信息安全管理教程

1、信息安全管理教程課件第1頁(yè)，共27頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一第1章 信息安全概述重點(diǎn)內(nèi)容：信息安全的含義及特性信息安全政策和法律體系第2頁(yè)，共27頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一一、 信息安全的含義及特性1、信息安全定義 信息安全是指：信息安全是為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)因偶然、惡意的原因遭到破壞、更改和泄露。 2、特性 為保證網(wǎng)絡(luò)信息的安全，安全系統(tǒng)要滿足以下需求：保密性、完整性、可用性和不可否認(rèn)性。 第3頁(yè)，共27頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一2、特性保密性：表示對(duì)信息開(kāi)放范圍的控制，指把信息

2、按指定要求不泄露給非授權(quán)的個(gè)人、實(shí)體或過(guò)程，或提供其利用的特性，即杜絕有用信息泄露給非授權(quán)個(gè)人或?qū)嶓w，強(qiáng)調(diào)有用信息只為授權(quán)對(duì)象使用的特征。 完整性：要保證信息處于一種未受損的狀態(tài)，指信息在傳輸、交換、存儲(chǔ)和處理過(guò)程中保持非修改、非破壞和非丟失的特性，即保持信息原樣性，使信息能正確生成、存儲(chǔ)和傳輸。第4頁(yè)，共27頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一可用性：是指網(wǎng)絡(luò)信息可被授權(quán)實(shí)體正確訪問(wèn)，并按要求能正常使用或在非正常情況下能恢復(fù)使用的特征，即在系統(tǒng)運(yùn)行時(shí)能正確存取所需信息，當(dāng)系統(tǒng)遭受攻擊或破壞時(shí)，能迅速恢復(fù)并能投入使用?？捎眯允呛饬烤W(wǎng)絡(luò)信息系統(tǒng)面向用戶的一種安全性能。 不可否認(rèn)性：指通

3、信雙方在信息交互過(guò)程中，確信參與者本身，及參與者所提供的信息的真實(shí)同一性，即所有參與者都不可能否認(rèn)或抵賴(lài)本人的真實(shí)身份，以及提供信息的原樣性和完成的操作與承諾。 第5頁(yè)，共27頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一二、信息安全政策和法律體系1、信息安全政策我國(guó)的信息化發(fā)展戰(zhàn)略與安全保障工作美國(guó)的信息安全國(guó)家戰(zhàn)略 2、信息安全法律體系法律體系結(jié)構(gòu)(1)法律體系(2)政策體系(3)強(qiáng)制性技術(shù)標(biāo)準(zhǔn)相關(guān)法律、法規(guī)簡(jiǎn)介 第6頁(yè)，共27頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一習(xí)題1、信息安全經(jīng)歷了三個(gè)發(fā)展階段，以下_ B _不屬于這三個(gè)發(fā)展段。 A.通信保密階段B.加密機(jī)階段C.信息安全階段

4、D.安全保障階段2、信息系統(tǒng)常見(jiàn)的危險(xiǎn)有_ABCD_。A.軟硬件設(shè)計(jì)故障導(dǎo)致網(wǎng)絡(luò)癱瘓B.黑客入侵C.敏感信息泄露D.信息刪除E.電子郵件發(fā)送3、數(shù)據(jù)在存儲(chǔ)過(guò)程中發(fā)生了非法訪問(wèn)行為,這破壞了信息安全的_安全性_屬性。4、2000年1月，美國(guó)政府發(fā)布了保衛(wèi)美國(guó)的計(jì)算機(jī)空間保護(hù)信息系統(tǒng)的國(guó)家計(jì)劃。5、2000年12月28日第九屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第十九次會(huì)議通過(guò)了關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定第7頁(yè)，共27頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一第2章 信息安全管理基礎(chǔ)重點(diǎn)內(nèi)容：信息安全管理體系信息安全管理標(biāo)準(zhǔn)信息安全策略信息安全技術(shù)第8頁(yè)，共27頁(yè)，2022年，5月20日，0點(diǎn)41分，星期

5、一一、信息安全管理體系1、信息安全管理體系定義（P26第3段）2、信息安全管理的基本原則（1）總體原則 主要領(lǐng)導(dǎo)負(fù)責(zé)原則 規(guī)范定級(jí)原則 以人為本原則 適度安全原則 全面防范原則 系統(tǒng)、動(dòng)態(tài)原則控制社會(huì)影響原則 （2）安全管理策略分權(quán)制衡最小特權(quán)選用成熟技術(shù)普遍參與 第9頁(yè)，共27頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一二、信息安全管理標(biāo)準(zhǔn)1、BS 7799 （1） BS 7799標(biāo)準(zhǔn)概述（P33）（2）BS 7799標(biāo)準(zhǔn)主要內(nèi)容2、其他標(biāo)準(zhǔn)如：PD 3000標(biāo)準(zhǔn)、CC標(biāo)準(zhǔn)和ISO/IEC TR 13335標(biāo)準(zhǔn)。第10頁(yè)，共27頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一三、信息安全策略

6、主要的信息安全策略 （1）口令策略（如：系統(tǒng)密碼、網(wǎng)絡(luò)入口密碼等）（2）計(jì)算機(jī)病毒和惡意代碼防治策略（如：拒絕訪問(wèn)、病毒檢測(cè)等）（3）安全教育和培訓(xùn)策略（4）可接受使用策略AUP 第11頁(yè)，共27頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一四、信息安全技術(shù)（1）物理環(huán)境安全技術(shù)包括三方面：環(huán)境安全、設(shè)備安全和媒體安全。（2）通信鏈路安全技術(shù)1、鏈路加密技術(shù)2、遠(yuǎn)程撥號(hào)安全協(xié)議（3）網(wǎng)絡(luò)安全技術(shù)1、防火墻2、網(wǎng)絡(luò)入侵3、網(wǎng)絡(luò)脆弱性分析（4）系統(tǒng)安全技術(shù)1、主機(jī)入侵檢測(cè)2、計(jì)算機(jī)病毒防治（5）身份認(rèn)證安全技術(shù)1、動(dòng)態(tài)口令認(rèn)證2、PKI證書(shū)認(rèn)證技術(shù)第12頁(yè)，共27頁(yè)，2022年，5月20日，0點(diǎn)4

7、1分，星期一習(xí)題1、BS 7799是英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)針對(duì)信息安全管理而指定的標(biāo)準(zhǔn)，最初發(fā)布于_B_A.1993B.1995C.1996D.19982、信息安全評(píng)測(cè)標(biāo)準(zhǔn)CC標(biāo)準(zhǔn)是_A_標(biāo)準(zhǔn)A.國(guó)際 B.美國(guó)C.中國(guó)D.英國(guó)3、按照BS 7799標(biāo)準(zhǔn),信息安全管理應(yīng)當(dāng)是一個(gè)持續(xù)改進(jìn)的周期性過(guò)程。 正確4、信息安全策略主要包含口令策略、計(jì)算機(jī)病毒和惡意代碼防治策略、安全教育和培訓(xùn)策略、可接受使用策略AUP。5、 用戶身份鑒別是通過(guò)_A_完成的。 A.口令驗(yàn)證 B.審計(jì)策略 C.存取控制D.查詢功能第13頁(yè)，共27頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一第3章 信息安全等級(jí)保護(hù)與風(fēng)險(xiǎn)評(píng)估重點(diǎn)內(nèi)容：信

8、息系統(tǒng)安全等級(jí)劃分風(fēng)險(xiǎn)評(píng)估的方法與流程第14頁(yè)，共27頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一一、信息安全等級(jí)保護(hù)制度1、信息系統(tǒng)安全等級(jí)劃分（1） 第一級(jí)為自主保護(hù)級(jí)（2）第二級(jí)為指導(dǎo)保護(hù)級(jí)（3）第三級(jí)為監(jiān)督保護(hù)級(jí)（4） 第四級(jí)為強(qiáng)制保護(hù)級(jí)（5） 第五級(jí)為專(zhuān)控保護(hù)級(jí)2、信息系統(tǒng)安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)（P77）（1）GB 17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則。（2）信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南。第15頁(yè)，共27頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一安全服務(wù)與安全機(jī)制之間的關(guān)系 二、信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估1、風(fēng)險(xiǎn)評(píng)估模型（1）風(fēng)險(xiǎn)評(píng)估要素關(guān)系模型（2）安全風(fēng)險(xiǎn)計(jì)算模型

9、計(jì)算過(guò)程是：1、對(duì)信息資產(chǎn)進(jìn)行識(shí)別，對(duì)資產(chǎn)賦值；2、對(duì)威脅進(jìn)行分析，并對(duì)威脅發(fā)生的可能性賦值；3、識(shí)別信息資產(chǎn)的脆弱性，并對(duì)脆弱性的嚴(yán)重程度賦值；4、根據(jù)威脅和脆弱性計(jì)算安全事件發(fā)生的可能性；5、結(jié)合信息資產(chǎn)的重要性和該資產(chǎn)發(fā)生安全事件的可能性計(jì)算信息資產(chǎn)的風(fēng)險(xiǎn)值。2、風(fēng)險(xiǎn)評(píng)估的方法（1）自評(píng)估與他評(píng)估。（2）基線評(píng)估與詳細(xì)評(píng)估。（3）定量評(píng)估與定性評(píng)估。第16頁(yè)，共27頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一二、信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估3、風(fēng)險(xiǎn)評(píng)估流程（1）資產(chǎn)識(shí)別（2）威脅識(shí)別（3）脆弱性識(shí)別（4）安全措施識(shí)別（5）風(fēng)險(xiǎn)識(shí)別4、風(fēng)險(xiǎn)評(píng)估的工具（1）安全管理評(píng)價(jià)系統(tǒng)。（2）信息基礎(chǔ)設(shè)施風(fēng)險(xiǎn)

10、評(píng)估工具。（3）風(fēng)險(xiǎn)評(píng)估輔助工具。第17頁(yè)，共27頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一習(xí)題1、1999年，我國(guó)發(fā)布的第一個(gè)信息安全等級(jí)保護(hù)的國(guó)家標(biāo)準(zhǔn)GB 178591999 ,提出將信息系統(tǒng)的安全等 級(jí)劃分為_(kāi)D_個(gè) 等級(jí)，并提出每個(gè)級(jí)別的安全功能標(biāo)準(zhǔn)。 A.7 B.8 C.6 D.5 2、下列關(guān)于風(fēng)險(xiǎn)的說(shuō)法，_C_是錯(cuò)誤的。 A.風(fēng)險(xiǎn)是客觀存在的 B.導(dǎo)致風(fēng)險(xiǎn)的外因是普遍存在的安全威脅 C.導(dǎo)致風(fēng)險(xiǎn)的外因是普遍存在的安全脆弱性 D.風(fēng)險(xiǎn)是指一種可能性 3、風(fēng)險(xiǎn)管理的首要任務(wù)是_A_. A.風(fēng)險(xiǎn)識(shí)別和評(píng)估 B.風(fēng)險(xiǎn)轉(zhuǎn)嫁 C.風(fēng)險(xiǎn)控制 D.接受風(fēng)險(xiǎn) 4、如果一個(gè)信息系統(tǒng)，其業(yè)務(wù)信息安全

11、或業(yè)務(wù)服務(wù)保證性受到破壞后，會(huì)對(duì)社會(huì)秩序和 公共利益造成 一定損害，但不損害國(guó)家安全；本級(jí)系統(tǒng)依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，必要時(shí)，信息安全 監(jiān)督職能部門(mén)對(duì)其進(jìn)行指導(dǎo)，那么該信息系統(tǒng)屬于等級(jí)保護(hù)中的_C_. A.強(qiáng)制保護(hù)級(jí)B.監(jiān)督保護(hù)級(jí)C、指導(dǎo)保護(hù)級(jí)D.自主保護(hù)級(jí) 第18頁(yè)，共27頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一第4章 信息安全管理重點(diǎn)內(nèi)容：信息安全人員管理信息安全制度管理互聯(lián)網(wǎng)安全管理計(jì)算機(jī)病毒防治管理第19頁(yè)，共27頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一一、信息安全人員管理按照BS 7799安全管理標(biāo)準(zhǔn)，人員安全管理包括以下主要內(nèi)容：（1）安全審查（2）安全

12、保密管理（3）安全教育與培訓(xùn)（4）崗位安全考核（5）離崗人員安全管理第20頁(yè)，共27頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一二、信息安全制度管理信息安全制度管理應(yīng)該在以下方面具體體現(xiàn)（1）安全策略與制度（2）安全風(fēng)險(xiǎn)管理（3）人員和組織安全管理（4）環(huán)境和設(shè)備安全管理（5）網(wǎng)絡(luò)和通信安全管理（6）主機(jī)和系統(tǒng)安全管理（7）數(shù)據(jù)安全和加密管理（8）應(yīng)用和業(yè)務(wù)安全管理（9）項(xiàng)目工程安全管理（10）運(yùn)行和維護(hù)安全管理（11）業(yè)務(wù)連續(xù)性管理（12）符合性管理第21頁(yè)，共27頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一三、互聯(lián)網(wǎng)安全管理互聯(lián)網(wǎng)安全管理主要從一些法律和法規(guī)上來(lái)規(guī)范：（1）、1996年

13、2月1日，國(guó)務(wù)院發(fā)布了計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定。（2）、1997年12月11日，公安部發(fā)布了計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法。（3）、2005年12月13日，公安部發(fā)布了互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定，2006年3月1日起實(shí)施。第22頁(yè)，共27頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一四、計(jì)算機(jī)病毒防治管理1、計(jì)算機(jī)病毒的概念計(jì)算機(jī)病毒是指編制或在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。2、計(jì)算機(jī)病毒的特點(diǎn)（1）內(nèi)在特點(diǎn)1、傳染性2、隱蔽性3、潛伏性4、破壞性（2）新生特點(diǎn)1、感染速度快 2、擴(kuò)散面廣 3、傳播形式復(fù)雜

14、4、難于徹底清除 5、破壞性大3、計(jì)算機(jī)病毒的防治管理公安部依據(jù)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例，于2004年4月制定并公布了計(jì)算機(jī)病毒防治管理辦法。第23頁(yè)，共27頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一習(xí)題1、在互聯(lián)網(wǎng)上的計(jì)算機(jī)病毒呈現(xiàn)出的特點(diǎn)是_ABCD_。 A.與互聯(lián)網(wǎng)更加緊密地結(jié)合，利用一切可以利用的方式進(jìn)行傳播 B.具有多種特征，破壞性大大增強(qiáng) C.擴(kuò)散性極強(qiáng)，也更注重隱蔽性和欺騙性 D.針對(duì)系統(tǒng)漏洞進(jìn)行傳播和破壞 2、在信息安全管理中進(jìn)行安全教育培訓(xùn)，應(yīng)當(dāng)區(qū)分培訓(xùn)對(duì)象的層次和培訓(xùn)內(nèi)容，主要包括_ABE_。 A.高級(jí)管理層 B.關(guān)鍵技術(shù)崗位人員 C.第三方人員 D.外部人員 E.普

15、通計(jì)算機(jī)用戶 3、對(duì)于人員管理的描述錯(cuò)誤的是_B_. A.人員管理是安全管理的重要環(huán)節(jié) B.安全授權(quán)不是人員管理的手段 C.安全教育是人員管理的有力手段 D.人員管理時(shí)，安全審查是必要的 4、信息安全管理中 _B_負(fù)責(zé)保證安全管理策略與制度符合更高層法律，法規(guī)的要求，不發(fā)生矛盾和 沖突。 A.組織管理 B.合規(guī)性管理 C.人員管理 D.制度管理 第24頁(yè)，共27頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一第5章 信息安全監(jiān)管根據(jù)計(jì)算機(jī)違法案件的性質(zhì)界定，計(jì)算機(jī)案件包括：1、刑事違法案件依據(jù)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例追究刑事責(zé)任。2、行政違法案件依據(jù)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法，由公安機(jī)關(guān)給予行政處罰。第25頁(yè)，共27頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一習(xí)題1、我國(guó)計(jì)算機(jī)信息系統(tǒng)實(shí)行_C_保護(hù)。 A.責(zé)任制 B.主任值班制 C.安全等級(jí) D.專(zhuān)職人員資格 2、信息安全方針和策略包括_D_。 A.安全方針 資金投入管理 網(wǎng)絡(luò)安全規(guī)劃 B.安全方針 資金信息管理 信息安全規(guī)劃 C.安全方針 資金信息管理