信息安全管理教程

1、信息安全管理教程課件第1頁，共27頁，2022年，5月20日，0點(diǎn)41分，星期一第1章 信息安全概述重點(diǎn)內(nèi)容：信息安全的含義及特性信息安全政策和法律體系第2頁，共27頁，2022年，5月20日，0點(diǎn)41分，星期一一、 信息安全的含義及特性1、信息安全定義 信息安全是指：信息安全是為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計算機(jī)硬件、軟件和數(shù)據(jù)因偶然、惡意的原因遭到破壞、更改和泄露。 2、特性 為保證網(wǎng)絡(luò)信息的安全，安全系統(tǒng)要滿足以下需求：保密性、完整性、可用性和不可否認(rèn)性。 第3頁，共27頁，2022年，5月20日，0點(diǎn)41分，星期一2、特性保密性：表示對信息開放范圍的控制，指把信息

2、按指定要求不泄露給非授權(quán)的個人、實(shí)體或過程，或提供其利用的特性，即杜絕有用信息泄露給非授權(quán)個人或?qū)嶓w，強(qiáng)調(diào)有用信息只為授權(quán)對象使用的特征。 完整性：要保證信息處于一種未受損的狀態(tài)，指信息在傳輸、交換、存儲和處理過程中保持非修改、非破壞和非丟失的特性，即保持信息原樣性，使信息能正確生成、存儲和傳輸。第4頁，共27頁，2022年，5月20日，0點(diǎn)41分，星期一可用性：是指網(wǎng)絡(luò)信息可被授權(quán)實(shí)體正確訪問，并按要求能正常使用或在非正常情況下能恢復(fù)使用的特征，即在系統(tǒng)運(yùn)行時能正確存取所需信息，當(dāng)系統(tǒng)遭受攻擊或破壞時，能迅速恢復(fù)并能投入使用。可用性是衡量網(wǎng)絡(luò)信息系統(tǒng)面向用戶的一種安全性能。 不可否認(rèn)性：指通

3、信雙方在信息交互過程中，確信參與者本身，及參與者所提供的信息的真實(shí)同一性，即所有參與者都不可能否認(rèn)或抵賴本人的真實(shí)身份，以及提供信息的原樣性和完成的操作與承諾。 第5頁，共27頁，2022年，5月20日，0點(diǎn)41分，星期一二、信息安全政策和法律體系1、信息安全政策我國的信息化發(fā)展戰(zhàn)略與安全保障工作美國的信息安全國家戰(zhàn)略 2、信息安全法律體系法律體系結(jié)構(gòu)(1)法律體系(2)政策體系(3)強(qiáng)制性技術(shù)標(biāo)準(zhǔn)相關(guān)法律、法規(guī)簡介 第6頁，共27頁，2022年，5月20日，0點(diǎn)41分，星期一習(xí)題1、信息安全經(jīng)歷了三個發(fā)展階段，以下_ B _不屬于這三個發(fā)展段。 A.通信保密階段B.加密機(jī)階段C.信息安全階段

4、D.安全保障階段2、信息系統(tǒng)常見的危險有_ABCD_。A.軟硬件設(shè)計故障導(dǎo)致網(wǎng)絡(luò)癱瘓B.黑客入侵C.敏感信息泄露D.信息刪除E.電子郵件發(fā)送3、數(shù)據(jù)在存儲過程中發(fā)生了非法訪問行為,這破壞了信息安全的_安全性_屬性。4、2000年1月，美國政府發(fā)布了保衛(wèi)美國的計算機(jī)空間保護(hù)信息系統(tǒng)的國家計劃。5、2000年12月28日第九屆全國人民代表大會常務(wù)委員會第十九次會議通過了關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定第7頁，共27頁，2022年，5月20日，0點(diǎn)41分，星期一第2章 信息安全管理基礎(chǔ)重點(diǎn)內(nèi)容：信息安全管理體系信息安全管理標(biāo)準(zhǔn)信息安全策略信息安全技術(shù)第8頁，共27頁，2022年，5月20日，0點(diǎn)41分，星期

5、一一、信息安全管理體系1、信息安全管理體系定義（P26第3段）2、信息安全管理的基本原則（1）總體原則 主要領(lǐng)導(dǎo)負(fù)責(zé)原則 規(guī)范定級原則 以人為本原則 適度安全原則 全面防范原則 系統(tǒng)、動態(tài)原則控制社會影響原則 （2）安全管理策略分權(quán)制衡最小特權(quán)選用成熟技術(shù)普遍參與 第9頁，共27頁，2022年，5月20日，0點(diǎn)41分，星期一二、信息安全管理標(biāo)準(zhǔn)1、BS 7799 （1） BS 7799標(biāo)準(zhǔn)概述（P33）（2）BS 7799標(biāo)準(zhǔn)主要內(nèi)容2、其他標(biāo)準(zhǔn)如：PD 3000標(biāo)準(zhǔn)、CC標(biāo)準(zhǔn)和ISO/IEC TR 13335標(biāo)準(zhǔn)。第10頁，共27頁，2022年，5月20日，0點(diǎn)41分，星期一三、信息安全策略

6、主要的信息安全策略 （1）口令策略（如：系統(tǒng)密碼、網(wǎng)絡(luò)入口密碼等）（2）計算機(jī)病毒和惡意代碼防治策略（如：拒絕訪問、病毒檢測等）（3）安全教育和培訓(xùn)策略（4）可接受使用策略AUP 第11頁，共27頁，2022年，5月20日，0點(diǎn)41分，星期一四、信息安全技術(shù)（1）物理環(huán)境安全技術(shù)包括三方面：環(huán)境安全、設(shè)備安全和媒體安全。（2）通信鏈路安全技術(shù)1、鏈路加密技術(shù)2、遠(yuǎn)程撥號安全協(xié)議（3）網(wǎng)絡(luò)安全技術(shù)1、防火墻2、網(wǎng)絡(luò)入侵3、網(wǎng)絡(luò)脆弱性分析（4）系統(tǒng)安全技術(shù)1、主機(jī)入侵檢測2、計算機(jī)病毒防治（5）身份認(rèn)證安全技術(shù)1、動態(tài)口令認(rèn)證2、PKI證書認(rèn)證技術(shù)第12頁，共27頁，2022年，5月20日，0點(diǎn)4

7、1分，星期一習(xí)題1、BS 7799是英國標(biāo)準(zhǔn)協(xié)會針對信息安全管理而指定的標(biāo)準(zhǔn)，最初發(fā)布于_B_A.1993B.1995C.1996D.19982、信息安全評測標(biāo)準(zhǔn)CC標(biāo)準(zhǔn)是_A_標(biāo)準(zhǔn)A.國際 B.美國C.中國D.英國3、按照BS 7799標(biāo)準(zhǔn),信息安全管理應(yīng)當(dāng)是一個持續(xù)改進(jìn)的周期性過程。 正確4、信息安全策略主要包含口令策略、計算機(jī)病毒和惡意代碼防治策略、安全教育和培訓(xùn)策略、可接受使用策略AUP。5、 用戶身份鑒別是通過_A_完成的。 A.口令驗(yàn)證 B.審計策略 C.存取控制D.查詢功能第13頁，共27頁，2022年，5月20日，0點(diǎn)41分，星期一第3章 信息安全等級保護(hù)與風(fēng)險評估重點(diǎn)內(nèi)容：信

8、息系統(tǒng)安全等級劃分風(fēng)險評估的方法與流程第14頁，共27頁，2022年，5月20日，0點(diǎn)41分，星期一一、信息安全等級保護(hù)制度1、信息系統(tǒng)安全等級劃分（1） 第一級為自主保護(hù)級（2）第二級為指導(dǎo)保護(hù)級（3）第三級為監(jiān)督保護(hù)級（4） 第四級為強(qiáng)制保護(hù)級（5） 第五級為專控保護(hù)級2、信息系統(tǒng)安全等級保護(hù)相關(guān)標(biāo)準(zhǔn)（P77）（1）GB 17859-1999計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則。（2）信息系統(tǒng)安全等級保護(hù)實(shí)施指南。第15頁，共27頁，2022年，5月20日，0點(diǎn)41分，星期一安全服務(wù)與安全機(jī)制之間的關(guān)系 二、信息系統(tǒng)安全風(fēng)險評估1、風(fēng)險評估模型（1）風(fēng)險評估要素關(guān)系模型（2）安全風(fēng)險計算模型

9、計算過程是：1、對信息資產(chǎn)進(jìn)行識別，對資產(chǎn)賦值；2、對威脅進(jìn)行分析，并對威脅發(fā)生的可能性賦值；3、識別信息資產(chǎn)的脆弱性，并對脆弱性的嚴(yán)重程度賦值；4、根據(jù)威脅和脆弱性計算安全事件發(fā)生的可能性；5、結(jié)合信息資產(chǎn)的重要性和該資產(chǎn)發(fā)生安全事件的可能性計算信息資產(chǎn)的風(fēng)險值。2、風(fēng)險評估的方法（1）自評估與他評估。（2）基線評估與詳細(xì)評估。（3）定量評估與定性評估。第16頁，共27頁，2022年，5月20日，0點(diǎn)41分，星期一二、信息系統(tǒng)安全風(fēng)險評估3、風(fēng)險評估流程（1）資產(chǎn)識別（2）威脅識別（3）脆弱性識別（4）安全措施識別（5）風(fēng)險識別4、風(fēng)險評估的工具（1）安全管理評價系統(tǒng)。（2）信息基礎(chǔ)設(shè)施風(fēng)險

10、評估工具。（3）風(fēng)險評估輔助工具。第17頁，共27頁，2022年，5月20日，0點(diǎn)41分，星期一習(xí)題1、1999年，我國發(fā)布的第一個信息安全等級保護(hù)的國家標(biāo)準(zhǔn)GB 178591999 ,提出將信息系統(tǒng)的安全等 級劃分為_D_個 等級，并提出每個級別的安全功能標(biāo)準(zhǔn)。 A.7 B.8 C.6 D.5 2、下列關(guān)于風(fēng)險的說法，_C_是錯誤的。 A.風(fēng)險是客觀存在的 B.導(dǎo)致風(fēng)險的外因是普遍存在的安全威脅 C.導(dǎo)致風(fēng)險的外因是普遍存在的安全脆弱性 D.風(fēng)險是指一種可能性 3、風(fēng)險管理的首要任務(wù)是_A_. A.風(fēng)險識別和評估 B.風(fēng)險轉(zhuǎn)嫁 C.風(fēng)險控制 D.接受風(fēng)險 4、如果一個信息系統(tǒng)，其業(yè)務(wù)信息安全

11、或業(yè)務(wù)服務(wù)保證性受到破壞后，會對社會秩序和 公共利益造成 一定損害，但不損害國家安全；本級系統(tǒng)依照國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，必要時，信息安全 監(jiān)督職能部門對其進(jìn)行指導(dǎo)，那么該信息系統(tǒng)屬于等級保護(hù)中的_C_. A.強(qiáng)制保護(hù)級B.監(jiān)督保護(hù)級C、指導(dǎo)保護(hù)級D.自主保護(hù)級 第18頁，共27頁，2022年，5月20日，0點(diǎn)41分，星期一第4章 信息安全管理重點(diǎn)內(nèi)容：信息安全人員管理信息安全制度管理互聯(lián)網(wǎng)安全管理計算機(jī)病毒防治管理第19頁，共27頁，2022年，5月20日，0點(diǎn)41分，星期一一、信息安全人員管理按照BS 7799安全管理標(biāo)準(zhǔn)，人員安全管理包括以下主要內(nèi)容：（1）安全審查（2）安全

12、保密管理（3）安全教育與培訓(xùn)（4）崗位安全考核（5）離崗人員安全管理第20頁，共27頁，2022年，5月20日，0點(diǎn)41分，星期一二、信息安全制度管理信息安全制度管理應(yīng)該在以下方面具體體現(xiàn)（1）安全策略與制度（2）安全風(fēng)險管理（3）人員和組織安全管理（4）環(huán)境和設(shè)備安全管理（5）網(wǎng)絡(luò)和通信安全管理（6）主機(jī)和系統(tǒng)安全管理（7）數(shù)據(jù)安全和加密管理（8）應(yīng)用和業(yè)務(wù)安全管理（9）項(xiàng)目工程安全管理（10）運(yùn)行和維護(hù)安全管理（11）業(yè)務(wù)連續(xù)性管理（12）符合性管理第21頁，共27頁，2022年，5月20日，0點(diǎn)41分，星期一三、互聯(lián)網(wǎng)安全管理互聯(lián)網(wǎng)安全管理主要從一些法律和法規(guī)上來規(guī)范：（1）、1996年

13、2月1日，國務(wù)院發(fā)布了計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定。（2）、1997年12月11日，公安部發(fā)布了計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法。（3）、2005年12月13日，公安部發(fā)布了互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定，2006年3月1日起實(shí)施。第22頁，共27頁，2022年，5月20日，0點(diǎn)41分，星期一四、計算機(jī)病毒防治管理1、計算機(jī)病毒的概念計算機(jī)病毒是指編制或在計算機(jī)程序中插入的破壞計算機(jī)功能或者毀壞數(shù)據(jù)，影響計算機(jī)使用，并自我復(fù)制的一組計算機(jī)指令或程序代碼。2、計算機(jī)病毒的特點(diǎn)（1）內(nèi)在特點(diǎn)1、傳染性2、隱蔽性3、潛伏性4、破壞性（2）新生特點(diǎn)1、感染速度快 2、擴(kuò)散面廣 3、傳播形式復(fù)雜

14、4、難于徹底清除 5、破壞性大3、計算機(jī)病毒的防治管理公安部依據(jù)計算機(jī)信息系統(tǒng)安全保護(hù)條例，于2004年4月制定并公布了計算機(jī)病毒防治管理辦法。第23頁，共27頁，2022年，5月20日，0點(diǎn)41分，星期一習(xí)題1、在互聯(lián)網(wǎng)上的計算機(jī)病毒呈現(xiàn)出的特點(diǎn)是_ABCD_。 A.與互聯(lián)網(wǎng)更加緊密地結(jié)合，利用一切可以利用的方式進(jìn)行傳播 B.具有多種特征，破壞性大大增強(qiáng) C.擴(kuò)散性極強(qiáng)，也更注重隱蔽性和欺騙性 D.針對系統(tǒng)漏洞進(jìn)行傳播和破壞 2、在信息安全管理中進(jìn)行安全教育培訓(xùn)，應(yīng)當(dāng)區(qū)分培訓(xùn)對象的層次和培訓(xùn)內(nèi)容，主要包括_ABE_。 A.高級管理層 B.關(guān)鍵技術(shù)崗位人員 C.第三方人員 D.外部人員 E.普

15、通計算機(jī)用戶 3、對于人員管理的描述錯誤的是_B_. A.人員管理是安全管理的重要環(huán)節(jié) B.安全授權(quán)不是人員管理的手段 C.安全教育是人員管理的有力手段 D.人員管理時，安全審查是必要的 4、信息安全管理中 _B_負(fù)責(zé)保證安全管理策略與制度符合更高層法律，法規(guī)的要求，不發(fā)生矛盾和 沖突。 A.組織管理 B.合規(guī)性管理 C.人員管理 D.制度管理 第24頁，共27頁，2022年，5月20日，0點(diǎn)41分，星期一第5章 信息安全監(jiān)管根據(jù)計算機(jī)違法案件的性質(zhì)界定，計算機(jī)案件包括：1、刑事違法案件依據(jù)計算機(jī)信息系統(tǒng)安全保護(hù)條例追究刑事責(zé)任。2、行政違法案件依據(jù)計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法，由公安機(jī)關(guān)給予行政處罰。第25頁，共27頁，2022年，5月20日，0點(diǎn)41分，星期一習(xí)題1、我國計算機(jī)信息系統(tǒng)實(shí)行_C_保護(hù)。 A.責(zé)任制 B.主任值班制 C.安全等級 D.專職人員資格 2、信息安全方針和策略包括_D_。 A.安全方針 資金投入管理 網(wǎng)絡(luò)安全規(guī)劃 B.安全方針 資金信息管理 信息安全規(guī)劃 C.安全方針 資金信息管理