计算机信息安全管理概述.ppt

信息安全管理概述,随着计算机技术和网络技术的迅猛发展，人类正进入信息社会，信息技术被广泛地应用于各行各业，社会发展对信息资源的依赖程度越来越高，而由于环境的开放和信息系统自身的缺陷，敏感信息的泄露、计算机病毒的泛滥、黑客的入侵等等，导致信息面临巨大的安全风险解决信息安全问题不仅要从技术方面着手，更应该加强信息安全的管理工作只有从技术、管理等不同的方面采取措施，建立信息安全管理体系，并有效地进行安全风险管理和控制，才能真正地保证信息系统和信息资源的安全 本章主要介绍信息与信息安全、信息安全管理、信息安全管理的目的、信息安全管理遵循的原则1.1 信息 信息是通过施加于数据上的某些约定而赋予这些数据的特定含义 信息本身是无形的，借助于信息媒体以多种形式存在或传播，可以存储在计算机、磁带、纸张等介质中，也可以记忆在人的大脑里，还可以通过网络、打印机、机等方式进行传播通常情况下，可以把信息理解为消息、信号、数据、情报、知识等1.2 信息安全 1.2.1 信息的安全属性 1.保密性 信息的保密性是指确保只有被授予特定权限的人才能访问到信息 信息的保密性依据信息被允许访问对象的多少而不同，所有人员都可以访问的信息为公开信息，需要限制访问的信息为敏感信息或秘密信息。

根据信息的重要程度和保密要求可以将信息分为不同密级已授权用户根据所授予的操作权限可以对保密信息进行操作，有的用户只可以读取信息，有的用户既可以进行读操作又可以进行写操作2．完整性 信息的完整性是指保证信息和处理方法的正确性和一致性 信息完整性一方面是指在使用、传输、存储信息的过程中不发生篡改信息、丢失信息、错误信息等；另一方面是指信息处理方法的正确性，执行不正当的操作，有可能造成重要文件的丢失，甚至整个系统的瘫痪 3．可用性 信息的可用性是指确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许授权用户或实体可靠而及时访问信息及资源4．可控性 信息的可控性是指能够控制使用信息资源的人或实体的使用方式 对于信息系统中的敏感信息资源，如果任何人都能够访问、篡改、窃取以及恶意散播的话，安全系统显然失去了效用对访问信息资源的人或实体的使用方式进行有效的控制，是信息安全的必然要求 从国家层面上看，信息安全的可控性不但涉及信息的可控性，还与安全产品、安全市场、安全厂商、安全研发人员的可控性密切相关5．不可否认性 信息的不可否认性也称抗抵赖性、不可抵赖性，是防止实体否认其已经发生的行为 信息的不可否认性分为原发不可否认和接受不可否认,原发不可否认用于防止发送者否认自己已发送的数据和数据内容，接受不可否认防止接受者否认已接受的数据和数据内容。

实现不可否认的技术手段一般有数字证书和数字签名1.2.2 信息安全 信息安全是一个广泛而抽象的概念，不同领域不同方面对其概念的阐述都会有所不同建立在网络基础之上的现代信息系统，信息安全的定义是保护信息系统的硬件、软件及相关数据，使之不因为偶然或者是恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行在商业和经济领域，信息安全主要强调的是削减并控制风险，保持业务操作的连续性，并将风险造成的损失和影响降低到最低程度信息安全的主要目标是信息的保密性、完整性、可用性等安全属性的保持，即通过采用计算机软硬件技术、网络技术、密码技术等安全技术和各种组织管理措施，保护信息在其生命周期内的产生、传输、交换、处理和存储的各个环节中，保持其保密性、完整性、可用性等安全属性 信息安全的概念涵盖了信息、信息载体和信息环境3个方面的安全信息指信息本身；信息载体指信息的承载体，包括物理平台、系统平台、通信平台、网络平台和应用平台；信息环境指信息及信息载体所处的环境，包括硬环境和软环境信息、信息载体、信息环境是信息安全的3大类保护对象，其相互关系如图1-1所示，详细内容如表1-1所示图1-1 信息安全的保护对象及其定位关系,表1-1 信息安全保护对象的分类和示例,2信息安全管理,信息安全问题出现的初期，人们主要依靠信息安全的技术和产品解决信息安全问题。

但是仅仅靠这些产品和技术还不够，即使采购和使用了足够先进、多的信息安全产品，如防病毒、防火墙、入侵检测、隐患扫描等，仍然无法避免一些安全事件的发生对于组织中人员信息安全问题，信息安全成本和效益的平衡问题，信息安全目标、业务连续性、信息安全相关法规符合性等问题，依靠产品和技术是解决不了的据有关部门统计，属于管理方面的原因比重高达70%以上，而这些安全问题中的95%是可以通过科学的信息安全管理来避免的因此，管理已成为信息安全保障能力的重要基础只有将有效的安全管理从始至终贯彻落实于安全建设的各个方面，信息安全的有效性和长期性才能有所保证信息安全管理是通过维护信息的保密性、完整性和可用性等来管理和保护信息资产的一项体制，是对信息安全保障进行指导、规范和管理的一系列活动和过程 信息安全管理是信息安全保障体系建设的重要组成部分，对于保护信息资产、降低信息系统安全风险、指导信息安全体系建设具有重要作用 信息安全管理涉及信息安全的各个方面，包括制定信息安全政策、风险评估、控制目标与方式选择、制定规范的操作流程、对人员进行安全意识培训等一系列工作3信息安全管理的目的,信息安全管理作为一个组织的整个管理体系中的一个重要环节，指导组织对其信息资源进行信息安全风险管理和控制。

只有建立统一、动态的安全管理，才能保证信息资源得以充分利用，发挥出系统的效率 信息安全管理的目的，是通过对计算机和网络系统中各个环节的安全技术和产品实行统一的管理和协调，进而从整体上提高整个系统防御入侵、抵抗攻击的能力，使得系统达到所需的安全级别，将风险控制在用户可接受的程度，具体来说，信息安全管理的目的如下：,1．将政策、硬件及软件等方法结合起来，构成一个统一的分层防卫系统，阻击非法用户进入，以减少网络系统受破坏的可能性 2．通过非法活动的审计追踪，提供一种快速检测非法使用网络资源和迅速测定非法入口位置的方法 3．使网络管理者能够很快地重新组织被破坏了的文件或应用，使系统重新恢复到破坏前的状态，以最大限度地减少损失并促使系统恢复 4．使破坏者的一举一动均能在有效的监控之下，以便能被网络经营机构抓获，使其最终受到应有的惩罚4信息安全管理遵循的原则,信息安全管理应遵循以下原则： 1．规范原则 信息系统的规划、设计、实现、运行要有安全规范要求要根据本机构或本部门的安全要求制定相应的安全政策，安全政策中要根据需要采用必要的安全功能，选用必要的安全设备，不应盲目开发、自由设计、违章操作、无人管理。

2．预防原则 在信息系统的规划、设计、采购、集成、安装中应该同步考虑安全政策和安全功能具备的程度，以预防为主的指导思想对待信息安全问题，不能存在侥幸心理3．立足国内原则 安全技术和设备首先要立足国内，不能未经许可，未能消化改造直接应用境外的安全保密技术和设备 4．选用成熟技术原则 成熟的技术提供可靠的安全保证，采用新技术时要重视其成熟的程度 5．注重实效原则 不应盲目追求一时难以实现或投资过大的目标，应使投入与所需要的安全功能相适应6．系统化原则 要有系统工程的思想，前期的投入和建设与后期的提高要求要匹配和衔接，以便能够不断扩展安全功能，保护已有投资 7．均衡保护原则 设置的安全保护中要注意是否存在薄弱环节 8．分权制衡原则 重要环节的安全管理要采取分权制衡的原则，要害部门的管理权限如果只交给一个人管理，一旦出问题就将全线崩溃分权可以相互制约，提高安全性9．应急原则 安全防护不怕一万，就怕万一，要有安全管理的应急响应预案，并且要进行必要的演练，一旦出现相关的问题，马上采取对应的措施 10．灾难恢复原则 越是重要的信息系统，越要重视灾难恢复在可能的灾难不能同时波及的地区设立备份中心要求实时运行的系统要保持备份中心和主系统的数据一致性。

一旦遇到灾难，立即启动备份系统，保证系统的连续工作习题1 一. 解释下列概念 信息安全 信息安全管理 二．简单题 1. 为什么说信息安全问题是一个管理问题？ 2．信息安全的属性有哪些？ 三．论述题 1．参考其他文献，论述我国信息安全管理的现状 2．参考其他文献，论述国外信息安全管理的现状。