信息安全管理(第一章-绪论)课件.ppt

1、LOGO第一章第一章 绪论绪论信息安全管理LOGO本讲内容本讲内容什么是信息安全什么是信息安全1235什么是信息安全管理什么是信息安全管理信息安全管理的指导原则信息安全管理的指导原则3LOGO本讲内容本讲内容135信息安全管理的意义信息安全管理的意义4信息安全管理的国内外研究发展信息安全管理的国内外研究发展5本书内容安排本书内容安排6LOGO什么是信息安全什么是信息安全 v信息安全的现状：信息安全的现状：19881988年年1111月月2 2日，康奈尔大学的研究生罗伯特日，康奈尔大学的研究生罗伯特.莫里斯莫里斯(22(22岁岁)设计了第一个蠕虫程序，设计初设计了第一个蠕虫程序，设计初始目的是验

2、证网络中自动传播程序的可行性。始目的是验证网络中自动传播程序的可行性。20002000年年5 5月月4 4日，日，“爱虫（爱虫（LOVE BUGLOVE BUG）”病毒大病毒大爆发。主要表现是邮件群发、修改文件、消耗爆发。主要表现是邮件群发、修改文件、消耗网络资源。网络资源。不断发生的信息安全事件，对信息安全提出了不断发生的信息安全事件，对信息安全提出了严峻的挑战严峻的挑战，信息安全已成为信息社会重要的信息安全已成为信息社会重要的研究课题。研究课题。LOGO什么是信息安全什么是信息安全 v信息安全的概念：信息安全的概念：信息信息安全安全属性：属性：机密性机密性 完整性完整性 可用性可用性 真实

3、性真实性 抗抵赖抗抵赖性性 可靠性可靠性 可控性可控性LOGO什么是信息安全什么是信息安全 重要特点：重要特点：必然性必然性 配角特性配角特性 动态性动态性重大战略价值：重大战略价值：信息安全的政治意义信息安全的政治意义 信息安全的经济意义信息安全的经济意义 信息安全与社会稳定的意义信息安全与社会稳定的意义LOGO什么是信息安全什么是信息安全 v信息安全威胁：信息安全威胁：日益严重的计算机病毒日益严重的计算机病毒 人为的因素人为的因素 信息安全管理自身的不足信息安全管理自身的不足LOGO什么是信息安全管理什么是信息安全管理 v信息安全管理概念：信息安全管理概念：信息是一个组织的血液，它的存在方

4、式各异。信息是一个组织的血液，它的存在方式各异。可以是打印，手写，也可以是电子，演示和口可以是打印，手写，也可以是电子，演示和口述的。当今商业竞争日趋激烈，来源于不同渠述的。当今商业竞争日趋激烈，来源于不同渠道的威胁，威胁到信息的安全性。这些威胁可道的威胁，威胁到信息的安全性。这些威胁可能来自内部，外部，意外的，还可能是恶意的能来自内部，外部，意外的，还可能是恶意的。随着信息存储、发送新技术的广泛使用，信。随着信息存储、发送新技术的广泛使用，信息安全面临的威胁也越来越严重了。息安全面临的威胁也越来越严重了。LOGO什么是信息安全管理什么是信息安全管理 v信息安全管理的基本内容信息安全管理的基本

5、内容：信息系统的安全管理涉及与信息系统有关的安信息系统的安全管理涉及与信息系统有关的安全管理以及信息系统管理的安全两个方面。这全管理以及信息系统管理的安全两个方面。这两方面的管理又分为技术性管理和法律性管理两方面的管理又分为技术性管理和法律性管理两类。其中技术性管理以两类。其中技术性管理以OSIOSI安全机制和安全安全机制和安全服务的管理以及对物理环境的技术监控为主，服务的管理以及对物理环境的技术监控为主，法律性管理以法律法规遵从性管理为主。信息法律性管理以法律法规遵从性管理为主。信息安全管理本身并不完成正常的业务应用通信，安全管理本身并不完成正常的业务应用通信，但却是支持与控制这些通信的安全

6、所必需的。但却是支持与控制这些通信的安全所必需的。LOGO信息安全管理的指导原则 v策略原则：策略原则：以安全保发展，在发展中求安全以安全保发展，在发展中求安全 受保护资源的价值与保护成本平衡受保护资源的价值与保护成本平衡 明确国家、企业和个人对信息安全的职责和可明确国家、企业和个人对信息安全的职责和可确认性确认性 信息安全需要积极防御和综合防范信息安全需要积极防御和综合防范 定期评估信息系统的残留风险定期评估信息系统的残留风险 综合考虑社会因素对信息安全的制约综合考虑社会因素对信息安全的制约 信息安全管理体现以人为本信息安全管理体现以人为本LOGO信息安全管理的指导原则 v工程原则：工程原则

7、：基本保证基本保证 适度安全适度安全 实用和标准化实用和标准化 保护层次化和系统保护层次化和系统 降低复杂度降低复杂度 安全设计机构化安全设计机构化LOGO信息安全管理的意义 信息安全管理通过维护信息的机密性、完整性信息安全管理通过维护信息的机密性、完整性和可用性等，来管理和保护信息资产的一项体和可用性等，来管理和保护信息资产的一项体制，是对信息安全保障进行指导、规范和管理制，是对信息安全保障进行指导、规范和管理的一系列活动和过程。的一系列活动和过程。中国工程院院长徐匡迪曾指出：中国工程院院长徐匡迪曾指出：“没有安全的没有安全的工程就是豆腐渣工程工程就是豆腐渣工程”。LOGO信息安全管理的国内

8、外研究发展 v国内信息安全管理现状国内信息安全管理现状：我国已初步建成了国家信息安全组织保障体系我国已初步建成了国家信息安全组织保障体系 制定和引进了一批重要的信息安全管理标准制定和引进了一批重要的信息安全管理标准 制定了一系列必需的信息安全管理的法律法规制定了一系列必需的信息安全管理的法律法规 信息安全风险评估工作已经得到重视和开展信息安全风险评估工作已经得到重视和开展LOGO信息安全管理的国内外研究发展 v我国信息安全管理存在的问题我国信息安全管理存在的问题：信息安全管理现状比较混乱，缺乏一个国家层信息安全管理现状比较混乱，缺乏一个国家层面上的整体策略，实际管理力度不够，政策执面上的整体策

9、略，实际管理力度不够，政策执行和监督力度也不够。行和监督力度也不够。具有我国特点的、动态的和涵盖组织机构、文具有我国特点的、动态的和涵盖组织机构、文件、控制措施、操作过程和程序及相关资源等件、控制措施、操作过程和程序及相关资源等要素的信息安全管理体系还未建立起来。要素的信息安全管理体系还未建立起来。具有我国特点的信息安全风险评估标准体系还具有我国特点的信息安全风险评估标准体系还有待完善，信息安全的需求难以确定，缺乏系有待完善，信息安全的需求难以确定，缺乏系统、全面的信息安全风险评估和评价体系以及统、全面的信息安全风险评估和评价体系以及全面、完善的信息安全保障体系。全面、完善的信息安全保障体系。

10、LOGO信息安全管理的国内外研究发展 信息安全意识缺乏，普遍存在重产品、轻服务信息安全意识缺乏，普遍存在重产品、轻服务，重技术、轻管理的思想。，重技术、轻管理的思想。专项经费投入不足，管理人才极度缺乏，基础专项经费投入不足，管理人才极度缺乏，基础理论研究和关键技术薄弱，严重依靠国外。理论研究和关键技术薄弱，严重依靠国外。技术创新不够，信息安全管理产品水平和质量技术创新不够，信息安全管理产品水平和质量不高。不高。LOGO信息安全管理的国内外研究发展 v国外信息安全管理现状国外信息安全管理现状：国际信息安全管理已步入标准化与系统化管理时国际信息安全管理已步入标准化与系统化管理时代。在代。在2020

11、世纪世纪9090年代之前，信息安全主要依靠安年代之前，信息安全主要依靠安全技术手段与不成体系的管理规章来实现。随着全技术手段与不成体系的管理规章来实现。随着2020世纪世纪8080年代年代ISO9000ISO9000质量管理体系标准的出现质量管理体系标准的出现及随后在全世界的推广应用，系统管理的思想在及随后在全世界的推广应用，系统管理的思想在其他领域也被借鉴与采用，信息安全管理也同样其他领域也被借鉴与采用，信息安全管理也同样在在2020世纪世纪9090年代步入了标准化与系统化的管理时年代步入了标准化与系统化的管理时代。代。LOGO本书内容安排本书内容安排 v第一章为绪论第一章为绪论v第二章为信息安全法律法规第二章为信息安全法律法规v第三章为信息安全管理体系（第三章为信息安全管理体系（ISMSISMS）v第四章为信息安全风险评估第四章为信息安全风险评估v第五章为信息系统安全测评第五章为信息系统安全测评v第六章为业务连续性与灾难恢复第六章为业务连续性与灾难恢复v第七章为信息系统安全审计第七章为信息系统安全审计v第八章为身份认证技术第八章为身份认证技术LOGO思考题 谢谢！谢谢！