患意識完美流程嚴(yán)格的制度優(yōu)秀的執(zhí)行團隊法律保障二、信息與信息安全（一）信息與信息資產(chǎn) 信息就是信息，不是物質(zhì)，也不是能量廣義上：是任何一個事物的運動狀態(tài)以及運動狀態(tài)形成的變化，它是一種客觀存在。狹義上：指信息接受主體所感覺到并能被理解的東西。特點：信息與接受對象以及要達到的目的有關(guān)。 信息的價值與接受信息的對象有關(guān)。 信息有多種多樣的傳遞手段。 信息在使用中不僅不會被消耗掉，還可以復(fù)制。ISO 13335信息技術(shù)安全管理指南：信息是通過在數(shù)據(jù)上施加某些約定而賦予這些數(shù)據(jù)特殊含義，信息是無形的，也是一種重要資產(chǎn)，具有價值，需要保護。（二）信息

4、安全信息安全的基本屬性：保密性、完整性、可用性。 保密性：確保信息在存儲、使用、傳輸過程中不會泄漏給非授權(quán)的用戶或者實體。 完整性：確保信息在存儲、使用、傳輸過程中不被非授權(quán)用戶篡改；防止授權(quán)用戶對信息進行不恰當(dāng)?shù)拇鄹?；確保信息的內(nèi)外一致性。 可用性：確保授權(quán)用戶或者實體對于信息及資源的正常使用不被異常拒絕，允許其可靠而且及時地訪問信息及資源。1、信息安全的發(fā)展 通信保密階段：關(guān)注通信內(nèi)容的保密性 信息安全階段（信息安全三元組CIA） 信息保障階段2、信息安全的定義 ISO （國際標(biāo)準(zhǔn)化組織）關(guān)于信息安全的定義：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護，保護計算機硬件、軟件和數(shù)據(jù)不因偶然

5、和惡意的原因遭到破壞、更改和泄露。信息安全保護的對象：信息資產(chǎn)信息安全的目標(biāo)就是保密性、完整性和可用性實現(xiàn)信息安全目標(biāo)的途徑：技術(shù)措施+管理措施3、信息安全模型： PDR 模型：第一個從時間關(guān)系描述一個信息系統(tǒng)是否安全的模型。 PPDRR模型：一個完整的信息安全保障體系4、信息安全保障體系（以安全策略為指導(dǎo)） 安全技術(shù)體系 安全組織與管理體系 運行保障體系保護Protect檢測Detect恢復(fù)Restore反應(yīng)React策略Policy三、信息安全政策（一）我國信息化發(fā)展戰(zhàn)略與安全保障工作 1、信息化發(fā)展戰(zhàn)略 2006年，我國發(fā)布了20062020年國家信息化發(fā)展戰(zhàn)略 2、信息安全保障工作 原

6、則：（二）美國信息安全國家戰(zhàn)略 1、出臺背景 2、主要內(nèi)容 3、作用與影響（三）俄羅斯信息安全學(xué)說 1、背景 2、內(nèi)容四、信息安全法律體系（一）我國信息安全法律體系 1、體系結(jié)構(gòu) 2、信息系統(tǒng)安全立法的必要性和緊迫性（二）法律、法規(guī)介紹1、刑法相關(guān)內(nèi)容2、治安管理處罰法相關(guān)內(nèi)容第二章 信息安全管理基礎(chǔ)實現(xiàn)信息安全要依靠技術(shù)措施和管理措施的統(tǒng)一，甚至“三分技術(shù)、七分管理”一、信息安全管理體系二、信息安全管理標(biāo)準(zhǔn)三、信息安全策略一、信息安全管理體系（一）信息安全管理體系定義（二）信息安全管理體系的基本原則 1、主要領(lǐng)導(dǎo)負(fù)責(zé)原則 2、規(guī)范定級原則 3、以人為本原則 4、適度安全原則 5、全面防范、突

7、出重點原則 6、系統(tǒng)、動態(tài)原則 7、控制社會影響原則安全管理策略：分權(quán)制衡，最小特權(quán)，選用成熟技術(shù)，普遍參與（三）信息安全管理體系構(gòu)成 二、信息安全管理標(biāo)準(zhǔn)（一）BS7799（被信息界喻為“滴水不漏的信息安全管理標(biāo)準(zhǔn)”） 1、發(fā)展歷程BS7799是英國標(biāo)準(zhǔn)協(xié)會（British Standards Institute，BSI）于1995年2月制定的信息安全管理標(biāo)準(zhǔn)，分兩個部分，其第一部分于2000年被ISO組織采納，正式成為ISO/IEC 17799標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)2005年經(jīng)過最新改版，發(fā)展成為ISO/IEC 17799:2005標(biāo)準(zhǔn)。BS7799標(biāo)準(zhǔn)的第二部分經(jīng)過長時間討論修訂，也于2005年成

8、為正式的ISO標(biāo)準(zhǔn)，即ISO/IEC 27001:2005。 2、內(nèi)容組成BS7799-1(ISO/IEC17799):信息安全管理實施細則BS7799-2(ISO/IEC27001):信息安全管理系統(tǒng)規(guī)范BS77993、 BS7799-1(ISO/IEC17799)（1）定義了11個方面，39個控制目標(biāo)，133項控制措施，供信息安全管理體系實施者參考使用：BS77993、 BS7799-1(ISO/IEC17799)（2）安全策略：包括信息安全策略的制訂和管理，例如復(fù)查和評估組織安全：包括建立信息安全管理組織機構(gòu)，明確信息安全責(zé)任，第三方和外包安全資產(chǎn)分類與控制：包括建立資產(chǎn)清單、進行信息分

9、類與分級人員安全：包括崗位安全責(zé)任和人員錄用安全要求，安全教育與培訓(xùn)，安全事件的響應(yīng)BS77993、 BS7799-1(ISO/IEC17799)（3）物理與環(huán)境安全：包括安全區(qū)域控制、設(shè)備安全管理等通信與操作管理：包括操作程序和責(zé)任，系統(tǒng)規(guī)劃和驗收，防范惡意軟件，內(nèi)務(wù)管理，網(wǎng)絡(luò)管理，介質(zhì)安全管理，信息與軟件交換安全訪問控制：包括訪問控制策略，用戶訪問控制，網(wǎng)絡(luò)訪問控制，操作系統(tǒng)訪問控制，應(yīng)用訪問控制，監(jiān)控與審計，移動和遠程訪問BS77993、 BS7799-1(ISO/IEC17799)（4）系統(tǒng)開發(fā)與維護：安全需求分析，安全機制設(shè)計（應(yīng)用系統(tǒng)安全，密碼控制，系統(tǒng)文件安全），開發(fā)和支持過程的

10、安全控制業(yè)務(wù)連續(xù)性管理：業(yè)務(wù)連續(xù)性計劃的制訂，演習(xí)，審核，改進符合性管理：符合法律法規(guī)，符合安全策略等BS77994、 BS7799-2/ISO 27001（1）信息安全管理體系規(guī)范(Specification for Information Security Management System)說明了建立、實施、維護，并持續(xù)改進ISMS的要求指導(dǎo)實施者如何利用BS7799-1來建立一個有效的ISMSBSI提供依據(jù)BS7799-2所建立ISMS的認(rèn)證三、信息安全策略 （一）信息安全策略概述 1、定義 三原則：確定性、完整性、有效性 2、安全策略包括：總體方針，指導(dǎo)性的戰(zhàn)略綱領(lǐng)文件，闡明了企業(yè)對

11、于信息安全的看法和立場、信息安全的目標(biāo)和戰(zhàn)略、信息安全所涉及的范圍、管理組織構(gòu)架和責(zé)任認(rèn)定、以及對于信息資產(chǎn)的管理辦法等內(nèi)容針對特定問題的具體策略，闡述了企業(yè)對于特定安全問題的聲明、立場、適用辦法、強制要求、角色、責(zé)任認(rèn)定等內(nèi)容針對特定系統(tǒng)的具體策略，更為具體和細化，闡明了特定系統(tǒng)與信息安全有關(guān)的使用和維護規(guī)則等內(nèi)容 3、安全策略的特點：力求全面和明確，不必過于具體和深入需要一個逐漸完善的過程，不可能一蹴而就應(yīng)當(dāng)保持適當(dāng)?shù)姆€(wěn)定性4、制定信息安全策略的時間5、制定信息安全策略的原則6、信息安全策略主要幾個方面 （1）物理安全策略 （2）網(wǎng)絡(luò)安全策略 （3）數(shù)據(jù)加密策略 （4）數(shù)據(jù)備份策略 （5）

12、病毒防護策略 （6）系統(tǒng)安全策略 （7）身份認(rèn)證及授權(quán)策略 （8）災(zāi)難恢復(fù)策略 （9）事故處理、緊急響應(yīng)策略 （10）安全教育策略 （11）口令管理策略 （12）補丁管理策略 （13）系統(tǒng)變更控制策略 （14）商業(yè)伙伴、客戶關(guān)系策略 （15）復(fù)查審計策略（二）口令策略 1、所有活動賬號都必須有口令保護。2、生成賬號時，系統(tǒng)管理員應(yīng)分配給合法用戶一個唯一的口令，用戶在第一次登錄時應(yīng)更改口令。3、口令必須至少要含有8個字符。4、口令必須同時含有字母和非字母字符。5、必須定期用監(jiān)控工具檢查口令的強度和長度是否合格。6、口令不能和用戶名或者登錄名相同。7、口令必須至少60天更改一次。8、禁止重用口令。

13、9、必須保存至少12個歷史口令。10、口令不能通過明文電子郵件傳輸。11、所有供應(yīng)商的默認(rèn)口令必須更改。12、用戶應(yīng)在不同的系統(tǒng)中使用不同的口令。13、當(dāng)懷疑口令泄漏時必須予以更改。14、應(yīng)該控制登錄嘗試的頻率。（三）計算機病毒和惡意代碼防止策略1、應(yīng)當(dāng)建立全面網(wǎng)絡(luò)病毒查殺機制，實現(xiàn)全網(wǎng)范圍內(nèi)的病毒防治，抑止病毒的傳播。2、所有內(nèi)部網(wǎng)絡(luò)上的計算機在聯(lián)入內(nèi)部網(wǎng)絡(luò)之前，都應(yīng)當(dāng)安裝和配置殺毒軟件，并且通過管理中心進行更新，任何用戶不能禁用病毒掃描和查殺功能。3、所有內(nèi)部網(wǎng)絡(luò)上的計算機系統(tǒng)都應(yīng)當(dāng)定期進行完整的系統(tǒng)掃描。4、從外部介質(zhì)安裝數(shù)據(jù)和程序之前，或安裝下載的數(shù)據(jù)和程序之前，必須對其進行病毒掃描，

14、以防止存在病毒感染操作系統(tǒng)和應(yīng)用程序。5、第三方數(shù)據(jù)和程序在安裝到內(nèi)部網(wǎng)絡(luò)的系統(tǒng)之前，必須在隔離受控的模擬系統(tǒng)上進行病毒掃描測試。6、任何內(nèi)部用戶不能故意制造、執(zhí)行、傳播、或引入任何可以自我復(fù)制、破壞或者影響計算機內(nèi)存、存儲介質(zhì)、操作系統(tǒng)、應(yīng)用程序的計算機代碼7、應(yīng)當(dāng)指定專門的部門和人員，負(fù)責(zé)網(wǎng)絡(luò)病毒防治系統(tǒng)的管理維護。8、應(yīng)當(dāng)建立網(wǎng)絡(luò)病毒防治系統(tǒng)的管理規(guī)范，有效發(fā)揮病毒防治系統(tǒng)的安全效能。9、應(yīng)當(dāng)建立桌面系統(tǒng)病毒防治管理規(guī)范，約束和指導(dǎo)用戶在桌面系統(tǒng)上的操作行為，以及對殺毒軟件的配置和管理，達到保護桌面系統(tǒng)、抑止病毒傳播的目的。10、管理機構(gòu)應(yīng)當(dāng)定期對與病毒查殺有關(guān)安全管理制度的有效性和實施

15、狀況進行檢查，發(fā)現(xiàn)問題，進行改進。（四）、安全教育與培訓(xùn)策略第三章信息安全等級保護與風(fēng)險評估一、信息安全等級保護制度二、信息系統(tǒng)安全等級保護實施三、信息系統(tǒng)安全等級確定四、安全保護能力等級劃分 一、信息安全等級保護制度 （一）信息安全等級保護管理 不同的信息系統(tǒng)的重要性存在較大的差異，根據(jù)重要性的不同，進行有針對性的實施安全保護。1994年國務(wù)院發(fā)布計算機信息系統(tǒng)安全保護條例，第9條規(guī)定：“計算機信息系統(tǒng)實行安全等級保護”。1999年國家標(biāo)準(zhǔn)GB1785919992004年關(guān)于信息安全等級保護工作的實施意見 （二）信息系統(tǒng)安全等級劃分 第一級為自主保護級 第二級為指導(dǎo)保護級 第三級為監(jiān)督保護級

16、 第四級為強制保護級 第五級為?？乇Ｗo級 二、信息系統(tǒng)安全等級保護實施:等級保護的核心是對信息系統(tǒng)分等級、按標(biāo)準(zhǔn)進行建設(shè)、管理和監(jiān)督。三、信息系統(tǒng)安全等級確定（一）決定信息系統(tǒng)安全保護等級的因素 1、信息系統(tǒng)所屬類型，即信息系統(tǒng)資產(chǎn)的安全利益主體 2、信息系統(tǒng)主要處理的業(yè)務(wù)信息類型 3、信息系統(tǒng)服務(wù)范圍，包括服務(wù)對象和服務(wù)網(wǎng)絡(luò)覆蓋范圍 4、業(yè)務(wù)對信息系統(tǒng)的依賴程度 （二）確定信息系統(tǒng)安全保護等級的步驟 1、賦值 2、確定兩個等級 3、確定業(yè)務(wù)子系統(tǒng)等級 4、確定信息系統(tǒng)等級 （業(yè)務(wù)信息安全性 業(yè)務(wù)服務(wù)保證性）2、確定兩個指標(biāo)等級1、賦值3、確定業(yè)務(wù)子系統(tǒng)等級4、確定信息系統(tǒng)等級信息系統(tǒng)所屬類型

17、業(yè)務(wù)信息類型信息系統(tǒng)服務(wù)范圍業(yè)務(wù)依賴程度業(yè)務(wù)信息安全性取值選擇調(diào)節(jié)因子業(yè)務(wù)服務(wù)保證性取值業(yè)務(wù)子系統(tǒng)安全保護等級其他業(yè)務(wù)子系統(tǒng)信息系統(tǒng)安全保護等級業(yè)務(wù)信息安全性等級 業(yè)務(wù)服務(wù)保證性等級（三）信息系統(tǒng)安全保護等級的確定方法 1、確定業(yè)務(wù)信息安全性等級 2、確定業(yè)務(wù)服務(wù)保證性等級 業(yè)務(wù)信息類型賦值信息系統(tǒng)所屬類型賦值123112222333344信息系統(tǒng)服務(wù)范圍賦值業(yè)務(wù)依賴程度賦值1231123223433443、確定信息系統(tǒng)安全保護等級 業(yè)務(wù)子系統(tǒng)的安全保護等級由業(yè)務(wù)信息安全性等級和業(yè)務(wù)服務(wù)保證性等級教高者決定。信息系統(tǒng)的安全保護等級由各業(yè)務(wù)子系統(tǒng)的最高等級決定。信息系統(tǒng)服務(wù)的影響程度調(diào)節(jié)因子K信

18、息系統(tǒng)無法提供服務(wù)或無法提供有效服務(wù)會造成國家安全利益損失1.0K0.8信息系統(tǒng)無法提供服務(wù)或無法提供有效服務(wù)會造成較大范圍的公共利益損失0.8K0.5信息系統(tǒng)無法提供服務(wù)或無法提供有效服務(wù)會造成局部利益損失0.5K0業(yè)務(wù)服務(wù)保證性取值業(yè)務(wù)服務(wù)保證性取值K=L業(yè)務(wù)服務(wù)保證性等級22L1.62.0 L 1.412333L1.62.6 L 1.43.0 L 2.41234444L1.62.6 L 1.43.0 L 2.44.0 L 3.41234（四）定級案例分析：某省電力集團公司的省級電力實時監(jiān)控系統(tǒng)，主要用于調(diào)度自動化控制系統(tǒng)和能量管理系統(tǒng)，負(fù)責(zé)省級超高壓輸電變電站的調(diào)度控制和數(shù)據(jù)采集。系統(tǒng)實

19、時性要求極高，達到秒級。系統(tǒng)等級分析：（1）電力行業(yè)為國家重要基礎(chǔ)領(lǐng)域，該系統(tǒng)為其中的重要信息系統(tǒng)，其信息系統(tǒng)所屬類型賦值應(yīng)為2。（2）該系統(tǒng)信息屬企業(yè)專有信息，這些信息被破壞會對公共利益造成嚴(yán)重影響，其業(yè)務(wù)信息類型賦值為2。（3）查表知該系統(tǒng)的業(yè)務(wù)信息安全性等級為3級。（4）該系統(tǒng)為省內(nèi)企業(yè)和市民提供電力支持，其系統(tǒng)服務(wù)范圍賦值為2。（5）該系統(tǒng)對完整性和實時性要求極高，且無法采用手工作業(yè)替代，其業(yè)務(wù)依賴程度賦值應(yīng)為3。（6）查表知該系統(tǒng)的業(yè)務(wù)服務(wù)保證性取值為4。（7）考慮到電力系統(tǒng)關(guān)系國防和國民經(jīng)濟命脈，是國家重要基礎(chǔ)設(shè)施，該系統(tǒng)調(diào)節(jié)因子K可選為1，調(diào)節(jié)后該系統(tǒng)的業(yè)務(wù)服務(wù)保證性等級為4級。

20、（8）在業(yè)務(wù)信息安全性等級3級和業(yè)務(wù)服務(wù)保證性等級4級里面選擇級別較高的，最終該系統(tǒng)的安全保護等級為4級。 四、信息系統(tǒng)安全風(fēng)險評估 1、 定義 ：是指根據(jù)國家有關(guān)信息安全技術(shù)標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學(xué)評價的過程。 2、作用風(fēng)險評估是分析確定風(fēng)險的過程 3、戰(zhàn)略信息安全風(fēng)險評估是信息安全建設(shè)的起點和基礎(chǔ) 所有信息安全建設(shè)都應(yīng)該是基于信息安全風(fēng)險評估，只有在正確地、全面地理解風(fēng)險后，才能在控制風(fēng)險、減少風(fēng)險之間作出正確的判斷，決定調(diào)動多少資源、以什么樣的代價、采取什么樣的應(yīng)對措施去化解、控制風(fēng)險。 4、定量評估定量評估是將安全風(fēng)險的評估

21、完全量化，產(chǎn)生明確的數(shù)據(jù)估計，定量評估關(guān)注以下元素：（1）資產(chǎn)價值A(chǔ)V：信息資產(chǎn)的估價；（2）暴露因子EF：造成資產(chǎn)損失的程度；（3）單一損失期望SLE：單次資產(chǎn)損失的總值。（4）年度發(fā)生率ARO：全年發(fā)生的頻率。（5）年度損失期望ALE：全年資產(chǎn)損失的總值。其中：SLE=AVEF，ALE=SLEARO例如：一個公司投資50萬美元建立一個網(wǎng)絡(luò)運營中心，經(jīng)過評估，最大的風(fēng)險是發(fā)生火災(zāi)，每次火災(zāi)大概造成45%的資產(chǎn)損失，經(jīng)過統(tǒng)計，該地區(qū)每5年發(fā)生一次火災(zāi)，因此有以下計算過程：AV=50萬美元 EF=45% SLE=AVEF=22.5萬美元ARO =20% ALE=SLEARO =4.5萬美元 第四

22、章 信息安全管理一、信息安全組織管理二、信息安全人員管理三、信息安全制度管理四、互聯(lián)網(wǎng)安全管理五、重點單位信息安全管理六、計算機病毒防治管理七、應(yīng)急事件處理一、信息安全組織管理內(nèi)部消息安全管理組織包括：1、安全審查和決策機構(gòu)2、安全主管機構(gòu)3、安全運行維護機構(gòu)4、安全審計機構(gòu)5、安全培訓(xùn)機構(gòu)6、安全人員二、信息安全人員管理 （一）安全審查 網(wǎng)絡(luò)和信息系統(tǒng)的關(guān)鍵崗位人選的審查標(biāo)準(zhǔn)： （二）安全保密管理 保密辦法的制定 （三）安全教育與培訓(xùn) 培訓(xùn)內(nèi)容：1、基本安全教育 2、專業(yè)安全培訓(xùn) 3、高級安全培訓(xùn) （四）崗位安全考核 （五）離崗人員安全管理三、信息安全制度管理信息安全管理制度具體體現(xiàn)：1-1

23、21、安全策略與制定 2、安全風(fēng)險管理3、人員和組織安全管理 4、環(huán)境和設(shè)備安全管理5、網(wǎng)絡(luò)和通信安全管理 6、主機和系統(tǒng)安全管理7、應(yīng)用和業(yè)務(wù)安全管理 8、數(shù)據(jù)安全和加密管理9、項目工程安全管理 10、運行和維護安全管理11、業(yè)務(wù)連續(xù)性管理 12、合規(guī)性管理信息安全管理制度示例： 物理環(huán)境安全管理規(guī)范1-12 終端計算機安全使用規(guī)范 四、互聯(lián)網(wǎng)安全管理 1、概述 1996.2.1國務(wù)院計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)管理暫行規(guī)定 1997.12.11計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法 2005.12.13互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定 2、適用范圍 互聯(lián)網(wǎng)服務(wù)提供者，提供互聯(lián)網(wǎng)數(shù)據(jù)中小服務(wù)的單位，聯(lián)

24、網(wǎng)使用單位 3、禁止行為 4、安全保護職責(zé) 5、安全管理制度 6、安全技術(shù)措施 五、重點單位信息安全管理 （一）重點單位及其分類 我國信息網(wǎng)絡(luò)重點單位一共分為十二類 （二）重點單位信息安全管理 1、建立安全管理機構(gòu) 2、完善安全管理制度 3、落實安全管理措施 （三）涉密安全管理六、計算機病毒防治管理（一）計算機病毒的概念、分類和特點及傳播 1、計算機病毒的概念和分類 計算機病毒具有的基本要素： 計算機病毒分類方式： 2、計算機病毒的特點 A內(nèi)在特點： 傳染性 隱蔽性 潛伏性 破壞性 不可預(yù)見性 B新生特點： 感染速度快 擴散面廣 傳播的形式復(fù)雜多樣 難于徹底清除 破壞性大 3、計算機病毒傳播途徑 傳播方式有： 感染計算