信息安全管理提纲汇总课件.ppt

1、信息安全管理信息安全管理内容提纲内容提纲:信息安全概述信息安全管理基础信息安全等级保护与风险评估信息安全管理信息安全监督第一章第一章 信息安全概述信息安全概述一、前言 二、信息与信息安全 三、信息安全政策四、信息安全法律体系一、前言：一、前言：危机就在身边危机就在身边案例案例1：信用卡账户资料被盗的事件：信用卡账户资料被盗的事件 年月，美国发生了一起万个信用卡账户资料被盗的事件，这是有史以来最严重的信息安全案件。随着美国联邦调查局介入调查，更多的细节被披露。原来，漏洞出在为万事达、维萨和美国运通卡等主要信用卡进行数据处理服务的卡系统公司，它的网络上被恶意黑客植入了木马程序由于这种心态的普遍存在

2、，世界上平均每分钟就有两家企业世界上平均每分钟就有两家企业因为信息安全问题倒闭，有个企业因为信息安全问题造成大因为信息安全问题倒闭，有个企业因为信息安全问题造成大约多万美元的直接经济损失约多万美元的直接经济损失这也许出乎人们的意料，但却是事实。案例案例2：病毒邮件：病毒邮件 “表哥，你最近还好吗？表哥，你最近还好吗？知道我是谁吗知道我是谁吗？看了我的？看了我的相片你就知道了相片你就知道了!”这是在上海某银行上班的杨先生收到这是在上海某银行上班的杨先生收到一封邮件，谁知邮件还未打开，电脑出现了黑屏。杨先一封邮件，谁知邮件还未打开，电脑出现了黑屏。杨先生还没有弄清是哪个生还没有弄清是哪个“表妹表妹

3、”发来的玉照便丢失了大量发来的玉照便丢失了大量银行保密资料，给单位造成的损失无法估量。银行保密资料，给单位造成的损失无法估量。“以信息化带动工业化，大力发展信息产业以信息化带动工业化，大力发展信息产业”网络与信息系统成为国家的关键基础施舍。网络与信息系统成为国家的关键基础施舍。存在的问题：存在的问题：网络攻击，病毒传播，垃圾邮件网络攻击，病毒传播，垃圾邮件 网络盗窃、诈骗、敲诈勒索、窃密等网络盗窃、诈骗、敲诈勒索、窃密等 网上色情、暴力网上色情、暴力 对通信、金融、能源、交通等基础设施的对通信、金融、能源、交通等基础设施的 影响影响 境内外敌对势力利用网络搞破坏境内外敌对势力利用网络搞破坏信息

4、安全已经上升为事关国家经济安全、社会稳信息安全已经上升为事关国家经济安全、社会稳定的全局性战略问题，定的全局性战略问题，是国家安全的重要组成部是国家安全的重要组成部分。分。信息安全信息安全先进技术先进技术防患意识防患意识完美流程完美流程严严格的制度格的制度优秀的执行团队优秀的执行团队法律保障法律保障二、信息与信息安全二、信息与信息安全（一）信息与信息资产（一）信息与信息资产 信息就是信息，不是物质，也不是能量信息就是信息，不是物质，也不是能量广义上：是任何一个事物的运动状态以及运动状态形成的变化，广义上：是任何一个事物的运动状态以及运动状态形成的变化，它是一种客观存在。它是一种客观存在。狭义上

5、：指信息接受主体所感觉到并能被理解的东西。狭义上：指信息接受主体所感觉到并能被理解的东西。特点：信息与接受对象以及要达到的目的有关。特点：信息与接受对象以及要达到的目的有关。信息的价值与接受信息的对象有关。信息的价值与接受信息的对象有关。信息有多种多样的传递手段。信息有多种多样的传递手段。信息在使用中不仅不会被消耗掉，还可以复制。信息在使用中不仅不会被消耗掉，还可以复制。ISO 13335信息技术安全管理指南信息技术安全管理指南：信息是通过在数据上施加：信息是通过在数据上施加某些约定而赋予这些数据特殊含义，信息是无形的，也是一种重要某些约定而赋予这些数据特殊含义，信息是无形的，也是一种重要资产

6、，具有价值，需要保护。资产，具有价值，需要保护。（二）信息安全（二）信息安全信息安全的基本属性：信息安全的基本属性：保密性保密性、完整性完整性、可用性可用性。保密性：保密性：确保信息在存储、使用、传输过程中不会泄漏给确保信息在存储、使用、传输过程中不会泄漏给非授权的用户或者实体。非授权的用户或者实体。完整性：完整性：确保信息在存储、使用、传输过程中不被非授权确保信息在存储、使用、传输过程中不被非授权用户篡改；防止授权用户对信息进行不恰当的篡改；确保信息用户篡改；防止授权用户对信息进行不恰当的篡改；确保信息的内外一致性。的内外一致性。可用性：可用性：确保授权用户或者实体对于信息及资源的正常使确保

7、授权用户或者实体对于信息及资源的正常使用不被异常拒绝，允许其可靠而且及时地访问信息及资源。用不被异常拒绝，允许其可靠而且及时地访问信息及资源。1、信息安全的发展、信息安全的发展 通信保密阶段：关注通信内容的保密性通信保密阶段：关注通信内容的保密性 信息安全阶段（信息安全三元组信息安全阶段（信息安全三元组CIA）信息保障阶段信息保障阶段2、信息安全的定义、信息安全的定义 （国际标准化组织）（国际标准化组织）3、信息安全模型：、信息安全模型：PDR 模型：第一个从时间关系描述一个信息系统是否安全的模型。模型：第一个从时间关系描述一个信息系统是否安全的模型。PPDRR模型：一个完整的信息安全保障体系

8、模型：一个完整的信息安全保障体系4、信息安全保障体系（以安全策略为指导）、信息安全保障体系（以安全策略为指导）安全技术体系安全技术体系 安全组织与管理体系安全组织与管理体系 运行保障体系运行保障体系保护保护Protect检测检测Detect恢复恢复Restore反应反应React策略策略Policy三、信息安全政策三、信息安全政策（一）我国信息化发展战略与安全保障工作（一）我国信息化发展战略与安全保障工作 1、信息化发展战略、信息化发展战略 2006年，我国发布了年，我国发布了20062020年国家信息化发展战略年国家信息化发展战略 2、信息安全保障工作、信息安全保障工作 原则：原则：（二）美

9、国信息安全国家战略（二）美国信息安全国家战略 1、出台背景、出台背景 2、主要内容、主要内容 3、作用与影响、作用与影响（三）俄罗斯信息安全学说（三）俄罗斯信息安全学说 1、背景、背景 2、内容、内容四、信息安全法律体系四、信息安全法律体系（一）我国信息安全法律体系（一）我国信息安全法律体系 1、体系结构、体系结构 2、信息系统安全立法的必要性和紧迫性、信息系统安全立法的必要性和紧迫性（二）法律、法规介绍（二）法律、法规介绍1、刑法相关内容、刑法相关内容2、治安管理处罚法相关内容、治安管理处罚法相关内容第二章第二章 信息安全管理基础信息安全管理基础一、信息安全管理体系一、信息安全管理体系二、信

10、息安全管理标准二、信息安全管理标准三、信息安全策略三、信息安全策略一、信息安全管理体系一、信息安全管理体系（一）信息安全管理体系定义（一）信息安全管理体系定义（二）信息安全管理体系的基本原则（二）信息安全管理体系的基本原则 1、主要领导负责原则、主要领导负责原则 2、规范定级原则、规范定级原则 3、以人为本原则、以人为本原则 4、适度安全原则、适度安全原则 5、全面防范、突出重点原则、全面防范、突出重点原则 6、系统、动态原则、系统、动态原则 7、控制社会影响原则、控制社会影响原则安全管理策略：分权制衡，最小特权，选用成熟技术，普遍参与安全管理策略：分权制衡，最小特权，选用成熟技术，普遍参与（

11、三）信息安全管理体系构成（三）信息安全管理体系构成 二、信息安全管理标准二、信息安全管理标准（一）（一）BS7799（被信息界喻为（被信息界喻为“滴水不漏的信息安全管理标准滴水不漏的信息安全管理标准”）1、发展历程、发展历程BS7799是英国标准协会（是英国标准协会（British Standards Institute，BSI）于）于1995年年2月制定的信息安全管理标准，分两个部分，其第一部分于月制定的信息安全管理标准，分两个部分，其第一部分于2000年被年被ISO组织采纳，正式成为组织采纳，正式成为ISO/IEC 17799标准。该标准标准。该标准2005年经过最新改版，发展成为年经过最

12、新改版，发展成为ISO/IEC 17799:2005标准。标准。BS7799标准的第二部分经过长时间讨论修订，也于标准的第二部分经过长时间讨论修订，也于2005年成为正年成为正式的式的ISO标准，即标准，即ISO/IEC 27001:2005。2、内容组成、内容组成三、信息安全策略三、信息安全策略（一）信息安全策略概述（一）信息安全策略概述 1、定义、定义 三原则：确定性、完整性、有效性三原则：确定性、完整性、有效性（二）（二）口令策略口令策略（三）计算机病毒和恶意代码防止策略（三）计算机病毒和恶意代码防止策略（四）、安全教育与培训策略（四）、安全教育与培训策略第三章信息安全等级保护与风险评估

13、第三章信息安全等级保护与风险评估一、信息安全等级保护制度一、信息安全等级保护制度二、信息系统安全等级保护实施二、信息系统安全等级保护实施三、信息系统安全等级确定三、信息系统安全等级确定四、安全保护能力等级划分四、安全保护能力等级划分 一、信息安全等级保护制度一、信息安全等级保护制度 （一）信息安全等级保护管理（一）信息安全等级保护管理 不同的信息系统的重要性存在较大的差异，根据重要性的不同，不同的信息系统的重要性存在较大的差异，根据重要性的不同，进行有针对性的实施安全保护。进行有针对性的实施安全保护。1994年国务院发布年国务院发布计算机信息系统安全保护条例计算机信息系统安全保护条例，第，第9

14、条规定：条规定：“计算机信息系统实行安全等级保护计算机信息系统实行安全等级保护”。1999年国家标准年国家标准GB1785919992004年年关于信息安全等级保护工作的实施意见关于信息安全等级保护工作的实施意见 （二）信息系统安全等级划分（二）信息系统安全等级划分 第一级为自主保护级第一级为自主保护级 第二级为指导保护级第二级为指导保护级 第三级为监督保护级第三级为监督保护级 第四级为强制保护级第四级为强制保护级 第五级为专控保护级第五级为专控保护级 二、信息系统安全等级保护实施二、信息系统安全等级保护实施:等级保护的核心是对信息系统分等级保护的核心是对信息系统分等级、按标准进行建设、管理和

15、监督。等级、按标准进行建设、管理和监督。三、信息系统安全等级确定三、信息系统安全等级确定（一）决定信息系统安全保护等级的因素（一）决定信息系统安全保护等级的因素 1、信息系统所属类型，即信息系统资产的安全利益主体、信息系统所属类型，即信息系统资产的安全利益主体 2、信息系统主要处理的业务信息类型、信息系统主要处理的业务信息类型 3、信息系统服务范围，包括服务对象和服务网络覆盖范围、信息系统服务范围，包括服务对象和服务网络覆盖范围 4、业务对信息系统的依赖程度、业务对信息系统的依赖程度（二）确定信息系统安全保护等级的步骤（二）确定信息系统安全保护等级的步骤 1、赋值、赋值 2、确定两个等级、确定

16、两个等级 3、确定业务子系统等级、确定业务子系统等级 4、确定信息系统等级、确定信息系统等级 （业务信息安全性（业务信息安全性 业务服务保证性）业务服务保证性）2、确定两个指标等级、确定两个指标等级1、赋值、赋值3、确定业务子系统等级、确定业务子系统等级4、确定信息系统等级、确定信息系统等级信息系统所属类型信息系统所属类型业务信息类型业务信息类型信息系统服务范围信息系统服务范围业务依赖程度业务依赖程度业务信息安全性取值业务信息安全性取值选择调节因子选择调节因子业务服务保证性取值业务服务保证性取值业务子系统安全保护等级业务子系统安全保护等级其他业务子系统其他业务子系统信息系统安全保护等级信息系统

17、安全保护等级业务信息安全性等级业务信息安全性等级 业务服务保证性等级业务服务保证性等级（三）信息系统安全保护等级的确定方法（三）信息系统安全保护等级的确定方法 1、确定业务信息安全性等级、确定业务信息安全性等级 2、确定业务服务保证性等级、确定业务服务保证性等级 3、确定信息系统安全保护等级、确定信息系统安全保护等级 业务子系统的安全保护等级由业务信息安全性等级和业务服务保证性等级教高者决定。信息系统的安全保护等级由各业务子系统的最高等级决定。（四）定级案例分析：（四）定级案例分析：某省电力集团公司的省级电力实时监控系统，主要用于调度自动化控制系统和能量某省电力集团公司的省级电力实时监控系统，

18、主要用于调度自动化控制系统和能量管理系统，负责省级超高压输电变电站的调度控制和数据采集。系统实时性要求极管理系统，负责省级超高压输电变电站的调度控制和数据采集。系统实时性要求极高，达到秒级。高，达到秒级。系统等级分析：（1）电力行业为国家重要基础领域，该系统为其中的重要信息系统，其信息系统所属类型赋值应为2。（2）该系统信息属企业专有信息，这些信息被破坏会对公共利益造成严重影响，其业务信息类型赋值为2。（3）查表知该系统的业务信息安全性等级为3级。（4）该系统为省内企业和市民提供电力支持，其系统服务范围赋值为2。（5）该系统对完整性和实时性要求极高，且无法采用手工作业替代，其业务依赖程度赋值应

19、为3。（6）查表知该系统的业务服务保证性取值为4。（7）考虑到电力系统关系国防和国民经济命脉，是国家重要基础设施，该系统调节因子K可选为1，调节后该系统的业务服务保证性等级为4级。（8）在业务信息安全性等级3级和业务服务保证性等级4级里面选择级别较高的，最终该系统的安全保护等级为4级。四、信息系统安全风险评估四、信息系统安全风险评估 1、定义定义：是指根据国家有关信息安全技术标准，对信息系统及：是指根据国家有关信息安全技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。性进行科学评价的过

20、程。2、作用、作用风险评估是分析确定风险的过程风险评估是分析确定风险的过程 3、战略、战略信息安全风险评估是信息安全建设的起点和基础信息安全风险评估是信息安全建设的起点和基础 所有信息安全建设都应该是基于信息安全风险评估，只有在正确地、所有信息安全建设都应该是基于信息安全风险评估，只有在正确地、全面地理解风险后，才能在控制风险、减少风险之间作出正确的判全面地理解风险后，才能在控制风险、减少风险之间作出正确的判断，决定调动多少资源、以什么样的代价、采取什么样的应对措施断，决定调动多少资源、以什么样的代价、采取什么样的应对措施去化解、控制风险。去化解、控制风险。4、定量评估、定量评估定量评估是将安

21、全风险的评估完全量化，产生明确的数据估计，定量评估关注以定量评估是将安全风险的评估完全量化，产生明确的数据估计，定量评估关注以下元素：下元素：（1）资产价值）资产价值AV：信息资产的估价；：信息资产的估价；（2）暴露因子）暴露因子EF：造成资产损失的程度；：造成资产损失的程度；（3）单一损失期望）单一损失期望SLE：单次资产损失的总值。：单次资产损失的总值。（4）年度发生率）年度发生率ARO：全年发生的频率。：全年发生的频率。（5）年度损失期望）年度损失期望ALE：全年资产损失的总值。：全年资产损失的总值。其中：其中：SLE=AVEF，ALE=SLEARO例如：一个公司投资50万美元建立一个网

22、络运营中心，经过评估，最大的风险是发生火灾，每次火灾大概造成45%的资产损失，经过统计，该地区每5年发生一次火灾，因此有以下计算过程：AV=50万美元 EF=45%SLE=AVEF=22.5万美元ARO=20%ALE=SLEARO=4.5万美元 第四章第四章 信息安全管理信息安全管理一、信息安全组织管理一、信息安全组织管理二、信息安全人员管理二、信息安全人员管理三、信息安全制度管理三、信息安全制度管理四、互联网安全管理四、互联网安全管理五、重点单位信息安全管理五、重点单位信息安全管理六、计算机病毒防治管理六、计算机病毒防治管理七、应急事件处理七、应急事件处理一、信息安全组织管理一、信息安全组织

23、管理内部消息安全管理组织包括：内部消息安全管理组织包括：1、安全审查和决策机构、安全审查和决策机构2、安全主管机构、安全主管机构3、安全运行维护机构、安全运行维护机构4、安全审计机构、安全审计机构5、安全培训机构、安全培训机构6、安全人员、安全人员二、信息安全人员管理二、信息安全人员管理 （一）安全审查（一）安全审查 网络和信息系统的关键岗位人选的审查标准：网络和信息系统的关键岗位人选的审查标准：（二）安全保密管理（二）安全保密管理 保密办法的制定保密办法的制定 （三）安全教育与培训（三）安全教育与培训 培训内容：培训内容：1、基本安全教育、基本安全教育 2、专业安全培训、专业安全培训 3、高

24、级安全培训、高级安全培训 （四）岗位安全考核（四）岗位安全考核 （五）离岗人员安全管理（五）离岗人员安全管理三、信息安全制度管理三、信息安全制度管理信息安全管理制度具体体现：信息安全管理制度具体体现：1-121、安全策略与制定、安全策略与制定 2、安全风险管理、安全风险管理3、人员和组织安全管理、人员和组织安全管理 4、环境和设备安全管理、环境和设备安全管理5、网络和通信安全管理、网络和通信安全管理 6、主机和系统安全管理、主机和系统安全管理7、应用和业务安全管理、应用和业务安全管理 8、数据安全和加密管理、数据安全和加密管理9、项目工程安全管理、项目工程安全管理 10、运行和维护安全管理、运

25、行和维护安全管理11、业务连续性管理、业务连续性管理 12、合规性管理、合规性管理信息安全管理制度示例：信息安全管理制度示例：物理环境安全管理规范物理环境安全管理规范1-12 终端计算机安全使用规范终端计算机安全使用规范 四、互联网安全管理四、互联网安全管理 1、概述、概述 1996.2.1国务院国务院计算机信息网络国际互联网管理暂行规定计算机信息网络国际互联网管理暂行规定 1997.12.11计算机信息网络国际联网安全保护管理办法计算机信息网络国际联网安全保护管理办法 2005.12.13互联网安全保护技术措施规定互联网安全保护技术措施规定 2、适用范围、适用范围 互联网服务提供者，提供互联

26、网数据中小服务的单位，联网使互联网服务提供者，提供互联网数据中小服务的单位，联网使用单位用单位 3、禁止行为、禁止行为 4、安全保护职责、安全保护职责 5、安全管理制度、安全管理制度 6、安全技术措施、安全技术措施 五、重点单位信息安全管理五、重点单位信息安全管理 （一）重点单位及其分类（一）重点单位及其分类 我国信息网络重点单位一共分为十二类我国信息网络重点单位一共分为十二类 （二）重点单位信息安全管理（二）重点单位信息安全管理 1、建立安全管理机构、建立安全管理机构 2、完善安全管理制度、完善安全管理制度 3、落实安全管理措施、落实安全管理措施 （三）涉密安全管理（三）涉密安全管理六、计算

27、机病毒防治管理六、计算机病毒防治管理（一）计算机病毒的概念、分类和特点及传播（一）计算机病毒的概念、分类和特点及传播 1、计算机病毒的概念和分类、计算机病毒的概念和分类 计算机病毒具有的基本要素：计算机病毒具有的基本要素：计算机病毒分类方式：计算机病毒分类方式：2、计算机病毒的特点、计算机病毒的特点 A内在特点：内在特点：传染性传染性 隐蔽性隐蔽性 潜伏性潜伏性 破坏性破坏性 不可预见性不可预见性 B新生特点：新生特点：感染速度快感染速度快 扩散面广扩散面广 传播的形式复杂多样传播的形式复杂多样 难于彻底清除难于彻底清除 破坏性大破坏性大 3、计算机病毒传播途径、计算机病毒传播途径 传播方式有

28、：传播方式有：感染计算机病毒的途径有：感染计算机病毒的途径有：a 电子邮件电子邮件 b BBS c www浏览浏览 d FTP文件下载文件下载 e 新闻组新闻组 f 通过点对点通信系统和无线通信系统传播通过点对点通信系统和无线通信系统传播 4、计算机病毒的防治管理、计算机病毒的防治管理 计算机病毒防治管理办法计算机病毒防治管理办法 建立计算机病毒防治体系建立计算机病毒防治体系七、应急事件处理七、应急事件处理网络和信息系统运行所面临的安全威胁，主要有：计算机病毒，网网络和信息系统运行所面临的安全威胁，主要有：计算机病毒，网络入侵，软硬件故障，人员误操作，不可抗灾难事件络入侵，软硬件故障，人员误操

29、作，不可抗灾难事件 （一）安全风险分析，预防和应急处理（一）安全风险分析，预防和应急处理 （二）灾难恢复处理（二）灾难恢复处理灾难恢复的基本技术要求：灾难恢复的基本技术要求：1、备份软件、备份软件 2、恢复的选择和实施、恢复的选择和实施 3、自启动恢复、自启动恢复 4、病毒防护、病毒防护 5、异地容灾系统（重点单位必须考虑）、异地容灾系统（重点单位必须考虑）第五章第五章 信息安全监管信息安全监管一、信息安全案件二、信息安全行政违法责任三、信息安全刑事违法责任一、信息安全案件（一）信息网络的安全监管与保护 计算机信息系统安全保护条例（二）计算机案件 1、治安案件和一般行政案件 2、刑事案件 3、

30、计算机案件的性质界定二、信息安全行政违法责任二、信息安全行政违法责任 1、行政违法行为、行政违法行为 2、行政违法责任、行政违法责任 3、行政处罚、行政处罚 种类：人身自由罚、声誉罚、财产罚、资格罚、种类：人身自由罚、声誉罚、财产罚、资格罚、责令作为与不作为罚责令作为与不作为罚 4、违反信息安全管理相关规定的行政处罚、违反信息安全管理相关规定的行政处罚 a 警告警告 b 通报批评通报批评 c 罚款罚款 d 拘留拘留 e 没收违法所得没收违法所得 f 吊销许可证吊销许可证 g 责令停机整顿责令停机整顿 h 责令停止联网责令停止联网三、信息安全刑事违法责任三、信息安全刑事违法责任 （一）刑事责任（

31、一）刑事责任 （二）计算机犯罪类型及刑事责任（二）计算机犯罪类型及刑事责任 1、非法侵入计算机信息系统罪、非法侵入计算机信息系统罪 2、破坏计算机信息系统罪、破坏计算机信息系统罪 3、利用计算机作为工具实施的犯罪、利用计算机作为工具实施的犯罪 （三）报案与配合调查（三）报案与配合调查 1、报案和受理、报案和受理 我国我国计算机信息系统安全保护条例计算机信息系统安全保护条例第十四条规定，第十四条规定，“对计算机信息系对计算机信息系 统中发生的案件，有关使用单位应当在小时内向当地县级以上人民政统中发生的案件，有关使用单位应当在小时内向当地县级以上人民政 府公安机关报告府公安机关报告”。2、报案渠道、报案渠道 直接向所辖地区的派出所报案，由派出所予以受理。直接向所辖地区的派出所报案，由派出所予以受理。通过统一报警电话通过统一报警电话110，向公安机关报案。，向公安机关报案。通过公安部网络违法案件举报网站通过公安部网络违法案件举报网站http:/，向公安，向公安 部报案。部报案。四川网警：四川网警：http:/