信息安全管理基础 ppt
合集下载
信息安全培训课件ppt课件精选全文
2019
-
8
如何防范病毒
1、杀毒软件:360杀毒、赛门铁克。
2、U盘病毒专杀:USBCleaner.exe文件夹 病毒专杀工具
3、安全软件:360安全卫士、windows清理 助手
2019
-
9
清除浏览器中的不明网址
1、通过IE菜单清除:工具/Internet 选项/常规/
2、通过注册表清除:regedit
-
22
后面内容直接删除就行 资料可以编辑修改使用 资料可以编辑修改使用
资料仅供参考,实际情况实际分析
360杀毒升级
在360杀 毒主界面 点击“升 级”标签, 进入升级 界面,并 点击“检 查更新” 按钮。
2019
-
25
request timed out:网关不通 解决办法:更换网络接口,重启室内接入交换机 本网段有arp木马,安装arp防火墙,绑定正确的网关物理地址 报网
管 time<10ms 如果表示网络正常,无错误,继续3丢包较大或者时通时不通, 同网段有木马攻击/arp攻击,报告本部门网管 解决办法:安装arp防火墙,绑定正确的网关mac地址
快速扫描、全盘扫描、指定位置扫描及右键扫描。 快速扫描:扫描Windows系统目录及Program Files目录; 全盘扫描:扫描所有磁盘; 指定位置扫描:扫描您指定的目录; 右键扫描:集成到右键菜单中,当您在文件或文件夹上点击鼠标 右键时,可以选择“使用360杀毒扫描”对选中文件或文件夹进 行扫描。
线/接入其他网络接口,往上层查找原因(本屋交换 机有问题) 网络连接非正常情况 表示TCP/IP设置有错-解决办 法:找本部门网络管理员,更换正确的IP地址/掩码 /网关 IP冲突 参照上面解决办法
信息安全管理体系ppt课件
ppt课件2.1
21
信息安全追求目标
❖ 确保业务连续性 ❖ 业务风险最小化
❖ 保护信息免受各种威 胁的损害
❖ 投资回报和商业机遇 最大化
获得信息安全方式
❖ 实施一组合适的控制 措施,包括策略、过 程、规程、组织结构 以及软件和硬件功能。
ppt课件2.2
22
风险评估主要对ISMS范围内的信息资产进行 鉴定和估价,然后对信息资产面对的各种威 胁和脆弱性进行评估,同时对已存在的或规 划的安全控制措施进行界定。
ppt课件.
1
信息安全管理 体系
知识体
信息安全管理 基本概念
信息安全 管理体系建设
知识域
信息安全管理的作用 风险管理的概念和作用 安全管理控制措施的概念和作用
过程方法与PDCA循环 建立、运行、评审与改进ISMS
知识子域
ppt课件.
2
知识子域: 信息安全管理的作用
› 理解信息安全“技管并重”原则的意义 › 理解成功实施信息安全管理工作的关键因素
ppt课件4.8
48
管理 技术 因素 因素
人的因素
在信息安全问题上,要综合考虑人员与管理、技术与产品、 流程与体系。信息安全管理体系是人员、管理与技术三者 的互动。
ppt课件2.6
26
1、信息安全管理的作用
服务器
防火墙能解决这样的问题吗?
Web服务器
内网主机
防火墙
防火墙
精心设计的网络
Internet
防御体系,因违
规外连形同虚设
ppt课件.
27
1、信息安全管理的作用
应
对
风
险
需
要
人
为
《信息安全》课件
黑客入侵了微软的网络,窃取了大量用户 的敏感信息。
3 法国电视台网站遭黑客攻击案
4 湖北省公安厅网络系统遭攻击案
黑客攻击导致法国电视台的网站被篡改, 发布了不实信息。
湖北省公安厅的网络系统遭遇黑客攻击, 重要数据遭到窃取。
总结与展望
信息安全的挑战
随着信息技术的发展,信 息安全面临着新的挑战, 需要不断完善保障措施。
信息安全管理
安全方案设计
根据实际情况制定 信息安全策略和措 施,保障信息资产 的安全。
风险评估
识别和评估各种潜 在威胁和风险,制 定相应的应对措施。
安全培训
提供员工和用户的 信息安全培训,增 强他们的安全意识 和能力。
应急响应
建立应对安全事件 的响应机制,及时 处置安全漏洞和威 胁。
信息安全实践
安全策略制定
根据企业需求和风 险评估结果,制定 全面的信息安全策 略。
安全风险管理
通过安全评估、漏 洞管理等手段,降 低信息安全风险。
安全控制实施
应用各项信息安全 措施,加强对系统 和数据的保护。
安全事件处理
对发生的安全事件 进行调查、分析和 处理,防止二次损 失。
信息安全法律法规
信息安全法
确保网络安全和信 息安全的法律法 体系。
【涵盖内容】信息安全包括网络安全、系统安全、应用安全、物理安全和管 理安全等方面。
主要威胁
病毒和恶意软件
这些恶意程序会感染计算机系统,窃取信息 或破坏系统。
数据泄露
未经授权的数据访问、传输错误或故意泄露 等都可能导致重大损失。
网络攻击
黑客、网络钓鱼等针对网络系统的攻击,可 能导致信息泄露或系统瘫痪。
《信息安全》PPT课件
信息安全管理培训ppt课件
泄露给 别人
文件带来的问题
看看他们 的标书
结果:损失200万
他偷看我标 书,中标了
结果:损失1000万
提高安全意识,加强安全预防,注重安全管理
CCooppyryigrhigt ©ht202100L1if0ewLoiofed wood
4
4 Committed TaleCnotmsmittteod TaKlennotswtlo eKdnogweledCgeaCrairinnggWWoroldrld
CCooppyryigrhigt ©ht202100L1if0ewLoiofed wood
11 11 Committed TaleCnotmsmittteod TaKlennotswtlo eKdnogweledCgeaCrairinnggWWoroldrld
如何做好信息安全整体规划
过程Process: P:信息安全先做检查,巩固成果,发现不足; A:采取后续措施,改进不足,推动信息安全持续进步。
CCooppyryigrhigt ©ht202100L1if0ewLoiofed wood
2
2 Committed TaleCnotmsmittteod TaKlennotswtlo eKdnogweledCgeaCrairinnggWWoroldrld
信息安全
目录
一、信息安全案例 二、什么是信息 三、什么是信息安全 四、信息安全的目标 五、实现信息安全的意义 六、信息安全的需求来源 七、如何做好信息安全整体规划 八、如何实现信息安全
CCooppyryigrhigt ©ht202100L1if0ewLoiofed wood
3
3 Committed TaleCnotmsmittteod TaKlennotswtlo eKdnogweledCgeaCrairinnggWWoroldrld
(完整版)信息安全课件
常见的网络安全协议
01
包括SSL/TLS、IPSec、SNMPv3等,用于确保网络通信的安全
;
网络安全标准
02
包括ISO 27001、NIST SP 800-53等,提供了一套完整的信息
安全管理框架和最佳实践;
密码学基础
03
了解密码学原理、加密算法以及数字签名等基本概念。
网络安全管理策略与实践
1 2
篡改。
密钥管理
建立完善的密钥管理体系,包括 密钥生成、存储、使用和销毁等
环节,确保密钥安全。
数据备份与恢复策略
数据备份策略
制定定期备份计划,采用全量备份、增量备份和差异备份等方式 ,确保数据可恢复。
数据恢复机制
建立快速有效的数据恢复机制,包括备份数据恢复、容灾备份等 ,降低数据丢失风险。
备份数据安全性
重要性
保护个人隐私和企业 秘密。
维护信息系统正常运 行,避免业务中断。
防范网络攻击和数据 泄露,减少经济损失 和声誉损害。
信息安全的发展历程
萌芽阶段
成熟阶段
20世纪70年代前,信息安全主要关注 密码学和保密通信。
21世纪初至今,信息安全已成为一个 综合性的学科领域,涵盖了密码学、 网络安全、应用安全、数据安全等多 个方面。
安全事件的能力。
05
应用系统安全防护
Web应用安全漏洞与防范
常见的Web应用安全漏洞
SQL注入、跨站脚本攻击(XSS)、文件上传漏洞、跨站请求伪造(CSRF)等。
漏洞防范措施
输入验证、参数化查询、输出编码、HTTP头设置等。
Web应用防火墙(WAF)
通过WAF对恶意请求进行拦截和过滤,保护Web应用免受攻击。
信息安全课件ppt
信息安全的威胁来源
网络攻击
黑客利用漏洞或恶意软 件对网络进行攻击,窃 取、篡改或删除数据。
内部威胁
组织内部的员工因疏忽 、恶意或误操作导致的
信息泄露。
物理威胁
对存储设备、网络设施 等进行物理破坏或盗窃
。
社会工程学攻击
利用人的心理和行为弱 点进行欺诈和窃取信息
。
信息安全的防护策略
01
02
03
04
加密技术
对称加密算法是指加密和解密使用相同密钥的算 法,常见的对称加密算法包括AES、DES等。
非对称加密算法
非对称加密算法是指加密和解密使用不同密钥的 算法,常见的非对称加密算法包括RSA、ECC等 。
公钥基础设施(PKI)
PKI是一种基于非对称加密算法的密钥管理架构 ,通过公钥证书和证书颁发机构等机制,实现密 钥的安全分发和管理。
常见的加密算法
AES(高级加密标准)
AES是一种常用的对称加密算法,采用128位、192位或256位密钥长度,支持多种块 大小,广泛应用于数据加密和保护。
RSA(Rivest-Shamir-Adleman)
RSA是一种非对称加密算法,主要用于公钥加密和数字签名,其安全性基于大数因子分 解的难度。
SHA(安全散列算法)
防垃圾邮件
通过过滤和识别技术,防止垃圾邮件的发送 和接收。
防网络钓鱼
教育用户识别网络钓鱼邮件,避免点击恶意 链接或下载附件,防止个人信息泄露。
06
应急响应与恢复
安全事件的处理流程
初步分析
收集相关信息,对安全事件进 行初步分类和评估,确定影响 范围和严重程度。
恢复系统
对受损的系统、应用和数据进 行修复和恢复,确保业务正常 运行。
信息安全基础知识概述(PPT 39张)
可视化、 易操作、易管理 平台
高性能架构,面 对应用层威胁 应用识别与精细 控制
多模块联动, 一体化引擎 云、大数据分 析外部联动
第9章 信息安全基础知识9章 信息安全基础 知识
37
本章总结
计算机技术与网络技术的迅猛发展,信 息社会,大大提高了工作、学习效率, 丰富了我们的生活。
计算机安全问题成为亟待解决的问题。
计算机安全对于国家安全、经济发展、 社会稳定和人们的日常生活有着极为重 要的意义。
当代大学生要学习和掌握一定的信息安 全与管理知识,这样才能够在互联网上 有效的防止侵害,保卫自己的信息安全。
第9章 信息安全基础知识9章 信息安全基础 知识 38
本章结束,谢谢!
使用设备测量用户的生物特征并和用户档案进行对比。。
视网膜扫描 声纹识别 面部识别
使用光学设备发出的低强度光源扫描视网 膜上独特的图案,视网膜扫描是十分精确的。
是根据说话人的发音生理和行为特征,识别说 话人身份的一种生物识别方法。 计算机系统利用摄像机获取识别对象的面部图 像后与数据库图像进行比对,完成识别过程。
第9章 信息安全基础知识9章 信息安全基础 知识 32
1.防火墙的基本准则
一切未被允许的就是 禁止的 一切未被禁止的就是 允许的
第9章 信息安全基础知识9章 信息安全基础 知识
33
2.防火墙的基本功能
第9章 信息安全基础知识9章 信息安全基础 知识
34
3.防火墙的关键技术
代理服务 技术 状态监控技 术 包过滤技术
危害
正常的程序无法运行,计算机内的
第9章 信息安全基础知识9章 信息安全基础 文件被删除或受损。计算机引导扇区 知识 20
《信息安全培训》PPT课件
总结词
该案例突出了APT攻击的隐蔽性和长期性,提醒企业加 强网络监控和入侵检测能力。
个人信息安全案例
案例一
01 某明星个人信息被非法出售
总结词
02 该案例揭示了个人隐私泄露的
危害,强调了提高个人信息安 全防护意识的必要性。
案例二
某大学生遭受网络诈骗
03
总结词
04 该案例提醒个人要提高警惕,
不轻信陌生人,注意保护个人 信息。
《信息安全培训》ppt课件
目录
• 信息安全概述 • 信息安全基本原则 • 信息安全防护技术 • 信息安全管理体系 • 信息安全意识教育与培训 • 信息安全案例分析
01
信息安全概述
信息安全定义
信息安全是指保护信息系统、网络和数据不受未经授权的访问、泄露、破坏、篡改 和滥用的措施。
信息安全旨在确保信息的机密性、完整性和可用性,以及保护组织的声誉和利益。
03
信息安全防护技术
防火墙技术
01
02
03
防火墙定义
防火墙是用于阻止未经授 权的网络通信通过的网络 安全系统,通常部署在内 部网络和外部网络之间。
防火墙类型
包括硬件防火墙和软件防 火墙,按功能可分为包过 滤防火墙和应用层网关防 火墙。
防火墙部署
一般采用路由模式、桥接 模式和混合模式进行部署, 需根据实际需求选择合适 的部署方式。
总结词
培养员工对信息安全的认识和重视程度,提高安全防范意 识。
总结词
增强员工对信息安全的认识,提高安全防范意识。
详细描述
通过开展信息安全意识教育,向员工普及信息安全基本概 念、常见威胁和风险,以及个人和组织在信息安全方面的 责任和义务。
详细描述
该案例突出了APT攻击的隐蔽性和长期性,提醒企业加 强网络监控和入侵检测能力。
个人信息安全案例
案例一
01 某明星个人信息被非法出售
总结词
02 该案例揭示了个人隐私泄露的
危害,强调了提高个人信息安 全防护意识的必要性。
案例二
某大学生遭受网络诈骗
03
总结词
04 该案例提醒个人要提高警惕,
不轻信陌生人,注意保护个人 信息。
《信息安全培训》ppt课件
目录
• 信息安全概述 • 信息安全基本原则 • 信息安全防护技术 • 信息安全管理体系 • 信息安全意识教育与培训 • 信息安全案例分析
01
信息安全概述
信息安全定义
信息安全是指保护信息系统、网络和数据不受未经授权的访问、泄露、破坏、篡改 和滥用的措施。
信息安全旨在确保信息的机密性、完整性和可用性,以及保护组织的声誉和利益。
03
信息安全防护技术
防火墙技术
01
02
03
防火墙定义
防火墙是用于阻止未经授 权的网络通信通过的网络 安全系统,通常部署在内 部网络和外部网络之间。
防火墙类型
包括硬件防火墙和软件防 火墙,按功能可分为包过 滤防火墙和应用层网关防 火墙。
防火墙部署
一般采用路由模式、桥接 模式和混合模式进行部署, 需根据实际需求选择合适 的部署方式。
总结词
培养员工对信息安全的认识和重视程度,提高安全防范意 识。
总结词
增强员工对信息安全的认识,提高安全防范意识。
详细描述
通过开展信息安全意识教育,向员工普及信息安全基本概 念、常见威胁和风险,以及个人和组织在信息安全方面的 责任和义务。
详细描述
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
私密性(Privacy)—— 个人和组织控制私用信息采集、存储和分发的权利。 身份识别(Identification)—— 用户向系统声称其真实身份的方式。 身份认证(Authentication)—— 测试并认证用户的身份。 授权(Authorization)—— 为用户分配并校验资源访问权限的过程。 可追溯性(Accountability)—— 确认系统中个人行为和活动的能力。 抗抵赖性(Non-repudiation)—— 确保信息创建者就是真正的发送者的能力。 审计(Audit)—— 对系统记录和活动进行独立复查和审核,确保遵守性
动
-
3
信息安全概述 风险评估与风险管理 ISO27001简介 信息安全管理实施细则 信息安全管理体系规范 信息安全管理体系认证 总结和展望
-
4
信息安全概述
什么是信息?
-
5
信息安全概述
什么是信息?
有价值的内容
—— ISO9000
消息、信号、数据、情报和知识 信息本身是无形的,借助于信息媒体以多种形式存在或传播:
-
19
信息安全概述
从什么方面考虑信息安全?
法律法规与 合同要求
组织原则目标 和业务需要
风险评估 的结果
-
20
信息安全概述
常规的技术措施
物理安全技术:环境安全、设备安全、媒体安全 系统安全技术:操作系统及数据库系统的安全性 网络安全技术:网络隔离、访问控制、VPN、入侵检测、扫描评估 应用安全技术:Email安全、Web访问安全、内容过滤、应用系统安全 数据加密技术:硬件和软件加密,实现身份认证和数据信息的CIA特性 认证授权技术:口令认证、SSO认证(例如Kerberos)、证书认证等 访问控制技术:防火墙、访问控制列表等 审计跟踪技术:入侵检测、日志审计、辨析取证 防病毒技术:单机防病毒技术逐渐发展成整体防病毒体系 灾难恢复和备份技术:业务连续性技术,前提就是对数据的备份
-
18
信息安全概述
信息安全的重要性
信息作为资产,就像其他重要的商务资产那样,有价值,因而要妥善保护 信息安全是国家安全的需要 信息安全是维持组织竞争优势、赢利能力、守法性和企业形象的保障之一 信息安全是保护个人隐私与财产的需要 许多组织都曾面临过严重的威胁,包括基于计算机的欺诈和蓄意破坏 现在,组织又面临更复杂的威胁,例如计算机病毒、黑客和拒绝服务攻击 网络技术的高速发展增加了对计算机系统未授权访问的机会 组织跨地区分布,集中式的、专家控制为主的信息安全管理系统比较困难 许多信息系统的设计本身就不安全 通过技术手段获得的安全是有限的,还应该通过恰当的管理和程序来支持
• 互联网技术飞速发展,信 息无论是对内还是对外都 得到极大开放
• 信息安全从CIA中又衍生 出可控性、抗抵赖性、真 实性等特性,并且从单一 的被动防护向全面而动态 的防护、检测、响应、恢 复发展
• 信息保障(Information Assurance),从整体角度 考虑安全体系建设
• 美国的IATF规范
ISO27001标准探悉
—— 信息安全管理体系基础知识培训
-
1
内容目录
信息安全概述 风险评估与管理 ISO27001简介 信息安全管理实施细则 信息安全管理体系规范 信息安全管理体系认证 总结和展望
-
2
我们的目标
理解信息、信息安全和信息安全管理 理解信息安全风险评估与风险管理 理解ISO27001标准本身的条款内容 掌握一种实施ISMS的方法和途径 了解ISO27001认证的完整过程 用ISO27001指导企业进行信息安全的各项活
CIA三元组是信息安全的目标,也是基本原则,与之相反的是DAD三元组:
D A D 漏 泄
isclosure 改 篡
lteration 坏 破
estruction
-
16
信息安全概述
Confidentiality 机密性
Integrity 完整性
Availability 可用性
-
17
信息安全概述
其他概念和原则
-
10
信息安全概述
信息安全0世纪60年代前
• 电话、电报、传真 • 强调的是信息的保密性 • 对安全理论和技术的研究 只侧重于密码学 • 通信安全,即COMSEC
60年代到80年代
• 计算机软硬件极大发展 • 关注保密性、完整性和可 用性目标 • 信息安全,即INFOSEC • 代表性成果是美国的 TCSEC和欧洲的ITSEC测 评标准
-
6
信息安全概述
企业信息安全管理关注的信息类型
内部信息
组织不想让其竞争 对手知道的信息
客户信息
顾客/客户不想让组 织泄漏的信息
-
共享信息
需要与其他业务伙 伴分享的信息
7
信息安全概述
信息的处理方式
创建
使用
传递
更改
-
存储
销毁
8
信息安全概述
什么是信息安全?
-
9
信息安全概述
什么是信息安全?
采取措施保护信息资产,使之 不因偶然或者恶意侵犯而遭受破坏、 更改及泄露,保证信息系统能够连 续、可靠、正常地运行,使安全事 件对业务造成的影响减到最小,确 保组织业务运行的连续性。
• 存储在计算机、磁带、纸张等介质中 • 记忆在人的大脑里 • 通过网络、打印机、传真机等方式进行传播 信息借助媒体而存在,对现代企业来说具有价值,就成为信息资产: • 计算机和网络中的数据 • 硬件、软件、文档资料 • 关键人员 • 组织提供的服务 具有价值的信息资产面临诸多威胁,需要妥善保护
-
11
信息安全概述
信息安全基本目标
C onfidentiality I ntegrity A vailability
-
12
信息安全概述
企业重大泄密事件屡屡发生
-
13
信息安全概述
敏感信息遭受篡改也会导致恶劣后果
-
14
信息安全概述
破坏导致系统瘫痪后果非常严重
-
15
信息安全概述
C.I.A.和D.A.D.
C
保密性(Confidentiality)—— 确保信息在存储、使用、传输过程 中不会泄漏给非授权用户或实体。
完整性(Integrity)—— 确保信息在存储、使用、传输过程中不会
I
被非授权篡改,防止授权用户或实体不恰当地修改信息,保持信息
内部和外部的一致性。
A
可用性(Availability)—— 确保授权用户或实体对信息及资源的正 常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。
动
-
3
信息安全概述 风险评估与风险管理 ISO27001简介 信息安全管理实施细则 信息安全管理体系规范 信息安全管理体系认证 总结和展望
-
4
信息安全概述
什么是信息?
-
5
信息安全概述
什么是信息?
有价值的内容
—— ISO9000
消息、信号、数据、情报和知识 信息本身是无形的,借助于信息媒体以多种形式存在或传播:
-
19
信息安全概述
从什么方面考虑信息安全?
法律法规与 合同要求
组织原则目标 和业务需要
风险评估 的结果
-
20
信息安全概述
常规的技术措施
物理安全技术:环境安全、设备安全、媒体安全 系统安全技术:操作系统及数据库系统的安全性 网络安全技术:网络隔离、访问控制、VPN、入侵检测、扫描评估 应用安全技术:Email安全、Web访问安全、内容过滤、应用系统安全 数据加密技术:硬件和软件加密,实现身份认证和数据信息的CIA特性 认证授权技术:口令认证、SSO认证(例如Kerberos)、证书认证等 访问控制技术:防火墙、访问控制列表等 审计跟踪技术:入侵检测、日志审计、辨析取证 防病毒技术:单机防病毒技术逐渐发展成整体防病毒体系 灾难恢复和备份技术:业务连续性技术,前提就是对数据的备份
-
18
信息安全概述
信息安全的重要性
信息作为资产,就像其他重要的商务资产那样,有价值,因而要妥善保护 信息安全是国家安全的需要 信息安全是维持组织竞争优势、赢利能力、守法性和企业形象的保障之一 信息安全是保护个人隐私与财产的需要 许多组织都曾面临过严重的威胁,包括基于计算机的欺诈和蓄意破坏 现在,组织又面临更复杂的威胁,例如计算机病毒、黑客和拒绝服务攻击 网络技术的高速发展增加了对计算机系统未授权访问的机会 组织跨地区分布,集中式的、专家控制为主的信息安全管理系统比较困难 许多信息系统的设计本身就不安全 通过技术手段获得的安全是有限的,还应该通过恰当的管理和程序来支持
• 互联网技术飞速发展,信 息无论是对内还是对外都 得到极大开放
• 信息安全从CIA中又衍生 出可控性、抗抵赖性、真 实性等特性,并且从单一 的被动防护向全面而动态 的防护、检测、响应、恢 复发展
• 信息保障(Information Assurance),从整体角度 考虑安全体系建设
• 美国的IATF规范
ISO27001标准探悉
—— 信息安全管理体系基础知识培训
-
1
内容目录
信息安全概述 风险评估与管理 ISO27001简介 信息安全管理实施细则 信息安全管理体系规范 信息安全管理体系认证 总结和展望
-
2
我们的目标
理解信息、信息安全和信息安全管理 理解信息安全风险评估与风险管理 理解ISO27001标准本身的条款内容 掌握一种实施ISMS的方法和途径 了解ISO27001认证的完整过程 用ISO27001指导企业进行信息安全的各项活
CIA三元组是信息安全的目标,也是基本原则,与之相反的是DAD三元组:
D A D 漏 泄
isclosure 改 篡
lteration 坏 破
estruction
-
16
信息安全概述
Confidentiality 机密性
Integrity 完整性
Availability 可用性
-
17
信息安全概述
其他概念和原则
-
10
信息安全概述
信息安全0世纪60年代前
• 电话、电报、传真 • 强调的是信息的保密性 • 对安全理论和技术的研究 只侧重于密码学 • 通信安全,即COMSEC
60年代到80年代
• 计算机软硬件极大发展 • 关注保密性、完整性和可 用性目标 • 信息安全,即INFOSEC • 代表性成果是美国的 TCSEC和欧洲的ITSEC测 评标准
-
6
信息安全概述
企业信息安全管理关注的信息类型
内部信息
组织不想让其竞争 对手知道的信息
客户信息
顾客/客户不想让组 织泄漏的信息
-
共享信息
需要与其他业务伙 伴分享的信息
7
信息安全概述
信息的处理方式
创建
使用
传递
更改
-
存储
销毁
8
信息安全概述
什么是信息安全?
-
9
信息安全概述
什么是信息安全?
采取措施保护信息资产,使之 不因偶然或者恶意侵犯而遭受破坏、 更改及泄露,保证信息系统能够连 续、可靠、正常地运行,使安全事 件对业务造成的影响减到最小,确 保组织业务运行的连续性。
• 存储在计算机、磁带、纸张等介质中 • 记忆在人的大脑里 • 通过网络、打印机、传真机等方式进行传播 信息借助媒体而存在,对现代企业来说具有价值,就成为信息资产: • 计算机和网络中的数据 • 硬件、软件、文档资料 • 关键人员 • 组织提供的服务 具有价值的信息资产面临诸多威胁,需要妥善保护
-
11
信息安全概述
信息安全基本目标
C onfidentiality I ntegrity A vailability
-
12
信息安全概述
企业重大泄密事件屡屡发生
-
13
信息安全概述
敏感信息遭受篡改也会导致恶劣后果
-
14
信息安全概述
破坏导致系统瘫痪后果非常严重
-
15
信息安全概述
C.I.A.和D.A.D.
C
保密性(Confidentiality)—— 确保信息在存储、使用、传输过程 中不会泄漏给非授权用户或实体。
完整性(Integrity)—— 确保信息在存储、使用、传输过程中不会
I
被非授权篡改,防止授权用户或实体不恰当地修改信息,保持信息
内部和外部的一致性。
A
可用性(Availability)—— 确保授权用户或实体对信息及资源的正 常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。